Kommentieren     
Bundestrojaner - Angriffszenarien und Schutzmassnahmen
“PRIVACY IS NOT A CRIME” ...von Thomas Murr (12.2008 | Update 11.10.2011)

Mit dem Jahreswechsel 2008/2009 trat die Novelle des Gesetzes für das Bundeskriminalamt (BKA) in Kraft. Die neuen Befugnisse des BKA beinhalten u.a. die heimliche Durchsuchung von Computern per Remote Forensics Software (RFS oder im Volksmund “Bundestrojaner”).

In diesem Beitrag befassen wir uns deshalb mit den technischen Möglichkeiten, wie diese RFS auf den Zielrechner gelangen könnte und wie man (der Bürger) sich davor schützen kann, um die Privatsphäre weiterhin als solche zu gewährleisten. Auch wollen wir damit aufzeigen, dass das Gesetz am Ziel (Terroristen zu fangen) vorbeischiesst, weil die kriminelle Seite sich mit Sicherheit derselben oder ähnlicher Schutzmethoden bedient wie nachstehend beschrieben.


1. Installation vor Ort

Die Ermittler kommen unbemerkt in die Wohnung, das Büro, die Praxis oder Kanzlei, um den “Bundestrojaner” auf dem Zielsystem zu installieren. Dazu müssten die Eindringlinge u.U. Passwörter oder Logins überwinden (z.B. BIOS-Passwort). Einfacher ist es, gleich die Festplatte auszubauen und die RFS direkt über ein Drittsystem an entsprechender Stelle zu installieren oder ein Drittsystem vom USB-Stick im RAM zu booten, um hernach den Trojaner schnell und bequem auf der Festplatte zu platzieren. Auch die Manipulation der Hardware ist denkbar. Ein sehr wahrscheinliches, wenn auch teures, weil personalintensives, Szenario. Die meisten der aktuell bekannten Installationen erfolgten auf diesem Weg (siehe auch Update vom 11.10.2011 weiter unten).

Vorbeugung|Schutz:

    • 24/7-Integrity-Monitoring, d.h. jegliche Veränderungen werden bemerkt. Leider ist das nur sehr versierten Anwendern vorbehalten und mit viel Zeitaufwand verbunden, dafür 100 % zuverlässig

    • Vollverschlüsselung des Betriebssystems, d.h. es ist ausserhalb der Laufzeit (Heruntergefahren) kein Zugriff auf das System möglich; das Passwort zur Entschlüsselung sollte unbedingt auf einem wiederum verschlüsselten USB-Stick in einer Schlüsseldatei gespeichert werden (möglichst über 150 Stellen), um heimlich vor-Ort-installierten Geräten oder Kameras, die die Tastatureingaben überwachen (und später wieder vom Angreifer abgeholt werden) keine Chance zu geben. Denn dann wird das Passwort über die Schlüsseldatei und nicht über die Tastatur eingegeben!

    • Unikate Gerätesiegel anbringen (z.B. kleine Aufkleber, die bei Öffnung des Computergehäuses oder der Tastatur zerstört werden müssen)

    • Klassische Sicherungen des Gebäudes wie Alarmanlage, Detektoren, versteckte Überwachungskameras

Update 11.10.2011: Der vom Chaos Computer Club analysierte Trojaner wurde u.a. von Zollbehörden auf einem Notebook bei einer “normalen” Kontrolle auf dem Müncher Flughafen installiert (kurz im Hinterzimmer*). Eine Vollverschlüsselung des OS hätte dies im heruntergefahrenen Zustand zuverlässig verhindert. Selbst bei Erzwingung der Herausgabe des Passworts zum Booten und Entschlüsseln wäre man mit einem versteckten, verschlüsselten Betriebssystem ABSOLUT auf der sicheren Seite gewesen, weil man natürlich nur das Passwort für das Alibi-Betriebssystem** geliefert hätte - die Existenz des versteckten Betriebssystem kann NICHT nachgewiesen werden (sog. plausible deniability of hidden data). Sehen Sie HIER unsere Anleitung zur Vorgehensweise.

*Notebooks, Netbooks und Smartphones kurz mit nach “hinten” zu nehmen und auf “Sprengstoff” zu untersuchen ist z.B. auch bei der Einreise in die USA gängige Praxis - drei mal dürfen Sie raten, wer den “Sprengstoff” danach auf dem Rechner hat :-(

**das Alibi-Betriebsystem wäre natürlich hernach neu aufzusetzen, wenn es in die Hände von Ermittlern kam, das erklärt sich von selbst


2. Die Hintertür (Backdoor)

Verbreitung durch legitime Software. D.h. der “Bundestrojaner” wäre klassisch in Programmen versteckt. Eignen würden sich Programme, die die Zielperson verwenden muss (z.B. Elster-Steuersoftware für die Umsatzsteuervoranmeldung bei Selbständigen) oder sehr wahrscheinlich einsetzt (z.B. Virenscanner). Ein eher unwahrscheinliches Szenario, da der Vertrauensschaden in der Bevölkerung bei Bekanntwerden irreparabel wäre und den Ruin für kooperierende Softwarehersteller bedeuten würde. Ferner wären sofort Trittbrettfahrer mit an Bord.

Vorbeugung|Schutz:

    • Verwenden von Open-Source-Software, denn hier ist der Source-Code einsehbar

    • Muss es ein staatliches Programm wie z.B. Elster sein: Installation desselbigen in einem virtuellen System, welches keine sensiblen Informationen enthält

    • Beziehung weiterer Software nur über absolut vertrauenswürdige Quelle also Hände weg von dubioser Gratissoftware oder unzertifizierten Apps (letztere sind eine sehr grosse Gefahr! Die meisten Anwender machen sich hierüber leider keine Gedanken, also Hirn 2.0 anstatt Web 2.0 ist gefragt)

3. Über Exploits

Installation über sog. (Less-Than-)Zero-Day-Exploits (siehe nähere Infos), welche man sich über Drive-by-Downloads, eMail-Anlagen, verschenkte USB-Sticks oder CD/DVDs u.s.w. einfangen kann. Eine wahrscheinliche und sehr sichere Methode, wenn das Zielsystem und dessen Aktualität (Updates) sowie installierte Software bekannt ist (ansonsten ist es eben ein Versuch ins Blaue). Allerdings sehr teuer, weil unbekannte oder noch nicht geschlossene Sicherheitslücken in Betriebssystemen und Anwendungen (z.B. Webbrowser) eher selten vorkommen und i.d.R. sehr schnell von den Herstellern gefixt werden. D.h. es müssten immer wieder neue Exploits auf dem Schwarzmarkt teuer eingekauft werden, da die Halbwertszeit eines Exploits max. 3-6 Monate beträgt. Auch Trittbrettfahrer wären am “Spiel” sofort beteiligt.

Vorbeugung|Schutz:

    • Betrieb eines virtuellen Systems, welches nach Benutzung auf das Ursprungsimage zurückgesetzt wird. Die schützenswerten Daten sollten dabei auf einem Drittmedium verschlüsselt gespeichert werden. Siehe auch Fazit weiter unten.

4. Über Social-Engineering

Mit einem Trick wird der Anwender zur Installation des “Bundestrojaners” bewegt. Dazu muss i.d.R. zuvor das Umfeld und die Vorlieben der Zielperson ausspioniert werden. Dann bekommt die Zielperson vielleicht eine inhaltlich integre eMail eines Freundes (eMail-Adresse gefälscht) mit den Bildern vom letzten Familienausflug.
Zitat von BKA-Chef Jörg Ziercke:
“Sie können sich die abstrakten Möglichkeiten vorstellen, mit dem man über einen Trojaner, über eine Mail oder über eine Internetseite jemanden aufsucht. Wenn man Ihnen erzählt hat, was für eine tolle Website das ist oder eine Seite mit Ihren Familienangehörigen, die bei einem Unfall verletzt worden sind, sodass sie dann tatsächlich die Seite anklicken. Die Geschichten sind so vielfältig, dass es kaum jemanden gibt, der nicht auf irgendeine Form dieser Geschichte hereinfällt...”

Vorbeugung|Schutz:

    • Hier hilft nur extreme Vorsicht und gesundes Misstrauen (sprich Hirn 2.0 einschalten), weil Social-Engineering eine immens gefährliche Bedrohung darstellt (eine umfangreiche Recherche und ein geschickter Angreifer können einiges “bewegen”!)

    • Vorsicht in Sozialen Netzwerken, ein wahres Paradies für Social-Engineerer. Dort kann sich der Angreifer z.B. mit Bildern (der Zielperson selbst oder seiner Freunde) versorgen und schon einmal nach den Hobbies und sonstigen Vorlieben sowie Aktivitäten recherchieren.

5. Über Downloads

Der Bundestrojaner gelangt über Drive-by-Download, d.h. den blossen Besuch einer präparierten, manipulierten Webseite (i.d.R. über den Missbrauch eines Browser-Plugins oder Sicherheitslücken des Browsers bzw. Betriebssystems selbst) oder über Downloads aller Art (z.B. auch Updates) auf das Zielsystem. Auch die Zusammenarbeit der Ermittler mit dem Internet-Service-Provider kann dazu führen, dass der komplette Internetverkehr des Zielrechners umgeleitet wird, d.h. es wären Manipulationen bzw. Modifikationen von eigentlich integren Download-Paketen während der Übertragung möglich. Im Klartext: Gelingt es, eine Datei wie .exe (Windows), .app (Mac OS) oder ein Linux Makefile (innerhalb .tar.gz) entsprechend “umzubiegen”, wird eine Infektion des Zielrechners sehr wahrscheinlich gelingen.

Vorbeugung|Schutz:

    • Verwendung eines “Kommunikations”-Computers (oder virtuellen Systems) für den Internetverkehr, auf dessen Datenträgern sich keine sensible Informationen befinden. Schützenswerte Daten/Dateien sind vor Übertragung (z.B. per eMail) an einen Empfänger auf einem Standalone-Drittrechner (ohne Verbindung zur Aussenwelt) zu verschlüsseln und über ein Drittmedium (z.B. USB-Stick) auf den “Kommunikations-”Rechner zu übertragen, von welchem letztendlich die Verbindung zum Internet (eMail-Versand) hergestellt wird.

    • Verifizierung von Downloads über evtl. angebotene PGP-Signatures vertrauenswürdiger Anbieter, d.h. die Manipulation eines Pakets würde bemerkt werden (Verifizierung schlägt fehl)

    • aktualisierte Antivirensoftware mit Wächterfunktion, d.h. eine Infektion könnte bemerkt werden, wenn der Virenscanner eine entsprechende Signatur besitzt - die Wahrscheinlichkeit ist eher sehr gering, dass ein Virenscanner erfolgreich ist, denn es handelt sich eher um untypische, massgeschneiderte Malware

    • Wer sich auskennt: Überwachung des kompletten Netzwerkverkehrs mit entsprechenden Tools (wie z.B. Netzwerksniffer Wireshark früher Ethereal), um alle Netzwerkverbindungen zu analysieren. Sehr aufwendiges und speicher- wie zeitintensives (Logs müssen ausgewertet werden) Verfahren, das an entsprechendes KnowHow gebunden ist. Dafür ist die Aufdeckung “fremdartiger” Verbindungen garantiert

    • Download nur über verschlüsselte Kanäle wie VPN oder https. Leider nicht immer möglich.

    • Grundsätzlich: Vorsicht mit aktivierten Browser-Plugins wie JavaScript u.s.w.

    • Grundsätzlich: Vorsicht in Sozialen Netzwerken, denn diese eignen sich hervorragend, um Malware jeglicher Art zu plazieren oder Profilseiten zu hacken (meist durch SQL-Injections oder XSS: Cross-Site-Scripting)

6. Vielleicht in der Zukunft: Verteilung über Botnetze

Es wird im kriminellen Umfeld ein sog. Botnetz angemietet (siehe nähere Erläuterungen), um die RFS flächendeckend unters Volk zu bringen. Ein Gedanke, der provozieren soll, weil unsere Gesellschaft ist dabei George Orwells “1984” zu überholen...

Vorbeugung|Schutz:

    • Ist Ihr Rechner bereits ein Zombie (d.h. Mitglied eines Botnetzes), hätten Sie leider verloren (die Hintertür/Backdoor ist hier ja schon offen) und darüber hinaus noch ganz andere Probleme als staatliches Interesse an Ihren Datenträgern. Es gelten die allgemein bekannten Sicherheitsmassnahmen, um sich vor Malware aller Art zu schützen.

FAZIT - Was ist zu tun?

Da davon auszugehen ist, dass es sich beim Versuch, den Bundestrojaner heimlich zu installieren, um eine Mischung oben aufgeführter Szenarien handeln wird, sollten folgende Massnahmen ausreichend Schutz vor der Infiltration bieten.

Verwendung des gesunden Menschenverstandes, Gerätesiegel und Betrieb eines isolierten Offline-Rechners* (d.h. keine Verbindung nach aussen zu einem Modem, Router oder anderem Rechner im LAN/WLAN) mit vollverschlüsseltem Betriebssystem für die Speicherung sensibler Daten sowie Betrieb eines zweiten “Kommunikations”-Rechners, welcher zwar mit der Aussenwelt verbunden ist aber schützenswerte Daten nur verschlüsselt empfängt oder versendet (evtl. zusätzlich noch per “gewöhnlicher” eMail-Verschlüsselung gesichert).
Die Verschlüsselung bzw. Entschlüsselung der Daten/Dateien erfolgt dabei stets auf dem isolierten Rechner, der wiederum die verschlüsselten Pakete nur über ein Drittmedium (z.B. USB-Stick) und nach Prüfung (Hash) vom “Kommunikations-Rechner” erhält oder an diesen weitergibt. Zum Ver-/entschlüsseln eignen sich Programme wie z.B.
TrueCrypt oder PGP-Desktop (Pretty Good Privacy).

*Der “Offline-Rechner” könnte auch ein vollverschlüsseltes Betriebssystem auf einem bootable USB-Stick sein (zur Freude des IT-Nomaden :-) Dieser Stick sollte jedoch nie mit dem “Kommunikations”-Rechner in Berührung kommen, sondern das System muss über weitere isolierte (sichere) Rechner gestartet werden. Für die Übertragung zu/von einem “Kommunikations-Rechner” ist ein Drittmedium zu verwenden (z.B. weiterer USB-Stick).

*Steht nur EIN Rechner zur Verfügung, sollte zumindest mit zwei getrennten (vollverschlüsselten) Betriebssystemen gearbeitet werden. Es bietet sich an, das aktuell saubere System (“Kommunikations-Rechner”) vollzuverschlüsseln, anschliessend eine versteckte, eigen vollverschlüsselte Kopie desselbigen anzulegen (dies wäre später der “Offline-Rechner”).
Die Kopie des Betriebssystems wäre dann so zu konfigurieren, dass es auch wirklich OFFLINE ist. Am sichersten ist es, vor dem Booten des “Offline-Systems” zusätzlich alle verkabelten (LAN) und kabellosen (
WLAN) Verbindungen zu lösen und/oder Router/AccessPoint(s)/Bluetooth-Adpater auszuschalten.
Beim Booten entscheidet man dann über das PASSWORT, welches Betriebssystem (der “Kommunikations-Rechner” oder der versteckte “Offline-Rechner”) hochgefahren werden soll :-)

Was hat man erreicht?

  • Social-Engineering-Tricks sollten aufgrund eingeschaltetem Hirn2.0 und gesundem Misstrauen vereitelt werden (z.B. Rückfrage an den Freund per Telefon, ob die unerwartete eMail mit Anlage auch wirklich von ihm stammt)
     
  • Bzgl. des isolierten Offline-Rechners:
     
    • Das unikate Gerätesiegel am Computergehäuse und Tastatur sollte vor Hardwaremanipulationen schützen bzw. decken diese sofort auf (weil Siegel zerstört)

    • Eine geheime Installation des “Bundestrojaners” vor Ort fällt flach, weil auf das System des isolierten Rechners dank der Vollverschlüsselung ausserhalb der Laufzeit (Heruntergefahren) kein Zugriff möglich ist.

    • Auch fallen alle anderen oben beschriebenen Infiltrationswege - dank der konsequenten Isolierung des Offline-Rechners - weg.
       
  • Wäre der “Kommunikations”-Rechner (hat Verbindung nach aussen) infiltriert, wäre das schlicht ohne Bedeutung, weil dieser nur verschlüsselte Pakete durchreicht (ein Angreifer erhält nur Datenmüll) und sonst keine sensiblen Informationen speichert sowie keine direkte Verbindung zum sicheren Offline-Rechner unterhält.

Wer noch eins drauf setzen möchte, bediene sich:

  • der (zusätzlichen) Virtualisierung von Computern und Systemen (der Kommunikationsrechner könnte so immer wieder zurückgesetzt werden)

  • versteckter verschlüsselter Container, um weitere Verschachtelungen herbeizuführen

  • eines versteckten Betriebssystems (auf dem isolierten Rechner), um das Vorhandensein verschlüsselter Daten glaubhaft bestreiten zu können (plausible deniability of hidden data).

  • steganographischer Methoden, um evtl. zusätzlich die Existenz einer Nachricht selbst zu verbergen (es gibt keine Rückschlüsse auf Absender und Empfänger, ergo ist auch völlig unklar wer überwacht werden soll).

  • des Integrity-Monitoring (erkennt Veränderungen und warnt gem. Konfiguration)

So oder so ähnlich werden Terroristen oder andere Kriminelle arbeiten*, weshalb die heimliche Online-Durchsuchung keinen Sinn macht (Deckmantel Terrorismusbekämpfung). Aber man wird den ahnungslosen Bürger (Sie jetzt nicht mehr) durchleuchten können. Vielleicht geht´s sogar oder auch nur um das...und deshalb sollten Sie gewappnet sein! Frei nach dem Motto:
Was man zu verstehen gelernt hat, fürchtet man nicht mehr(Zitat: Marie Curie).
 


 

*der “Kommunikations”-Rechner wird hier sicherlich durch ein offenes oder gehacktes WLAN-Netzwerk ahnungsloser Dritter oder einen Computer im Internet-Café ersetzt. Auch über eine unzureichend gesicherte Bluetooth-Verbindung ist die Mitbenutzung/der Missbrauch eines Internet-Accounts möglich (z.B. Zugriff auf ein dittes Handy im Biergarten, Restaurant, auf der Autobahn im Stau...oder sogar kurz an der Ampel). D.h. es werden illegale Daten über die fremde Internetverbindung eines ahnungslosen Dritten empfangen oder hochgeladen.



Kommentieren