Gesetz zur heimlichen Online-Durchsuchung kommt


    Wer verzapft denn sowas?
    Das Ding benutzt Port 443 aber spricht darüber kein HTTPS (wie sonst auf dem Port erwartet) sondern ein eigenes Protokoll. Gerade dadurch ist es für Firewalls und IDS extrem einfach zu entdecken...

    Original geschrieben von bernbayer:
    "Eine Kampagne in ZUsammenhang mit Guttenberg kann man der Bild-Zeitung nicht vorwerfen."

    Wer das verzapft?


    Ein Systemadministator im Dienste der Justiz. Er sagte, der Bundestrojaner nutze für den Datentraffic ein Protokoll, das von Firewalls u.a. gar nicht als Datenübertragung erkannt wird. Will heißen: Es werden Daten übertragen und das von Hard- und Software erkannte Datenvolumen bleibt auf Null. Es wird einfach nicht erkannt, dass überhaupt Verkehrsdaten übertragen werden, so dass eine Firewall den Datenversand überhaupt nicht bemerkt und eben auch nichts blockt. Die Daten laufen wohl gemeinsam mit dem Traffic, der der Aufrechterhaltung der Verbindung dient und stets passieren darf.


    Bevor Du jetzt auf mir herumhackst, muss ich die Verantwortung von mir weisen - ich gebe nur das wieder, was mir zugetragen wurde.


    Wie inzwischen gesichert feststeht, handelt es sich bei der vom CCC untersuchten SW nicht um den Bundestrojaner, sondern um ein von Landesbehörden in eigener Verantwortung genutztes Programm, das für den Bereich der Strafverfolgung keine Verwendung finden darf. Es entstammt wohl dem Bereich der Gefahrenabwehr, den König Horst und andere Landesfürsten mithilfe von Polizeigesetzen gern überinterpretieren (und dafür von der Justiz regelmäßig gerüffelt werden).


    Persönlich hatte ich gemutmaßt, dass die nunmehr aufgetauchte SW von einer zweitklassigen Abteilung eines drittklasssigen Geheimdienstes zu verantworten ist. Wenn es wirklich so ist, dass die Daten an eine US-amerikanische IP übermittelt werden, scheidet die Bundesrepublik als Urheber definitiv aus - das müsste selbst dem CCC einleuchten (dessen Kompetenz ich im Allgemeinen sehr schätze und dessen Existenz ein Glücksfall für den Rechtsstaat ist).


    Der Bundestrojaner ist (und bleibt?) auch weiterhin unentdeckt - was dafür spricht, dass er eben nicht dem Schema dessen entspricht, was von verkehrsüblicher Sicherheitssoftware als Malware erkannt werden kann. Ein Vorteil für die Behörden ist, dass die DSL-Provider kooperieren und deren Ressourcen das Wirken des Schädlings fördern und nicht wie üblich zu behindern versuchen.


    Frank

    Zitat

    Mal ketzerisch: Was, wenn durch den Bundestrojaner dann sogar Dokumente/belastendes Beweismaterial AUF dem Rechner deponiert werden, um diesen dann daraufhin in Gewahrsam zu nehmen?


    Was soll dann sein? Es ginge, ja. Mehr nicht.


    Zitat

    Will heißen: Es werden Daten übertragen und das von Hard- und Software erkannte Datenvolumen bleibt auf Null.


    Das halte ich so für extrem unwahrscheinlich...


    Zitat

    Ein Vorteil für die Behörden ist, dass die DSL-Provider kooperieren und deren Ressourcen das Wirken des Schädlings fördern und nicht wie üblich zu behindern versuchen.


    Mag hilfreich sein, wenn es auf Protokollebene rumwurschtelt. Aber das wird ein einigermaßen versierter Experte auch am Abgangsort analysieren können.

    Zitat

    Original geschrieben von frank_aus_wedau
    Wer das verzapft?


    Ein Systemadministator im Dienste der Justiz. Er sagte, der Bundestrojaner nutze für den Datentraffic ein Protokoll, das von Firewalls u.a. gar nicht als Datenübertragung erkannt wird. Will heißen: Es werden Daten übertragen und das von Hard- und Software erkannte Datenvolumen bleibt auf Null. Es wird einfach nicht erkannt, dass überhaupt Verkehrsdaten übertragen werden, so dass eine Firewall den Datenversand überhaupt nicht bemerkt und eben auch nichts blockt. Die Daten laufen wohl gemeinsam mit dem Traffic, der der Aufrechterhaltung der Verbindung dient und stets passieren darf.


    Achso, ein von denen die keine Ahnung haben :)
    Schau dir mal das OSI-ISO Modell an...auf der höheren Protokollebene können die statt HTTP irgendwas proprietäres sprechen. Tatsache ist aber, dass weiter unten Daten raus müssen, also TCP oder UDP-Verkehr, den erkennt jedes System....
    Man kann noch versuchen die Daten in ICMP-Paketen zu verstecken, aber selbst da wird die dann erhöhte Anzahl von ICMP-Verkehr auffallen. Vor allem, wenn dabei ganze Screenshots rausgeschickt werden sollen.



    Zitat

    Original geschrieben von frank_aus_wedau
    Wie inzwischen gesichert feststeht, handelt es sich bei der vom CCC untersuchten SW nicht um den Bundestrojaner, sondern um ein von Landesbehörden in eigener Verantwortung genutztes Programm, das für den Bereich der Strafverfolgung keine Verwendung finden darf. Es entstammt wohl dem Bereich der Gefahrenabwehr, den König Horst und andere Landesfürsten mithilfe von Polizeigesetzen gern überinterpretieren (und dafür von der Justiz regelmäßig gerüffelt werden).


    Das macht die Sache nicht besser, weder im rechtlichen noch im technischen Sinne. Das rechtliche ist ja eindeutig, da braucht gar nichts mehr gesagt werden. Zum technischen: Nach 3 Jahren bei einer Bundesbehörde erwarte ich von einer solchen keine bessere Software, das Know-How ist da ebenso nicht vorhanden. Das Niveau des entdeckten Trojaners spiegelt das Niveau im Behördenschimmel sehr gut wieder.


    Zitat

    Original geschrieben von frank_aus_wedau
    Wenn es wirklich so ist, dass die Daten an eine US-amerikanische IP übermittelt werden, scheidet die Bundesrepublik als Urheber definitiv aus - das müsste selbst dem CCC einleuchten (dessen Kompetenz ich im Allgemeinen sehr schätze und dessen Existenz ein Glücksfall für den Rechtsstaat ist).


    Warum scheidet die BRD aus, wenn eine IP aus den USA im Spiel ist? Die Firma Digitask wirbt explizit mit einer Proxy-Funktion und einen Server in den USA kann jeder anmieten (mein HTTP-Proxy steht auch dort...).
    Diese Schlussfolgerung kann ich absolut nicht nachvollziehen.


    Zitat

    Original geschrieben von frank_aus_wedau
    Der Bundestrojaner ist (und bleibt?) auch weiterhin unentdeckt - was dafür spricht, dass er eben nicht dem Schema dessen entspricht, was von verkehrsüblicher Sicherheitssoftware als Malware erkannt werden kann. Ein Vorteil für die Behörden ist, dass die DSL-Provider kooperieren und deren Ressourcen das Wirken des Schädlings fördern und nicht wie üblich zu behindern versuchen.


    Das der Trojaner bisher nicht von "Sicherheitssoftware" erkannt wurde, würde ich nicht darauf zurück führen, dass dieser so gut ist. Eher darauf, dass die Heuristik so schlecht ist, man lese zum Beispiel den Vortrag über den absolut sinnbefreiten Code von Sophos Antivirus-Software auf der diesjährigen BlackHat.....
    Zudem ist das ZKA eine Bundesbehörde....d.h. eine reine Landesgeschichte ist das schon gar nicht mehr. Mich würde es nicht wundern, wenn die anderen Bundesbehörden nur eine leicht abgewandelte Version der Software haben. Für die Firma Profitmaximierung mit wenig Aufwand.


    Und womit untermauerst du die Aussage der DSL-Provider? Wie fördern deren Ressourcen einen Schädling, den du gar nicht kennst?

    Original geschrieben von bernbayer:
    "Eine Kampagne in ZUsammenhang mit Guttenberg kann man der Bild-Zeitung nicht vorwerfen."

    Bricht jetzt der Bundestrojaner den Landestrojaner? Oder würden beide auf einem System parallel laufen?


    Wir sollten ein Reinheitsgebot für Bayerische Trojaner fordern ;)

    Aktuell drittpotentestes, ungesperrtes nicht Team-Forenmitglied. Von Beileidsbekundungen bitten wir Abstand zu nehmen.

    Das absehbare Szenario in solchem Fall wäre eher:


    Zwielichtige Behördenmitarbeiter schaukeln sich jeweils als "Agent Provcateur" gegenseitig hoch und setzen den völlig ahnungslosen Besitzer des PC dann als Bösewicht fest. :p


    Frankie

    Damit steht auch die Qualität der Bundessoftware fest:


    Zitat


    Mittlerweile bestätigte das Innenministerium gegenüber der FAZ, dass auch das BKA Software von Digitask eingesetzt habe, nachdem es vom BKA selbst zunächst geheißen hatte, man habe die u. a. in Bayern eingesetzte Staatstrojaner-Version nicht verwendet. Das BKA habe allerdings die ursprüngliche Fassung aufgrund der enthaltenen zusätzlichen, rechtlich fragwürdigen Möglichkeiten nicht akzeptiert. Digitask habe daher eine "deutlich vereinfachte und zugleich besser abgesicherte Software erarbeitet", die so auch vom BKA genutzt wird. Vor jedem Einsatz der jeweils individuell zu konfigurierenden Software der Firma werde geprüft und dokumentiert, dass dieser Standard eingehalten werde.


    http://www.heise.de/newsticker…-Nebelkerzen-1359980.html

    Original geschrieben von bernbayer:
    "Eine Kampagne in ZUsammenhang mit Guttenberg kann man der Bild-Zeitung nicht vorwerfen."

    Der Eindruck, den ich bisher von BKA und den Polizeibehörden der Länder hatte, finde ich durch diesen Bericht eindrucksvoll bestätigt. Mir war (fast) klar, dass das BKA eine derart mangelhafte und mit der Rechtslage nicht in Einklang zu bringende SW, wie sie vom CCC untersucht wurde, nicht als Standard akzeptieren wird. Alles andere hätte mich schon sehr gewundert.


    Umgekehrt hätte ich von den Landespolizeibehörden nichts anderes erwartet, als das vom CCC festgestellte Ergebnis. Da heiligt häufig der Zweck die Mittel.


    Das Ergebnis entspricht also genau dem, was von den jeweiligen Verwendern zu erwarten war. Wer derartiges bestreitet, wird (mal wieder) durch die Realität widerlegt.


    Frankie

    Ich glaube du interpretierst den Bericht falsch :D


    Du glaubst doch nicht ernsthaft, dass das Unternehmen in der Lage war für das BKA eine bessere Software zu entwickeln.
    Ich wette, die haben die gleiche Basis genommen und nur anders zusammen gestöpselt.


    Hier das Geständnis der ersten Bundesbehörde:
    http://www.spiegel.de/netzwelt…tik/0,1518,791434,00.html


    Und ebenfalls lesenswert:
    http://secalert.net/post.php?id=56


    Ergo: Der Laden weiß nicht was er tut, wie schon die Architektur der analysierten Software zeigte. Daher bin ich mir sehr sicher, dass die keine saubere Lösung auf die Beine bringen. Egal für welche Behörde.

    Original geschrieben von bernbayer:
    "Eine Kampagne in ZUsammenhang mit Guttenberg kann man der Bild-Zeitung nicht vorwerfen."

    Immerhin - Zitat:
    "Bei der Quellen-TKÜ per Computerwanze leiten die vom ZKA eingesetzten Programme die auf dem Zielrechner gewonnenen Daten 'verschlüsselt über in Deutschland stehende Server' - so ZKA-Sprecher Schmitz."
    Bei der Bundes-Version werden die Daten also nicht über im Ausland befindliche Server geleitet - der wesentlichste Punkt für meine anfängliche Annahme, warum der vom CCC untersuchte Trojaner nicht der "Bundestrojaner" sein dürfte. Diese Annahme hat sich inzwischen wohl als berechtigt erwiesen. Wenn sich auch die anderen Kritikpunkte des CCC in der Bundesversion zum Großteil nicht finden lassen, hätte man doch im Wesentlichen das, was den Anforderungen entspricht. Und das, obwohl das Grundgerüst beider Programme denselben Ursprung hat.


    Der Umstand, dass das Ermittlungswerkzeug von Fachleuten entlarvt werden kann, ist leider das Schicksal fast aller Ermittlungsmethoden. Wer clever genug ist kann ihnen weitumfänglich entgehen - so spielt halt das Leben. ;)


    Frank

Jetzt mitmachen!

Sie haben noch kein Benutzerkonto auf unserer Seite? Registrieren Sie sich kostenlos und nehmen Sie an unserer Community teil!

Benutzerkonto erstellen Anmelden