Bundestrojaner enttarnt

  • TIPP

Diese Seite verwendet Cookies. Durch die Nutzung unserer Seite erklären Sie sich damit einverstanden, dass wir Cookies setzen. Weitere Informationen

  • Bundestrojaner enttarnt

    So funktioniert die Onlinedurchsuchung!!


    Bundestrojaner

    Immer klarer zeichnet sich ab, wie der Bundestrojaner funktionieren, welche Daten er kopieren und wie er PCs infizieren soll.


    Das BKA arbeitet nach Auskunft des Bundesministerium des Inneren seit geraumer Zeit an einer Software für Online-Durchsuchungen und Online-Überwachungen. Derzeit liegen die Arbeiten aber auf Eis, bis die gesetzlichen Grundlagen geklärt sind.

    Trotzdem sind bereits viele Details zu diesem Remote Forensic Software, kurz RFS genannten Tool-Paket bekannt. So hat der Präsident des BKA auf einer Sicherheitstagung in Hamburg im Juni die Grundrisse vorgestellt. Am 22. August hat das Bundesministerium des Inneren (BMI) ausführlich auf zwei Anfragen der SPD-Bundestagsfraktion und des Justizministeriums geantwortet, die auf der Web- Seite Netzpolitik bereitgestellt wurden.


    Neben rechtlichen Themen enthielt der Fragenkatalog auch Auskunftswünsche zu vielen technischen Details. Auch wenn die Antworten des BMI oft nebulös wirken, sind sie in einzelnen Punkten doch sehr auskunftsfreudig.



    Das Bundesministerium des Inneren antwortet dm Justizministerium nicht sehr konkret.


    Remote Forensic Software


    Die RFS ist das Programm, das auf dem PC installiert wird, der online durchsucht oder überwacht werden soll. Mit anderen Worten: RFS ist der amtliche Name für den Bundestrojaner.

    Das BMI geht davon aus, dass für jeden Einsatz des RFS eine individuelle Version des Programms entwickelt wird. Dazu ermitteln die Fahnder zunächst möglichst genau, wie der Ziel-PC ausgestattet und konfiguriert ist. Portscans schließt das BKA dabei ausdrücklich aus und nennt stattdessen klassische Wege wie Telefonüberwachung oder Vertrauenspersonen im Umfeld der zu überwachenden Person als Quelle. Dabei geht es neben der Betriebssystemversion sicher vor allem um die Security-Software wie Antivirenprogramm und Virenscanner. An Hand dieser Eckdaten programmieren BKA-Spezialisten dann einen Trojaner, der genau darauf zugeschnitten ist. Natürlich wird überprüft, ob verbreitete Antivirenprogramme und Firewalls bei der Installation oder im Betrieb Alarm schlagen. Dieser Trojaner soll nach Angaben des BMI jeweils nur für eine einzige Überwachungsmaßnahme zum Einsatz kommen. Das Risiko einer Entdeckung sei dadurch sehr gering.

    Wie der fertige Bundestrojaner auf den Ziel-PC gelangen soll, lässt das BMI weitgehend offen: "Es gibt eine Vielzahl von Einbringungsmöglichkeiten, die auf Tauglichkeit für den jeweiligen Einsatz überprüft, ausgewählt und eventuell angepasst werden müssen."





    Daten finden und übertragen


    Ist der PC erst einmal infiziert, geht es an die Durchsuchung. Nach Auskunft des BMI sind dabei folgende Aktivitäten vorgesehen:

    * Informationen zum PC an sich
    * Gespeicherte Dateien
    * Suche nach Dateien mit bestimmten Namen
    * Suche nach Dateien mit bestimmten Dateiendungen
    * Suche nach Eigenschaften/Attributen (Zugriffsdaten etc.)
    * Schlüsselwortsuche
    * Suche in bestimmten Verzeichnissen
    * Suche nach Dateien eines bestimmten Dateityps
    * Erfassung von Passworteingaben, in Bearbeitung befindlicher verschlüsselter Dateien etc.
    * Erfassung von Klartextdaten vor einer Verschlüsselung
    * Erfassung von Klartextdaten nach einer Entschlüsselung

    Eine Abfrage von eventuell an den PC angeschlossenen Webcams oder Mikrofonen ist laut BMI nicht vorgesehen, obwohl technisch kein Problem. Eine solche "Wohnraumüberwachung", besser als großer Lauschangriff bekannt, ist gesetzlich anderweitig geregelt. Auch eine Überwachung von VoIP-Gesprächen ist nach BMI-Angaben deshalb in RFS nicht vorgesehen.

    Die zu übertragenden Daten sollen bereits auf dem Ziel-PC möglichst genau selektiert werden. Zum einen dürfen die Fahnder keine Daten aus dem "Kernbereich persönlicher Lebensgestaltung" erfassen, zum anderen ist natürlich die meist geringe Übertragungsrate der Internetverbindung zu berücksichtigen. Die Daten sammelt der Bundestrojaner zunächst in einer verschlüsselten Logdatei. Bei der nächsten Internetverbindung schickt er sie an den BKA-Server. Das BMI geht dabei davon aus, dass der Versand durchaus mehrere Tage in Anspruch nehmen kann - schließlich soll er auch nicht auffallen.

    Eine Alternative wäre, den Bundestrojaner nach der Installation vielleicht über Wochen Ergebnisse aufzeichnen zu lassen. Im Rahmen einer normalen Hausdurchsuchung kann ein Fahnder die Logs dann zusammen mit dem PC beschlagnahmen. Diese Option ist in den Antworten des BMI allerdings nirgends erwähnt.


    Entdeckung verhindern


    Um eine größere Verbreitung auszuschließen, hat das RFS eine Art Verfallsdatum eingebaut. Nach Ablauf einer bestimmten Frist deinstalliert sich das Programm rückstandsfrei inklusive aller eventuell angelegten Logdateien. Diese Deinstallation kann auch der Controller im BKA per Online-Befehl auslösen. Auch wenn RFS längere Zeit keinen Online- Kontakt mehr zum BKA-Server herstellen kann (etwa, weil eine neue Firewall die Verbindung blockiert), ist eine automatische Deinstallation vorgesehen.

    Ein Problem sind Updates für die Antiviren-Software, die nachträglich doch zu einer Entdeckung führen könnten. Sobald RFS installiert ist, weiß der Ermittler allerdings exakt darüber Bescheid, welches Antivirenprogramm in welcher Version auf dem PC vorhanden ist. So könnte er parallel an einem Test-PC jeweils die Erkennung testen und gegebenenfalls die Deinstallationsroutine des RFS aufrufen. So merkt die überwachte Person nicht, dass der PC manipuliert wurde.

    Ausdrücklich weist das BMI darauf hin, dass vorhandene Security-Software nicht einfach abgeschaltet würde, um eine Entdeckung zu verhindern. Auch eine Änderung an der Konfiguration solcher Programme schließt das BMI an anderer Stelle des Antwortenkatalogs zum Thema Deinstallation aus - in der Praxis ist das wohl eher illusorisch. Insgesamt setzt das BKA vor allem darauf, dass durch die geringe Verbreitung einer individuellen Version des Bundestrojaners eine Entdeckung kaum möglich ist. Droht eine Entdeckung, so soll sich die Software selbst rückstandsfrei deinstallieren. Der Programmcode selbst ist laut Antwortenkatalog durch "kryptografische Mittel" vor einer Analyse gut geschützt und lässt keine Rückschlüsse auf die Polizei als Urheber zu. Die betroffenen Zielpersonen sollen den Bundestrojaner für eine der lästigen Web-Plagen halten, die sowieso millionenfach im Umlauf sind.


    Verbreitungswege


    In einem Punkt halten sich die Antworten des BMI deutlich zurück: Wie soll der Ziel-PC infiziert werden? Schwammig ist von vielen "Einbringungsmöglichkeiten" die Rede, unter denen die Ermittler im konkreten Fall die erfolgversprechendste auswählen.

    Sehr verwegen wirkt der Vorschlag, den Bundestrojaner getarnt als "offizielle" E-Mail von Bundesbehörden wie etwa Finanzämtern zu versenden. Der Trojaner wäre dabei etwa als PDF-Version eines Steuerdokuments getarnt. Beim Öffnen des Anhangs per Doppelklick installiert sich der Spion und öffnet dann das vorgeschobene PDF-Dokument. Das BMI merkt dazu an, das sei ein sehr unwahrscheinlicher Weg, räumt aber im nächsten Satz ein, er würde keinesfalls ohne Rücksprache mit der entsprechenden Behörde erfolgen. Das dürfte wohl auch selbstverständlich sein, denn die E-Mail muss im PDF sinnvolle Daten enthalten, sonst wird der Empfänger sofort misstrauisch.

    Jeder halbwegs erfahrene PC-Nutzer dürfte in den letzten Jahren gelernt haben, nicht einfach auf irgendwelche Dateianhänge von E-Mails zu klicken. Spätestens mit den gefälschten E-Mails von BKA, ikea oder 1&1, die Spam-Versender zur Infektion neuer Zombie- PCs für ihre Botnetze im letzten Jahr einsetzten, dürften sich nur noch wenige Anwender von "offiziellen" Absenderadressen einlullen lassen. Und die Äußerungen des BMI gießen noch Öl aufs Feuer.



    Die kriminelle Kollegen der BKA-Beamten wissen, wie sie Nutzer verleiten, sich selbst einen Trojaner auf die Festplatte zu laden.


    Manipulierte Downloads


    Präziser wären manipulierte Downloads von Programmdateien, die sich die Zielperson herunterlädt. Dazu könnte das BKA über den Internet-Provider den Datenstrom des Ziel-PCs überwachen. Lädt der Anwender eine Programmdatei herunter, fügt ein Programm in den Download automatisch den Bundestrojaner ein. Die Techniken sind von echten Viren bekannt und einfach umzusetzen. Beim Start des Downloadswird zunächst der Trojaner aktiv und klinkt sich im System ein. Darauf startet der Viruscode das ursprüngliche Programm.

    Statt beim Internet-Provider anzusetzen, könnte die Polizei auch die Downloads auf Webseiten manipulieren, die der Anwender nur nach einem Login erreicht - auch damit ist sichergestellt, dass nur die Zielperson betroffen ist. Allerdings ist der Download einer Programmdatei erforderlich - und die Entscheidung darüber liegt beim Anwender. Besonders effizient sind diese Varianten also nicht. Zudem gibt das BMI in seinem Antwortkatalog an, dass die Installation von RFS ohne die Mithilfe Dritter (wie etwa Provider) erfolgten soll.


    Exploits im Hintergrund


    Neutral betrachtet stehen die kriminellen Betreiber von Botnetzen vor demselben Problem wie die Polizei: Sie wollen mit möglichst großer Effizienz PCs infizieren, ohne dass die Besitzer etwas davon merken. Die bevorzugte Lösung der Botnetzer sind derzeit Drive-by- Downloads.

    Surft man eine normale Webseite an, so klopft im Hintergrund ein JavaScript-Programm, das in den HTML-Code der Webseite eingebettet ist, den Browser auf Sicherheitslücken ab. Diese Sicherheitslücke nutzt dann der entsprechende Exploit aus, um den Trojaner zu installieren.

    Die Polizei will nur einen ganz bestimmten PC infizieren. Sie könnte wieder über den Internet-Provider während der Übertragung einzelne HTML-Dateien abfangen und manipulieren. Oder Sie versendet E-Mails, die gezielt Exploits im E-Mail-Programm oder anderen Komponenten auf dem PC ausnutzen.

    Wenn etwa bekannt ist, dass die Zielperson einen Webmail-Anbieter benutzt, könnte nach dem Login auf den Webseiten entsprechender Code untergebracht sein. Oder an diese E-Mail-Adresse wird eine Nachricht gesendet, die wiederum Exploits im Browser ausnutzt. Höchstwahrscheinlich hat auch das FBI beim dokumentierten Einsatz der CIPAV-Software diese Technik gewählt, um den PC einer unbekannten Zielperson auszuspähen.

    Wie das BKA an Kenntnisse über Exploits kommen will, bleibt offen. Zwar lehnt das BMI in seinem Antwortenkatalog den Kauf von so genannten Zero-Day-Exploits über die Hackerszene ausdrücklich ab. Vielsagend heißt es aber schon im nächsten Satz: "Informationen, die die Sicherheit von Betriebssystemen und Programmen betreffen, sind im Internet in der Regel frei zugänglich." Mit anderen Worten: Bestehende Sicherheitslücken mit bekannten Exploits wird das BKA sehr wohl zur Infektion eines Ziel-PC einsetzen.


    Handys, PDAs, Router&Co.


    Das BKA spricht als Ziele für den Einsatz des Bundestrojaners ganz allgemein von "informationstechnischen Systemen". Eine höchst schwammige Formulierung, die viel Freiraum für Interpretationen lässt. Der Fragenkatalog der SPD-Bundestagsfraktion an des Bundesministerium des Inneren geht unter Punkt 27 darauf ein und zählt in der Frage explizit Handys, Smartphones, Blackberries, Infrastrukturkomponenten wie Router, Switches und DECIX- Komponenten (DE-CIX ist ein zentraler Austauschknoten für Datenpakete im deutschen Internet). Die lapidare Antwort des BMI: "Somit sind die aufgezählten Beispiele ebenfalls umfasst." Natürlich wären dafür entsprechend angepasste Versionen von RFS oder sogar ganz andere Programme erforderlich.



    Nichts gewusst: Auf der offiziellen FBI-Homepage will man von CIPAV nichts wissen.


    Das FBI macht es vor


    Über den Einsatz von Spionage-Tools im polizeilichen Umfeld ist wenig bekannt. Ein dokumentierter Fall betrifft die US-amerikanische Bundespolizei FBI. Für besondere Fälle nutzt die Behörde das Tool CIPAV (Computer and Internet Anzeige Protocol Address Verifier). Dabei geht es darum, nachzuweisen, dass ein PC zu einem definierten Zeitpunkt mit einer bekannten IP-Adresse im Internet unterwegs war. Die eidesstattliche Erklärung eines FBI-Agenten mit Details zu CIPAV gibt es hier im Original zu lesen: politechbot.com/docs/fbi.cipav.sanders.affidavit.071607.pdf Im konkreten Fall hat ein ehemaliger Schüler der Timberline High School im Bundesstaat Washington der Schule mehrmals mit Bombendrohungen per E-Mail zukommen lassen. Dazu benutzte er fünf unterschiedliche Google-Mail-Adressen und richtete das Myspace-Konto timberlinebombinfo ein. Dort sollten "Sympathisanten" ihre Kommentare hinterlassen und die Bombenaktion so unterstützen. Zudem startete er einen Denial- of-Service-Angriff auf den Mail-Server der Schule.

    Das Problem für das FBI: Der Schüler nutzte drei mit Malware manipulierte PCs in Italien als Zwischenstation, um sich bei Google und Myspace einzuloggen. So hatten die Ermittler zwar die entsprechenden IP-Adressen von Google und Myspace, konnten daraus aber keine Rückschlüsse auf den Absender ziehen.

    Und hier kam CIPAV ins Spiel. Die Software installiert sich auf dem Windows-PC des Verdächtigen und protokolliert verschiedenste Daten. Diese sendet es in regelmäßigen Abständen an das FBI. Konkret sind das laut Erklärung folgende Details:

    * IP-Adressen, mit denen der PC Kontakt hatte
    * Die zuletzt besuchte Webadresse
    * Liste aller IP-Adressen, mit denen Kontakt bestand
    * MAC-Adresse der Netzwerkkarte
    * Liste aller laufenden Programme
    * Browser-Informationen wie Typ und Version
    * Betriebssystemversion samt Seriennummer
    * Benutzerinformationen aus der Registry
    * Liste offener TCP- und UDP-Ports
    * Name des eingeloggten Benutzers

    Im Gegensatz zum geplanten Bundestrojaner schneidet CIPAV nicht Inhalte der Kommunikation oder der Festplatte mit. Dies betont der FBI-Agent in seiner Erklärung mehrmals ausdrücklich. Ob das eine technische Einschränkung der Software ist oder im konkreten Fall durch den richterlichen Beschluss nicht abgedeckt war, ist unklar. Auch gehen die veröffentlichten Dokumente nicht darauf ein, wie CIPAV auf den PC des Schülers gelangte. Nur so viel ist klar: Beim Abholen von E-Mails bei Google Mail oder nach dem Einloggen in Myspace wurde der PC des Täters infiziert. Einen direkten Zugriff auf den PC hatte das FBI nicht - sonst hätte man sich den Software-Einsatz gleich sparen können. Der Schüler wurde im Juni 2007 verhaftet und vom Gericht zu 90 Tagen Jugendhaft verurteilt.
  • Bundestrojaner heisst nicht das jeder Bürger einen bekommt...

    Wie du ja oben lesen kannst wird der individuell zugeschnitten auf den Täter, es wäre viel zu aufwendig für die Massen.

    Diese Online Durchsuchung wird außerdem nur in Fällen mit wirklich schwerwiegenden Verbrechen durchgeführt, also wenn du nicht Mitglied einer internationalen Terrororganisation bist kannst du dir relativ sicher sein nicht online durchsucht zu werden ...
  • Loadforum schrieb:

    Bundestrojaner heisst nicht das jeder Bürger einen bekommt...
    Diese Online Durchsuchung wird außerdem nur in Fällen mit wirklich schwerwiegenden Verbrechen durchgeführt, also wenn du nicht Mitglied einer internationalen Terrororganisation bist kannst du dir relativ sicher sein nicht online durchsucht zu werden ...


    Kannst du deine Aussagen auch garantieren?? Soweit ich das beurteilen kann, wurde bis jetzt jede Maßnahme die "nur in schwerwiegenden Fällen" eingesetzt werden sollte, auch mißbraucht. Siehe Bayern mit der Vorabversion des Bundestrojaners zur Skype-Überwachung, Mautbrücken usw...

    Also meiner MEinung nach, wird es auch hier wieder Mißbrauch-Fälle geben und wenn ich die ganze Sache weiterspinne sind wir spätestens in 10 Jahren schon soweit, dass mit großer Wahrscheinlichkeit, jeder einen auf dem Rechner hat... Gesetz hin oder her, wo kein Kläger da auch kein Richter...

    Sorry Jungs und Mädels wenn ich eure Illusionen zerstöre, wir sind schon auf den besten Weg einer Totalüberwachung...

    Gruß Stoni


    P.S.: Vielleicht sollte man den Thread mal in Diskussionen verschieben??
    P.S.S.: Wer das inoffizielle Dokument zur Skype-Überwachung haben will, braucht nur PN schicken!!!


    [COLOR="Navy"]Früher war ich shizophren, heute gehts uns Beiden gut![/color]
    [Uploads] [COLOR="Blue"][Profil][/color] [COLOR="Lime"][Blacklist][/color]

    Dieser Beitrag wurde bereits 4 mal editiert, zuletzt von Stonedman () aus folgendem Grund: P.S. hinzugefügt...

  • Ich kann mir auch nicht vorstellen, dass dieser Trojaner einfach so bei jedem Verwendung finden wird können. Da müssen schon schwerwiegende Tatverdachtsmomente vorliegen (KiPo -> die gehören eh erwischt!!!!! :flag:, Kriegsverehrer usw).

    Außerdem kann ich mir auch nicht vorstellen, dass dieser Trojaner "einfach nur so" zurechtgeschnitzt, und ohne Probleme in die zu überwachenden PCs einen Nistplatz finden werden können. Die "richtige" Internetkriminalität begehen, wissen schon, wie sie solche Sachen verhindern können. Die "Normalos" werden so wieder einmal leicht drangekriegt werden....
    [SIZE="4"][FONT="Verdana"][SIZE="2"]Alles stimmt, aber auch das Gegenteil![/SIZE][/FONT][/SIZE]
  • SunnyHill schrieb:

    Die "richtige" Internetkriminalität begehen, wissen schon, wie sie solche Sachen verhindern können. Die "Normalos" werden so wieder einmal leicht drangekriegt werden....


    Die Leute, die "richtige" Internetkriminalität begehen sind meistens nur Script-Kiddies und haben relativ wenig Ahnung
  • Zunächst wird dieses Tool wohl auch wirklich nur den angepriesenen Zweck in Form von Terrorbekämpfung usw erfüllen. Das gebietet schon allein der aktuelle technische Aufwand. Das Problem ist nur das man jetzt nicht weiß wie es in ein paar Jahren aussieht, vielleicht wird es für die Polizei immer einfacher und dementsprechend werden auch immer mehr Verbrechen damit geandhet.

    Das ist der Grund warum ich schon immer gegen eine solche Verankerung im Gesetzestext war, was nun leider hinfällig ist. Aber wenigstens wird das ganze noch durch die Judikative kontrolliert, solange das der Fall ist und sich diese nicht allzuleicht manipulieren lässt seh ich das ganze nicht rabenschwarz.

    MfG xlemmingx

    P.S. Die hier angegebenen technischen Dinge waren schon vor einem Jahr bekannt, neues gab es kaum.
  • Ich hab jetzt nicht alles gelesen, aber das hat mir gefallen:
    Suche nach Dateien mit bestimmten Namen

    Wer nennt seine geheimen Terrorpläne bitte "Geheime Terrorpläne.doc"?? Oder "Karte zu Osamas Versteck.jpg"?

    Ich glaube aber nicht, dass sie damit so viel Erfolg haben werden. "Kleine Fische" bekommt man damit bestimmt. Aber wenn jemand was Großes plant, dann hat er auch Mittel sich dagegen zu schützen.

    Weiter glaube ich auch, sollte sich das System etaplieren, wird es bestimmt auch für andere Zwecke eingesetzt werden, als zur Terrorbekämpfung. Wir gehen doch immer weiter zum Überwachungsstaat über (Vorratsdatenspeicherung, etc). Da ist es nicht mehr weit, dass nach MP3-Dateien gesucht wird und dieses dann gemeldet wird. Wenn man schon eine Urhebeberrechtsverletzungsgebühr auf DVDs/CDs und jetzt auch noch auf Scanner und Drucker setzt....

    lg
    [SIZE="1"][COLOR="DeepSkyBlue"][COLOR="Black"]W[/color]ithout
    [COLOR="Black"]A[/color]ny
    [COLOR="Black"]R[/color]easons[/color]
    [/SIZE]
  • Ich glaube aber nicht, dass sie damit so viel Erfolg haben werden. "Kleine Fische" bekommt man damit bestimmt. Aber wenn jemand was Großes plant, dann hat er auch Mittel sich dagegen zu schützen.


    so ist es die täter brauch doch kein inet um sowas zu planen da reicht doch nen usb stick schon aus um daten an andere zu versenden per kurier post oda was sonst so alles gibt..... und wir normal pc user brauchen eh keine angst vor sowat haben was haben wir schon zuverheimlichen gg
  • Sie werden sie nicht finden, weil es eben nur diesen Einen gibt, und somit keine Signatur dazu.
    Außerdem bestehen ganz andere Möglichkeiten den Trojaner ins System zu bringen, und sei es als "Man in the Middle" über den Provider. Damit könnte man ihn sogar an den Download einer Virensignatur anhängen.

    Helfen könnten vielleicht Tools mit Verhaltensanalyse.
  • Es muss keine ausführbare Datei sein. Auch das Argument "Man muss etwas dafür downloaden" ist Käse, man lädt jede html-Seite temporär irgendwo hin, also wenn man nicht über eine Sandbox surft ist es mit der man-in-the-middle Methode kein Problem dir den Trojaner unterzuschmuggeln. Nicht zuletzt auch weil kein Browser den hash der Seite überprüft, was ja bei den meisten Downloads zumindest möglich ist.

    MfG xlemmingx
  • xlemmingx schrieb:

    Es muss keine ausführbare Datei sein.


    Wie soll das ganze denn sonst gehen?

    xlemmingx schrieb:

    Auch das Argument "Man muss etwas dafür downloaden" ist Käse, man lädt jede html-Seite temporär irgendwo hin


    Das ist richtig, allerdings kann man in HTML keinen Trojaner coden(Und für ein Exploit bräuchte man auch zumindestens Javascript) ==> Hier ist NoScript eine gute Abhilfe

    xlemmingx schrieb:

    Nicht zuletzt auch weil kein Browser den hash der Seite überprüft, was ja bei den meisten Downloads zumindest möglich ist.


    Wenn der Hash, der auf der Seite steht manipuliert wird(geht auch per Man-In-The-Middle) sollte auch das kein Problem sein



    Allerdings ist es für das BKA trotz allem leicht den Bundestrojaner zu verbreiten, denn zum einen wird wohl keiner auf alle Downloads von ausführbaren Dateien verzichten - zum anderen könnte man auch ein Gesetz machen, dass bei jeder in DE verkauften Software der Bundestrojaner mitgeliefert wird