Neues vom Bundestrojaner II

Täglich erhalte ich inzwischen E-Mails und Anrufe, in denen mir die neusten Informationen zum Bundestrojaner zugetragen werden. Dafür recht herzlichen Dank! Ich bedanke mich, indem ich versuche, die Vielzahl an Informationen hier zu bündeln und zu kommentieren. Alles aus meiner Sicht der Dinge. Darüber lässt sich streiten und darüber darf gestritten werden!

Neugierde als Motor *

Neugierde im positiven Sinne, quasi als Antriebsmotor dafür, die Dinge zu demystifizieren und/oder voranzubringen, ist Teil meiner täglichen Arbeit. Das angebliche Auftauchen der 64-BIT Version des Trojaners war nicht nur aus diesem Grund Anlass, mich auf die Suche nach Details zu begeben. Auch der Umstand, dass ich es gewagt habe, mich im Zusammenhang mit der 64-BIT Version sehr weit aus dem Fenster zu lehnen, zwang mich dazu, Genaueres in Erfahrung zu bringen. Schließlich habe ich es mir erlaubt, dem Anti-Bundestrojaner in der neuen Version die Eigenschaft zuzugestehen, auch die 64-BIT Version finden zu können. Wohl gemerkt, ohne dass mir Details oder gar die 64-BIT Dateien selbst vorlagen.

Zur Erinnerung *

Bei meiner Analyse der 32-BIT Version sind mir bestimmte Muster ins Auge gefallen, bei denen ich mein letztes Hemd darauf gewettet hätte, dass sie so auch in einer 64 BIT Version vorkommen. Zudem bezeichnete ich es als weltfremd anzunehmen, es gäbe keinen 64 BIT Trojaner. Es ist unrealistisch anzunehmen, man könne sich durch den Einsatz von Windows 64-BIT vor dem Bundestrojaner schützen.

Neue Fakten *

Es gibt tatsächlich neue Fakten. Bei der Recherche nach der 64-BIT Version stieß ich auf das Portal http://www.virustotal.com. Eine jener Plattformen von denen ich immer schon davon ausging, dass sie von Virenschreibern genutzt werden. Genutzt, um zu prüfen, ob aktuelle Virenscanner auf den Schädling ansprechen.

Einschub: Die WEB-Seite erlaubt das Hochladen von Dateien, die dann mit einer Vielzahl von AntiVirenprogrammen getestet werden. Man erhält als Ergebnis ein Protokoll, dem man entnehmen kann, ob eine Datei „sauber“ oder „nicht sauber“ ist. Eigentlich ist es ja eher eine Aussage darüber, ob der Schädling bereits bekannt ist, oder nicht. In der Realität wird so lange am Schädling gebastelt, bis kein Virenscanner mehr anschlägt. Jetzt gab es zu lesen, VirusTotal sei eine Gemeinschaftsaktion vieler AntiViren Hersteller, die diese Plattform nutzen, um ihre Signaturen abzugleichen bzw. auf den neusten Stand zu bringen. Was ich ebenfalls „gelernt“ habe, ist, dass man als Virenschreiber solche Plattformen nicht nutzen sollte bzw. „professionelle“ Trojanerschreiber s.g. Multi-Scanner auf dem Schwarzmarkt beziehen und Dienst wie VirusTotal sowieso nicht nutzen. – Da sieht man, dass ich als Trojanerschreiber versagt hätte 😉 siehe: Com-Magazin

Genau diese Plattform wurde offensichtlich durch die DigiTask GmbH (ich setzte hier bewusst keinen Link) genutzt, um ihren Bundestrojaner fit für den Einsatz in der Praxis zu machen. Der Virus (in Form eines Installationprogrammes scuinst.exe [Skype Capture Unit Installer]) tauchte auf dieser Plattform mehrfach auf. Anscheinend wurde die Datei mehrfach hochgeladen, um zu prüfen, ob sie erkannt wird.

Ab hier wird es dann, was die Argumentation der Antivirenhersteller angeht, aus meiner Sicht sehr nebelig. Nämlich da, wo es darum geht, die eigenen Fähigkeiten darzustellen. Plötzlich will jeder den Bundestrojaner erkannt haben. Wenn mich meine Erinnerung nicht trübt, hat beim Test durch den Chaos Computer Club kein einziges AV-Programm angeschlagen.

VirusTotal prüft offensichtlich nicht nur die Hochgeladenen Dateien und löscht sie dann, sondern bevorratet sie auch. Ist das eigentlich in Ordnung? Somit war es jetzt, nach dem Öffentlich werden, möglich, die Datei zu extrahieren und unter die Lupe zu nehmen.

Analyse einer Analyse *

Da nach ewiger Recherche zwar keine Dateien, aber eine ganz nach meiner Art durchgeführte Analyse zu finden war, musste ich diese als weitere Argumentationsbasis nutzen. Das ist auch viel weniger zeitaufwendig, als die Analyse selbst durchzuführen.

http://www.securelist.com/en/blog/208193167/Federal_Trojan_s_got_a_Big_Brother

Was ich dort finde, „beruhigt“ mich aufs äußerste. Beruhigt insofern, als dass es mir Gewissheit gibt, bei meiner Mustererkennung genau auf die richtigen Merkmale gesetzt zu haben. Alle Vorhersagen, die ich für die 64-BIT Version gemacht habe, treffen zu. Sie wird also durch den Anti-Bundestrojaner zweifelsfrei gefunden.

Jetzt der Abschnitt der Analyse, über den ich mich am meisten „gefreut“ habe. Das Zertifikat, mit dem der 64-BIT Treiber signiert wurde, war für mich persönlich das, was mich noch am meisten interessierte. Ein bisschen enttäuscht war ich dann doch. Zwar wird klar, dass tatsächlich ein „gefaktes“ Zertifikat verwendet wurde (ausgestellt durch Goose Cert [gibt es nicht] im April 2010), unklar bleibt aber, wie man dieses Zertifikat im Rechner so registriert hat, dass keine Warnmeldung erschien. Wie in meinen vorangegangenen Artikeln beschrieben, lädt das Betriebssystem keine Treiber, die mit solchen „Schein-“ Zertifikaten signiert wurden. Es sei denn, man installiert das Zertifikat und bestätigt seine Vertrauenswürdigkeit. Dazu ist aber eigentlich Nutzerinteraktion angesagt, sprich, der Mensch vor dem Rechner muss in Dialogen diese Vorgänge bestätigen.

Zum Aufspielen dieses Trojaners wäre also direkter Zugang zum Rechner nötig. Ein Einbruch durch Ermittlungsbehörden zur Installation der Überwachungssoftware ist allerdings nicht rechtens. Es gibt jedoch Fälle, bei denen offensichtlich eine „normale“ Hausdurchsuchung gleichzeitig genutzt wurde, um die Installation durchzuführen.

Alternativ ist es durchaus möglich, jemanden zur Installation des Trojaners zu bringen, indem man ihm einfach unter vorgespielten Rahmenbedingungen (falscher Absender) Dateien zukommen lässt, mit denen er dann den Bundestrojaner selbst installiert.

Dazu einige Informationen: http://www.tagesschau.de/inland/faqtrojaner100.html

Fazit *

Ich bin fast versucht, ein abschließendes Fazit zu ziehen. Der aktuelle Bundestrojaner ist gezähmt, er wird erkannt und hat keine Chance mehr. Die als Panikmache bezeichnete Offenlegung durch den Chaos Computer Club war aus meiner Sicht mehr als nötig. Je mehr Einzelheiten an die Öffentlichkeit gelangen, desto mehr wird klar, dass die nötige Kontrolle nicht stattgefunden hat. Die Politik hat sich des Themas angenommen, nicht weil 5 Leute des CCC die Software analysiert haben, sondern weil das Thema inzwischen die Köpfe der Menschen erreicht hat. Ich wünschte mir manchmal, dass bereits vor Eintritt einer „mittleren“ Katastrophe gehandelt würde. Leider hat man es oft mit Menschen zu tun, die nichts zu verbergen haben.

Das könnte Dich auch interessieren...

Zum Angang...