Der Bundestrojaner – Die Abwehr
Angriffe abzuwehren, wenn der Angreifer physischen
Zugriff auf die Maschine hat, ist schwierig. Das BKA hat angekündigt,
dass sie in die Wohnung einbrechen wollen, um das System zu
analysieren. Dabei schauen sie sich die Hardware genau an und ziehen
ein Disk-Image. Das System bauen sie sich dann zu Hause im Labor nach
und fummeln ihre RFS hinein. Nachdem sie getestet haben, dass das
stabil läuft und eventuell vorhandene Security-Software Stille
hält, brechen sie noch einmal in die Wohnung ein und spielen das
zerhackte System auf den Zielrechner. Das lässt die meisten
Abwehrmaßnahmen ins Leere laufen. Wer Angriffe von
Geheimdiensten befürchten muss, müsste dem entsprechend das
gesamte Arsenal der Spionageabwehr auffahren. Man kann nicht
einfach eine Liste schreiben, die man abarbeitet und dann sagt „So,
jetzt kann nichts mehr passieren“. IT-Sicherheit ist ein Prozess
und hundertprozentig sichere Systeme gibt es nicht. Angriffs-
und Abwehrmöglichkeiten gibt es beliebig viele und der Phantasie
sind wenig grenzen gesetzt. Man kann es dem Angreifer nur so schwer
machen, dass es sich für ihn nicht lohnt. Das BKA hat mehrfach
Durchblicken lassen, dass es für sie wirklich schlimm wäre,
wenn der Bundestrojaner entdeckt würde. Müssen sie
befürchten, dass die Maßnahme auffliegt, wollen sie diese
sofort abblasen.
Hier ein paar mehr oder weniger naheliegende
Gedankengänge:
Keine Behördenmails öffnen und
Finger weg von
staatlicher Software
(Elster).
"Die
Einbringung der RFS im Wege der E-Mail-Kommunikation kann je nach
Einzelfall ein geeignetes Mittel darstellen".[2]
Dass der Bundestrojaner die Bemühungen des
Staates, verstärkt auf e-Government zu setzen ad absurdum führt
und allgemein das Restvertrauen in den Staat untergräbt, ist im
BMI anscheinend Niemandem aufgefallen.
No Windows.
Klingt lachhaft: Aber Nicht-Windows-Nutzer sind
möglicherweise vorerst sicher. Der FBI-Bundestrojaner CIPAV zum
Beispiel läuft wahrscheinlich ausschließlich unter
Windows. Und kürzlich wurde ein wegen Urheberrechtsverstoßes
verurteilter BitTorrent-Administrator gerichtlich dazu verpflichtet,
sein Ubuntu-Linux zu deinstallieren und nur noch Windows zu
verwenden, weil die Monitoring-Software, die er als Bewährungsauflage
aufgebrummt bekommen hat nur unter Windows läuft. [9] Allerdings
ist das nur eine Frage des Aufwands und kann sich sehr schnell
ändern, sobald Bedarf besteht. Das Sony-Rootkit gab es auch für
den Mac. Und guidancesoftware.com verspricht sogar, dass ihr
Schnüffeltool EnCase für Strafverfolger remote
„Windows, Linux, AIX, BSD, OS X, Solaris and more“ ausforschen
kann.
Kein Social Networking.
Das
FBI schleust seine CIPAV nach eigenen Angaben über Instant
Messaging oder Myspace-Nachrichten ein. Der Autor hält es
allerdings für möglich, dass die ihre Angriffsvektoren
nicht verraten wollen und sich die Erklärung aus den Fingern
gesogen haben. Das Selbe gilt dann möglicherweise für
einige Antworten des BMI auf die Fragenkataloge. Möglicherweise
hängen sie ihre Trojaner einfach an Downloads von ausführbaren
Dateien an: Entwicklung
einer transparent bridge […], die einen Download eines ausführbaren
Programms erkennt und dieses on-the-fly mit einem Trojaner versieht.
[25]
Zwecks TKÜ manipulieren sie anscheinend schon die Datenströme
auf TCP-Ebene. [26] Hey! Wir sind der Staat. Uns gehört die
Infrastruktur und die Hardwarehersteller haben uns da Schnittstellen
(„lawful interception“) reingebaut. Wäre doch eine
Sünde, Nichts daraus zu machen.
Software
so aktuell wie möglich halten.
Immer brav
patchen, gell? Man kann 0-day-exploits (i. e. unveröffentlichte
Lücken) zwar auf dem Schwarzmarkt kaufen, aber das BKA sagt dazu
(Punkt 43 in [2]), ein derartiger Erwerb sei „nicht geplant“.
Dabei immer schön die Signaturen prüfen,
damit einem der Schadcode nicht von einem „man in the middle“
(MITM) in den Softwaredownload hinein injiziert wird. Viele
Update-Manager machen das automatisch. Das impliziert
natürlich den Verzicht auf nicht signierten Code.
Staatliche MITM-Angriffe dauerhaft abzuwehren ist aber schwierig.
Keine gefundenen CD-Roms oder USB-Sticks
mounten.
Es
wurde tatsächlich gesagt, man wolle die RFS den Opfern
unterjubeln, indem man eine infizierte CD-Rom in den Briefkasten
wirft und hofft, dass der Betroffene die darauf befindliche
Schadsoftware aus Neugier selbst installiert. Der Witz an der Sache
ist, dass das auch noch ziemlich erfolgversprechend ist. Ein paar
Hacker haben sich den Spaß erlaubt, etwa 20 USB-Sticks mit
infizierten JPEG-Bildchen zu bestücken und die dann um eine
Bank herum an strategischen Stellen (Parkhaus, Raucherecken etc.) auf
den Boden zu werfen. Schon wenige Minuten nach Beginn der
Arbeitszeit, trudelten die ersten Daten ein. Alle der 15 von
Mitarbeitern der Bank gefundenen Speicher wurden vom jeweiligen
Finder unverzüglich in dessen Arbeitsplatzrechner gestopft. [13]
Merke: Ungeschützter Verkehr ist gefährlich.
Man steckt seinen Stick nicht einfach überall rein und lässt
umgekehrt auch nicht jeden Dahergelaufenen mal ran.
Selbstzerstörung triggern.
„Achtung! Diese Software wird sich in fünf
Sekunden selbst zerstören …. *zisch* *fffump*“:
18. Was ist vorgesehen, um die Software zu
steuern oder abzuschalten, wenn der
Port für die Kommunikation beispielsweise mittels einer Firewall
gesperrt ist?
Sollte der Kommunikationsport während
eines laufenden Einsatzes geschlossen werden
und keine Kommunikation mit dem Steuerungssystem möglich sein,
deinstalliert sich die Software selbständig.
und
44.
Wie wird bei einem Zielsystem, dass keine Internet-Verbindung mit
dem Ermittlungssystem mehr aufbauen kann,
sichergestellt, dass das Trojanische
Pferd nach Ablauf einer befristeten Anordnung deaktiviert und vom
System ohne Zurücklassen von Sicherheitslücken deaktiviert
wird?
Durch
eine für den Fall der erfolglosen Kontaktaufnahme mit dem
Steuerungssystem eingebaute Selbstdeinstallationsroutine entfernt
sich die RFS rückstandsfrei
vom System.
Vielleicht reicht es ja, wenn man sein
Netzwerkkabel gelegentlich ausstöpselt oder die Firewall auf dem
Router vorübergehend komplett zumacht. Dann merkt die
Schadsoftware, dass sie nicht mehr mit ihrem Master kommunizieren
kann, und vernichtet sich selbst. Wie die sich ihre automatische und
rückstandsfreie Deinstallation vorstellen, wenn man seiner
Kiste einfach den Strom abdreht und dann gemütlich die
Festplatte analysiert, um der GovWare auf die Schliche zu kommen, ist
völlig schleierhaft.
22. Wie soll die automatische Löschung
der Software nach dem vorgeschriebenen
Zeitrahmen realisiert werden? Auf welchen Zeitgeber stützt sich
die Löschung und was geschieht, wenn dieser nicht verfügbar
ist bzw. verändert wird?
Die Löschung kann sowohl manuell als auch
automatisch erfolgen. Als Zeitgeber
werden außer der Systemzeit weitere Zeitberechungsmodule
parallel eingesetzt.
Einfaches
vorstellen der Systemuhr wird also leider nicht funktionieren. Wenn
der Bundestrojaner mal in „the wild“ auftaucht wird sich da
vielleicht etwas finden.
Air gap zwischen Daten und Netz.
Wer
ausreichend paranoid ist, trennt brisante Daten physisch vom Netz.
Das Setup:
Angenommen ein Rechner heißt FUCKUP und ein
weiterer Deep Thought. Deep Thought ist ein Rechner mit großer
verschlüsselter Festplatte und geht nie an irgendein Netz.
FUCKUP braucht gar keine Festplatte und bootet von einer LiveCD.
Phatomix (http://phantomix.ytternhagen.de/)
beispielsweise bringt auch gleich vorkonfigurierte Anonymisierung
(tor, privoxy) mit. Mit FUCKUP gesaugte Daten werden mit
(verschlüsseltem) USB-Stick zwischen FUCKUP und Deep Thought hin
und her getragen. Brisante Datenverarbeitung – wie E-Mails
ver- und entschlüsseln – findet ausschließlich auf Deep
Thought statt.
Auch diese Maßnahme können die Spione
durch ihren Wohnungseinbruch umgehen. Sie steigen also ein, sehen,
dass da ein Offline-Rechner (Deep Thought) herumsteht. Dann
installieren sie einen Hardware-Keylogger, der eine Weile die
Tastatureingaben mitschreibt. Dann holen sie den Rechner bei einer
offenen Haussuchung ab und der Betroffene kann sich nur wundern,
wieso sie so schnell die Festplattenverschlüsselung
aufkriegen. So macht es das FBI. [23]
Hardware gegen Abstrahlung abschirmen.
Zugegeben –
das ist wirklich hoch paranoid, aber es ist eine bekannte Tatsache:
Geheimdienste können seit Jahrzehnten über die
EM-Abstrahlung von Monitoren aus der Ferne mitlesen, was so auf dem
Bildschirm erscheint (Van-Eck-Phreaking). Strahlungsarme
Monitore (LCD) helfen; diese hinterlassen im Dunklen auch kein
verräterisches Flimmern auf der gegenüberliegenden Wand wie
Röhrenmonitore, worüber man ebenfalls mitlesen kann.
Zudem kann man akustische
Abstrahlung belauschen und daraus Rückschlüsse ziehen, was
zum Beispiel in die Tastatur getippt wurde. [24] Ob das
BKA so etwas kann? Es wird jedenfalls immer allgemein von
„technischen Mitteln“ gesprochen, die sie einsetzen dürfen
wollen.
Überwachungskameras,
die bei Abwesenheit durch Bewegungsmelder aktiviert werden und
Rechnergehäuse versiegeln
(BlueSeal),
um das heimliche ziehen von Disk-Images zu verhindern.
Wer mit dem
Bundestrojaner Spaß haben will, fährt seine
Betriebssysteme unter der Aufsicht eines Supervisors, der diesen
eine rein virtuelle
Maschine
vorgaukelt. Das heißt, man sperrt den virtuellen V-Mann bei
Ankunft in eine Art Holodeck ein, und kann ihn in Ruhe beobachten
ohne dass er Schaden anrichten kann. Das
funktioniert natürlich nicht, wenn das BKA heimlich in die
Wohnung einbricht. Denn dann merken sie ja vor der Installation, dass
Virtualisierung verwendet wird.
Unorthodoxe
Daten verteilen: Das
BKA behauptet immer ihre Software sei fehlerfrei. So etwas gibt es
bei hinreichend komplexer Software aber schlicht nicht. Gerade
das was die vorhaben ist sehr kompliziert. Die RFS kann zum Beispiel
nicht wissen, was sie gleich lesen wird, wenn sie eine Datei öffnet.
Die Daten können kaputt, oder verschlüsselt sein.
Deshalb kann man davon ausgehen, dass der Bundestrojaner ähnlich
angreifbar wie die Tools zur Analyse von Netzwerkverkehr sein wird.
Also könnte man mal nachprüfen, ob die Software wirklich so
unfehlbar funktioniert, indem man überall kreativ erstellte
Dateien herumliegen hat (z.B. E-Mail-Bomben). EnCase von Guidance
Software hat beispielsweise etliche bekannte Lücken –
inklusive Buffer Overflows.
Spannend
wird auch, wie sich die Security-Software verhalten wird. Das BKA
sagt sie werden Virenscanner und Firewalls umgehen, ohne diese
abzuschalten oder zu rekonfigurieren. Das heißt sie versprechen
immerhin, einem das Netz nicht für alle Welt aufzumachen. Wie
verhindert werden soll, dass die Heuristiken der Virenscanner
und Intrusion Detection Systeme keinen Alarm schlagen ist offen;
machbar ist es jedoch. Die Hersteller werden ihre Geschäftsgrundlage
jedenfalls nicht für das BKA riskieren. Das BMI behauptet
einfach, dass ihre Software nicht entdeckt werden kann. Aber das hat
sich Sony-BMG auch gedacht, als sie ihre Musik-CDs für den
US-Markt mit Rootkits verseucht haben, um die Käufer daran zu
hindern, Privatkopien anzufertigen. Bereits nach wenigen Tagen haben
World-of-Warcraft-Zocker ihre Cheats damit versteckt und für
Sony-BMG war die Aktion ein PR-Desaster, von dem sie sich bis heute
nicht erholt haben. Zu allem Überfluss muss sich der
Bundestrojaner auch noch an DRM und Trusted Computing vorbeimogeln
und dabei Beweissicherheit garantieren.
Einige der Antworten des BMI:
Bei der hier in Rede stehenden RFS handelt es
sich nicht um eine „Spionagesoftware“,
sondern um ein technisches Mittel zur Datenerhebung.
Der Autor wird das bei Gelegenheit mal
ausprobieren:
„Aber
Herr Richter! §202c StgB greift hier nicht. Das da auf meinem
Notebook sind gar keine Hackertools. Das sind technische Mittel
zur Datenerhebung.“ Klappt
bestimmt. Auch die Bezeichnung „Remote Forensic Software“ ist
eine Dreistigkeit. Das heimliche Ausforschen von Personen, durch
heimlich installierten Schadcode ist fast das genaue Gegenteil
von Computer-Forensik.
Abgesehen
davon, dass das Entdeckungsrisiko als solches als gering einzustufen
ist, wäre eine anschließende Manipulation im
Vergleich zu anderen Möglichkeiten der Nutzung von frei
verfügbarer Schadsoftware extrem aufwendig. Niemand ist
ernsthaft darauf angewiesen, eine RFS zu analysieren und für
eigene Zwecke zu verändern, da entsprechende Produkte mit sehr
großem Missbrauchspotenzial im Internet frei erhältlich
sind (z.B. Optix Pro oder Back Orifice).
Die haben kein Bisschen verstanden, was Hacker tun
und warum sie es tun. Der Autor kann Herrn Ziercke garantieren,
dass sich die Geeks auf den Bundestrojaner stürzen werden. Alle
brennen jetzt schon darauf, so ein Teil in die Finger zu kriegen und
öffentlich zu zerpflücken.
Analyse der RFS (Disassembling) wird jedoch
durch die Verwendung kryptographischer Methoden nahezu unmöglich
gemacht.
Dann muss der ja seinen Schlüssel mitbringen.
Dann kann man diesen auch extrahieren – siehe
Kopierschutzverfahren.
Zur
Auswahl relevanter Daten sind anhand der bestehenden Erkenntnislage
Suchkriterien
festzulegen. Dadurch wird eine zielgerichtete und von
vorneherein begrenzte Suche sichergestellt. Diese Suchkriterien
können u. a. sein:
-
Dateinamen
-
bestimmte Dateiendungen
-
Eigenschaften/Attribute (Zugriffdaten etc.)
-
Schlüsselwörter
-
bestimmte Verzeichnisse
-
Dateien eines bestimmten Dateityps
Soll das heißen, dass Bombenbauanleitungen
in Sicherheit sind, wenn man sie außerhalb von ${HOME} in eine
Datei namens liebesbrief.tex schiebt?
Das
Bundesamt für Sicherheit
in der Informationstechnik hat die ausdrückliche Weisung, sich
nicht aktiv an der Entwicklung der für die Online-Durchsuchung
einzusetzenden Software zu beteiligen.
Die Einzigen beim Staat, die etwas von der Materie
verstehen, werden nicht gefragt – sehr gut!
Achtung! Jetzt kommt ein Kracher:
Wer
berät sachverständig die Sicherheitsbehörden und das
BMI bei der Konfiguration
von Online-Durchsuchungen?
Die
Sicherheitsbehörden und das Bundesministerium des Innern
verfügen grundsätzlich
über genügenden Sachverstand.
Den „Sachverstand“ hat man gesehen
-
als die Polizei von Südhessen ihre
Einsatzprotokolle mit den Klarnamen und Autonummern der Betroffenen
ins Internet geblasen hat („Den falschen Knopf gedrückt“) -
als sie ihre Festplatten mit vertraulichen Daten
auf ebay verkloppt haben -
als sie endlich gemerkt haben, dass das halbe
Regierungsviertel – inklusive Bundeskanzleramt und Auswärtigem
Amt – trojanerverseucht ist -
als sie einen geheimen Lagebericht zu den
angeblichen Haarbleichmittel-Bombern an die gesamte Lokalpresse
gemailt haben („Den falschen Knopf gedrückt“) -
oder
– aktuell – wenn man http://www.wolfgang-schaeuble.de
ansurft.
Da landet man seit einer knappen Woche
auf dem eigenen Rechner, weil das DNS diese Domain nach 127.0.0.1
(i.e. localhost) auflöst. Und der whois-Eintrag verortet Herrn
Schäuble in Berlin/Argentinien. Und auch
„http://www.verteidigungsministerium.de/portal/a/bwde“
ist seit Tagen offline.
Man
darf gespannt sein, ob das Bundesverfassungsgericht diesen Unfug
stoppt: "[Für die
Online-Durchsuchung] braucht man eine Rechtsgrundlage. Bisher
hat man es ohne gemacht."
(Schäuble
im ARD-Brennpunkt vom 05.09.2007[19])
Angela „Das darf man nicht
diskutieren, das muss man einfach machen!“ Merkel zum Thema:
Deutschland droht kein Polizeistaat. Es darf
aber keine Räume in der Gesellschaft geben, auf den die
Sicherheitsbehörden keinen Zugriff haben.
Unbegreiflich
für meinen Verstand, eine Endlosschleife, das Möbiusband.
Quellen
-
"http://netzpolitik.org/wp-upload/fragen-onlinedurchsuchung-BMJ.pdf"
-
"http://netzpolitik.org/wp-upload/fragen-onlinedurchsuchung-SPD.pdf"
-
"http://netzpolitik.org/2007/bundesinnenministerium-beantwortet-fragen-zur-online-durchsuchung/"
-
„http://www.ccc.de/lobbying/papers/terrorlaws/20070711-BKATERROR.pdf“
-
„http://www.ccc.de/updates/2007/bkaterror“
-
"http://www.nadir.org/nadir/initiativ/infoladen_leipzig/camera/text008.htm"
-
„http://www.tomshardware.com/de/BitTorrent-Linux-Ubuntu,news-239809.html“
-
Chaosradio 122: Der Bundestrojaner
"http://chaosradio.ccc.de/cr122.html" -
Chaosradio 127: Der Bundestrojaner Reloaded
"http://chaosradio.ccc.de/cr127.html" -
„http://www.darkreading.com/document.asp?doc_id=95556&WT.svl=column1_1“
-
„http://www.welt.de/politik/article1064032/So_funktionieren_Online-Razzien_in_den_USA.html“
-
„http://www.gulli.com/news/schweizer-bundestrojaner-2007-03-07/“
-
"http://www.zeit.de/online/2007/37/kommentar-online-durchsuchungen?page=all"
-
Interview
mit Markus Beckedahl, dem Betreiber von netzpolitik.org in der
Sendung Blogspiel auf Deutschlandradio-Kultur vom
08.09.2007:
"http://ondemand-mp3.dradio.de/podcast/2007/09/08/drk_20070908_1630_6c35336a.mp3" -
ARD-Brennpunkt
vom 05.09.2007:
"http://www.tagesschau.de/video/0,1315,OID7420154,00.html -
Demo
"Freiheit statt Angst" in Berlin am Samstag, den 22.
September ab 14.30
Uhr:
„http://www.vorratsdatenspeicherung.de/content/view/125/116/lang,de/“ -
„http://www.gulli.com/news/schweizer-bundestrojaner-2007-03-07/“
-
BSI zur
Abstrahlsicherheit:
„http://www.bsi.bund.de/gshb/deutsch/m/m04089.htm“
