Thema: Bundestrojaner diverses

[SiLæncer]

Die andauernde Diskussion über die Online-Durchsuchung von Computern machen sich Virenautoren zu Nutze. Zur Zeit verbreitet sich eine Trojaner-E-Mail, in der den Nutzern vorgegaukelt wird, ihr PC sei bereits von einem "Bundestrojaner" durchsucht worden. Bei dem Landeskriminalamt in Mainz stehen deshalb die Telefone nicht mehr still.

Die Mail trägt den Betreff "Aktenzeichen" mit einer angehängten Zufallszahl. Darin heißt es:

Sehr geehrter Internetnutzer,
im Rahmen unserer ständigen automatisierten Überprüfung von sogenannten Tauschbörsen im Internet, wurde folgende IP-Adresse auf unserem System ermittelt. [...] Der Inhalt Ihres Rechners wurde als Beweismittel mittels den neuen Bundestrojaner sichergestellt. Es wird umgehend Anzeige gegen Sie erstatten, da sich illegale Software, Filme und/oder Musikdateien auf Ihren System befinden.

Im Anhang der Mail befindet sich eine Zip-Datei, in der ein Programm mit dem Namen "Aktenzeichen.exe" enthalten ist. Dabei handelt es sich wahrscheinlich eine Abart bereits bekannter Online-Schädlinge. Eine Analyse mit dem Online-Virenscanner Virustotal zeigt, dass viele Virenscanner selbst mit aktuellen Signaturen den Schädling nicht sicher identifizieren. Man sollte den Anhang dieser Mail deshalb nicht öffnen, sondern die Mail am besten direkt löschen.

Trotz zahlreicher ähnlicher Trojaner-Mails in den vergangenen Monaten, die vom BKA oder von der GEZ zu kommen schienen, nehmen viele Empfänger den neuen Trojaner ernst. Beim LKA in Mainz - von dem die Mail angeblich stammt - laufen heute die Telefone heiß. "Hier rufen ununterbrochen Leute wegen der Mail an. Wir können gar nicht mitzählen", heißt es aus der Telefonzentrale der Behörde.

Quelle : www.heise.de

[Hesse]

Eine neue Idee für mehr Privatssphäre :

Nun gehen wir mal von folgendem Szenario aus...

Ihr habt meinen schon mehrmals beschriebenen Rat befolgt und trennt Hauptrechner und Internetrechner physisch voneinander.
Daten dürfen zwar vom Internetrechner auf den Hauptrechner gelangen aber NIEMALS NIEMALS NIEMALS anders rum.

Dafür ist äusserste DISZIPLIN vonnöten !
Die Disziplin ist für den Schutz der Privatssphäre der wesentlichste Punkt : Die Schwachstelle ist der Computernutzer selbst !

So stehen wir trotzdem vor folgendem Problem :

Der Bundestrojaner bzw. die "Remote Forensic Software" befindet sich auf beiden Computern. Daten vom Hauptrechner können (vorausgesetzt man hält sich an die Disziplin !) somit zwar nicht zurück ins Netz gelangen und eine Online-Durchsuchung wird damit unmöglich.... aber :

Der Hauptrechner ist dennoch infiziert.
(Egal welche Firewall oder Schutzsoftware ihr benutzt, egal wie gut ihr seid - beide Somputer sind als nicht vertrauenswürdig zu erachten.)

Eine ewig anhaltende Isolation des Hauptrechners ist unwahrscheinlich, weil früher oder später jemand (Freund oder Verwandter) etwas von einem haben möchte. Also werden die Daten über diesen Umweg dann unter der IP-Adresse desjenigen dem man was gebrannt hat dennoch ihren Weg ins Netz finden.

Und selbst wenn dies nicht der Fall ist : Ihr neigt dazu eure TV-Aufnahmen auch auf DVD zu brennen ? Fragt euch mal was ein vom Bundestrojaner infizierter Computer da wohl noch so mit auf das Ding brennt...


Da die angesprochene Schadsoftware wahrscheinlich hauptsächlich darauf beruht speziell alle Tastatureingaben zu erfassen, welche in die Passworteingabefenster ALLER derzeit bekannten bzw. neu erscheinenden Verschlüsselungsprogramme eingegeben werden, ist eine wirkungsvolle Verschlüsselung sensibler Daten nicht mehr gewährleistet.

Daher ein neuer Ansatz (der dann allerdings schon ziemlich teuer ist) :

1. Ein Internetcomputer von dem Daten zu eurem Hauptrechner gelangen dürfen aber NIEMALS anders herum (Stichwort : Speichermedien die sich wirkungsvoll Schreibschützen lassen)

2. Euer Hauptrechner. Zum Spielen, Spasshaben...   Äh, der Hauptrechner eben...

3. Die INSEL . Mal angenommen ihr wolltet wirklich etwas geheimhalten ... aus welchen Gründen auch immer. Ich unterstütze hiermit ausdrücklich NICHT terroristische Aktivitäten jedweder Form sondern sehe es vielmehr als mein zumindest bisher in der Verfassung des Landes Hessens verbrieftes Grundrecht an, einen Kernbereich meiner privaten Lebensführung  auch im Bereich informationsverarbeitender Systeme schützen zu wollen/müssen !!!
(Ich persönlich würde z.B. Privatfotos von z.B. meiner Freundin äusserst ungern in der Hand irgendeines Stasi-Spinners sehen wollen - egal ob dieser nun aus China oder sonstwoher stammt !)

Der "Insel"-Computer darf weder eingehende noch ausgehende Verbindung zu jeglichen anderen Computen haben die jemals in irgendeiner Form entweder selbst mit dem Internet verbunden werden oder aber Daten mit wieder anderen Computern austauschen könnten welche eine Verbindung zum Internet herstellen könnten.   

Nur so wird wirkungsvolle Verschlüsselung auch in Zukunft noch möglich sein.


Denkt mal darüber nach.

[Schranzbert]

Ich habe mein internet in einen 2. Rechner eingesperrt und das Maultier steckt in einem Virtual PC unter Linux. Dank der Linuxeigenen Firewall werden nur erlaubte Portanfragen überhaubt ins andere Subnetz geroutet. Allerdings komplett Physikalisch trennen ist nicht, es sei denn man verzichtet auf onlinespiele, die nunmal mit einem (meist älteren) 2.PC nicht laufen. Zusätzlich läuft der WLAN Router im Bridged Modus d.h er nimmt nur eine einzige Verbindung überhaubt an. Zusätzlich empfehle ich (bei Fritz Boxen) die Ultra PNP steuerung von außen nicht zu Aktivieren. Zusammen mit der neusten FritzDSL Version können damit Programme eigene Ports in der Firewall öffnen und schließen. Dies ist zwar superbequem aber ich halte es für sehr unsicher. Der DOOFUS Trojaner bekommt eigentlich eh nichts zu sehen, da man Platten heutzutage verschlüsseln kann und dafür nichtmal Passwörter braucht > Stichwort: USB Stick (oder anderer Flash Speicher), KeyDatei oder Biometrie. Das alles zu knacken halte ich für ausgeschlossen, es sei denn der Trojaner ist einige zig Megabyte groß. Außerdem glaube ich auch das er sich wenige Tage (oder Stunden) nach Verbreitung erkennen und ausschalten lässt. Protowall bzw. Peer Guardian erledigen dann den Rest. Ich habe tatsächlich vor längerer Zeit auf meinem Hauptrechner einen Trojaner Loader gefunden der warscheinlich verzweifelt versucht hat nach Hause zu telefonieren... 

[berti]

Wie bekommst du deine daten auf deinen Inselrechner ? Zusätzlich must du dieses rechnersystem (*) noch erheblich abschirmen, denn du kannst rechner auch drahtlos anhand der abgegebenen streustrahlung wunderbar überwachen.
(bis zu 1 km entfernung im extremen fall)

(*) Mit rechnersystem meine ich rechner, Monitor, keyboard und sonstiges gedöns.

Achja: du benutzt hoffentlich keine PDFs, Office Documente, Gifs, Jpg, Movs, MPeg, RMVBs ?  In allen diesen teilen kann die ein böser mensch unliebsame teile einbauen, die nicht immer von antivirus-wächtern gefunden werden.

Aus sicherlich verständlichen gründen werde ich NICHT erklären, wie das gemacht wird! Einige der techniken können in den falschen händen erheblichen schaden anrichten, da sie auch betriebssytem übergreifend funktionieren.

[berti]

Die verschlüsselung der datenträger bringt IMHO nix, wenn sich der trojaner ins betriebssystem einhängt, also vor dem verschüsselungssystem. die Verschlüsselung greift erst dann, wenn ein normal-sterblicher den datenträger konfiziert, um ihn spater auszuwerten. Die verschlüsselung stellt aber kein hinderniss dar, wenn sich ein fachman mit dem teil beschäftigt. RSA bzw AES verschlüsselung von z.B. 128 byte ist heutzutage kein hinderniss, daten zu ziehen.

[Hesse]

Zusätzlich must du dieses rechnersystem (*) noch erheblich abschirmen, denn du kannst rechner auch drahtlos anhand der abgegebenen streustrahlung wunderbar überwachen.
(bis zu 1 km entfernung im extremen fall)

(*) Mit rechnersystem meine ich rechner, Monitor, keyboard und sonstiges gedöns.

Die Gefahr durch "Van-Eck-Phreaking" ist mir mehr als bewusst. (Für Anfänger : Das bedeutet das Abzapfen von Daten die quasi per Funk automatisch vom Computer abgestrahlt werden, nicht auf präparierten Systemen sondern bei jedem einzelnen). Wie schon an anderer Stelle beschrieben würde Gegenwehr dagegen einen ERHEBLICHEN finanziellen Aufwand bedeuten. Deswegen ist es wichtig das durch diese Methode erhobene Beweise auch in Zukunft nicht vor Gericht verwertbar bleiben müssen!!!

(Ich hab die Frequenz auf der meine eigene Festplatte "sendet" per Funkscanner gefunden. Ein Störsender wäre leider illegal...)

Achja: du benutzt hoffentlich keine PDFs, Office Documente, Gifs, Jpg, Movs, MPeg, RMVBs ?  In allen diesen teilen kann die ein böser mensch unliebsame teile einbauen, die nicht immer von antivirus-wächtern gefunden werden.

Dies trifft leider vollkommen zu. Ich sage ja noch nicht mal das ich selbst ein solches von mir beschriebenes System anwende. Es geht hier lediglich um Wissen an sich.

Und von daher : Der Inselrechner darf weder über eine Digitalkamera noch über ein sonst auch nur irgendwie beschreibbares Medium jemals Informationen mit irgendeinem der anderen Rechner austauschen !

[Schranzbert]

Wer verwendet auch dafür Windows Boardmittel - 128 Bit ist heutzutage aüßerst lächerlich... Mit Truecrypt ist 256 Bit AES möglich oder mit tripple Blowfish (drivecrypt) angeblich 1344. Ansonsten meinte ich eigentlich lediglich, das nicht oder kurzzeitig gemountete Partitionen auch nicht ausgelesen werden können, es sei denn man bemerkt das hektische Flackern der HD LED nicht.

[Jürgen]

Ich bin gerade dabei, ein neues Multi-Boot-System zu testen.
Bislang hatte ich diverse Start-Partitionen auf der ersten Platte, mit dem Bootmanager von XFDISK.
Aber schon allein weil die heute üblichen Platten > 130 GB oft kaum noch stabil mit mehr als drei Partitionen arbeiten wollen, reisse ich gerade zwei der fünf Platten wieder heraus, packe sie zurück in die externen 3,5" USB2 Gehäuse, aus denen sie eh' stammen, und werde in Zukunft wahlweise von denen booten.
Dazu gibt's hier 'nen selbstgebauten Kasten mit derzeit acht einzeln schaltbaren Steckdosen.
An einer davon hängt übrigens auch das DSL-Modem, weil das hier ohne VoIP nicht ständig laufen muss.

Der Zweitrechner wird künftig selbst nicht mehr direkt an's Internet kommen, sondern nur über einen
eigenen (natürlich abschaltbaren) Router mit HW-Firewall und die zweite Netzwerkkarte des ersten, der dann dafür per Knoppix-CD gebootet werden soll. Unter den beiden Windoof fehlt 'dummerweise' seit kurzem jede Spur vom richtigen Treiber für die Karte, aber erst nachdem die Netzwerk-Konfig dafür bös' verbogen wurde...

Dreimal darf man raten, wo dann wirklich brisante Dinge vermacht werden...

Echte Read-Only-Medien sind bei Read-Only-Laufwerken entbehrlich, so sind auch RWs, selbst bei UDF / Mount Rainier im DVD-ROM statt Brenner bei'm Abspielen wirklich manipulationssicher...

Klaro, alles nur ein Anfang...

[berti]

@schranzbert

ich hatte die 128 bit deshalb genannt, weil da einige hersteller von festplatten und usb-speichern meinten, das würde ausreichen. Habe hier grade solch nettes usb-teil aus taiwan zerlegt, das teil benutzt lediglich nen 64bit pseudo-aes.

ansonsten: geile lösungen, sieht sehr gut aus. die lösung von jürgen gefällt mir am besten, jetzt muss ich das nur noch hinkriegen, das windows auf ne ramdisk auslagert. klappt momentan noch nicht richtig.

[berti]

Kann eigentlich "von aussen" auf den dns-cache zugegriffen werden? Falls ja, müsste da auch was gemacht werden.

sozusagen die ip von zweit/dritt rechner verschleiern.

[Hesse]

Wer verwendet auch dafür Windows Boardmittel - 128 Bit ist heutzutage aüßerst lächerlich... Mit Truecrypt ist 256 Bit AES möglich

Auch meine Meinung. Unter 256 bit bringt das nix. Allerdings würde ich grundsätzlich von SHA1 abraten (Warum ist SHA2 eigentlich noch in keine Freeware Lösung integriert? Hat das Lizenzrechtliche Gründe ?). Desweiteren klingt doch "kaskadierte Verschlüsselung" nicht übel... (Das ist das Mixen verschiedener Algos)


Über Jürgens Lösung muss ich erstmal genauer nachdenken bevor ich dazu evtl. was sage...alles andere wäre vorschnell.


Rein generell finde ich syraberts Frage ganz interressant.
Auch wenn man mal überlegt : Mal angenommen der Hauptrechner sendet irgendwann seine Informationen über eine Fremde IP (die eines Freundes oder Verwandten) an böswillige Menschen... Worin wird das gesetzte "Tag" bestehen, dass die Informationen dem Herkunftsrechner eindeutig zuordnen lässt ? Und wie lässt sich das vermeiden / fälschen ?

[SiLæncer]

Bessere Arbeitsdisziplin von Mitarbeitern und Schutz vor Durchsickern wichtiger Informationen verspricht der KGB Employee Monitor des Herstellers Refog Software. Was sich wie der Anforderungskatalog zum Bundestrojaner liest, ist die Produktbeschreibung zu der aktuellen Version der Überwachungssoftware: Sie zeichnet alle Tastatureingaben auf, macht regelmäßig Screenshots des Desktops, protokolliert alle Programme, fertigt Chat-Logs an und und zeichnet sämtliche Webseiten auf, die der Mitarbeiter besucht. Zusätzliches Schmankerl: Mit dem Programm lassen sich Worte definieren, die eine E-Mail an den Chef auslösen, falls der Benutzer sie auf seinem PC eingibt. Damit der Mitarbeiter davon nichts mitbekommt, versteckt sich das Programm im System.

Sämtliche Ereignisse werden mit Datum und Uhrzeit versehen. Die gesammelten Daten verschickt der Employee Monitor dann per Mail an den Chef oder lädt sie per FTP auf einen Server. Der Unterschied zwischen KGB-Tool und Bundestrojaner ist klein aber fein: Chefs sollen damit laut Pressemitteilung "Faulenzer auf frischer Tat ertappen können". Zudem soll es Gewissheit verschaffen, ob "Bandbreite und Computer nur zu Arbeitszwecken und nicht für Chats, Pornos oder Shopping genutzt werden". KGB Employee Monitor 4.21 ist als Netzwerkversion erhältlich.

Solche Spionage-Tools dürfen glücklicherweise in Deutschland nur sehr bedingt eingesetzt werden, da sie die Persönlichkeitsrechte verletzen und meist auch gegen das Fernmeldegeheimnis verstoßen. Insbesondere wenn die Überwachung heimlich erfolgt, dürfte etwa ein Chef die gesammelten Beweise kaum für eine Abmahnung oder Kündigung verwenden können. Üblicherweise wird in seriösen Unternehmen etwa die Nutzung des Internets über eine Betriebsvereinbarung geregelt – ganz ohne Trojaner.

Quelle : www.heise.de

[Jürgen]

Etlichen Chefs, die solche Methoden einsetzen, geht es überhaupt nicht darum, Leute aufgrund arbeitsvertragswidrigen oder gar illegalen Verhaltens herauszuwerfen, sondern darum, die Ertappten trefflich unter Druck setzen zu können, bis hin zur Erpressung.
Aus denselben Erwägungen heraus hören diese Sch...kerle auch die Telefone und nicht selten sogar alle Räume ab.

Das schreibe ich aufgrund eigener Beobachtungen an mehreren Arbeitsplätzen.
Habe stets intensiv gegen diese Praktiken protestiert, auch schon vor der gesamten Belegschaft.
In jedem Falle alle möglicherweise betroffenen Kollegen gewarnt.
Mitarbeit an Einrichtung oder Betrieb solcher Massnahmen habe ich stets abgelehnt.
Und auch schon mit Strafanzeigen gedroht.

Bei den Bossen hat mich das natürlich nicht beliebt gemacht.
Aber der Kollegenschaft war's leider auch zu oft auch wurschd. "Kammannixmachnsoissasnuma"...


George Orwell war ein ahnungsloser Waisenknabe...

[SiLæncer]

Wie zuvor angekündigt hat Ruben Unteregger nun den Quellcode für seinen Skype-Trojaner veröffentlicht. Die im Jahr 2006 im Auftrag der Firma ERA IT Solutions erstellte Variante des Bundestrojaners kann nach einer erfolgreichen Infektion des Systems alle Gespräche mitschneiden, die per Skype durchgeführt werden.

Wie der Autor auf seinem Blog vermerkt, so verbirgt sich hinter Schadsoftware keinerlei Magie. Auf dem neuesten Stand der Technik ist sein "Megapanzer" natürlich auch nicht mehr. Herr Unteregger musste zunächst abwarten, bis die Rechte seiner Software von seinem früheren Arbeitgeber an ihn zurückübertragen wurden.

Auch soll der Quellcode noch nicht zu 100% vollständig sein. Sowohl das System für PlugIns, als auch der Anteil des Trojaners, der für die Umgehung der Firewall verantwortlich war, werden beide zu einem späteren Zeitpunkt veröffentlicht. Für eine erste Überprüfung dürften die Sources aber völlig ausreichend sein. Wer auch immer von staatlicher, unternehmerischer oder privater Stelle diesen Trojaner gekauft hat, war damit in der Lage, sich automatisch den Inhalt aller Telefonate in Form einer MP3 übermitteln zu lassen, die auf dem infizierten Computer per Voice-over-IP durchgeführt wurden.

Wir haben mit dem Schweizer Entwickler vor wenigen Tagen exklusiv ein ausführliches Interview über Schadsoftware im Allgemeinen und seinen Skype-Trojaner im Speziellen geführt. Dieses ist in deutscher und englischer Sprache verfügbar.

Quelle : www.gulli.com

[SiLæncer]

Auf die Entdeckung des deutschen Staatstrojaners haben internationale Hersteller von Virenscannern reagiert: Sie haben ihre Virendefinitionen um die Software zur Onlinedurchsuchung erweitert und befassen sich näher mit dem Trojaner.

Softwareindustrie und Politik sind offenbar unterschiedlicher Meinung darüber, ob der sogenannte Staatstrojaner eingesetzt werden darf. Hans-Peter Uhl, innenpolitischer Sprecher der CDU/CSU-Fraktion im Deutschen Bundestag, bezeichnete beispielsweise den Einsatz des Trojaners als legitime Maßnahme. Antivirenhersteller scheinen anderer Meinung zu sein und haben, auch ohne richterliche Entscheidung, die Dateien der staatlichen Software in ihre Virendefinitionen aufgenommen.

Die beiden Schaddateien winsys32.sys und mfc42ul.dll des meist Backdoor/R2D2 genannten Trojaners werden von mehr als der Hälfte der bei virustotal.com gelisteten Scanner erkannt. Nach derzeitigem Stand (9:05 Uhr am 11. Oktober) erkennen 31 (Report winsys32.sys) beziehungsweise 30 (Report mfc42ul.dll) Virenscanner den Trojaner. Unter den Scannern, die den Trojaner erkennen, sind Bekannte wie Kaspersky, McAfee, Symantec oder Antivir. Auch der Betriebssystemhersteller Microsoft hat mit seinem Virenscanner Maßnahmen gegen die Schadsoftware getroffen.

Antivirenhersteller interessieren sich für den Trojaner

Der Staatstrojaner dürfte damit nutzlos geworden sein. Auch Variationen dürften nun leichter entdeckt werden. Die Community der Hersteller von Antivirenscannern zeigt bereits gesteigertes Interesse an der Software und bloggt für internationales Publikum.

Symantec hat in seinem Blog angekündigt, den Trojaner weiter zu untersuchen. Bisher kann Symantec nur das vom Chaos Computer Club Gefundene bestätigen. Eset hat noch keine Analyse geliefert, erklärt aber, dass es beispielsweise für die Firma keinen Unterschied mache, ob Schadsoftware von staatlicher oder krimineller Seite stammt. Es gehe einzig darum, eine Schadroutine zu erkennen und entsprechend zu handeln. Daher gebe es für Eset keinen Grund, die Software nicht zu erkennen und zu bekämpfen.

Sophos hat sogar eine Staatstrojaner-FAQ eingerichtet und erklärt dem internationalen Publikum die Vorgänge in Deutschland. In der FAQ wird einer der Server, mit denen sich der Trojaner verbindet, mit Düsseldorf oder Neuss in Verbindung gebracht. Das Landeskriminalamt NRW befindet sich in Düsseldorf.

Der Staatstrojaner R2D2, der dem CCC zugespielt und von ihm analysiert wurde, funktioniert nur auf Windows-Systemen in der 32-Bit-Version. Auf 64-Bit-Systemen kann der Trojaner nicht ohne weiteres zum Einsatz kommen, da dem Kernel-Modul eine digitale Signatur fehlt.

Mittlerweile wurde bestätigt, dass der Trojaner von staatlichen Stellen genutzt wurde, allerdings nur auf Landesebene, etwa durch die Landeskriminalämter. Das Bundesinnenministerium streitet den Einsatz des Trojaners ab.

Quelle und Links : http://www.golem.de/1110/86947.html