Bundestrojaner, die Zweite.
Was da gerade auf twitter abgeht, ist ja hochgradig spannend. Nachdem seitens des Regierungssprechers und seitens des BKA das Dementi kam, dass es sich bei der vom CCC analysierten Software um den Bundestrojaner handelt, kochte die Gerüchteküche hoch, wie selten. Dazu fällt mir eigentlich nur eines ein:
Qui s’excuse, s’accuse. (Stendhal)
Warum? Weil es im Prinzip völlig wurscht ist, ob das Ding nun vom Bund oder von den Ländern unters Volk geschmissen wurde. Dass es sich um eine nichtstaatliche Software handelt, bin ich nicht bereit zu glauben, denn die Kriminellen™ haben in der Regel andere Software mit anderen Funktionen die anderen Zielen dient, am laufen. Wie ein klassischer Verbrecher-Trojaner funktioniert, kann man sich in den Blogs und anderen Publikationen quasi jedes Antivirensoftwareherstellers ansehen. Sie sind ungleich besser gestrickt und dienen in der Regel anderen Zielstellungen. Dort geht es um das möglichst automatisierte Ausspähen von Passwörtern, Log-Ins, TANs, anderen Onlinebankingdaten oder um die Errichtung eines Botnetzes. Was hätten Kriminelle denn davon, eine Platte mit Screenshots vollaufen zu lassen. Oder mit Captures von Webcams oder Toninformationen, die aus dem Stream eines Webcammikrofons generiert werden? Richtig: Nüscht. Weil daraus lässt sich in den seltensten Fällen Geld generieren. Und dann noch was: Die vom CCC analysierte Schadsoftware war nur selten in freier Wildbahn anzutreffen – ein Kriminellentrojaner funktioniert nur in der Masse, denn erstens steht zu erwarten, dass ein Gutteil von Avira, Kaspersky und Co. einfach gelöscht wird und wenn nicht, dann ist auch nicht jeder verbleibende Schuss ein Treffer, denn nichtjeder nutzt eBanking oder andere für Kriminelle interessante Programme bzw. Dienste.
Also: Allein der Funktionsumfang spricht für eine Software zum Zwecke der Umsetzung der sog. „Quellen-TKÜ“, das dürfte auch Nicht-ITlern, die die Analyse des CCC mal grob überlesen haben, aufgehen.
Ich möchte noch etwas anderes erwähnen: Gestern wurde ja bereits festgestellt, dass sie das DLL auf dem Windowsrechner ziemlich regelwidrig verhält. Wäre der Schadcode von Kriminellen abgefasst worden, hätten diese genau das zu vermeiden gesucht, allein schon, um auszuschließen, dass die DLL im heuristischen Läusekamm der lokal installierten Antivirensoftware hängenbleibt. Soviel, liebes BKA, lieber Regierungssprecher, verstehe sogar ich, der ich nun bei Leibe kein ITler bin – ich habe mir ursprünglich mal Sozialpädagogik draufgeschafft.
Zur Entkräftung der dem Dementi inhärenten Argumente bedarf es keiner IT-Profession sondern nur einfachster Logik. Dumm, wenn sowas auffliegt.
Und ich wiederhole an dieser Stelle nochmal: Selbst wenn es sich nicht um den Bundestrojaner sondern einen Landestrojaner handelt, macht das die Sache nicht besser. Jetzt darauf zu spekulieren, die Schuld einem Zwillingsbruder in die Schuhe zu schieben oder einfach zu warten, ob der Urheber der Sauerei erwischt wird und dann zu sagen: „Wir wissen, dass da was schiefgelaufen ist, wir wissen aber nicht, wer es war“ – das ist die unterste Schublade.
Warum wird so gehandelt? Warum wird geleugnet? Es ist ein simples Spiel: Man disketiert den CCC, aber eben nur ein bisschen. Denn der Code ist da, die Aussagen im Kompendium beweisbar. Allerdings weiß der Staat wohl nicht, wer die Informanten des CCC sind. Würde der CCC sich hierüber äußern, wäre das Dementi-Spiel geplatzt, der CCC hätte aber seine Quellen offengelgt. Jeder kann sich ausrechnen, dass der CCC das nicht tun wird. In der öffentlichen Kommunikation ist also eine Art Patt entstanden: Politiker und Beamte sagen (in übertragenem Sinne) „Wir waren es nicht“, der CCC sagt: „Doch, ihr seid ertappt, aber zum Schutz der Quellen müssen wir die Beweise erst mal schuldig bleiben“. Wenn hier nun jemand eher den Beamten und Politikern glaubt als dem CCC, dann ist das nicht mehr mit Naivität zu erklären – sondern nur noch mit Dummheit oder bösem Willen.
Wir mussten indes auch nicht lange warten, bis ein Dummer aufsteht und dem CCC die Quelle zu entlocken. Der Dumme, von dem ich spreche, ist kein geringerer als Bosbach (Quelle: SZ). Nun, es ist schon bezeichnend, dass Herr Bosbach meint, er könne durch Spucken großer Töne den CCC aufs Glatteis führen. Wer seinem Widersacher so wenig Intelligenz zutraut, der darf mit Fug und Recht als Dumm bezeichnet werden.
Der Bosbachsche Trick ist dabei einfach zu billig: Er will einfach die Beweislast umkehren. Er sagt: Wir waren es nicht – der CCC soll doch erst mal beweisen, dass wir es waren. Das ist natürlich völliger Schwachsinn. Der Bürger misstraut ob des Rechtsbruchs mit der Spionagesoftware dem Staat. Daher muss der Staat und dessen Politiker, darunter auch Bosbach, beweisen, dass sie es NICHT waren. Nach dieser SZ-Meldung drängen sich mir ernsthafte Zweifel an der Intelligenz des Mannes auf…
Nun aber nochmal zu etwas ganz anderem: Viele werden sich fragen, wie man erkennen kann, ob der eigene Computer nun mit der Staatsspionagesoftware verseucht ist oder nicht. Das ist sehr sehr einfach, man braucht noch nichtmal einen Virenscanner dafür sondern nur die Windows-Suche (sic!).
Wie dem Kompendium zum Staatstrojaner zu entnehmen ist, liegen auf dem infizierten Rechner zwei Dateien: mfc42ul.dll und winsys32.sys.
Und nun aktiviert man einfach die Windows-Suche und gibt jeweils mfc42ul.dll und winsys32.sys ein. Wird was gefunden? Festplatte sicherst löschen (mehrfaches Überschreiben mit Nullen) und System neu aufsetzen. Wird nichts gefunden, ist mit größter Wahrscheinlichkeit nichts da. Auch den im Kompendium genannten Pfad (vgl. Seite 3) kann man händisch sichten – mehr braucht es aber nicht.
Ich war selbst zutiefst verunsichert, ob es wirklich so einfach sei. Und ich erfuhr aus mehreren berufenen Mündern, dass das Ding so schlecht gemacht ist, dass es in der Tat so einfach ist.
Ich bin gespannt, was sich dieser Tage noch entwickelt, klar ist aber schon jetzt: Der Staatstrojaner stellt einenklaren Rechtsbruch dar. Weder Politiker noch Beamte sind in der Lage, zu beweisen, dass die Schadsoftware nicht von Bund oder Ländern stammt. Das Ding ist leicht zu finden und schnell loszuwerden.
Update: Folgende Virenscaner erkennen den Staatstrojaner: http://mcblogs.craalse.de/sku/48h-spater-der-bundestrojaner-bei
dein letzter link „folgende virenscaner…“ läuft ins leere oder die seite wurde überrannt
Also, laßt uns doch bitte auf dem Teppich bleiben und versuchen wir ruhig zu
bleiben. Gut, da scheint so eine gesetzwidrige Software in Umlauf gewesen zu
sein, die der CCC analysiert hat. Gehen wir mal davon aus, daß es sich nicht um
einen Hoax handelt und es auch keine Dritten waren, die das Ding in Umlauf gebracht haben, um staatliche Stellen in Mißkredit zu bringen. Dann bleibt eigentlich
nur die Vermutung übrig, daß die Software tatsächlich von staatlichen Stellen
kommt. So weit, so gut (oder schlecht). Daß Geheimdienste auf derlei Ideen kommen
wundert mich nicht. Ich gehe aber trotzdem nicht davon aus, daß man vorhatte
ein ganzes Volk zu bespitzeln,sondern vielleicht hundert oder tausen „Gefährder“,
etwa aus der Islamistenszene oder sonstwelchen Terrorverdächtigen.
Daß so ein Ding dann auch das Potential des Mißbrauchs in sich trägt, ist klar,
aber ich fühle mich dadurch z.Zt. nicht unmittelbar bedroht.
Keiner muß in unserem Lande seine Unschuld beweisen (Unschuldsvermutung),
sowas gibt es nur in schlechten Krimis, da wimmelt es dann nur so von „Alibis“,
im richtigen Leben, sprich in unserer Rechtsordnung, gibt es das nicht, da muß
jemandem eine Schuld nachgewiesen werden (und zwar vor Gericht), so lange
hat er als unschuldig zu gelten. Das gilt natürlich auch für Politiker und
Geheimdienste. Also: her mit den Beweisen, dann kann man auch mit Fug und Recht
verlangen, daß Köpfe rollen, und genau das hatja Bosbach gesagt.
Kurz noch ein paar Bemerkungen zu technischen Abwehrmöglichkeiten
(aber bitte keine Paranoia): Viele Virenscanner werden bald entsprechende
Signaturen haben, obwohl die ja kaum etwas in ihrenn Honeypots finden,
da das Ding ja erstens In the Wild kaum vorkam und jetzt schon garnicht.
Wichtiger scheinen mir noch die Anti-Malwareprogramme, wie Spybot Search &
Destroy, Malwarebytes (MBAM), SUPERAntispyware (Lavasofts Ad-Aware
ausdrücklich nicht, hatte dazu eine Mail geschrieben an die Mailadresse im
Impressum). Da diese Programme nicht ständig laufen und auch keine Wächter-
funktion haben, kann man ruhig mehrere davon draufhaben und sie jeweils
von Hand aufrufen, immer vorher updaten. S&D scheint mir noch das
vertrauenswürdigste Programm zu sein, nur einmal pro Woche Update (Mittwoch
nachmittags), auch MBAM und SUPERAntispyware sind recht ordentlich
(letzter muß man bei Avira Antivir bei den auszulassenden eintragen, weil
Avira das selbst als Malware meldet). Auch den CCleaner von Piriform
fleißig benutzen, der löscht die ganzen Überbleibsel u. vor allem Cookies.
Firefox_Addons: NoScript, Ghostery, CookieMonster, ShareMeNot, Better Privacy,
uva.
Laßt Euch nicht verrückt machen: Wo Gefahr ist, ist auch das Rettende nah!
Gottseidank hat ja das Internet durchaus unsere Gesellschaften verändert,
es ist garnicht mehr so einfach, irgendetwas heimlich und unbemerkt zu machen,
schon garnicht gegen die eigene Bevölkerung. Gr . Hans
Anbei die Homepage der Herstellerfirma des Staatstrojaners: DigiTask,
Spezielle Kommunikationssysteme. Wenn jemand käme und behauptete,
das sei eine Stasi-Firma, ich könnte nicht widersprechen. Man verdient seit
Jahren Millionen mit Spionagesoftware:
http://www.digitask.de/
WOT gibt eine Warnung aus: diese Seite hat einen schlechten Ruf.
Wo sie Recht haben, haben sie Recht
https://www.mywot.com/en/scorecard/digitask.de
http://www.rp-online.de/politik/deutschland/Die-Trojaner-Affaere-weitet-sich-aus_aid_1026726.html
Warum ausgerechnet die Bundesnetzagentur so einen Trojaner braucht bleibt
schleierhaft. Aber irgendein Spielzeug brauchen die wohl alle, auf Kosten
(im doppelten Sinne) der Allgemeinheit. Ich hoffe, die Verantwortlichen
verlieren nicht nur ihren Posten, sondern werden auch hart bestraft.
Genug ist genug.
Sorry, Michael, da hab ich doch glatt den Trackback reingesmissen – so, jetzt siehts besser aus und der Link ist auch noch aktuell…
Gestern Alternativlos gehört: http://alternativlos.org/19/
Das Ding ist ein Discounttrojaner… Man kommmt aus dem Kopfschütteln gar nicht mehr raus.
Und dabei sollte der dich für jeden einzelnen Einsatz handcustomized werden. Boah ist denen das Ding um die Ohren geflogen…
habe vorhin einen Kommentar bei schieb.de geschrieben mit ein paar Tipps,
die mir noch zur Absicherung eingefallen sind. Spare mir die erneute Tipperei
und setze es hier als Link ein:
http://www.schieb.de/713341/die-sache-mit-dem-bundestrojaner?utm_source=feedburner&utm_medium=feed&utm_campaign=Feed%3A+schieb+%28schieb.de+%7C+Tipps%2C+Tricks+und+News%29
Das ist der private Blog von Jörg Schieb. Es gibt auch noch einen „dienstlichen“
vom WDR, wo er freitags um ca. 19.15 Uhr in der Sendung „Aktuelle Stunde“
so eine Computerecke hat:
http://wdrblog.de/joergschieb/archives/2011/10/staatstrojaner.html#kommentar9926-link
Da läuft alles viel rigider ab, die alte Tante WDR entfernt alle Links aus
Kommentaren, so daß diese manchmal arg kastriert ausschauen. Hat auch was
mit Demokratieverständnis zu tun, denn sie haben ja schon einen dicken
Disclaimer, in dem sie darauf hinweisen, nicht für den Inhalt von Links
verantwortlich zu sein. Aber sie haben eben eine Kontrollsucht und sind doch
gleichzeitig nicht in der Lage ihren eigenen Vorstellungen zu entsprechen,
dann lieber Zensur.
Schön, daß die Liste von VirusTotal endlich zu sehen war. Ich denke, es liegt
einfach daran, daß der Bundes- oder Staatstrojaner einfach noch nicht in deren
Honeypots gelandet ist, und wenn er hauptsächlich per Stick eingebracht
wird ist das ja auch nicht weiter verwunderlich.
Ich hoffe, jetzt ist erst mal Ruhe, hoffenlich geschieht den Herren in der Politik
und in den Diensten was ihnen gebührt. Das BSI ist auch verdächtig ruhig,
aber ist ja auch kein Wunder, sie unterstehen ja dem Bundesinnenminister.
Vielleicht sollte man noch das gute alte Adblock Plus für Firefox erwähnen,
das ist zwar zunächst ein mächtiger Werbefilter, aber es kann auch die eine
oder andere Schadsoftware vom Halse halten, da die ja oft in Grafiken
versteckt wird. Grüße Hans
Gerade gefunden: kleines Programm zum Aufspüren des Bundestrojaners auf dem eigenen Rechner mit der Möglichkeit, ihn zu entfernen ( Steganos, von einem
niederländischen Server):
https://www.steganos.com/de/produkte/gratis-fuer-sie/anti-bundestrojaner/uebersicht/
Gr. Hans
https://www.bfdi.bund.de/bfdi_forum/showthread.php?2788-Staatstrojanerdebatt
Kam gerade mit dem Newsletter des Bundesdatenschutzbeauftragten Peter Schaar.
Gr. Hans
http://blog.beck.de/2011/10/09/der-bundestrojaner-jetzt-muss-schluss-sein
Anbei noch ein Link auf eine muntere Juristendebatte zum Bundestrojaner
im Blog von Prof. Dr. Thomas Hoeren, dem „Papst“ des Internetrechts.
Prof. Hoeren hat den Lehrstuhl für Informationsrecht und Rechtsinformatik an der
Uni Münster u. ist Richter am Oberlandesgericht Düsseldorf. Unter der
nachfolgenden Adresse kann man sein Skriptum „Internetrecht“ als pdf frei
downloaden, ca. 600 Seiten, zweimal jährlich vor dem Semester upgedatet:
http://www.uni-muenster.de/Jura.itm/hoeren/lehre/materialien
Es gibt auch einen Wikipedia-Artikel