Donnerstag, 19. Juli 2007

„Bundestrojaner" made in U.S.A.

Wie heise online berichtet, ist in den U.S.A. eine Schnüffeltechnologie erfolgreich eingesetzt worden:

Zur Aufdeckung der Identität eines Straftäters, der mehrere Drohungen verschickte, eine High School im amerikanischen Bundesstaat Washington in die Luft zu sprengen, hat das FBI erstmals zum Mittel der so genannten heimlichen PC-Durchsuchung gegriffen. In seinem Blog beim amerikanischen Branchendienst CNet verweist der US-Journalist Declan McCullagh dabei auf die eidesstattliche Erklärung eines FBI-Offiziers, der den Durchsuchungsbefehl beantragte. In dieser Erklärung wird die Funktionsweise der Spyware beschrieben, die das FBI einsetzt und unter dem Kürzel CIPAV (Computer and Internet Protocol Address Verifier) führt.

CIPAV ist offenbar ein Windows-Programm; es wird von einem FBI-Computer per E-Mail oder Instant Messaging verschickt und nistet sich auf einem Zielcomputer oder auf einem Web-Angebot wie MySpace oder Google Mail ein, um von dort auf den oder die Zielcomputer zu gelangen. Einmal installiert schickt CIPAV nach einer Durchsuchung der gesamten Festplatte eine Aufstellung zum FBI, die den Namen aller laufenden Programme, die Browser-Informationen, den Typ des Betriebssystems samt Seriennummer und alle Benutzerinformationen aus der Registry enthält. Außerdem werden jeweils die zuletzt besuchte URL und alle besuchten IP-Adressen übermittelt, jedoch – im Unterschied zu den Forderungen für eine heimliche Online-Durchsuchung hierzulande – nicht die Inhalte der Kommunikation, wie das FBI in der eidesstattlichen Erklärung mehrfach betont. Ob CIPAV in der aktuellen Version zu-mindest technisch in der Lage ist, auch die Inhalte der Kommunikation oder die Tastatureingaben mitzuschneiden und zu übermitteln, geht aus den FBI-Dokumenten nicht hervor.

Die übertragenen Informationen scheinen relativ belanglos zu sein, ob das tatsächlich so (und alles) ist, mag bezweifelt werden.

Kommentare:

Anonym hat gesagt…

Moin moin,

der überführte potentielle Terrorist ist 15 Jahre alt. Beten wir für ihn, daß er kein Muslim ist. OMG, überall Kinderattentäter.

whb

Hony hat gesagt…

Die Vorgehensweise der hier beschriebenen Software deuted auf ein durchaus durchdachtes System hin. Die übertragenen Daten sind zusammengefasst relativ klein und dürften nur mit entsprechenden Kenntnissen aufgedeckt werden, da die Übertragung selbst relativ wenig Bandbreite in Anspruch nimmt. Wenn zusätzlich die tatsächlich genutzte Bandbreite auf z.B. 20% gedrosselt wird man im normalen Betrieb kaum etwas davon merken. Mit entsprechenden Analysesystemen kann der Angreifer schnell z.B. Terrorpläne aufspüren, sowie Schwachstellen über genutzte Internetdienste ausfindig machen.

Dem Trojaner später noch zusätzliche Dienste hinzuzfügen ist im laufenden Betrieb auch kein Problem. Diverse Wurmbastler machen es uns ja täglich vor. Denkbar währe hier eine Remotenutzung des windowseigenen Indexdienstes um z.B. nach konkreten Texten zu suchen. Genauso ist eine Erweiterung zur Überwachung der Kommunikation denkbar.

Für Deutschland währe dieses Model nach den Aussagen unserer Sicherheitsfanatiker jedoch nichts. Schließlich will man hierzulande die gesamte Festplatte plus Ram per Internet sichern und offline untersuchen.

Q hat gesagt…

Bei der beschriebenen Verbreitungsart, nämlich Versand per Mail oder InstantMessenger benötigt man zwei Dinge: ein Windows-Betriebssystem auf dem Zielsystem und die Mithilfe des auszuforschenden Users. Wer nun so blöd ist, dass er gegen jeden Rat Software installiert, die man ihm so zuschickt, dem ist nicht zu helfen. Er macht nämlich exakt das, wovor Antiviren-Softwarehersteller und mit PC-Sicherheit befasste Leute immer wieder warnen. Eine Reihe von Virenscannern läßt ausführbare Programme in Mails übrigens nicht durch (auch nicht in ZIP verpackt). Der Versuch würde auch scheitern, wenn der User nicht das Recht zur Software-Installation auf dem System hat. D. h., dass durch diesen Angriff vor allem dumme und leichtsinnige Leute bedroht sind. Profis und gut gesicherte Systeme (User-Mode) piert das in der Regel nicht.

Anonym hat gesagt…

Wie man den Bundestrojaner ganz einfach austrickst.
Herr Schäuble hält das sicherlich noch immer für einen Witz.

Stefan hat gesagt…

Hat eigentlich schon mal jemand darüber nachgedacht, dass solcherlei Schnüffelprogramme bei den meisten Computern auch direkt zur Audio- und Video-Überwachung eingesetzt werden könnten?

Bei praktisch allen Notebooks ist ein (nicht abschaltbares) Mikrofon eingebaut, bei manchen auch eine Kamera. Und bei vielen Desktop-Rechnern sind Mikro und Webcam extern angeschlossen und laufen ständig mit. Der Datentransfer würde heutzutage kaum auffallen, da auf der Internetverbindung ja ohnehin ständig viel los ist. Die Daten könnten beispielsweise auch erstmal lokal aufgezeichnet und zeitversetzt häppchenweise weggesendet werden.