-
Die andauernde Diskussion über die Online-Durchsuchung von Computern machen sich Virenautoren zu Nutze. Zur Zeit verbreitet sich eine Trojaner-E-Mail, in der den Nutzern vorgegaukelt wird, ihr PC sei bereits von einem "Bundestrojaner" durchsucht worden. Bei dem Landeskriminalamt in Mainz stehen deshalb die Telefone nicht mehr still.
Die Mail trägt den Betreff "Aktenzeichen" mit einer angehängten Zufallszahl. Darin heißt es:
Sehr geehrter Internetnutzer,
im Rahmen unserer ständigen automatisierten Überprüfung von sogenannten Tauschbörsen im Internet, wurde folgende IP-Adresse auf unserem System ermittelt. [...] Der Inhalt Ihres Rechners wurde als Beweismittel mittels den neuen Bundestrojaner sichergestellt. Es wird umgehend Anzeige gegen Sie erstatten, da sich illegale Software, Filme und/oder Musikdateien auf Ihren System befinden.
Im Anhang der Mail befindet sich eine Zip-Datei, in der ein Programm mit dem Namen "Aktenzeichen.exe" enthalten ist. Dabei handelt es sich wahrscheinlich eine Abart bereits bekannter Online-Schädlinge. Eine Analyse mit dem Online-Virenscanner Virustotal zeigt, dass viele Virenscanner selbst mit aktuellen Signaturen den Schädling nicht sicher identifizieren. Man sollte den Anhang dieser Mail deshalb nicht öffnen, sondern die Mail am besten direkt löschen.
Trotz zahlreicher ähnlicher Trojaner-Mails in den vergangenen Monaten, die vom BKA oder von der GEZ zu kommen schienen, nehmen viele Empfänger den neuen Trojaner ernst. Beim LKA in Mainz - von dem die Mail angeblich stammt - laufen heute die Telefone heiß. "Hier rufen ununterbrochen Leute wegen der Mail an. Wir können gar nicht mitzählen", heißt es aus der Telefonzentrale der Behörde.
Quelle : www.heise.de
-
Eine neue Idee für mehr Privatssphäre :
Nun gehen wir mal von folgendem Szenario aus...
Ihr habt meinen schon mehrmals beschriebenen Rat befolgt und trennt Hauptrechner und Internetrechner physisch voneinander.
Daten dürfen zwar vom Internetrechner auf den Hauptrechner gelangen aber NIEMALS NIEMALS NIEMALS anders rum.
Dafür ist äusserste DISZIPLIN vonnöten !
Die Disziplin ist für den Schutz der Privatssphäre der wesentlichste Punkt : Die Schwachstelle ist der Computernutzer selbst !
So stehen wir trotzdem vor folgendem Problem :
Der Bundestrojaner bzw. die "Remote Forensic Software" befindet sich auf beiden Computern. Daten vom Hauptrechner können (vorausgesetzt man hält sich an die Disziplin !) somit zwar nicht zurück ins Netz gelangen und eine Online-Durchsuchung wird damit unmöglich.... aber :
Der Hauptrechner ist dennoch infiziert.
(Egal welche Firewall oder Schutzsoftware ihr benutzt, egal wie gut ihr seid - beide Somputer sind als nicht vertrauenswürdig zu erachten.)
Eine ewig anhaltende Isolation des Hauptrechners ist unwahrscheinlich, weil früher oder später jemand (Freund oder Verwandter) etwas von einem haben möchte. Also werden die Daten über diesen Umweg dann unter der IP-Adresse desjenigen dem man was gebrannt hat dennoch ihren Weg ins Netz finden.
Und selbst wenn dies nicht der Fall ist : Ihr neigt dazu eure TV-Aufnahmen auch auf DVD zu brennen ? Fragt euch mal was ein vom Bundestrojaner infizierter Computer da wohl noch so mit auf das Ding brennt...
Da die angesprochene Schadsoftware wahrscheinlich hauptsächlich darauf beruht speziell alle Tastatureingaben zu erfassen, welche in die Passworteingabefenster ALLER derzeit bekannten bzw. neu erscheinenden Verschlüsselungsprogramme eingegeben werden, ist eine wirkungsvolle Verschlüsselung sensibler Daten nicht mehr gewährleistet.
Daher ein neuer Ansatz (der dann allerdings schon ziemlich teuer ist) :
1. Ein Internetcomputer von dem Daten zu eurem Hauptrechner gelangen dürfen aber NIEMALS anders herum (Stichwort : Speichermedien die sich wirkungsvoll Schreibschützen lassen)
2. Euer Hauptrechner. Zum Spielen, Spasshaben... Äh, der Hauptrechner eben...
3. Die INSEL . Mal angenommen ihr wolltet wirklich etwas geheimhalten ... aus welchen Gründen auch immer. Ich unterstütze hiermit ausdrücklich NICHT terroristische Aktivitäten jedweder Form sondern sehe es vielmehr als mein zumindest bisher in der Verfassung des Landes Hessens verbrieftes Grundrecht an, einen Kernbereich meiner privaten Lebensführung auch im Bereich informationsverarbeitender Systeme schützen zu wollen/müssen !!!
(Ich persönlich würde z.B. Privatfotos von z.B. meiner Freundin äusserst ungern in der Hand irgendeines Stasi-Spinners sehen wollen - egal ob dieser nun aus China oder sonstwoher stammt !)
Der "Insel"-Computer darf weder eingehende noch ausgehende Verbindung zu jeglichen anderen Computen haben die jemals in irgendeiner Form entweder selbst mit dem Internet verbunden werden oder aber Daten mit wieder anderen Computern austauschen könnten welche eine Verbindung zum Internet herstellen könnten.
Nur so wird wirkungsvolle Verschlüsselung auch in Zukunft noch möglich sein.
Denkt mal darüber nach.
-
Ich habe mein internet in einen 2. Rechner eingesperrt und das Maultier steckt in einem Virtual PC unter Linux. Dank der Linuxeigenen Firewall werden nur erlaubte Portanfragen überhaubt ins andere Subnetz geroutet. Allerdings komplett Physikalisch trennen ist nicht, es sei denn man verzichtet auf onlinespiele, die nunmal mit einem (meist älteren) 2.PC nicht laufen. Zusätzlich läuft der WLAN Router im Bridged Modus d.h er nimmt nur eine einzige Verbindung überhaubt an. Zusätzlich empfehle ich (bei Fritz Boxen) die Ultra PNP steuerung von außen nicht zu Aktivieren. Zusammen mit der neusten FritzDSL Version können damit Programme eigene Ports in der Firewall öffnen und schließen. Dies ist zwar superbequem aber ich halte es für sehr unsicher. Der DOOFUS Trojaner bekommt eigentlich eh nichts zu sehen, da man Platten heutzutage verschlüsseln kann und dafür nichtmal Passwörter braucht > Stichwort: USB Stick (oder anderer Flash Speicher), KeyDatei oder Biometrie. Das alles zu knacken halte ich für ausgeschlossen, es sei denn der Trojaner ist einige zig Megabyte groß. Außerdem glaube ich auch das er sich wenige Tage (oder Stunden) nach Verbreitung erkennen und ausschalten lässt. Protowall bzw. Peer Guardian erledigen dann den Rest. Ich habe tatsächlich vor längerer Zeit auf meinem Hauptrechner einen Trojaner Loader gefunden der warscheinlich verzweifelt versucht hat nach Hause zu telefonieren... ;D
-
Wie bekommst du deine daten auf deinen Inselrechner ? Zusätzlich must du dieses rechnersystem (*) noch erheblich abschirmen, denn du kannst rechner auch drahtlos anhand der abgegebenen streustrahlung wunderbar überwachen.
(bis zu 1 km entfernung im extremen fall)
(*) Mit rechnersystem meine ich rechner, Monitor, keyboard und sonstiges gedöns.
Achja: du benutzt hoffentlich keine PDFs, Office Documente, Gifs, Jpg, Movs, MPeg, RMVBs ? In allen diesen teilen kann die ein böser mensch unliebsame teile einbauen, die nicht immer von antivirus-wächtern gefunden werden.
Aus sicherlich verständlichen gründen werde ich NICHT erklären, wie das gemacht wird! Einige der techniken können in den falschen händen erheblichen schaden anrichten, da sie auch betriebssytem übergreifend funktionieren.
-
Die verschlüsselung der datenträger bringt IMHO nix, wenn sich der trojaner ins betriebssystem einhängt, also vor dem verschüsselungssystem. die Verschlüsselung greift erst dann, wenn ein normal-sterblicher den datenträger konfiziert, um ihn spater auszuwerten. Die verschlüsselung stellt aber kein hinderniss dar, wenn sich ein fachman mit dem teil beschäftigt. RSA bzw AES verschlüsselung von z.B. 128 byte ist heutzutage kein hinderniss, daten zu ziehen.
-
Zusätzlich must du dieses rechnersystem (*) noch erheblich abschirmen, denn du kannst rechner auch drahtlos anhand der abgegebenen streustrahlung wunderbar überwachen.
(bis zu 1 km entfernung im extremen fall)
(*) Mit rechnersystem meine ich rechner, Monitor, keyboard und sonstiges gedöns.
Die Gefahr durch "Van-Eck-Phreaking" ist mir mehr als bewusst. (Für Anfänger : Das bedeutet das Abzapfen von Daten die quasi per Funk automatisch vom Computer abgestrahlt werden, nicht auf präparierten Systemen sondern bei jedem einzelnen). Wie schon an anderer Stelle beschrieben würde Gegenwehr dagegen einen ERHEBLICHEN finanziellen Aufwand bedeuten. Deswegen ist es wichtig das durch diese Methode erhobene Beweise auch in Zukunft nicht vor Gericht verwertbar bleiben müssen!!!
(Ich hab die Frequenz auf der meine eigene Festplatte "sendet" per Funkscanner gefunden. Ein Störsender wäre leider illegal...)
Achja: du benutzt hoffentlich keine PDFs, Office Documente, Gifs, Jpg, Movs, MPeg, RMVBs ? In allen diesen teilen kann die ein böser mensch unliebsame teile einbauen, die nicht immer von antivirus-wächtern gefunden werden.
Dies trifft leider vollkommen zu. Ich sage ja noch nicht mal das ich selbst ein solches von mir beschriebenes System anwende. Es geht hier lediglich um Wissen an sich.
Und von daher : Der Inselrechner darf weder über eine Digitalkamera noch über ein sonst auch nur irgendwie beschreibbares Medium jemals Informationen mit irgendeinem der anderen Rechner austauschen !
-
Wer verwendet auch dafür Windows Boardmittel - 128 Bit ist heutzutage aüßerst lächerlich... Mit Truecrypt ist 256 Bit AES möglich oder mit tripple Blowfish (drivecrypt) angeblich 1344. Ansonsten meinte ich eigentlich lediglich, das nicht oder kurzzeitig gemountete Partitionen auch nicht ausgelesen werden können, es sei denn man bemerkt das hektische Flackern der HD LED nicht.
-
Ich bin gerade dabei, ein neues Multi-Boot-System zu testen.
Bislang hatte ich diverse Start-Partitionen auf der ersten Platte, mit dem Bootmanager von XFDISK.
Aber schon allein weil die heute üblichen Platten > 130 GB oft kaum noch stabil mit mehr als drei Partitionen arbeiten wollen, reisse ich gerade zwei der fünf Platten wieder heraus, packe sie zurück in die externen 3,5" USB2 Gehäuse, aus denen sie eh' stammen, und werde in Zukunft wahlweise von denen booten.
Dazu gibt's hier 'nen selbstgebauten Kasten mit derzeit acht einzeln schaltbaren Steckdosen.
An einer davon hängt übrigens auch das DSL-Modem, weil das hier ohne VoIP nicht ständig laufen muss.
Der Zweitrechner wird künftig selbst nicht mehr direkt an's Internet kommen, sondern nur über einen
eigenen (natürlich abschaltbaren) Router mit HW-Firewall und die zweite Netzwerkkarte des ersten, der dann dafür per Knoppix-CD gebootet werden soll. Unter den beiden Windoof fehlt 'dummerweise' seit kurzem jede Spur vom richtigen Treiber für die Karte, aber erst nachdem die Netzwerk-Konfig dafür bös' verbogen wurde...
Dreimal darf man raten, wo dann wirklich brisante Dinge vermacht werden...
Echte Read-Only-Medien sind bei Read-Only-Laufwerken entbehrlich, so sind auch RWs, selbst bei UDF / Mount Rainier (http://de.wikipedia.org/wiki/Mount_Rainier_%28Technik%29) im DVD-ROM statt Brenner bei'm Abspielen wirklich manipulationssicher...
Klaro, alles nur ein Anfang...
-
@schranzbert
ich hatte die 128 bit deshalb genannt, weil da einige hersteller von festplatten und usb-speichern meinten, das würde ausreichen. Habe hier grade solch nettes usb-teil aus taiwan zerlegt, das teil benutzt lediglich nen 64bit pseudo-aes.
ansonsten: geile lösungen, sieht sehr gut aus. die lösung von jürgen gefällt mir am besten, jetzt muss ich das nur noch hinkriegen, das windows auf ne ramdisk auslagert. klappt momentan noch nicht richtig.
-
Kann eigentlich "von aussen" auf den dns-cache zugegriffen werden? Falls ja, müsste da auch was gemacht werden.
sozusagen die ip von zweit/dritt rechner verschleiern.
-
Wer verwendet auch dafür Windows Boardmittel - 128 Bit ist heutzutage aüßerst lächerlich... Mit Truecrypt ist 256 Bit AES möglich
Auch meine Meinung. Unter 256 bit bringt das nix. Allerdings würde ich grundsätzlich von SHA1 abraten (Warum ist SHA2 eigentlich noch in keine Freeware Lösung integriert? Hat das Lizenzrechtliche Gründe ?). Desweiteren klingt doch "kaskadierte Verschlüsselung" nicht übel... (Das ist das Mixen verschiedener Algos)
Über Jürgens Lösung muss ich erstmal genauer nachdenken bevor ich dazu evtl. was sage...alles andere wäre vorschnell.
Rein generell finde ich syraberts Frage ganz interressant.
Auch wenn man mal überlegt : Mal angenommen der Hauptrechner sendet irgendwann seine Informationen über eine Fremde IP (die eines Freundes oder Verwandten) an böswillige Menschen... Worin wird das gesetzte "Tag" bestehen, dass die Informationen dem Herkunftsrechner eindeutig zuordnen lässt ? Und wie lässt sich das vermeiden / fälschen ?
-
Bessere Arbeitsdisziplin von Mitarbeitern und Schutz vor Durchsickern wichtiger Informationen verspricht der KGB Employee Monitor des Herstellers Refog Software. Was sich wie der Anforderungskatalog zum Bundestrojaner liest, ist die Produktbeschreibung zu der aktuellen Version der Überwachungssoftware: Sie zeichnet alle Tastatureingaben auf, macht regelmäßig Screenshots des Desktops, protokolliert alle Programme, fertigt Chat-Logs an und und zeichnet sämtliche Webseiten auf, die der Mitarbeiter besucht. Zusätzliches Schmankerl: Mit dem Programm lassen sich Worte definieren, die eine E-Mail an den Chef auslösen, falls der Benutzer sie auf seinem PC eingibt. Damit der Mitarbeiter davon nichts mitbekommt, versteckt sich das Programm im System.
Sämtliche Ereignisse werden mit Datum und Uhrzeit versehen. Die gesammelten Daten verschickt der Employee Monitor dann per Mail an den Chef oder lädt sie per FTP auf einen Server. Der Unterschied zwischen KGB-Tool und Bundestrojaner ist klein aber fein: Chefs sollen damit laut Pressemitteilung "Faulenzer auf frischer Tat ertappen können". Zudem soll es Gewissheit verschaffen, ob "Bandbreite und Computer nur zu Arbeitszwecken und nicht für Chats, Pornos oder Shopping genutzt werden". KGB Employee Monitor 4.21 ist als Netzwerkversion erhältlich.
Solche Spionage-Tools dürfen glücklicherweise in Deutschland nur sehr bedingt eingesetzt werden, da sie die Persönlichkeitsrechte verletzen und meist auch gegen das Fernmeldegeheimnis verstoßen. Insbesondere wenn die Überwachung heimlich erfolgt, dürfte etwa ein Chef die gesammelten Beweise kaum für eine Abmahnung oder Kündigung verwenden können. Üblicherweise wird in seriösen Unternehmen etwa die Nutzung des Internets über eine Betriebsvereinbarung geregelt – ganz ohne Trojaner.
Quelle : www.heise.de
-
Etlichen Chefs, die solche Methoden einsetzen, geht es überhaupt nicht darum, Leute aufgrund arbeitsvertragswidrigen oder gar illegalen Verhaltens herauszuwerfen, sondern darum, die Ertappten trefflich unter Druck setzen zu können, bis hin zur Erpressung.
Aus denselben Erwägungen heraus hören diese Sch...kerle auch die Telefone und nicht selten sogar alle Räume ab.
Das schreibe ich aufgrund eigener Beobachtungen an mehreren Arbeitsplätzen.
Habe stets intensiv gegen diese Praktiken protestiert, auch schon vor der gesamten Belegschaft.
In jedem Falle alle möglicherweise betroffenen Kollegen gewarnt.
Mitarbeit an Einrichtung oder Betrieb solcher Massnahmen habe ich stets abgelehnt.
Und auch schon mit Strafanzeigen gedroht.
Bei den Bossen hat mich das natürlich nicht beliebt gemacht.
Aber der Kollegenschaft war's leider auch zu oft auch wurschd. "Kammannixmachnsoissasnuma"...
George Orwell war ein ahnungsloser Waisenknabe...
-
Wie zuvor angekündigt hat Ruben Unteregger nun den Quellcode für seinen Skype-Trojaner veröffentlicht. Die im Jahr 2006 im Auftrag der Firma ERA IT Solutions erstellte Variante des Bundestrojaners kann nach einer erfolgreichen Infektion des Systems alle Gespräche mitschneiden, die per Skype durchgeführt werden.
Wie der Autor auf seinem Blog (http://www.megapanzer.com/2009/08/25/skype-trojan-sourcecode-available-for-download/) vermerkt, so verbirgt sich hinter Schadsoftware keinerlei Magie. Auf dem neuesten Stand der Technik ist sein "Megapanzer" natürlich auch nicht mehr. Herr Unteregger musste zunächst abwarten, bis die Rechte seiner Software von seinem früheren Arbeitgeber an ihn zurückübertragen wurden.
Auch soll der Quellcode noch nicht zu 100% vollständig sein. Sowohl das System für PlugIns, als auch der Anteil des Trojaners, der für die Umgehung der Firewall verantwortlich war, werden beide zu einem späteren Zeitpunkt veröffentlicht. Für eine erste Überprüfung dürften die Sources aber völlig ausreichend sein. Wer auch immer von staatlicher, unternehmerischer oder privater Stelle diesen Trojaner gekauft hat, war damit in der Lage, sich automatisch den Inhalt aller Telefonate in Form einer MP3 übermitteln zu lassen, die auf dem infizierten Computer per Voice-over-IP durchgeführt wurden.
Wir haben mit dem Schweizer Entwickler vor wenigen Tagen exklusiv ein ausführliches Interview über Schadsoftware im Allgemeinen und seinen Skype-Trojaner im Speziellen geführt. Dieses ist in deutscher (http://www.gulli.com/news/bundestrojaner-ein-2009-08-21/) und englischer (http://www.gulli.com/news/bundestrojaner-a-programmer-2009-08-24/) Sprache verfügbar.
Quelle : www.gulli.com
-
Auf die Entdeckung des deutschen Staatstrojaners haben internationale Hersteller von Virenscannern reagiert: Sie haben ihre Virendefinitionen um die Software zur Onlinedurchsuchung erweitert und befassen sich näher mit dem Trojaner.
Softwareindustrie und Politik sind offenbar unterschiedlicher Meinung darüber, ob der sogenannte Staatstrojaner eingesetzt werden darf. Hans-Peter Uhl, innenpolitischer Sprecher der CDU/CSU-Fraktion im Deutschen Bundestag, bezeichnete beispielsweise den Einsatz des Trojaners als legitime Maßnahme. Antivirenhersteller scheinen anderer Meinung zu sein und haben, auch ohne richterliche Entscheidung, die Dateien der staatlichen Software in ihre Virendefinitionen aufgenommen.
Die beiden Schaddateien winsys32.sys und mfc42ul.dll des meist Backdoor/R2D2 genannten Trojaners werden von mehr als der Hälfte der bei virustotal.com gelisteten Scanner erkannt. Nach derzeitigem Stand (9:05 Uhr am 11. Oktober) erkennen 31 (Report winsys32.sys) beziehungsweise 30 (Report mfc42ul.dll) Virenscanner den Trojaner. Unter den Scannern, die den Trojaner erkennen, sind Bekannte wie Kaspersky, McAfee, Symantec oder Antivir. Auch der Betriebssystemhersteller Microsoft hat mit seinem Virenscanner Maßnahmen gegen die Schadsoftware getroffen.
Antivirenhersteller interessieren sich für den Trojaner
Der Staatstrojaner dürfte damit nutzlos geworden sein. Auch Variationen dürften nun leichter entdeckt werden. Die Community der Hersteller von Antivirenscannern zeigt bereits gesteigertes Interesse an der Software und bloggt für internationales Publikum.
Symantec hat in seinem Blog angekündigt, den Trojaner weiter zu untersuchen. Bisher kann Symantec nur das vom Chaos Computer Club Gefundene bestätigen. Eset hat noch keine Analyse geliefert, erklärt aber, dass es beispielsweise für die Firma keinen Unterschied mache, ob Schadsoftware von staatlicher oder krimineller Seite stammt. Es gehe einzig darum, eine Schadroutine zu erkennen und entsprechend zu handeln. Daher gebe es für Eset keinen Grund, die Software nicht zu erkennen und zu bekämpfen.
Sophos hat sogar eine Staatstrojaner-FAQ eingerichtet und erklärt dem internationalen Publikum die Vorgänge in Deutschland. In der FAQ wird einer der Server, mit denen sich der Trojaner verbindet, mit Düsseldorf oder Neuss in Verbindung gebracht. Das Landeskriminalamt NRW befindet sich in Düsseldorf.
Der Staatstrojaner R2D2, der dem CCC zugespielt und von ihm analysiert wurde, funktioniert nur auf Windows-Systemen in der 32-Bit-Version. Auf 64-Bit-Systemen kann der Trojaner nicht ohne weiteres zum Einsatz kommen, da dem Kernel-Modul eine digitale Signatur fehlt.
Mittlerweile wurde bestätigt, dass der Trojaner von staatlichen Stellen genutzt wurde, allerdings nur auf Landesebene, etwa durch die Landeskriminalämter. Das Bundesinnenministerium streitet den Einsatz des Trojaners ab.
Quelle und Links : http://www.golem.de/1110/86947.html
-
(http://www.heise.de/imgs/18/7/2/3/6/0/1/16171e4fc2a2a5d7.png)
Mittlerweile melden die meisten Viren-
Scanner etwas mit R2D2, wenn sie auf
eine der Trojaner-Dateien stoßen.
(Bild vergrössern (http://www.heise.de/imgs/18/7/2/3/6/0/1/screenshot-12Okt11-501138875-fee5b8e01b8d076a.png))
Spätestens seit Montag schlagen alle Viren-Scanner Alarm, wenn man den vom CCC enttarnten Trojaner auf seinen Rechner laden will. Wer jedoch glaubt, er wäre damit vor der Spionage-Software im Staatsauftrag geschützt, der irrt sich gewaltig. Antiviren-Software hat kaum Chancen gegen derartige Schädlinge; einige der Alarmmeldungen waren sogar richtige Dummies.
Noch am Samstagvormittag erkannte kein einziges AV-Programm die Dateien als Gefahr. Mittlerweile melden die meisten etwas mit "Backdoor.R2D2" , wenn sie auf eine der vom CCC bereitgestellten Dateien treffen. Das soll Vertrauen bei den Anwendern schaffen.
In einem Test am Montag von heise Security stellte sich jedoch heraus, dass unter anderem Ikarus, Panda, Trend Micro und McAfee schon nach einer minimalen Änderung an der Datei keinen Alarm mehr gaben. Wir ersetzten dazu lediglich das große O in der Zeichenkette "DOS" durch ein kleines. Vorher meldete etwa McAfee die Datei mfc42ul.dll noch als Artemis!930712416770, nach der Änderung blieb es stumm.
Es ist kein Zufall, dass es da gerade drei prominente Fürsprecher von "In the Cloud"-Erkennung erwischt hat. Primitive Cloud-Erkennung arbeitet nämlich nur mit Hash-Werten der fraglichen Dateien. Und die ändern sich schon dann, wenn sich in einer Datei nur ein einziges Bit ändert. Da der CCC die veröffentlichten Dateien bereits vorab verändert hatte, springen diese Signaturen nicht einmal auf die unveränderten, wirklich eingesetzten Originale an. Und selbst wenn der Hersteller die Hashes aller beim CCC eingegangenen Trojaner in seine Datenbank aufgenommen hat – die Trojaner-Versionen, die einem anderen Fall zugeordnet sind, tragen andere Fallnummern und wahrscheinlich auch andere Versionsnummern. Richtige Signaturen, die auch geringfügig modifizierte Varianten erkennen, lieferten Ikarus, Panda, Trend Micro und McAfee zum Teil erst mehrere Tage nach den anderen Herstellern.
Doch auch solche lokalen Signaturen lassen sich einfach austricksen, wie Online-Banking-Betrüger tagtäglich beweisen. Und ganz offenbar sind auch die Heuristiken, mit denen die Hersteller unbekannte Schädlinge entdecken wollen, der Aufgabe nicht gewachsen. Sonst hätten diese ja schon vor der Veröffentlichung des CCC Alarm schlagen müssen. Dass sie das nicht taten, liegt wohl unter anderem daran, dass der Staatstrojaner auf viele Dinge verzichtet, die bei den aktuellen 08/15-Trojanern der Betrüger zum Standardrepertoire gehören. So versucht er nicht, sich in Browser einzuklinken, er liest keinen verschlüsselten https-Verkehr mit und er betätigt sich auch nicht als Spam-Schleuder.
Die CCC-Analyse zeigt auch, wie der Trojaner die verbliebenen, verdächtigen Aktivitäten wie das Starten einer aus dem Netz nachgeladenen Datei an der Heuristik vorbeimogelt. Er zerlegt den Verweis auf die dafür genutzte Funktion des Windows-APIs in die Fragmente "Crea" + "teProc" + "essA" und setzt die erst zur Laufzeit in das verräterische "CreateProcessA" zusammen.
Bleibt als letzte Hoffnung der verunsicherten Anwender die Verhaltenserkennung. Prompt beteuern die AV-Hersteller auch bereits reihenweise, versagt habe ja nur die statische Signatur- und Heuristik-Erkennung. Bei einem Versuch, den Trojaner auf einem System tatsächlich zu starten, würde natürlich sofort die Verhaltenserkennung zuschlagen, vernimmt man. Ob dem wirklich so ist, werden wir leider nicht erfahren. Denn der CCC hat nur nur die statische Erkennung getestet. Und nachträglich lassen sich derartige Tests nicht mehr sinnvoll durchführen, weil sich die jetzt anspringende Signatur-Erkennung nicht allein abschalten lässt.
Allerdings sind durchaus Zweifel angebracht, ob eine Verhaltenserkennung tatsächlich präventiv schützen würde. Zu untypisch ist das Verhaltensmuster des Staatstrojaners, der nur bei wenigen Prozessen überhaupt aktiv wird. Und Programme wie Skype gehören nicht zu den typischen Zielen von Schädlingen wie Zeus, SpyEye & Co. Wenn überhaupt, würde ein Virenwächter wohl am ehesten beim Ausführen des Installationsprogramms Verdacht schöpfen. Und auch das hilft nicht wirklich, wenn der Trojaner – wie im bis jetzt einzigen dokumentierten Fall – bei einer Zollkontrolle installiert wird. Dabei könnte der Beamte im Zweifelsfall die Spionage-Software auch gleich in die Ausnahmeliste der AV-Software eintragen. Vor einem solchen Szenario schützt am ehesten eine Komplettverschlüsselung des Notebooks mit Pre-Boot-Authentifizierung.
Überhaupt kann man Staatstrojaner nicht wirklich mit den massenhaft verbreiteten Schädlingen vergleichen. Viel ähneln eher den Maßanfertigungen, die für Einbrüche und Spionage in Unternehmen zum Einsatz kommen. In beiden Fällen handelt es sich um Spionageprogramme, die gezielt für einen bestimmten Zweck entwickelt werden und die nie große Verbreitung finden. Und ähnlich viel Schutz bietet AV-Software auch vor dieser Gefahr – nämlich nahezu gar keinen. Die jetzt nachgereichten Signaturen sind eher ein Feigenblatt als ein Schild. Wer also sicher sein will, dass derartige Schnüffelei nicht in seine digitale Privatsphäre vordringt, die ihm das Verfassungsgericht zubilligt, darf sich nicht auf die Technik verlassen, sondern muss jetzt auf politische Konsequenzen drängen.
Quelle : www.heise.de
-
Anlässlich des Staatstrojaner-Leaks vom letzten Wochenende gibt der finnische Antiviren-Spezialist F-Secure bekannt, dass Vereinbarungen mit staatlichen Ermittlungsstellen, bestimmte Schädlinge nicht in die Signaturlisten aufzunehmen, für das Unternehmen ausgeschlossen seien. Diesbezüglich habe man klare Richtlinien.
Nachdem der Chaos Computer Club die Analyse des - angeblich ebenso rechtswidrigen wie fehlerhaften - Staatstrojaners veröffentlicht hatte, entstanden lebhafte Diskussionen über alle möglichen Aspekte der umstrittenen Sicherheitsmaßnahme. Dass nun auch Sicherheitsanbieter ins Zentrum der Aufmerksamkeit geraten, ist wenig verwunderlich - immer wieder gab es im Internet Spekulationen, dass diese Firmen die Entdeckung staatlicher Spionageprogramms durch eine Hintertür in der jeweiligen Sicherheitssoftware verhindern. Diese lebten nun neu auf.
Das finnische Sicherheitsunternehmen F-Secure distanziert sich nun ausdrücklich von diesen Vorwürfen. Man habe klare Richtlinien, was eventuelle Forderungen staatlicher Ermittlungsstellen bezüglich einer Nichterkennung von Spionageprogrammen betrifft, erklärt das Unternehmen. "F-Secure wird zu keiner Zeit Lücken in der Sicherheitssoftware zulassen - ganz gleich, woher die Schadprogramme auch kommen mögen", sagte F-Secures "Chief Research Officer" Mikko Hyppönen, "Mit jedem Sample, das wir erhalten, müssen wir eine ganz klare Entscheidung treffen, was die Entdeckung des Programms betrifft. Und diese Entscheidungsfindung ist ausschließlich durch technische Faktoren beeinflusst - andere Faktoren spielen keine Rolle. Selbstverständlich immer im Rahmen gesetzlicher Richtlinien, in diesem Fall des EU-Rechts."
Zudem weist Hypponen darauf hin, dass F-Secure den Staatstrojaner schon seit längerer Zeit erkenne. Für Kunden von F-Secure sei vom Bundestrojaner zu keiner Zeit eine Gefahr ausgegangen, denn F-Secure erkenne den Trojaner und hab ihm sogar seinen Namen gegeben: "Backdoor:W32/R2D2.A". Als erster Antiviren-Hersteller habe F-Secure die Thematik des Bundestrojaners aufgegriffen und Informationen dazu im unternehmenseigenen Weblog veröffentlicht. Auch sei F-Secure der erste Anbieter gewesen, der eine entsprechende Signatur seiner Datenbank hinzufügt und somit seinen Kunden reaktiven Schutz vor dem Spion bereitgestellt habe.
Einen endgültigen Schutz vor dem Staatstrojaner bietet allerdings keine Sicherheitssoftware, wie auch F-Secure betont. Der Staatstrojaner werde nach derzeitigem Wissensstand manuell installiert, weswegen der Angreifer physischen Zugriff auf den fraglichen Rechner haben müsste, berichtet F-Secure. Dies deckt sich mit Berichten, dass in mindestens einem bekannten Fall die staatliche Spionage-Software im Rahmen einer Zollkontrolle auf einem Laptop installiert wurde. In dieser Situation, so F-Secure, können natürlich auch die Schutzmechanismen ausgeschaltet oder das Spionage-Tool zur Liste vertrauenswürdiger Programme hinzugefügt werden, so dass es von der Security-Software ignoriert werde. Sollte der Trojaner dagegen auf nicht physischem Wege verbreitet werden, würden die F-Secure-Schutzmechanismen die Installation blockieren. Angeblich wird der Trojaner auch von F-Secures Heuristik (Verhaltensanalyse) als verdächtig eingestuft.
Quelle : www.gulli.com
-
(http://www.heise.de/imgs/18/7/2/6/0/1/9/69cc2f80b10a8305.png)
Virenanalysten von Kaspersky haben eine neue Version des Staatstrojaners (http://www.securelist.com/en/blog/208193167/Federal_Trojan_s_got_a_Big_Brother) von Digitask entdeckt. Sie unterstützt auch 64-Bit-Windows und kann deutlich mehr Programme belauschen. Der große Bruder des vom CCC analysierten Trojaners besteht aus insgesamt fünf Dateien. Sie fanden sich in einem Installationsprogramm namens scuinst.exe (Skype CaptureUnit Installer), das F-Secure kürzlich aufgespürt hatte (http://www.f-secure.com/weblog/archives/00002250.html).
Neben Skype stehen eine Reihe von weiteren Voice-Over-IP-Applikationen auf der Liste der zu überwachenden Prozesse, aber auch Browser, Mail- und Instant-Messaging-Programme. Die vollständige Liste ist:
- explorer.exe
- firefox.exe
- icqlite.exe
- lowratevoip.exe
- msnmsgr.exe
- opera.exe
- paltalk.exe
- simplite-icq-aim.exe
- simppro.exe
- sipgatexlite.exe
- skype.exe
- skypepm.exe
- voipbuster.exe
- x-lite.exe
- yahoomessenger.exe
Darüber hinaus haben die Experten einen signierten 64-Bit-Treiber entdeckt, dessen Zertifikat vom fiktiven Herausgeber Goose Cert ausgestellt wurde. Eine Signatur ist Voraussetzung dafür, dass ein 64-Bit-Windows den Treiber lädt. Allerdings akzeptiert ein normales Windows das gefälschte Zertifikat nicht, so dass bei der Installation eigentlich auch der Zertifikatsspeicher von Windows manipuliert werden müsste. Wie dies geschieht, ist bislang unklar. Aber es wird immer klarer, dass Antiviren-Software keinen Schutz vor einem solchen Staatstrojaner bieten kann. Denn wer den Zertifikatsspeicher manipuliert, kann auch eventuell aufmüpfige AV-Software zum Schweigen bringen.
Und schließlich haben die Digitask- Entwickler offenbar weitere Rootkit-Methoden abgekupfert und neben der bekannten AppInit-Methode auch einen neuen Mechanismus implementiert, die Trojaner-Bibliothek im Kontext der Zielprozesse zu aktivieren.
-
Allerdings akzeptiert ein normales Windows das gefälschte Zertifikat nicht, so dass bei der Installation eigentlich auch der Zertifikatsspeicher von Windows manipuliert werden müsste
das muss nicht einmal der fall sein, denn wenn der spy direkt aufgespielt wird, kann man windows auch mit einfachen mitteln unzertifizierte oder falsch zertifizierte Dateien unterjubeln.
Und wenn man schon den Rechner vor sich hat, lässt sich auch relativ schnell fast jedes Antivieren-programm aushebeln, der Anwender sieht nix von den Modifikationen und sein AV-programm gaukelt ihm eine nicht existente Sicherheit vor.
Mich würde jetzt nur noch interessieren, wann die Linux-spy's publik gemacht werden und ab wann die Trojaner fürs I-phone bzw für die android-phones rauskommen ;wusch
Wobei: bei den Handys braucht es eigentlich nix, die plaudern auch so schon genug :fr
[private meinung] Wer noch immer seine Laptops/Note/Netbooks von der eingebauten unverschlüsselten Festplatte startet, ist selbst schuld, Und wer seinen Rechnern aus den Augen lässt und andere Leuts drann handwerken lässt, dem ist nicht zu helfen.
mal zum nachdenken: 32GB micro-sd kosten nicht die welt und sind verdammt klein, die könnten auch "versehentlich" bei Nichtgebrauch im Portemonnaie landen, und wie man von diesen dingern bootet, das ist unter anderem auch hier nachzulesen.
-
Du hast wieder einmal vollkommen recht.
Allerdings frage ich mich, ob wir nicht komplett verkaspert werden sollen.
Wenn die erwähnte Liste von Programmen wirklich echt und vollständig wäre, könnte man ja recht einfach ausweichen.
Zwar geht's da um Prozess-Namen, die der Normaluser nicht einfach umbenennen kann, aber es gibt ja für die meisten Zwecke ausreichend alternative Anwendungen.
So mag ich nicht glauben, dass sich ein derartiges Spionagewerkzeug nur und immer um die genannten Prozesse bemüht.
Zumal man beispielsweise den erwähnten Browsern auch statt dessen recht einfach ein unauffälliges Plugin unterjubeln könnte.
Und wieso wird ausgerechnet iexplore.exe nicht erwähnt???
Jürgen
-
Und wieso wird ausgerechnet iexplore.exe nicht erwähnt???
Jürgen
Das hat mich auch zum grübeln gebracht :hmm
-
benutzt den überhaupt noch jemand ? :lach
denke eher, das es ein tapfäler gewesen ist und der erste eintrag auf besagter liste der Ie sein sollte. Denn': den einfachen Explorer zu überwachen ist zu aufwendig /müllig, dann eher andere Prozesse oder Task abgreifen.
-
denke eher, das es ein tapfäler gewesen ist
Möglich ist alles...aber wirklich alles!! :rg
-
Der CCC hat die bereits von Kaspersky entdeckten, neueren Versionen des Staatstrojaners von Digitask analysiert (http://www.ccc.de/de/updates/2011/analysiert-aktueller-staatstrojaner). Diese datiert auf den Dezember 2010 und ist bislang keinem konkreten Fall zuzuordnen. Bei der Analyse lag der Schwerpunkt auf den Nachbesserungen bei den Schwächen des Vorgängers und der postulierten "revisionssicheren Protokollierung" aller Aktivitäten.
(http://www.heise.de/imgs/18/7/2/9/1/0/0/0zapft0-7685c134b9e4b906.png)
Das Tool BinDiff zeigt Ähnlichkeiten und Unterschiede
in der Struktur der beiden Trojaner-Versionen.
Bild vergrössern (http://www.heise.de/imgs/18/7/2/9/1/0/0/0zapft0-42090c58028ae105.png)
So fanden die "Reverser" des CCC, dass an der etwa drei Jahre neueren Version zwar durchaus Verbesserungen vorgenommen wurden, diese aber keineswegs ausreichen, um eine rechtskonforme Erhebung von Beweismitteln zu ermöglichen.
So wird im Modell des Jahres 2010 tatsächlich der Datenverkehr in beide Richtungen verschlüsselt, und auch eine rudimentäre Authentifizierung ist vorhanden. Allerdings kommt nach wie vor der gleiche AES-Schlüssel wie beim drei Jahre älteren Bruder zum Einsatz. Auch an der peinlichen Nutzung des ECB-Modus der AES-Verschlüsselung hat sich demnach nichts geändert. Insgesamt kann nach einer kurzen Analyse eines Trojaners immer noch die gesamte Kommunikation zwischen Trojaner und C&C-Server belauschen und sogar manipulieren.
Deshalb konnten die CCC-Spezialisten auch in wenigen Stunden ihren nachgebauten Steuer-Server an die Veränderungen so umbauen, dass er mit den neuen Versionen funktioniert. Damit ließe sich ein mit dem Staatstrojaner infizierter Rechner steuern. Außerdem konnten Sie auch mit einem nachgebauten Fake-Trojaner selbst "Beweise" etwa in Form von Screenshots übertragen, die ein C&C-Server mangels "Authentisierungs-Checks [..], die auch nur annähernd zeitgemäß wären", als authentisch akzeptieren würde. Wenn ein solcher Fake-Trojaner auf dem belauschten Rechner liefe, würde auch ein Abgleich der IP-Adressen keine weiteren Auffälligkeiten zutage fördern. Letzlich kommt der CCC zu dem Schluss, "dass per Trojaner erlangte Screenshots (und andere „Beweise“) generell als gefälscht anzusehen sind und keinerlei Beweiskraft haben".
Im Übrigen enthält auch die 2010er-Version des Staatstrojaners die bedenkliche Nachladefunktion, über die der Trojaner beliebige Programme aus dem Internet herunterladen und ausführen könnte. Diese wurde vor allem kritisiert, weil sie gegen die vom Verfassungsgericht geforderte technische Beschränkung auf die Überwachung von Telekommunikation verstoße. Verteidiger bezeichneten sie hingegen als unverzichtbaren Update-Mechanismus.
Quelle : www.heise.de
-
Experten der University of Toronto sind offenbar auf eine weitere Version des FinFisher-Trojaners gestoßen. Allem Anschein nach ist eine mobile Fassung des Schadprogramms auch mit gängigen Smartphones kompatibel. Durch die Angreifbarkeit von beispielsweise iOS oder Android-Systemen, könnte ein infiziertes Handy zum getarnten Spionage-Tool werden.
Bereits vor einigen Wochen konnten die Sicherheitsexperten des Citizen Labs die Existenz eines Staatstrojaners deutsch-englischer Herkunft nachweisen. Infolgedessen wurden dem Projekt aus aller Welt weitere mysteriöse Dateien unbekannter Herkunft übersandt, aus denen die Forscher nun ihre neusten Erkenntnisse ziehen konnten.
Auf ihrer Webseite schreiben die Mitarbeiter des Instituts der University of Toronto, vom Fund mehrerer Trojaner für iOS, Android, Blackberry, Windows Mobile und Symbian. Die Verhaltensweisen der Software entspreche dabei den beworbenen Methoden einer kommerziellen Software namens FinFisher, die von der Firma Gamma International vertrieben wird. Nach Angaben der Analysten kann ein Angreifer mit Hilfe der Tools den vollen Zugriff auf das betroffene Telefon erlangen. Möglich wäre also beispielsweise die Verfolgung des Zieles mittels des eingebauten GPS-Chips oder der Download sensibler Informationen.
Die Infektion eines Gerätes stellt sich allerdings nicht völlig problemlos dar. Der Benutzer muss für die Installation des Trojaners letztendlich selbst tätig werden, indem er eine Datei ausführt. Diese kann ihm beispielsweise in einer Email oder SMS als wichtiges Software-Update verkauft werden.
Im Rahmen der Dekompilierung der Programme stießen die Forscher wie Screenshots belegen auf den Namen eines Mitarbeiters der Herstellerfirma, sowie die Bezeichnung „Gamma International“ selbst. Das Unternehmen allerdings hält sich in einer zuletzt veröffentlichten Stellungnahme mit näheren Informationen zurück. Zwar würden die gefundenen Codezeilen Ähnlichkeiten mit FinFisher aufzeigen, für eine endgültige Identifikation bedürfe es allerdings weiterer Untersuchungen. Sollten sie die Vermutungen der Forscher allerdings bestätigten, könnte es sich bei den Funden nur um eine widerrechtlich kopierte Demoversion handeln.
Quelle : www.gulli.com