C3PO-r2d2-POE


Der Chaos Computer Club hat nach eigenen Angaben den berüchtigten „Staatstrojaner“ (Quellen-TKÜ) zugespielt bekommen und diesen eingehend analysiert. Dieser darf eigentlich nur dazu verwendet werden, um Internettelefonie abzuhören. Die Fähigkeiten des Schadprogramms sollen jedoch weit darüber hinausgehen; es könne beliebiger Programmcode nachgeladen werden. Somit könnten die Ermittlungsbehörden quasi vollen Zugriff auf alle Funktionen des betroffenen Computers erhalten. Es wäre also offensichtlich, dass die Erweiterbarkeit der Spionagesoftware von Anfang an vorgesehen war. Dem CCC war es allerdings auch bereits mit den vorkonfigurierten Funktionen des Trojaners möglich, Inhalte eines Webbrowsers per Screenshot auszulesen. Das hieße: Es handelt sich hierbei um einen klaren Rechtsbruch!

Ein weiterer Kritikpunkt ist die mangelnde Verschlüsselung. Denn es würden nur die vom betroffenen PC ausgehenden Daten verschlüsselt, doch auch diese nur mithilfe eines symmetrischen Verfahrens. Die eingehenden Kommandos an die Schadsoftware seien völlig unverschlüsselt, sodass die gleichen von Außenstehenden ohne große Mühe mitgelesen oder manipuliert werden könnten. Daten und Kommandos des angeblichen Bundestrojaners sollen übrigens über einen Server in den USA umgelenkt werden, der unter der IP 207.158.22.134 erreichbar sein soll (Außerhalb des Geltungsbereiches des deutschen Rechts). Das stellt ein enormes Risiko dar, werden die Daten doch nur unzureichend bzw. gar nicht verschlüsselt.

Nun erkläre ich auch die Überschrift dieses Artikels. „C3PO-r2d2-POE“ – das soll der String sein, der vom Trojaner aus an den Server geschickt wird, um sich mit diesem – ausgehend vom Port 443 – zu verbinden. Der daraus generierte Byte-String soll in allen Fällen identisch sein, sodass zum Beispiel ein IDS den Befall recht leicht erkennen könnte. Das heißt aber auch, dass weitere Angriffsszenarien entstehen; so könnten Dritte sich beispielsweise als Zielsystem am Kommandoserver anmelden und somit gefälschte Informationen liefern. Und das ist nur ein mögliches Szenario. Das analysierte Schadprogramm läuft meinen Informationen nach übrigens nur auf Windows-Systemen. Linux-User sind also mal wieder klar im Vorteil😉

Fazit:

Sollte es sich wirklich um einen Bundestrojaner handeln, sind folgende Punkte klar zu bemängeln:

  • Über die erlaubten Fähigkeiten hinausgehende Funktionen
  • Unzureichende bzw. keine Verschlüsselung
  • Umleitung über einen Server in den USA
  • Fehlende Authentifizierung
  • Schaffung neuer Sicherheitslücken auf den betroffenen Systemen

Bis jetzt habe ich allerdings noch nicht wirklich verstanden, wie sich der CCC so sicher sein kann, dass es sich bei dem untersuchten Programm um den „Staatstrojaner“ handelt. Möglicherweise wird das in den nächsten Tagen etwas klarer.

Update vom 09.10.2011, 17:52 Uhr:
Ein Sprecher des Innenministeriums gab bekannt: „Was auch immer der Chaos Computer Club untersucht hat oder zugespielt bekommen haben mag, es handelt sich dabei nicht um einen sogenannten Bundestrojaner“. Unklar ist, ob andere deutsche Ermittlungsbehörden das Programm eingesetzt haben. Nun gibt es Spekulationen, dass eine Landesbehörde verantwortlich sei. Diese Vermutungen sind jedoch unbestätigt.

Quellen zum Update: Tweet von Regierungssprecher Steffen Seibert, Zeit Online, heute.de

Update vom 10.10.2011, 17:42 Uhr:
Der bayerische Innenminister Joachim Herrmann bestätigte heute, dass der Trojaner aus Bayern stammt und im dortigen Landeskriminalamt eingesetzt wurde. Es handelt sich also nicht – wie zuerst angenommen – um den „Bundestrojaner“. Die Software soll 2009 in einem Ermittlungsverfahren von der bayerischen Polizei verwendet worden sein.

Quellen zum Update:
ntv.de, zeit.de

Update vom 26.10.2011:
Der CCC hat inzwischen eine neuere Version des Trojaners analysiert. Mit überraschenden(?) Ergebnissen. Zum Artikel

Über m4gu5

Geek/Nerd, Level 12 Paladin, Linux-User
Dieser Beitrag wurde unter Security abgelegt und mit , , , , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

2 Antworten zu C3PO-r2d2-POE

  1. LG schreibt:

    Und es läuft laut PDF nur auf 32Bit-Windows-Systemen.

  2. Buddy schreibt:

    Heutige Deutsche Regierung ist nicht anders als <>

Schreibe einen Kommentar

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden / Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden / Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden / Ändern )

Google+ Foto

Du kommentierst mit Deinem Google+-Konto. Abmelden / Ändern )

Verbinde mit %s