Weshalb mich die vom CCC aufgedeckte Schnüffelsoftware eher beruhigt
Nein, es beruhigt mich gar nicht, dass sich unsere (deutschen) "Sicherheitsbehörden" einen feuchten Dreck um so lästige Dinge wie "Bürgerrechte", "Grundgesetz" oder "ordnungsgemäße Ermittlungen" kümmert. Dass Entscheidungen des Bundesverfassungsgericht einfach ignoriert werden, ist man ja als Staatsbürger ja schon gewohnt.
(heise: CCC knackt Staatstrojaner).
Allerdings: Ich hatte ernsthaft nichts anderes erwartet.
Ich erwarte auch nicht, dass das anderswo besser wäre.
Ich habe mir mal (schließlich ist heute Sonntag) die Zeit genommen, den Original-Bericht des CCC zu lesen: Staatstrojaner-Report 23 - Analyse einer Regierungs-Malware. Die Regierungs-Malware ist offensichtlich ein ziemlich schmutziges Stück Software. In jeder Beziehung. Nicht allein, weil sich beliebige Module auf den einmal infiltrierten Computer nachladen lassen - nicht nur Überwachungs-Module, bis hin zum Zugriff auf Webkamera und Mikrofone, was praktisch ein "Großer Lauschangriff" wäre (jedenfalls solange der Rechner an und online ist), sondern sich auch für schmutzige Tricks, wie z. B. das Aufspielen "belastender" Dateien (die dann "zufällig" gefunden werden können) nutzen lassen. Sondern auch deshalb, weil das Ding auch grobe Design- und Implementierungsfehler hat, was Sicherheitsslücken vom Ausmaß eines offenen Scheunentor verursachte, die auch Dritte (z. B. Kriminelle) ausnutzen können.
Dennoch ist es kein purer Sarkasmus, wenn ich schreibe, dass mich das eher beruhigt.
Erst einmal: mit dem Stück Dreckssoftware lässt sich zwar ein Rechner online durchsuchen, aber für die legendäre "Online-Durchsuchung" taugt es nicht. Mit dem Ding lassen sich keine Daten gewinnen, die von einem unabhängigen Gericht auch nur eine entfernte Chance hätten, als Beweismittel zugelassen zu werden.
Woraus folgt: das ist wohl auch nicht der Sinn dieser Spyware. Sie dient wohl eher der Geheimdienstarbeit. (Die nicht Sache der Polizei ist - aber: siehe oben!)
Jedenfalls ist sie für den Zweck der "Quellen TKÜ" (Abhören von Internet-Telefonaten, namentlich Skype, vor der Verschlüsselung, also direkt im Rechner) etwa so geeignet, wie ein Vorschlaghammer zum Erschlagen einer Fliege: das geht zwar, aber eigentlich ist ein Vorschlaghammer für etwas anderes gedacht, und er hinterlässt dabei erhebliche Schäden. Der CCC betont, dass die sogenannte "Quellen-TKÜ" ausschließlich für das Abhören von Internettelefonie verwendet werden darf. Aber was man darf kümmerte die Ermittler offensichtlich nicht die Bohne. Was ja leider nichts Neues ist.
Dann, weil die Malware ausgesprochen dilletantisch zusammengehauen wurde. Ich könnte natürlich, misstrauisch wie ich bin, annehmen, dass dieses "Dumm-Schnüffelprogramm" von dem wirklichen "Schlau-Schnüffelprogramm"ablenken soll. Aber ein wirklich raffiniertes Spionageprogramm dürfte sich schwerlich für den "Masseneinsatz" eignen.
Vielleicht ist die gefundene Malware auch ein Stück Scareware.
Der Eindruck, "sie" wären ohnehin schon "drin", der ja durch die (Sensations-)Berichterstattung der meisten Massenmedien noch bestärkt wird, ist jedenfalls genau das, was einer autoritären und auf Sicherheit fixierten "Obrigkeit" in den Kram passt. Der dumme Bürger wird eingeschüchtert, und schreckt aus Angst vor den allgegenwärtigen Überwachern davor zurück, das effizientestes Medium der Gegenöffentlichkeit, das Internet, zum Meinungs- und Informationsaustausch zu nutzen.
Ob das Absicht ist, wage ich nicht zu beurteilen. Dass es die Selbstzensur aus Angst vor Überwachung wirklich gibt, ist aber unbestritten.
Was der CCC über das Mistding herausbekommen hat, ist jedenfalls bemerkenswert:
Was machen die Ermittler aber, wenn der "Zielrechner" z. B. unter Linux läuft? (Was wiederum darauf hinweist, dass es gar nicht darum geht, mit dem dreckigen Stück Malware der organisierten Kriminalität oder dem Terrorismus beizukommen.)
Dem sarkastische Fazit des CCC kann ich mich nur anschließen:
(heise: CCC knackt Staatstrojaner).
Allerdings: Ich hatte ernsthaft nichts anderes erwartet.
Ich erwarte auch nicht, dass das anderswo besser wäre.
Ich habe mir mal (schließlich ist heute Sonntag) die Zeit genommen, den Original-Bericht des CCC zu lesen: Staatstrojaner-Report 23 - Analyse einer Regierungs-Malware. Die Regierungs-Malware ist offensichtlich ein ziemlich schmutziges Stück Software. In jeder Beziehung. Nicht allein, weil sich beliebige Module auf den einmal infiltrierten Computer nachladen lassen - nicht nur Überwachungs-Module, bis hin zum Zugriff auf Webkamera und Mikrofone, was praktisch ein "Großer Lauschangriff" wäre (jedenfalls solange der Rechner an und online ist), sondern sich auch für schmutzige Tricks, wie z. B. das Aufspielen "belastender" Dateien (die dann "zufällig" gefunden werden können) nutzen lassen. Sondern auch deshalb, weil das Ding auch grobe Design- und Implementierungsfehler hat, was Sicherheitsslücken vom Ausmaß eines offenen Scheunentor verursachte, die auch Dritte (z. B. Kriminelle) ausnutzen können.
Dennoch ist es kein purer Sarkasmus, wenn ich schreibe, dass mich das eher beruhigt.
Erst einmal: mit dem Stück Dreckssoftware lässt sich zwar ein Rechner online durchsuchen, aber für die legendäre "Online-Durchsuchung" taugt es nicht. Mit dem Ding lassen sich keine Daten gewinnen, die von einem unabhängigen Gericht auch nur eine entfernte Chance hätten, als Beweismittel zugelassen zu werden.
Woraus folgt: das ist wohl auch nicht der Sinn dieser Spyware. Sie dient wohl eher der Geheimdienstarbeit. (Die nicht Sache der Polizei ist - aber: siehe oben!)
Jedenfalls ist sie für den Zweck der "Quellen TKÜ" (Abhören von Internet-Telefonaten, namentlich Skype, vor der Verschlüsselung, also direkt im Rechner) etwa so geeignet, wie ein Vorschlaghammer zum Erschlagen einer Fliege: das geht zwar, aber eigentlich ist ein Vorschlaghammer für etwas anderes gedacht, und er hinterlässt dabei erhebliche Schäden. Der CCC betont, dass die sogenannte "Quellen-TKÜ" ausschließlich für das Abhören von Internettelefonie verwendet werden darf. Aber was man darf kümmerte die Ermittler offensichtlich nicht die Bohne. Was ja leider nichts Neues ist.
Dann, weil die Malware ausgesprochen dilletantisch zusammengehauen wurde. Ich könnte natürlich, misstrauisch wie ich bin, annehmen, dass dieses "Dumm-Schnüffelprogramm" von dem wirklichen "Schlau-Schnüffelprogramm"ablenken soll. Aber ein wirklich raffiniertes Spionageprogramm dürfte sich schwerlich für den "Masseneinsatz" eignen.
Vielleicht ist die gefundene Malware auch ein Stück Scareware.
Der Eindruck, "sie" wären ohnehin schon "drin", der ja durch die (Sensations-)Berichterstattung der meisten Massenmedien noch bestärkt wird, ist jedenfalls genau das, was einer autoritären und auf Sicherheit fixierten "Obrigkeit" in den Kram passt. Der dumme Bürger wird eingeschüchtert, und schreckt aus Angst vor den allgegenwärtigen Überwachern davor zurück, das effizientestes Medium der Gegenöffentlichkeit, das Internet, zum Meinungs- und Informationsaustausch zu nutzen.
Ob das Absicht ist, wage ich nicht zu beurteilen. Dass es die Selbstzensur aus Angst vor Überwachung wirklich gibt, ist aber unbestritten.
Was der CCC über das Mistding herausbekommen hat, ist jedenfalls bemerkenswert:
Wir haben keine Erkenntnisse über das Verfahren, wie die Schadsoftware auf dem Zielrechner installiert wurde. Eine naheliegende Vermutung ist, daß die Angreifer dafür physischen Zugriff auf den Rechner hatten. Andere mögliche Verfahren wären ähnliche Angriffe, wie sie von anderer Malware benutzt werden, also E-Mail-Attachments oder Drive-By-Downloads von Webseiten. Es gibt auch kommerzielle Anbieter von sogenannten Infection Proxies, die genau diese Installation für Behörden vornehmen.Mit anderen Worten: die Schnüffelsoftware hat sämtliche Merkmale von zu kriminellen Zwecken eingesetzter Spyware. Mit einer Ausnahme: Computerkriminelle haben im Allgemeinen keine Möglichkeit, sich "physischen Zugang" zu verschaffen - staatliche Organe können das - z. B. bei Grenzkontrollen, z. B. unter dem Vorwand einer Sprengstoffkontrolle eines Laptops. Was tatsächlich schon gemacht wurde. Denkbar ist ein Zugriff auch im Zuge einer Hausdurchsuchung. Bei einem eher geheimdienstlichen Einsatz ist auch ein Einbruch denkbar.
Sicher können wir sagen, daß bei der Infektion zwei Komponenten installiert wurden: eine Windows-DLL im Userland
c:\windows\system32\mfc42ul.dll
sowie ein Windows-Kernel-Modul namens winsys32.sys.
Das Laden und Ausführen des DLL-Codes wird über den Registry-Key SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs realisiert, das Kernel-Modul wird über einen Windows-Kernel-Modul-Service vom Betriebssystem geladen.
Das Kernel-Modul liegt in Form einer unsignierten 32-bit-Datei vor. Es kann daher in dieser Form nur auf einem 32-bit-Windows funktionieren. Uns liegen keine Erkenntnisse vor, ob es auch eine 64-bit-Version gibt. Dies wäre daher interessant, da 64-bit-Versionen zwangsläufig signiert sein müssen. Über die Signatur könnte man eventuell Rückschlüsse auf den Urheber der Software ziehen.
Was machen die Ermittler aber, wenn der "Zielrechner" z. B. unter Linux läuft? (Was wiederum darauf hinweist, dass es gar nicht darum geht, mit dem dreckigen Stück Malware der organisierten Kriminalität oder dem Terrorismus beizukommen.)
Dem sarkastische Fazit des CCC kann ich mich nur anschließen:
Wir sind hocherfreut, daß sich für die moralisch fragwürdige Tätigkeit der Programmierung der Computerwanze keine fähiger Experte gewinnen ließ und die Aufgabe am Ende bei studentischen Hilfskräften mit noch nicht entwickeltem festen Moralfundament hängenblieb.
MMarheinecke - Sonntag, 9. Oktober 2011
Trackback URL:
https://martinm.twoday.net/STORIES/42997544/modTrackback