0 00:00:00,000 --> 00:00:30,000 Lieber Zuschauer, dieser Untertitel wurde automatisch generiert von Trint und dementsprechend (sehr) fehlerhaft. Wenn du kannst, hilf uns bitte gute Untertitel zu erstellen: https://c3subtitles.de/talk/1169 Danke! 1 00:00:18,490 --> 00:00:20,019 Wunderschönen guten Abend hier 2 00:00:21,070 --> 00:00:22,780 auf der Caos Weltbühne, 3 00:00:24,520 --> 00:00:26,649 jetzt werden Jennifer und 4 00:00:26,650 --> 00:00:28,849 Christian, die beide 5 00:00:28,850 --> 00:00:30,309 irgendwie schon länger Cybersecurity 6 00:00:30,310 --> 00:00:32,769 machen, über die einfache 7 00:00:32,770 --> 00:00:35,139 Erkennung von fortschrittlichen Hot Kids 8 00:00:35,140 --> 00:00:36,969 reden und 9 00:00:38,260 --> 00:00:40,059 ich wünsche euch einen schönen Vortrag. 10 00:00:47,930 --> 00:00:50,059 Hi, danke, dass ihr alle hier seid. 11 00:00:50,060 --> 00:00:51,829 Vielen Dank auch noch mal an die Engel, 12 00:00:51,830 --> 00:00:53,840 die auch dieses Jahr den Kongress 13 00:00:54,890 --> 00:00:56,990 zum Leben erwecken. 14 00:00:58,400 --> 00:01:00,169 Vielen Dank auch für die Leute hinter der 15 00:01:00,170 --> 00:01:01,170 Kamera. 16 00:01:02,270 --> 00:01:04,458 Ähm ja, wir 17 00:01:04,459 --> 00:01:06,499 sind heute hier, um euch ein bisschen was 18 00:01:06,500 --> 00:01:08,239 über die einfache Anerkennung von 19 00:01:08,240 --> 00:01:10,129 fortschrittlichen Hot Kids zu erzählen. 20 00:01:12,260 --> 00:01:14,269 Wir wollen oder haben Schadsoftware 21 00:01:14,270 --> 00:01:16,339 aufgespürt, indem wir einfach 22 00:01:16,340 --> 00:01:18,049 den Datenverkehr analysiert haben. 23 00:01:20,880 --> 00:01:22,189 Ist man vielleicht ein bisschen was zu 24 00:01:22,190 --> 00:01:23,359 uns? Wer sind wir denn? 25 00:01:23,360 --> 00:01:25,010 Ich bin Jennifer, das ist Christian. 26 00:01:26,990 --> 00:01:29,509 Wir haben beruflich 27 00:01:29,510 --> 00:01:31,309 einiges gemeinsam, haben als Netzwerk 28 00:01:31,310 --> 00:01:33,439 Administratoren gearbeitet, 29 00:01:33,440 --> 00:01:35,629 sind jetzt im IT-Bereich in der Security 30 00:01:36,830 --> 00:01:39,079 angesiedelt und haben davor, 31 00:01:39,080 --> 00:01:41,509 als wir zu der Idee kamen, 32 00:01:41,510 --> 00:01:44,329 in der Informationssicherheit gearbeitet, 33 00:01:44,330 --> 00:01:46,249 waren also daran interessiert, dass keine 34 00:01:46,250 --> 00:01:47,250 Daten abfließen. 35 00:01:48,650 --> 00:01:50,839 Daher kam es zu dieser Idee, die 36 00:01:50,840 --> 00:01:53,179 wir dann im Zuge 37 00:01:53,180 --> 00:01:55,129 meiner Masterarbeit weiter entwickelt 38 00:01:55,130 --> 00:01:58,399 haben und ausgefüllt haben. 39 00:01:58,400 --> 00:02:00,889 Wir haben in einem Sicherheitsbereich 40 00:02:00,890 --> 00:02:03,049 gearbeitet, also nicht im Knast, so 41 00:02:03,050 --> 00:02:05,809 wie es jetzt aussieht, sondern 42 00:02:05,810 --> 00:02:06,810 in einer anderen Firma. 43 00:02:07,790 --> 00:02:09,799 Und da war halt das Wichtige, dass wir 44 00:02:09,800 --> 00:02:12,139 uns sicher sein können, dass keine 45 00:02:12,140 --> 00:02:13,829 Daten abfließen, weil das einen enormen 46 00:02:13,830 --> 00:02:15,769 Schaden verursacht hätte, auch Geld 47 00:02:15,770 --> 00:02:16,770 mäßig. 48 00:02:17,540 --> 00:02:20,059 Und so sind wir zu der Idee gekommen. 49 00:02:22,880 --> 00:02:24,589 Also für Industriespionage. 50 00:02:24,590 --> 00:02:26,509 Das war eher so unser Augenmerk. 51 00:02:26,510 --> 00:02:28,849 Ähm, eine also spezielle 52 00:02:28,850 --> 00:02:30,169 Art von jetzt zu erkennen. 53 00:02:30,170 --> 00:02:32,209 Wir wollten nicht alles erkennen, dafür 54 00:02:32,210 --> 00:02:33,739 gibt es ja schon genug auf dem Markt für 55 00:02:33,740 --> 00:02:35,839 andere Malware und 56 00:02:35,840 --> 00:02:38,719 ein bisschen einfach einfacheren Budgets. 57 00:02:38,720 --> 00:02:40,939 Ähm, wir wollten die Hardware an 58 00:02:40,940 --> 00:02:43,699 speziellen Kits entdecken, 59 00:02:43,700 --> 00:02:46,459 die nicht den Weg übers Betriebssystem 60 00:02:46,460 --> 00:02:48,829 gehen, sondern unterhalb 61 00:02:48,830 --> 00:02:50,539 des Betriebssystem sozusagen noch 62 00:02:50,540 --> 00:02:52,909 kommunizieren und die normalerweise 63 00:02:52,910 --> 00:02:54,469 nicht entdeckt werden. Der Vorteil war 64 00:02:54,470 --> 00:02:56,269 halt, dass wir uns nur auf diese Sache 65 00:02:56,270 --> 00:02:57,349 konzentrieren konnten, 66 00:02:58,460 --> 00:03:00,829 wohingegen ja manch andere 67 00:03:00,830 --> 00:03:03,859 Lösungsansätze versuchen mehrere Sachen 68 00:03:03,860 --> 00:03:05,329 zu greifen und deswegen konnten wir es 69 00:03:05,330 --> 00:03:06,679 hier sehr einfach umsetzen. 70 00:03:09,740 --> 00:03:11,839 Genau hier so ein 71 00:03:11,840 --> 00:03:14,299 bisschen was soll ich jetzt die nächsten 72 00:03:14,300 --> 00:03:15,379 40 Minuten erwarten? 73 00:03:15,380 --> 00:03:17,659 Wird auch ein bisschen eine kleine 74 00:03:17,660 --> 00:03:18,949 Zusammenfassung. 75 00:03:18,950 --> 00:03:21,079 Ähm, die Anforderungen, die 76 00:03:21,080 --> 00:03:22,609 habe ich ja gerade schon erzählt und 77 00:03:22,610 --> 00:03:24,679 erklärt, dass wir 100 prozent erkennen 78 00:03:24,680 --> 00:03:25,969 wollten, was ja auch meistens nicht so 79 00:03:25,970 --> 00:03:26,970 leicht ist. 80 00:03:27,770 --> 00:03:30,109 Ähm, wir sind darauf 81 00:03:30,110 --> 00:03:31,789 gekommen, weil damals zu der Zeit als 82 00:03:31,790 --> 00:03:33,529 Idee entstanden ist, gab es schon die 83 00:03:33,530 --> 00:03:34,939 ersten Probleme bzw. 84 00:03:34,940 --> 00:03:36,860 Lücken bei Intel von Intel. 85 00:03:37,910 --> 00:03:40,399 Das ist eine Software, 86 00:03:40,400 --> 00:03:42,739 die das nicht kennt, womit man remote 87 00:03:42,740 --> 00:03:44,989 sich auf PCs schalten kann und 88 00:03:44,990 --> 00:03:47,599 die warten kann, auf Tastatur und Monitor 89 00:03:47,600 --> 00:03:48,600 abgreifen kann. 90 00:03:49,790 --> 00:03:52,609 Und da haben wir natürlich irgendwie 91 00:03:52,610 --> 00:03:54,739 wollten wir wissen, dass 92 00:03:54,740 --> 00:03:55,740 niemand 93 00:03:57,050 --> 00:03:58,789 uns Schaden zufügen kann mit dieser 94 00:03:58,790 --> 00:04:00,619 Sicherheitslücke bzw. 95 00:04:00,620 --> 00:04:02,389 da ist ja gerade erst entstanden. 96 00:04:02,390 --> 00:04:04,219 Aber es war halt zu dem Zeitpunkt schon 97 00:04:04,220 --> 00:04:06,319 möglich, dass man mit einem 98 00:04:06,320 --> 00:04:08,539 USB Stick, der repariert ist, einfach 99 00:04:08,540 --> 00:04:10,129 an den PC gehen kann. 100 00:04:10,130 --> 00:04:12,229 Da musst du nicht mal angeschaltet sein 101 00:04:12,230 --> 00:04:14,659 und dann schon die Lücke ausnutzen 102 00:04:14,660 --> 00:04:16,759 konnte und Gewalt über 103 00:04:16,760 --> 00:04:17,989 den PC hatte bzw. 104 00:04:17,990 --> 00:04:20,119 Daten abfließen lassen konnte. 105 00:04:20,120 --> 00:04:21,679 Und so kamen wir auch zu der Idee 106 00:04:22,850 --> 00:04:24,499 diese spezielle Art von Lucid Kits zu 107 00:04:24,500 --> 00:04:26,689 entdecken, nämlich die Hardware 108 00:04:26,690 --> 00:04:28,609 Narayen, die halt eben auch nicht über 109 00:04:28,610 --> 00:04:31,009 den TCP IP Stick das Betriebssystem 110 00:04:31,010 --> 00:04:33,169 kommunizieren, sondern an 111 00:04:33,170 --> 00:04:35,299 dem Betriebssystem 112 00:04:35,300 --> 00:04:36,300 vorbeigehen. 113 00:04:38,090 --> 00:04:40,759 Genau was noch war, wann 114 00:04:40,760 --> 00:04:42,949 Firmware, die man manipulieren konnte 115 00:04:42,950 --> 00:04:44,269 oder Netzwerk hatten. 116 00:04:44,270 --> 00:04:45,229 Da haben wir ein bisschen eine 117 00:04:45,230 --> 00:04:46,399 Schwierigkeit, weil die ja nicht so viel 118 00:04:46,400 --> 00:04:47,689 Speicher haben, aber es war trotzdem 119 00:04:47,690 --> 00:04:49,369 möglich mit einer manipulierten 120 00:04:49,370 --> 00:04:51,499 Netzwerkkarte schon, auch da sehr 121 00:04:51,500 --> 00:04:52,489 Hardware bzw. 122 00:04:52,490 --> 00:04:55,519 Firma ähm Daten 123 00:04:55,520 --> 00:04:56,520 abfließen zu lassen. 124 00:04:57,950 --> 00:04:59,389 Die Herausforderung war die lückenlose 125 00:04:59,390 --> 00:05:00,499 Erkennung. Das haben wir immer. 126 00:05:00,500 --> 00:05:01,789 Es gibt nichts, was hundertprozentig 127 00:05:01,790 --> 00:05:03,259 sicher ist, es sei denn, es ist offline 128 00:05:03,260 --> 00:05:04,610 und steht verschlossen im Schrank. 129 00:05:05,780 --> 00:05:07,849 Ähm und dieser Datenerfassung ist 130 00:05:07,850 --> 00:05:10,229 prinzipiell schwer zu erkennen, weil 131 00:05:10,230 --> 00:05:11,569 Blutkrebs ja auch nicht so eine leichte 132 00:05:11,570 --> 00:05:12,570 Sache sind. 133 00:05:13,430 --> 00:05:15,589 Aber genau was ich sagen wollte wenn 134 00:05:15,590 --> 00:05:16,819 ja und wir uns später noch mal auf dem 135 00:05:16,820 --> 00:05:18,229 Kongress sind, können wir uns auch gerne 136 00:05:18,230 --> 00:05:19,309 ansprechen. 137 00:05:19,310 --> 00:05:20,599 Falls Sie noch mal Fragen hat, könnte die 138 00:05:20,600 --> 00:05:22,039 nachher ausstellen. Also hier bei diesem 139 00:05:22,040 --> 00:05:24,109 Vortrag gibt es keine dummen Fragen. 140 00:05:24,110 --> 00:05:25,279 Manche Sachen erklären mir vielleicht 141 00:05:25,280 --> 00:05:26,569 auch ein bisschen zu kompliziert, weil 142 00:05:26,570 --> 00:05:28,729 wir doch sehr technisch manchmal 143 00:05:28,730 --> 00:05:29,730 unterwegs sind, 144 00:05:31,110 --> 00:05:33,289 um genau die Eigenschaften, 145 00:05:33,290 --> 00:05:36,079 die die Sache, die wir 146 00:05:36,080 --> 00:05:38,239 entwickelt haben, ausmachen 147 00:05:38,240 --> 00:05:40,189 sind das wir halten geringen 148 00:05:40,190 --> 00:05:41,390 Ressourcenverbrauch haben, 149 00:05:42,680 --> 00:05:45,079 weil wir die Datenpakete 150 00:05:45,080 --> 00:05:46,080 nicht. 151 00:05:46,470 --> 00:05:48,009 Direkt miteinander vergleichen, sondern 152 00:05:48,010 --> 00:05:50,129 Messwerte darüber bilden ich später noch 153 00:05:50,130 --> 00:05:52,259 mal genauer drauf ein 154 00:05:52,260 --> 00:05:54,029 und die Hashes nur vergleichen. 155 00:05:55,470 --> 00:05:57,029 Außerdem hinterlassen wir einen kleinen 156 00:05:57,030 --> 00:05:59,429 Footprint auf dem kleinen Ohr 157 00:05:59,430 --> 00:06:01,589 und es gibt keine Redundanz zu 158 00:06:01,590 --> 00:06:03,809 schon vorhandenen Techniken, weil es 159 00:06:03,810 --> 00:06:05,639 so in dieser Art und Weise noch nicht 160 00:06:05,640 --> 00:06:07,319 gibt mit diesem einfachen Vergleich. 161 00:06:07,320 --> 00:06:09,749 Meistens wird keine Machine Learning 162 00:06:09,750 --> 00:06:11,579 solche Sachen benutzt, Signaturen werden 163 00:06:11,580 --> 00:06:13,019 verwendet und es wird auch gleich 164 00:06:13,020 --> 00:06:14,969 versucht mehrere Sachen zu entdecken. 165 00:06:14,970 --> 00:06:16,679 Und meistens lernt der Algorithmus. 166 00:06:16,680 --> 00:06:18,209 Das haben wir hier nicht. Wir gucken uns 167 00:06:18,210 --> 00:06:20,249 wirklich nur an, was gerade passiert und 168 00:06:20,250 --> 00:06:21,250 was rausgeht. 169 00:06:23,100 --> 00:06:25,229 Die Idee ist deswegen nämlich so simpel 170 00:06:25,230 --> 00:06:27,270 Ein Soll ist Vergleich der Datenströme 171 00:06:28,650 --> 00:06:30,899 und wir gucken uns 172 00:06:30,900 --> 00:06:33,449 dazu nur den erwarteten 173 00:06:33,450 --> 00:06:35,309 Datenverkehr vom Betriebssystem an. 174 00:06:35,310 --> 00:06:37,289 Wir setzen voraus, dass das 175 00:06:37,290 --> 00:06:38,290 Betriebssystem 176 00:06:39,720 --> 00:06:41,669 so kommuniziert und das nehmen wir als 177 00:06:41,670 --> 00:06:42,629 wahr an. 178 00:06:42,630 --> 00:06:44,279 Das ist das, was wir wollen. 179 00:06:44,280 --> 00:06:45,600 Und am Switch 180 00:06:46,980 --> 00:06:49,230 gehen wir GbR mit einem Tappert, 181 00:06:50,250 --> 00:06:52,259 spiegeln das alles dann noch mal und 182 00:06:52,260 --> 00:06:54,029 gucken, was vom Switch rausgeht, ins 183 00:06:54,030 --> 00:06:56,279 Internet sozusagen und vergleichen 184 00:06:56,280 --> 00:06:58,559 diese diese beiden Datenpakete bzw. 185 00:06:58,560 --> 00:06:59,560 die erschwerte. 186 00:07:04,980 --> 00:07:06,570 Hier nochmal zum Anwendungsbereich. 187 00:07:08,190 --> 00:07:11,099 Wir wollten oder wir können 188 00:07:11,100 --> 00:07:12,569 mit dieser Art und Weise 189 00:07:13,830 --> 00:07:15,360 UEFA und oder Beyers 190 00:07:17,010 --> 00:07:19,139 Manipulation entdecken, 191 00:07:19,140 --> 00:07:21,359 weil wir auch im Hardware Bereich noch 192 00:07:21,360 --> 00:07:23,549 Sinn des BIOS wird. 193 00:07:23,550 --> 00:07:24,449 Er bzw. 194 00:07:24,450 --> 00:07:26,069 lädt ja das Betriebssystem, also kann das 195 00:07:26,070 --> 00:07:27,779 Betriebssystem ja Sachen die dort 196 00:07:27,780 --> 00:07:29,249 passieren noch nicht entdecken. 197 00:07:29,250 --> 00:07:30,540 Genauso wie auch. 198 00:07:34,300 --> 00:07:36,639 Oder dieser speziellen Hardware Animate 199 00:07:36,640 --> 00:07:38,889 Kids, die den TCP 200 00:07:38,890 --> 00:07:40,509 IP Stick nicht zur Kommunikation 201 00:07:40,510 --> 00:07:41,889 verwenden, den das Betriebssystem 202 00:07:41,890 --> 00:07:42,890 verwendet. 203 00:07:44,350 --> 00:07:45,879 Hat ich gerade schon gesagt, da gab es ja 204 00:07:45,880 --> 00:07:47,410 immer mal wieder ein paar Problemchen 205 00:07:48,880 --> 00:07:50,679 oder halt manipulierte Hardware. 206 00:07:50,680 --> 00:07:51,680 Da können wir auch 207 00:07:53,410 --> 00:07:56,319 ja davon ausgehen, dass vielleicht 208 00:07:56,320 --> 00:07:58,359 irgendwie ein Interesse hat, schon etwas 209 00:07:58,360 --> 00:08:00,369 ein Gerät auszuliefern, wo ein Chip 210 00:08:00,370 --> 00:08:01,809 vielleicht manipuliert ist. 211 00:08:01,810 --> 00:08:03,489 Solche Sachen würden wir auch entdecken 212 00:08:03,490 --> 00:08:04,670 damit oder Decken 213 00:08:06,040 --> 00:08:07,040 oder Firma. 214 00:08:08,320 --> 00:08:10,719 Wichtig ist halt die 100% Erkennung und 215 00:08:10,720 --> 00:08:12,369 das Kleingedruckte. 216 00:08:12,370 --> 00:08:13,629 Man sieht es jetzt. 217 00:08:13,630 --> 00:08:15,159 Wir entdecken die Sachen nur bei der 218 00:08:15,160 --> 00:08:16,119 Daten Extraktion. 219 00:08:16,120 --> 00:08:18,339 Also wenn das Kind schläft, dann sehen 220 00:08:18,340 --> 00:08:19,340 wir nix. 221 00:08:21,070 --> 00:08:23,229 Und genau das ist halt auch ein bisschen 222 00:08:23,230 --> 00:08:25,029 das Besondere. Aber das interessiert uns 223 00:08:25,030 --> 00:08:27,519 ja auch nicht. Also heutzutage 224 00:08:27,520 --> 00:08:29,559 ist es ja so, dass wir eher ein bisschen 225 00:08:29,560 --> 00:08:31,449 den Fokus auf Industriespionage legen und 226 00:08:31,450 --> 00:08:32,829 da steckt eine Menge Geld und auch eine 227 00:08:32,830 --> 00:08:34,719 Menge Zeit. Und da ist ja eher das 228 00:08:34,720 --> 00:08:36,459 Interesse, das auf was einem gut geht, 229 00:08:36,460 --> 00:08:38,829 ausmacht, sich einzuschleusen, 230 00:08:38,830 --> 00:08:41,109 unentdeckt zu bleiben, eine Weile lang 231 00:08:41,110 --> 00:08:44,499 kein Tohuwabohu anzurichten 232 00:08:44,500 --> 00:08:46,869 und dann teilweise 233 00:08:46,870 --> 00:08:48,759 auch nach Jahren des Ladens ein paar 234 00:08:48,760 --> 00:08:50,859 Daten abfließen zu lassen, die 235 00:08:50,860 --> 00:08:52,569 der anderen Seite vielleicht Vorteile 236 00:08:52,570 --> 00:08:53,570 bringt. 237 00:08:53,980 --> 00:08:56,049 Und deswegen interessiert 238 00:08:56,050 --> 00:08:57,459 uns auch nur, wenn wirklich die Daten 239 00:08:57,460 --> 00:08:58,989 abfließen können, weil dann wird es 240 00:08:58,990 --> 00:09:00,549 gefährlich, der Rest interessiert uns gar 241 00:09:00,550 --> 00:09:01,550 nicht. 242 00:09:03,090 --> 00:09:05,099 Hier haben wir mal schematisch so eine 243 00:09:05,100 --> 00:09:07,379 Darstellung von einem PC. 244 00:09:07,380 --> 00:09:09,029 Da wir in dem Unternehmen, über das diese 245 00:09:09,030 --> 00:09:10,529 Idee entwickelt haben, nur Windows 246 00:09:10,530 --> 00:09:12,659 Maschinen hatten, funktioniert im Moment 247 00:09:12,660 --> 00:09:13,979 nur für Windows, ist aber auch denkbar 248 00:09:13,980 --> 00:09:15,500 für Linux das kein Problem eigentlich. 249 00:09:17,130 --> 00:09:19,660 Wir haben hier am 250 00:09:20,940 --> 00:09:23,159 Ovi oder die oder 251 00:09:23,160 --> 00:09:26,279 das BIOS sozusagen zur Manipulation. 252 00:09:26,280 --> 00:09:28,529 Und hier ist halt sieht man ein bisschen 253 00:09:28,530 --> 00:09:30,929 an der Darstellung, dass alle Sachen 254 00:09:32,190 --> 00:09:34,619 auf den Speicher zugreifen können, 255 00:09:34,620 --> 00:09:35,939 entweder direkt oder durch Umwege. 256 00:09:35,940 --> 00:09:37,139 Und deswegen ist das so gefährlich, weil 257 00:09:37,140 --> 00:09:38,999 dann direkt die Daten abfließen können 258 00:09:39,000 --> 00:09:41,369 oder auch Monitor, Tastatur, 259 00:09:41,370 --> 00:09:43,859 Eingaben. Solche Sachen können abfließen. 260 00:09:47,730 --> 00:09:50,669 Hier im Chipsatz ist ein Shantanu 261 00:09:50,670 --> 00:09:51,670 angesiedelt. 262 00:09:52,740 --> 00:09:54,929 Man kann auch über den Prozessor auf 263 00:09:54,930 --> 00:09:56,250 den Speicher zugreifen. 264 00:10:00,350 --> 00:10:02,489 Der Fall als 265 00:10:02,490 --> 00:10:04,589 der Treiber, sozusagen das 266 00:10:04,590 --> 00:10:06,669 Modem der des Chip 267 00:10:06,670 --> 00:10:09,539 Satzes für die Netzwerk Kommunikation. 268 00:10:09,540 --> 00:10:11,609 Da würden wir zum Beispiel erwarten, dass 269 00:10:11,610 --> 00:10:13,289 man da irgendwelche Spionage Chips 270 00:10:13,290 --> 00:10:15,659 platziert, weil ich 271 00:10:15,660 --> 00:10:17,789 soweit ich weiß, die Kommunikation mit 272 00:10:17,790 --> 00:10:19,859 dem Chipsatz relativ offen gestaltet ist 273 00:10:19,860 --> 00:10:22,649 und da auch der Fall auf relativ 274 00:10:22,650 --> 00:10:24,359 viele Ressourcen im Computer zugreifen 275 00:10:24,360 --> 00:10:25,360 kann. 276 00:10:26,400 --> 00:10:28,949 Da gab es vor zwei Monaten 277 00:10:28,950 --> 00:10:31,979 ein relativ interessantes 278 00:10:31,980 --> 00:10:34,169 Beispiel, da wo 279 00:10:34,170 --> 00:10:36,299 in China vermutet wurde, dass 280 00:10:36,300 --> 00:10:38,549 da solche Chips eben auf Mainboards 281 00:10:38,550 --> 00:10:40,559 gelötet wurden von einem großen Server 282 00:10:40,560 --> 00:10:41,969 Mainboard Hersteller. 283 00:10:41,970 --> 00:10:43,230 Das würden wir da mal vermuten. 284 00:10:45,280 --> 00:10:46,280 Und. 285 00:10:48,160 --> 00:10:49,160 Soweit 286 00:10:50,660 --> 00:10:51,799 Netzwerkkarte, das war auch ein 287 00:10:51,800 --> 00:10:53,149 interessantes Thema. 288 00:10:53,150 --> 00:10:54,409 Das ist schon relativ alt. 289 00:10:54,410 --> 00:10:57,409 Ich glaube 2010 fast schon 290 00:10:57,410 --> 00:10:59,479 hatte eine Forschergruppe 291 00:10:59,480 --> 00:11:01,969 der Firma eines Brand 292 00:11:01,970 --> 00:11:04,159 einer Fortkommen erzeugt, hatte 293 00:11:04,160 --> 00:11:06,229 sich mal vorgenommen und mal gezeigt, 294 00:11:06,230 --> 00:11:08,569 was man mit der Firma von einer Kralle 295 00:11:08,570 --> 00:11:09,679 machen kann. 296 00:11:09,680 --> 00:11:11,809 Und da war es 297 00:11:11,810 --> 00:11:13,879 möglich, tatsächlich kompletten 298 00:11:13,880 --> 00:11:15,949 Zugriff auf den Hauptspeicher auf 299 00:11:15,950 --> 00:11:18,709 alle Ressourcen des PCs zu erlangen, 300 00:11:18,710 --> 00:11:20,719 indem man eben entsprechende Funktionen 301 00:11:20,720 --> 00:11:23,629 in der Firma Netzwerkkarte platziert. 302 00:11:23,630 --> 00:11:25,939 Und dann kann man munter über 303 00:11:25,940 --> 00:11:28,179 das Thema und was alles 304 00:11:28,180 --> 00:11:29,749 an Technik zur Verfügung steht, 305 00:11:32,010 --> 00:11:33,859 den Hauptspeicher auslesen. 306 00:11:33,860 --> 00:11:36,109 Natürlich auf was sie sich verschlüsselt. 307 00:11:36,110 --> 00:11:38,179 Schlüssel zugreifen, Passwörter oder 308 00:11:38,180 --> 00:11:40,399 eben auf Nutzdaten und wahrscheinlich 309 00:11:40,400 --> 00:11:42,049 auch wenn man das ordentlich 310 00:11:42,050 --> 00:11:44,419 implementiert, dann die 311 00:11:44,420 --> 00:11:46,309 auf den Controller zugreifen und Daten 312 00:11:46,310 --> 00:11:47,689 extrahieren. 313 00:11:47,690 --> 00:11:48,919 Und das ist tatsächlich etwas, was 314 00:11:48,920 --> 00:11:50,249 funktioniert hat. Also nichts mit dem 315 00:11:50,250 --> 00:11:51,559 Ricco Tool, aber ich habe der 316 00:11:51,560 --> 00:11:52,609 Hauptspeicher Zugriff. Das hat 317 00:11:52,610 --> 00:11:54,230 funktioniert und ist dann natürlich ich 318 00:11:54,231 --> 00:11:56,029 dann auch ein valide Szenario, das wir 319 00:11:56,030 --> 00:11:57,030 dann betrachten mussten. 320 00:11:59,310 --> 00:12:00,659 Und hier noch mal das Mitglied, von dem 321 00:12:00,660 --> 00:12:02,099 ich die ganze Zeit schon erzählen muss, 322 00:12:02,100 --> 00:12:03,239 auf den Titel hat. 323 00:12:05,100 --> 00:12:06,100 Wir haben es tatsächlich 324 00:12:07,200 --> 00:12:09,779 nicht mit einem richtigen Hut probiert. 325 00:12:09,780 --> 00:12:11,849 Die Idee war da ein 326 00:12:11,850 --> 00:12:13,259 Buch zu schreiben oder sich eins zu 327 00:12:13,260 --> 00:12:15,149 besorgen, wie beispielsweise falls es 328 00:12:15,150 --> 00:12:16,150 jemand was sagt. 329 00:12:17,190 --> 00:12:18,629 Die Problematik war allerdings, dass wir 330 00:12:18,630 --> 00:12:19,769 nicht so viel Zeit hatten, in der 331 00:12:19,770 --> 00:12:22,499 Masterarbeit so viel zu machen und 332 00:12:22,500 --> 00:12:23,970 eine größere Problematik war. 333 00:12:25,440 --> 00:12:26,459 Wenn man jetzt selber ein Budget 334 00:12:26,460 --> 00:12:28,589 geschrieben hätte, müsste es sehr gut 335 00:12:28,590 --> 00:12:30,809 geschrieben sein, damit wir 336 00:12:30,810 --> 00:12:32,309 eine Chance haben, es zu entdecken. 337 00:12:32,310 --> 00:12:34,619 War nicht gegeben, 100 prozent 338 00:12:34,620 --> 00:12:36,539 damit herauszufinden, ob unsere Methode 339 00:12:36,540 --> 00:12:37,889 wirklich funktioniert. 340 00:12:37,890 --> 00:12:39,089 In der Praxis und nicht nur in der 341 00:12:39,090 --> 00:12:40,229 Theorie. 342 00:12:40,230 --> 00:12:41,789 Deswegen haben wir uns an der Hand 343 00:12:41,790 --> 00:12:44,219 genommen und mal geschaut, was da 344 00:12:44,220 --> 00:12:45,749 von Datenverkehr herrschen, ob wir denn 345 00:12:45,750 --> 00:12:47,849 sehen und verwenden 346 00:12:47,850 --> 00:12:49,980 sozusagen diese Sachen als Synonym. 347 00:12:52,050 --> 00:12:54,419 Genau und hier dieser ähm. 348 00:12:54,420 --> 00:12:56,729 Der Unterschied ist halt, dass wir halt 349 00:12:56,730 --> 00:12:58,409 keinen Algorithmus haben, der noch lernen 350 00:12:58,410 --> 00:13:00,719 muss, sondern dass wir nur das angucken, 351 00:13:00,720 --> 00:13:01,739 was wir verwenden. 352 00:13:01,740 --> 00:13:02,740 Also was rausgeht. 353 00:13:04,320 --> 00:13:05,459 Hier noch mal ein bisschen genauer die 354 00:13:05,460 --> 00:13:06,569 Funktionsweise. 355 00:13:06,570 --> 00:13:08,369 Wir haben dann gesagt einfache Erkennung. 356 00:13:08,370 --> 00:13:09,539 Da sieht man, dass es auf eigentlich 357 00:13:09,540 --> 00:13:11,519 relativ einfach aussieht. 358 00:13:11,520 --> 00:13:13,289 Wir haben am Client 359 00:13:14,940 --> 00:13:17,189 das Betriebssystem, da schauen wir also 360 00:13:17,190 --> 00:13:18,929 das Betriebssystem. Da kann man ganz gut 361 00:13:18,930 --> 00:13:20,429 die Daten abgreifen, die das 362 00:13:20,430 --> 00:13:21,629 Betriebssystem aussendet. 363 00:13:22,980 --> 00:13:25,679 Die greifen da auf einmal ab und 364 00:13:25,680 --> 00:13:28,289 speichern die auf einem Monitor Server. 365 00:13:28,290 --> 00:13:30,599 Und das machen wir einfach, dass falls 366 00:13:30,600 --> 00:13:32,099 es später mal eine forensische Analyse 367 00:13:32,100 --> 00:13:34,289 geben soll, haben wir die Daten da 368 00:13:34,290 --> 00:13:36,219 und es kostet halt nicht so viel. 369 00:13:36,220 --> 00:13:37,439 Allerdings hatte ich ja schon gesagt, 370 00:13:37,440 --> 00:13:39,659 dass wir ansonsten mit den Daten nichts 371 00:13:39,660 --> 00:13:40,889 machen, sondern eher ein Beschwert 372 00:13:40,890 --> 00:13:42,719 darüber bilden, dass es auch sehr 373 00:13:42,720 --> 00:13:45,179 ressourcenschonend, weil wir halt. 374 00:13:45,180 --> 00:13:47,039 Also die Berechnung von Messwerte geht 375 00:13:47,040 --> 00:13:48,359 relativ schnell, die kostet gar nicht 376 00:13:48,360 --> 00:13:49,529 viel. 377 00:13:49,530 --> 00:13:52,169 Und genau 378 00:13:52,170 --> 00:13:53,579 das versenden sowieso nicht, weil es 379 00:13:53,580 --> 00:13:55,189 natürlich nicht das ganze Datenpakete 380 00:13:55,190 --> 00:13:57,269 ist, sondern nur so ein kleiner Wert. 381 00:13:57,270 --> 00:13:59,339 Und auf dem Server hatten wir dann eine 382 00:13:59,340 --> 00:14:01,909 Datenbank, wo die ganzen 383 00:14:01,910 --> 00:14:04,019 Messwerte von dem Betriebssystem, von 384 00:14:04,020 --> 00:14:05,999 dem also erwarteten Datenverkehr, wo wir 385 00:14:06,000 --> 00:14:07,499 gesagt haben, wir erwarten, dass dieser 386 00:14:07,500 --> 00:14:09,659 Datenverkehr der Richtige ist, der Beste, 387 00:14:09,660 --> 00:14:11,819 den wir haben wollen, haben 388 00:14:11,820 --> 00:14:14,189 wir da rein gespeichert. 389 00:14:14,190 --> 00:14:16,469 Dann haben wir einen 390 00:14:16,470 --> 00:14:18,959 am Zug, einen Monitor oder ein Typekit 391 00:14:18,960 --> 00:14:21,059 angelegt, der sozusagen alles, was 392 00:14:21,060 --> 00:14:23,369 über den Switch geht, spiegelt. 393 00:14:23,370 --> 00:14:25,689 Und haben dann dort auch 394 00:14:25,690 --> 00:14:28,559 Messwerte gebildet über die Datenpakete. 395 00:14:28,560 --> 00:14:30,329 Die sind wiederum dann auf einen 396 00:14:31,440 --> 00:14:34,229 Monitor Server eingelaufen 397 00:14:34,230 --> 00:14:35,789 und so konnten in der Datenbank einfach 398 00:14:35,790 --> 00:14:37,169 nur die Hash Werte vergleichen. 399 00:14:37,170 --> 00:14:39,389 Also eigentlich völlig simpel und 400 00:14:39,390 --> 00:14:41,099 haben dann gesehen, wenn hier Werte übrig 401 00:14:41,100 --> 00:14:42,899 geblieben sind. Wir haben natürlich hier 402 00:14:42,900 --> 00:14:44,849 ein bisschen mit Latenz zu kämpfen, weil 403 00:14:44,850 --> 00:14:46,199 wir uns in dem Netzwerk befinden. 404 00:14:46,200 --> 00:14:48,479 Das heißt, wenn die Pakete vom 405 00:14:48,480 --> 00:14:50,849 Betriebssystem Narayen laufen auf dem 406 00:14:50,850 --> 00:14:53,369 Monitor Server, dann 407 00:14:53,370 --> 00:14:55,739 werden die von dem Switch sozusagen 408 00:14:55,740 --> 00:14:56,999 ein bisschen länger brauchen und sie 409 00:14:57,000 --> 00:14:58,379 werden dann nicht in der gleichen Reihenfolge 410 00:14:58,380 --> 00:14:59,429 unter Umständen ankommen. 411 00:14:59,430 --> 00:15:00,899 Tun Sie auch nicht immer das. 412 00:15:00,900 --> 00:15:01,979 Sie haben ja immer ein Zeitfenster 413 00:15:01,980 --> 00:15:03,869 betrachtet in der Zeit, wo die ankommen 414 00:15:03,870 --> 00:15:05,909 müssen, haben geguckt und sie gleich. 415 00:15:05,910 --> 00:15:07,079 Wenn sie gleich war, haben wir die 416 00:15:07,080 --> 00:15:09,629 Schwerte rausgeschmissen, die Pakete. 417 00:15:09,630 --> 00:15:11,049 Und wenn sie nicht gleich war, dann haben 418 00:15:11,050 --> 00:15:12,809 wir sie drin gelassen. 419 00:15:12,810 --> 00:15:14,700 Und dann wusste man relativ zeitnah, 420 00:15:15,720 --> 00:15:17,489 dass wir halt ein Problem haben. 421 00:15:17,490 --> 00:15:18,749 Da musste man halt schauen. 422 00:15:18,750 --> 00:15:20,459 Wenn ich jetzt mehr Datenpakete vom 423 00:15:20,460 --> 00:15:22,589 Client habe, interessiert mich 424 00:15:22,590 --> 00:15:23,729 das eigentlich nicht, weil das geht da 425 00:15:23,730 --> 00:15:24,839 nicht raus. Das passiert auf einen 426 00:15:24,840 --> 00:15:27,299 Client, das ist noch alles sicher. 427 00:15:27,300 --> 00:15:28,529 Mich interessiert nur, wenn ich mehr 428 00:15:28,530 --> 00:15:30,649 Datenpakete am 429 00:15:30,650 --> 00:15:32,819 Switch fort habe, also die raus 430 00:15:32,820 --> 00:15:34,439 ins Internet gehen, weil dann habe ich ja 431 00:15:34,440 --> 00:15:36,209 nur Daten Extraktion und dann möchte ich 432 00:15:36,210 --> 00:15:37,210 das wissen. 433 00:15:37,860 --> 00:15:39,749 Die Methode, die wir da entwickelt haben, 434 00:15:39,750 --> 00:15:41,759 die war noch nicht so weit, dass sie 435 00:15:41,760 --> 00:15:44,129 jetzt irgendwie irgendwas gelöst hätte 436 00:15:44,130 --> 00:15:46,589 oder sonst was getan hätte, sondern 437 00:15:46,590 --> 00:15:48,029 sie gibt nur einen Alarm. Da muss jemand 438 00:15:48,030 --> 00:15:49,839 kommen und gucken, was ist da los? 439 00:15:49,840 --> 00:15:51,899 Ein Paket schaut wie, schaut sich 440 00:15:51,900 --> 00:15:54,329 das Paket an und weiß dann halt Bescheid, 441 00:15:54,330 --> 00:15:55,410 was da gerade los ist. 442 00:15:57,380 --> 00:15:58,380 Und genau. 443 00:16:01,270 --> 00:16:04,029 Dann haben wir halt generell mal 444 00:16:04,030 --> 00:16:05,679 benutzt, um überhaupt mal zu gucken, was 445 00:16:05,680 --> 00:16:07,659 kommt da so an und haben das mit Anti 446 00:16:07,660 --> 00:16:08,660 gemacht. 447 00:16:09,130 --> 00:16:11,139 Genau hier sieht man das sind jetzt zwei 448 00:16:11,140 --> 00:16:13,359 Screenshots aus dem Beitrag Links 449 00:16:13,360 --> 00:16:16,149 haben wir den Datenverkehr, der wir an 450 00:16:16,150 --> 00:16:18,699 Switch Port messen, der dort 451 00:16:18,700 --> 00:16:21,249 ankommt vom vom Client. 452 00:16:21,250 --> 00:16:23,109 Und rechts ist das was über den 453 00:16:23,110 --> 00:16:24,719 Betriebssystem, über das Ziel, über den 454 00:16:24,720 --> 00:16:26,349 diese Friedenswerk, das Betriebssystem 455 00:16:26,350 --> 00:16:27,429 geflossen ist. 456 00:16:27,430 --> 00:16:28,570 Wir haben es mal unten markiert, 457 00:16:31,150 --> 00:16:33,789 das auf der linken Seite dann doch 458 00:16:33,790 --> 00:16:35,689 relativ viel mehr zu sehen ist. 459 00:16:35,690 --> 00:16:37,389 Ich habe das ja immer größer gemacht und 460 00:16:37,390 --> 00:16:38,649 hier sieht man auch das erste Paket ist 461 00:16:38,650 --> 00:16:41,379 noch identisch und dann sieht man links 462 00:16:41,380 --> 00:16:43,029 massiven Datenverkehr, der auf der 463 00:16:43,030 --> 00:16:44,529 rechten Seite im Client 464 00:16:45,940 --> 00:16:48,399 Betriebssystem nicht zu sehen ist. 465 00:16:48,400 --> 00:16:50,649 In dem Fall ist es es 466 00:16:50,650 --> 00:16:51,759 ein Datenverkehr. 467 00:16:51,760 --> 00:16:53,859 Da haben wir die das Amt 468 00:16:53,860 --> 00:16:56,019 gehackt und mal geguckt, 469 00:16:56,020 --> 00:16:56,979 was man damit machen kann. 470 00:16:56,980 --> 00:16:58,839 Und dann sieht man halt mit dieser 471 00:16:58,840 --> 00:17:00,729 Methode ganz einfach links mehr als 472 00:17:00,730 --> 00:17:01,899 rechts. Das ist schlecht. 473 00:17:03,010 --> 00:17:05,259 Eine Sache noch der Vorteil Wir haben 474 00:17:05,260 --> 00:17:07,328 viele Pakete, die sehen dann 475 00:17:07,329 --> 00:17:08,989 immer gleich aus, weil wenn der beschwert 476 00:17:08,990 --> 00:17:11,108 über Datenpakete bilden, dann würden 477 00:17:11,109 --> 00:17:13,059 wir die über das ganze Paket in diesem 478 00:17:13,060 --> 00:17:14,409 Jahr sehen, immer gleich aus. 479 00:17:14,410 --> 00:17:15,608 Das haben wir immer den gleichen Hash 480 00:17:15,609 --> 00:17:17,318 wert und das macht es auch noch mal ein 481 00:17:17,319 --> 00:17:19,328 bisschen schneller, weil wir natürlich 482 00:17:19,329 --> 00:17:20,379 dann wissen, wie die aussehen und die 483 00:17:20,380 --> 00:17:22,049 gleich wegschmeißen können auch. 484 00:17:25,010 --> 00:17:27,229 Genau die aber mal visualisiert 485 00:17:27,230 --> 00:17:28,429 wird, es auf dem Server aussieht, das ist 486 00:17:28,430 --> 00:17:29,519 noch sehr. 487 00:17:29,520 --> 00:17:30,949 Das kommt aus der Masterarbeit, ist noch 488 00:17:30,950 --> 00:17:32,389 eine ältere Version, aber das zeigt 489 00:17:32,390 --> 00:17:33,619 eigentlich sehr gut. 490 00:17:33,620 --> 00:17:35,299 Okay, man kann es nicht so genau 491 00:17:35,300 --> 00:17:37,429 erkennen, was wir 492 00:17:37,430 --> 00:17:39,409 gemacht haben. Wir haben eine Datenbank, 493 00:17:39,410 --> 00:17:41,329 dort ist der Datenverkehr aufgelaufen, 494 00:17:41,330 --> 00:17:42,410 verkleidet und vom Server. 495 00:17:43,550 --> 00:17:45,589 Im oberen Bereich haben wir auf beiden 496 00:17:45,590 --> 00:17:46,789 Seiten die gleichen Werte. 497 00:17:46,790 --> 00:17:48,920 Das ist soweit erwartete Datenverkehr. 498 00:17:50,570 --> 00:17:52,579 Was nicht erwartet ist, ist ja im unteren 499 00:17:52,580 --> 00:17:53,580 Bereich zu sehen. 500 00:17:54,690 --> 00:17:56,719 Wenn auf Flipp von dem Client nichts 501 00:17:56,720 --> 00:17:58,069 kommt, dann haben wir hier 502 00:17:59,330 --> 00:18:01,999 die Hashes von den Paketen 503 00:18:02,000 --> 00:18:04,369 mal visualisiert, die 504 00:18:04,370 --> 00:18:05,509 unerwünscht sind. 505 00:18:05,510 --> 00:18:07,659 Und oben seht ihr vielleicht immer in der 506 00:18:07,660 --> 00:18:09,999 aktuellen Abfrage Server mit Roadies 507 00:18:12,590 --> 00:18:14,269 dargestellt, aber wir haben dann 508 00:18:14,270 --> 00:18:16,579 entsprechend den Datenverkehr, 509 00:18:16,580 --> 00:18:18,709 den wir dann analysieren können, in 510 00:18:18,710 --> 00:18:20,059 der SQL Datenbank. 511 00:18:20,060 --> 00:18:22,249 Und das ist das Schöne an der Lösung. 512 00:18:22,250 --> 00:18:23,779 Die Pakete 513 00:18:24,860 --> 00:18:26,449 oben links und rechts die gleichen Hashes 514 00:18:26,450 --> 00:18:28,069 sind, die werden dann einfach 515 00:18:28,070 --> 00:18:29,959 rausgeschmissen nach 100 Millisekunden 516 00:18:29,960 --> 00:18:32,569 glaube ich. Und alles was 517 00:18:32,570 --> 00:18:34,609 nur auf einer Seite vorhanden ist, 518 00:18:34,610 --> 00:18:36,739 sozusagen, das können wir dann 519 00:18:36,740 --> 00:18:38,119 haben wir dann sowieso in der Datenbank 520 00:18:38,120 --> 00:18:39,319 und können das schön analysieren. 521 00:18:43,500 --> 00:18:44,549 Genau, ja. 522 00:18:44,550 --> 00:18:46,649 Die Umsetzung erfolgte dann 523 00:18:46,650 --> 00:18:48,059 mit C Sharp erst mal, warum? 524 00:18:48,060 --> 00:18:50,069 Weil es ziemlich einfach war, das erste 525 00:18:50,070 --> 00:18:51,119 Mal damit zu tun. 526 00:18:52,650 --> 00:18:53,849 Wir konnten einfach die backen. 527 00:18:53,850 --> 00:18:55,349 Wir konnten sehen, wie es funktioniert, 528 00:18:55,350 --> 00:18:57,089 was da passiert, weil theoretisch, wenn 529 00:18:57,090 --> 00:18:58,979 man sich die Sachen überlegt, sind wir 530 00:18:58,980 --> 00:19:00,359 mal ganz klar. 531 00:19:00,360 --> 00:19:02,069 Und praktisch gibt es dann so ein, zwei 532 00:19:02,070 --> 00:19:03,749 Probleme, mit denen man nicht gerechnet 533 00:19:03,750 --> 00:19:04,750 hat. 534 00:19:05,460 --> 00:19:07,349 Und es war uns wichtig, nicht ein 535 00:19:07,350 --> 00:19:09,509 fertiges Programm, 536 00:19:09,510 --> 00:19:11,159 sage ich jetzt mal zu erstellen innerhalb 537 00:19:11,160 --> 00:19:12,480 dieser Masterarbeit, sondern 538 00:19:13,530 --> 00:19:15,839 einfach dazu erstellen 539 00:19:15,840 --> 00:19:17,909 und sagen zu können das funktioniert. 540 00:19:17,910 --> 00:19:19,379 Also die Theorie haben wir in die Praxis 541 00:19:19,380 --> 00:19:21,329 umgesetzt, damit wir danach noch daran 542 00:19:21,330 --> 00:19:22,330 arbeiten können. 543 00:19:23,010 --> 00:19:24,779 Und es hat funktioniert. 544 00:19:24,780 --> 00:19:26,699 Wir hatten auch keine Blueprint, was sich 545 00:19:26,700 --> 00:19:28,379 dann später ändern sollte. 546 00:19:28,380 --> 00:19:29,430 Ja, genau. 547 00:19:31,080 --> 00:19:33,479 Wir haben aber längst ein paar Nachteile. 548 00:19:33,480 --> 00:19:36,209 Und zwar haben wir da schon festgestellt, 549 00:19:36,210 --> 00:19:38,139 wir haben ja ein kleines Setup gehabt mit 550 00:19:38,140 --> 00:19:40,259 so zwei Claims, weil das ja 551 00:19:40,260 --> 00:19:41,309 für einen PC reicht. 552 00:19:41,310 --> 00:19:43,349 Wir müssen da jetzt nicht 100, sondern 553 00:19:43,350 --> 00:19:45,119 sich anschließen. 554 00:19:45,120 --> 00:19:46,799 Und da hat man schon gemerkt, wenn da ein 555 00:19:46,800 --> 00:19:48,899 paar Daten drüber gingen, dass 556 00:19:48,900 --> 00:19:50,189 er irgendwann nicht mehr hinterher kam 557 00:19:50,190 --> 00:19:51,869 und dass wir dann ein Problem hatten, 558 00:19:51,870 --> 00:19:54,179 dass wir Paket Pakete verloren haben. 559 00:19:54,180 --> 00:19:55,799 Und damit klappt ja und 100 prozent 560 00:19:55,800 --> 00:19:57,209 Erkennung nicht, weil die lebt ja davon, 561 00:19:57,210 --> 00:19:58,769 dass wir genau alle Pakete sehen, die 562 00:19:58,770 --> 00:19:59,770 kommuniziert werden. 563 00:20:01,050 --> 00:20:03,119 Und das war ein Nachteil, der uns dann 564 00:20:03,120 --> 00:20:05,309 wiederum zu einer anderen Idee geführt 565 00:20:05,310 --> 00:20:06,539 hat, auf die wir nachher gleich nochmal 566 00:20:06,540 --> 00:20:08,829 eingehen und 567 00:20:10,560 --> 00:20:12,629 die diese Art war halt auch 568 00:20:12,630 --> 00:20:14,429 leicht zu erkennen, weil wir sind ja hier 569 00:20:14,430 --> 00:20:16,559 befinden wir uns nicht auf der Hardware 570 00:20:16,560 --> 00:20:19,049 Narayen Ebene, die wir untersuchen 571 00:20:19,050 --> 00:20:21,089 mit der, mit dem Sie Sharp, sondern wir 572 00:20:21,090 --> 00:20:23,189 befinden uns ja wieder auf der Software 573 00:20:23,190 --> 00:20:24,389 und dadurch sind wir ja auch leicht 574 00:20:24,390 --> 00:20:26,609 angreifbar, wenn man mal verstanden 575 00:20:26,610 --> 00:20:28,199 hat, was wir tun. 576 00:20:28,200 --> 00:20:29,639 Und deswegen war die Idee auch ein 577 00:20:29,640 --> 00:20:30,640 bisschen tiefer zu gehen. 578 00:20:33,120 --> 00:20:35,459 Und wir hatten dann uns überlegt, dass es 579 00:20:35,460 --> 00:20:37,979 ziemlich gut wäre, einen Treiber zu 580 00:20:37,980 --> 00:20:40,929 schreiben, da er halt 581 00:20:40,930 --> 00:20:43,199 ja auch noch unter dem Betriebssystem 582 00:20:43,200 --> 00:20:45,059 liegt und dadurch nicht so leicht 583 00:20:45,060 --> 00:20:47,189 angreifbar ist. Und vielleicht dazu noch 584 00:20:47,190 --> 00:20:49,009 ein paar Details dazu. 585 00:20:49,010 --> 00:20:51,089 Also ich würde mal kurz 586 00:20:51,090 --> 00:20:52,559 was über alles erzählen. 587 00:20:52,560 --> 00:20:54,779 Das ist so ein Netzwerk 588 00:20:54,780 --> 00:20:55,780 von Windows. 589 00:20:57,270 --> 00:20:58,649 Und wie sieht der aus? 590 00:20:58,650 --> 00:21:00,209 Wir haben Betriebssystem und 591 00:21:00,210 --> 00:21:01,349 Applikationen. 592 00:21:01,350 --> 00:21:03,209 Wenn die Daten verschicken wollen, dann 593 00:21:03,210 --> 00:21:05,129 verpacken die sie schön und geben das 594 00:21:05,130 --> 00:21:06,709 Allendes weiter. 595 00:21:06,710 --> 00:21:09,059 Denn das Protokoll Treiber meistens 596 00:21:09,060 --> 00:21:11,219 TCP IP also 597 00:21:11,220 --> 00:21:13,379 stark thematisiert, bitte nicht 598 00:21:13,380 --> 00:21:14,939 zu wörtlich nehmen, aber so ungefähr 599 00:21:14,940 --> 00:21:16,109 funktioniert das. 600 00:21:16,110 --> 00:21:18,539 Und TCP 601 00:21:18,540 --> 00:21:20,519 kümmert sich dann darum, dieses Paket an 602 00:21:20,520 --> 00:21:22,019 die Netzwerkkarte weiterzureichen, an ihr 603 00:21:22,020 --> 00:21:23,639 Netzwerk Treiber, der dann den 604 00:21:23,640 --> 00:21:26,669 eigentlichen Packet Versand vornimmt. 605 00:21:26,670 --> 00:21:29,129 Das kann man 606 00:21:29,130 --> 00:21:31,499 nutzen, indem man zwischen Protokoll 607 00:21:31,500 --> 00:21:33,569 und Netzwerkkabel Treiber 608 00:21:33,570 --> 00:21:35,649 den Filter Treiber setzt 609 00:21:35,650 --> 00:21:37,919 haben und kümmert sich darum, dass 610 00:21:37,920 --> 00:21:39,809 tatsächlich alle Pakete, die man haben 611 00:21:39,810 --> 00:21:41,579 möchte, durch den Filter Treiber 612 00:21:41,580 --> 00:21:42,689 durchlaufen. Das ist schon mal sehr 613 00:21:42,690 --> 00:21:44,459 wichtig. Das ist eigentlich egal was für 614 00:21:44,460 --> 00:21:45,779 ein Protokoll. Also man könnte das auch 615 00:21:45,780 --> 00:21:48,809 mit IPs machen oder was einem einfällt. 616 00:21:48,810 --> 00:21:50,969 Ähm TCP, IP, V4, 617 00:21:50,970 --> 00:21:53,189 V6, das sehen wir alles 618 00:21:53,190 --> 00:21:54,929 im Filter Treiber. 619 00:21:54,930 --> 00:21:57,479 Ähm, wir sehen auch alle Pakete. 620 00:21:57,480 --> 00:21:58,529 Das ist auch ganz wichtig. 621 00:21:58,530 --> 00:22:00,689 Sie haben kein Paket los, wie zum 622 00:22:00,690 --> 00:22:02,919 Beispiel wir haben Pakete bei 623 00:22:02,920 --> 00:22:05,019 bei will Pick up oder es 624 00:22:05,020 --> 00:22:05,999 mit Scharping hat gemacht. 625 00:22:06,000 --> 00:22:07,409 Das kommt nachher auch noch. 626 00:22:07,410 --> 00:22:09,039 Also bei den klassischen, bei Beiersdorf 627 00:22:09,040 --> 00:22:11,069 zum Beispiel. Wenn zu viel Datenpakete 628 00:22:11,070 --> 00:22:12,450 auflaufen und der Puffer voll ist, 629 00:22:13,560 --> 00:22:15,869 dem Wahltag nutzt, um die 630 00:22:15,870 --> 00:22:18,329 Pakete abzuarbeiten und zu visualisieren, 631 00:22:18,330 --> 00:22:20,639 dann werden diese Pakete fallengelassen. 632 00:22:20,640 --> 00:22:21,899 Und das können wir uns natürlich mit 633 00:22:21,900 --> 00:22:22,889 dieser Lösung nicht erlauben. 634 00:22:22,890 --> 00:22:24,569 Wir brauchen 100 prozent Pakete, deswegen 635 00:22:24,570 --> 00:22:26,189 machen wir das mit einem Filter drüber. 636 00:22:26,190 --> 00:22:27,689 Dann sehen wir alles. 637 00:22:27,690 --> 00:22:29,549 Wenn wir zu viel Daten bekommen, dann 638 00:22:29,550 --> 00:22:31,799 kümmert sich darum, dass weniger Daten 639 00:22:31,800 --> 00:22:33,240 in dem Treiber ankommen, 640 00:22:34,410 --> 00:22:35,969 in dem dem Betriebssystem signalisiert 641 00:22:35,970 --> 00:22:37,579 wird Bitte langsamer Daten schicken. 642 00:22:38,850 --> 00:22:39,850 Genau. 643 00:22:40,590 --> 00:22:41,969 Ein weiterer Vorteil im Filter Treiber 644 00:22:41,970 --> 00:22:43,919 ist Man kann einfach Pakete editieren in 645 00:22:43,920 --> 00:22:45,509 den Datenstrom. Man kann einfach Pakete 646 00:22:45,510 --> 00:22:46,510 bauen und die dann 647 00:22:47,790 --> 00:22:49,059 der Netzwerkkarte präsentiert zum 648 00:22:49,060 --> 00:22:50,909 verschicken. Die kümmert sich dann darum. 649 00:22:50,910 --> 00:22:53,129 Das ist auch sehr sehr nett und 650 00:22:53,130 --> 00:22:54,689 deswegen benötigen wir auch keine weitere 651 00:22:54,690 --> 00:22:56,589 Komponente. Dann auf dem Client, um 652 00:22:58,440 --> 00:22:59,849 noch mal so ein Paket versandt zu machen 653 00:22:59,850 --> 00:23:02,159 oder die Hashes die wir generieren 654 00:23:02,160 --> 00:23:03,330 zu zu versenden. 655 00:23:06,370 --> 00:23:08,439 Genau dann hier noch 656 00:23:08,440 --> 00:23:10,029 mal Wir haben versucht zu visualisieren, 657 00:23:12,070 --> 00:23:14,139 das wie funktioniert 658 00:23:14,140 --> 00:23:16,239 es eben normalerweise eben ohne 659 00:23:16,240 --> 00:23:18,489 Grund und ohne 660 00:23:18,490 --> 00:23:19,490 Filter Treiber 661 00:23:20,920 --> 00:23:23,299 nimmt, Schicksal nimmt, 662 00:23:23,300 --> 00:23:25,629 der steckt das Paket 663 00:23:25,630 --> 00:23:26,630 entgegen. 664 00:23:27,070 --> 00:23:29,299 Das geht über den TCP IP 665 00:23:29,300 --> 00:23:31,659 in dem Protokoll 666 00:23:31,660 --> 00:23:33,039 Treiber direkt an der Netzwerkkarte 667 00:23:33,040 --> 00:23:34,040 Treiber und wird verschickt. 668 00:23:35,140 --> 00:23:37,179 Was wichtig ist noch für uns. 669 00:23:37,180 --> 00:23:38,679 Wenn so ein Paket verschickt wurde, also 670 00:23:38,680 --> 00:23:39,729 wirklich verschickt wurde, dann 671 00:23:39,730 --> 00:23:41,349 signalisiert der Netzwerkpartner Treiber 672 00:23:41,350 --> 00:23:43,749 über einen separaten 673 00:23:43,750 --> 00:23:45,909 Mechanismus. Also asynchron 674 00:23:45,910 --> 00:23:47,169 waren. Ja, dieses Paket habe ich 675 00:23:47,170 --> 00:23:48,579 verschickt. 676 00:23:48,580 --> 00:23:49,929 Diese Pakete versandt ist nicht immer in 677 00:23:49,930 --> 00:23:51,219 der gleichen Reihenfolge der aktuelle 678 00:23:51,220 --> 00:23:53,469 Forscher gesagt, sondern das 679 00:23:53,470 --> 00:23:55,159 Netzwerk hat bei Bekannten die Pakete 680 00:23:55,160 --> 00:23:57,279 umsortieren oder je nachdem, 681 00:23:57,280 --> 00:23:59,289 wenn auch mehrere Streams kommen, 682 00:24:00,340 --> 00:24:02,049 von verschiedenen Prozessoren vielleicht 683 00:24:02,050 --> 00:24:03,609 oder was auch immer, dann gibt es da 684 00:24:03,610 --> 00:24:05,079 vielleicht Verschiebungen. 685 00:24:05,080 --> 00:24:07,719 Das heißt, die Bestätigung des Grundes 686 00:24:07,720 --> 00:24:09,909 wird wichtig. Wenn wir jetzt den Filter 687 00:24:09,910 --> 00:24:12,249 Treiber damit rein packen, 688 00:24:12,250 --> 00:24:13,360 dann sieht das Ganze so aus. 689 00:24:15,190 --> 00:24:17,439 Das bekommt mit, dass 690 00:24:17,440 --> 00:24:18,969 wir mit Filter Treiber haben und die 691 00:24:18,970 --> 00:24:20,409 Pakete gehen jetzt nicht von diese 692 00:24:20,410 --> 00:24:22,149 initiale Netzwerkkarte Treiber, sondern 693 00:24:22,150 --> 00:24:23,529 werden erst mal einen 694 00:24:24,730 --> 00:24:26,919 Filter Treiber übermittelt zur weiteren 695 00:24:26,920 --> 00:24:27,920 Verarbeitung. 696 00:24:29,050 --> 00:24:30,669 Was tun wir damit? 697 00:24:30,670 --> 00:24:32,409 Die Funktion heißt Filter sind einfache 698 00:24:32,410 --> 00:24:35,049 Lists meistens 699 00:24:35,050 --> 00:24:36,050 und dort 700 00:24:37,210 --> 00:24:38,980 bekommen wir Buffer 701 00:24:40,150 --> 00:24:42,909 übermittelt ist es grob gesagt in eine 702 00:24:42,910 --> 00:24:45,609 Datenstruktur, wo viele 703 00:24:45,610 --> 00:24:47,499 Datenpakete drin sind, die so eine 704 00:24:47,500 --> 00:24:49,359 Applikation verschicken möchte. 705 00:24:49,360 --> 00:24:51,969 Dort nehmen wir die einzelnen 706 00:24:51,970 --> 00:24:54,159 Typekit Pakete raus 707 00:24:54,160 --> 00:24:56,919 und bilden darüber Hashes, 708 00:24:56,920 --> 00:24:59,229 die wir dann in den Datenstrom 709 00:24:59,230 --> 00:25:00,819 auch injizieren und an unseren Monitor 710 00:25:00,820 --> 00:25:02,259 Server schicken. 711 00:25:02,260 --> 00:25:03,669 Auf der anderen Seite wird die Pakete 712 00:25:03,670 --> 00:25:04,749 irgendwann mal verschickt wurden, 713 00:25:06,340 --> 00:25:08,619 gibt es eine andere Funktion, 714 00:25:08,620 --> 00:25:10,559 die dann vom sozusagen Netzwerk 715 00:25:10,560 --> 00:25:11,769 Haupttreiber angetriggert wird. 716 00:25:11,770 --> 00:25:13,269 Es ist reiner Zufall. 717 00:25:13,270 --> 00:25:15,459 Filter sendet Bundesliste komplett. 718 00:25:15,460 --> 00:25:17,379 Dort stehen alle Pakete drin, die 719 00:25:17,380 --> 00:25:18,549 verschickt wurden. Dann müssen wir da 720 00:25:18,550 --> 00:25:20,619 noch mal ran und müssen die Pakete, die 721 00:25:20,620 --> 00:25:22,509 wir selber injiziert haben, aus dieser 722 00:25:22,510 --> 00:25:24,009 Liste extrahieren. 723 00:25:24,010 --> 00:25:25,179 Die dürfen wir leider nicht nach oben 724 00:25:25,180 --> 00:25:26,349 melden. Sonst losgeht. 725 00:25:27,400 --> 00:25:28,629 Das haben wir glaube ich ausreichend 726 00:25:28,630 --> 00:25:30,209 häufig getestet. 727 00:25:30,210 --> 00:25:32,229 Lucent funktionieren auf jeden Fall sehr 728 00:25:32,230 --> 00:25:33,230 gut. So ist. 729 00:25:35,700 --> 00:25:37,469 Also ich kann dir mal zeigen, wie das so 730 00:25:37,470 --> 00:25:40,009 ein bisschen im Code aussieht. 731 00:25:40,010 --> 00:25:42,239 Ähm, das ist 732 00:25:42,240 --> 00:25:43,240 jetzt der Herr. 733 00:25:47,330 --> 00:25:50,069 Das ist jetzt der Code von Microsoft 734 00:25:50,070 --> 00:25:51,200 für einen Filter Treiber. 735 00:25:52,410 --> 00:25:53,970 Deswegen ist er relativ umfangreich. 736 00:25:55,020 --> 00:25:56,020 Ähm 737 00:25:57,780 --> 00:26:00,119 in C ist der und 738 00:26:00,120 --> 00:26:01,829 dort gibt es mehrere Funktionen. 739 00:26:01,830 --> 00:26:03,899 Eine verpflichtende Funktion, 740 00:26:03,900 --> 00:26:05,579 die man umsetzen muss, ist Driver Entry. 741 00:26:05,580 --> 00:26:06,779 Das ist die Funktion, die aufgerufen 742 00:26:06,780 --> 00:26:08,549 wird, wenn der Treiber sozusagen 743 00:26:08,550 --> 00:26:09,749 gestartet wird. 744 00:26:09,750 --> 00:26:10,750 Und dort kann man 745 00:26:12,090 --> 00:26:14,159 Funktionen definieren, 746 00:26:14,160 --> 00:26:16,380 die aufgerufen werden, 747 00:26:17,490 --> 00:26:19,199 wenn verschiedene Dinge eben in diesem 748 00:26:19,200 --> 00:26:20,639 Netzwerk passieren. 749 00:26:20,640 --> 00:26:22,829 In unserem Fall haben wir hier 750 00:26:22,830 --> 00:26:23,849 relativ viele Sachen drin. 751 00:26:23,850 --> 00:26:24,989 Wir brauchen nur zwei 752 00:26:26,070 --> 00:26:27,269 von diesen vielen Funktionen. 753 00:26:27,270 --> 00:26:28,709 Wir brauchen diese hier. 754 00:26:28,710 --> 00:26:30,149 Die Filter seit der Wache ist, wo wir 755 00:26:30,150 --> 00:26:32,369 unsere Haefs generieren und die die 756 00:26:32,370 --> 00:26:34,299 komplett Funktion, wo wir noch mal 757 00:26:34,300 --> 00:26:35,489 manipulieren, was wir nach oben 758 00:26:35,490 --> 00:26:37,889 durchreichen, wieder den Protokoll 759 00:26:37,890 --> 00:26:40,169 Treiber TCP, IP, 760 00:26:40,170 --> 00:26:42,299 welche Pakete verschickt wurden, wenn 761 00:26:42,300 --> 00:26:44,859 man diese Funktionen, 762 00:26:44,860 --> 00:26:46,739 die wir nicht brauchen, nicht 763 00:26:46,740 --> 00:26:48,479 implementiert. Das ist auch ein Vorteil 764 00:26:48,480 --> 00:26:49,889 von dem Filter Treiber. 765 00:26:49,890 --> 00:26:51,149 Dann werden die auch natürlich nicht 766 00:26:51,150 --> 00:26:52,679 angesprochen und das heißt der Treiber 767 00:26:52,680 --> 00:26:54,839 guckt, ist die Funktion implementiert und 768 00:26:54,840 --> 00:26:56,909 wenn nicht, dann passiert hier kein 769 00:26:56,910 --> 00:26:58,499 Overhead, sondern das Paket wird gleich 770 00:26:58,500 --> 00:27:00,719 weiter an dem Protokoll Treiber gereicht. 771 00:27:00,720 --> 00:27:02,339 Und in unserem Fall ist es von Vorteil, 772 00:27:02,340 --> 00:27:04,649 weil wir nur den ausgehenden Datenverkehr 773 00:27:04,650 --> 00:27:06,539 analysieren und nicht den eingehenden 774 00:27:06,540 --> 00:27:07,619 Datenverkehr. 775 00:27:07,620 --> 00:27:09,689 Das ist jetzt mit Pick-Up im 776 00:27:09,690 --> 00:27:11,129 Moment zum Beispiel auch nicht möglich. 777 00:27:11,130 --> 00:27:13,049 Wenn ich das richtig weiß, zumindest zu 778 00:27:13,050 --> 00:27:15,149 der Zeit, konnte man nicht die, die 779 00:27:15,150 --> 00:27:16,649 die Richtung definieren, welche 780 00:27:16,650 --> 00:27:18,029 Datenverkehr man eigentlich haben will. 781 00:27:18,030 --> 00:27:20,159 Ich glaube, da ist vielleicht hat sich 782 00:27:20,160 --> 00:27:21,149 das schon geändert. 783 00:27:21,150 --> 00:27:23,269 Da war, glaube ich, ein paar Leute daran, 784 00:27:23,270 --> 00:27:24,270 das umzusetzen. 785 00:27:25,380 --> 00:27:28,469 Und das macht dann halt auch einen 786 00:27:28,470 --> 00:27:30,239 wesentlich geringeren 787 00:27:30,240 --> 00:27:32,399 Ressourcenverbrauch, weil wir genau also 788 00:27:32,400 --> 00:27:34,019 bei uns war das zumindest so jetzt in 789 00:27:34,020 --> 00:27:36,119 allen Bereichen, die wir 790 00:27:36,120 --> 00:27:38,249 uns angeguckt haben, bekommt 791 00:27:38,250 --> 00:27:39,749 man natürlich wesentlich mehr Daten als 792 00:27:39,750 --> 00:27:40,920 man eine kleine verschickt. 793 00:27:42,420 --> 00:27:44,399 Und wir gucken uns nun wirklich die Daten 794 00:27:44,400 --> 00:27:45,400 an, die ausgehen. 795 00:27:47,310 --> 00:27:49,079 Ich kann noch mal eine Funktion zeigen, 796 00:27:50,400 --> 00:27:52,019 wie wir das umgesetzt haben. 797 00:27:52,020 --> 00:27:54,239 Das ist jetzt die Filter 798 00:27:54,240 --> 00:27:57,009 sendet Verlusts, die wir hier verwenden. 799 00:27:57,010 --> 00:27:59,279 Also das sind die, die Microsoft Funktion 800 00:27:59,280 --> 00:28:00,659 nahmen. Die haben jetzt einfach mal so 801 00:28:00,660 --> 00:28:02,369 gelassen. Falls das mal irgendjemand 802 00:28:02,370 --> 00:28:03,450 nachbauen möchte vielleicht. 803 00:28:04,980 --> 00:28:06,239 Da kommt das rein. 804 00:28:06,240 --> 00:28:07,240 Wir bekommen hier 805 00:28:08,520 --> 00:28:11,159 die Daten, die wir zu verschicken haben, 806 00:28:11,160 --> 00:28:13,679 übermittelt, als Variable sozusagen 807 00:28:13,680 --> 00:28:16,199 und können dann über das Bauteil, 808 00:28:16,200 --> 00:28:18,299 können dann auf den 809 00:28:18,300 --> 00:28:20,039 Speicherbereich zugreifen und die Daten 810 00:28:20,040 --> 00:28:21,299 auslesen, die eigentlich verschickt 811 00:28:21,300 --> 00:28:23,069 werden sollen und dann ja 812 00:28:24,960 --> 00:28:26,809 durch dieses Konstrukt gehen. 813 00:28:26,810 --> 00:28:29,009 Also wir bekommen eine Liste 814 00:28:29,010 --> 00:28:31,649 mit vielen davon und 815 00:28:31,650 --> 00:28:33,989 in einem Wellpappe gibt es wieder Apps 816 00:28:33,990 --> 00:28:35,909 Memory des Kapitalismus, wo die 817 00:28:35,910 --> 00:28:36,959 eigentlichen Daten drinstehen. 818 00:28:36,960 --> 00:28:37,889 Das heißt, wir wissen das ein bisschen 819 00:28:37,890 --> 00:28:40,109 verschachtelt und dann bekommt man aber 820 00:28:40,110 --> 00:28:42,479 hier in der Funktion alle 821 00:28:42,480 --> 00:28:44,759 Datenpakete und können dann darüber 822 00:28:44,760 --> 00:28:47,009 hier diese fünf Hashes 823 00:28:47,010 --> 00:28:48,359 bilden. 824 00:28:48,360 --> 00:28:50,339 Was wir jetzt in der Version noch nicht 825 00:28:50,340 --> 00:28:51,569 sehen ist, dass die auch verschickt 826 00:28:51,570 --> 00:28:53,099 werden. Aber das haben wir dann später 827 00:28:53,100 --> 00:28:55,349 implementiert und letzten Endes. 828 00:28:55,350 --> 00:28:56,879 Was dann am Schluss passiert, so als 829 00:28:56,880 --> 00:28:58,139 letzte Funktion ist, dass man das 830 00:28:58,140 --> 00:29:00,299 Original Paket noch mal auf die Reise 831 00:29:00,300 --> 00:29:01,679 schickt, da die Netzwerkkarte schickt. 832 00:29:03,210 --> 00:29:04,440 Ja, so sieht das im Code aus. 833 00:29:07,810 --> 00:29:10,329 Narayen Im Vergleich zu anderen Lösung 834 00:29:10,330 --> 00:29:12,399 braucht der Algorithmus, weil es kein 835 00:29:12,400 --> 00:29:14,709 gibt, kein Training, um erst mal 836 00:29:14,710 --> 00:29:15,940 Schadsoftware zu erkennen, 837 00:29:16,960 --> 00:29:19,209 sondern entdeckt Daten am Fluss 838 00:29:19,210 --> 00:29:20,210 gleich. 839 00:29:20,680 --> 00:29:22,629 Und wir erkennen 100 prozent haben wir 840 00:29:22,630 --> 00:29:24,459 gezeigt. Das hat funktioniert. 841 00:29:24,460 --> 00:29:26,349 Auch schon mit der anderen Lösung für 842 00:29:26,350 --> 00:29:28,809 kleine kleine Anzahl. 843 00:29:30,090 --> 00:29:32,289 Und wir haben dann 844 00:29:32,290 --> 00:29:34,209 auch die Datenpakete direkt da, um sie zu 845 00:29:34,210 --> 00:29:35,379 analysieren, falls es zu einer 846 00:29:35,380 --> 00:29:37,539 forensischen Analyse kommt. 847 00:29:37,540 --> 00:29:39,699 Und wir müssen nicht den ganzen Verkehr 848 00:29:39,700 --> 00:29:41,679 mitschneiden. Die meisten Lösungen. 849 00:29:41,680 --> 00:29:43,689 Die nehmen alle möglichen Daten auf, weil 850 00:29:43,690 --> 00:29:45,099 sie eben noch nicht verstehen, was sie 851 00:29:45,100 --> 00:29:46,599 sehen und was sie sehen müssen und was 852 00:29:46,600 --> 00:29:48,099 schlecht und was guter Verkehr ist. 853 00:29:50,260 --> 00:29:51,639 Und wir haben dann dadurch natürlich auch 854 00:29:51,640 --> 00:29:53,019 einen geringen Speicherbedarf, dadurch, 855 00:29:53,020 --> 00:29:55,119 dass wir mit diesen arbeiten und 856 00:29:55,120 --> 00:29:56,120 sie vergleichen. 857 00:29:57,880 --> 00:29:59,979 Aber halt normale Infektionen 858 00:29:59,980 --> 00:30:01,899 erkennen wir nicht an irgendwelchen 859 00:30:01,900 --> 00:30:04,329 Fernsehstars, erkennen wir auch nicht. 860 00:30:04,330 --> 00:30:06,579 Allerdings hat es auch den Vorteil, 861 00:30:06,580 --> 00:30:08,439 dass wir dadurch, dass wir nichts lernen 862 00:30:08,440 --> 00:30:10,659 müssen, erkennen wir halt auf neue 863 00:30:10,660 --> 00:30:12,489 Sachen. Ganz einfach, weil uns ist ja 864 00:30:12,490 --> 00:30:14,829 eigentlich egal, wie die funktionieren. 865 00:30:15,850 --> 00:30:17,679 Das Wichtige ist bei dieser Lösung nur, 866 00:30:17,680 --> 00:30:19,089 dass sie halt eben nicht die 867 00:30:19,090 --> 00:30:20,649 Kommunikation übers Betriebssystem 868 00:30:20,650 --> 00:30:22,719 leiten, sondern schlauer sind und 869 00:30:22,720 --> 00:30:25,329 eben nicht in TCP IP vom Betriebssystem 870 00:30:25,330 --> 00:30:26,499 verwenden, sondern einen eigenen 871 00:30:26,500 --> 00:30:29,109 aufmachen und darüber die Datenpakete 872 00:30:29,110 --> 00:30:30,789 abfließen. Und da ist uns auch egal, wie 873 00:30:30,790 --> 00:30:32,139 langsam das passiert, wie schnell das 874 00:30:32,140 --> 00:30:34,179 passiert, wie groß die sind, was in den 875 00:30:34,180 --> 00:30:35,199 Paketen drinsteht. 876 00:30:35,200 --> 00:30:36,579 Das ist uns alles egal. 877 00:30:36,580 --> 00:30:38,589 Wir sehen, da geht etwas raus, was das 878 00:30:38,590 --> 00:30:39,730 Betriebssystem nicht weiß. 879 00:30:41,130 --> 00:30:42,419 Ähm. 880 00:30:42,420 --> 00:30:44,319 Nachteil ist allerdings, dass wir halt 881 00:30:44,320 --> 00:30:45,909 für diesen Monitor Server, von dem ich 882 00:30:45,910 --> 00:30:48,099 vorhin erzählt habe RAM halten, 883 00:30:48,100 --> 00:30:49,989 dicken Server brauchen, der eine Menge 884 00:30:49,990 --> 00:30:52,479 Power hat, weil wir da halt 885 00:30:52,480 --> 00:30:54,369 auch die Datenpakete zwischenspeichern, 886 00:30:54,370 --> 00:30:55,749 weil wenn wir davon ausgehen, dass wir 887 00:30:55,750 --> 00:30:57,099 auch ein paar mehr kleine haben, was ja 888 00:30:57,100 --> 00:30:59,259 meistens in den Unternehmen der Fall ist. 889 00:30:59,260 --> 00:31:01,359 Ähm läuft 890 00:31:01,360 --> 00:31:02,709 er ja dann doch ein bisschen mehr auf, 891 00:31:02,710 --> 00:31:04,209 auch mit den Hashes. Also da passiert ja 892 00:31:04,210 --> 00:31:05,259 doch ne Menge. 893 00:31:05,260 --> 00:31:07,329 Und da sollte der Server auch in der Lage 894 00:31:07,330 --> 00:31:09,549 sein, mit der Datenbank da 895 00:31:09,550 --> 00:31:11,229 die ganzen Vergleiche und Vergleiche 896 00:31:11,230 --> 00:31:13,719 anstellen zu können und 897 00:31:13,720 --> 00:31:15,959 gegeben durch den Aufbau, dass wir 898 00:31:15,960 --> 00:31:18,789 ja eigentlich am Switching, weil wir 899 00:31:18,790 --> 00:31:20,409 den dazu hernehmen. 900 00:31:20,410 --> 00:31:22,479 Ähm, die ganzen Ports, also 901 00:31:22,480 --> 00:31:25,029 der Tatort, da werden ja sozusagen 902 00:31:25,030 --> 00:31:28,059 alle Ports gespiegelt und 903 00:31:28,060 --> 00:31:30,939 beobachtet beobachtbar gemacht. 904 00:31:30,940 --> 00:31:32,709 Und dadurch haben wir den Nachteil, dass 905 00:31:32,710 --> 00:31:34,629 wir jetzt beispielsweise Clients, die im 906 00:31:34,630 --> 00:31:36,699 WLAN hängen, die da können 907 00:31:36,700 --> 00:31:38,019 wir nichts abfangen, da sehen wir nicht, 908 00:31:38,020 --> 00:31:39,339 was da passiert wäre. 909 00:31:39,340 --> 00:31:40,329 Wir müssen halt alles über die 910 00:31:40,330 --> 00:31:41,330 Sehenswürdigkeiten. 911 00:31:45,410 --> 00:31:46,700 Und jetzt gern Fragen. 912 00:31:49,610 --> 00:31:50,610 Danke! 913 00:31:58,310 --> 00:31:59,539 Wir haben eine ganze Menge Zeit für 914 00:31:59,540 --> 00:32:00,540 Fragen 915 00:32:04,160 --> 00:32:06,259 und so habt ihr Probleme 916 00:32:06,260 --> 00:32:08,629 gesehen, dass der Switch zum Beispiel 917 00:32:08,630 --> 00:32:10,909 bei höherer Pakete gedrückt hat oder 918 00:32:10,910 --> 00:32:12,799 euer Monitor Server und es dadurch so 919 00:32:12,800 --> 00:32:15,109 aussah, als ob ihr 920 00:32:15,110 --> 00:32:16,969 Pakete hätte, die da nicht hätten sein 921 00:32:16,970 --> 00:32:18,109 sollen. Und wie seid ihr damit 922 00:32:18,110 --> 00:32:19,369 umgegangen? 923 00:32:19,370 --> 00:32:21,259 Genau. Also wir haben das Problem mit 924 00:32:21,260 --> 00:32:22,909 Hardware erschlagen. 925 00:32:22,910 --> 00:32:24,649 Wir haben dann irgendwann Melanom. 926 00:32:24,650 --> 00:32:26,179 Tschuldigung, darf ich das sagen? 927 00:32:26,180 --> 00:32:27,799 Wir haben relativ schnell es witzig 928 00:32:27,800 --> 00:32:30,649 bekommen und 929 00:32:30,650 --> 00:32:32,089 wir haben vorhin auch das Leid gehabt, 930 00:32:32,090 --> 00:32:34,099 mit dem sie wie das endet. 931 00:32:34,100 --> 00:32:35,599 Die Witze, die wir dann hatten, waren 932 00:32:35,600 --> 00:32:37,969 hundert Gigabit Witze 933 00:32:37,970 --> 00:32:40,279 und die waren auch von der 934 00:32:40,280 --> 00:32:42,679 Performance ausreichend 935 00:32:42,680 --> 00:32:44,809 schnell, um alle 936 00:32:44,810 --> 00:32:47,059 Daten zu liefern, damit da nichts 937 00:32:47,060 --> 00:32:49,339 auf dem Typekit auf dem Monitor verloren 938 00:32:49,340 --> 00:32:51,319 geht. Weil das passiert tatsächlich, wenn 939 00:32:51,320 --> 00:32:53,389 man nur einen Port überwacht. 940 00:32:53,390 --> 00:32:55,369 Wenn man also nur einen kleinen hat, dann 941 00:32:55,370 --> 00:32:56,629 geht eigentlich nichts verloren, dann 942 00:32:56,630 --> 00:32:58,039 sieht man alles. Aber wenn man zwei oder 943 00:32:58,040 --> 00:32:59,899 drei Clients hat und dann den 944 00:32:59,900 --> 00:33:01,969 Datenverkehr bündelt auf einem 945 00:33:01,970 --> 00:33:04,099 Typekit, dann kann 946 00:33:04,100 --> 00:33:05,329 es natürlich sein, wenn er zu klein 947 00:33:05,330 --> 00:33:07,849 dimensioniert ist, dass Pakete wegfliegen 948 00:33:07,850 --> 00:33:09,499 kann auf dem Monitor, Server oder auch 949 00:33:09,500 --> 00:33:11,599 einfach random, dass ein Paket, mit dem 950 00:33:11,600 --> 00:33:12,710 andere Leute auch fragen 951 00:33:13,760 --> 00:33:16,009 und das 952 00:33:16,010 --> 00:33:17,010 andere Gruppe? 953 00:33:17,780 --> 00:33:19,879 Gibt es eine Möglichkeit, den Buffer 954 00:33:19,880 --> 00:33:21,649 der Netzwerkkarte auszulesen und zu 955 00:33:21,650 --> 00:33:22,849 kontrollieren, ob da auch nur das 956 00:33:22,850 --> 00:33:24,449 drinsteht, was Narayen geschrieben hat? 957 00:33:24,450 --> 00:33:25,789 Dann könnte man das ganze doch lokal 958 00:33:25,790 --> 00:33:26,790 machen, oder? 959 00:33:28,100 --> 00:33:29,509 Ähm. 960 00:33:29,510 --> 00:33:30,739 Gute Frage. 961 00:33:30,740 --> 00:33:32,419 Nächste Frage. 962 00:33:32,420 --> 00:33:33,619 Das hängt wahrscheinlich auch stark von 963 00:33:33,620 --> 00:33:35,839 der von der Netzwerkkarte ab. 964 00:33:35,840 --> 00:33:36,829 Vom Switch könnte ich jetzt mal 965 00:33:36,830 --> 00:33:38,329 behaupten, dass der Pakete, die 966 00:33:38,330 --> 00:33:39,530 verarbeitet wurden, sofort 967 00:33:40,700 --> 00:33:42,769 aus dem Speicher entfernt werden oder 968 00:33:42,770 --> 00:33:43,999 in der Regel eigentlich werden, die 969 00:33:44,000 --> 00:33:46,249 verarbeitet werden. Sobald ein Byte 970 00:33:46,250 --> 00:33:47,539 gesendet wurde, ist es nicht mehr 971 00:33:47,540 --> 00:33:48,469 interessant. 972 00:33:48,470 --> 00:33:50,419 Netzwerk haben kann ich nicht genau 973 00:33:50,420 --> 00:33:52,609 sagen, aber das ist natürlich auch 974 00:33:52,610 --> 00:33:54,709 abhängig davon, was für ein Modell man 975 00:33:54,710 --> 00:33:56,239 hat, also was der Hersteller und eben 976 00:33:56,240 --> 00:33:57,379 auch was für Modell. Und das haben wir 977 00:33:57,380 --> 00:33:59,150 glaube ich bei dieser 978 00:34:00,380 --> 00:34:02,059 Forschungsarbeit gesehen, die vorhin 979 00:34:02,060 --> 00:34:04,009 angesprochen habe von 2010 oder was mit 980 00:34:04,010 --> 00:34:05,299 der Brotkorb Chip. 981 00:34:05,300 --> 00:34:06,619 Diese Firma, die da geschrieben wurde, 982 00:34:06,620 --> 00:34:08,569 funktionierte nur in einem bestimmten 983 00:34:08,570 --> 00:34:11,029 Fall mit einer bestimmten Chipsatz, 984 00:34:11,030 --> 00:34:12,769 weil natürlich sonst andere Register, 985 00:34:12,770 --> 00:34:13,770 andere 986 00:34:14,989 --> 00:34:17,059 CPU drin und 987 00:34:17,060 --> 00:34:19,189 das ist schon sehr spezifisch. 988 00:34:19,190 --> 00:34:21,198 Und genau das ist auch die Spezialität. 989 00:34:21,199 --> 00:34:23,329 Weil wir uns halt so Hardware da 990 00:34:23,330 --> 00:34:25,099 befinden, sind wir halt immer sehr 991 00:34:25,100 --> 00:34:26,928 speziell. Das weiß jeder, der sich damit 992 00:34:26,929 --> 00:34:28,729 so ein bisschen auseinandersetzt. 993 00:34:28,730 --> 00:34:30,089 Und deswegen war es auch eigentlich 994 00:34:30,090 --> 00:34:31,319 gerade so schwierig, diese gut geht, 995 00:34:31,320 --> 00:34:33,109 sondern es ist so schwierig zu erkennen, 996 00:34:33,110 --> 00:34:34,579 weil die sich halt so unterscheiden und 997 00:34:34,580 --> 00:34:36,049 spezialisiert sind auf die Hardware. 998 00:34:36,050 --> 00:34:38,360 Und ja, das ist halt das Problem. 999 00:34:41,620 --> 00:34:43,899 Das rechte Mikro bitte wieder, 1000 00:34:43,900 --> 00:34:46,059 um noch mal bei den Netzwerken quasi 1001 00:34:46,060 --> 00:34:48,819 zu bleiben, stellt 1002 00:34:48,820 --> 00:34:51,609 TCP auf Loading oder solche Netzwerk 1003 00:34:51,610 --> 00:34:53,859 Karten Funktionen Problem dar. 1004 00:34:53,860 --> 00:34:55,928 Ja, wenn man 1005 00:34:55,929 --> 00:34:57,609 nicht aufpasst. Genau am Anfang haben wir 1006 00:34:57,610 --> 00:34:59,859 schlicht vergessen, dass in der 1007 00:34:59,860 --> 00:35:01,449 App überall Müll drinsteht und haben uns 1008 00:35:01,450 --> 00:35:03,609 gewundert, warum das nicht funktioniert. 1009 00:35:03,610 --> 00:35:06,099 Weil eben diese 1010 00:35:06,100 --> 00:35:07,659 Treiber sehen wir natürlich noch keine 1011 00:35:07,660 --> 00:35:09,279 Checks und wenn die von der Netzwerkkarte 1012 00:35:09,280 --> 00:35:11,559 gebildet werden, zwei 1013 00:35:11,560 --> 00:35:13,689 Möglichkeiten oder mehrere Möglichkeiten. 1014 00:35:13,690 --> 00:35:14,949 Zum einen kann man das abschalten. 1015 00:35:16,330 --> 00:35:18,609 Das war der erste Lösung. 1016 00:35:18,610 --> 00:35:19,959 Zum anderen können wir tatsächlich im 1017 00:35:19,960 --> 00:35:20,960 Treiber auch 1018 00:35:22,210 --> 00:35:25,209 Statusmeldungen verschicken, 1019 00:35:25,210 --> 00:35:27,880 und zwar Filter. 1020 00:35:29,720 --> 00:35:32,269 UID Requests Sie wird sehr genau 1021 00:35:32,270 --> 00:35:34,519 das ist die Funktion, mit der wir 1022 00:35:34,520 --> 00:35:36,439 diese Funktion in der Netzwerkkarte ein 1023 00:35:36,440 --> 00:35:37,429 und ausschalten können. 1024 00:35:37,430 --> 00:35:39,469 Das wäre die zweite Möglichkeit. 1025 00:35:39,470 --> 00:35:41,539 Und die dritte Möglichkeit ist einfach, 1026 00:35:41,540 --> 00:35:43,339 entweder den Hash selber in Treiber zu 1027 00:35:43,340 --> 00:35:44,269 generieren. 1028 00:35:44,270 --> 00:35:45,620 Wir haben uns aber dazu entschieden 1029 00:35:46,700 --> 00:35:48,799 auf dem Monitor Server. 1030 00:35:48,800 --> 00:35:50,329 Wenn wir die Daten bekommen, bekommen wir 1031 00:35:50,330 --> 00:35:53,009 das ganze Paket mit 1032 00:35:53,010 --> 00:35:54,010 mit Jackson 1033 00:35:55,100 --> 00:35:57,709 rauszuholen und bei der Generierung 1034 00:35:57,710 --> 00:36:00,319 im Client auch egal ob da jetzt 1035 00:36:00,320 --> 00:36:02,509 Jackson kommen oder nicht, die 1036 00:36:02,510 --> 00:36:03,449 auch auszunutzen. 1037 00:36:03,450 --> 00:36:05,059 Das heißt, wir müssen uns ein bisschen 1038 00:36:05,060 --> 00:36:06,889 mehr Arbeit machen. Das heißt, wir müssen 1039 00:36:06,890 --> 00:36:08,259 schon gucken, was ist das für ein Paket? 1040 00:36:08,260 --> 00:36:10,039 Das hatten wir am Anfang nicht. 1041 00:36:10,040 --> 00:36:11,599 Da bekommen wir einfach nur einen 1042 00:36:11,600 --> 00:36:13,969 Speicher Block, also zwei, 1043 00:36:13,970 --> 00:36:16,099 drei Einträge 1044 00:36:16,100 --> 00:36:18,170 in so einer NDL und 1045 00:36:19,190 --> 00:36:20,569 müssten das dann zusammensetzen und 1046 00:36:20,570 --> 00:36:21,949 verstehen was da passiert. Und das ist 1047 00:36:21,950 --> 00:36:24,409 bei TCP IP nicht so komplex 1048 00:36:24,410 --> 00:36:25,489 oder sagen also so ein 1049 00:36:27,050 --> 00:36:29,719 IP Checks und TCP Checks 1050 00:36:29,720 --> 00:36:30,949 und das war's dann. 1051 00:36:30,950 --> 00:36:32,389 Oder vielleicht. 1052 00:36:32,390 --> 00:36:34,609 Aber dann ja genau. 1053 00:36:34,610 --> 00:36:36,640 Aber tatsächlich, das waren Probleme. 1054 00:36:38,460 --> 00:36:40,349 Jetzt wieder die andere Seite. 1055 00:36:40,350 --> 00:36:42,479 Hallo, könnte so ein 1056 00:36:42,480 --> 00:36:44,929 gut geht im nicht auch selbst diese 1057 00:36:44,930 --> 00:36:46,679 pessimistisches Insekten in den 1058 00:36:46,680 --> 00:36:48,899 Datenstrom und dann 1059 00:36:48,900 --> 00:36:49,900 fressen? 1060 00:36:50,590 --> 00:36:51,590 Genau, 1061 00:36:53,290 --> 00:36:54,689 wir haben ja noch das Leisten. 1062 00:36:54,690 --> 00:36:57,569 Danke schön für die Frage. 1063 00:36:57,570 --> 00:36:59,679 Ja, das ist ja der mittlere 1064 00:36:59,680 --> 00:37:00,849 Bummel unterdrückt. 1065 00:37:00,850 --> 00:37:02,919 Natürlich gibt 1066 00:37:02,920 --> 00:37:05,359 es sehr intelligente 1067 00:37:05,360 --> 00:37:06,789 Kids in Beirut. Jetzt aber die 1068 00:37:06,790 --> 00:37:09,189 Problematik damals als ich als 1069 00:37:09,190 --> 00:37:10,269 Menschen. 1070 00:37:10,270 --> 00:37:12,189 Sie haben quasi unlimitierte Ressourcen, 1071 00:37:12,190 --> 00:37:13,989 weil die können beliebig groß sein, die 1072 00:37:13,990 --> 00:37:15,399 kann man beliebig komplex machen. 1073 00:37:15,400 --> 00:37:16,899 Das geht jetzt. Mit einer Netzwerkkarte 1074 00:37:16,900 --> 00:37:17,829 würde ich das ausschließen. 1075 00:37:17,830 --> 00:37:19,359 Da ist nicht genügend Speicher, um sowas 1076 00:37:19,360 --> 00:37:20,360 zu implementieren. 1077 00:37:21,920 --> 00:37:22,959 Zum Beispiel braucht man wahrscheinlich 1078 00:37:22,960 --> 00:37:24,969 so ungefähr anderthalb Kilowatt Assembler 1079 00:37:24,970 --> 00:37:26,709 Code oder Maschine Code. 1080 00:37:26,710 --> 00:37:28,119 Und wenn halt kein Platz ist, dann kann 1081 00:37:28,120 --> 00:37:30,369 man keine Funktion 1082 00:37:30,370 --> 00:37:31,479 simulieren. 1083 00:37:31,480 --> 00:37:33,789 Das ist eine Brücke anders und 1084 00:37:33,790 --> 00:37:34,869 das war auch jetzt Teil. 1085 00:37:34,870 --> 00:37:36,639 Oder ist jetzt auch der in der 1086 00:37:36,640 --> 00:37:37,929 Entwicklung, die jetzt stattfindet, die 1087 00:37:37,930 --> 00:37:39,249 super interessant ist? Wie können wir 1088 00:37:39,250 --> 00:37:40,360 denn uns 1089 00:37:41,890 --> 00:37:44,049 in einem Antastet 1090 00:37:44,050 --> 00:37:45,579 wurde? In einem Bereich, den wir nicht 1091 00:37:45,580 --> 00:37:46,779 vertrauen? 1092 00:37:46,780 --> 00:37:48,159 Wie können wir das Vertrauen herstellen? 1093 00:37:48,160 --> 00:37:49,869 Nur für uns, für unsere Funktion? 1094 00:37:49,870 --> 00:37:52,059 Und da wir uns ein 1095 00:37:52,060 --> 00:37:54,049 paar stumpfe Sachen überlegt wir können 1096 00:37:54,050 --> 00:37:56,199 zum Beispiel alle zwei Wochen 1097 00:37:56,200 --> 00:37:57,429 mal den Treiber tauschen und dann nehmen 1098 00:37:57,430 --> 00:37:59,799 wir nicht die 5 zum Hash generieren, 1099 00:37:59,800 --> 00:38:02,259 sondern er hat C4. 1100 00:38:02,260 --> 00:38:03,669 Das sind alles wird benutzt. 1101 00:38:03,670 --> 00:38:04,899 Übrigens MD5. 1102 00:38:04,900 --> 00:38:06,159 Das ist aber bei uns überhaupt gar kein 1103 00:38:06,160 --> 00:38:08,169 Problem. Ich finde es ganz toll. 1104 00:38:08,170 --> 00:38:10,269 Es macht keine langen 1105 00:38:10,270 --> 00:38:12,489 Checks Summen und es ist ziemlich 1106 00:38:12,490 --> 00:38:13,490 schnell. 1107 00:38:14,470 --> 00:38:15,939 Die Problematik, dass es nicht sicher 1108 00:38:15,940 --> 00:38:18,039 ist, haben wir ja nicht, weil wir um so 1109 00:38:18,040 --> 00:38:19,389 eine Kollision zu berechnen, das dauert 1110 00:38:19,390 --> 00:38:20,390 relativ lange. 1111 00:38:21,640 --> 00:38:23,829 Und ich glaube, die 1112 00:38:23,830 --> 00:38:25,959 Wahrscheinlichkeit, dass wir bei 1113 00:38:25,960 --> 00:38:28,249 Datenpaketen bis 1500 Zeichen 1114 00:38:28,250 --> 00:38:29,679 eine Kollision bekommen, ist relativ 1115 00:38:29,680 --> 00:38:30,849 gering. 1116 00:38:30,850 --> 00:38:33,039 Deswegen ist es gut 1117 00:38:33,040 --> 00:38:35,289 für alle anderen Anwendungen. 1118 00:38:35,290 --> 00:38:37,209 Szenarien ist eigentlich nicht gut, das 1119 00:38:37,210 --> 00:38:38,229 möchte ich noch mal ausdrücklich 1120 00:38:38,230 --> 00:38:39,230 erwähnen. 1121 00:38:40,630 --> 00:38:42,699 Genau. Und das ist schon 1122 00:38:42,700 --> 00:38:44,229 etwas, worüber wir uns Gedanken gemacht 1123 00:38:44,230 --> 00:38:45,999 haben. Wie können wir das verhindern? 1124 00:38:46,000 --> 00:38:47,559 Und wenn wir jetzt zum Beispiel den 1125 00:38:47,560 --> 00:38:48,519 Treiber einfach tauschen? 1126 00:38:48,520 --> 00:38:49,839 Also wir lassen noch mal den Installations 1127 00:38:49,840 --> 00:38:51,309 Routine rennen und tauschen den Treiber 1128 00:38:51,310 --> 00:38:53,179 aus und dann sieht die Funktionsweise 1129 00:38:53,180 --> 00:38:55,419 auch anders. Und wir gucken, dass 1130 00:38:55,420 --> 00:38:57,949 die Abfolge der Pakete irgendwie 1131 00:38:57,950 --> 00:38:59,829 der der Funktionen anders ist. 1132 00:38:59,830 --> 00:39:01,959 Dann nachher die rauskommt, bekommen wir 1133 00:39:01,960 --> 00:39:03,129 ein anderes Produkt und wenn wir das 1134 00:39:03,130 --> 00:39:04,130 installieren, 1135 00:39:05,320 --> 00:39:06,669 dann würden wir jetzt im Moment noch 1136 00:39:06,670 --> 00:39:08,799 davon ausgehen, dass das Rukwied keine 1137 00:39:08,800 --> 00:39:11,199 Chance hat, sich darauf einzustellen 1138 00:39:11,200 --> 00:39:13,669 und erst mal den Betrieb einstellen muss. 1139 00:39:13,670 --> 00:39:15,879 Weil wenn es dann versucht, 1140 00:39:15,880 --> 00:39:17,829 eine neue Funktion herunterzuladen, um 1141 00:39:17,830 --> 00:39:19,359 auf dieses neue Treiber zu reagieren, 1142 00:39:19,360 --> 00:39:20,360 dann sehen wir das ja schon. 1143 00:39:22,180 --> 00:39:23,919 Das wäre jetzt was, was wir demnächst 1144 00:39:23,920 --> 00:39:25,419 implementieren wollen und wenn wir schon 1145 00:39:25,420 --> 00:39:26,739 da beim Ausblick sind, können wir auch 1146 00:39:26,740 --> 00:39:27,740 noch sagen, dass wir 1147 00:39:29,230 --> 00:39:31,359 mit den performant rutschen, die wir da 1148 00:39:31,360 --> 00:39:32,360 zur Verfügung hatten. 1149 00:39:33,910 --> 00:39:35,589 Das ist seit Linux Switche. 1150 00:39:35,590 --> 00:39:36,969 Da kann man dann auch versuchen die 1151 00:39:36,970 --> 00:39:39,969 Hashes an einem Server 1152 00:39:39,970 --> 00:39:41,239 Monitor Server zu generieren. 1153 00:39:41,240 --> 00:39:42,399 Das kann man eigentlich im Switch machen. 1154 00:39:42,400 --> 00:39:44,499 Was weg um hier 1155 00:39:44,500 --> 00:39:46,119 die Slide zu vervollständigen. 1156 00:39:48,010 --> 00:39:49,010 Rechts bitte. 1157 00:39:49,510 --> 00:39:51,939 Vielleicht wegen dem Problem? 1158 00:39:51,940 --> 00:39:53,559 Ich glaube das könnte ja prinzipiell 1159 00:39:53,560 --> 00:39:54,549 nicht lösen, oder? 1160 00:39:54,550 --> 00:39:56,679 Ich meine, wenn 1161 00:39:56,680 --> 00:39:58,509 ihr ein Roadkill drauf habt, wie wollt 1162 00:39:58,510 --> 00:40:00,579 ihr sicherstellen, dass euer Client 1163 00:40:00,580 --> 00:40:02,589 nicht lügt gegenüber einem System? 1164 00:40:02,590 --> 00:40:04,659 Genau das ist genau die Frage, 1165 00:40:04,660 --> 00:40:07,239 die wir haben. Und klar, es 1166 00:40:07,240 --> 00:40:09,999 gibt keine sichere Lösung, aber 1167 00:40:10,000 --> 00:40:12,969 was wir bisher gesehen haben ist 1168 00:40:12,970 --> 00:40:14,019 das. 1169 00:40:14,020 --> 00:40:15,649 Es gibt schon relativ komplex ist, aber 1170 00:40:15,650 --> 00:40:18,099 ich glaube, es war 1171 00:40:18,100 --> 00:40:20,229 ziemlich komplex, was so was angeht. 1172 00:40:20,230 --> 00:40:22,269 Die waren wirklich dann auf dieses 1173 00:40:22,270 --> 00:40:24,009 Szenario hin gebaut, wo sie eingesetzt 1174 00:40:24,010 --> 00:40:25,749 wurden oder da die Software. 1175 00:40:25,750 --> 00:40:28,239 Und wenn. Wenn man mit sowas konfrontiert 1176 00:40:28,240 --> 00:40:30,279 ist, ist es immer schwer. Aber die große 1177 00:40:30,280 --> 00:40:31,899 Lösung war einfach. Zum Beispiel, dass 1178 00:40:31,900 --> 00:40:34,839 eben da die die Funktionsweise 1179 00:40:34,840 --> 00:40:36,159 des Programmes zu tauschen. 1180 00:40:36,160 --> 00:40:38,259 Und zwar in einer Form, die nicht 1181 00:40:38,260 --> 00:40:39,260 vorhersagbar ist. 1182 00:40:40,230 --> 00:40:42,339 Also wir können einfach 1183 00:40:42,340 --> 00:40:44,289 zwei Bilder machen, halt erst mal die 1184 00:40:44,290 --> 00:40:46,449 500er C4 und zwei Monate später als 1185 00:40:46,450 --> 00:40:48,779 ihr danach MD5 oder was auch einfach 1186 00:40:48,780 --> 00:40:49,989 ein bisschen unvorhersehbar sein. 1187 00:40:49,990 --> 00:40:51,189 Und dann muss man halt die die menschliche 1188 00:40:51,190 --> 00:40:52,479 Komponente reinbringen. 1189 00:40:52,480 --> 00:40:54,429 Das kann man maschinell nicht lösen, 1190 00:40:54,430 --> 00:40:55,430 dieses Problem. 1191 00:40:57,620 --> 00:40:59,730 Und die letzte Frage, die ich sehe 1192 00:41:01,380 --> 00:41:02,999 Habt ihr euch im Rahmen eurer Arbeit auch 1193 00:41:03,000 --> 00:41:05,609 mit Hardware Security Elementen sozusagen 1194 00:41:05,610 --> 00:41:07,800 auseinandergesetzt, seit dem begegnet? 1195 00:41:09,420 --> 00:41:10,659 Ich habe dich nicht verstanden. 1196 00:41:10,660 --> 00:41:12,359 Die Frage Entschuldigung, seid ihr im 1197 00:41:12,360 --> 00:41:14,339 Rahmen eure Arbeit auch Hardware Security 1198 00:41:14,340 --> 00:41:16,409 Elementen begegnet, die sozusagen schon 1199 00:41:16,410 --> 00:41:17,879 in die CPU mit reinkommen? 1200 00:41:17,880 --> 00:41:19,969 Dass die Intel 1201 00:41:19,970 --> 00:41:21,419 TX zum Beispiel 1202 00:41:22,440 --> 00:41:24,539 in Form von IBM Hardware 1203 00:41:24,540 --> 00:41:26,039 Security Animate, wie zum Beispiel einen 1204 00:41:26,040 --> 00:41:28,679 TPM und Trusted Platform Modul 1205 00:41:28,680 --> 00:41:30,329 ist das Thema gewesen, 1206 00:41:32,520 --> 00:41:33,929 weil diese das soll er genau dieses 1207 00:41:33,930 --> 00:41:36,389 Problem lösen, das man sozusagen 1208 00:41:36,390 --> 00:41:37,889 ab dem Boten sozusagen wenn man Hash 1209 00:41:37,890 --> 00:41:39,989 Werte bilden kann und diese sogenannte 1210 00:41:39,990 --> 00:41:42,329 Picards rein schreibt und dann sozusagen 1211 00:41:42,330 --> 00:41:44,249 Skorbut Chain aufbauen zu können. 1212 00:41:45,840 --> 00:41:47,909 Das Problem bei TPM ist, 1213 00:41:47,910 --> 00:41:49,020 wenn ich das richtig weiß 1214 00:41:50,040 --> 00:41:52,169 das TPM 1215 00:41:52,170 --> 00:41:54,449 davon ausgeht, dass das BIOS und 1216 00:41:54,450 --> 00:41:56,939 auch das BIOS vertrauenswürdig 1217 00:41:56,940 --> 00:41:57,940 ist und. 1218 00:42:00,700 --> 00:42:02,779 Äh, ja, das ist eine 1219 00:42:02,780 --> 00:42:03,849 gute Frage. 1220 00:42:03,850 --> 00:42:05,099 Da müsste jetzt vielleicht auch noch 1221 00:42:05,100 --> 00:42:06,100 drüber nachdenken, aber 1222 00:42:08,080 --> 00:42:09,080 kann man es nicht auch noch mal haben? 1223 00:42:10,300 --> 00:42:11,589 Dann sprechen wir aber später noch mal 1224 00:42:11,590 --> 00:42:12,590 drüber. 1225 00:42:13,130 --> 00:42:15,249 Aber um deine Frage zu beantworten 1226 00:42:15,250 --> 00:42:16,449 wir haben uns noch nicht so wirklich 1227 00:42:16,450 --> 00:42:17,450 viele Gedanken gemacht. 1228 00:42:19,960 --> 00:42:22,329 Gut, ich sehe keine weiteren 1229 00:42:22,330 --> 00:42:23,709 Fragen und das war's dann. 1230 00:42:23,710 --> 00:42:25,059 Vielen Dank für einen Vortrag. 1231 00:42:25,060 --> 00:42:27,279 Und falls ihr doch noch Fragen 1232 00:42:27,280 --> 00:42:29,559 habt, dann könnt ihr sicherlich im Laufe 1233 00:42:29,560 --> 00:42:30,560 des Abends noch auf sie 1234 00:42:31,900 --> 00:42:33,039 zukommen. Und 1235 00:42:34,360 --> 00:42:35,409 vielen Dank 1236 00:42:35,410 --> 00:42:37,209 für eure ActionScript.