September 2013 ist der Monat, in dem das Ausmaß der direkten staatlichen Hacking - wie auf der Verkehrsüberwachung im Gegensatz - bekannt wurde.

4. September - WikiLeaks veröffentlicht Spy Files 3, zunehmende Verwendung von Drittanbieter-Hacking-Tools, wie zum Beispiel FinFisher demonstriert.

6. September - Bruce Schneier schreibt im Guardian

Die NSA widmet auch erhebliche Ressourcen auf Endpoint-Computer anzugreifen. Diese Art der Sache ist durch seine TAO getan - Tailored Zugriffsoperationen - Gruppe. TAO hat ein Menü von Exploits kann es gegen den Computer dienen - ob Sie Windows, Mac OS, Linux, iOS, oder etwas anderes - und eine Vielzahl von Tricks sie auf Ihren Computer zu bekommen auf. Ihre Anti-Viren-Software wird sie nicht erkennen kann, und Sie würden Schwierigkeiten haben, sie zu finden, auch wenn Sie wusste, wo sie suchen müssen. Dies sind Hacker-Tools entwickelt, die von Hackern mit einem im wesentlichen unbegrenzten Budget. Was ich nahm die Snowden Dokumente aus der Lektüre war, dass, wenn die NSA möchte auf den Computer in, es ist in. Period.

7. September - Details eines NSA MITM Operation gegen Google-Nutzer in Brasilien aufgedeckt.

12. September - FBI gibt zu, dass es gehackt Freedom Hosting. Die Folgen sind, dass sie die Malware eingefügt, die Besucher überwacht, und die fast sicher, dass die Malware CIPAV war.

FinFisher und CIPAV stehen als Regierung Spyware betrieben wird; aber es gibt auch andere: RCS (DaVinci), Hacking etcetera - und, natürlich, Stuxnet und Flamme. Wir haben für eine lange Zeit über sie bekannt: siehe

• CIPAV: (diese Seite, Mai 2011)
• RCS: (diese Seite, Nov 2011)
• FinFisher: (Infosecurity Mag August 2012)
• Hacking: (Infosecurity Mag, Okt 2011)

Dies lässt eine große Frage Betteln: Wenn wir über diese Malware für eine so lange Zeit gekannt haben, wie kommt es nach wie vor verwendet werden kann? Warum nicht Anti-Malware-Software, um es zu stoppen?

Es gibt zwei mögliche Gründe dafür, dass wir erforschen:

die AV-Industrie, wie so viele andere, mit der NSA ist der AV-Industrie ist im Bett nicht so gut wie der "hält 100% der bekannten Malware 'behauptet, dass es macht - oder anders gesagt, sind Virenschreiber im Allgemeinen einen Schritt voraus der AV-Industrie

Dies wurde von allen AV-Unternehmen vehement verweigert Ich habe gesprochen (siehe die Artikel auf CIPAV und RCS für Beispiele) Im Bett mit der NSA. Bruce Schneier glaubt nicht, dass es ist:

Ich glaube tatsächlich, dass AV weniger wahrscheinlich ist, beeinträchtigt werden, denn es gibt verschiedene Unternehmen in einander antagonistisch Länder miteinander auf dem Markt konkurrieren. Während die US-könnte in der Lage sein, Symantec zu überzeugen, sein Geheimnis Malware zu ignorieren, würden sie nicht in der Lage sein, die russische Unternehmen Kaspersky davon zu überzeugen, das Gleiche zu tun. Und ebenso könnte Kaspersky überzeugt werden russische Malware zu ignorieren, aber Symantec würde nicht. Diese Unterschiede sind wahrscheinlich in Produktvergleiche zu zeigen, die beide Unternehmen einen Anreiz gibt, ehrlich zu sein. Aber ich weiß es nicht.

Und doch verweilt die Möglichkeit. Wenn Flamme "entdeckt" wurde, gab Mikko Hypponen ein mea culpa für die Industrie. Zugegeben, dass F-Secure hatte Flamme Proben auf Rekord seit zwei Jahren, sagte er,

Forscher an anderen Antivirus-Firmen haben Beweise dafür gefunden, dass sie Proben der Malware erhalten sogar noch früher als das, was darauf hinweist, dass die Malware war älter als 2010. Das bedeutet, dass alle von uns verpasst hatte diese Malware für zwei Jahre zu erfassen, oder mehr. Das ist spektakulär gescheitert ist für unser Unternehmen und für die Antiviren-Industrie im Allgemeinen. Es war nicht das erste Mal, entweder passiert ist. Stuxnet ging für mehr als ein Jahr unentdeckt, nachdem sie in der freien Natur entfesselt wurde ...

Vergessen Sie die "Hand aufs Herz" für einen Moment, und betrachten ... Das ist die beiden großen staatlich geförderten Malware-Samples bekannt über und durch mehrere AV-Unternehmen für mehrere Jahre ignoriert. Zufall? Könnte sein. Aber Echo Schneiers letzter Satz, weiß ich nicht.

Malware-Autoren einen Schritt voraus zu der AV-Industrie sind, wenn Sie den AV-Vermarkter hören, kann dies nicht wahr sein. Jeden Monat stellen wir hören behauptet, dass AV-Produkte 99,9% bis 100% aller bekannten Viren stoppen (nicht vergessen, dass sie "wusste" über Stuxnet und Flamme, aber nichts). Ich habe an anderer Stelle in dieser Art von Werbung auf meiner Bestürzung geschrieben (zum Beispiel).

Wenn Sie jedoch auf die Fußsoldaten Forscher hören - und manchmal sogar höher -Innerhalb den einzelnen Unternehmen, merkt man, dass es absolut, von Natur aus, und unvermeidlich wahr. Luis Corrons, der technische Direktor bei, bringt es wie folgt aus:

Die Wirksamkeit der Malware-Probe ist direkt proportional zu der verbrauchten Ressourcen. Wenn wir über gezielte Angriffe sprechen (und [CIPAV und FinFisher] entwickelt, um gezielte Angriffe durchführen) ist der wichtigste Teil der Fähigkeit, unentdeckt werden soll. Umgehen Signaturerkennung ist trivial, obwohl es zu fast nutzlos ist, da die meisten Anti-Malware-Programme mehrere verschiedene Schutzschichten aufweisen, die auf Signaturen nicht verlassen. Die Angreifer wahrscheinlich wissen, welche Sicherheitslösung (en) das potentielle Opfer verwendet. Dann ist es, als "einfach" als das gleiche Szenario zu replizieren (Betriebssystem, Sicherheitslösung, etc.) und überprüfen, ob die Malware nicht erkannt wird. Sobald sie markiert werden sie es ändern Erkennung zu vermeiden, bis sie die endgültige Version. Sobald sie fertig sind, werden sie das Opfer zu infizieren und werden Spionage / Diebstahl Informationen aus ihm heraus, bis sie erkannt werden. Dies könnte eine Frage von Tagen, Monaten oder sogar Jahren.

Claudio Guarnieri der sehr ähnlich:

Da FinFisher, wie jede andere kommerzielle Spyware ist eine sehr gezielte und anspruchsvolle (neben teuren) Malware, es ist Teil des Gamma-Entwicklungszyklus ist, um sicherzustellen, dass sie alle die verschiedenen Komponenten gezwickt Antiviren-Programmen zu vermeiden, bevor Sie die neue FinFisher heraus versenden zu den Kunden . Die Entwickler haben wahrscheinlich ihre eigenen internen Systeme, die diese Prüfungen zu tun: Man denke an etwas wie ein privater Virustotal. Jedes Mal, wenn sie eine neue Funktion oder eine neue Version zu entwickeln, werden sie es testen gegen so viele Antiviren-Programmen wie möglich und wenn etwas erkannt wird, sie debuggen und versuchen zu verstehen, warum und einen Weg, um es zu finden. Das "Problem" bei diesem Ansatz ist, dass sie auf die AV-Industrie verlassen ohne zu wissen und keinen Zugriff auf ihre Malware mit: wenn das passiert AV-Hersteller ziemlich effektiv reagieren und in der Tat, wenn man sich FinFisher Proben aussehen entdeckt vor 1 Jahr sind sie jetzt weitgehend von den meisten Antivirus-Produkte erkannt.

Fazit Ist der AV-Industrie im Bett mit dem NSA? Die einfache Tatsache ist, dass wir einfach nicht wissen. Die Branche selbst bestreitet es - aber, na ja, es wäre, wäre es nicht? seit fast arbeitet jeder andere Aspekt der Sicherheitsindustrie Statistisch gesehen, oder von der NSA unterminiert wurde, mein Verdacht ist, dass es ist. Zumindest vermute ich es in "stillschweigenden Duldung 'eingreift.

Sind Malware-Entwickler einen Schritt voraus zu der AV-Industrie? Das hängt davon ab. Wie Corrons sagt, es hängt von den zur Verfügung stehenden Ressourcen auf die bösen Jungs, ob das NSA, FBI, GCHQ oder das russische Business-Netzwerk. Gut resourced bösen Jungs immer in zu bekommen. Wie Schneier sagt: "Wenn die NSA in möchte auf den Computer, es ist in. Period." Aber das gilt wohl für alle Regierungen und alle ernsthaft organisierten kriminellen in gezielte Hacking beschäftigt Banden.

Aber eine abschließende Bemerkung: sagte nichts hier sollten getroffen werden, zu behaupten, dass wir die AV-Industrie nicht brauchen. Es kann nicht in der Lage sein, die NSA zu stoppen, aber es kann und eine Million Script-Kiddie wannabe Hacker jeden Tag nicht zu stoppen.

siehe auch: