Die Geschichte von Google mit der «highly sophisticated and targeted attack on our corporate infrastructure originating from China» hat ihre Runde gemacht (auch wenn kaum alles aufgedeckt ist und wohl noch ein paar angegriffene Firmen kommunizieren müssen).
Spannend und Inhalt dieses Posts sind Quellen, welche die erhärteten technischen Details preisgeben. Eine gute Feierabendlektüre.
1) Der Internet Explorer war/ist schuld
Den Teil finde ich ziemlich erschreckend. Eine bis anhin unbekannte Sicherheitslücke, welche sich über die Versionen 6, 7 und 8 des Microsoft Internet Explorer und somit über mehr als 8 Jahre erstreckt. Dies ausser wenn auf den neuesten Windows Versionen DEP (Data Execution Prevention) aktiviert ist. Eine reife Leistung einen Programmierfehler, der Remote Code Execution erlaubt, solange unentdeckt im Code mitzuziehen.
– hier ein Blog-Post («*This posting is provided «AS IS» with no warranties, and confers no rights.») von Microsoft dazu
– und das Security Advisory von Microsoft noch ohne heute anwendbare Lösungen (da schwitzen wohl ein paar Leute in Redmond)
2) So funktioniert Aurora
Damit man sich die «Mächtigkeit des Hacks» vorstellen kann, ein kleines Filmchen, welches die Übernahme eines PCs zeigt oder für Leser auch eine Text-Erklärung zum «Aurora» IE Exploit.
3) Uns sonst noch?
Ein komplizierter und über weite Strecken langweiliger Bericht mit dem Titel «Capability of the People’s Republic of China to Conduct Cyber Warfare and Computer Network Exploitation» als PDF-Download auf der Behörden-Website USCC (U.S.-China Economic and Security Review Commission). Drin wird das systematische Vorgehen historischer Angriffe seit 1999 beschrieben. So beispielsweise die Tatsache, dass Angriffe so gut geplant sind, dass Dateien selektiv geklaut werden ohne deren Inhalte auf dem Server zu prüfen. Ein Hinweis darauf, dass der Angreifer nicht nur weis was er klaut aber wahrscheinlich den ungefähren Inhalt bereits kennt.
4) Hier der Java-Script Code
Der Angriff ist übrigens ein «normaler» JavaScript Buffer Overflow mit dem eine entfernte Shell geöffnet und damit Code nachgeladen wurde. Eingeschleust wurde der Code über Phishing E-Mails. Hier der Link zu einer Erklärung des «Aurora» IE Exploit und dann noch das Bild des Codes zu Dekoration.
Technische Details zum "China-Hack" Aurora
T
Die Tatsache, dass derart gravierende Fehler über eine so langen Zeitraum mitgezogen werden, verstärkt mich in der Nutzung von Open-Source Software. Derartige Fehler werden hier viel schneller aufgedeckt und korrigiert.
Ganz am Rande bemerkt bin ich sowieso für die Abschaffung von alten IE Versionen und einer Art «Zwangsupdate» auf neuere Versionen. Wenn man den Redmonder nur mal trauen könnte und nicht so viel Bange vor Updates haben müsste…
Ich hoffe es wird bald einen Fix geben, bis dahin bleibt der IE nur für Offline Tests offen…