Maarten van Horenbeeck hat sich in seinem Vortrag „Crouching Powerpoint, hidden trojan“ mit „professionellen“ Anriffen beschäftigt, also nicht den 98%, die durch die üblichen Versuche des Abgreifens von Bankdaten und sonstigen Passwörtern entstehen. Dabei ist er relativ detailliert auf die technischen Tricks eingegangen. Ein wichtiges Ziel derartiger Attacken ist es natürlich, nicht aufzufallen. Deshalb wird versucht, möglichst unaufällig zu bleiben. Insbesondere werden Änderungen des DNS genutzt, um Attacken relativ unauffällig zu aktivieren oder deaktivieren. Sollen keine Informationen an das Zielsystem übermittelt werden, löst der Domänenname auf localhost auf. Neuerdings nutzt man auch Schalter, um bei gewissen aufgelösten IP-Adressen (64.63.64.63 oder so war das Beispiel) keine Infos zu übertragen. Löst der Hostname auf eine andere IP auf, werden Informationen übertragen. Aus Sicht des Sysadmins ist es relativ schwierig, dies nachzuvollziehen, da kaum jemand DNS-Queries loggt und im Nachhinein Änderungen am DNS nicht besonders gut nachvollzogen werden können.
Allerdings gibt es gewisse Institutionen, die die DNS-Historie aufgelöster Domänennamen loggen (eine deutsche Uni wurde genannt) und mit deren Hilfe kann man Änderungen nachvollziehen. Dabei ist für eine Attacke herausgekommen, dass sie im Abstand weniger Tage mehrmals gestartet und wieder gestoppt wurde.
Ein Wort zur Atmosphäre hier: Wie ich es nicht anders erwartet hätte, ist der Nerdfaktor ziemlich hoch. Gestern hat jemand im Saal 1 während eines Vortrages erstmal irgendwelche Umfangreichen Turnübungen gemacht (Joga?). Das Catering ist ziemlich gut. Den Burger für 4 Euro finde ich ziemlich gelungen. Die Pizza fand ich allerdings ein wenig pappig. Dieses Jahr habe ich auch den lokalen Dunkin Donuts Laden gefunden, von dem ich letztes Jahr nur die leeren Schachteln gefunden habe. Die WLAN-Verbindung stockt ziemlich. Heute morgen hat alles problemlos funktioniert, gestern und jetzt scheint gar nichts zu gehen.
Mehr zu den Vorträgen von heute gibts dann später…