Pages:
Author

Topic: stoned-uralter-dos-virus-in-der-bitcoin-blockchain (Read 2502 times)

legendary
Activity: 2730
Merit: 1263
Gute Idee. Wink IMHO sollte dort aber nur 7-bit ASCII zulässig sein. Die "bösen" Daten dürften 8 Bit benötigen.

Dafür gibt es Kodierungsmöglichkeiten, oder sind "böse" Daten durch eine Base64 Kodierung weniger böse?!  Wink

Wenn Du dauerhaft (zu viel) provizierenden Mist in Deine Mailheader schreibst (über Millionen von Mails), werden die Dienste irgendwann vor dauerhafter Speicherung Deiner Mails noch entsprechend filtern und was für sie nicht von Interesse ist nicht speichern.

Was dann wieder fantastische Möglichkeiten eröffnet "böse Kommunikation" in herausgefilterten "bösen Daten" zu verstecken.  Grin
legendary
Activity: 1232
Merit: 1011
Monero Evangelist
Was passiert eigentlich, wenn ein Spammer "böse" Daten in den Mail-Header schreibt?! Da gehen dann auch mehr als 40 Byte rein. Und nebenbei wird die Mail auch noch von diversen Diensten (dauerhaft) archiviert.  Grin
Du kennst die Antwort doch selber. Eigentlich kennt sie jeder.

Es passiert gar nichts, solange es keinen Gesetzgeber interessiert oder er zu einem Interesse gezwungen wird (durch Medien, Gerichte, öffentliche Meinung).
Besteht nun Interesse dies zu verfolgen, werden bestehende Rechtsverordnungen genutzt und/oder gebeugt oder neue erschaffen.

Wenn Du dauerhaft (zu viel) provizierenden Mist in Deine Mailheader schreibst (über Millionen von Mails), werden die Dienste irgendwann vor dauerhafter Speicherung Deiner Mails noch entsprechend filtern und was für sie nicht von Interesse ist nicht speichern.
legendary
Activity: 1045
Merit: 1157
no degradation
Was passiert eigentlich, wenn ein Spammer "böse" Daten in den Mail-Header schreibt?! Da gehen dann auch mehr als 40 Byte rein. Und nebenbei wird die Mail auch noch von diversen Diensten (dauerhaft) archiviert.  Grin
Gute Idee. Wink IMHO sollte dort aber nur 7-bit ASCII zulässig sein. Die "bösen" Daten dürften 8 Bit benötigen.
full member
Activity: 224
Merit: 100
Moinmoin!

aber hier ist eindeutig der "Virenscanner" schuld. Wenn er zu doof ist, tatsächliche Viren zu finden, und nur Fragmente entdeckt, sollte er wenigstens eine ordentliche Reaktion zeigen und nicht behaupten er habe einen Schädling gefunden oder sogar die Dateien entfernen/verschieben. Ja, IT Sicherheit ist unbequem.

Ich denke, dass die Hersteller da lieber falsch positive als falsch negative Ergebnisse in Kauf nehmen. Die meisten Nutzer sind nunmal blöd Sad.

Quote
Ein Schadcode ist nicht unabhängig von der Präsentation ausführbar. Zu einer Schadsoftware gehört mehr als ein paar Binärdaten in einer Datenbank (wir sind hier ja nicht bei Vernor Vinge im Roman Wink ).

OK, ich glaube da reden wir dann aneinander vorbei. Unter "ausführbar" verstehe ich jetzt einen Bytecode, den der Prozessor prinzipiell fehlerfrei ausführen kann. Dass man den dann an eine geeignete Stelle im Speicher bewegen muss und der nicht auf magische Weise ausgeführt wird, ist natürlich klar. Aber man braucht in meinen Augen halt auch nicht gleich ein komplettes PE package, um Code als ausführbar zu bezeichnen.

Quote
Ausserdem ist "nicht praktikabel" kein Argument dafür, grobe Fehler in der "Sicherheitssoftware" kritiklos hinzunehmen. Es gibt sehr wohl einfache Möglichkeiten, zu bewerten ob ein Schädlingsfragment tatsächlich Probleme macht. Auch eine abgestufte Reaktion ist kein Hexenwerk.

Da hast du natürlich irgendwo recht. Eine abgestufte Reaktion setzt dann aber auch voraus, dass der Mensch vor dem PC in der Lage ist, zu bewerten, ob das jetzt kritisch ist oder nicht. Da die meisten es gerade mal gebacken bekommen, den Powerbutton zu drücken, einen Doppelklick auf "Internet" zu machen und dann eine Internetadresse in das Suchfenster einzutippen, halte ich das einfach für "nicht praktikabel" Wink gut ist das natürlich nicht Sad
legendary
Activity: 2730
Merit: 1263
Was passiert eigentlich, wenn ein Spammer "böse" Daten in den Mail-Header schreibt?! Da gehen dann auch mehr als 40 Byte rein. Und nebenbei wird die Mail auch noch von diversen Diensten (dauerhaft) archiviert.  Grin
full member
Activity: 179
Merit: 100
Ich "warte" ja noch auf den ersten KiPo Link in der Blockchain. Gibt es einen Plan um damit umzugehen?

Links zu KiPo sind nicht illegal (sonst wäre die Wikipedia schon zu, die haben nämlich auf das Hidden Wiki verlinkt, das wiederum auf KiPo verlinkt hat). Ein Problem wird es nur, wenn jemand KiPo in die Blockchain hochlädt.
hero member
Activity: 968
Merit: 515
Gibt zu dem Thema ziemlich wenig Inforamtionen. Eigentlich nur den Microsoft Support Thread. Nicht mal eine richtige Diskussion im Main bereich. Aber ist egal, ob wahr oder falsch. Die Problematik mit illegalem Inhalt in der Blockchain bleibt.

Ich "warte" ja noch auf den ersten KiPo Link in der Blockchain. Gibt es einen Plan um damit umzugehen? User von SPV Clienten wird das Problem nicht betreffen, aber Betreiber von Nodes schon.

EDIT:
Scheinbar gibt es Ideen, aber werden wohl nicht sehr aktiv verfolgt. Wie Gavin immer so schön sagt, wir kümmern uns darum, wenn es ein Problem wird.
http://sourceforge.net/p/bitcoin/mailman/message/30705609/
legendary
Activity: 2730
Merit: 1263
Dass man ungehindert beliebige Binärdaten auf Bitcoin-Nodes hochladen kann, ist durchaus für ein Problem.

Das ist tatsächlich unschön,

Erst recht, wenn es dazu führt, dass viele Leute die entsprechenden Dateien im Virenscanner als Ausnahme hinzufügen müssen!

aber hier ist eindeutig der "Virenscanner" schuld. Wenn er zu doof ist, tatsächliche Viren zu finden, und nur Fragmente entdeckt, sollte er wenigstens eine ordentliche Reaktion zeigen und nicht behaupten er habe einen Schädling gefunden oder sogar die Dateien entfernen/verschieben. Ja, IT Sicherheit ist unbequem.

Es wird immer nur nach Signaturen gesucht, anders ist es nicht praktikabel. Nach kompletten Viren zu suchen, würde auch bedeuten, dass ich mir mit dem Virenscanner zusammen eine riesige Datenbank an ausführbarer Schadsoftware herunterlade. Na vielen Dank!

Ein Schadcode ist nicht unabhängig von der Präsentation ausführbar. Zu einer Schadsoftware gehört mehr als ein paar Binärdaten in einer Datenbank (wir sind hier ja nicht bei Vernor Vinge im Roman Wink ).

Ausserdem ist "nicht praktikabel" kein Argument dafür, grobe Fehler in der "Sicherheitssoftware" kritiklos hinzunehmen. Es gibt sehr wohl einfache Möglichkeiten, zu bewerten ob ein Schädlingsfragment tatsächlich Probleme macht. Auch eine abgestufte Reaktion ist kein Hexenwerk.
full member
Activity: 224
Merit: 100
Ein DOS(!) Virus im (nicht ausführbaren) Block Storage ist eben nicht verdächtig. Wobei der Scanner ja nicht mal ein Virus gefunden hat, sondern lediglich ein paar Byte die er für einen Teil des Virus gehalten hat. Wenn man die "Virensignatur" nur kurz genug macht, kann man in der Datenmenge der Blockchain vermutlich eine ganze Menge "böse Viren" finden.

Ich lösche auch nicht alle meine Datenträger, wenn der Rechner mal ein unerwartetes Verhalten zeigt. Vorsicht ist angebracht, unkontrollierter panischer Aktionismus nicht.

Das ist falsch. Die Tatsache, dass ich nicht einfach nen Doppelklick auf eine Datei machen kann, um sie auszuführen, heißt noch lange nicht, dass ihr Inhalt nicht ausführbar ist! Nur weil Code in der vorliegenden Form nicht auf triviale Weise ausgeführt werden kann, heißt das lange nicht, dass es unkritisch ist, dass er dort ist. Dass man ungehindert beliebige Binärdaten auf Bitcoin-Nodes hochladen kann, ist durchaus für ein Problem. Erst recht, wenn es dazu führt, dass viele Leute die entsprechenden Dateien im Virenscanner als Ausnahme hinzufügen müssen!

Es wird immer nur nach Signaturen gesucht, anders ist es nicht praktikabel. Nach kompletten Viren zu suchen, würde auch bedeuten, dass ich mir mit dem Virenscanner zusammen eine riesige Datenbank an ausführbarer Schadsoftware herunterlade. Na vielen Dank!
legendary
Activity: 2730
Merit: 1263
Schickst du denn den grünen Pelz auf deinem Brot auch erst ins Labor, bevor du sagen würdest, dass es Schimmel ist?  Wink

"grün und pelzig" oder "weiß und pelzig" reicht da als Schimmelsignatur einfach aus!

Pelziges Brot ist generell verdächtig!

Genauso ist es mit grünem Pelz auf der Blockchain!  Grin

Ein DOS(!) Virus im (nicht ausführbaren) Block Storage ist eben nicht verdächtig. Wobei der Scanner ja nicht mal ein Virus gefunden hat, sondern lediglich ein paar Byte die er für einen Teil des Virus gehalten hat. Wenn man die "Virensignatur" nur kurz genug macht, kann man in der Datenmenge der Blockchain vermutlich eine ganze Menge "böse Viren" finden.

Ich lösche auch nicht alle meine Datenträger, wenn der Rechner mal ein unerwartetes Verhalten zeigt. Vorsicht ist angebracht, unkontrollierter panischer Aktionismus nicht.
legendary
Activity: 1232
Merit: 1011
Monero Evangelist
Durchsucht ("grep"'t) doch einfach mal das/die Blockchain(-Verzeichnis) nach dem String "toned". Dann solltet ihr den Virus in der Chain finden. Ich bin mir sicher, dass die Virenscanner keine gehashte Signatur (des "Schadcodes") detecten sondern eben einfach den String den der Virus bei Start des Computers meldet.
Da dieser "Your [PC|Computer] has been [s|S]toned[.|!]" lauten kann, würde ich eben nach "toned" suchen.
legendary
Activity: 1792
Merit: 1059
Hat eigentlich jemand mal eine detailliertere Quelle dazu oder es selbst erlebt? Mich würde interessieren, in welcher Datei der Virus sein soll. Vor paar Monaten gab es ja einen ähnlichen Fall, aber da soll der Virus in den sst-Dateien gewesen sein. Das sind Indexdateien (Sorted String Table), die von der Datenbankschicht erzeugt werden, also nicht aus der Blockchain stammen. Die Virussignatur ist da also rein zufällig entstanden.

Quelle: https://bitcointalksearch.org/topic/av-reports-viruses-in-sst-file-557370

Valider Punkt. Der Block wird in keinem Artikel, den ich gelesen habe, genannt. Selbst wenn es stimmt, so richtig überprüft scheint das keiner zu haben. Ausgangspunkt scheint diese Diskussion gewesen zu sein:

https://answers.microsoft.com/en-us/protect/forum/mse-protect_updating/microsoft-security-essentials-reporting-false/0240ed8e-5a27-4843-a939-0279c8110e1c

Da wird aber nichts Konkretes genannt, außer, dass der AV-Scanner aufheult.

Am Ende schreiben wohl nur alle voneinander ab. Fazit: Was man nicht selbst gesehen hat, nicht glauben.
hero member
Activity: 665
Merit: 521
Hat eigentlich jemand mal eine detailliertere Quelle dazu oder es selbst erlebt? Mich würde interessieren, in welcher Datei der Virus sein soll. Vor paar Monaten gab es ja einen ähnlichen Fall, aber da soll der Virus in den sst-Dateien gewesen sein. Das sind Indexdateien (Sorted String Table), die von der Datenbankschicht erzeugt werden, also nicht aus der Blockchain stammen. Die Virussignatur ist da also rein zufällig entstanden.

Quelle: https://bitcointalksearch.org/topic/av-reports-viruses-in-sst-file-557370

full member
Activity: 224
Merit: 100
Allerdings sehe ich das Problem in diesem Fall eher beim "Virenscanner" (der in diesem Fall genau so wenig auf Viren scannt, wie der Zitronenfalter Zitronen faltet).

Schickst du denn den grünen Pelz auf deinem Brot auch erst ins Labor, bevor du sagen würdest, dass es Schimmel ist?  Wink

"grün und pelzig" oder "weiß und pelzig" reicht da als Schimmelsignatur einfach aus!

Pelziges Brot ist generell verdächtig!

Genauso ist es mit grünem Pelz auf der Blockchain!  Grin
hero member
Activity: 602
Merit: 500

 (der in diesem Fall genau so wenig auf Viren scannt, wie der Zitronenfalter Zitronen faltet).
der war gut +1
legendary
Activity: 1232
Merit: 1011
Monero Evangelist
Signaturen von Viren zu suchen ist echtes und "richtiges" Virenscanning.
legendary
Activity: 2730
Merit: 1263

Allerdings sehe ich das Problem in diesem Fall eher beim "Virenscanner" (der in diesem Fall genau so wenig auf Viren scannt, wie der Zitronenfalter Zitronen faltet).
sr. member
Activity: 756
Merit: 250

Gegenmaßnahme:
Schritt 1: Antiviren-Programm öffnen
Schritt 2: Bitcoin-Blockchain-Verzeichnis in die Ausnahmeliste hinzufügen
Fertig.



Hör doch auf diese Negativ-Meldung zu negieren, wie du weißt, doppelte Verneinung ist starke Bejahung. Und das wollen die Leute die noch einen Haufen Bitcoins für ~450$ pro Stück kaufen wollen ganz sicher nicht, die können garnicht genug Negativ-Meldungen haben. Wink
full member
Activity: 164
Merit: 100
Das Problem "Virensignatur in Blockchain" ist schon länger bekannt:
http://www.reddit.com/r/Bitcoin/comments/22a1te/alert_windows_defender_detects_dakuma1935_virus/

Ich betreibe den Original-Client schon länger und hatte schon vor über 1 Monat Probleme mit Virenwächtern gehabt, die meine Blockchain als verseucht erkannten und in Quarantäne verschieben wollten. Gottseidank war ich aufmerksam genug und hab die betroffenen Dateien wiederhergestellt anstatt sie zu löschen.

Gegenmaßnahme:
Schritt 1: Antiviren-Programm öffnen
Schritt 2: Bitcoin-Blockchain-Verzeichnis in die Ausnahmeliste hinzufügen
Fertig.

Seitdem habe ich Ruhe.
Pages:
Jump to: