Peter's Insider Blog

Wie in Deutschland gibt es auch in der Schweiz das Bestreben von staatlichen Stellen, PCs unbemerkt mittels Trojaner ausspionieren zu können. So unrealistisch ist das Szenario nicht, allerdings gibt es schon ein paar Fallstricke mit denen Kriminalbeamten zu kämpfen hätten. Hier eine kleine Aufstellung der Probleme, die die Staatsschützer vor sich haben, diese Probleme haben theoretisch auch billige Virenprogrammierer mit Ausnahme, dass diese nicht gezielt eine spezielle Person ausspionieren möchten, sondern ihr "Produkt" weit streuen. Hier werden ausschliesslich Probleme diskutiert, die durch die Verwendung eines lokal installierten Softwaretrojaner entstehen. Es gibt weitere Möglichkeiten um nur den Internetverkehr eines Benutzers auszuspionieren, dazu gehören: Backdoor in Router, abhören bei Telekomfirmen, abhören von Internetknoten (IX).

Problem 1: Wie kommt der Trojaner überhaupt auf den PC?

Sicherheitslücke im Betriebssystem

Dies ist wohl die grösste Schwierigkeit der Ganzen Sachen. Ohne Social Engineering kommen Trojaner eigentlich nur über eine Sicherheitslücke in dem Betriebssystem auf den Computer und auch das nur falls keine Hardwarefirewall oder Router davorgeschaltet sind. Der Wurm Sasser ist hierfür das bekannteste Beispiel.

über Email

Eine andere Methode tut not. Über welches Medium kommen die meisten Viren auf PCs? => Richtig, über Emails oder Sicherheitslücken im Microsoft Internet Explorer. Bei Email besteht das Problem, das der Benutzer überzeugt werden muss, dass er das Attachement öffnen soll. Das funktioniert sicherlich bei einigen Leuten, aber der Staat will gezielt überwachen und nicht tausende von Mails versenden und anschliessend darauf vertrauen, dass ein Prozent der Leute den Trojaner tatsächlich haben. Gold wert sind Methoden, die dank Mediencontainerformaten (JPEG, MOV, WMV, ...) Schwachstellen in den Implementierungen ausnutzen, d.h. einen Buffer Overflow erzeugen und den Code des Trojaners ausführen. Denn mal davon abgesehen, dass ausführbare Anhänge meistens durch das Email Programm gesperrt sind, ist es doch relativ plump jemandem ein .exe zuzuschicken. Bilder, Videos, Animationen, PDFs sind meistens nicht gesperrt und deshalb ein gefährliches Einfallstor.

Browserbedingte Auslieferung von Sicherheitslücken

Falls es möglich ist jemanden auf eine Seite zu locken, ist es anschliessend möglich der Person einen Trojaner unterzujubeln, falls der betreffende Browser (wie z.B. Internet Explorer, Firefox, Opera, Safari) eine Möglichkeit (Sicherheitslücke) bietet um dies zu tun. Dank der Mitlieferung des User Agent ist es möglich den Browsertyp festzustellen und dem Browser eine Sicherheitslücke nach seinem Gusto anzubieten. Das wäre eine Art bedingte Sicherheitslückenauslieferung, möglich ist es, aber ob es bisher gemacht wurde ist mir nicht bekannt.

Social Engineering

Klar wenden auch die oben genannten Einschleusungsmethoden über Browser und Email Methoden vom Social Engineering an, wenn auch nur in einem bedingten Rahmen. Social Engineering wird hauptsächlich bei Industriespionage und Betrugsversuchen angewandt. Social Engineering kann als Methode beschrieben werden um von einer bestimmten Person, bestimmte Informationen zu erhalten. Dies ist brandgefährlich und deshalb werden Personen die Umgang mit sensitiven Informationen haben auch darauf geschult, oder sollten es werden. Die betreffende Person müsste also im konkreten Fall ("Bundestrojaner") von verdeckt operierenden Beamten unter Vorspielung falscher Tatsachen dazu gebracht werden, den Trojaner zu installieren.

Problem 2: Plattformunabhängigkeit

Trojaner haben das Problem von einem bestimmten Betriebssystem abhängig zu sein. Plattformunabhängige Trojaner existieren hauptsächlich in der Theorie. Natürlich wäre es aber möglich ein Virus in Java zu schreiben, und nur den Ladecode in betriebssystemspezifischem Code, aber ob dies sinnvoll ist kann als fragwürdig bezeichnet werden. Mit anderen Worten heisst das, der Staat müsste entweder Trojaner für alle Plattformen entwickeln lassen oder sich auf eine bestimmte Plattform versteifen. Nachfolgende Bemerkungen zu den einzelnen Systemen sind mit einem ironischen Unterton zu betrachten:

Windows: Eine Mehrzahl der Leute nutzt Windows, d.h. die meisten Kriminellen nutzen (wahrscheinlich) Windows.

GNU/Linux: Wer Linux nutzt, kann doch keiner Fliege was zu leide tun, oder?

Mac OS: Wer ein solch stabiles System besitzt, wird nicht auf den Gedanken kommen ein Verbrechen zu begehen.

FreeBSD: Hey, die haben ein Teufelchen als Logo, die sind potentiell gefährlich.

Die Frage nach der Plattformunabhängigkeit ist demnach geklärt, falls diese Entscheidung jemals ansteht, wird man sich aufgrund dessen Verbreitung wahrscheinlich für Windows entscheiden.

Problem 3: Entdeckung durch Virenscanner

Auch ein staatlicher Trojaner sollte nicht von einem Virenscanner entdeckt werden. Dazu erwägt man mit Herstellern von Virensoftware zusammen zu arbeiten, was diese kaum tun werden. Das Ziel ist also, dass der Trojaner nicht von der Virensoftware und dem Benutzer entdeckt werden darf. Aus meiner Sicht ist dies nicht mal so ein Problem, wie angenommen wird, denn:

• Der Trojaner wird gezielt eingesetzt, d.h. es gibt keine grosse Verbreitung und die Gefahr das er von einem Sicherheitsspezialist entdeckt und analysiert wird ist relativ klein.
• Es ist möglich Trojaner zu schreiben die die Heuristikfunktionen der Virenscanner passieren.
• Bern hat die Möglichkeit den Trojaner im Vorfeld an allen aktuellen Sicherheitssuiten ausgiebig zu testen.

Fazit

Ein Bundestrojaner, wäre zwar machbar. Dies würde aber einerseits viel Arbeit und Aufwand mit sich bringen. Und auf der anderen Seite, ist ein Einsatz immer noch fragwürdig. Natürlich wäre es diskreter, als bei einer Hausdurchsuchung den betreffenden Computer zu beschlagnahmen, aber da wäre wenigstens eine allfällige Willkür ersichtlich. Gerade im Zusammenhang mit dem amerikanischen Patriot Act, der NSA, dem realitätwerdenden 1984, ist folgende lateinische Frage immer noch aktuell: "Quis custodiet ipsos custodes?", => Wer überwacht die Überwacher? Vielleicht nimmt Moritz Leuenberger in seinem Blog ja mal Stellung dazu.

Meinungen aus CH-Blogs zum Thema Bundestrojaner:

Staatstrojaner vs. Virenschutz

Bünzlitrojaner

In der Schweiz sollen uns “Softwarewanzen” überwachen

Hacker Staat