in Europa unterwegs

Aus einer jetzt veröffentlichten Antwort auf eine Frage des Bundestagsabgeordneten Andrej Hunko (Linksfraktion) wurde bekannt, dass sich deutsche Behörden bereits seit 2008 eng mit anderen europäischen Ländern abstimmte, was die sogenannte “Remote Forensic Software” (RFS) anging. Selbstredend ohne Wissen der Bundestages. Als RFS bezeichnen Sicherheitsbehörden staatliche Spähprogramme zur Ausforschung von Computern und Internetkommunikation. Das letzte dieser Treffen soll im April stattgefunden haben. Ein nächstes Treffen der “Remote Forensic Software User Group” ist für Januar 2012 in Belgien geplant. Konkreter Inhalt der Treffen, sei etwa der “Sachstands- und Erfahrungsaustausch im Zusammenhang mit der Entwicklung und dem Einsatz der RFS”. Ein Sprecher des Bundesinnenministeriums sagte: “Bei den Treffen werden keine konkreten Einsätze abgesprochen oder Amts- oder Rechtshilfeersuchen vorbereitet.” Wers glaubt!?
“Es ist beunruhigend, dass die immer zahlreicher werdenden Details zur polizeilichen Nutzung digitaler Spähwerkzeuge erst durch zähe Recherchen öffentlich werden”, sagt der Bundestagsabgeordnete Andrej Hunko. So sei die Existenz der Arbeitsgruppe deutschen Parlamentariern bislang unbekannt gewesen.

… hier wird mitgehört

Die Virenspezialisten von Kaspersky haben eine neue Version des Staatstrojaners von der Firma Digitask entdeckt. Sie unterstützt jetzt auch das 64-Bit-Windows und kann deutlich mehr Programme belauschen. Der große Bruder des vom CCC analysierten Trojaners besteht aus insgesamt fünf Dateien. Sie fanden sich in einem Installationsprogramm namens scuinst.exe. Neben Skype stehen eine Reihe von weiteren Voice-Over-IP-Applikationen auf der Liste der zu überwachenden Prozesse, aber auch Browser, Mail- und Instant-Messaging-Programme. Darüber hinaus haben die Experten einen signierten 64-Bit-Treiber entdeckt, dessen Zertifikat vom fiktiven Herausgeber Goose Cert ausgestellt wurde. Eine Signatur ist Voraussetzung dafür, dass ein 64-Bit-Windows den Treiber lädt. Allerdings akzeptiert ein normales Windows das gefälschte Zertifikat nicht, so dass bei der Installation eigentlich auch der Zertifikatsspeicher von Windows manipuliert werden müsste. Wie dies geschieht, ist bislang unklar. Aber es wird immer klarer, dass Antiviren-Software keinen Schutz vor einem solchen Staatstrojaner bieten kann. Denn wer den Zertifikatsspeicher manipuliert, kann auch eventuell aufmüpfige AV-Software zum Schweigen bringen.
Und schließlich haben die Digitask- Entwickler offenbar weitere Rootkit-Methoden abgekupfert und neben der bekannten AppInit-Methode auch einen neuen Mechanismus implementiert, die Trojaner-Bibliothek im Kontext der Zielprozesse zu aktivieren.

… der blanke Neid!

Ob der aufgedeckte Staatstrojaner, jetzt ein Bundestrojaner oder ein Ländertrojaner ist, ist eher unwichtig. Das er mit seinen erweiterten und damit verfassungswidrigen Möglichkeiten in Deutschland eingesetzt worden ist – das ist der eigentliche Skandal. Die Liste der Bundesländer wird immer länger. Bayern, Baden-Württemberg, Schleswig-Holstein, Rheinland-Pfalz, Hessen, Brandenburg, Niedersachsen, Bremen, Hamburg, Sachsen-Anhalt und Nordrhein-Westfalen haben alle mehr oder minder zugegeben, den Staatstrojaner schon eingesetzt zu haben.
Selbst in Österreich und in der Schweiz ist die entsprechende Software vorhanden und wohl auch schon mal eingesetzt worden.
Am vergangenen Sonntag gab der CCC die entsprechende Meldung heraus und bis zum Dienstag war das Thema auch in den Medien vertreten. Glücklicherweise kamen dann, oh welch ein Segen, die Meldungen über die Brandanschläge auf die Berliner S-Bahn. Selbstverständlich wurden sofort linke Terroristen verdächtigt. Wer sich die Bilder von den wirklich “hochtechnisierten und schwer händelbaren” Brandsätzen einmal anschaut, kommt vor Lachen nicht mehr in den Schlaf. Aber schon geistert wieder die Forderung durch die Medien, die linksextremistischen Gruppen müssen stärker unterwandert werden. Über den verfassungswidrigen Einsatz der Trojanersoftware spricht seit Mittwoch kein Mensch mehr. Und das ist auch gewollt. Der Richtervorbehalt ist in Deutschland sowieso nicht das Papier wert, auf dem er steht. Angesichts der Tatsache, das ein deutscher Richter gerade einmal 5 Minuten zur Entscheidung hat, möchten die deutschen Ermittlungsbehörden diese Kollegen gerne entlasten und selbst entscheiden, wie, wann, wo und in welchem Umfang sie den Trojaner einsetzen. Unterstützung in diesem Vertuschungskampf bekam Deutschland auch prompt aus den USA. Der Schurkenstaat Iran plante einen Mordkomplott gegen den saudischen Botschafter in Washington. Zumindest schweizerische Zeitungen berichten darüber, dass selbst die US-Ermittler nicht mehr an diesen Unfug glauben. Deutsche Leser warten auf solche Meldungen vergebens.
Somit steht wieder einmal fest, die deutschen Massenmedien helfen fleißig mit, das sich die BRD still und leise, in einen unkontrollierten Schnüffelstaat verwandelt und somit überwachungstechnisch (Dank an Pit) der ehemaligen DDR immer ähnlicher wird. Ob die Piratenpartei hier noch als Bremsklotz wirken kann, muss angesichts ihrer, in dieser Woche, verkackten Feuerprobe stark bezweifelt werden.

[Update 11.10.2011] Karl Weiss – Wir brechen die Verfassung
 
[Update 10.10.2011] Mittlerweile geben ja verschiedene Bundesländer zu, das sie den Trojaner mehrmals eingesetzt haben. Und der Hersteller des Trojaners ist wohl auch entlarvt, wenn man ein wenig in den Ausschreibungsunterlagen der EU stöbert.
 
Der vom CCC analysierte Trojaner wurde wohl vom LKA in Bayern eingesetzt! Und das wurde schon einmal für rechtswidrig erklärt. Wir können aber getrost davon ausgehen dass den auch andere Bundesländer eingesetzt haben. Eine der Quellen des CCC hat sich heute auch schon selbst offenbart.
 
Die Funktionen des Bundestrojaner die der CCC entdeckt hat, einmal leicht erklärt!

 
Endlich ist es soweit. Seit Jahren versucht der CCC den Bundestrojaner zu bekämpfen. Und immer wieder haben sie gefordert, lasst uns einen untersuchen. Jetzt war es soweit! Dem CCC sind mehrere Varianten des Bundestrojaner zugespielt worden. Und die Ergebnisse der Analyse sind ernüchternd und erschreckend zu gleich! Die entsprechende Pressemitteilung des CCC ist sehr entlarvend! Die untersuchten Trojaner können nicht nur höchst intime Daten ausleiten, sondern bieten auch eine Fernsteuerungsfunktion zum Nachladen und Ausführen beliebiger weiterer Schadsoftware. Aufgrund von groben Design- und Implementierungsfehlern entstehen außerdem eklatante Sicherheitslücken in den infiltrierten Rechnern, die auch Dritte ausnutzen können. Oh Oh!
Nicht erst seit das Bundesverfassungsgericht die Pläne zum Einsatz des Bundestrojaners am 27. Februar 2008 durchkreuzte, ist von der unauffälligeren Neusprech-Variante der Spionagesoftware die Rede: von der “Quellen-TKÜ” (“Quellen-Telekommunikationsüberwachung”). Mit anderen Worten, es sollte “doch nur Skype abgehört werden”, weiter nichts!? Tatsächlich aber hat der Trojaner eine Nachladefunktion für beliebige zusätzlich Malware. Wenn dieser Trojaner erst einmal auf einem Rechner installiert ist, steht dieser danach für jeden offen wie ein Scheunentor! Man muss nur anklopfen und den Trojaner freundlich bitten. Und das Kernelmodul räumt allen lokalen Benutzern Adminrechte an. So etwas nennt man sicherheitstechnisch ein Kastatrophe! Zumindest haben die Antivirenhersteller vom CCC inzwischen Kopien des Trojaners erhalten und sollten ihn ab morgen früh erkennen und entfernen können, zumal keine Rootkit-übliche Tarnfunktionalität in dem Kernelmodul implementiert war.
Es gibt sogar schon bundesdeutsche Medien, die sich trauen darüber zu berichten. So z.Bsp. die Zeit! Auch die FAZ hat schon zwei bemerkenswerte Artikel veröffentlicht. Erstaunlich ist, das deutsche Leitmedien die richtigen Gedankengänge veröffentlichen. Na mal, abwarten, ob in der nächsten Woche dem bundesdeutschen politischen Establishment der Arsch auf Grundeis geht? Eines aber ist ganz sicher, dass bundesdeutsche Wahlergenis der Piratenpartei wird in der nächsten Woche wohl locker zweistellig werden.