Der holt natürlich die komplette Kanonade an Heißluft-Nebelwerfer-Panikmache heraus. Klar. Verkaufsgelegenheit!
Inhaltlich habe ich ein paar Anmerkungen. Die erste ist: Die zentrale Lektion aus der Nummer wird hier nicht mal angesprochen. Sie ist: Code Signing ist Schlangenöl!
Ich war quasi mittendrin, als Microsoft vor 20 Jahren in einer Panikaktion auf Code Signing gesetzt hat, weil sie in einem epischen Scheißetornado aus gehackten Windows-Systemen standen. Ab jetzt, sagten sie, müssen Treiber signiert sein!1!!
Das hilft natürlich überhaupt nichts. Das war auch von Anfang an klar, dass das nichts helfen würde. Wie üblich, wenn Organisationen Dinge tun, um Zeit zu gewinnen. Niemand macht jemals was mit der gewonnenen Zeit. Stattdessen erklärt das Management Mission Accomplished und ein paar Wochen oder Monate oder Jahre später hat man dann denselben Scheiße-Tsunami wie vorher.
Als in der NSA-Angriffskiste damals unsichere Treiber mit validen Zertifikaten gefunden wurden, hätte das eigentlich schon jedem klar sein müssen.
Leider arbeiten heutige IT-Abteilungen und die Security-Industrie nach der bewährten Vogel-Strauß-Methode und sagen erst: Wird schon nicht so schlimm werden. Und wenn es dann doch so schlimm geworden ist, dann sagen sie: "Microsofts Entwickler haben erneut Pech mit Windows-Updates"
Dass sich die Leute nicht verarscht vorkommen von sowas!? Hat denn hier niemand mehr Ansprüche an sich und sein Leben?! Sind alle nur noch am "ach komm, das sitze ich aus bis zur Rente"-Modus?!
Aber zurück zu diesem Head of Cyber Operations (*wieher*). Was schreibt der denn so?
Angreifer missbrauchen im Betriebssystem mitgelieferte Programme und Bibliotheken oder andere legitime, beispielsweise von Microsoft signierte Anwendungen, oft mit unerwarteten zusätzlichen Funktionen wie dem Herunterladen von Dateien.
Nee, tun sie nicht. Angreifer sind Leute, die in ein System eindringen. Das da beschreibt Leute, die schon in einem System drin sind. Dieser Fokus darauf, was jemand alles anstellen kann, nachdem er dich gehackt hat, ist ein reines Ablenkungsmanöver. Die Aufgabe von Security-Abteilungen ist, zu verhindern, dass der so weit kommt. Wenn er soweit gekommen ist, hast du per Definition schon verloren. Selbst wenn der nicht seine Privilegien erweitert, denn er hat ja jetzt schon Zugriff auf die Daten des Mitarbeiters, und der wird ja Zugriff auf Daten haben, denn wieso würde er sonst da arbeiten.
Angreifer missbrauchen verwundbare Treiber, die auf einem System vorhanden sind, oder installieren selbst Treiber mit bekannten Lücken.
Ja, genau. Weil Code Signing Schlangenöl ist. Vor denen euch, wenn ich das mal ganz ohne Protzen anmerken darf, ein gewisser Blogger schon jahrzehntelang warnt. Seit fast 20 Jahren ist Malware unterwegs, die Kerneltreiber mit validen Realtek oder JMicron-Zertifikaten installiert und ausnutzt. Die Idee war damals schon alt. Microsoft hat schon 2012 ein Microsoft-Zertifikat zurückgerufen, weil es in die falschen Hände geraten war.
Kurz: Das war von Anfang an Bullshit, alle wussten es, und ich habe öffentlich gewarnt.
Was mich aber noch mehr ärgert ist, dass sie schon wieder einem "offensive security"-Fuzzy ein Mikrofon hinhalten, und der den üblichen Branchen-Bullshit erzählen kann, was die fiesen "Angreifer" alles tun können (Im Kleingedruckten: Wenn sie deinen Rechner gehackt haben). Oh und schau her, wenn der nur vorinstallierte, mitgelieferte Tools benutzt, funktionieren die Annahmen eures ranzigen Schlangenöls gar nicht, vor dem ich auch die ganze Zeit gewarnt habe?! NA SOWAS!
Hey, vielleicht solltet ihr duch mal in Erwägung ziehen, auf mich zu hören. Zumindest ab und zu mal.