December 2013 – SWITCH Security-Blog

Happy Christmas!

Dear Reader!

The SWITCH Security Team wishes you a Merry Christmas and a Happy New Year!

Our blog will be taking a break for Christmas. We will be back in January with further exciting news and information from the world of IT security.

Thank you for your interest in our blog, we look forward to greeting you in 2014.

Einführung in die Anti-Malware-Analyse – Teil 2: Anti-Debugging

Im ersten Teil dieser mehrteiligen Serie führten wir in die Grundprinzipien von Maschinen- und Assemblerbefehlen ein und zeigten, was hinter Anti-Disassembly steckt. Es wurde kein Code ausgeführt, weshalb wir von statischer Analyse sprachen. Heute beschäftigen wir uns mit der Störung der dynamischen Analyse, im speziellen mit Debugging, und daher heisst diese Folge Anti-Debugging.

Was ist eigentlich eine ausführbare Datei? Wie erkennt ein Betriebssystem, dass abzuarbeitende Maschinenbefehle vorliegen und es sich nicht um ein Bild handelt? Das hat etwas mit dieser Folge zu tun? Ganz bestimmt.

Es ist nicht einfach, eine geschlossene Definition für den Begriff Ausführbare Datei zu geben [1], da je nach Situation unterschiedliche Konzepte greifen. Eine Datei mit der Endung .bat (Batchdatei) wird von einem Windows-Betriebssystem als Kommandozeilen-Skript interpretiert – und ausgeführt. Eine Datei mit keiner Endung aber bestimmten Bytes am Anfang wird wiederum als PE-Datei erkannt – und ausgeführt. PE-Dateien sind den meisten PC-Benutzern bekannt: Diese Dateien haben typischerweise die Endung .exe.

PE101. Quelle: http://code.google.com/p/corkami/wiki/PE101

Continue reading “Einführung in die Anti-Malware-Analyse – Teil 2: Anti-Debugging”

IT-Security-Links #45

BotConf2013: The ‘first botnet fighting conference’ took place in Nantes, France. And the slides are available.
COPS: Talks & slides of the ‘Congress on Privacy & Surveillance‘ held at the EPFL in September are online.
IETF 88: A video of the technical plenary focused on the topic of “Internet Hardening” can be viewed here.
Pony Botnet: Trustwave found a Pony Botnet Controller server holding over two million passwords and account credentials for Facebook, Google, Yahoo, Twitter, LinkedIn & Co. – and did some analysis on password complexity and length.
ZeroAccess Botnet: Europol’s European Cybercrime Center (EC3) together with cybercrime units from Germany, Latvia, Switzerland and the Netherlands disrupted the ZeroAccess Botnet. Krebs-on-Security published some insights why it appears to be operating normally.
NSA mass surveillance: According to the Washington Post, the NSA gathers cellphone location data from around the world by tapping into the cables that connect mobile networks globally – around 5 billion records a day.
The EFF asked companies like Amazon, Facebbook, Dropbox & Co. what they are doing to bring encryption best practices to their services.
Big Data & Security: Cisco published a series of blog posts about Big Data in Security, Part I – Part V

Unser SWITCH Security-Report für November 2013 ist verfügbar

Die aktuelle Ausgabe unseres monatlich erscheinenden ‘SWITCHcert Reports zu aktuellen Trends im Bereich IT-Security und Privacy‘ ist soeben erschienen.

Themen diesen Monat:

Sind EU-Institutionen im Visier der Geheimdienste?
Die schöne neue Welt der Smart spying TVs
Schwache Verschlüsselungsverfahren erleichtern Abhörern
die Arbeit
Verbraucherschützer erkämpfen mehr Rechte für deutsche
Google-Nutzer – möglicherweise
Und wie immer Links zu spannenden Präsentationen, Artikeln und Videos rund um die Themen IT-Security und -Privacy.

Zum Download (PDF):