Ich bin gerade auf eine sehr interessante Anaylse des derzeitig stark im Internet kursierenden Wurms Conficker gestoßen. Die Analyse wurde (u.a.) vom amerikanischen Militär in Auftrag gegeben und vom Stanford Research Institute (SRI) durchgeführt.

Aktuell sollen weltweit über 10 Millionen Rechner mit dem Conficker-Wurm infiziert sein. 25% davon stehen in China. Spiegel Online behauptet sogar, es sind weltweit über 50 Millionen Rechner. Solche Zahlen sind im Grunde nichts besonderes, ähnliche Epidemien lösten bereits Sasser 2004 oder Storm 2007 aus, ohne bisher nennenswerte Folgen. Das SRI behauptet jedoch nun, der Conficker-Wurm stelle eine neue Form von Bedrohung dar, die nicht nur ganze Nationen, sondern sogar das ganze Internet lahmlegen könnte:

Perhaps the most obvious frightening aspect of Conficker C is its clear potential to do harm. Among the long history of malware epidemics, very few can claim sustained worldwide infiltration of multiple millions of infected drones. Perhaps in the best case, Conficker may be used as a sustained and profitable platform for massive Internet fraud and theft. In the worst case, Conficker could be turned into a powerful offensive weapon for performing concerted information warfare attacks that could disrupt not just countries, but the Internet itself.

Wow. Was ist denn das bitte für ein übler Wurm? Anlass genug, da mal einen Blick reinzuwerfen:

Conficker A, B, B++ und C

Das SRI bezeichnet die auftauchenden Varianten des Wurms chronologisch mit Buchstaben. Conficker A tauchte zum ersten mal am 20. November 2008 auf und nutzt eine Windows-Schwachstelle (MS08-67), um sich in fremde PCs einzuschleusen. Conficker B brute-forced überdies noch Passwörter von Netzwerk-Rechnern und ist in der Lage sich über USB-Sticks zu verbreiten. Die neueste Version - Conficker C - wurde am 5. März entdeckt und beinhaltet nur noch ca. 15% des ursprünglichen Codes.

Eckstein, Eckstein, alles muss versteckt sein

Sobald Conficker erfolgreich in einen PC eingedrungen ist, kopiert er sich in eine DLL-Datei zufällig generierten Namens in C:\Windows\System32, C:\Program Files oder C:\Temp, schaltet Windows-Updates sowie Windows-Defender ab und blockt durch Manipulation der Windows-internen DNS-API eine Liste von Internet-Seiten, die Schutz-Software gegen den Wurm anbieten. Außerdem sucht der Wurm einmal pro Sekunde nach 23 verschiedenen Sicherheits-Prozessen (z.B. malware removal tools, security patches, etc.) und terminiert diese sofort, sobald aufgetaucht.

Interessant auch folgender Abschnitt, der beschreibt, wie Conficker seine Anwesenheit zur Laufzeit verheimlicht:

Conficker uses a simple, but effective, mechanism to cloak its runtime presence. First, although the service is started through svchost.exe, it is not visible in the service manager because its DisplayName is set to be empty and type is set to be invisible. Second, unlike well-behaved DLLs, the Conficker DLL initialization function never returns. Hence, it is not added to the DLL list of the process. However, since the DLL is added as part of a group that includes other well-behaved services in the netsvcs group, the instance of svchost.exe does not get terminated, allowing Conficker to run behind the scenes.

Um ungestört nach außen kommunizieren zu können, wird die Windows-Firewall für einige hochzahlige UDP und TCP Ports abgeschalten. Das geschieht durch entsprechende Manipulation der Windows-Registry, welche auch dafür verwendet wird, eine Initialisierung des Conficker-Prozesses bei jedem PC-Neustart zu gewährleisten.

Das Conficker Botnetz

Die wesentliche Intention der Conficker-Autoren ist die Schaffung eines riesigen, weltweiten Botnetzes. Also ein Netz von PCs, die durch die Wurm-Infektion zentral gesteuert werden können. Laut Wikipedia wird das bisherige Conficker-Botnetz bereits dafür benutzt, 10 Milliarden Spam-Mails pro Tag zu versenden. Schau an.

Um Anweisungen erhalten zu können, müssen die PCs des Botnetzes irgendwie Kontakt mit den Autoren des Wurms aufnehmen oder vice versa. Der Server, über den das geschieht, wird Rendevouz Point genannt. Die Wissenschaftler vom SRI heben hervor, dass die Programm-Logik hinter dieser Kommunikation die Stärke des Wurms ausmacht. Conficker C benutzt dafür einen Domain Generation Algorithmus, der 50.000 pontentielle Rendevouz Points berechnet, und das alle 24 Stunden aufs neue. Davon tatsächlich abgefragt werden 500. Interessant ist die interne Blacklist des Conficker-Wurms, welche IP-Adressen für einen Rendevouz-Point nicht in Frage kommen. Wenn man sich die Liste anschaut, weiß man warum.

Der Conficker-Wurm beinhaltet außerdem ein eigenes Peer-to-Peer (P2P) Protokoll, das infizierten PCs erlaubt miteinander zu kommunizieren und Daten auszutauschen. Jeder PC kann dabei als Client und Server zugleich operieren.

Bemerkenswert beim Datenaustausch innerhalb des Conficker-Botnetzes ist die Aktualität der verwendeten Krypto-Systeme. Conficker C verwendet die drei Hash-Algorithmen RC4, RSA und MD-6 von Dr. Ron Rivest, MIT. MD-6 ist ungefähr zur gleichen Zeit veröffentlich worden, wie das erste Auftreten von Conficker A und gilt als die neueste Hash-Funktion überhaupt. Mitte Januar wurde ein Buffer Overflow im MD-6 gefunden, der daraufhin erschienene Fix wurde bereits kurz darauf in der MD-6 Implementierung von Conficker C nachgewiesen. Die Conficker-Autoren legen also sehr viel Wert auf unknackbare Verschlüsselung und digitale Signaturen.

Gut gegen Böse

Der Artikel ist auch deswegen äußerst interessant, weil er sehr schön den harten Kampf der "bösen Hacker" gegen die "guten Regierungsforscher" demonstriert.

Die Wissenschaftler vom SRI betreiben so genannte Honeynets. Das ist ein riesiges, mit dem Internet verbundenes Netzwerk von Servern (Honeypots), die jeden externen Zugriff protokollieren. Wird ein Rechner des Honeynets angegriffen und infiziert, lässt sich so das anschließende Verhalten der Schadsoftware genau analysieren. Es wird versucht, so Teile des Wurm-Quellcodes mittels Reverse Engineering zu rekonstruieren, sowie die Identität des Angreifers festzustellen.

Das wissen die Hacker natürlich und setzen deswegen alles daran, Rückschlüsse auf den Code so schwierig wie möglich zu gestalten. Im Artikel erwähnte Techniken dafür sind das Verschleiern von Windows-API Calls sowie zahlreiche sinnlose Registry-Einträge, um von echten Modifikationen abzulenken.

Noch weiß man nicht, wer der Autor/die Autoren dieses revolutionären Wurms ist/sind. Allerdings war in Conficker A ein Keyboard-Check eingebaut. Verwendete der infizierte Rechner ein ukrainisches Keyboard, beging der Wurm Selbstmord. Das lässt natürlich darauf spekulieren, dass der Wurm ukrainischen Ursprungs ist. Außerdem entdeckten die Wissenschaftler vom SRI in ihren infizierten Rechner zwei verdächtige Verbindungs-Versuche, die nachweislich aufgrund von Versionsunterschieden "händisch", also von den Autoren des Wurms selbst, ausgelöst worden sein müssen:

Connection 1: 81.23.XX.XX - Kyivstar.net, Kiev, Ukraine
Connection 2: 200.68.XX.XXX - Alternativagratis.com, Buenos Aires, Argentina

Nachfolgend mein Erfahrungsbericht über meinen Besuch eines Auswahlseminars zur Aufnahme in das Max Weber-Programm Bayern. Stattgefunden am 14./15. März 2009 in Dachau bei München. Das Max Weber-Programm ist ein vom Freistaat Bayern in Auftrag gegebenes und von der Studienstiftung des deutschen Volkes durchgeführtes Studenten-Förderungsprogramm. Das Auswahlseminar unterscheidet sich nach Aussagen einiger Teilnehmer, die bereits beide Seminare besucht hatten, nur wenig von den allgemeinen Auswahlseminaren der deutschen Studienstiftung.

Motivation

Da mir Erfahrungsberichte anderer Studenten im Vorfeld geholfen haben, mir ein konkreteres Bild von dem Seminar machen zu können, entschied ich mich auch meine eigenen Erfahrungen zu veröffentlichen. Ich hoffe dadurch im Auswahlverfahren der deutschen Studienstiftung befindliche Kommilitonen/-innen einen Teil der Ungewissheit zu nehmen und die Vorbereitung auf das Wochenende zu erleichtern.

Ausdrücklicher Hinweis: alle nachfolgenden Tipps spiegeln rein meine persönlichen Meinung wider, die sich aus eigener Erfahrung und zahlreichen Gesprächen mit Mitbewerbern vor Ort gebildet hat. Nichts davon entstammt offiziellen Feedbacks von der Auswahlkommission oder Vertretern der Studienstiftung.

Das Auswahlseminar

Das Auswahlseminar erstreckt sich über ein Wochenende und gliedert sich in drei wesentliche "Disziplinen": Gruppendiskussionen, Allgemeines Einzelgespräch und Fachliches Einzelgespräch. Bei Ankunft am Veranstaltungsort kann man den persönlichen Ablaufplan einsehen. Die Auswahlkommission bestand bei uns mehrheitlich aus Universitäts-Professoren/-innen verschiedener Fachrichtungen. Die restlichen Mitglieder kamen aus der freien Wirtschaft. Erwähnenswert ist, dass die Mitglieder der Kommission auf ehrenamtlicher Basis arbeiten.

Vortrag und Gruppendiskussionen

Man wird im Vorfeld gebeten, einen 10-minütigen Kurzvortrag aus seinem Fach- oder persönlichem Interessensgebiet vorzubereiten. Bei der Themenwahl soll besonders darauf geachtet werden, dass der Vortrag eine gute Grundlage für eine anschließende Diskussion schafft. Es bietet sich daher an, ein Thema zu wählen, dessen Inhalt möglichst viele Studenten betrifft oder mit dem die meisten schon mal konfrontiert wurden. Je kontroverser, desto besser. Aktualität ist ebenfalls ein Bonus. Ich habe mich für das Thema "die schleichende Macht der Suchmaschinen" entschieden, da jeder Student in seinem Leben schon einmal Google benutzt hat und das Thema angemessenen Spielraum für Grundsatzdiskussionen bietet. Die Wahl hat sich als gut herausgestellt, es wurde 20 Minuten durchdiskutiert. Es ist empfehlenswert, sich im Vorhinein ein paar Fragen / Statements zum Thema zu überlegen, um die Diskussion einzuleiten und anzuheizen, wenn sie ins Stocken gerät.

Wer noch nicht viel Erfahrung im Halten von Vorträgen hat, sollte sich vorher ein paar allgemeine Tipps druchlesen. Das hatte bei mir niemand nötig. Alle Referenten meiner Gruppe schienen sehr erfahren und hatten einen sehr professionellen Vortragsstil.

Vor Ort werden die Teilnehmer in feste 5er-Gruppen aufgeteilt, innerhalb deren jedes Mitglied vor den 4 anderen Gruppen-Mitgliedern sowie einem Kommissions-Mitglied seinen Vortrag halten muss. Anschließend wird pro Vortrag 20 Minuten lang über das vorgetragene Thema diskutiert. Man muss sich also 4 Vorträge anhören und darüber diskutieren, sowie einen selbst halten und dessen anschließende Diskussion leiten. Gruppen-Mitglieder und Kommissions-Mitglied sind in jeder Diskussionsrunde die Gleichen. Das Kommissions-Mitglied beteiligt sich an dem Prozetere in keiner Weise und gibt auch kein anschließendes Feedback.

Man neigt dazu, seinen Vortrag zu fachlich zu gestalten. Zum einen weil man meist einfach zu tief in dem Thema drin ist, zum anderen weil man das Kommissions-Mitglied mit seinem Wissen beeindrucken will. Im Normalfall kommen alle Gruppen-Mitglieder aus verschiedenen Fachrichtungen. Deswegen ist bei zu fach-spezifischen Themen die Wahrscheinlichkeit sehr hoch, dass die Zuhörer den Inhalt nicht verstehen und anschließend dementsprechend wenig zur Diskussion beitragen können. Versuche den Vortrag so einfach und verständlich wie möglich zu halten. Wenn Fachbegriffe darin vorkommen, erkläre diese genau und für jeden Laien verständlich. Nur so ist gewährleistet, dass die anschließende Diskussion keiner Fragestunde gleicht. Man sollte außerdem darauf achten, dass man die Zeitvorgaben möglichst exakt einhält, da darauf sehr viel Wert gelegt wurde. Halte am besten den Vortrag 1-2 mal vor deinen Eltern / Mitbewohnern / Studienkollegen (möglichst anderer Fachrichtung), stoppe dabei die Zeit und kontrolliere anschließend ob jeder Deiner Zuhörer den Inhalt Deines Vortrags verstanden hat.

Diskutiere bei den Vorträgen Deiner Mitbewerber fleißig mit, auch darauf wird geachtet. Das zeigt, dass Du auch interdisziplinäres Interesse besitzt und Deine eigene Meinung vertrittst.

Also nochmal zusammenfassend:

• Themenwahl: Nicht zu fach-spezifisch, jeden irgendwie betreffend
• Bonus: Möglichst aktuelles und kontroverses Thema
• keep it simple, stupid: Gestalte den Inhalt für jeden Laien verständlich, erkläre Fachbegriffe
• überlege Dir mögliche Fragen, um die Diskussion anzuregen
• lese Dir allgemeine Tipps zum Halten von Vorträgen durch
• halte den Vortrag mindestens 1-2 mal vor fachfremden Personen, um
  • zu überprüfen, ob der Inhalt verständlich genug ist
  • die Zeit zu stoppen
• Am Ende der Diskussion: Fasse alle angesprochenen Meinungen noch einmal zusammen
• diskutiere fleißig bei den Vorträgen Deiner Mitbewerber mit

Allgemeines Einzelgespräch

Das Allgemeine Einzelgespräch führt man in der Regel mit einem Kommissions-Mitglied aus einer anderen Fachrichtung. Sei also darauf vorbereitet, dass das Dein Prüfer in "anderen Sphären denkt", um es mal drastisch auszudrücken. So unterschiedlich wie die Fachrichtungen der Kommissions-Mitglieder, genauso unterschiedlich verliefen die Gespräche. Deswegen tue ich mich schwer, hier allgemeine Tipps zu geben. Es mag nützlich sein, sich folgendes ins Bewusstsein zu rufen:

Von den Bewerbern wird erwartet, dass sie sich neben fachlicher Exzellenz auszeichnen durch vielseitiges Engagement, kreative Intelligenz, kommunikative und soziale Kompetenz und die Bereitschaft, Verantwortung zu übernehmen.

Quelle: www.elitenetzwerk.bayern.de/147.0.html

Um das festzustellen, wird meist verstärkt auf den eingereichten Lebenslauf eingegangen. Beliebte Fragen im Allgemeinen Einzelgespräch waren außerdem:

• "Wieso haben Sie sich für die [Name Deiner Uni/Hochschule] entschieden?"
• "Was ist Ihr Berufswunsch?"
• "Wo sehen Sie sich in 10 Jahren?"
• "Welches Buch würden Sie Ihren Freunden empfehlen?"
• "Wie wichtig ist soziales Engagement für Sie?"
• "Was war das schönste und schlimmste Ereignis während Ihrer Schulzeit/Studium/Auslandsaufenthalt/etc.?"
• "Nennen Sie drei Stärken und drei Schwächen"

Fragen zu aktuellen politischen und wirtschaftlichen Themen waren ebenfalls beliebt. Es empfiehlt sich also, vorher ein bisschen Zeitung zu lesen.

Fachliches Einzelgespräch

Einstein macht Urlaub

Das Fachliche Gespräch führt man (naheliegenderweise) mit einem Kommissions-Mitglied gleichen oder ähnlichen Fachs. Auch hier verliefen die Gespräche sehr unterschiedlich. Manche berichteten, es wurde nichts fachliches gefragt, andere wurden über den Stoff ihres Studiums regelrecht ausgequetscht. Der Grund für diesen Unterschied mag die Tatsache sein, dass man seine fachliche Exzellenz ja eigentlich schon durch pure Seminar-Anwesenheit bewiesen hat, insofern vor Einladung eine Vorauswahl der Bewerber stattgefunden hat. Deswegen beschränken sich einige Prüfer auf allgemeinere Fragen.

Auch mir wurden viele fachlichen Fragen gestellt. Deswegen ein Tipp zur Vorbereitung: liste auf Papier nochmal alle Vorlesungen auf, sowie dessen jeweiligen Inhalt (im Stile einer Gliederung), die Du bisher in Deinem Studium gehört hast. Das erschlägt natürlich keinesfalls detaillierte Fachfragen, aber man kommt nicht in die peinliche Situation, in der man gefragt wird, was man im 2. Semester denn alles gehört hat und sich weder an Namen noch Inhalt der Vorlesungen erinnern kann.

Wie wird bewertet?

Jedes beteiligte Kommissions-Mitglied kann dem Bewerber für seine 3 Leistungen (Vortrag inkl. Gruppendiskussionen, Allgemeines Einzelgespräch und Fachliches Einzelgespräch) bis zu 10 Punkte erteilen. Maximal kann ein Bewerber also 30 Punkte erreichen. Um ein Stipendium zu bekommen, muss man mindestens 21 Punkte erhalten, wobei zwei Leistungen mit mindestens 8 Punkten bewertet worden sein müssen. So erreicht man mit 7 + 7 + 7 = 21 zwar die Mindestpunktzahl, wird aber trotzdem nicht aufgenommen.

Zum Schluss

Was mir positiv aufgefallen ist: Alle Mitbewerber waren äußerst freundlich und hilfsbereit. Mancher befürchtet, es herrsche dort (gerade in den Gruppendiskussionen) eine Art Konkurrenzkampf. Davon war nichts zu spüren. Freut Euch auf ein lehrreiches Wochenende und auf viele neue, interessante Bekanntschaften und Gespräche. Ob Ihr aufgenommen werdet oder nicht, ist nicht zuletzt auch ein wenig Glückssache.

Links:

• Max Weber-Programm Bayern
• Studienstiftung des deutschen Volkes
• Bewerber-Forum mit zahlreichen Informationen

Hab ich was vergessen? Wie sind Eure Erfahrungen? Sinnvolle Ergänzungen nehme ich gerne in den Beitrag mit auf.

Es folgt ein Reisebericht über unseren Kurztrip nach Maastricht und Amsterdam zu Ehren des Geburtstags von s1m0nz0n.

Nach Ankunft in Maastricht und kurzem Stadtrundgang begleiteten wir Simon zur Universiteit de Maastricht und haben uns eine Vorlesung über die Behandlung von Depressionen aus ökonomischer Perspektive angeschaut (oder so ähnlich), während Simon einen Mathe-Test absolvierte. Yoar, durchaus interessant.

Am nächsten morgen ging's zusammen mit Simon's Freundin Meg und seinem mehr als ubercoolen Nachbarn Michael aus Kanada auf nach Sin City aka. Amsterdam. Im dortigen Hotel komplettierte Anton unsere Party-Crew. Nach Besuch einer Richard Avedon Austellung im Fotografie-Museum und einem sehr gutem italienischen Restaurant heizte uns Ellen Alien im Melkweg ordentlich ein.

Das restliche Wochenende nutzten wir, um uns die Stadt anzuschauen. Amsterdam macht einen sehr sympathischen Eindruck. Die Stadt scheint sehr liberal, weltoffen und multikulturell zu sein. Mit gerade einmal 750.000 Einwohnern ist sie deutlich kleiner und überschaubarer als ich angenommen hatte. Das Stadtbild ist nicht nur architektonisch sehr schön, die zahlreichen, kleinen, quer durch die Stadt verlaufenden Grachten (Bäche) mit den vielen Brücken verschaffen der Stadt einen ganz eigenen Flair, an den man sich schnell gewöhnen kann.

Rückblickend ein sehr lohnenswerter Ausflug, auch wenn ich mir jetzt ein neues Autoradio kaufen darf... Hier die best-ofs:

Hier noch der beste Break des Abends. 2000 and One und Ellen Alien @ Melkweg, Amsterdam:

It is a fact of nature: When a honey bee returns to the hive after finding a good source of nectar, it will perform a unique dance for its hive mates, detailing the distance, quality and quantity of the new food supply.
Sadly, honey bees are mysteriously vanishing in staggering numbers - a crisis known as Colony Collapse disorder - which is alarming considering honey bees are responsible for pollinating one-third of our natural food supply.

Marketing kann so schön sein. Das meiner Meinung nach beste Youtube-Video 2008:

thx @DOMPTZNALDA.