Mit dem Jahreswechsel 2008/2009 trat die Novelle des Gesetzes für das Bundeskriminalamt (BKA) in Kraft. Die neuen Befugnisse des BKA beinhalten u.a. die heimliche Durchsuchung von Computern per Remote Forensics Software (RFS oder im Volksmund “Bundestrojaner”).
In diesem Beitrag befassen wir uns deshalb mit den technischen Möglichkeiten, wie diese RFS auf den Zielrechner gelangen könnte und wie man (der Bürger) sich davor schützen kann, um die Privatsphäre weiterhin als solche zu gewährleisten. Auch wollen wir damit aufzeigen, dass das Gesetz am Ziel (Terroristen zu fangen) vorbeischiesst, weil die kriminelle Seite sich mit Sicherheit derselben oder ähnlicher Schutzmethoden bedient wie nachstehend beschrieben.
1. Installation vor Ort
Die Ermittler kommen unbemerkt in die Wohnung, das Büro, die Praxis oder Kanzlei, um den “Bundestrojaner” auf dem Zielsystem zu installieren. Dazu müssten die Eindringlinge u.U. Passwörter oder Logins überwinden (z.B. BIOS-Passwort). Einfacher ist es, gleich die Festplatte auszubauen und die RFS direkt über ein Drittsystem an entsprechender Stelle zu installieren oder ein Drittsystem vom USB-Stick im RAM zu booten, um hernach den Trojaner schnell und bequem auf der Festplatte zu platzieren. Auch die Manipulation der Hardware ist denkbar. Ein sehr wahrscheinliches, wenn auch teures, weil personalintensives, Szenario. Die meisten der aktuell bekannten Installationen erfolgten auf diesem Weg (siehe auch Update vom 11.10.2011 weiter unten).
Vorbeugung|Schutz:
Update 11.10.2011: Der vom Chaos Computer Club analysierte Trojaner wurde u.a. von Zollbehörden auf einem Notebook bei einer “normalen” Kontrolle auf dem Müncher Flughafen installiert (kurz im Hinterzimmer*). Eine Vollverschlüsselung des OS hätte dies im heruntergefahrenen Zustand zuverlässig verhindert. Selbst bei Erzwingung der Herausgabe des Passworts zum Booten und Entschlüsseln wäre man mit einem versteckten, verschlüsselten Betriebssystem ABSOLUT auf der sicheren Seite gewesen, weil man natürlich nur das Passwort für das Alibi-Betriebssystem** geliefert hätte - die Existenz des versteckten Betriebssystem kann NICHT nachgewiesen werden (sog. plausible deniability of hidden data). Sehen Sie HIER unsere Anleitung zur Vorgehensweise.
*Notebooks, Netbooks und Smartphones kurz mit nach “hinten” zu nehmen und auf “Sprengstoff” zu untersuchen ist z.B. auch bei der Einreise in die USA gängige Praxis - drei mal dürfen Sie raten, wer den “Sprengstoff” danach auf dem Rechner hat :-(
**das Alibi-Betriebsystem wäre natürlich hernach neu aufzusetzen, wenn es in die Hände von Ermittlern kam, das erklärt sich von selbst
2. Die Hintertür (Backdoor)
Verbreitung durch legitime Software. D.h. der “Bundestrojaner” wäre klassisch in Programmen versteckt. Eignen würden sich Programme, die die Zielperson verwenden muss (z.B. Elster-Steuersoftware für die Umsatzsteuervoranmeldung bei Selbständigen) oder sehr wahrscheinlich einsetzt (z.B. Virenscanner). Ein eher unwahrscheinliches Szenario, da der Vertrauensschaden in der Bevölkerung bei Bekanntwerden irreparabel wäre und den Ruin für kooperierende Softwarehersteller bedeuten würde. Ferner wären sofort Trittbrettfahrer mit an Bord.
Vorbeugung|Schutz:
3. Über Exploits
Installation über sog. (Less-Than-)Zero-Day-Exploits (siehe nähere Infos), welche man sich über Drive-by-Downloads, eMail-Anlagen, verschenkte USB-Sticks oder CD/DVDs u.s.w. einfangen kann. Eine wahrscheinliche und sehr sichere Methode, wenn das Zielsystem und dessen Aktualität (Updates) sowie installierte Software bekannt ist (ansonsten ist es eben ein Versuch ins Blaue). Allerdings sehr teuer, weil unbekannte oder noch nicht geschlossene Sicherheitslücken in Betriebssystemen und Anwendungen (z.B. Webbrowser) eher selten vorkommen und i.d.R. sehr schnell von den Herstellern gefixt werden. D.h. es müssten immer wieder neue Exploits auf dem Schwarzmarkt teuer eingekauft werden, da die Halbwertszeit eines Exploits max. 3-6 Monate beträgt. Auch Trittbrettfahrer wären am “Spiel” sofort beteiligt.
Vorbeugung|Schutz:
4. Über Social-Engineering
Mit einem Trick wird der Anwender zur Installation des “Bundestrojaners” bewegt. Dazu muss i.d.R. zuvor das Umfeld und die Vorlieben der Zielperson ausspioniert werden. Dann bekommt die Zielperson vielleicht eine inhaltlich integre eMail eines Freundes (eMail-Adresse gefälscht) mit den Bildern vom letzten Familienausflug.
Zitat von BKA-Chef Jörg Ziercke: “Sie können sich die abstrakten Möglichkeiten vorstellen, mit dem man über einen Trojaner, über eine Mail oder über eine Internetseite jemanden aufsucht. Wenn man Ihnen erzählt hat, was für eine tolle Website das ist oder eine Seite mit Ihren Familienangehörigen, die bei einem Unfall verletzt worden sind, sodass sie dann tatsächlich die Seite anklicken. Die Geschichten sind so vielfältig, dass es kaum jemanden gibt, der nicht auf irgendeine Form dieser Geschichte hereinfällt...”
Vorbeugung|Schutz:
5. Über Downloads
Der Bundestrojaner gelangt über Drive-by-Download, d.h. den blossen Besuch einer präparierten, manipulierten Webseite (i.d.R. über den Missbrauch eines Browser-Plugins oder Sicherheitslücken des Browsers bzw. Betriebssystems selbst) oder über Downloads aller Art (z.B. auch Updates) auf das Zielsystem. Auch die Zusammenarbeit der Ermittler mit dem Internet-Service-Provider kann dazu führen, dass der komplette Internetverkehr des Zielrechners umgeleitet wird, d.h. es wären Manipulationen bzw. Modifikationen von eigentlich integren Download-Paketen während der Übertragung möglich. Im Klartext: Gelingt es, eine Datei wie .exe (Windows), .app (Mac OS) oder ein Linux Makefile (innerhalb .tar.gz) entsprechend “umzubiegen”, wird eine Infektion des Zielrechners sehr wahrscheinlich gelingen.
Vorbeugung|Schutz:
6. Vielleicht in der Zukunft: Verteilung über Botnetze
Es wird im kriminellen Umfeld ein sog. Botnetz angemietet (siehe nähere Erläuterungen), um die RFS flächendeckend unters Volk zu bringen. Ein Gedanke, der provozieren soll, weil unsere Gesellschaft ist dabei George Orwells “1984” zu überholen...
Vorbeugung|Schutz:
FAZIT - Was ist zu tun?
Da davon auszugehen ist, dass es sich beim Versuch, den Bundestrojaner heimlich zu installieren, um eine Mischung oben aufgeführter Szenarien handeln wird, sollten folgende Massnahmen ausreichend Schutz vor der Infiltration bieten.
Verwendung des gesunden Menschenverstandes, Gerätesiegel und Betrieb eines isolierten Offline-Rechners* (d.h. keine Verbindung nach aussen zu einem Modem, Router oder anderem Rechner im LAN/WLAN) mit vollverschlüsseltem Betriebssystem für die Speicherung sensibler Daten sowie Betrieb eines zweiten “Kommunikations”-Rechners, welcher zwar mit der Aussenwelt verbunden ist aber schützenswerte Daten nur verschlüsselt empfängt oder versendet (evtl. zusätzlich noch per “gewöhnlicher” eMail-Verschlüsselung gesichert).
Die Verschlüsselung bzw. Entschlüsselung der Daten/Dateien erfolgt dabei stets auf dem isolierten Rechner, der wiederum die verschlüsselten Pakete nur über ein Drittmedium (z.B. USB-Stick) und nach Prüfung (Hash) vom “Kommunikations-Rechner” erhält oder an diesen weitergibt. Zum Ver-/entschlüsseln eignen sich Programme wie z.B. TrueCrypt oder PGP-Desktop (Pretty Good Privacy).
*Der “Offline-Rechner” könnte auch ein vollverschlüsseltes Betriebssystem auf einem bootable USB-Stick sein (zur Freude des IT-Nomaden :-) Dieser Stick sollte jedoch nie mit dem “Kommunikations”-Rechner in Berührung kommen, sondern das System muss über weitere isolierte (sichere) Rechner gestartet werden. Für die Übertragung zu/von einem “Kommunikations-Rechner” ist ein Drittmedium zu verwenden (z.B. weiterer USB-Stick).
*Steht nur EIN Rechner zur Verfügung, sollte zumindest mit zwei getrennten (vollverschlüsselten) Betriebssystemen gearbeitet werden. Es bietet sich an, das aktuell saubere System (“Kommunikations-Rechner”) vollzuverschlüsseln, anschliessend eine versteckte, eigen vollverschlüsselte Kopie desselbigen anzulegen (dies wäre später der “Offline-Rechner”).
Die Kopie des Betriebssystems wäre dann so zu konfigurieren, dass es auch wirklich OFFLINE ist. Am sichersten ist es, vor dem Booten des “Offline-Systems” zusätzlich alle verkabelten (LAN) und kabellosen (WLAN) Verbindungen zu lösen und/oder Router/AccessPoint(s)/Bluetooth-Adpater auszuschalten.
Beim Booten entscheidet man dann über das PASSWORT, welches Betriebssystem (der “Kommunikations-Rechner” oder der versteckte “Offline-Rechner”) hochgefahren werden soll :-)
Was hat man erreicht?
Wer noch eins drauf setzen möchte, bediene sich:
So oder so ähnlich werden Terroristen oder andere Kriminelle arbeiten*, weshalb die heimliche Online-Durchsuchung keinen Sinn macht (Deckmantel Terrorismusbekämpfung). Aber man wird den ahnungslosen Bürger (Sie jetzt nicht mehr) durchleuchten können. Vielleicht geht´s sogar oder auch nur um das...und deshalb sollten Sie gewappnet sein! Frei nach dem Motto:
“Was man zu verstehen gelernt hat, fürchtet man nicht mehr” (Zitat: Marie Curie).
*der “Kommunikations”-Rechner wird hier sicherlich durch ein offenes oder gehacktes WLAN-Netzwerk ahnungsloser Dritter oder einen Computer im Internet-Café ersetzt. Auch über eine unzureichend gesicherte Bluetooth-Verbindung ist die Mitbenutzung/der Missbrauch eines Internet-Accounts möglich (z.B. Zugriff auf ein dittes Handy im Biergarten, Restaurant, auf der Autobahn im Stau...oder sogar kurz an der Ampel). D.h. es werden illegale Daten über die fremde Internetverbindung eines ahnungslosen Dritten empfangen oder hochgeladen.
Kommentieren |