Gast
2009-07-10, 11:46:51
Sehe mir gerade den Rechner eines Bekannten (selbstverstaendlich in seinem Beisein und mit seinem Einverstaendnis) an. Merkbare Probleme hat er zwar damit nicht, aber da die Gelegenheit gut war, klaerte ich ihn ein wenig ueber den angemessenen Umgang mit dem Internet und potentiellen Gefahren auf.
Dazu gehoerte auch, dass ich saemtliche seiner gecrackten Spiele unter Generalverdacht stellte und ihm erklaerte, warum auch die Veroeffentlichungen bekannter Releasegroups alles andere als eine vertrauenswuerdige Quelle im Sinne der PC-Sicherheit darstellen. Zum Teil besitzt er gar die Originale und nutzt dennoch die Cracks, ist sicher bequemer, aber die Bezugsquellen sind regelmaessig zumindest dubios. Teilweise stammen aber auch die kompletten Images aus fragwuerdigen Quellen. Die moralische Verwerflichkeit der Nutzung von illegalen Kopien ist ihm mittlerweile wohl klar und wenn nicht, werde ich ihm auch noch mal meine Ansichten darlegen, in der Hoffnung, so eine Einsicht zu bewirken. Immerhin hat er keinen P2P-Murks benutzt, sodass er die Kopien zumindest nicht massenhaft verbreitet hat.
Darum soll es aber in diesem Thread nicht gehen und ich bitte dies zu respektieren. Mir braucht mit Sicherheit keiner erklaeren, welche Auswirkungen hemmungsloses Kopieren auf das zukuenftige Angebot ansprechender Medien haben kann. Ich selbst foerdere das, was mir gefaellt, mit meiner Kaufentscheidung, um den Kuenstlern auch in Zukunft zu ermoeglichen solche Werke zu erstellen, gerade da mein Geschmack schon recht speziell und nicht massentauglich ist.
Nun habe ich seinen Rechner mal mit einer Live-CD gebootet und mir verdaechtige Dateien bei Jotti hochgeladen. Einem installierten Virenscanner ist auf einem potentiell kompromittierten System eh nicht zu trauen, ausserdem ist die Erkennungsrate und die Aussagekraft durch die Verwendung mehrerer Scanner bedeutend hoeher.
Beim Hochladen einer "left4dead.exe" springen Antivir und Ikarus an, die Bezeichnungen lauten "TR/Agent.106526" (Avira) bzw. "Trojan-Dropper.Agent" (Ikarus). Die restlichen 19 Scanner finden nichts. Kasperskz gibt PE_Patch.PseudoSign als Wrapper/Packer an.
Eine Google-Suche brachte einige Ergebnisse, die den Fund als Fehlalarm deklarieren, als Begruendung fuer diese Aussage wird lediglich die Tatsache gebracht, dass sehr viele Nutzer diese Ergebnisse fuer ihre left4dead.exe erhalten. Da ich aber davon ausgehe, dass diese Nutzer ebenfalls keine rechtsmaessigen Besitzer der Original-Executable mit Valve-Signatur sind, halte ich die Aussagekraft fuer fraglich. Antivir ist mir in der Vergangenheit allerdings sowieso als extrem anfaellig fuer Fehlalarme aufgefallen. Welches Szenerelease von L4D er genau hat, weiss ich jetzt nicht, wenn es von Relevanz waere, koennte ich das allerdings recht fix herausfinden.
Ein weiterer Punkt findet sich bei Crysis. Die Spielversion ist 1.2 und als Crack wurde anscheinend eine 32-Bit-Exe der Releasegroup "Hatred" verwendet. Hier schlagen 4 der Scanner an. CP-Secure bezeichnet die Datei als "Troj.Downloader.W32.CodecPack.epq", waehrend Avast einfach nur von einer "decompression bomb" spricht. A-Squared bezeichnet das ganze als Riskware.Crack.Crysis!IK und Ikarus sagt einfach "not-a-Virus.Crack.Crysis". Die Einstufung als Riskware/Crack wuerde ja auch dem entsprechen, was die Datei auch vorgibt zu sein. Die 64-Bit-Exe wurde laut Aussage ebenfalls ausgefuehrt, soll aber nicht funktioniert haben. Die Einstufung durch die Virenscanner ist hier bei A-Squared und Ikarus identisch zur 32-Bit-Version, der Rest gibt gruenes Licht. Beide Dateien sind mit UPX gewrappt, was ja ganz und gar nichts ungewoehnliches darstellt.
Ansonsten sind mir keine verdaechtigen Dateien aufgefallen. Wenigstens ist sein Betriebssystem ein Original. Ich habe ihm bereits vor einiger Zeit die Nutzung von Windows 7 als RC (x86-64) nahegelegt, da er aufgrund seiner Leidenschaft fuer Spiele nicht wie ich auf freie Software umsteigen wollte. Fuer ein kopiertes Windows oder aehnliches inkl. Patchparanoia haette ich auch mit Sicherheit keinen Support geleistet. *g*. Er meint noch, dass ein auf maximale Heuristik gestelltes (nicht wissen, was die Einstellung ueberhaupt bedeutet, aber hauptsache der AV schuetzt einen mit "hoechster Sicherheit") irgendwann mal noch ueber eine m3u-Datei (Playlist) meckerte, die aber als Plaintext betrachtet, auch nur ebensolchen enthaelt und zwar nicht mehr, als auch hingehoert.
Handelt es sich bei diesen Funden jetzt um False-Positives oder beinhalten diese tatsaechlich boesartigen Code? Anhand der Erkennungsmuster der unterschiedlichen Scanner wuerde ich ja auf Fehlalarm tippen, aber moechte dennoch weitere Einschaetzungen hoeren, wenn moeglich. Was sagt Jotti ueber eine originale Left-4-Dead-Exe? Koennte dies jemand ueberpruefen, um sagen zu koennen, ob auch diese Fehlalarme aufweist? Oder ist es doch einfach nur so, dass die beim Reversen oder den gaengigen Alternativpraktiken, wenn dies nicht vollstaendig moeglich sein sollte, verwendeten Methoden die Scanner zum entsprechenden Verdacht gebracht haben? Meine Bedenken bestehen darin, dass die Scanner, die etwas gefunden haben, das Ergebnis nicht als Heuristik getaggt haben. Dass allerdings die meisten Scanner gar nichts fanden und zwei Scanner die Dateien zwar als Riskware und Crack, nicht aber als wirklich "malicious" bezeichneten, wiegt aber als Gegenargument ziemlich stark.
Waere es mein Rechner, wuerde ich wahrscheinlich kurzfristig neu installieren und meine Passwoerter aendern, einfach weil ich bei meinem PC absolute Vertrauenswuerdigkeit voraussetze. Bei meinem Bekannten ist es jetzt so, dass er wissen moechte, ob es fuer die Annahme, dass alle Passwoerter und aehnliche Daten als kompromittiert gelten, weitere Anhaltspunkte gibt, eventuell sogar handfestere. Spaetestens wenn diese von mir in den Raum gestellte Moeglichkeit in der Wahrscheinlichkeit von "theoretisch moeglich" zu "recht wahrscheinlich" wechseln wuerde, waere die Frage nach der weiteren Vorgehensweise geklaert. Ansonsten laeuft das System naemlich recht gut, wurde aber auch erst vor kurzer Zeit von mir eingerichtet. Die beiden Dateien, deren Vertraulichkeit in Frage steht, wurden immer nur mit Benutzerrechten ausgefuehrt. Lediglich die Installer der beiden Spiele wurden mit Rootprivilegien ausgefuehrt, aber beide tragen auch die digitale Signatur von Crytek bzw. Valve, sind also unmodifiziert beziehungsweise stammen auch vom Originalmedium.
Wenn ich noch mehr finde, was mir suspekt ist, wird es einen Nachtrag geben, ansonsten wars dies eigentlich. Bitte treibt die Diskussion nicht in die Raubkopierer- oder gar Kopierschutzrichtung, darum geht es hier nicht und vor allem ginge es dann an die falsche Adresse, ich selbst nutze fast ausschliesslich freie Software und die wenigen Ausnahmen sind ordnungsgemaess lizensiert. Desweiteren bin ich mit der Entwicklung im verantwortungsvollen Verhalten am Computer seitens meines Freundes eigentlich ganz zufrieden mit ihm. Noch vor einem Jahr haette ich den Rechner gar nicht erst hochfahren zu muessen, um meine Hand fuer eine Kompromittierung ins Feuer legen zu wuerden. Nun handelt er eigentlich recht umsichtig, was Sicherheitsfragen betrifft und nutzt auch nicht jede dahergelaufene Wald-und-Wiesen-Software, die tolle bis haarstraeubende (weil zu gut um wahr zu sein) Dinge verspricht. Oft ist es zwar noch das Befolgen meiner Ratschlaege und nicht tatsaechliches Verstaendnis, was ihn vernuenftig handeln laesst, aber er ist wissbegierig und motiviert das dieses Verstaendnis zu erlangen. Nur das illegale Kopieren von Software oder Musik muesste man ihm noch austreiben, wobei dies gluecklicherweise in einem recht geringen Umfang geschieht und auch nicht verbreitet wird. Gibt doch genug Moeglichkeiten, auch mit wenig Geld an hochwertige Musik oder Filme zu gelangen und trotzdem die Kuenstler zu unterstuetzen. Spiele kosten zwar, aber wenn man sich auf die wirklich lohnenswerten beschraenkt, laesst sich auch das finanzieren. Zumindest jetzt in diesem Moment scheint er dies auch einzusehen, die kopierten Spiele hat er maximal ein einziges Mal durchgespielt, die, mit denen er mehr Zeit verbringt, liegen als Original auf der Fensterbank. Auch fuer alle anderen Kopierer: Haetten diese wirklich guten Spiele allein nicht auch gereicht? Den Rest muss man doch gar nicht unbedingt besitzen, wenn man eh nur ein mal spielt. Da reicht doch auch das Ausleihen, das Spielen bei Bekannten oder ne Demo. Notfalls tuts bei solchen Titeln doch auch ein Gebrauchtkauf oder die Anschaffung als Budgettitel in ein paar Monaten. Wobei man zugeben muss, dass all diese Dinge zunehmend erschwert werden durch diesen beschraenkten Aktivierungsmist, der imho auch nicht besser schuetzt als ohne eine Beschraenkung der Aktivierungs-Anzahl. Wenn sehr viele Aktivierungen in kurzer Zeit erfolgen, kann man den entsprechenden Key ja immer noch sperren. Aber weshalb auf 3 Stueck beschraenken? Ich spiele sehr viel mit unterschiedlichen Betriebssystemen bzw. verschiedenen Distributionen rum und installiere ein Windows hoechstens mal extra zum Spielen eines einzigen Spiels. Da sind 3 Aktivierungen ruck zuck weg.
Oops, jetzt bin ich selbst schon auf das Kopierschutzthema abgekommen. Naja, was solls. Wuensche euch allen noch ein spassiges Wochenende, wir werden es haben. =]
Bitte entschuldigt das Fehlen von Umlauten im Text, schreibe gerade mit einem US-Layout.
Werde eure Antworten wahrscheinlich nicht sofort lesen koennen und demnach auch nicht so schnell antworten, aber mit Sicherheit bleibt kein Beitrag ungelesen und eine Antwort kommt bestimmt.
Dazu gehoerte auch, dass ich saemtliche seiner gecrackten Spiele unter Generalverdacht stellte und ihm erklaerte, warum auch die Veroeffentlichungen bekannter Releasegroups alles andere als eine vertrauenswuerdige Quelle im Sinne der PC-Sicherheit darstellen. Zum Teil besitzt er gar die Originale und nutzt dennoch die Cracks, ist sicher bequemer, aber die Bezugsquellen sind regelmaessig zumindest dubios. Teilweise stammen aber auch die kompletten Images aus fragwuerdigen Quellen. Die moralische Verwerflichkeit der Nutzung von illegalen Kopien ist ihm mittlerweile wohl klar und wenn nicht, werde ich ihm auch noch mal meine Ansichten darlegen, in der Hoffnung, so eine Einsicht zu bewirken. Immerhin hat er keinen P2P-Murks benutzt, sodass er die Kopien zumindest nicht massenhaft verbreitet hat.
Darum soll es aber in diesem Thread nicht gehen und ich bitte dies zu respektieren. Mir braucht mit Sicherheit keiner erklaeren, welche Auswirkungen hemmungsloses Kopieren auf das zukuenftige Angebot ansprechender Medien haben kann. Ich selbst foerdere das, was mir gefaellt, mit meiner Kaufentscheidung, um den Kuenstlern auch in Zukunft zu ermoeglichen solche Werke zu erstellen, gerade da mein Geschmack schon recht speziell und nicht massentauglich ist.
Nun habe ich seinen Rechner mal mit einer Live-CD gebootet und mir verdaechtige Dateien bei Jotti hochgeladen. Einem installierten Virenscanner ist auf einem potentiell kompromittierten System eh nicht zu trauen, ausserdem ist die Erkennungsrate und die Aussagekraft durch die Verwendung mehrerer Scanner bedeutend hoeher.
Beim Hochladen einer "left4dead.exe" springen Antivir und Ikarus an, die Bezeichnungen lauten "TR/Agent.106526" (Avira) bzw. "Trojan-Dropper.Agent" (Ikarus). Die restlichen 19 Scanner finden nichts. Kasperskz gibt PE_Patch.PseudoSign als Wrapper/Packer an.
Eine Google-Suche brachte einige Ergebnisse, die den Fund als Fehlalarm deklarieren, als Begruendung fuer diese Aussage wird lediglich die Tatsache gebracht, dass sehr viele Nutzer diese Ergebnisse fuer ihre left4dead.exe erhalten. Da ich aber davon ausgehe, dass diese Nutzer ebenfalls keine rechtsmaessigen Besitzer der Original-Executable mit Valve-Signatur sind, halte ich die Aussagekraft fuer fraglich. Antivir ist mir in der Vergangenheit allerdings sowieso als extrem anfaellig fuer Fehlalarme aufgefallen. Welches Szenerelease von L4D er genau hat, weiss ich jetzt nicht, wenn es von Relevanz waere, koennte ich das allerdings recht fix herausfinden.
Ein weiterer Punkt findet sich bei Crysis. Die Spielversion ist 1.2 und als Crack wurde anscheinend eine 32-Bit-Exe der Releasegroup "Hatred" verwendet. Hier schlagen 4 der Scanner an. CP-Secure bezeichnet die Datei als "Troj.Downloader.W32.CodecPack.epq", waehrend Avast einfach nur von einer "decompression bomb" spricht. A-Squared bezeichnet das ganze als Riskware.Crack.Crysis!IK und Ikarus sagt einfach "not-a-Virus.Crack.Crysis". Die Einstufung als Riskware/Crack wuerde ja auch dem entsprechen, was die Datei auch vorgibt zu sein. Die 64-Bit-Exe wurde laut Aussage ebenfalls ausgefuehrt, soll aber nicht funktioniert haben. Die Einstufung durch die Virenscanner ist hier bei A-Squared und Ikarus identisch zur 32-Bit-Version, der Rest gibt gruenes Licht. Beide Dateien sind mit UPX gewrappt, was ja ganz und gar nichts ungewoehnliches darstellt.
Ansonsten sind mir keine verdaechtigen Dateien aufgefallen. Wenigstens ist sein Betriebssystem ein Original. Ich habe ihm bereits vor einiger Zeit die Nutzung von Windows 7 als RC (x86-64) nahegelegt, da er aufgrund seiner Leidenschaft fuer Spiele nicht wie ich auf freie Software umsteigen wollte. Fuer ein kopiertes Windows oder aehnliches inkl. Patchparanoia haette ich auch mit Sicherheit keinen Support geleistet. *g*. Er meint noch, dass ein auf maximale Heuristik gestelltes (nicht wissen, was die Einstellung ueberhaupt bedeutet, aber hauptsache der AV schuetzt einen mit "hoechster Sicherheit") irgendwann mal noch ueber eine m3u-Datei (Playlist) meckerte, die aber als Plaintext betrachtet, auch nur ebensolchen enthaelt und zwar nicht mehr, als auch hingehoert.
Handelt es sich bei diesen Funden jetzt um False-Positives oder beinhalten diese tatsaechlich boesartigen Code? Anhand der Erkennungsmuster der unterschiedlichen Scanner wuerde ich ja auf Fehlalarm tippen, aber moechte dennoch weitere Einschaetzungen hoeren, wenn moeglich. Was sagt Jotti ueber eine originale Left-4-Dead-Exe? Koennte dies jemand ueberpruefen, um sagen zu koennen, ob auch diese Fehlalarme aufweist? Oder ist es doch einfach nur so, dass die beim Reversen oder den gaengigen Alternativpraktiken, wenn dies nicht vollstaendig moeglich sein sollte, verwendeten Methoden die Scanner zum entsprechenden Verdacht gebracht haben? Meine Bedenken bestehen darin, dass die Scanner, die etwas gefunden haben, das Ergebnis nicht als Heuristik getaggt haben. Dass allerdings die meisten Scanner gar nichts fanden und zwei Scanner die Dateien zwar als Riskware und Crack, nicht aber als wirklich "malicious" bezeichneten, wiegt aber als Gegenargument ziemlich stark.
Waere es mein Rechner, wuerde ich wahrscheinlich kurzfristig neu installieren und meine Passwoerter aendern, einfach weil ich bei meinem PC absolute Vertrauenswuerdigkeit voraussetze. Bei meinem Bekannten ist es jetzt so, dass er wissen moechte, ob es fuer die Annahme, dass alle Passwoerter und aehnliche Daten als kompromittiert gelten, weitere Anhaltspunkte gibt, eventuell sogar handfestere. Spaetestens wenn diese von mir in den Raum gestellte Moeglichkeit in der Wahrscheinlichkeit von "theoretisch moeglich" zu "recht wahrscheinlich" wechseln wuerde, waere die Frage nach der weiteren Vorgehensweise geklaert. Ansonsten laeuft das System naemlich recht gut, wurde aber auch erst vor kurzer Zeit von mir eingerichtet. Die beiden Dateien, deren Vertraulichkeit in Frage steht, wurden immer nur mit Benutzerrechten ausgefuehrt. Lediglich die Installer der beiden Spiele wurden mit Rootprivilegien ausgefuehrt, aber beide tragen auch die digitale Signatur von Crytek bzw. Valve, sind also unmodifiziert beziehungsweise stammen auch vom Originalmedium.
Wenn ich noch mehr finde, was mir suspekt ist, wird es einen Nachtrag geben, ansonsten wars dies eigentlich. Bitte treibt die Diskussion nicht in die Raubkopierer- oder gar Kopierschutzrichtung, darum geht es hier nicht und vor allem ginge es dann an die falsche Adresse, ich selbst nutze fast ausschliesslich freie Software und die wenigen Ausnahmen sind ordnungsgemaess lizensiert. Desweiteren bin ich mit der Entwicklung im verantwortungsvollen Verhalten am Computer seitens meines Freundes eigentlich ganz zufrieden mit ihm. Noch vor einem Jahr haette ich den Rechner gar nicht erst hochfahren zu muessen, um meine Hand fuer eine Kompromittierung ins Feuer legen zu wuerden. Nun handelt er eigentlich recht umsichtig, was Sicherheitsfragen betrifft und nutzt auch nicht jede dahergelaufene Wald-und-Wiesen-Software, die tolle bis haarstraeubende (weil zu gut um wahr zu sein) Dinge verspricht. Oft ist es zwar noch das Befolgen meiner Ratschlaege und nicht tatsaechliches Verstaendnis, was ihn vernuenftig handeln laesst, aber er ist wissbegierig und motiviert das dieses Verstaendnis zu erlangen. Nur das illegale Kopieren von Software oder Musik muesste man ihm noch austreiben, wobei dies gluecklicherweise in einem recht geringen Umfang geschieht und auch nicht verbreitet wird. Gibt doch genug Moeglichkeiten, auch mit wenig Geld an hochwertige Musik oder Filme zu gelangen und trotzdem die Kuenstler zu unterstuetzen. Spiele kosten zwar, aber wenn man sich auf die wirklich lohnenswerten beschraenkt, laesst sich auch das finanzieren. Zumindest jetzt in diesem Moment scheint er dies auch einzusehen, die kopierten Spiele hat er maximal ein einziges Mal durchgespielt, die, mit denen er mehr Zeit verbringt, liegen als Original auf der Fensterbank. Auch fuer alle anderen Kopierer: Haetten diese wirklich guten Spiele allein nicht auch gereicht? Den Rest muss man doch gar nicht unbedingt besitzen, wenn man eh nur ein mal spielt. Da reicht doch auch das Ausleihen, das Spielen bei Bekannten oder ne Demo. Notfalls tuts bei solchen Titeln doch auch ein Gebrauchtkauf oder die Anschaffung als Budgettitel in ein paar Monaten. Wobei man zugeben muss, dass all diese Dinge zunehmend erschwert werden durch diesen beschraenkten Aktivierungsmist, der imho auch nicht besser schuetzt als ohne eine Beschraenkung der Aktivierungs-Anzahl. Wenn sehr viele Aktivierungen in kurzer Zeit erfolgen, kann man den entsprechenden Key ja immer noch sperren. Aber weshalb auf 3 Stueck beschraenken? Ich spiele sehr viel mit unterschiedlichen Betriebssystemen bzw. verschiedenen Distributionen rum und installiere ein Windows hoechstens mal extra zum Spielen eines einzigen Spiels. Da sind 3 Aktivierungen ruck zuck weg.
Oops, jetzt bin ich selbst schon auf das Kopierschutzthema abgekommen. Naja, was solls. Wuensche euch allen noch ein spassiges Wochenende, wir werden es haben. =]
Bitte entschuldigt das Fehlen von Umlauten im Text, schreibe gerade mit einem US-Layout.
Werde eure Antworten wahrscheinlich nicht sofort lesen koennen und demnach auch nicht so schnell antworten, aber mit Sicherheit bleibt kein Beitrag ungelesen und eine Antwort kommt bestimmt.