Der Bundestrojaner – Die Abwehr

Angriffe abzuwehren, wenn der Angreifer physischen
Zugriff auf die Maschine hat, ist schwierig. Das BKA hat angekündigt,
dass sie in die Wohnung einbrechen wollen, um das System zu
analysieren. Dabei schauen sie sich die Hardware genau an und ziehen
ein Disk-Image. Das System bauen sie sich dann zu Hause im Labor nach
und fummeln ihre RFS hinein. Nachdem sie getestet haben, dass das
stabil läuft und eventuell vorhandene Security-Software Stille
hält, brechen sie noch einmal in die Wohnung ein und spielen das
zerhackte System auf den Zielrechner. Das lässt die meisten
Abwehrmaßnahmen ins Leere laufen. Wer Angriffe von
Geheimdiensten befürchten muss, müsste dem entsprechend das
gesamte Arse­nal der Spionageabwehr auffahren. Man kann nicht
einfach eine Liste schreiben, die man abarbeitet und dann sagt „So,
jetzt kann nichts mehr passieren“. IT-Sicherheit ist ein Prozess
und hundertprozentig si­chere Systeme gibt es nicht. Angriffs-
und Abwehrmöglichkeiten gibt es beliebig viele und der Phantasie
sind wenig grenzen gesetzt. Man kann es dem Angreifer nur so schwer
machen, dass es sich für ihn nicht lohnt. Das BKA hat mehrfach
Durchblicken lassen, dass es für sie wirklich schlimm wäre,
wenn der Bun­destrojaner entdeckt würde. Müssen sie
befürchten, dass die Maßnahme auffliegt, wollen sie diese
sofort abblasen.

Hier ein paar mehr oder weniger naheliegende
Gedankengänge:
Keine Behördenmails öffnen und
Finger weg von
staatlicher Software

(Elster).

"Die
Einbringung der RFS im Wege der E-Mail-Kommunikation kann je nach
Einzelfall ein ge­eignetes Mittel darstellen".
[2]

Dass der Bundestrojaner die Bemühungen des
Staates, verstärkt auf e-Government zu setzen ad absurdum führt
und allgemein das Restvertrauen in den Staat untergräbt, ist im
BMI anscheinend Niemandem auf­gefallen.

No Windows.

Klingt lachhaft: Aber Nicht-Windows-Nutzer sind
möglicherweise vorerst sicher. Der FBI-Bundestrojaner CIPAV zum
Beispiel läuft wahrscheinlich ausschließlich unter
Windows. Und kürzlich wurde ein wegen Urheberrechtsverstoßes
verurteilter BitTorrent-Administrator gerichtlich dazu verpflichtet,
sein Ubuntu-Linux zu deinstallieren und nur noch Windows zu
verwenden, weil die Monitoring-Software, die er als Bewährungsauflage
aufgebrummt bekommen hat nur unter Windows läuft. [9] Allerdings
ist das nur eine Frage des Aufwands und kann sich sehr schnell
ändern, sobald Bedarf besteht. Das Sony-Rootkit gab es auch für
den Mac. Und guidancesoftware.com verspricht sogar, dass ihr
Schnüffeltool EnCase für Straf­verfolger remote
„Windows, Linux, AIX, BSD, OS X, Solaris and more“ ausforschen
kann.

Kein Social Networking.

Das
FBI schleust seine CIPAV nach eigenen Angaben über Instant
Messaging oder Myspace-Nachrichten ein. Der Autor hält es
allerdings für möglich, dass die ihre Angriffsvektoren
nicht verraten wollen und sich die Erklärung aus den Fingern
gesogen haben. Das Selbe gilt dann möglicherweise für
einige Ant­worten des BMI auf die Fragenkataloge. Möglicherweise
hängen sie ihre Trojaner einfach an Downloads von ausführbaren
Dateien an:
Entwicklung
einer transparent bridge […], die einen Download eines ausführbaren
Programms erkennt und dieses on-the-fly mit einem Trojaner versieht.
[25]
Zwecks TKÜ manipulieren sie anscheinend schon die Datenströme
auf TCP-Ebene. [26] Hey! Wir sind der Staat. Uns gehört die
Infrastruktur und die Hardwarehersteller haben uns da Schnittstellen
(„lawful in­terception“) reingebaut. Wäre doch eine
Sünde, Nichts daraus zu machen.

Software
so aktuell wie möglich halten.

Immer brav
patchen, gell? Man kann 0-day-exploits (i. e. unveröffentlichte
Lücken) zwar auf dem Schwarzmarkt kaufen, aber das BKA sagt dazu
(Punkt 43 in [2]), ein derartiger Erwerb sei „nicht geplant“.
Dabei immer schön die Si­gnaturen prüfen,
damit einem der Schadcode nicht von einem „man in the middle“
(MITM) in den Soft­waredownload hinein injiziert wird. Viele
Update-Manager machen das automatisch.
Das impliziert
na­türlich den Verzicht auf nicht signierten Code.
Staatliche MITM-Angriffe dauerhaft abzuwehren ist aber schwierig.

Keine gefundenen CD-Roms oder USB-Sticks
mounten.

Es
wurde tatsächlich gesagt, man wolle die RFS den Opfern
unterjubeln, indem man eine infizierte CD-Rom in den Briefkasten
wirft und hofft, dass der Betroffene die darauf befindliche
Schadsoftware aus Neugier selbst installiert. Der Witz an der Sache
ist, dass das auch noch ziemlich erfolgversprechend ist. Ein paar
Hacker haben sich den Spaß erlaubt, etwa 20 USB-Sticks mit
infizierten JPEG-Bildchen zu be­stücken und die dann um eine
Bank herum an strategischen Stellen (Parkhaus, Raucherecken etc.) auf
den Boden zu werfen. Schon wenige Minuten nach Beginn der
Arbeitszeit, trudelten die ersten Daten ein. Alle der 15 von
Mitarbeitern der Bank gefundenen Speicher wurden vom jeweiligen
Finder unverzüglich in dessen Arbeitsplatzrechner gestopft. [13]
Merke: Ungeschützter Verkehr ist gefährlich.
Man steckt seinen Stick nicht einfach überall rein und lässt
umgekehrt auch nicht jeden Dahergelaufenen mal ran.

Selbstzerstörung triggern.

Achtung! Diese Software wird sich in fünf
Sekunden selbst zerstören …. *zisch* *fffump*“:

18. Was ist vorgesehen, um die Software zu
steuern oder abzuschalten, wenn
der
Port für die Kommunikation beispielsweise mittels einer Firewall
gesperrt ist?

Sollte der Kommunikationsport während
eines laufenden Einsatzes geschlossen werden
und keine Kommunikation mit dem Steuerungssystem möglich sein,
deinstalliert sich die Software selbstän­dig.

und

    44.
    Wie wird bei einem Zielsystem, dass keine Internet-Verbindung mit
    dem
    Ermittlungssystem mehr aufbauen kann,
    sichergestellt, dass das Trojani
    sche
    Pferd nach Ablauf einer befristeten Anordnung deaktiviert und vom
    System ohne Zurücklassen von Sicherheitslücken deaktiviert
    wird?

    Durch
    eine für den Fall der erfolglosen Kontaktaufnahme mit dem
    Steuerungssystem eingebaute Selbstdeinstallationsroutine entfernt
    sich die RFS rück
    standsfrei
    vom System.

Vielleicht reicht es ja, wenn man sein
Netzwerkkabel gelegentlich ausstöpselt oder die Firewall auf dem
Router vorübergehend komplett zumacht. Dann merkt die
Schadsoftware, dass sie nicht mehr mit ihrem Master kommunizieren
kann, und vernichtet sich selbst. Wie die sich ihre automatische und
rückstands­freie Deinstallation vorstellen, wenn man seiner
Kiste einfach den Strom abdreht und dann gemütlich die
Festplatte analysiert, um der GovWare auf die Schliche zu kommen, ist
völlig schleierhaft.

22. Wie soll die automatische Löschung
der Software nach dem vorgeschriebenen
Zeitrahmen realisiert werden? Auf welchen Zeitgeber stützt sich
die Löschung und was geschieht, wenn die­ser nicht verfügbar
ist bzw. verändert wird?

Die Löschung kann sowohl manuell als auch
automatisch erfolgen. Als Zeitgeber
werden außer der Systemzeit weitere Zeitberechungsmodule
parallel eingesetzt.

Einfaches
vorstellen der Systemuhr wird also leider nicht funktionieren. Wenn
der Bundestrojaner mal in „the wild“ auftaucht wird sich da
vielleicht etwas finden
.

Air gap zwischen Daten und Netz.

Wer
ausreichend paranoid ist, trennt brisante Daten physisch vom Netz.
Das Setup:

Angenommen ein Rechner heißt FUCKUP und ein
weiterer Deep Thought. Deep Thought ist ein Rechner mit großer
verschlüsselter Festplatte und geht nie an irgendein Netz.
FUCKUP braucht gar keine Festplat­te und bootet von einer LiveCD.
Phatomix (http://phantomix.ytternhagen.de/)
beispielsweise bringt auch gleich vorkonfigurierte Anonymisierung
(tor, privoxy) mit. Mit FUCKUP gesaugte Daten werden mit
(verschlüsseltem) USB-Stick zwischen FUCKUP und Deep Thought hin
und her getragen. Brisante Da­tenverarbeitung – wie E-Mails
ver- und entschlüsseln – findet ausschließlich auf Deep
Thought statt.

Auch diese Maßnahme können die Spione
durch ihren Wohnungseinbruch umgehen. Sie steigen also ein, sehen,
dass da ein Offline-Rechner (Deep Thought) herumsteht. Dann
installieren sie einen Hardware-Keylogger, der eine Weile die
Tastatureingaben mitschreibt. Dann holen sie den Rechner bei einer
offe­nen Haussuchung ab und der Betroffene kann sich nur wundern,
wieso sie so schnell die Festplattenver­schlüsselung
aufkriegen. So macht es das FBI.
[23]

Hardware gegen Abstrahlung abschirmen.

Zugegeben –
das ist wirklich hoch paranoid, aber es ist eine bekannte Tatsache:
Geheimdienste können seit Jahrzehnten über die

EM-Abstrahlung von Monitoren aus der Ferne mitlesen, was so auf dem
Bild­schirm erscheint (Van-Eck-Phreaking). Strahlungsarme
Monitore
(LCD) helfen; diese hinterlassen im Dunklen auch kein
verräterisches Flimmern auf der gegenüberliegenden Wand wie
Röhrenmonitore, wor­über man ebenfalls mitlesen kann.
Zudem
kann man akustische
Abstrahlung belauschen und daraus Rückschlüsse ziehen, was
zum Beispiel in die Tastatur getippt wurde. [24]
Ob das
BKA so etwas kann? Es wird jedenfalls immer allgemein von
„technischen Mitteln“ gesprochen, die sie einsetzen dürfen
wol­len.

Überwachungskameras,
die bei Abwesenheit durch Bewegungsmelder aktiviert werden und
Rechnerge­häuse versiegeln
(BlueSeal)
,
um das heimliche ziehen von Disk-Images zu verhindern.

Wer mit dem
Bundestrojaner Spaß haben will, fährt seine
Betriebssysteme unter der Aufsicht eines Su­pervisors, der diesen
eine rein
virtuelle
Maschine

vorgaukelt. Das heißt, man sperrt den virtuellen V-Mann bei
Ankunft in eine Art Holodeck ein, und kann ihn in Ruhe beobachten
ohne dass er Schaden an­richten kann.
Das
funktioniert natürlich nicht, wenn das BKA heimlich in die
Wohnung einbricht. Denn dann merken sie ja vor der Installation, dass
Virtualisierung verwendet wird.

Unorthodoxe
Daten verteilen:
Das
BKA behauptet immer ihre Software sei fehlerfrei. So etwas gibt es
bei hinreichend komplexer Soft­ware aber schlicht nicht. Gerade
das was die vorhaben ist sehr kompliziert. Die RFS kann zum Beispiel
nicht wissen, was sie gleich lesen wird, wenn sie eine Datei öffnet.
Die Daten können kaputt, oder ver­schlüsselt sein.
Deshalb kann man davon ausgehen, dass der Bundestrojaner ähnlich
angreifbar wie die Tools zur Analyse von Netzwerkverkehr sein wird.
Also könnte man mal nachprüfen, ob die Software wirklich so
unfehlbar funktioniert, indem man überall kreativ erstellte
Dateien herumliegen hat (z.B. E-Mail-Bomben). EnCase von Guidance
Software hat beispielsweise etliche bekannte Lücken –
inklusive Buffer Overflows.

Spannend
wird auch, wie sich die Security-Software verhalten wird. Das BKA
sagt sie werden Virenscan­ner und Firewalls umgehen, ohne diese
abzuschalten oder zu rekonfigurieren. Das heißt sie versprechen
immerhin, einem das Netz nicht für alle Welt aufzumachen. Wie
verhindert werden soll, dass die Heuris­tiken der Virenscanner
und Intrusion Detection Systeme keinen Alarm schlagen ist offen;
machbar ist es jedoch. Die Hersteller werden ihre Geschäftsgrundlage
jedenfalls nicht für das BKA riskieren. Das BMI behauptet
einfach, dass ihre Software nicht entdeckt werden kann. Aber das hat
sich Sony-BMG auch ge­dacht, als sie ihre Musik-CDs für den
US-Markt mit Rootkits verseucht haben, um die Käufer daran zu
hindern, Privatkopien anzufertigen. Bereits nach wenigen Tagen haben
World-of-Warcraft-Zocker ihre Cheats damit versteckt und für
Sony-BMG war die Aktion ein PR-Desaster, von dem sie sich bis heute
nicht erholt haben. Zu allem Überfluss muss sich der
Bundestrojaner auch noch an DRM und Trusted Computing vorbeimogeln
und dabei Beweissicherheit garantieren.

Einige der Antworten des BMI:

Bei der hier in Rede stehenden RFS handelt es
sich nicht um eine „Spionagesoftware“,
sondern um ein technisches Mittel zur Datenerhebung.

Der Autor wird das bei Gelegenheit mal
ausprobieren:

Aber
Herr Richter! §202c StgB greift hier nicht. Das da auf meinem
Notebook sind gar keine Hacker­tools. Das sind technische Mittel
zur Datenerhebung.“
Klappt
bestimmt. Auch die Bezeichnung „Remote Forensic Software“ ist
eine Dreistigkeit. Das heimliche Ausforschen von Personen, durch
heimlich instal­lierten Schadcode ist fast das genaue Gegenteil
von Computer-Forensik.

Abgesehen
davon, dass das Entdeckungsrisiko als solches als gering ein
zustufen
ist, wäre eine an­schließende Manipulation im
Vergleich zu anderen Möglichkeiten der Nutzung von frei
verfügba­rer Schadsoftware extrem aufwendig. Niemand ist
ernsthaft darauf angewiesen, eine RFS zu ana­lysieren und für
eigene Zwecke zu verändern, da entsprechende Produkte mit sehr
großem Miss­brauchspotenzial im Internet frei erhältlich
sind (z.B. Optix Pro oder Back Orifice).

Die haben kein Bisschen verstanden, was Hacker tun
und warum sie es tun. Der Autor kann Herrn Zier­cke garantieren,
dass sich die Geeks auf den Bundestrojaner stürzen werden. Alle
brennen jetzt schon darauf, so ein Teil in die Finger zu kriegen und
öffentlich zu zerpflücken.

Analyse der RFS (Disassembling) wird jedoch
durch die Verwendung kryptographischer Metho­den nahezu unmöglich
gemacht.

Dann muss der ja seinen Schlüssel mitbringen.
Dann kann man diesen auch extrahieren – siehe
Kopier­schutzverfahren.

Zur
Auswahl relevanter Daten sind anhand der bestehenden Erkenntnislage
Suchkriterien
festzu­legen. Dadurch wird eine zielgerichtete und von
vorneherein begrenzte Suche sichergestellt. Diese Suchkriterien
können u. a. sein:

  • Dateinamen

  • bestimmte Dateiendungen

  • Eigenschaften/Attribute (Zugriffdaten etc.)

  • Schlüsselwörter

  • bestimmte Verzeichnisse

  • Dateien eines bestimmten Dateityps

Soll das heißen, dass Bombenbauanleitungen
in Sicherheit sind, wenn man sie außerhalb von ${HOME} in eine
Datei namens liebesbrief.tex schiebt?

Das
Bundesamt für Sicher
heit
in der Informationstechnik hat die ausdrückliche Weisung, sich
nicht aktiv an der Entwicklung der für die Online-Durchsuchung
einzusetzenden Software zu be­teiligen.

Die Einzigen beim Staat, die etwas von der Materie
verstehen, werden nicht gefragt – sehr gut!

Achtung! Jetzt kommt ein Kracher:

Wer
berät sachverständig die Sicherheitsbehörden und das
BMI bei der
Konfiguration
von On­line-Durchsuchungen?

Die
Sicherheitsbehörden und das Bundesministerium des Innern
verfügen
grundsätzlich
über ge­nügenden Sachverstand.

Den „Sachverstand“ hat man gesehen

  • als die Polizei von Südhessen ihre
    Einsatzprotokolle mit den Klarnamen und Autonummern der Betroffenen
    ins Internet geblasen hat („Den falschen Knopf gedrückt“)

  • als sie ihre Festplatten mit vertraulichen Daten
    auf ebay verkloppt haben

  • als sie endlich gemerkt haben, dass das halbe
    Regierungsviertel – inklusive Bundeskanzleramt und Auswärtigem
    Amt – trojanerverseucht ist

  • als sie einen geheimen Lagebericht zu den
    angeblichen Haarbleichmittel-Bombern an die gesamte Lokalpresse
    gemailt haben („Den falschen Knopf gedrückt“)

  • oder
    – aktuell – wenn man http://www.wolfgang-schaeuble.de
    ansurft.
    Da landet man seit einer knappen Woche

    auf dem eigenen Rechner, weil das DNS diese Domain nach 127.0.0.1
    (i.e. localhost) auflöst. Und der whois-Eintrag verortet Herrn
    Schäuble in Berlin/Argentinien. Und auch
    http://www.verteidigungsministerium.de/portal/a/bwde
    ist seit Ta­gen offline.

Man
darf gespannt sein, ob das Bundesverfassungsgericht diesen Unfug
stoppt:
"[Für die
Online-Durch­suchung] braucht man eine Rechtsgrundlage. Bisher
hat man es ohne gemacht."

(Schäuble
im ARD-Brennpunkt vom 05.09.2007[19])

Angela „Das darf man nicht
diskutieren, das muss man einfach machen!“
Merkel zum Thema:

Deutschland droht kein Polizeistaat. Es darf
aber keine Räume in der Gesellschaft geben, auf den die
Sicherheitsbehörden keinen Zugriff haben.

Unbegreiflich
für meinen Verstand, eine Endlosschleife, das Möbiusband.

Quellen

  1. "http://netzpolitik.org/wp-upload/fragen-onlinedurchsuchung-BMJ.pdf"

  2. "http://netzpolitik.org/wp-upload/fragen-onlinedurchsuchung-SPD.pdf"

  3. "http://netzpolitik.org/2007/bundesinnenministerium-beantwortet-fragen-zur-online-durchsu­chung/"

  4. "http://hp.kairaven.de/law/eckwertkrypto2.html"

  5. http://www.ccc.de/lobbying/papers/terrorlaws/20070711-BKATERROR.pdf

  6. http://www.ccc.de/updates/2007/bkaterror“

  7. "http://www.golem.de/0708/54477.html"

  8. "http://www.nadir.org/nadir/initiativ/infoladen_leipzig/camera/text008.htm"

  9. http://www.tomshardware.com/de/BitTorrent-Linux-Ubuntu,news-239809.html“

  10. Chaosradio 122: Der Bundestrojaner
    "http://chaosradio.ccc.de/cr122.html"

  11. Chaosradio 127: Der Bundestrojaner Reloaded
    "http://chaosradio.ccc.de/cr127.html"

  12. http://de.wikipedia.org/wiki/CIPAV

  13. http://www.darkreading.com/document.asp?doc_id=95556&WT.svl=column1_1“

  14. http://www.welt.de/politik/article1064032/So_funktionieren_Online-Razzien_in_den_USA.html

  15. http://www.gulli.com/news/schweizer-bundestrojaner-2007-03-07/

  16. "http://www.zeit.de/online/2007/37/kommentar-online-durchsuchungen?page=all"

  17. http://sopho.de/schaeuble.png

  18. Interview
    mit Markus Beckedahl, dem Betreiber von netzpolitik.org in der
    Sendung Blogspiel auf Deutschlandradio-Kultur vom
    08.09.2007:
    "http://ondemand-mp3.dradio.de/podcast/2007/09/08/drk_20070908_1630_6c35336a.mp3"

  19. ARD-Brennpunkt
    vom 05.09.2007:
    "http://www.tagesschau.de/video/0,1315,OID7420154,00.html

  20. Demo
    "Freiheit statt Angst" in Berlin am Samstag, den 22.
    September ab 14.30
    Uhr:
    http://www.vorratsdatenspeicherung.de/content/view/125/116/lang,de/

  21. http://www.gulli.com/news/schweizer-bundestrojaner-2007-03-07/

  22. http://de.wikipedia.org/wiki/Van-Eck-Phreaking

  23. http://www.heise.de/newsticker/meldung/19744

  24. BSI zur
    Abstrahlsicherheit:
    http://www.bsi.bund.de/gshb/deutsch/m/m04089.htm

  25. http://www.andreas.org/blog/?p=307

  26. http://blog.fefe.de/?ts=bd1cf9c9