Gulli.com m'a invité pour une entrevue pour leur portail de nouvelles en ligne et a posé quelques questions aboug le cheval de Troie Skype, troyens, etc Profitez en général et des observations au cours quitte.
Surintendant de Troie - Un programmeur speaks out
Depuis environ sept ans, Ruben Unteregger a travaillé comme ingénieur logiciel pour la société suisse ERA IT Solutions. Son travail y était de code malveillant qui permettrait d'envahir les PC des utilisateurs privés. ERA IT Solutions devrait en particulier être impliqués dans la construction de chevaux de Troie qui permettent à l'écoute clandestine des appels VoIP. S'il ne veut pas payer une pénalité pour rupture de contrat, il doit garder le silence sur les clients de l'entreprise. Simultanément à cette entrevue, M. Unteregges veut publier le code source de son cheval de Troie et le rendre disponible au public.
gulli.com Ghandy /: S'il vous plaît vous présenter à nos lecteurs.
Ruben Unteregger: My name is Ruben Unteregger, j'ai 33 ans et un administrateur système et programmeur. Je suis dans mon année sabbatique.
gulli.com Ghandy /: Selon Wikipédia, l'entreprise suisse ERA IT Solutions devraient déjà participer à l'élaboration d'un cheval de Troie de mettre sur écoute les conversations VoIP depuis 2006. Est-ce exact?
Ruben Unteregger: Après les Suisses "Sonntagszeitung" avait publié un article de nouvelles en Octobre 2006, environ un cheval de Troie qui permettrait à l'écoute clandestine des conversations sécurisées Sype et que le DETEC (Département für Umwelt, Verkehr und Kommunikation) avaient déjà manifesté leur intérêt pour elle, la public voulait en savoir davantage. Les nouvelles que l'Etat voulait utiliser des technologies qui jusqu'à ce moment ne sont connues que d'un contexte négatif et utilisés par les cyber-criminels ont causé beaucoup de discussion et un besoin de clarification. ERA IT Solutions AG a ensuite confirmé l'existence d'un tel logiciel dans une interview.
gulli.com Ghandy /: Vous dites que si vous avez travaillé pour l'ERA IT Solutions en consignation de la police fédérale allemande (BKA / BKA) vous a été confiée l'élaboration d'un cheval de Troie. Comment avez-vous entrer en contact avec cette entreprise?
Ruben Unteregger: Si je l'avais dit de cette façon, la glace sous mes pieds serait fissuration lourdement. J'ai un accord secret avec l'ERA IT au sujet des travaux sur le logiciel de l'écoute électronique. Cela n'est pas rare lorsque des données sensibles et les informations sont impliqués dans les projets. Je n'ai pas dit qu'il y avait une coopération entre ERA IT et le BKA. Conformément aux articles de nouvelles le BKA a la recherche de personnes possédant une expertise pertinente qui amène à la conclusion qu'ils travaillaient aussi sur leur propre projet de Troie.
De 2001 à 2008 je travaillais pour ERA IT et a été principalement principalement affectés à des projets client dans l'entreprise du secteur privé. Il y avait un employé normal /-employeur relation entre moi et l'ERA IT.
gulli.com Ghandy /: Évidemment, il n'est pas seulement un cheval de Troie, mais au moins un pour chaque système d'exploitation. Ou comment dois-je imaginer cela? Sur votre site, il ya déjà la séparation entre "MiniPanzer" et "MegaPanzer".
Ruben Unteregger: chevaux de Troie diffèrent d'un logiciel de bonne humeur en ce sens qu'ils exécutent une routine dommages conjonction avec le programme. Sinon les deux sont «seulement» des programmes. Prenons un exemple concret: Un cheval de Troie se compose de deux éléments de façon logique.
Le programme de base: Ce pourrait être n'importe quel programme souhaité, comme le Bloc-notes, un jeu d'arcade comme "Moorhuhn", etc
Les dommages-programme: Le code malveillant, qui est exécuté en arrière-plan à l'insu de la victime.
Le programme de base et les dommages-routine sont fondus en un seul fichier. Lors du double-clic sur ce fichier, les deux composantes sont exécutées. Le Moorhuhn-jeu dans le premier plan, visible pour la victime, et les dommages-routine dans l'arrière-plan.
Un programme de base comme le Bloc-notes, une avarie de routine et le produit soudés ensemble. Deux sont encore «que» des programmes. Double-cliquer sur le "Bloc-notes" sur une machine Windows ouvrirait la notepad-éditeur, comme prévu. Si le même «Bloc-notes" fichier a été copié sur une machine Linux et exécuté, Linux ne saurais pas quoi faire avec elle. Les fichiers binaires pour Linux, Windows etc sont structurés différemment. Il n'est pas possible d'écrire un programme ou un trojan qui fonctionne sur tout système d'exploitation. Par conséquent, un cheval de Troie ou un programme unique, comme Mozilla Firefox doit être créé pour chaque nouveau système d'exploitation.
MiniPanzer et MegaPanzer sont des chevaux de Troie qui ont été développé sur Windows XP. Le caractère exécutable sous Windows 2000 ou Vista n'a pas été testé, mais je pense qu'ils travaillent surtout là aussi.
MegaPanzer se niche dans un système et essaie de rester cachés. Lorsque le système est redémarré, MegaPanzer s'active automatiquement en arrière plan, sans attirer l'attention sur elle-même. Le système infecté est servi de façon interactive via une interface graphique. Nous avons délibérément abandonnés fenêtres noires avec un contenu Cryptical. L'accent mis au cours du développement a été d'une part le rachat de connexions sécurisées (HTTPS) tout comme ceux qui sont utilisés pour E-Banking. D'autre part nous nous sommes concentrés sur l'exécution automatique d'une commande sur le système cible via un script. Attaques doivent être rendus complètement automatique.
MiniPanzer est la variété déclassés. Il ne s'installe pas sur le système cible, n'est pas interactif servi et ne propose qu'une gamme réduite de fonctions par rapport à MegaPanzer.
gulli.com Ghandy /: il est une protection suffisante pour utiliser un système moins courantes d'exploitation? Comment puis-je défaite de telles attaques?
Ruben Unteregger: Pour vous utilisateurs de Linux et OSX profitent de la forte prédominance de Windows, parce que les programmeurs malveillants cible principalement les utilisateurs de Windows et donc les programmes malveillants pour les systèmes d'exploitation autres est négligé. Mais vous avez tendance à oublier que, outre les chevaux de Troie classique, qui doivent être à double-cliqué à exécuter, d'autres méthodes d'attaque existent également. Il existe des technologies qui jouissent d'une popularité énorme et sont indépendants de la plateforme, ce qui signifie qu'ils fonctionnent sur Windows, Linux et OSX la même façon. Flash, Java, Microsoft Silverlight ou d'Adobe Acrobat Reader sont des plugins et des programmes avec un taux de prévalence élevé et ils peuvent être trouvés sur les systèmes d'exploitation mis en place. Si une erreur qui peut donner l'attaquant le contrôle du système se trouve dans un flash-plugin pour Windows, les chances sont bonnes que cette vulnérabilité est également disponible et peut être exploitée dans le Flash-PlugIn pour Linux. Il ne suffit pas d'utiliser un système d'exploitation exotique pour vous protéger contre les logiciels malveillants.
Pour avoir une bonne défense contre les attaques de logiciels malveillants, il est recommandé d'utiliser un logiciel antivirus, un pare-feu de bureau et que vous suivez quelques codes de comportement. Les mises à jour automatique du système d'exploitation et les définitions de virus doit être activé aussi. Si vous suivez ces règles élémentaires, vous allez être sur le côté sécuritaire.
gulli.com Ghandy /: Y at-il Companys ou des particuliers impliqués Outre l'EER? Pouvez-vous deviner combien? Combien coûte le BKA payer pour ce développement?
Ruben Unteregger: Si vous utilisez des sources publiques, vous découvrirez que, tout comme ERA IT le BKA a lui-même travaillé sur un cheval de Troie, qui a été achevée au début de cette année. Heise a écrit qu'une étude menée par le BKA a montré en place qui a analysé la «surveillance en ligne, les écoutes téléphoniques Skype Chat et la participation d'agents pénale au cours des années 2006 à 2008." Je spécule que le BKA a renforcé leur arsenal de logiciels de médecine légale. Les coûts de ce développement doit avoir moins de 200.000 Euros. Si vous allez par le salaire mensuel de deux emplois annoncés par le BKA et de calculer combien ils seraient coût sur une durée déterminée de deux ans, cela pourrait correspondre. Mais une solution logiciel n'est pas simplement là et travaille pendant trois ans. L'environnement dans lequel un logiciel doit travailler est vivant et en constante évolution et donc également des forces à des logiciels d'adaptation. Il suffit de prendre le changement à partir de Windows XP vers Vista et Octobre nous nous approchons de la modification de Windows 7. Le cheval de Troie peut être détectée par le logiciel antivirus ou le pare-feu de bureau tout à coup. Il y aura des coûts supplémentaires.
Comme pour les autres entreprises participant à ces projets, les activités de l'entreprise DigiTask doivent être mentionnés. DigiTask passé documents explosif pour le CCC en Janvier 2008. Ils semblent aussi être incapable de garder un secret de projet, ce qui empêche les fuites d'information - à la fin, il a simplement pris un peu plus longtemps que pour nous.
Manifestement, il ya un marché lucratif dans ce domaine qui n'est pas saturé à tous, parce que grâce à la technologie évolue rapidement, il ya toujours de nouveaux créneaux et donc de nouvelles solutions sont également des créations d'entreprises privées. On peut s'attendre que d'autres personnes entrer sur ce marché. Une entreprise comme le Groupe Gamma qui se considère comme des experts en TI des intrusions et de surveillance aurait intérêt à prendre contact avec les bonnes personnes.
gulli.com Ghandy /: Les allégations contre DigiTask sont assez lourds.
Ruben Unteregger: Un document sur les «Bayern-Trojaner» et l'utilisation de la VoIP, la technologie est disponible à Wikileaks. Une source fiable en outre l'allemand est la CCC. Le document est également accueillie par le Parti Pirate. De la part de Digitask, l'existence de ce logiciel n'a jamais été confirmé ou refusé. Mais leur silence est éloquent.
gulli.com Ghandy /: Attachement Si je ne s'ouvrent pas sur l'e-mails, documents de type PDF ou images, comment diable peut faire un Bundestrojaner infecter mon ordinateur?
Ruben Unteregger: La façon dont comment trojanes propagation sont divers. Typiques sont les canaux de téléchargement web, e-mail ou par partage de fichiers. Les gens d'infecter leur système en téléchargeant un fichier à partir d'une source inconnue, à partir de sites à la réputation douteuse et au contenu ou à travers la séduction et tromperie. Mais aussi surfer simplement sur l'Internet, sans rien télécharger, peut provoquer une infection, si le navigateur de la victime présente une vulnérabilité ouverte et un attaquant a manipulé le site Web qui est mise en contact de cette façon. Portable Media comme des bâtons de mémoire USB ou disques durs ont gagné en popularité. Le cheval de Troie sur un système infecté surveille les ports USB et vérifie si un périphérique connecté est un stick USB-si elle est, le cheval de Troie s'installe à ce dispositif, qui infecte un autre système sur lequel le memory stick est connecté. Une vieille méthode qui a été créé à l'époque des disquettes.
Un autre scénario réaliste est l'injection du cheval de Troie vers le trafic d'une victime potencial. Prenons l'exemple suivant: Nous obtenons connecté à une anonymisation-proxy réseau et faire semblant d'être un serveur proxy, la surveillance du trafic qui traverse notre système. Outre un grand nombre de données des déchets il y aura aussi des données qui a été conclu par les gens. À l'autre bout de la ligne sont aussi des gens qui attendent pour ces données. Nous pouvons manipuler ces données et d'imposer l'autre personne sur la ligne de ce cheval de Troie, sans que la personne s'en apercevoir. L'effort pour mener une telle attaque est minime. Il existe d'autres moyens d'injecter des programmes malveillants dans le trafic de données. Pas compliqué, aussi bien et aussi avec une bonne chance de succès.
gulli.com Ghandy /: Vous avez décidé de publier les éléments de base de votre cheval de Troie. Vous n'avez pas à craindre des problèmes avec la loi? Vous êtes affaiblir l'efficacité du malware énormément à travers cette publication.
Rubin Unteregger: Oui, thats the plan. Le code source de ce trojan écoutes téléphoniques seront publiés dans les jours à venir. Il n'y aura pas de problèmes à propos du copyright, en raison ERA IT Solutions permettez-moi de le garder. Le code sera publié, il obtiendra analysées dès que les binaires obtenu téléchargés, les schémas de signature sera créé par les sociétés anti-virus, le malware sera détecté, bloqué et supprimé, si elle tente d'infecter un système.
Sur les détails, pourquoi je continue à le droit d'auteur sur ce point, je ne puis offrir une déclaration. Comme déjà mentionné j'ai accepté de garder le silence absolu. Vous pouvez maintenant spéculer ou à demander aux sources directement.
gulli.com Ghandy /: Pourquoi une publication du code source sous licence GPL?
Ruben Unteregger: j'avais aimé avoir ce trojan suivre les deux autres et le code source soit disponible pour tout le monde. Le code source de tous les outils sur la page d'accueil est disponible sous licence GPL, peut être téléchargé, étudié, modifié, amélioré ou partagé. En raison du fait que tout le monde peut regarder dans le code et plus d'une paire d'yeux se regarder, erreurs, manque d'attrait et les défauts peuvent être découvertes et transmises. Tout le monde qui veut peut étudier le code pour comprendre comment fonctionne quelque chose ou à se développer, si une fonction n'existe pas.
gulli.com Ghandy /: Le code source est disponible ici. Qu'en est-il la collaboration entre les éditeurs de logiciels antivirus et les services secrets?
Ruben Unteregger: Je ne sais pas s'il ya un type de coopération et comment elle serait. Mais je suis sceptique si cela est vrai. Je ne peux pas imaginer que le BND allemand ne peut dicter à une entreprise comme Kaspersky provenance de la Russie ce qu'ils ont à bloc et que non. Kaspersky a 1.500 employés. Si une collaboration serait prouvée, Kaspersky, pourraient fermer leur entreprise parce que la confiance de leurs clients ne seraient pas complètement perdu.
gulli.com Ghandy /: Pourquoi êtes-vous montrant une vidéo sur la façon de piller un compte bancaire d'une victime de phishing?
Ruben Unteregger: Vous devez voir l'ensemble du contexte. Il ya quelque temps on nous a dit que E-Banking est sûr et qu'il serait techniquement impossible de tricher les mesures de sécurité qui y est utilisé. Jusqu'à un certain point, cette affirmation était correcte. SSL crypte le trafic, One-Time Passwords arrêter l'utilisateur du simple et facile à deviner les mots de passe qui ne changera jamais et avec une machine qui se trouve derrière un NAT-Router, rempli avec le logiciel AV et un pare-feu de bureau, le système a été prévu pour être sûr. Phishing a prouvé le contraire et devenir un problème qui a causé des millions de dégâts. Les victimes étaient parfaitement triché, toodled dans le piège en grand nombre et à des escrocs se sont enrichis.
Les attaquants sont devenus toujours plus professionnel et utilisé de nouvelles méthodes comme les drive-by-download ou pharming pour atteindre leur cible. Ils le font encore cela avec succès.
Ils avaient obtenu la connexion entre le client et E-Banking-Server avec les mesures de protection mentionnées, mais d'autres passerelles ont été rejetés. La vidéo montre une variante d'une attaque réussie sur un e-Banking session, qui constituent des étapes nécessaires pour ce faire et quels outils sont utilisés. A ce stade, je tiens à mentionner que l'attaque a été menée contre une machine à l'intérieur de mon propre réseau. Il a été mis en scène et pas de système d'étrangers ont été touchés.
Dans la première étape, je veux montrer que la reprise d'une session E-Banking est possible, ce qui est prouvé avec cette vidéo. Le but dans la deuxième étape est de montrer quelles sont vos options pour améliorer la sécurité, pour vous protéger des «oreilles indiscrètes" et snoopers dans les moments critiques comme E-Banking-Sessions, VoIP ou de discussions de Skype. Il ya des options et à la différence des outils utilisés pour la reprise de la session E-Banking, ces solutions pour sécuriser la connexion sera également mis à disposition.
gulli.com Ghandy /: Si de tels procédés sont déjà utilisés aujourd'hui, comment le développement de continuer? À quoi ressemblera l'Internet comme 10 ans?
Ruben Unteregger: Si j'avais eu à répondre à cette question il ya dix ans, je n'aurais pas été capable de donner une réponse qui s'inscrit dans la situation actuelle. Je pense qu'aujourd'hui mon regard dans la boule de cristal tireraient loin de la cible.
Mais je pense que l'équipement des autorités de surveillance et de poursuites seront augmentés. Il est grand temps que les prochaines deux, trois pas de l'ennemi sont faites, que la surveillance-engouement s'énerve contre. Dès que la vague de l'Allemagne a atteint la Suisse et que vous avez en permanence le sentiment que quelqu'un regarde par-dessus votre épaule ... Je voudrais avoir de cette façon l'autre. Conservation des données, des recherches en ligne, la censure, une salle de surveillance, des profils de mouvement, par téléphone, e-mail, SMS-surveillance ... Il s'agit d'un manège militaire remarquable et menaçante des instruments de surveillance et de contrôle. Cela devrait ouvrir les yeux, augmenter la tension psychologique, encourager à réfléchir und se dégager, dans quelle direction cela pourrait conduire, et où nous sommes aujourd'hui. Si vous avez pu montrer que quelques-unes de ces choses ne peuvent pas offrir la sécurité et de protection, qui est l'argument dont ils sont «vendues», ce message arrivera dans la tête de tout le monde et l'idée serait annulé. Ce serait un bon pas dans la bonne direction.
gulli.com Ghandy /: Ruben, je vous remercie pour cette interview tout à fait intéressant.
Interview sur gulli.com: www.gulli.com
