ZFX + Developia

Krishty hat geschrieben: ↑01.03.2021, 16:52

Btw. hat jemand mal sein Zertifikat an die EXE gehauen und bei VirusTotal eingereicht:
https://www.virustotal.com/gui/file/a40 ... TDjW7hoqrU
Hätte nicht gedacht, dass das so einen großen Einfluss hat.

ROFL! Daran sieht man halt, dass das wirklich nur Schutzgelderpressung ist. Ich meine, das ist 1:1 der Code, den 25 AV-Engines als Virus einstufen – nur steht dieses Mal eine Signatur drin, dass jemand Schutzgeld bezahlt hat. Wow.

Als derjenige das gestern ausprobiert hat, waren sogar alle grün. Hatte es aber dann nochmal neu analysieren lassen. Bin mal gespannt, ob da die Tage noch mehr dazu kommen, die anschlagen. Aber echt dreist ist das. Da sieht man dann, wie geschützt man wirklich ist, weil ich denke, auch Viren und Trojaner könnten sich doch so ein Zertifikat zulegen.

Zudomon hat geschrieben: ↑01.03.2021, 18:57Da sieht man dann, wie geschützt man wirklich ist, weil ich denke, auch Viren und Trojaner könnten sich doch so ein Zertifikat zulegen.

Fun fact: Die SolarWinds-Malware war digital signiert, und das half ihr allem Anschein nach, nicht entdeckt zu werden.

https://securityboulevard.com/2020/12/how-x-509-certificates-were-involved-in-solarwinds-attack-keyfactor/ hat geschrieben:A trail of breadcrumbs leads us back to SolarWinds, where attackers modified source code to include a malicious backdoor, which was then compiled, signed, and delivered unknowingly by SolarWinds to nearly 18,000 customers via their software update and code-signing systems.

The initial breach was not the result of a stolen code-signing certificate, but the tampered library was signed by a valid (albeit compromised) certificate.

This isn’t the first time either. Attackers are increasingly weaponizing the trust we rely on. Similar supply chain attacks involved the theft of code-signing certificates, such as attacks conducted by APT41 and Kimsuky, or compromised signing systems, including the attack on ASUS last year.

Die beste Sicherheit, die man seinen Kunden für ihr Geld kaufen kann!!!!

Wie funktioniert das denn? Man muss fürs Zertifikat bezahlen (weil halt) aber auch seinen Namen und seine Adresse angeben und ist damit als Urheber der Software eindeutig identifizierbar? Bekommt man einen Schlüssel und signiert seine Software selber, oder muss man für jedesmal neu kompilieren bezahlen? Und könnte man ggf. einfach behaupten, dieser Schlüssel sei einem abhanden gekommen, so dass theoretisch jeder seine Viren signieren kann, ohne als Urheber gelten zu müssen?

Du kaufst das Zertifikat für ein Jahr (oder länger, dann gibt’s Rabatt).

Name und Adresse muss angegeben werden, wird aber nur mit Gewerbeanmeldung/Perso überprüft, falls du ein sehr teures Extended-Validation-Zertifikat kaufst (das erfordert Microsoft z. B. für Treiber; für Spieleentwickler egal).

Du bekommst üblicherweise einen USB-Stick mit Schlüssel, den du beliebig zum Signieren einsetzen kannst.

Du verpflichtest dich, den Schlüssel vor jedem Zugriff durch Dritte zu schützen. Du verpflichtest dich, keine Schad-Software zu signieren. Sollte der Schlüssel abhanden kommen, musst du das melden, und das Zertifikat wird ab dem Zeitpunkt ungültig. Falls du das nicht meldest oder dich nicht an die Regeln für sicheren Umgang hälst, wird es halt komplett zurückgezogen (und deine Software damit auf einen Schlag überall als „nicht vertrauenswürdig“ a. k. a. „Virus“ eingestuft).

Jedenfalls in der Theorie. In der Praxis haben insbesondere die günstigen Anbieter (< 120 €/a)in der Verwaltung ihrer Zertifikate massiv geschlampt und sind deshalb bei Google & Co nicht mehr vertrauenswürdig. Andererseits kosten Zertifikate für Malware auf dem Schwarzmarkt um die 1000 €; die Sicherheitsregeln scheint also doch nicht jeder knacken zu können.

Also ich habe ja vor einer Woche etwa bei der "Google Search Console" mein "Sicherheitsproblem" als behoben eingereicht und wenig später wurde mir auch bestätigt, dass nun keine Sicherheitsprobleme mehr vorliegen. Der Download wurde weiterhin über Chrome geblockt. Bin ja davon ausgegangen, dass es dann vielleicht noch ein paar Tage dauert. Als ich nun heute vorsichtshalber nochmal nachgeschaut habe, wieder: Und das, ohne dass sich irgendwas geändert hätte am Download. Besonders ärgerlich ist meiner Meinung nach, dass man dieses "Downloadrisiko" nicht umgehen kann. Mir wird nur "Verwerfen" der Datei angeboten, ansonsten kann man nichts tun. Ich denke, die Datei irgendwo anders hosten würden auch nichts bringen, weil es ja immer noch ein Link auf angebliche Schadsoftware wäre.

Und noch eine "Erfolgsstory", die mir aber auch zu denken gibt.
Bei einem der unbekannteren Scanner bei Virustotal hab ich meine exe auch vorhin als False Positive eingereicht. Die wurde dann wohl von dem Tool direkt geprüft und als "bad" eingestuft. Weitere Optionen gab es da nicht, außer der MD5, der dazu angezeigt wurde. Hab dann den Support angeschrieben, meinen Fall geschildert, MD5 mit bei gepackt. Zurück kam dann, dass die Datei gewhitelisted wurde. Ich meine, wenn dann eine Datei als False Positive eingesendet wird, ist es ja gut, wenn sie nochmal genauer analysiert wird. Aber das klingt irgendwie so, als ob man sich nicht wirklich damit beschäftigt hat und einfach sagt, na gut, die Datei ist dann also sauber. Ich hoffe, ein bisschen genauer beschäftigen die sich schon damit. Aber nach allem was ich bisher hier so gehört habe, zweifle ich so langsam daran.

Zudomon hat geschrieben: ↑04.03.2021, 15:41Aber nach allem was ich bisher hier so gehört habe, zweifle ich so langsam daran.

Ich gehe davon aus, dass das die meisten machen. Wenn's gut läuft starten die das Zeug in irgendeiner Spezial-VM und schauen auf die Aktionen, vielleicht mit noch ein paar Zeit-Umstellungen und das war's. Was sollen die sonst auch machen? Und es ist ja nur eine Frage der Zeit bis dieses System praktisch nicht mehr funktioniert. Im Grunde muss es auf Zertifikate mit echten (ggf. juristischen) Personen hinauslaufen. Ansonsten kann man das System doch einfach kaputt spammen.

Chromanoid hat geschrieben: ↑04.03.2021, 16:41Was sollen die sonst auch machen? Und es ist ja nur eine Frage der Zeit bis dieses System praktisch nicht mehr funktioniert. Im Grunde muss es auf Zertifikate mit echten (ggf. juristischen) Personen hinauslaufen. Ansonsten kann man das System doch einfach kaputt spammen.

Sichere Systeme wären mal ein Anfang. Dass ich mir ein Programm herunterladen kann, und so lange ich keine Admin-Rechte oder Rechte zum Ändern meiner Dateien vergebe, kann ich mir damit nicht mein System zerschießen.

Was Windows betrifft, ist eine der wenigen guten Sachen an UWP-Apps, dass sie mit eingeschränkten Rechten laufen. Dass standardmäßig jeder Zugriff *aus* ist und erlaubt werden muss (außer Telemetrie, Werbung, und Tracking natürlich).

Wenn Betriebssysteme richtig funktionieren würden, wären wir damit schon einen Großteil der Malware los. Aber wenn die Rechteverwaltung erstmal über einen Runtime-Broker-Service realisiert ist, der mit Nutzerrechten läuft und Abhängigkeiten von der Komplexität eine Betriebssystems mitbringt (*hust* Windows *hust*), dann können die Leute noch eine ganze Weile Ablassbriefe in der „Anti“virenindustrie kaufen gehen.

Ich bin auch nochmal ein bisschen weiter, irgendwie.

Download wird momentan nicht mehr von Chrome geblockt. Allerdings schlägt direkt nach dem Download der Defender an. Seltsam dabei ist, dass ich diese Datei dann auch schon zweimal bei Windows als FP eingereicht habe, beides mal wurde auch gesagt, dass die Datei sauber ist. Auf der Festplatte wird sie mir beim prüfen auch als sauber angegeben. Aber beim Download meckert er.

Ich überlege auch, nochmal einen "Installer" zu machen. In der Turbo Delphi IDE zweimal ein neues VCL Projekt angelegt, weil ich dachte, ich hätte beim ersten mal was falsch gemacht. Beim Start der leeren VCL-Anwendung friert die IDE ein. Beim zweiten mal bin ich mal auf die Idee gekommen, die neue EXE nicht aus der IDE heraus zu starten. Nur der Name der EXE Datei führt scheinbar schon zum anzeigen der UAC-Sicherheitswarnung. Glaube, das hatten wir auch damals schon mal. Irgendwie finde ich dumm, dass der EXE Name entscheidet, wie sich das System verhält.

Das ist Windows-Kompatibilitätsfeature, weil so viele Installer mit dem Namen nur funktionierten, wenn man Admin-Rechte hatte.

Irgendwie pervers, dass ein Projekt, in dem so viel Arbeit steckt, solche Probleme in Virenscannern und so weiter macht. :/

Ich hatte übrigens dann Platz #9 erreicht bei dem Delphi Showcase. 170 Projekte wurden eingereicht.
Danke nochmal an alle, die ein Like da gelassen haben 😍

Hier noch die ganze Liste´
https://blogs.embarcadero.com/winners-o ... -challenge

Gratuliere :)

Hey Zudo, ich interessiere mich momentan für prozedurale Pflanzengenerierung. Du hattest doch in Stonequest quasi alles komplett prozedural erzeugt, oder? Hattest du dazu irgendwann mal was aufgeschrieben oder in einem Video etwas näher erklärt wie du es gemacht hast?

Jonathan hat geschrieben: ↑29.04.2022, 14:37 Hey Zudo, ich interessiere mich momentan für prozedurale Pflanzengenerierung. Du hattest doch in Stonequest quasi alles komplett prozedural erzeugt, oder? Hattest du dazu irgendwann mal was aufgeschrieben oder in einem Video etwas näher erklärt wie du es gemacht hast?

Hey Jonathan,
prozedural im Sinne von, ich habe eine Funktion, die mir ein Löwenzahn oder ein Farnkraut baut. Zu einer allgemeinen Variante bin ich bisher nur in Ansätzen gekommen.
Technik ist da keine besondere hinter.