der-nerd.de

Link: http://www.ccc.de/de/updates/2011/staatstrojaner

=== EILMELDUNG ===

Ich habe es schon immer gewusst: Die Quellen-TKÜ (Telekommunikationsüberwachung), auch bekannt als "Bundestrojaner" oder "Staatstrojaner", existiert tatsächlich und wurde inzwischen auch mehrfach von der Kriminalpolizei erfolgreich zum Einsatz gebracht, unter anderem in Bayern. Erstellt wurde das Holzpferdchen von der eigentlich unscheinbaren Firma DigiTask GmbH.

Nun hat der Chaos Computer Club es geschafft, die Schadsoftware zu reverse-engineeren, d.h. die Binaries des Programms zu Assembler-Code zurückzuverarbeiten. Wow. Respekt, respekt... Hier der Artikel des CCC - unten auf der Seite ist der eigenliche Report als PDF-Datei zu finden, in aller Ausführlichkeit: CCC über den Staatstrojaner

Weiterhin existiert eine sehr interessant gemachte "Regierungsseite" zum Bundestrojaner: Bundestrojaner.net . Von wem die Seite erstellt wurde, verrate ich mal nicht (nein, nicht von mir ). Wer sich aber traut, den Trojaner dort herunterzuladen und auszuführen, wird mit der Erkenntnis belohnt Konnte man sich doch denken, nicht wahr?

Aber jetzt mal Spaß beiseite... In solchen Momenten bin einfach nur unglaublich dankbar, dass es den CCC gibt und dass dort Spitzenexperten am Werk sind, die ihr tiefgründiges Wissen für gute Zwecke einsetzen - nämlich für Bürgerrechte, persönliche Freiheit und einen offenen Staatsapparat, wie er es in jeder richtigen Demokratie sein sollte. Leute, ihr seid einfach Spitze. Gleichzeitig läuft es mir eiskalt den Rücken runter: Was wäre, wenn es dem CCC nicht gelungen wäre, den Trojaner zu analysieren und die ganze Angelegenheit in den Mittelpunkt des Mediengeschehens zu rücken? Was wäre, wenn der CCC erst gar nicht in den Besitz des Trojaners gekommen wäre? Wir sehen mal wieder, an was für einem seidenen Faden unsere Freiheit hängt und was in einem Land, das sich demokratisch schimpft, alles hinter dem Rücken des Bürgers ablaufen kann. Ich will gar nicht wissen, was noch alles für Methoden vom Staat angewendet werden, um aus uns gläserne Bürger zu machen.

Doch nun zum eigentlichen Trojaner: So wie ich die Sache verstehe, tarnen sich die Komponenten des Trojaners als Windows-Systemdateien. Der Trojaner aktiviert sich dann über die Registry und kommuniziert mit einem Server, der in den USA steht. So viel übrigens zum Thema Datenschutz: Während Unternehmen keine Kundendaten auf ausländischen Servern (z.B. in der Cloud) ablegen dürfen, darf sich die Kripo einfach so mal einen Server in den USA mieten und dort hinterhältig ausspionierte Privatdaten horten. Der Trojaner kann unter anderem Screenshots übermitteln und vermutlich auch Skype-Gespräche anzapfen. Ein Keylogger soll auch enthalten sein, wobei nicht ganz klar zu sein scheint, inwiefern dieser funktionsfähig ist. Ferner besitzt der Trojaner einen Mechanismus, mit dem er neue Module auf den Rechner des Opfers nachladen und ausführen kann. Somit können spätere Ergänzungen oder fallspezifische Programmteile auf einen infizierten Rechner nachgeladen werden, falls die Grundfunktionalitäten für die Spionage nicht ausreichen sollten. Raffiniert... Details dazu siehe PDF-Bericht des CCC.

Wie kann man sich nun vor dieser Trojaner schützen? Ich weiss, das Ganze klingt im Moment recht bedrohlich, aber man sollte jetzt nicht den Verstand verlieren. Nach den Berichten des CCC ist der Trojaner eher eine kompakte und übersichtliche Quick-and-Dirty-Lösung als ein unaufhaltsamer Virus. Basierend auf dem Bericht und meinem eigenen IT-Wissen nenne ich hier mal einige Möglichkeiten, wie man sich vor der aktuellen (!) Version des Bundestrojaners schützen kann:

1. Der Trojaner ist für Windows-Systeme geschrieben. Über Linux- oder Mac-Versionen (ist ja eigentlich auch Unix) liegen derzeit keine Erkenntnisse vor. Mit Linux ist man somit wie immer vorerst auf der sicheren Seite.
2. Der CCC hat herausgefunden, dass die IP-Adresse des Kommunikationsservers für den Trojaner 207.158.22.134 ist. Eine schnelle und effektive Lösung wäre es, die Kommunikation zu diesem Port mit Hilfe einer Firewall zu unterbinden. Hierfür reicht eine einfache Regel: Alle Pakete auf allen Ports und auf allen Protokollen zu dieser IP-Adresse sollen gedroppt werden, ausnahmslos. Da laut dem CCC-Bericht die IP-Adresse fest in den Trojaner einprogrammiert ist, ist es sehr unwahrscheinlich, dass die aktuelle Version des Bundestrojaners einen Umweg oder Alternativserver findet.
3. Die Kommunikation läuft über den Port 443 ab. Diesen zu sperren ist natürlich problematisch. Als zusätzliche Sicherheitsmaßnahme kann man jedoch ein Intrusion Detection System anwenden, welches die Pakete genauer scannt. Da der Trojaner kein gewöhnliches HTTPS, sondern ein eigenes Protokoll verwendet, kann ein IDS die verdächtigen Pakete möglicherweise erkennen und filtern. Darauf sollte man sich jedoch nicht verlassen, und somit ist die Maßnahme eher als zusätzliche Absicherung zum IP-Blacklisting zu sehen (falls man sich z.B. eine bisher unbekannte Version einfängt, die plötzlich mit einem anderen Server reden will). Wer aber etwas mehr auf Nummer sicher gehen will, kann natürlich den Datenverkehr für Port 443 sperren und sich eine Whitelist seiner häufig besuchten HTTPS-Seiten schreiben. In diesem Fall ist das IDS dann wahrscheinlich nicht unbedingt notwendig.
4. Der Trojaner besteht nach den aktuellen Erkenntnissen aus zwei Dateien: c:\windows\system32\mfc42ul.dll und winsys32.sys. Ich kann jetzt nicht sagen, ob hier eventuell Systemdateien ersetzt oder lediglich neue hinzugefügt werden - laut dem CCC-Bericht ist es eher zweiteres. Auf meinem Windows-7-System habe ich die Dateien nicht gefunden, allerdings einige mit ähnlichen Namen wie mfc42ul.dll. Vergewissert euch daher, dass die Datei wirklich nicht dorthin gehört, bevor ihr aus Panik versehentlich echte Systemdateien löscht und euer Betriebssystem killt.
5. Der Trojaner authentifiziert sich mit dem String C3PO-r2d2-POE mit dem Server. Falls ihr den String also irgendwo in euren Packets findet und nicht irgendwas harmlosem zuordnen (Email mit dem String im Text, Chat, etc) könnt, ist das prinzipiell schon mal sehr verdächtig. Wieso hier ausgerechnet die Namen der Droiden aus Star Wars (Poe ist - soweit ich weiss - ein dritter, weniger bekannte Droide) verwendet werden, ist an dieser Stelle offenbar auch dem CCC vollkommen unklar. Hat da wohl jemand zu viel Star Wars geschaut?

Natürlich möchte ich nochmal betonen, dass diese Maßnahmen nur für die aktuelle Version des Bundestrojaners wirksam sind. Leider können wir nie sicher sagen, ob nicht andere, bisher unentdeckte Bundestrojaner in Entwicklung oder sogar bereits unterwegs sind. Am Besten kann man sich also schützen, wenn man immer auf der Hut ist: Man sollte sich im Klaren sein, was auf dem eigenen Rechner läuft, welche Daten es überträgt und wohin. Firewalls, Intrusion Detection Systeme und alle Arten von Verschlüsselung können - gerade in Kombination - durchaus wirksam gegen Spionage und Überwachung sein. Jetzt werden viele sagen, dass man doch eigentlich alles umgehen kann und nichts 100%ig sicher ist. Natürlich ist es das nicht. Nichtsdestotrotz erhöhen solche Sicherheitsmaßnahmen den Aufwand, den ein Angreifer investieren muss. Und wenn man nicht wirklich irgendwas massives ausgefressen hat, werden die Staatsorgane wohl kaum wegen unbedeutenden Kleinigkeiten, unbegründeten Verdachtsfällen oder einfach nur aus Prävention einen High-Performance-Cluster mieten, um irgendein Kennwort zu bruteforcen. Wenn man seine Daten hingegen auf einem Silbertablett präsentiert, dann wird man da mit Sicherheit einen Blick draufwerfen. Es ist also schon viel damit geholfen, wenn man dem Angreifer möglichst viele Steine in den Weg legt, auch wenn die Absicherung vielleicht in der Theorie nicht perfekt ist. Jede Sicherheitsmaßnahme ist besser als nichts.

Nun, um die Diskussion mal abzuschließen: Ich bin wirklich froh, dass es noch engagierte Menschen gibt, die das Tun und Machen des Staates, seiner Ämter und Behörden kritisch unter die Lupe nehmen. Gleichzeitig ist es erschreckend, was für fragwürdige Dinge dabei aufgedeckt werden. Ohne diese Menschen gäbe es heute wohl kein Telekommunikationsgeheimnis mehr, da der Rest unserer ach-so-engagierten Gesellschaft sich lieber wegen 10 Euro Hartz-IV den Mund fusselig redet oder wegen irgendeinem banalen Bahnhofsbau eine ganze Stadt auf den Kopf stellt, anstatt sich den wirklichen Bedrohungen für unsere Bürgerrechte zuzuwenden.

So long

- Oleg