"Auf die Frage des Abgeordneten, wie die technische Analyse eines Zielsystems vor Einsatz eines Bundestrojaners aussieht und ob dabei eine "Deep Packet Inspection" zum Einsatz komme, wurde beantwortet. In der Regel würden das Betriebssystem, die Sicherheitssoftware sowie die Art und Version der Kommunikationssoftware analysiert, heißt es in dem Schreiben. "Die Analyse des Zielsystems erfolgt typischerweise im Rahmen der Auswertung der Daten einer herkömmlichen Telekommunikationsüberwachung.": http://www.heise.de/newsticker/meldung/30-Planstellen-fuer-den-Staatstrojaner-1414154.html .
Das klingt mehr als logisch. In vielen Fällen kann man davon ausgehen, dass qualifizierte Programmierer und/oder Hacker durchaus in der Lage sind, eigene Exploits zu entwickeln und diese entsprechend zu nutzen wissen. Hierdurch wird es möglich, dass Programmcode dann auf das Zielsystem geladen werden kann. Dargestellt wurde es ja unter anderem durch FinFisher, wo ebenfalls eine Lücke ausgenutzt wurde, um ein Zielsystem zu kompromittieren.
"Dies gelang, weil iTunes die URL zur aktuellsten Programmversion unverschlüsselt über HTTP vom Apple-Server abfragte – vorausgesetzt, der Apple Software Updater war nicht aktiv. Weil die Übertragung unverschlüsselt erfolgte, war es möglich, die URL zur neuen Programmversion zu manipulieren. Ist der Anwender dem Update-Hinweis beim iTunes-Start gefolgt, wurde er auf eine speziell präparierte Webseite umgeleitet, die das "Fernüberwachungstool" auf dem Rechner installieren sollte.": http://www.heise.de/security/meldung/Spaeh-Software-aus-Deutschland-nutzt-iTunes-Luecke-aus-1381237.html .
In dem Artikel heißt es dazu weiter:"Ist das Schnüffelprogramm erst einmal auf dem Rechner installiert, kann es dort etwa die Kommunikation von Skype überwachen, noch ehe dessen Verschlüsselung zum Zuge kommt."
Das ist auch nicht weiter verwunderlich, so ist öffentlich bereits länger bekannt, dass hierfür trojanische Software existiert und diese gar frei erhältlich ist und so eine Implementierung durchaus kein Problem darstellt.
(vgl.: http://www.megapanzer.com/source-code/#skypetrojan , zzgl. entsprechende Plugins, Loader & Rootkits)
Weitere Ansätze für Software dieser Art wird dort auch gleich geliefert, so z.B. der Megapanzer-Trojaner:
Nicht nur die Kommunikation von Skype lässt sich somit recht schnell abhören oder ausspähen, sondern auch ganze Bereiche der Kommunikation von Smartphones. Wie einfach das durchaus geht, kann man im nachstehenden Screenshot sehen. Eine so genannte "APP" für Android, die sich nicht als Schadsoftware erkennen lässt und auch den Market "überleben" würde, da es sich um legitime "BroadcastReceiver" handelt, die allerdings implementiert in eine andere Software durchaus ein Notizblock, Kochbuch-App oder dergleichen, in eine "Spionagesoftware" verwandeln und das durchaus mit Interaktion und Einwilligung des Opfers.[1]
Aber es muss nicht mal weitläufig so "geheim" daher gehen, dass der Angreifer im Staatsauftrag eigene Exploits entwickeln muss. Sehr praktische Ansätze werden auch mittels S.E.T. (http://www.social-engineer.org) geliefert. Vor einigen Monaten wurde dazu präsentiert, dass es möglich ist, recht einfach Firewalls mittels RATTE zu umgehen. Wer als technisch versierter Hacker ein wenig weiter denkt, wird die Möglichkeiten von RATTE sicherlich zu schätzen wissen und sieht auch, dass die Möglichkeiten deutlich ausbaufähiger sind.
Auszug:"Mittels dieser Techniken konnte RATTE in den Tests lokale Firewalls (Windows, Outpost und Sophos Firewall wurden getestet), IDS/IPS (Snort), AV (Avira,Sophos,Fortinet,Antivir), Netzwerk-Firewalls (GenuGate, Fortigate) und Proxys mit Authentifiziernug (Squid) umgehen."
Ein Video und alle Details dazu sind hier zu finden:
http://www.marko-rogge.de/ratte.html & www.marko-rogge.de/BreakingEnterpriseSecurity_GER.pdf
Das hier natürlich auch von Seiten der Hersteller nachgebessert wird, ist auch im Falle der Lücke in iTunes so geschehen, allerdings auch erst, nach dem es bekannt wurde. Oftmals ist öffentlich nicht bekannt, wie lange so eine Lücke bereits besteht und wie oft diese dadurch aktiv ausgenutzt werden konnte.
Ich möchte allerdings auch darauf hinweisen, dass es sich hierbei nicht nur um Einsätze von Software wie Finfisher in "Regime-Ländern" handelt, sondern viel mehr wird diese Software auch in anderen Bereichen und Ländern eingesetzt. In Deutschland tut man nun nahezu so, als wäre alles illegal was besagte Unternehmen (u.a. DigiTask) programmiert haben. Im Zuge der Strafverfolgung sind derartige und andere Möglichkeiten auch in anderen Ländern umgesetzt worden. Auch in Deutschland. Das hier durchaus Fehler in der Umsetzung der Software gemacht wurden, ist hinlänglich dokumentiert worden.
Weiter möchte ich auch an die Kritiker ein Wort richten: zum einen bin ich persönlich weder Befürworter noch entschiedener Gegner solcher Software oder argumentiere mit ethischen oder moralischen Aspekten. Auch nehme ich kernerlei rechtliche Stellung dazu, da dies sicherlich andere deutlichst besser können. Aber auch hier sollten sich Rechtsgelehrte äußern und keine "dahergelaufenen" Aktivisten.
Wen trifft es?
Ich denke insbesondere daran, dass sehr oft der Bereich der Strafverfolgung vernachlässigt wird und die Strafverfolgten wurden in den bekannt gewordenen Fällen des CCC auch nicht weiter erwähnt. Warum auch? So hat ja der Staat (Bundesermittlungsbehörden) hier sicherlich nicht aus Spaß ermittelt. In wie weit hier eine Überschreitung an Möglichkeiten der Software in Frage kommt, sollen auch eher Juristen klären und sie tun es auch. Am Pranger waren die Hersteller der Überwachungssoftware und über Tatverdächtige und durchaus auch bereits Verurteilte, sprach wohl kaum einer.
Eine einseitige Betrachtungsweise.
Ebenso wird von den Kritikern oftmals argumentiert, dass es sich hierbei um dubiose Unternehmen handelt. Mag jeder selbst definieren was dubios und was nicht dubios ist. Wer entsprechende Kontakte in Ermittlungsbehörden hat, nutzt diese und andere würden es auch tun, wenn sie denn nur könnten.
In der breiten Masse der Bevölkerung allerdings stößt dieses Thema noch nicht ausreichend auf Akzeptanz, da die meisten keine Sensibilität dafür haben und es sie auch schlichtweg nicht interessiert. Bislang vermisse ich in der Tat bei den durchgeführten Maßnahmen eine erkennbare Willkür, die offensichtlich nicht gegeben war.
Informationen zu den Beschuldigten und deren Strafdelikte, vermisst man auch in weiten Teilen der kritischen Berichterstatter.
Ps.: Der so genannte Hackerparagraph greift doch auch nur dann, wenn entsprechend die Vorbereitung oder Durchführung einer Straftat damit bewiesen werden kann.
Dazu: Für die Erfüllung des objektiven Tatbestandes müssen insbesondere zwei Merkmale vorliegen. Einerseits muss es sich objektiv um ein Schadprogramm handeln, und
andererseits muss sich die Tathandlung - also das Herstellen, Verschaffen, Verkaufen, Überlassen, Verbreiten oder sonst Zugänglich machen dieser Software - auf eine
Computerstraftat beziehen. So das Schreiben des BMJ vom Oktober 2006: www.marko-rogge.de/bmj.pdf
Eine deutliche Definition, dass es sich entsprechend nach §202c um ein Schadprogramm handelt, ist aus meiner Sicht nicht erkennbar.
Durchaus sollte auch angemerkt werden, dass selbst Frameworks wie das Metasploit (msf - MetaSploitFramework) keine Angriffstools darstellen, wenn gleich diese es tun. Das hiermit auch deutlich mehr zur Sicherheit beigetragen werden kann, wird ebenfalls offensichtlich vernachlässigt. Mittels dem msf kann man seine Unternehmensumgebung auf Schwachstellen untersuchen, diese auswerten, Exploits dazu schreiben und entstandenen Sicherheitslücken schließen. [2]
Was bleibt? Das allein kann nur jeder für sich wissen.
Gute Zeit uns allen.
Verweise:
http://www.marko-rogge.de/ratte.html & http://www.marko-rogge.de/BreakingEnterpriseSecurity_GER.pdf
http://www.megapanzer.com/source-code/#skypetrojan
http://www.heise.de/newsticker/meldung/30-Planstellen-fuer-den-Staatstrojaner-1414154.html
http://www.social-engineer.org/framework/Social_Engineering_Framework/
http://www.marko-rogge.de/202c.pdf & http://www.marko-rogge.de/bmj.pdf
http://shakal.blog.de/2011/11/28/seele-gesprochen-whitehat-vs-blackhat-12229935/
http://shakal.blog.de/2011/10/08/quotenmaschine-pro7-hacker-entern-wohnzimmer-11984374/
[1]: Michael Müller von Integralis zeigte dann spritzig und charmant, wie man die Pinsperre des iPhone umgeht, wie schnell sich Schadcode in Android Smartphone installieren lasse und welche Gefahren in zukunft für Anwender lauern.
http://shakal.blog.de/2011/11/06/rueckblick-backtrack-day-2011-tag-12125547/
[2]: "Das Metasploit Framework, kurz msf genannt, ist durchaus eine mächtige Toolsammlung, mit der durchaus Angriffe durchgeführt werden können. Eben mittels aktueller Exploits, Payloads und mehr.
Im Gespräch mit Michael Messner, Autor des msf-Buches:
"Wie grenzt Du das Thema Angriff als Mißbrauch vom Thema Angriff als Pentesting ab?"
Michael:"Sobald ich von jemanden eine schriftliche Bestätigung habe, die mich dazu legitimiert seine Systeme sicherheitstechnisch zu analysieren, lässt es sich als "Angriff als Pentesting" einstufen, alles andere geht nunmal nicht. Die Details eines solchen legitimen Pentests muss man natürlich dann auch noch im Detail abklären. Pentest ist nunmal nicht gleich Pentest. Jeder Kunde hat andere Anforderungen, andere Interessen, eine andere Ausgangsbasis die betrachtet werden muss. Einfache Beispiele hierfür sind interne Pentests, externe Pentests, Analysen von Webapplikationen, Wireless Infrastrukturen, Datenbanken und Programme die selber entwickelt werden oder solche bei denen der Sourcecode nicht zur Verfügung steht. Häufig steht zudem nicht die Sicherheit im Vordergrund, sondern Compliance Anforderungen die erfüllt werden müssen.
Achso, Laborumgebungen die man selber verwaltet und für die man selber die Verantwortung trägt, lassen sich natürlich immer analysieren."
http://shakal.blog.de/2012/01/02/interview-michael-messner-autor-buches-metasploit-handbuch-penetration-testing-framework-12381503/
