Wir wurden wohl alle(!) von dem schon lange in InfoSec Zirkeln berüchtigt-bekannten Scammer #JeanPereira auf LinkedIn geblocked. Warum? Wohl weil ich (Janis) folgenden (zugegebenermaßen nicht sehr freundlichen) Quote-Post gemacht habe und kritische Kommentare hinterlassen habe :)

Es gibt Namen deren reine Aussprache führt bei Hackern zu "Facepalms". Einer davon ist Jean Pereira, bekannt dafür "Exploits" zu vermarkten die keine sind und "Durchbruchlösungen" zu verkaufen die mit trivialsten Ansätzen die kompliziertesten Probleme lösen sollen. Und ich mag einfache Lösungen, aber das ist eben hier zu simpel gedacht.

Die Grundidee ist die folgende: Bei jedem Dateizugriff wird die jeweils betroffene Datei von dem Tool ebenso in den RAM geladen. Bei einem darauf folgenden Schreibzugriff auf die gleiche Datei werden dann von dem Tool die ersten 20 Bytes (Header) gegen das Backup überprüft. Bei einer hinreichend großen Abweichung wird angenommen, dass dieser Schreibzugriff kein "legaler" Schreibzugriff ist sondern ein Überschreiben durch eine verschlüsselte Kopie darstellt.

Diese Metrik ist einfach. Leider aber auch einfach zu umgehen, es ist trivial einen Locker so anzupassen, dass man einfach den Header unberührt lässt. Das führt also maximal zu einer einmaligen Anpassung aller Crypto-Malware und danach ist das ganze auch durch und vorbei. Und das ausrollen eines Updates für Crypto-Malware geht einfacher als das Ausrollen einer weiteren IT Schlangenöl-Lösung die

a) alle Lese-/Schreibzugriffe überwacht
b) mglw. unglaublich große Kopien im RAM vorhält
c) und in Electron geschrieben ist und bestimmt regelmäßig Sicherheitsupdates benötigt.

Viel Aufwand für nix. Danke Jean, ich weiß schon, einige von uns Leuten die echte Arbeit machen dürfen jetzt Management erklären, dass diese tolle Lösung der größte Mist ist. Wir haben eigentlich Besseres zu tun.

Aber wir bleiben dabei. Das angepriesene Produkt hat keine lange Halbwertszeit und wird nur diverse Security Teams beschäftigen, aber keinen Benefit bringen. Und es bleibt bei #JeanPereiraIstEinHochstapler