blog.fohrn.com

Bundestrojaner, die Zweite.

Was da gerade auf twitter abgeht, ist ja hochgradig spannend. Nachdem seitens des Regierungssprechers und seitens des BKA das Dementi kam, dass es sich bei der vom CCC analysierten Software um den Bundestrojaner handelt, kochte die Gerüchteküche hoch, wie selten. Dazu fällt mir eigentlich nur eines ein:

Qui s’excuse, s’accuse. (Stendhal)

Warum? Weil es im Prinzip völlig wurscht ist, ob das Ding nun vom Bund oder von den Ländern unters Volk geschmissen wurde. Dass es sich um eine nichtstaatliche Software handelt, bin ich nicht bereit zu glauben, denn die Kriminellen™ haben in der Regel andere Software mit anderen Funktionen die anderen Zielen dient, am laufen. Wie ein klassischer Verbrecher-Trojaner funktioniert, kann man sich in den Blogs und anderen Publikationen quasi jedes Antivirensoftwareherstellers ansehen. Sie sind ungleich besser gestrickt und dienen in der Regel anderen Zielstellungen. Dort geht es um das möglichst automatisierte Ausspähen von Passwörtern, Log-Ins, TANs, anderen Onlinebankingdaten oder um die Errichtung eines Botnetzes. Was hätten Kriminelle denn davon, eine Platte mit Screenshots vollaufen zu lassen. Oder mit Captures von Webcams oder Toninformationen, die aus dem Stream eines Webcammikrofons generiert werden? Richtig: Nüscht. Weil daraus lässt sich in den seltensten Fällen Geld generieren. Und dann noch was: Die vom CCC analysierte Schadsoftware war nur selten in freier Wildbahn anzutreffen – ein Kriminellentrojaner funktioniert nur in der Masse, denn erstens steht zu erwarten, dass ein Gutteil von Avira, Kaspersky und Co. einfach gelöscht wird und wenn nicht, dann ist auch nicht jeder verbleibende Schuss ein Treffer, denn nichtjeder nutzt eBanking oder andere für Kriminelle interessante Programme bzw. Dienste.

Also: Allein der Funktionsumfang spricht für eine Software zum Zwecke der Umsetzung der sog. „Quellen-TKÜ“, das dürfte auch Nicht-ITlern, die die Analyse des CCC mal grob überlesen haben, aufgehen.

Ich möchte noch etwas anderes erwähnen: Gestern wurde ja bereits festgestellt, dass sie das DLL auf dem Windowsrechner ziemlich regelwidrig verhält. Wäre der Schadcode von Kriminellen abgefasst worden, hätten diese genau das zu vermeiden gesucht, allein schon, um auszuschließen, dass die DLL im heuristischen Läusekamm der lokal installierten Antivirensoftware hängenbleibt. Soviel, liebes BKA, lieber Regierungssprecher, verstehe sogar ich, der ich nun bei Leibe kein ITler bin – ich habe mir ursprünglich mal Sozialpädagogik draufgeschafft.

Zur Entkräftung der dem Dementi inhärenten Argumente bedarf es keiner IT-Profession sondern nur einfachster Logik. Dumm, wenn sowas auffliegt.

Und ich wiederhole an dieser Stelle nochmal: Selbst wenn es sich nicht um den Bundestrojaner sondern einen Landestrojaner handelt, macht das die Sache nicht besser. Jetzt darauf zu spekulieren, die Schuld einem Zwillingsbruder in die Schuhe zu schieben oder einfach zu warten, ob der Urheber der Sauerei erwischt wird und dann zu sagen: „Wir wissen, dass da was schiefgelaufen ist, wir wissen aber nicht, wer es war“ – das ist die unterste Schublade.

Warum wird so gehandelt? Warum wird geleugnet? Es ist ein simples Spiel: Man disketiert den CCC, aber eben nur ein bisschen. Denn der Code ist da, die Aussagen im Kompendium beweisbar. Allerdings weiß der Staat wohl nicht, wer die Informanten des CCC sind. Würde der CCC sich hierüber äußern, wäre das Dementi-Spiel geplatzt, der CCC hätte aber seine Quellen offengelgt. Jeder kann sich ausrechnen, dass der CCC das nicht tun wird. In der öffentlichen Kommunikation ist also eine Art Patt entstanden: Politiker und Beamte sagen (in übertragenem Sinne) „Wir waren es nicht“, der CCC sagt: „Doch, ihr seid ertappt, aber zum Schutz der Quellen müssen wir die Beweise erst mal schuldig bleiben“. Wenn hier nun jemand eher den Beamten und Politikern glaubt als dem CCC, dann ist das nicht mehr mit Naivität zu erklären – sondern nur noch mit Dummheit oder bösem Willen.

Wir mussten indes auch nicht lange warten, bis ein Dummer aufsteht und dem CCC die Quelle zu entlocken. Der Dumme, von dem ich spreche, ist kein geringerer als Bosbach (Quelle: SZ). Nun, es ist schon bezeichnend, dass Herr Bosbach meint, er könne durch Spucken großer Töne den CCC aufs Glatteis führen. Wer seinem Widersacher so wenig Intelligenz zutraut, der darf mit Fug und Recht als Dumm bezeichnet werden.

Der Bosbachsche Trick ist dabei einfach zu billig: Er will einfach die Beweislast umkehren. Er sagt: Wir waren es nicht – der CCC soll doch erst mal beweisen, dass wir es waren. Das ist natürlich völliger Schwachsinn. Der Bürger misstraut ob des Rechtsbruchs mit der Spionagesoftware dem Staat. Daher muss der Staat und dessen Politiker, darunter auch Bosbach, beweisen, dass sie es NICHT waren. Nach dieser SZ-Meldung drängen sich mir ernsthafte Zweifel an der Intelligenz des Mannes auf…

Nun aber nochmal zu etwas ganz anderem: Viele werden sich fragen, wie man erkennen kann, ob der eigene Computer nun mit der Staatsspionagesoftware verseucht ist oder nicht. Das ist sehr sehr einfach, man braucht noch nichtmal einen Virenscanner dafür sondern nur die Windows-Suche (sic!).

Wie dem Kompendium zum Staatstrojaner zu entnehmen ist, liegen auf dem infizierten Rechner zwei Dateien: mfc42ul.dll und winsys32.sys.

Und nun aktiviert man einfach die Windows-Suche und gibt jeweils mfc42ul.dll und winsys32.sys ein. Wird was gefunden? Festplatte sicherst löschen (mehrfaches Überschreiben mit Nullen) und System neu aufsetzen. Wird nichts gefunden, ist mit größter Wahrscheinlichkeit nichts da. Auch den im Kompendium genannten Pfad (vgl. Seite 3) kann man händisch sichten – mehr braucht es aber nicht.

Ich war selbst zutiefst verunsichert, ob es wirklich so einfach sei. Und ich erfuhr aus mehreren berufenen Mündern, dass das Ding so schlecht gemacht ist, dass es in der Tat so einfach ist.

Ich bin gespannt, was sich dieser Tage noch entwickelt, klar ist aber schon jetzt: Der Staatstrojaner stellt einenklaren Rechtsbruch dar. Weder Politiker noch Beamte sind in der Lage, zu beweisen, dass die Schadsoftware nicht von Bund oder Ländern stammt. Das Ding ist leicht zu finden und schnell loszuwerden.

Update: Folgende Virenscaner erkennen den Staatstrojaner: http://mcblogs.craalse.de/sku/48h-spater-der-bundestrojaner-bei

9 Kommentare

  • Michael

    dein letzter link „folgende virenscaner…“ läuft ins leere oder die seite wurde überrannt

  • Hans van Aken

    Also, laßt uns doch bitte auf dem Teppich bleiben und versuchen wir ruhig zu
    bleiben. Gut, da scheint so eine gesetzwidrige Software in Umlauf gewesen zu
    sein, die der CCC analysiert hat. Gehen wir mal davon aus, daß es sich nicht um
    einen Hoax handelt und es auch keine Dritten waren, die das Ding in Umlauf gebracht haben, um staatliche Stellen in Mißkredit zu bringen. Dann bleibt eigentlich
    nur die Vermutung übrig, daß die Software tatsächlich von staatlichen Stellen
    kommt. So weit, so gut (oder schlecht). Daß Geheimdienste auf derlei Ideen kommen
    wundert mich nicht. Ich gehe aber trotzdem nicht davon aus, daß man vorhatte
    ein ganzes Volk zu bespitzeln,sondern vielleicht hundert oder tausen „Gefährder“,
    etwa aus der Islamistenszene oder sonstwelchen Terrorverdächtigen.
    Daß so ein Ding dann auch das Potential des Mißbrauchs in sich trägt, ist klar,
    aber ich fühle mich dadurch z.Zt. nicht unmittelbar bedroht.
    Keiner muß in unserem Lande seine Unschuld beweisen (Unschuldsvermutung),
    sowas gibt es nur in schlechten Krimis, da wimmelt es dann nur so von „Alibis“,
    im richtigen Leben, sprich in unserer Rechtsordnung, gibt es das nicht, da muß
    jemandem eine Schuld nachgewiesen werden (und zwar vor Gericht), so lange
    hat er als unschuldig zu gelten. Das gilt natürlich auch für Politiker und
    Geheimdienste. Also: her mit den Beweisen, dann kann man auch mit Fug und Recht
    verlangen, daß Köpfe rollen, und genau das hatja Bosbach gesagt.
    Kurz noch ein paar Bemerkungen zu technischen Abwehrmöglichkeiten
    (aber bitte keine Paranoia): Viele Virenscanner werden bald entsprechende
    Signaturen haben, obwohl die ja kaum etwas in ihrenn Honeypots finden,
    da das Ding ja erstens In the Wild kaum vorkam und jetzt schon garnicht.
    Wichtiger scheinen mir noch die Anti-Malwareprogramme, wie Spybot Search &
    Destroy, Malwarebytes (MBAM), SUPERAntispyware (Lavasofts Ad-Aware
    ausdrücklich nicht, hatte dazu eine Mail geschrieben an die Mailadresse im
    Impressum). Da diese Programme nicht ständig laufen und auch keine Wächter-
    funktion haben, kann man ruhig mehrere davon draufhaben und sie jeweils
    von Hand aufrufen, immer vorher updaten. S&D scheint mir noch das
    vertrauenswürdigste Programm zu sein, nur einmal pro Woche Update (Mittwoch
    nachmittags), auch MBAM und SUPERAntispyware sind recht ordentlich
    (letzter muß man bei Avira Antivir bei den auszulassenden eintragen, weil
    Avira das selbst als Malware meldet). Auch den CCleaner von Piriform
    fleißig benutzen, der löscht die ganzen Überbleibsel u. vor allem Cookies.
    Firefox_Addons: NoScript, Ghostery, CookieMonster, ShareMeNot, Better Privacy,
    uva.
    Laßt Euch nicht verrückt machen: Wo Gefahr ist, ist auch das Rettende nah!
    Gottseidank hat ja das Internet durchaus unsere Gesellschaften verändert,
    es ist garnicht mehr so einfach, irgendetwas heimlich und unbemerkt zu machen,
    schon garnicht gegen die eigene Bevölkerung. Gr . Hans

  • Hans van Aken

    Anbei die Homepage der Herstellerfirma des Staatstrojaners: DigiTask,
    Spezielle Kommunikationssysteme. Wenn jemand käme und behauptete,
    das sei eine Stasi-Firma, ich könnte nicht widersprechen. Man verdient seit
    Jahren Millionen mit Spionagesoftware:
    http://www.digitask.de/
    WOT gibt eine Warnung aus: diese Seite hat einen schlechten Ruf.
    Wo sie Recht haben, haben sie Recht
    https://www.mywot.com/en/scorecard/digitask.de

    http://www.rp-online.de/politik/deutschland/Die-Trojaner-Affaere-weitet-sich-aus_aid_1026726.html
    Warum ausgerechnet die Bundesnetzagentur so einen Trojaner braucht bleibt
    schleierhaft. Aber irgendein Spielzeug brauchen die wohl alle, auf Kosten
    (im doppelten Sinne) der Allgemeinheit. Ich hoffe, die Verantwortlichen
    verlieren nicht nur ihren Posten, sondern werden auch hart bestraft.
    Genug ist genug.

  • admin

    Sorry, Michael, da hab ich doch glatt den Trackback reingesmissen – so, jetzt siehts besser aus und der Link ist auch noch aktuell…

  • admin

    Gestern Alternativlos gehört: http://alternativlos.org/19/
    Das Ding ist ein Discounttrojaner… Man kommmt aus dem Kopfschütteln gar nicht mehr raus.
    Und dabei sollte der dich für jeden einzelnen Einsatz handcustomized werden. Boah ist denen das Ding um die Ohren geflogen…

  • Hans van Aken

    habe vorhin einen Kommentar bei schieb.de geschrieben mit ein paar Tipps,
    die mir noch zur Absicherung eingefallen sind. Spare mir die erneute Tipperei
    und setze es hier als Link ein:
    http://www.schieb.de/713341/die-sache-mit-dem-bundestrojaner?utm_source=feedburner&utm_medium=feed&utm_campaign=Feed%3A+schieb+%28schieb.de+%7C+Tipps%2C+Tricks+und+News%29
    Das ist der private Blog von Jörg Schieb. Es gibt auch noch einen „dienstlichen“
    vom WDR, wo er freitags um ca. 19.15 Uhr in der Sendung „Aktuelle Stunde“
    so eine Computerecke hat:
    http://wdrblog.de/joergschieb/archives/2011/10/staatstrojaner.html#kommentar9926-link
    Da läuft alles viel rigider ab, die alte Tante WDR entfernt alle Links aus
    Kommentaren, so daß diese manchmal arg kastriert ausschauen. Hat auch was
    mit Demokratieverständnis zu tun, denn sie haben ja schon einen dicken
    Disclaimer, in dem sie darauf hinweisen, nicht für den Inhalt von Links
    verantwortlich zu sein. Aber sie haben eben eine Kontrollsucht und sind doch
    gleichzeitig nicht in der Lage ihren eigenen Vorstellungen zu entsprechen,
    dann lieber Zensur.
    Schön, daß die Liste von VirusTotal endlich zu sehen war. Ich denke, es liegt
    einfach daran, daß der Bundes- oder Staatstrojaner einfach noch nicht in deren
    Honeypots gelandet ist, und wenn er hauptsächlich per Stick eingebracht
    wird ist das ja auch nicht weiter verwunderlich.
    Ich hoffe, jetzt ist erst mal Ruhe, hoffenlich geschieht den Herren in der Politik
    und in den Diensten was ihnen gebührt. Das BSI ist auch verdächtig ruhig,
    aber ist ja auch kein Wunder, sie unterstehen ja dem Bundesinnenminister.
    Vielleicht sollte man noch das gute alte Adblock Plus für Firefox erwähnen,
    das ist zwar zunächst ein mächtiger Werbefilter, aber es kann auch die eine
    oder andere Schadsoftware vom Halse halten, da die ja oft in Grafiken
    versteckt wird. Grüße Hans

  • Hans van Aken

    Gerade gefunden: kleines Programm zum Aufspüren des Bundestrojaners auf dem eigenen Rechner mit der Möglichkeit, ihn zu entfernen ( Steganos, von einem
    niederländischen Server):

    https://www.steganos.com/de/produkte/gratis-fuer-sie/anti-bundestrojaner/uebersicht/

    Gr. Hans

  • Hans van Aken

    https://www.bfdi.bund.de/bfdi_forum/showthread.php?2788-Staatstrojanerdebatt

    Kam gerade mit dem Newsletter des Bundesdatenschutzbeauftragten Peter Schaar.

    Gr. Hans

  • Hans van Aken

    http://blog.beck.de/2011/10/09/der-bundestrojaner-jetzt-muss-schluss-sein

    Anbei noch ein Link auf eine muntere Juristendebatte zum Bundestrojaner
    im Blog von Prof. Dr. Thomas Hoeren, dem „Papst“ des Internetrechts.
    Prof. Hoeren hat den Lehrstuhl für Informationsrecht und Rechtsinformatik an der
    Uni Münster u. ist Richter am Oberlandesgericht Düsseldorf. Unter der
    nachfolgenden Adresse kann man sein Skriptum „Internetrecht“ als pdf frei
    downloaden, ca. 600 Seiten, zweimal jährlich vor dem Semester upgedatet:

    http://www.uni-muenster.de/Jura.itm/hoeren/lehre/materialien

    Es gibt auch einen Wikipedia-Artikel

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.