blog.fohrn.com

Bundestrojaner, die Zweite.

Was da gerade auf twitter abgeht, ist ja hochgradig spannend. Nachdem seitens des Regierungssprechers und seitens des BKA das Dementi kam, dass es sich bei der vom CCC analysierten Software um den Bundestrojaner handelt, kochte die Gerüchteküche hoch, wie selten. Dazu fällt mir eigentlich nur eines ein:

Qui s’excuse, s’accuse. (Stendhal)

Warum? Weil es im Prinzip völlig wurscht ist, ob das Ding nun vom Bund oder von den Ländern unters Volk geschmissen wurde. Dass es sich um eine nichtstaatliche Software handelt, bin ich nicht bereit zu glauben, denn die Kriminellen™ haben in der Regel andere Software mit anderen Funktionen die anderen Zielen dient, am laufen. Wie ein klassischer Verbrecher-Trojaner funktioniert, kann man sich in den Blogs und anderen Publikationen quasi jedes Antivirensoftwareherstellers ansehen. Sie sind ungleich besser gestrickt und dienen in der Regel anderen Zielstellungen. Dort geht es um das möglichst automatisierte Ausspähen von Passwörtern, Log-Ins, TANs, anderen Onlinebankingdaten oder um die Errichtung eines Botnetzes. Was hätten Kriminelle denn davon, eine Platte mit Screenshots vollaufen zu lassen. Oder mit Captures von Webcams oder Toninformationen, die aus dem Stream eines Webcammikrofons generiert werden? Richtig: Nüscht. Weil daraus lässt sich in den seltensten Fällen Geld generieren. Und dann noch was: Die vom CCC analysierte Schadsoftware war nur selten in freier Wildbahn anzutreffen – ein Kriminellentrojaner funktioniert nur in der Masse, denn erstens steht zu erwarten, dass ein Gutteil von Avira, Kaspersky und Co. einfach gelöscht wird und wenn nicht, dann ist auch nicht jeder verbleibende Schuss ein Treffer, denn nichtjeder nutzt eBanking oder andere für Kriminelle interessante Programme bzw. Dienste.

Also: Allein der Funktionsumfang spricht für eine Software zum Zwecke der Umsetzung der sog. „Quellen-TKÜ“, das dürfte auch Nicht-ITlern, die die Analyse des CCC mal grob überlesen haben, aufgehen.

Ich möchte noch etwas anderes erwähnen: Gestern wurde ja bereits festgestellt, dass sie das DLL auf dem Windowsrechner ziemlich regelwidrig verhält. Wäre der Schadcode von Kriminellen abgefasst worden, hätten diese genau das zu vermeiden gesucht, allein schon, um auszuschließen, dass die DLL im heuristischen Läusekamm der lokal installierten Antivirensoftware hängenbleibt. Soviel, liebes BKA, lieber Regierungssprecher, verstehe sogar ich, der ich nun bei Leibe kein ITler bin – ich habe mir ursprünglich mal Sozialpädagogik draufgeschafft.

Zur Entkräftung der dem Dementi inhärenten Argumente bedarf es keiner IT-Profession sondern nur einfachster Logik. Dumm, wenn sowas auffliegt.

Und ich wiederhole an dieser Stelle nochmal: Selbst wenn es sich nicht um den Bundestrojaner sondern einen Landestrojaner handelt, macht das die Sache nicht besser. Jetzt darauf zu spekulieren, die Schuld einem Zwillingsbruder in die Schuhe zu schieben oder einfach zu warten, ob der Urheber der Sauerei erwischt wird und dann zu sagen: „Wir wissen, dass da was schiefgelaufen ist, wir wissen aber nicht, wer es war“ – das ist die unterste Schublade.

Warum wird so gehandelt? Warum wird geleugnet? Es ist ein simples Spiel: Man disketiert den CCC, aber eben nur ein bisschen. Denn der Code ist da, die Aussagen im Kompendium beweisbar. Allerdings weiß der Staat wohl nicht, wer die Informanten des CCC sind. Würde der CCC sich hierüber äußern, wäre das Dementi-Spiel geplatzt, der CCC hätte aber seine Quellen offengelgt. Jeder kann sich ausrechnen, dass der CCC das nicht tun wird. In der öffentlichen Kommunikation ist also eine Art Patt entstanden: Politiker und Beamte sagen (in übertragenem Sinne) „Wir waren es nicht“, der CCC sagt: „Doch, ihr seid ertappt, aber zum Schutz der Quellen müssen wir die Beweise erst mal schuldig bleiben“. Wenn hier nun jemand eher den Beamten und Politikern glaubt als dem CCC, dann ist das nicht mehr mit Naivität zu erklären – sondern nur noch mit Dummheit oder bösem Willen.

Wir mussten indes auch nicht lange warten, bis ein Dummer aufsteht und dem CCC die Quelle zu entlocken. Der Dumme, von dem ich spreche, ist kein geringerer als Bosbach (Quelle: SZ). Nun, es ist schon bezeichnend, dass Herr Bosbach meint, er könne durch Spucken großer Töne den CCC aufs Glatteis führen. Wer seinem Widersacher so wenig Intelligenz zutraut, der darf mit Fug und Recht als Dumm bezeichnet werden.

Der Bosbachsche Trick ist dabei einfach zu billig: Er will einfach die Beweislast umkehren. Er sagt: Wir waren es nicht – der CCC soll doch erst mal beweisen, dass wir es waren. Das ist natürlich völliger Schwachsinn. Der Bürger misstraut ob des Rechtsbruchs mit der Spionagesoftware dem Staat. Daher muss der Staat und dessen Politiker, darunter auch Bosbach, beweisen, dass sie es NICHT waren. Nach dieser SZ-Meldung drängen sich mir ernsthafte Zweifel an der Intelligenz des Mannes auf…

Nun aber nochmal zu etwas ganz anderem: Viele werden sich fragen, wie man erkennen kann, ob der eigene Computer nun mit der Staatsspionagesoftware verseucht ist oder nicht. Das ist sehr sehr einfach, man braucht noch nichtmal einen Virenscanner dafür sondern nur die Windows-Suche (sic!).

Wie dem Kompendium zum Staatstrojaner zu entnehmen ist, liegen auf dem infizierten Rechner zwei Dateien: mfc42ul.dll und winsys32.sys.

Und nun aktiviert man einfach die Windows-Suche und gibt jeweils mfc42ul.dll und winsys32.sys ein. Wird was gefunden? Festplatte sicherst löschen (mehrfaches Überschreiben mit Nullen) und System neu aufsetzen. Wird nichts gefunden, ist mit größter Wahrscheinlichkeit nichts da. Auch den im Kompendium genannten Pfad (vgl. Seite 3) kann man händisch sichten – mehr braucht es aber nicht.

Ich war selbst zutiefst verunsichert, ob es wirklich so einfach sei. Und ich erfuhr aus mehreren berufenen Mündern, dass das Ding so schlecht gemacht ist, dass es in der Tat so einfach ist.

Ich bin gespannt, was sich dieser Tage noch entwickelt, klar ist aber schon jetzt: Der Staatstrojaner stellt einenklaren Rechtsbruch dar. Weder Politiker noch Beamte sind in der Lage, zu beweisen, dass die Schadsoftware nicht von Bund oder Ländern stammt. Das Ding ist leicht zu finden und schnell loszuwerden.

Update: Folgende Virenscaner erkennen den Staatstrojaner: http://mcblogs.craalse.de/sku/48h-spater-der-bundestrojaner-bei

Bundestrojaner geknackt, Funktionsumfang ein Skandal!

Das stand ja zu erwarten, dass der Bundestrojaner nix taugt- schließlich ist das ja ein staatliches IT-Projekt und mir ist kein staatliches IT-Projekt bekannt, das irgendwas geworden wäre. So reiht sich der Bundestrojaner ein in die Reihe der defekten, aber wider besseren Wissens weiterforcierten Projekte wie Toll Collect oder die sog. elektronische Gesundheitskarte (fränkisch: „Grangnkäddla“). Die Häme des ersten Augenblicks, der ich an dieser Stelle etwas Raum gegeben habe, weicht aber schell der Erschütterug und dem Entsetzen über die Umsetzung und die Möglichkeiten, die der Bundestrojaner beinhaltet.

Der CCC hat dazu ein kleines Kompemdium abgefasst, dass unter http://www.ccc.de/system/uploads/76/original/staatstrojaner-report23.pdf abgerufen werden kann. Ich habe das gelesen und fasse mal einige Punkte zusammen und kommentiere ein wenig:

  • es handelt sich um eine Windows-DLL (S. 2), diese dockt sich an den Explorer an und wickelt die Kommunikation darüber ab (S. 3). Das scheint  auf den ersten Blick noch nicht mal doof. Ich kann hier leider auch nur mit Halbwissen glänzen, zumal ich erst seit zwei Monaten einen Windows-PC mein Eigen nenne, aber soviel habe ich bereits mitgekriegt: Ohne explorer.exe läuft nichts – wenn man die abgeschossen hat, dann kann man den Rechner eigentlich nur neu starten. Die Programme im Hintergrund laufen in so einem Fall zwar weiter, richtig arbeiten kann man mit dem Computer dann aber nicht mehr. Der Staat darf also davon ausgehen, dass das Wirtstierprogramm, explorer.exe, immer läuft, nicht ganz doof, wie schon gesagt. Ebenfalls nicht doof ist, den Trojaner – und wir halten fest: Ein Trojaner ist immer eine Schadsoftware, da bildet die Bundesmalware keine Ausnahnme – als DLL auszufertigen. So lässt er sich angesichts der vielhundertfach auf jedem Rechner vorhandenen DLLs nicht einfach durch Sichtug ohne Weiteres ausmachen – getreu dem Motto, dass man einen Baum am besten im Wald versteckt. Das diese DLL ein regelwidriges Verhalten an den Tag legt (S. 2) ist da schon weniger schlau, umso mehr nimmt mich Wunder, dass bislang kein Anti-Virenprogramm das Ding zu finden vermag (S. 2). Eine Ausnahme scheint da aber F-Secure zu bilden, mal sehen.
  • Wie das Ding auf den eigenen Rechner kommt, weiß man beim CCC auch nicht mit Sicherheit zu sagen. Es kann sein, dass der Staat einfach bei einem einbricht und dann den Trojaner händisch einspielt, aber auch einige Möglichkeiten, den Trojaner remote auf den Rechner zu spielen, sind zumindest theoretisch gegeben (S. 3).
  • Derzeit wurden vom CCC nur 32-Bit-Versionen gesichtet. Die Installation auf einem 64-Bit-System scheint nicht ganz untrivial, weil hier Modifikationen am Kernel über eine Signatur verfügen müssen. Ich selbst hätte hier aber ein gerüttelt Maß an Paranoia, denn meines Wissens nach bekommt man heute kaum ohne Weiteres einen Windows-PC mit 32-Bit-Technik neu gekauft – und da muss der Staat ja irgendwie drauf reagieren… (S. 3).
  • „Der in den uns vorliegenden Trojanern hart einkodierte Command-and-Control-Server (C+C-Server) befindet sich auf der IP 207.158.22.134. Diese IP liegt im Rechenzentrum des kommerziellen Hosting-Anbieters Web Intellects in Columbus, Ohio, USA.“ (S. 3). Das hat ein besonderes Geschmäckle – erst einmal wird das Ding wertlos, wenn sich was an der IP ändern sollte. Ich würde weiterhin zumindest versuchen, Zugriffe von und auf diese IP zu sperren. Und dann stinkt die Sache ja gewaltig nach Scheiße, denn was fällt denen eigentlich ein, unsere Daten zu den Ammis zu transferieren, einem Land, das genau gar keinen Ansprüchen hinsichtlich des Datenschutzes gerecht wird.
  • Die Verschlüsselung der zu stehlenden Daten scheint nicht nur ungenügend sondern auch einseitig ausgeführt zu sein – was nicht nur generell schlecht ist, sondern auch den unverschlüsselten Zugriff auf den infizierten Rechner zulässt – double fuck! Der Horror: Der Staat, der den Rechner infizierte, kann dem Opfer, also dem Bürger einfach mal gefälschte Beweise unterschieben. Genau dies können auch andere Kriminelle tun (S. 5). Daher müsste – betrachtet man das mal von der rechtsstaatlichen Perspektive – jedes via Bundestrojaner gewonnene Material vor Gericht nicht verwertbar sein, denn die Chance, dass einem hier gefälschte Beweise untergeschoben werden, ist recht hoch. Das das mit der freiheitlich-demokratischen Grundordnung nix mehr zu tun hat, sei hier nur der Vollständigkeit halber erwähnt.
  • Diesen Pfusch am Bau lässt der CCC natürlich nicht unkommentiert: „Wir sind hocherfreut, daß sich für die moralisch fragwürdige Tätigkeit der Programmierung der Computerwanze keine fähiger Experte gewinnen ließ und die Aufgabe am Ende bei studentischen Hilfskräften mit noch nicht entwickeltem festen Moralfundament hängenblieb.“ (S. 5). You made my day, CCC! Es wird davon ausgegangen, dass es dem Staat schlicht und ergreifend misslungen ist, kompetentes Personal zur Programmierung des Schadcodes zu gewinnen. Blöd nur, dass damit die auf dem kompromittierten Rechner befindlichen Daten nicht nur außer Landes geschafft werden sondern auch noch völlig unsicher sind. Eine weitere Betrachtung folgt später.
  • Auf Seite 8 und 9 werden exemplarisch einige der Fernsteuerkommandos für die Schadsoftware beschrieben. Interessant ist unter anderem cmd 5 „Installation aller trojanerspezifischen Dateien im Dateisystem; noch ist nicht eindundertprozentig klar, woher die Daten genau kommen, möglicherweise gibt es noch eine Upload-Funktion ähnlich cmd 14“ in Verbindung mit cmd 6 „Löschen der Trojaner-Daten vom Dateisystem & Reboot“. Damit könnte der Staat kompromittierende Dateien oder Progranmme gut versteckt auf dem Rechner hinterlegen, den Trojaner entfernen, dann den Rechnerbesitzer, der von nichts weiß, anonym anzeigen, den Rechner beschlagnahmen lassen und so unbescholteme Leute aus dem Verkehr ziehen. Ein Tool, nach dem sich die übelsten Diktatoren dieser Welt die Finger schlecken, wird in der Bundesrepublik Deutschland Wirklichkeit – herzlichen Glückwunsch. Und dann gibt es da noch ein paar andere Funktionen wie z.B. besagtes cmd 14 – Upload eines Programms und dessen unmittelbare Ausführung. Screenshots u.ä. lassen sich auch in regelmäßigen Abständen machen…
  • Wer jetzt die ersten Ekelpickel bekommen hat, der lese nur mit Vorsicht weiter: „Wir fanden außerdem prompt eine Hintertür in der Hintertür – also einen Bundestrojaner- Funktionserweiterer, der vorbei an jeder Kontrolle etwaig involvierter Ermittlungsrichter nativ die Möglichkeit zur Verfügung stellt, die Schadsoftware mit weiteren Funktionalitäten anzureichern.“ (S. 11), d.h., dass im Prinzip jede noch nicht implementierte Schad- und Spionagefunktion einfach „hinterhergeschoben“ werden kann.

So gesehen ist der Bundestrojaner schon eine ausgemachte Schweinerei. Und dazu noch dilletantisch programmiert. Nun demonstriert der CCC, was sich mit dem Trojaner aus der Ferne alles Übles anstellen lässt: Schaut Euch hierzu einfach dieses Video an.

Dass der Bundestrojaner in der Tat gegen geltendes Recht verstößt, darüber klärt uns RA Udo Vetter im law-blog auf:

Der Bundestrojaner läuft seit längerem unter der unauffälligen Neusprech-Variante „Quellen-TKÜ“ (TKÜ = Telekommunikationsüberwachung. Diese Quellen-TKÜ darf nach den Vorgaben des Bundesverfassungsgerichtsw an sich ausschließlich für das Abhören von Internettelefonie verwendet werden. Dies ist an sich durch technische und rechtliche Maßnahmen sicherzustellen. Doch tatsächlich scheinen die Ermittler auch in den Fällen, wo sie eigentlich nur lauschen dürfen, eine regelrechte „Wunderwaffe“ einzusetzen, die viel mehr kann.

Dass es aber nicht allein um das Abschnorcheln von Skype-Telefonaten geht, haben wir oben schon ausführlich abgehandelt – mehr noch: Skype-Telefonate zu belauschen scheint angesichts der reichhaltigen Spionage-Funktionen eher ein Randfeature zu sein. Und so resümiert Vetter folgerichtig:

Eine Erweiterbarkeit auf die volle Funktionalität des Bundestrojaners – also das Durchsuchen, Schreiben, Lesen sowie Manipulieren von Dateien – ist von Anfang an vorgesehen. Sogar ein digitaler großer Lausch- und Spähangriff ist möglich, indem ferngesteuert auf das Mikrofon, die Kamera und die Tastatur des Computers zugegriffen wird.

Nun steht abzuwarten, ob der Bundestrojaner von Gerichten gleich wieder einkassiert wird und ob für diese Sauerei Politiker zurücktreten werden. In jedem Fall ist es zwingend notwendig, nun auf die Bundesregierung massiv publizistischen Druck auszuüben. In jedem Fall wird es spannend, denn es bedarf jetzt einer detaillierten rechtlichen Klärung, was der Staat darf – und was nicht. Derzeit ist mal wieder der Bürger der Angeschmierte.

Update: Mancher glaubt nicht, dass es sich bei der vom CCC analysierten Software wirklich um den Bundestrojaner handelt. Die Argumentation ist auf der einen Seite logisch, auf der anderen Seite traue ich den staatlichen Stellen exakt so viel Inkompetenz zu.

Update: Hier vertraue ich aber deutlich mehr fefe, der ganz eindeutig davon spricht, dass „Der CCC […] ja schon seit Jahren gegen den Bundestrojaner und die Trojaner der einzelnen Bundesländer [kämpft] und […] bei diversen Gelegenheiten angesagt [hat], dass wenn jemand bei sich einen Bundestrojaner findet, er den doch bitte bei uns abgeben möge, damit wir den sezieren können. Es ist mir eine besondere Freude, heute auf diese Presseerklärung des CCC zu verlinken. Denn dem CCC sind tatsächlich Trojaner zugespielt worden, von denen wir nach eingehender Analyse glauben, dass es sich um „Quellen-TKÜ“ handelt.“ Das ist dann ja schon ein wenig mehr als „irgendwelche Software von unzureichend gelöschten Platten irgendwelcher ollen Kisten halbstaatlicher Stellen gekratzt“.

Update: Schnarri sieht das Vertrauen der Büger in den Staat gefährdet. BWAHAHAHAHA!! Ich lach mich Schrott!! Btw.: Ich sehe Schnarris Posten gefährdet.