GCF-Board

Registrieren || Einloggen || Hilfe/FAQ || Suche || Memberlist || Home || Statistik || Kalender || Staff Willkommen Gast!

GCF-Board » Diskussion » Eine neue Generation Wurm... » Threadansicht

Autor Thread - Seiten: [ 1 ] -2- [ 3 ]
025
26.12.2004, 01:47 Uhr
JTR2k4

Foren Schüler


ne das nicht, Es müsste für die Dateien eher eine Möglichkeit geben, sic zu "authorisieren". zB eine asynchrone Verschlüsselung, so dass von anderen Personen angebotene Dateien zwar richtige Dateinamen haben, nach der Entschlüsselung durch den Wurm aber keine sinnvollen Anweisungen enthalten und verworfen werden.
Der Wurm könnte ja binär sein. Eine Hälfte bricht in das System ein und die zweite Hälfte enthällt die meisten Funktionen und wird dann von der ersten Hälfte nachgeladen. (von bereits infiszierten PCs). Sozusagen eine Armee von Würmern, wobei eine Teilmenge mit Waffen ausgestattet ist, während ein anderer Teil als Truppentransporter dient. *fantasier*
Seitenanfang Seitenende
Profil || Private Message || Suche Zitatantwort || Editieren || Löschen || IP
026
26.12.2004, 02:01 Uhr
JTR2k4

Foren Schüler


Nochmal zum Thema serverless p2p. Was ist mit gnutella? Das ist doch ziemlich serverlos, finde ich. :-P
Seitenanfang Seitenende
Profil || Private Message || Suche Zitatantwort || Editieren || Löschen || IP
027
26.12.2004, 02:04 Uhr
Gabriel_B
Ex-Erzengel
Foren Guru


gnutella? gibts das überhaupt noch?
filesharing ist niemals seriös...

oh ja, das nenne ich wirklich mal fantasie... so verworren denke nichtmal ich... obwohl das theoretisch klappen könnte.
aber theoretisch funktioniert auch der kommunismus...

das problem der kommunikation ist aber noch immer nicht gelöst. wenn der infizierte rechner hinter einem router sitzt und der gewählte port nicht geforwardet wird, was dann? dann is der wurm ja nutzlos.
eine möglichkeit: tunneln. ohne geneuere kenntnis über den router nicht unbedingt einfach.
andere möglichkeit: port-jacking. wir nutzen einfach einen port, der von einer anderen anwendung benutzt wird (idealerweise port 80) nachteil: vermutlich würde das dem browser oder einem webserver nicht so gut bekommen.
--
[img]http://mitglied.lycos.de/defcon2002/tux/windows012_thumb.jpg[/img] <- Hier klicken
Liebe sollte auf Linux basieren... Dann würde sie wenigstens stabil laufen... © by Gabriel Black

Dieser Post wurde am 26.12.2004 um 02:05 Uhr von Gabriel_B editiert.
Seitenanfang Seitenende
Profil || Private Message || Suche Zitatantwort || Editieren || Löschen || IP
028
26.12.2004, 02:13 Uhr
JTR2k4

Foren Schüler


Das gibt es noch ziemlich doll. Heute um 18:00 - ca. 1 000 000 User -.-
Beweis: http://www.limewire.com/english/content/netsize.shtml

Wie wärs mit PortJacking --> SMTP-Port(25). Der dürfte doch die meiste Zeit frei sein (wer ruft schon den ganzen Tag Mails ab?)und der Router/Firewall wird den auch nicht sperren. Wir müssten ja auch nur kurz raus um die Updateliste zu laden, die ja wahtscheinlich auch net sooo gross sein wird. Txt halt
Seitenanfang Seitenende
Profil || Private Message || Suche Zitatantwort || Editieren || Löschen || IP
029
26.12.2004, 02:18 Uhr
Gabriel_B
Ex-Erzengel
Foren Guru


ok. was is dann mit den usern, die keinen mail-client, sondern ein webinterface benutzen?
davon gibts nämlich noch ne ganze menge.
und ich z.b. hab meinen mail-client 24/7 offen und rufe alle 15 minuten meine mails ab bzw verschicke welche.
--
[img]http://mitglied.lycos.de/defcon2002/tux/windows012_thumb.jpg[/img] <- Hier klicken
Liebe sollte auf Linux basieren... Dann würde sie wenigstens stabil laufen... © by Gabriel Black
Seitenanfang Seitenende
Profil || Private Message || Suche Zitatantwort || Editieren || Löschen || IP
030
26.12.2004, 02:33 Uhr
JTR2k4

Foren Schüler


hmm ... ich auch... Die Web-Interfaces sind doch eh doof.

15 min. weil das poll-limit bei web.de ist :-T
menno ... dann wartet das Ding halt, bis der User mal 15 minuten nichts macht und fängt dann an über Port 80 zu laden. Sollte sich die Maus dann wieder rühren, wird die Verbindung sofort gekappt und der User merkt nix.
Seitenanfang Seitenende
Profil || Private Message || Suche Zitatantwort || Editieren || Löschen || IP
031
26.12.2004, 02:39 Uhr
Gabriel_B
Ex-Erzengel
Foren Guru


ok... wie lang braucht man, um ein windowsupdate herunter zu laden?

- das update hat ca 120 MB (im schnitt)
- der durchschnittsuser benutzt T-DSL 1000

davon ausgehend braucht der download eines updates (an dem ja mehrere leute meist gleichzeitig saugen) mindestens 45 minuten (im schnitt). ok...
sitzt du 45 minuten vor deinem rechner ohne ein einziges mal irgendeine eingabe zu machen? vermutlich nicht.
--
[img]http://mitglied.lycos.de/defcon2002/tux/windows012_thumb.jpg[/img] <- Hier klicken
Liebe sollte auf Linux basieren... Dann würde sie wenigstens stabil laufen... © by Gabriel Black
Seitenanfang Seitenende
Profil || Private Message || Suche Zitatantwort || Editieren || Löschen || IP
032
26.12.2004, 02:47 Uhr
JTR2k4

Foren Schüler


ääähm...missverständnis:
Es sollen nicht die Updates über P2P geholt werden, sondern nur eine Liste, die Informationen darüber enthält, welche Updates der Wurm sich vom offiziellen MS-Server herrunterladen soll.
Seitenanfang Seitenende
Profil || Private Message || Suche Zitatantwort || Editieren || Löschen || IP
033
26.12.2004, 02:57 Uhr
Gabriel_B
Ex-Erzengel
Foren Guru


ja, das ist mir schon klar.
aber es saugen immer mehrere leute gleichzeitig an diesen updates vom ms-server.
nur macht es keinen sinn, die connection zu unterbrechen, wenn jmd ne eingabe macht. kaum einer sitzt 45 minuten oder länger einfach nur regungslos vorm rechner.
--
[img]http://mitglied.lycos.de/defcon2002/tux/windows012_thumb.jpg[/img] <- Hier klicken
Liebe sollte auf Linux basieren... Dann würde sie wenigstens stabil laufen... © by Gabriel Black
Seitenanfang Seitenende
Profil || Private Message || Suche Zitatantwort || Editieren || Löschen || IP
034
26.12.2004, 03:11 Uhr
JTR2k4

Foren Schüler


NEIN, die Verbindung zum MS-Server soll doch gar nicht unterbrochen werden, sondern nur die "geklaute" Port 80-Connection. Die Verbindung zum MS-Server könnte vllt in der Geschwindigkeit gedrosselt sein, aber weiterlaufen kann sie ja ruhig. Die stört ja nicht den Browser
Seitenanfang Seitenende
Profil || Private Message || Suche Zitatantwort || Editieren || Löschen || IP
035
26.12.2004, 03:19 Uhr
Gabriel_B
Ex-Erzengel
Foren Guru


die sürfte den benutzer sogar extrem stören. wenn du die geschwindigkeit für port 80 drosselst, ist ein webserver oder ein browser genauso davon betroffen.
--
[img]http://mitglied.lycos.de/defcon2002/tux/windows012_thumb.jpg[/img] <- Hier klicken
Liebe sollte auf Linux basieren... Dann würde sie wenigstens stabil laufen... © by Gabriel Black
Seitenanfang Seitenende
Profil || Private Message || Suche Zitatantwort || Editieren || Löschen || IP
036
26.12.2004, 03:24 Uhr
JTR2k4

Foren Schüler


Nur die Verbindung zum MS-Server sol gedrosselt werden. Die anderen können ja von der GEschwindiigkeit her bleiben
Seitenanfang Seitenende
Profil || Private Message || Suche Zitatantwort || Editieren || Löschen || IP
037
26.12.2004, 03:29 Uhr
Gabriel_B
Ex-Erzengel
Foren Guru


man kann aber nicht die geschwindigkeit für ein programm drosseln sondern nur für einen posrt. alles, was über port 80 dann laufen würde, würde mitgedrosselt werden.
oder du basut eine routine in den wurm ein, die ihn anweist nur mit xy kb/s zu saugen. was den wurm dann aber auch gleich wieder n ganzes stück grösser macht.
--
[img]http://mitglied.lycos.de/defcon2002/tux/windows012_thumb.jpg[/img] <- Hier klicken
Liebe sollte auf Linux basieren... Dann würde sie wenigstens stabil laufen... © by Gabriel Black
Seitenanfang Seitenende
Profil || Private Message || Suche Zitatantwort || Editieren || Löschen || IP
038
26.12.2004, 03:35 Uhr
JTR2k4

Foren Schüler


Dann guck dir mal das Programm Netlimiter an. Das kann das nämlich . Ich konte damit zB, wenn ich mit Firefox mehrere Files herruntergeldaen habe für jede Verbindung einzeln festlegen, wei schnell geladen werden soll
Seitenanfang Seitenende
Profil || Private Message || Suche Zitatantwort || Editieren || Löschen || IP
039
26.12.2004, 03:37 Uhr
Gabriel_B
Ex-Erzengel
Foren Guru


ok... dann guck du dir nun mal an, wie gross netlimiter ist.
alles was netlimiter tut ist, die vorhandene bandbreite auf einem port aufzuteilen.
das meinte ich ja mit der download-routine. nur kostet das ein paar MB. so langsam sollten wir theoretisch die 10 MB grenze erreicht haben oder zumindest nicht mehr weit entfernt sein...
--
[img]http://mitglied.lycos.de/defcon2002/tux/windows012_thumb.jpg[/img] <- Hier klicken
Liebe sollte auf Linux basieren... Dann würde sie wenigstens stabil laufen... © by Gabriel Black
Seitenanfang Seitenende
Profil || Private Message || Suche Zitatantwort || Editieren || Löschen || IP
040
26.12.2004, 03:48 Uhr
JTR2k4

Foren Schüler


Das ist natürlich doof ... aber perfektion hat seinen Preis ... der Wurm würde ja weitestgehend auch ohne alle diese tollen features funktionieren. Nur nicht so schön. und wahrscheinlich würde man auch noch viiel mehr Fehler in dem Gedanken dinden, wenn man das Projekt realiesieren wollte. Aber das muss sein, wenn der Wurm wirklich nichts zerstören soll, sondern nur Zerstörung verhindern soll.
Und was ist dagegen einzuwenden, 10 mb herrunterzuladen? WEnn der Wurm wirklich nur auf Rechnern mit min dsl1000 seine Arbeit verrichten würde, dauert das ja auch nicht sooo lange...

Ich geh jetzt ma pennen. Morgen werde ich vllt ma ne Liste mit den bisherigen möglichen Features und der Virgehensweise des Programms schreiben. Auch wenn es nie realisiert wird, finde ich die Idee so interessant, dass man sich darum Gedanken machen kann.

Dieser Post wurde am 26.12.2004 um 03:50 Uhr von JTR2k4 editiert.
Seitenanfang Seitenende
Profil || Private Message || Suche Zitatantwort || Editieren || Löschen || IP
041
26.12.2004, 03:55 Uhr
Gabriel_B
Ex-Erzengel
Foren Guru


ok. 10 mb herunterladen ist eine sache. 10 mb heraufladen (zur weiterverbreitung) eine andere. wie willst du den wurm verbreiten? per mail? das kannst du vergessen. 10mb traffic über smtp is *aua*. dann gibts auch immernoch mail-provider die dateianhänge in der grösse nicht passieren lassen.
dann müsste man z.b. ein VBS o.ä. schreiben, dass der wurm dann an die mails anhängt, dass sich dann unerkannt und unbemerkt selbst ausführt und den wurm von einem server herunterläd. was wieder den wurm vergrössern würde.

nichts desto trotz ist da immernoch die rechtliche seite.
es ist und bleibt ein unerlaubter eingriff in ein fremdes system. ob man nun das system sicherer macht oder nicht, spielt dabei keine rolle. einbruch ist einbruch.
--
[img]http://mitglied.lycos.de/defcon2002/tux/windows012_thumb.jpg[/img] <- Hier klicken
Liebe sollte auf Linux basieren... Dann würde sie wenigstens stabil laufen... © by Gabriel Black
Seitenanfang Seitenende
Profil || Private Message || Suche Zitatantwort || Editieren || Löschen || IP
042
26.12.2004, 04:06 Uhr
JTR2k4

Foren Schüler


Ich sehe das ganze hier nicht als praktisch realisierbare Idee an. Es ist und bleibt eine Fantasie. Und ich möcht jedem davon abraten, dies zu realisieren, denn Gabriel_B hat völlig Recht in seiner Aussage, dass dieses Rechtswidrig ist und mit hohen Strafen verfolgt werden würde.

Zu den 10MB: Du hast vergessen, dass der Wurm aus 2 Teilen besteht. Wie der 1te aus System kommt ist egal. Da kann es meinetwegen verschiedene Wege geben. Er ist ja auch nicht gross. Der 2te nachzuladende Teil ist so groß. Dadurch, dass der Client zu dem Zetpunkt an dem die vielen Daten auf das System geladen werden schon mit dem ersten Teil infisziert ist haben wir hier sehr viel mehr Möglichkeiten.

Dieser Post wurde am 26.12.2004 um 04:07 Uhr von JTR2k4 editiert.
Seitenanfang Seitenende
Profil || Private Message || Suche Zitatantwort || Editieren || Löschen || IP
043
26.12.2004, 04:47 Uhr
Gabriel_B
Ex-Erzengel
Foren Guru


theoretisch korrekt. setzt aber voraus, dass die daten überhaupt geladen werden können.
nehmen wir mal mein win2k system als beispiel:

ich benutze eine firewall die die blacklist-methode verwendet. heisst: alles, was ich nicht autorisiere kann keine verbindung irgendwohin aufbauen. weder rein, noch raus.
der wurm könnte bei mir also nicht viel anstellen, es sei denn, er würde meine firewall ausschalten. das würde aber bedeuten, dass er auch die verbindung ins internet kappt, da ich eine hardware-firewall verwende. nur wenn die kiste sich ins netz einwählt, hat mein win2k system zugang zum netz.

an mir würde der wurm also mit hoher wahrscheinlichkeit scheitern. und ich bin nicht der einzige der diese konfig bentzt.
--
[img]http://mitglied.lycos.de/defcon2002/tux/windows012_thumb.jpg[/img] <- Hier klicken
Liebe sollte auf Linux basieren... Dann würde sie wenigstens stabil laufen... © by Gabriel Black
Seitenanfang Seitenende
Profil || Private Message || Suche Zitatantwort || Editieren || Löschen || IP
044
26.12.2004, 12:37 Uhr
JTR2k4

Foren Schüler


Ähm .. Das, was du da beschreibst ist eine Whitelist. EIne Blacklist würde bedeuten, dass du bestimmte Verbindungen festlegst, die du _nicht_ durchlässt. Aber bei deiner Friewall kannst du ja bestimmte Verbindungen festlegen die du explizit durchlässt.
Und deine Firewall wird ja wahrscheinlich auch auf Port/IP-Ebene funktionieren. Das bedeutet aber, dass wir durch Portjacking immer noch da durchkommen würden.
Seitenanfang Seitenende
Profil || Private Message || Suche Zitatantwort || Editieren || Löschen || IP
045
26.12.2004, 13:35 Uhr
Gabriel_B
Ex-Erzengel
Foren Guru


ich kann sowohl das black- als auch das whitelist verfahren nutzen. und du hast recht. ich meine das whitelist verfahren.
aber ich glaub, morgens um kurz vor 5 darf jeder mal einen fehler machen kam vermutlich daher, dass ich mich kurz zuvor im IRC mit jemandem über blacklist unterhalten hatte *gg*
nun kann meine firewall aber noch etwas anderes (was eigentlich alle firewalls können):
ich kann zusätzlich bestimmen, welche programme sich mit dem netz verbinden dürfen. steht ein programm nicht in der liste, kommt es nicht heraus. das war es, was ich mit meinem letzten post ursprünglich aussagen wollte.
--
[img]http://mitglied.lycos.de/defcon2002/tux/windows012_thumb.jpg[/img] <- Hier klicken
Liebe sollte auf Linux basieren... Dann würde sie wenigstens stabil laufen... © by Gabriel Black
Seitenanfang Seitenende
Profil || Private Message || Suche Zitatantwort || Editieren || Löschen || IP
046
26.12.2004, 14:18 Uhr
JTR2k4

Foren Schüler


Ja ... um die Uhrzeit folgen die Gedanken nicht der uns sonst gewohnten Logik.
Aber was ist denn das für eine Firewall? Das würed mich echt mal interessiern. So wie ich das verstanden habe, ist sie ja nur über das Netzwerk mit deinem Pc verbunden. Woher weiß sie dann, welches Programm gerade eine Verbindung herstellen möchte?
Oder ist die in deinen PC integriert? Ich zB benutze einen normalen Router mir Firewall-Funktionen. Da dieser genau die von dir angesprochene Funktion nicht beherrscht habe ich auf meinem PC zusätzlich noch Norton installiert. Es ist halt nur möglich, Verbindungen über einen Port/eine IP zu sperren/zu erlauben.
Seitenanfang Seitenende
Profil || Private Message || Suche Zitatantwort || Editieren || Löschen || IP
047
26.12.2004, 14:30 Uhr
Gabriel_B
Ex-Erzengel
Foren Guru


meine firewall ist n alter P1 166 mit OpenBSD 3.6. ausgestattet mit einer kommerziellen firewallsoftware (nein, keine werbung hier ).
jedes programm, identifiziert sich am server (so ähnlich wie im windows-tast-manager). der server vergleicht das programm mit seiner liste, und wenn er feststellt dass das programm nicht oder als unautorisiert in seiner liste steht, wird es auch nicht durchgelassen.
alles n bissl kompliziert, aber dafür relativ sicher.
das ist das selbe system, dass ich früher an meine kunden verkauft habe. ich benutze lediglich nen leistungsschwächeren rechner dafür (spart kosten)

allerdings wurde ich mich niemals auf norton-software (schon gar nicht auf norton internet secrity) verlassen. norton auszuschlaten ist wirklich leicht. es gibt genug exploits auf heise.de und über clusty.com zu finden, mit denen sogar anfänger umgehen können, um norton auszuschlaten.
--
[img]http://mitglied.lycos.de/defcon2002/tux/windows012_thumb.jpg[/img] <- Hier klicken
Liebe sollte auf Linux basieren... Dann würde sie wenigstens stabil laufen... © by Gabriel Black
Seitenanfang Seitenende
Profil || Private Message || Suche Zitatantwort || Editieren || Löschen || IP
048
26.12.2004, 15:11 Uhr
JTR2k4

Foren Schüler


Ich erhebe auch keinen Anspruch darauf, dass mein PC perfekt gesichert ist. Und Norton ist auch sowieso nur die 2.Hürde. Ich habe ja noch meinen Router. Ausserdem hab ich das Programm halt geschenkt bekommen und jetzt benutze ich es. Natürlich ist andere Software sichererer, aber bis jetzt hat es mich ganz gut geschützt .

Wie identifizieren sich denn die Programme bei der Firewall? Man kann ihnen ja nicht einfach so sagen: "Hör mal zu Programm, wenn du ins Internet willst ,musst du immer erst mal die Firewall gaaanz lieb fragen, sonst lässt die dich nich durch."
Analysiert dieses mysteriöse Programm das verwendete Protokoll?

Dieser Post wurde am 26.12.2004 um 15:12 Uhr von JTR2k4 editiert.
Seitenanfang Seitenende
Profil || Private Message || Suche Zitatantwort || Editieren || Löschen || IP
049
26.12.2004, 15:29 Uhr
Gabriel_B
Ex-Erzengel
Foren Guru


das funktioniert ganz simpel:
das programm will ins netz. heisst: es muss über den router, ob es will oder nicht. denn das ist der einzige weg.
hier greift die firewall. sie fängt den datenstrom ab und überprüft von wo der kommt. weiter prüft sie den angesprochenen port und das protokoll.
das prinziep ist ähnlich wie z.b. bei zonealarm. da identifizieren sich die programme auch (nur auf nem anderen weg). daher auch immer diese schöne meldung "blah.exe is trying to connect to the internet".
--
[img]http://mitglied.lycos.de/defcon2002/tux/windows012_thumb.jpg[/img] <- Hier klicken
Liebe sollte auf Linux basieren... Dann würde sie wenigstens stabil laufen... © by Gabriel Black
Seitenanfang Seitenende
Profil || Private Message || Suche Zitatantwort || Editieren || Löschen || IP
Seiten: [ 1 ] -2- [ 3 ]     [ Diskussion ]  



German Computer Freaks

powered by ThWboard 3 Beta 2.85-rc3
© by Paul Baecher & Felix Gonschorek