Bundestrojaner
Immer klarer zeichnet sich ab, wie der Bundestrojaner funktionieren, welche Daten er kopieren und wie er PCs infizieren soll.
Das BKA arbeitet nach Auskunft des Bundesministerium des Inneren seit geraumer Zeit an einer Software für Online-Durchsuchungen und Online-Überwachungen. Derzeit liegen die Arbeiten aber auf Eis, bis die gesetzlichen Grundlagen geklärt sind.
Trotzdem sind bereits viele Details zu diesem Remote Forensic Software, kurz RFS genannten Tool-Paket bekannt. So hat der Präsident des BKA auf einer Sicherheitstagung in Hamburg im Juni die Grundrisse vorgestellt. Am 22. August hat das Bundesministerium des Inneren (BMI) ausführlich auf zwei Anfragen der SPD-Bundestagsfraktion und des Justizministeriums geantwortet, die auf der Web- Seite Netzpolitik bereitgestellt wurden.
Neben rechtlichen Themen enthielt der Fragenkatalog auch Auskunftswünsche zu vielen technischen Details. Auch wenn die Antworten des BMI oft nebulös wirken, sind sie in einzelnen Punkten doch sehr auskunftsfreudig.
Das Bundesministerium des Inneren antwortet dm Justizministerium nicht sehr konkret.
Remote Forensic Software
Die RFS ist das Programm, das auf dem PC installiert wird, der online durchsucht oder überwacht werden soll. Mit anderen Worten: RFS ist der amtliche Name für den Bundestrojaner.
Das BMI geht davon aus, dass für jeden Einsatz des RFS eine individuelle Version des Programms entwickelt wird. Dazu ermitteln die Fahnder zunächst möglichst genau, wie der Ziel-PC ausgestattet und konfiguriert ist. Portscans schließt das BKA dabei ausdrücklich aus und nennt stattdessen klassische Wege wie Telefonüberwachung oder Vertrauenspersonen im Umfeld der zu überwachenden Person als Quelle. Dabei geht es neben der Betriebssystemversion sicher vor allem um die Security-Software wie Antivirenprogramm und Virenscanner. An Hand dieser Eckdaten programmieren BKA-Spezialisten dann einen Trojaner, der genau darauf zugeschnitten ist. Natürlich wird überprüft, ob verbreitete Antivirenprogramme und Firewalls bei der Installation oder im Betrieb Alarm schlagen. Dieser Trojaner soll nach Angaben des BMI jeweils nur für eine einzige Überwachungsmaßnahme zum Einsatz kommen. Das Risiko einer Entdeckung sei dadurch sehr gering.
Wie der fertige Bundestrojaner auf den Ziel-PC gelangen soll, lässt das BMI weitgehend offen: "Es gibt eine Vielzahl von Einbringungsmöglichkeiten, die auf Tauglichkeit für den jeweiligen Einsatz überprüft, ausgewählt und eventuell angepasst werden müssen."
Daten finden und übertragen
Ist der PC erst einmal infiziert, geht es an die Durchsuchung. Nach Auskunft des BMI sind dabei folgende Aktivitäten vorgesehen:
* Informationen zum PC an sich
* Gespeicherte Dateien
* Suche nach Dateien mit bestimmten Namen
* Suche nach Dateien mit bestimmten Dateiendungen
* Suche nach Eigenschaften/Attributen (Zugriffsdaten etc.)
* Schlüsselwortsuche
* Suche in bestimmten Verzeichnissen
* Suche nach Dateien eines bestimmten Dateityps
* Erfassung von Passworteingaben, in Bearbeitung befindlicher verschlüsselter Dateien etc.
* Erfassung von Klartextdaten vor einer Verschlüsselung
* Erfassung von Klartextdaten nach einer Entschlüsselung
Eine Abfrage von eventuell an den PC angeschlossenen Webcams oder Mikrofonen ist laut BMI nicht vorgesehen, obwohl technisch kein Problem. Eine solche "Wohnraumüberwachung", besser als großer Lauschangriff bekannt, ist gesetzlich anderweitig geregelt. Auch eine Überwachung von VoIP-Gesprächen ist nach BMI-Angaben deshalb in RFS nicht vorgesehen.
Die zu übertragenden Daten sollen bereits auf dem Ziel-PC möglichst genau selektiert werden. Zum einen dürfen die Fahnder keine Daten aus dem "Kernbereich persönlicher Lebensgestaltung" erfassen, zum anderen ist natürlich die meist geringe Übertragungsrate der Internetverbindung zu berücksichtigen. Die Daten sammelt der Bundestrojaner zunächst in einer verschlüsselten Logdatei. Bei der nächsten Internetverbindung schickt er sie an den BKA-Server. Das BMI geht dabei davon aus, dass der Versand durchaus mehrere Tage in Anspruch nehmen kann - schließlich soll er auch nicht auffallen.
Eine Alternative wäre, den Bundestrojaner nach der Installation vielleicht über Wochen Ergebnisse aufzeichnen zu lassen. Im Rahmen einer normalen Hausdurchsuchung kann ein Fahnder die Logs dann zusammen mit dem PC beschlagnahmen. Diese Option ist in den Antworten des BMI allerdings nirgends erwähnt.
Entdeckung verhindern
Um eine größere Verbreitung auszuschließen, hat das RFS eine Art Verfallsdatum eingebaut. Nach Ablauf einer bestimmten Frist deinstalliert sich das Programm rückstandsfrei inklusive aller eventuell angelegten Logdateien. Diese Deinstallation kann auch der Controller im BKA per Online-Befehl auslösen. Auch wenn RFS längere Zeit keinen Online- Kontakt mehr zum BKA-Server herstellen kann (etwa, weil eine neue Firewall die Verbindung blockiert), ist eine automatische Deinstallation vorgesehen.
Ein Problem sind Updates für die Antiviren-Software, die nachträglich doch zu einer Entdeckung führen könnten. Sobald RFS installiert ist, weiß der Ermittler allerdings exakt darüber Bescheid, welches Antivirenprogramm in welcher Version auf dem PC vorhanden ist. So könnte er parallel an einem Test-PC jeweils die Erkennung testen und gegebenenfalls die Deinstallationsroutine des RFS aufrufen. So merkt die überwachte Person nicht, dass der PC manipuliert wurde.
Ausdrücklich weist das BMI darauf hin, dass vorhandene Security-Software nicht einfach abgeschaltet würde, um eine Entdeckung zu verhindern. Auch eine Änderung an der Konfiguration solcher Programme schließt das BMI an anderer Stelle des Antwortenkatalogs zum Thema Deinstallation aus - in der Praxis ist das wohl eher illusorisch. Insgesamt setzt das BKA vor allem darauf, dass durch die geringe Verbreitung einer individuellen Version des Bundestrojaners eine Entdeckung kaum möglich ist. Droht eine Entdeckung, so soll sich die Software selbst rückstandsfrei deinstallieren. Der Programmcode selbst ist laut Antwortenkatalog durch "kryptografische Mittel" vor einer Analyse gut geschützt und lässt keine Rückschlüsse auf die Polizei als Urheber zu. Die betroffenen Zielpersonen sollen den Bundestrojaner für eine der lästigen Web-Plagen halten, die sowieso millionenfach im Umlauf sind.
Verbreitungswege
In einem Punkt halten sich die Antworten des BMI deutlich zurück: Wie soll der Ziel-PC infiziert werden? Schwammig ist von vielen "Einbringungsmöglichkeiten" die Rede, unter denen die Ermittler im konkreten Fall die erfolgversprechendste auswählen.
Sehr verwegen wirkt der Vorschlag, den Bundestrojaner getarnt als "offizielle" E-Mail von Bundesbehörden wie etwa Finanzämtern zu versenden. Der Trojaner wäre dabei etwa als PDF-Version eines Steuerdokuments getarnt. Beim Öffnen des Anhangs per Doppelklick installiert sich der Spion und öffnet dann das vorgeschobene PDF-Dokument. Das BMI merkt dazu an, das sei ein sehr unwahrscheinlicher Weg, räumt aber im nächsten Satz ein, er würde keinesfalls ohne Rücksprache mit der entsprechenden Behörde erfolgen. Das dürfte wohl auch selbstverständlich sein, denn die E-Mail muss im PDF sinnvolle Daten enthalten, sonst wird der Empfänger sofort misstrauisch.
Jeder halbwegs erfahrene PC-Nutzer dürfte in den letzten Jahren gelernt haben, nicht einfach auf irgendwelche Dateianhänge von E-Mails zu klicken. Spätestens mit den gefälschten E-Mails von BKA, ikea oder 1&1, die Spam-Versender zur Infektion neuer Zombie- PCs für ihre Botnetze im letzten Jahr einsetzten, dürften sich nur noch wenige Anwender von "offiziellen" Absenderadressen einlullen lassen. Und die Äußerungen des BMI gießen noch Öl aufs Feuer.
Die kriminelle Kollegen der BKA-Beamten wissen, wie sie Nutzer verleiten, sich selbst einen Trojaner auf die Festplatte zu laden.
Manipulierte Downloads
Präziser wären manipulierte Downloads von Programmdateien, die sich die Zielperson herunterlädt. Dazu könnte das BKA über den Internet-Provider den Datenstrom des Ziel-PCs überwachen. Lädt der Anwender eine Programmdatei herunter, fügt ein Programm in den Download automatisch den Bundestrojaner ein. Die Techniken sind von echten Viren bekannt und einfach umzusetzen. Beim Start des Downloadswird zunächst der Trojaner aktiv und klinkt sich im System ein. Darauf startet der Viruscode das ursprüngliche Programm.
Statt beim Internet-Provider anzusetzen, könnte die Polizei auch die Downloads auf Webseiten manipulieren, die der Anwender nur nach einem Login erreicht - auch damit ist sichergestellt, dass nur die Zielperson betroffen ist. Allerdings ist der Download einer Programmdatei erforderlich - und die Entscheidung darüber liegt beim Anwender. Besonders effizient sind diese Varianten also nicht. Zudem gibt das BMI in seinem Antwortkatalog an, dass die Installation von RFS ohne die Mithilfe Dritter (wie etwa Provider) erfolgten soll.
Exploits im Hintergrund
Neutral betrachtet stehen die kriminellen Betreiber von Botnetzen vor demselben Problem wie die Polizei: Sie wollen mit möglichst großer Effizienz PCs infizieren, ohne dass die Besitzer etwas davon merken. Die bevorzugte Lösung der Botnetzer sind derzeit Drive-by- Downloads.
Surft man eine normale Webseite an, so klopft im Hintergrund ein JavaScript-Programm, das in den HTML-Code der Webseite eingebettet ist, den Browser auf Sicherheitslücken ab. Diese Sicherheitslücke nutzt dann der entsprechende Exploit aus, um den Trojaner zu installieren.
Die Polizei will nur einen ganz bestimmten PC infizieren. Sie könnte wieder über den Internet-Provider während der Übertragung einzelne HTML-Dateien abfangen und manipulieren. Oder Sie versendet E-Mails, die gezielt Exploits im E-Mail-Programm oder anderen Komponenten auf dem PC ausnutzen.
Wenn etwa bekannt ist, dass die Zielperson einen Webmail-Anbieter benutzt, könnte nach dem Login auf den Webseiten entsprechender Code untergebracht sein. Oder an diese E-Mail-Adresse wird eine Nachricht gesendet, die wiederum Exploits im Browser ausnutzt. Höchstwahrscheinlich hat auch das FBI beim dokumentierten Einsatz der CIPAV-Software diese Technik gewählt, um den PC einer unbekannten Zielperson auszuspähen.
Wie das BKA an Kenntnisse über Exploits kommen will, bleibt offen. Zwar lehnt das BMI in seinem Antwortenkatalog den Kauf von so genannten Zero-Day-Exploits über die Hackerszene ausdrücklich ab. Vielsagend heißt es aber schon im nächsten Satz: "Informationen, die die Sicherheit von Betriebssystemen und Programmen betreffen, sind im Internet in der Regel frei zugänglich." Mit anderen Worten: Bestehende Sicherheitslücken mit bekannten Exploits wird das BKA sehr wohl zur Infektion eines Ziel-PC einsetzen.
Handys, PDAs, Router&Co.
Das BKA spricht als Ziele für den Einsatz des Bundestrojaners ganz allgemein von "informationstechnischen Systemen". Eine höchst schwammige Formulierung, die viel Freiraum für Interpretationen lässt. Der Fragenkatalog der SPD-Bundestagsfraktion an des Bundesministerium des Inneren geht unter Punkt 27 darauf ein und zählt in der Frage explizit Handys, Smartphones, Blackberries, Infrastrukturkomponenten wie Router, Switches und DECIX- Komponenten (DE-CIX ist ein zentraler Austauschknoten für Datenpakete im deutschen Internet). Die lapidare Antwort des BMI: "Somit sind die aufgezählten Beispiele ebenfalls umfasst." Natürlich wären dafür entsprechend angepasste Versionen von RFS oder sogar ganz andere Programme erforderlich.
Nichts gewusst: Auf der offiziellen FBI-Homepage will man von CIPAV nichts wissen.
Das FBI macht es vor
Über den Einsatz von Spionage-Tools im polizeilichen Umfeld ist wenig bekannt. Ein dokumentierter Fall betrifft die US-amerikanische Bundespolizei FBI. Für besondere Fälle nutzt die Behörde das Tool CIPAV (Computer and Internet Anzeige Protocol Address Verifier). Dabei geht es darum, nachzuweisen, dass ein PC zu einem definierten Zeitpunkt mit einer bekannten IP-Adresse im Internet unterwegs war. Die eidesstattliche Erklärung eines FBI-Agenten mit Details zu CIPAV gibt es hier im Original zu lesen: politechbot.com/docs/fbi.cipav.sanders.affidavit.071607.pdf Im konkreten Fall hat ein ehemaliger Schüler der Timberline High School im Bundesstaat Washington der Schule mehrmals mit Bombendrohungen per E-Mail zukommen lassen. Dazu benutzte er fünf unterschiedliche Google-Mail-Adressen und richtete das Myspace-Konto timberlinebombinfo ein. Dort sollten "Sympathisanten" ihre Kommentare hinterlassen und die Bombenaktion so unterstützen. Zudem startete er einen Denial- of-Service-Angriff auf den Mail-Server der Schule.
Das Problem für das FBI: Der Schüler nutzte drei mit Malware manipulierte PCs in Italien als Zwischenstation, um sich bei Google und Myspace einzuloggen. So hatten die Ermittler zwar die entsprechenden IP-Adressen von Google und Myspace, konnten daraus aber keine Rückschlüsse auf den Absender ziehen.
Und hier kam CIPAV ins Spiel. Die Software installiert sich auf dem Windows-PC des Verdächtigen und protokolliert verschiedenste Daten. Diese sendet es in regelmäßigen Abständen an das FBI. Konkret sind das laut Erklärung folgende Details:
* IP-Adressen, mit denen der PC Kontakt hatte
* Die zuletzt besuchte Webadresse
* Liste aller IP-Adressen, mit denen Kontakt bestand
* MAC-Adresse der Netzwerkkarte
* Liste aller laufenden Programme
* Browser-Informationen wie Typ und Version
* Betriebssystemversion samt Seriennummer
* Benutzerinformationen aus der Registry
* Liste offener TCP- und UDP-Ports
* Name des eingeloggten Benutzers
Im Gegensatz zum geplanten Bundestrojaner schneidet CIPAV nicht Inhalte der Kommunikation oder der Festplatte mit. Dies betont der FBI-Agent in seiner Erklärung mehrmals ausdrücklich. Ob das eine technische Einschränkung der Software ist oder im konkreten Fall durch den richterlichen Beschluss nicht abgedeckt war, ist unklar. Auch gehen die veröffentlichten Dokumente nicht darauf ein, wie CIPAV auf den PC des Schülers gelangte. Nur so viel ist klar: Beim Abholen von E-Mails bei Google Mail oder nach dem Einloggen in Myspace wurde der PC des Täters infiziert. Einen direkten Zugriff auf den PC hatte das FBI nicht - sonst hätte man sich den Software-Einsatz gleich sparen können. Der Schüler wurde im Juni 2007 verhaftet und vom Gericht zu 90 Tagen Jugendhaft verurteilt.
für die Info! - Dumme Frage jetzt vllt., aber wie kann ich mich gegen den schützen, wo fängt man den sich ein?
