Starkes Stück! :(

[grauer_wolf]

Man kann bei der Absicherung seines Computers gar nicht paranoid genug sein!

http://www.ccc.de/de/updates/2011/staatstrojaner

In diesem Sinne
Gruß
Wolf

 

[robi]

Erstaunlich wie weitsichtig George Orwell war!
Mir stellen sich die Nackenhaare, wenn ich mir ausmale was uns da in Zukunft noch blühen könnte.


Gruss Robi

 

[Objektiv]

Hallo in die Runde,

zum Glück gibts es den CCC und weltweit vergleichbare Gruppierungen, die Augen und Ohren offen halten und in der Lage sind, so etwas in die Öffentlichkeit zu tragen.

LG vom Objektiv

 

[hlamprecht]

Moin,

Erstaunlich wie weitsichtig George Orwell war!

Sofern ich Orwell richtig in Erinnerung habe, war er aber quasi "Optimist" und ging wenigstens davon aus, dass "Big Brother" aus kompetenten Leuten bestünde. Hier jedoch waren absolute Dilettanten am Werk, die noch nicht mal ansatzweise kapiert haben, was sie da eigentlich machen. Wenn auch nur ein Viertel von dem, was in dem Artikel steht, stimmt, muss ich sagen, dass ich ein solches Programm meinen Azubis sprichwörtlich um die Ohren gehauen hätte.

Ich glaube, in China werden jetzt hunderte von Hackern sich schlapplachen, was die dummen Deutschen da stümperhaft zusammenfrickeln.

Ich fordere einen Internetführerschein für Ermittlungsbehörden und Politiker. Dann wäre für die nächsten fünf bis zehn Jahre (vielleicht auch länger, aber ich bin Optimist) Ruhe.


Grüße,

Heiner

 

[robbierob]

Ich weiß nicht, was Ihr habt?! Das ist dich ein uralter Hut. Viel, viel Spanne der sind doch die Türen, die Microsoft, Apple etc. direkt in die Betriebssysteme einbauen mussten, aufgrund US-Direktiven mit Verweis auf die Anti-Terror Gesetze. Die deutschen Bemühungen schaltet doch jeder Grundschüler aus...

LG Robert

 

[hlamprecht]

Moin,

Die deutschen Bemühungen schaltet doch jeder Grundschüler aus...

Täusch Dich nicht. So simpel sind die Sachen dann doch nicht.

Das Hauptproblem hier ist aber, dass eine deutsche Behörde eindeutig, wissentlich und absichtlich gegen ein Urteil des höchsten deutschen Gerichtes verstößt. Diese Tatsache alleine rüttelt bereits an den Grundfesten unseres Rechtsstaates. Welche Sicherheit hat ein Bürger denn, wenn er sieht, dass sich Behörden nicht an Urteile von Gerichten halten? Die einzige Möglichkeit eines Bürgers zur Wahrung seiner Rechte ist das Anrufen eines Gerichtes. Diese Möglichkeit beruht aber auf der impliziten Annahme, dass sich beide Seiten am Ende an das Urteil halten.

Hinzu kommt, dass die Umsetzung in diesem Fall große weitere Probleme nach sich zieht. Der Einsatz dieses Programms kommt einer Hausdurchsuchtung gleich, bei der am Ende die Tür weit offen stehen gelassen wird. Nein, nicht nur am Ende, sondern sogar während der Durchsuchung. Wenn aber Dritte in der Lage sind, unbeobachtet Zugriff auf den überwachten Rechner zu bekommen und dort Dateien löschen, speichern und ändern können, haben eventuell gefundene Daten keinerlei Beweiskraft. Es wäre also problemlos möglich, entsprechend kompromitierendes Material auf dem Zielrechner zu deponieren. Aber ich kann Dir eines versprechen: Du bräuchtest schon einen hervorragenden Anwalt und viele Gutachten, um mit dieser Argumentation durchzukommen.

Letztlich bestehen technisch auch nur allenfalls geringfügige Unterschiede zwischen den (angeblich, vermutlich) von Microsoft und Apple eingebauten Hintertüren und nachträglich installierten. Der einzige bedeutsame Unterschied ist der Verbreitungsgrad.


Grüße,

Heiner

 

[grauer_wolf]

Ich bin schon oft deswegen ausgelacht worden, aber letztlich hilft nur eine hammerharte Safety auf dem Rechner, auch wenn das eine oder andere dadurch unbequem wird.
Deshalb habe ich z.B. 2 Browser auf dem Rechner, einen normalen FireFox mit immer noch hochgerüsteter Safety und einen TOR-Browser, der aufgerüstet ist bis zum geht nicht mehr und für sensible Recherchen dient. Nachteil: Letzterer ist vergleichweise schnarchlangsam und manchmal ein wenig unhandlich zu bedienen...

Ich bin mir nicht mal sicher, ob eine gute Firewall (alle Ports defaultmäßig dicht) den Bundestrojaner nicht sogar stoppen würde, denn die fragt bei jedem Programmteil, der nachhause telefonieren möchte, ob der das auch darf... Anders ausgedrückt: So ein Trojaner kommt vielleicht rein, aber nie mehr raus... Und die "Ich-darf-Listen" schaue ich mir regelmäßig genau an...

@ Heiner

Ich fordere einen Internetführerschein für Ermittlungsbehörden und Politiker. Dann wäre für die nächsten fünf bis zehn Jahre (vielleicht auch länger, aber ich bin Optimist) Ruhe.

Laß sie lieber dumm sterben. Dann fallen sie eher auf...

Ich hoffe nur, daß hier Köpfe rollen. Und zwar nicht die der Programmierer (die ohnehin garantiert Ärger wegen der schlampigen Arbeit kriegen resp., weil sie erwischt wurden), sondern verantwortliche, hohe Beamte und Politiker, die das unter der Hand am BVerG vorbei erlaubt und/oder gedeckt haben.
Auf gut deutsch: Ich will "Blut" sehen, ggf. bis hin zu Innenministern/~senatoren... Das ganze ist ein ungeheuerlicher Skandal!

Gruß
Wolf

 

[hlamprecht]

@ Heiner
Laß sie lieber dumm sterben. Dann fallen sie eher auf...

Auch wieder wahr ...

Auf gut deutsch: Ich will "Blut" sehen, ggf. bis hin zu Innenministern/~senatoren... Das ganze ist ein ungeheuerlicher Skandal!

Die FAZ fasst das recht gut zusammen (http://www.faz.net/aktuell/feuillet...mie-eines-digitalen-ungeziefers-11486473.html):

Die Auftraggeber und Programmierer des Trojaners waren sich anscheinend des massiven verfassungsrechtlichen Verstoßes bewusst und versuchten ihr Vorgehen zu vertuschen.

(...)

Der untersuchte staatliche Trojaner gleicht in seiner Funktion einem Parasiten, der sich im Gehirn seines Opfers einnistet, Zugriff auf seine Sinnesorgane nimmt und die Signale an seinen Herrn und Meister weiterleitet. Die Behörden haben ganz offensichtlich das in sie gesetzte Vertrauen missbraucht und heimlich genau das getan, was ihnen das Bundesverfassungsgericht untersagt hat. Die behördliche Schadsoftware ist zu einem Werkzeug geworden, das konstruiert wurde, um heimlich digitale Lebensspuren und Gedanken aus dem Computer des Verdächtigen zu extrahieren und auf Knopfdruck sogar zum großen Lausch- und Spähangriff überzugehen.

Ich denke, es wäre ein guter Zeitpunkt, mal seinen lokalen Bundestagsabgerodneten zu fragen, wie so etwas passieren konnte, und wie es jetzt weitergeht.

Grüße,

Heiner

 

[robbierob]

Also wenn ich mich nicht sehr irre, wird der sog. Bundestrojaner per Email verbreitet. Die Signatur ist seit einiger Zeit bekannt und soll wie Programmen wie Kaspersky etc. erkannt werden. Der Trojaner selbst kann die Software Firewall auf dem Rechner insofern umgehen, als dass er sie bei Bedarf öffnen kann. Hieraus ergibt sich auch das zweite Sicherheitsproblem: nämlich dadurch, dass die Software Firewall nicht wieder richtig geschlossen wird.

Fazit: Der vorsätzliche Gesetzesverstoß durch Bundesmitarbeiter ist eklatant und nicht zu tolerieren. Da der Trojaner aber derart stümperhaft gemacht ist, nehme ich an, dass die Ausführenden "auffliegen" wollten, um entdeckt zu werden und so die Sache durch die Hintertür an die Öffentlichkeit zu bringen.

Weiter ist festzuhalten, dass eine Software Firewall für solche Attacken nicht ausreicht. Da hilft nur Hardware. Und natürlich stark verschlüsselte Zugänge zur Hardware. Und wer noch ein bisschen mehr möchte, kann über Doppelrouter-Systeme und eigenen DNS Server nachdenken. Ist auch nicht mehr der Aufwand und kostet auch nicht mehr die Welt.

LG Robert

 

[hlamprecht]

Also wenn ich mich nicht sehr irre, wird der sog. Bundestrojaner per Email verbreitet.

Nicht notwendigerweise. Wenn ich Zugriff auf Deine Internetverbindung habe, kann ich auch z.B. in Programme, die Du runterlädst, Schadsoftware einschleusen.

Weiter ist festzuhalten, dass eine Software Firewall für solche Attacken nicht ausreicht. Da hilft nur Hardware. Und natürlich stark verschlüsselte Zugänge zur Hardware. Und wer noch ein bisschen mehr möchte, kann über Doppelrouter-Systeme und eigenen DNS Server nachdenken. Ist auch nicht mehr der Aufwand und kostet auch nicht mehr die Welt.

Eine Firewall ist in diesem Fall vollkommen nuztlos, solange man nicht gezielt ausgehenden Verkehr an die entsprechenden IP-Adressen unterbindet. Ein solches Vorgehen ist aber eher unpraktisch, weil man dann ständig festlegen müsste, wohin Daten übermittelt werden.

Da der Trojaner von innen eine Datenverbindung aufbaut, ist er erstmal nicht von einem Browser zu unterscheiden. Es mag sein, dass in diesem speziellen Fall eine inhaltliche Filterung des Datenverkehrs möglich wäre, aber generell ist auch das sehr problematisch, solange des exakte Verhalten eines Trojaners nicht bekannt ist. Wie soll eine Firewall ein Photo, das hier im Forum hochgeladen wird, von einem Screenshot unterscheiden?

Wir können nur hoffen, dass die Hersteller von Antiviren-Programmen weiterhin einen guten Job machen, ebenso Gruppen wie der CCC.

Grüße,

Heiner

 

[robbierob]

Ich definiere im DNS eine Liste mit zugelassenen IPs bzw. Domains. Dazu noch einen Tracker. Alternativ lassen sich in den meisten Hardware Firewalls auch Positivlisten anlegen... für den Hausgebrauch. Als einfache Lösung. Der DNS "lernt", wenn ich das möchte, zulasse und entsprechend einrichte.

LG Robert

 

[grauer_wolf]

Eine Firewall ist in diesem Fall vollkommen nuztlos, solange man nicht gezielt ausgehenden Verkehr an die entsprechenden IP-Adressen unterbindet. Ein solches Vorgehen ist aber eher unpraktisch, weil man dann ständig festlegen müsste, wohin Daten übermittelt werden.

Da der Trojaner von innen eine Datenverbindung aufbaut, ist er erstmal nicht von einem Browser zu unterscheiden. Es mag sein, dass in diesem speziellen Fall eine inhaltliche Filterung des Datenverkehrs möglich wäre, aber generell ist auch das sehr problematisch, solange des exakte Verhalten eines Trojaners nicht bekannt ist. Wie soll eine Firewall ein Photo, das hier im Forum hochgeladen wird, von einem Screenshot unterscheiden?

Ich bin kein IT-Spezialist, aber bei mir wird erstmal jedes Programm oder jeder Programmteil, der ins Netz will, gestoppt und muß explizit freigegeben werden... Ist da was bei, daß ich nicht selber installiert habe, bekommt's diese Freigabe garantiert nicht. Auf die Tour hab ich ja z.B. rausgekriegt, daß Windows selber unzählige kleine Unterprogramme hat, die nachhause telefonieren wollten. Haben sich alle in der Firewall totgelaufen, weil grundsätzlich jeder Port per default geschlossen ist oder weil sie eben nicht "namentlich" freigegeben waren, so daß sie auch einen gerade genutzten offenen Port nicht parallel nutzen konnten... Die Firewall selber ist nochmal paßwortgeschützt...

Gruß
Wolf

 

[robbierob]

Lieber Wolf,

ohne frustrieren zu wollen... bei einem "gut gemachten" Trojaner nutzt Dir dieses Vorgehen nichts. Warum ist das so?

Ohne zu tief ins Detail gehen zu wollen - es gibt verschiedene, grundlegende Ansätze bei Trojanern. Auf zwei Methoden möchte ich kurz hinweisen.

1.) Das Passwort für Deine Firewall auf Deinem Rechner ist verschlüsselt auf Deinem Rechner gespeichert. In der Registry. Hier gibt es die ersten Ansätze für einen Trojaner. Dieser heisst: Warte bis der User das nächste Mal das Passwort für die Firewall eintippt und zeichne dieses dann auf. Andere Variante: durchforste die Registry, finde das Passwort und entschlüssle es.

2.) Der Trojaner benutzt ein zugelassenes Programm bzw. einen zugelassenen Prozess. Am liebsten einen, ohne dessen Zulassung nicht mehr viel gehen würde, wie z.B. die winsock.dll. Die Idee ist, auf diesem Prozess "huckepack" zu fahren oder einen offenen Port und das freigegebene Protokoll zu nutzen, wie z.B. Port 80 und das http-Protokoll, die Kombination, die z.B. Dein FireFox verwendet. Wenn also FireFox ins Internet geht, schaltet sich der Trojaner darauf und schickt einzelne Pakete für seine Zwecke an sein Ziel. Oder er nimmt die Winsock, ...

Der erste Weg ist "gemeiner", weil der Trojaner in der Lage ist, Deine Firewall zu öffnen und wieder zu schließen, ohne dass Du davon etwas mitbekommst. Der zweite Weg ist der "üblichere" und leichter zu durchschauen.

Also ist ein aktueller VirenScanner unbedingt Pflicht. Und - gegenüber der internen Firewall ist eine externe Firewall die bessere Lösung. Sprich eine Firewall, die sich nicht auf Deinem Rechner befindet. Damit kannst Du den Weg 1 ausschalten und den Weg 2 besser kontrollieren, wenn Du den Datenverkehr analysieren und kontrollieren lässt. Hilfreich (aber mühsam und umständlich) ist es, nur bestimmte Ziel-Domains oder IP-Adressen zuzulassen und zugleich den Datenstrom zu untersuchen. Dies aber setzt wiederum andere Hard- und Software voraus.

Dies nur einmal in aller Schnelle und in der gebotenen Kürze, da wir hier ja kein Forum für Software-Entwicklung sind.

LG Robert

 

[grauer_wolf]

Mir ist schon klar, daß es absolute Sicherheit nicht gibt. Ich denke aber, da ich auch bei Mail-Anhängen mehr als vorsichtig bin (alles, was ich nicht kenne, fliegt sofort ungeöffnet in den Müll, wenn's überhaupt durch den doppelten Spamfilter und Virenscanner (kontrolliert auch die Mails) kommt), habe ich das mögliche getan, das einem Nicht_IT-Experten möglich ist. WLAN hab und mag ich nicht, die Sicherheitsschwachstelle fehlt also auch...

Nur das hier habe ich nicht verstanden...

Die Idee ist, auf diesem Prozess "huckepack" zu fahren oder einen offenen Port und das freigegebene Protokoll zu nutzen, wie z.B. Port 80 und das http-Protokoll, die Kombination, die z.B. Dein FireFox verwendet. Wenn also FireFox ins Internet geht, schaltet sich der Trojaner darauf und schickt einzelne Pakete für seine Zwecke an sein Ziel. Oder er nimmt die Winsock, ...

Das würde der Malware m.E. nichts nutzen, weil die Freigabe nicht nur nach Ports, sondern eben auch nach dem Ursprungsprogrammbaustein erfolgt. Wenn die Datenfragmente also nicht von FireFox.exe selbst stammen, ist's aus mit der Maus...
Die 2. Firewall sitzt im Router. Seit der da ist, hatte ich keinen Virenalarm mehr, außer dem auf einer infizierten Seite, die aber auch abgefangen wurde... Von außen habe ich mir seit etlichen Jahren nichts mehr einfangen...

Wenn man sich all das anschaut, finde ich es erschreckend, daß immer noch so viele User völlig ungesichert ins Netz gehen...

Gruß
Wolf

 

[robbierob]

Das würde der Malware m.E. nichts nutzen, weil die Freigabe nicht nur nach Ports, sondern eben auch nach dem Ursprungsprogrammbaustein erfolgt. Wenn die Datenfragmente also nicht von FireFox.exe selbst stammen, ist's aus mit der Maus...

Stark vereinfacht gesprochen ist das genau die Idee von "semi-guten" Trojanern. Der Request stammt z.B. von FireFox. Das ist, wie Du es nennst, der "Ursprungsprogrammbaustein". Der Trojaner "lauscht" nun dem Datenverkehr, zum dem der Request berechtigt wurde und filtert die Datenpakete, die für ihn sind heraus und schleust andere ein. Sprich - im Taskmanager sieht Du zunächst einmal nur FireFox. Ebenso findest Du diesen in den Prozessen. Nun ist es aber spannend, wem der Prozess gehört und welche Dienste mit dem Prozess verbunden sind. Hier greift der Trojaner an. Wie gesagt: das ist die einfache Variante... Die andere ist "fieser".

Die 2. Firewall sitzt im Router. Seit der da ist, hatte ich keinen Virenalarm mehr, außer dem auf einer infizierten Seite, die aber auch abgefangen wurde... Von außen habe ich mir seit etlichen Jahren nichts mehr einfangen...

Das soll auch so bleiben. Und wenn Dein System gut läuft... Never change a running system! Und falls Du jemals "upgraden" willst und Hilfe benötigen solltest, ... wirst Du hier im Forum sicher fündig.

Wenn man sich all das anschaut, finde ich es erschreckend, daß immer noch so viele User völlig ungesichert ins Netz gehen...

Das ist grob fahrlässig. Es hat aber auch den Nebeneffekt, dass diejenigen, die sich kümmern, weniger betroffen sind. Wenn ich ein Hacker wäre, dann würde ich (z.B. über einen Sniffer) die Rechner suchen, die wenig oder ungesichert sind. Dann bin ich schneller am Ziel als beim zeitlich aufwendigeren Versuch, in ein gut geschütztes System einzubrechen. Und bei letzterem besteht zudem die größere Wahrscheinlichkeit, erwischt zu werden und womöglich identifiziert zu werden (oder in einer bereitgestellten Sackgasse zu landen).

Insofern sind die arglosen Anwender für die sensibleren von Vorteil, da sie die Hacker-Aufmerksamkeit ein Stück weit auf sich ziehen.

LG Robert

 

[Stefan K.]

Abgesehen davon, dass bei mir nix Interessantes für BND, CIA, MAD oder FBI auf meinem Rechner ist, und ich daher nichts zu befürchten habe, lasse ich auch niemanden Fremden an oder in meinen Computer. Weder lasse ich die Haustür auf, noch lade ich irgendwelche Programme von e-Mails oder unbekannten Seiten runter. Und wenn ich was runterlade, dann erst in die Quarantänestation und nach dem Check wird installiert.
Und selbst dass soll ja nicht sicher sein. Nur habe ich die geringe Hoffnung, dass unsere Regierung ehh zu träge ist, Ihre Programme noch aktueller als die Schutzprogramme zu gestallten. Warum? Da unser Staat ehh kein Geld hat, um "ihrer" Programme auf den neusten Stand zu halten.

P.S.:Ich habe selbst der GEZ einen Brief geschickt, in dem ich ihnen und deren Mitarbeitern (Schergen) ausdrücklich Hausverbot erteilt habe.
Nein, ich habe keine Angst, den Oberen meine Meinung zu sagen und deren Grenzen deutlich aufzuzeigen. So ist es auch schon einigen Polizisten ergangen...

Gruß, Stefan

 

[grauer_wolf]

Ich habe jedenfalls meine Konsequenzen gezogen.
Auf alle offiziellen Seiten gehe ich nur noch per TOR Browser triangle_right: http://www.zeit.de/online/2009/27/bka-honeypot-fahndung) und den Viren Scanner habe ich noch spitzer eingestellt. Lieber hin und wieder ein Fehlalarm als was zu übersehen... Absolute Sicherheit gibt's eh nicht, man kann sie nur maximieren, so gut es eben geht...

Ich weiß nur, daß mein Vertrauen in diesen Staat nach dieser Geschichte endgültig auf Null gesunken ist und entsprechend verhalte ich mich (Willkommen in der DDR 2.0)...

Gruß
Wolf


PS: Was ich nicht auch verstehe, ist, daß sich kaum Leute ihren Mail-Client mit (Open)PGP ausstatten. So kompliziert ist das gar nicht, und Mails, die vertraulich bleiben sollen, bleiben dies auch (2048 Bit Schlüssel). Der normale Mail-Verkehr ist so sicher wie die Löcher in einem Schweizer Käs...
Die Gebühren für E-Post kann man sich dann getrost schenken, denn die ist auch nicht sicher...
http://de.wikipedia.org/wiki/E-Postbrief#Kritik

 

[Objektiv]

Ich weiß nur, daß mein Vertrauen in diesen Staat nach dieser Geschichte endgültig auf Null gesunken ist und entsprechend verhalte ich mich (Willkommen in der DDR 2.0)...
Gruß Wolf

Hallo Wolf,

naja, diese Problematik ist wohl staatenunabhängig, machen wir uns nichts vor, belauscht und geschnüffelt wird überall.

LG vom Objektiv

 

[grauer_wolf]

naja, diese Problematik ist wohl staatenunabhängig, machen wir uns nichts vor, belauscht und geschnüffelt wird überall.

Da hast du leider recht...

Für die IT-Interessierten hier:

Für die Außen-Kommunikation verwendet der Trojaner den TCP-Port 443. Über diesen Port kommuniziert der Trojaner in seinem eigenen Sprach-Protokoll, weshalb der Trojaner von einer guten Firewall erkannt und geblockt werden kann.

Aus http://www.stern.de/digital/compute...t-weiss-wie-dein-zimmer-aussieht-1736761.html

So wie das beschrieben ist, würde er sich an meiner Firewall doch die Zähne ausbeißen. Das beruhigt wenigstens ein bißchen...
Bin mal gespannt, wie diese Geschichte ausgeht.

Gruß
Wolf

 

[robbierob]

So wie das beschrieben ist, würde er sich an meiner Firewall doch die Zähne ausbeißen. Das beruhigt wenigstens ein bißchen...

Nur an der Hardware-Firewall, wenn diese richtig eingerichtet ist. Die Software-Lösung bietet keinen ausreichenden Schutz - wie oben beschrieben. Nur in Verbindung mit einem aktuellen Scanner. Der Port 443 wird standardmäßig vom https-Protokoll verwendet, also dem Protokoll für vermeintlich sichere, passwortgeschützte Seiten. Das hat einen guten Grund - die sichere Internetverbindung will man ja normalerweise nicht durch die Firewall sperren lassen. Hier will der Trojoner "huckepack" fahren... aber das ist so offensichtlich gemacht. Ich glaube, die Programmierer wollten entdeckt werden, um auf den Vorgang aufmerksam zu machen.

LG Robert