Deutsch

Während den letzten zwei Wochen habe ich an einem neuen Tool gearbeitet, welches auf den Methoden des SkypeTrojaners aufbaut. Es sollen Programme überwacht und aus ihnen sensitive Daten extrahiert werden. Dazu müssen zwischen der laufenden Anwendung und dem Betriebssystem Zwischenfunktionen eingefügt, ge-hookt, werden. Bis ich die richtigen Funktionen gefunden hatte, hat zwar ein wenig Zeit gebraucht aber das Resultat ist zufriedenstellend und ich denke, dass ich auf dem richtigen Weg bin. Momentan lassen sich Passwörter aus Google Chrome, Apple Safari, Windows Live (Instant Messenger + Mail), GoogleTalk, FireFirefox und Thunderbird extrahieren. Zwar sind noch nicht alle Schwachpunkte optimal anfokusiert und der Datenabgriff könnte an treffsichereren stellen stattfinden, aber mit ein wenig mehr Zeit wird die Trefferquote, Zuverlässigkeit und der Umfang an abzuhörenden Programmen erweitert.

Am 3. November um 13.00 (Schweizerzeit) wird der Quellcode für MioStar 0.1 veröffentlicht. Interessierte dürfen gerne den Code herunterladen, durchschauen und Kritik anbringen.
In der selben Zeit habe ich den SkypeTrojaner für GoogleTalk umgeschrieben. Die Audiodaten werden mitgeschnitten, nach MP3 konvertiert und gespeichert. Dieser Quellcode folgt nächste oder übernächste Woche.

English

Hello,

The last 2 weeks I have been working on a new tool, which is based on the methods of the Skype trojan. The objective is to surveil programs and extract sensible data from them. In order to do so you have to plant function hooks between the running program and the operating system. It took a while until i found the correct functions, but the result is satisfying and i think that I am on the right track. At the moment it is possible to extract passwords from Google Chrome, Apple Safari, Windows Live (Instant Messenger + Mail), GoogleTalk, FireFirefox and Thunderbird . For some programs there are better ways of attacking them, but with a little more time the procedures can be optimized.
On the 3rd of November (1pm Swiss time) the MioStar source code will be relased. Those who are interested are welcome to download, explore, review and critizise it.
Within the same time I have rewritten the SkypeTrojan code that way it can intercept GoogleTalk conversations. The audio data gets intercepted, converted to MP3 and saved. This source code will be released in the coming weeks.

Skype Wanze als Quelltext veröffentlicht

Ende August 2009 veröffentlichte ein Schweizer Software-Entwickler den Quelltext eines Programmes, das die Kommunikation über Skype belauschen kann. Das Programm wird hierzu als Trojaner auf einen PC geschleust und schneidet die Audio-Daten der Gespräche mit, um diese dann als MP3-Dateien auf einen definierten Server zu laden. Dieser Trojaner hat zudem eine Selbstzerstörungsfunktion. Die Person, die den Quelltext veröffentlicht hatte, war selbst an der Entwicklung dieses Trojaners beteiligt und Mitarbeiter der Herstellerfirma ERA IT Solutions. 2006 wurde bekannt, dass auch der Bund den Einsatz eines Skype Trojaners dieser Firma getestet hat. Die Motivation der Veröffentlichung war nun anscheinend, dass der Entwickler mehr Licht in dieses dunkle Thema bringen wollte. Im Dezember hatte der Software-Entwickler den Quellcode des Abhörtrojaners für Skype 4 angepasst und den nicht kompletten Quellcode wiederum veröffentlicht. Die fehlenden Passagen sollen zu einem späteren Zeitpunkt folgen.

Da Skype die Kommunikation zwischen zwei Teilnehmern verschlüsselt, ist es für die Strafverfolgung – im Gegensatz zum Fest- respektive Mobiltelefon – nicht einfach möglich, bei einer Strafuntersuchung ein entsprechendes Telefonat abzuhören. Diesen Umstand machen sich Kriminelle zu Nutze und führen ihre Gespräche mit Vorteil über Kanäle, auf die die Polizei keinen Zugriff hat. Falls ein Gespräch via Skype trotzdem abgehört werden soll, muss zwingend eine Software auf einem Computer der beiden Kommunikationsteilnehmer installiert werden.
Wie bei der Veröffentlichung einer Zero-Day Lücke sollte der Publizierende auch hier eine Nutzen-Risiko Analyse durchführen. Sind der Nutzen der Aufklärung und auch der Nutzen eines allfälligen Druckes auf die Behörden, respektive auf die Softwarehersteller höher zu bewerten als das Risiko, dass das vorher vertrauliche Wissen nun auch in die Hände von Kriminellen gelangen kann.

Quelldokument : Informationssicherung

Der Bund will mit heimlich eingeschleusten Trojanern Computer durchsuchen. Experten erklären, wie das funktioniert. Die Piratenpartei droht mit einem Referendum.
Die Strafverfolgungsbehörden wollen künftig Trojaner auf die Computer von Verdächtigen schleusen dürfen. Mithilfe dieser Überwachungsprogramme soll der Staat nicht nur verschlüsselte Mails oder verschlüsselte Internettelefonate (VoIP) mitverfolgen können, sondern sich auch gleich auf der Festplatte der überwachten Personen umsehen dürfen. «Es kann auf das ganze Datenverarbeitungsprogramm zugegriffen werden», so die offizielle Beschreibung.

Die neue Massnahme ist in einem Vernehmlassungsentwurf für ein überarbeitetes Bundesgesetz betreffend die Überwachung des Post- und Fernmelde verkehrs (Büpf) zu finden. Veröffentlicht wurde der Entwurf letzte Woche. Deutschschweizer Nachrichtenagenturen und Medien haben die neue Massnahme bisher nicht bemerkt.

Dabei betont sogar das Bundesamt für Justiz (BJ) in seinen Erläuterungen, um welch heiklen Eingriff in die Privatsphäre der Betroffenen es sich handelt: Mit dieser Technik könne auch auf Daten zugegriffen werden, welche nicht in Zusammenhang mit dem Überwachungszweck stünden und «die zur Privat- oder sogar Intimsphäre gehören». Als Beispiele werden «Fotos», «Filme» sowie «Korrespondenz» genannt.

Den geplanten Einsatz von Bundes trojanern rechtfertigt das Bundesamt für Justiz mit der zunehmend verschlüsselten Kommunikation von Verdächtigten, sei dies per Mail oder VoIP- Telefonie (beispielsweise Skype), die mit herkömmlichen Methoden nicht überwachbar sind. «Wir führen keine Statis tik darüber, wie viele Personen in der Schweiz verschlüsselte E-Mails verschicken», sagt Eva Zwahlen vom Bundesamt für Justiz auf Nachfrage. Heutzutage würden aber zahlreiche Mailsysteme die Verschlüsselung standardmässig ausführen.

Passwörter mitlesen
(Bundes-)Trojaner sind Programme, die unbemerkt auf dem Rechner (oder dem Mobiltelefon) der zu überwachenden Person laufen. Einmal installiert, sind sie kaum zu entdecken. Übers Internet sendet der Trojaner Informationen an die Behörde. Diese erhält so Zugriff auf alle Dateien, kann die Tastatureingaben mitlesen (wodurch sie zu Verschlüsselungspasswörtern kommt) oder das System gar fernsteuern. Bei Laptops kann beispielsweise das Mikrofon eingeschaltet werden, was das unbemerkte Abhören von Gesprächen im Raum ermöglicht, in dem der Laptop steht.

Patrick Rohner, beim BJ zuständig für die Büpf-Revision, redet nicht gerne von Trojanern: «Der Begriff ist negativ besetzt. Der Staat ist ja kein Internetkrimineller, sondern handelt im Rahmen des Gesetzes.» Technisch sei mit den Programmen vieles möglich, räumt Rohner ein. Die Aktivierung von Laptopmikrofonen etwa hält er nicht nur technisch, sondern dank des vorgeschlagenen Gesetzes künftig auch juris tisch für möglich. Rohner betont aber, dass die Untersuchungsbehörden vor dem Einsatz der Trojaner verschiedene Verfahrenshürden nehmen müssen.

Das unbemerkte Einschleusen von Trojanern auf den Computer oder das Mobiltelefon des Verdächtigten ist anspruchsvoll. Wie das gehen könnte, erklärt ein IT-Experte mit Erfahrungen auf dem Gebiet. Er möchte anonym bleiben, nennen wir ihn Pit Schürmann: «Man müsste zuerst mittels herkömmlicher Überwachung das Verhalten der Zielperson analysieren, um einen geeigneten Weg zu finden, ihr den Trojaner unterzujubeln.» Getarnt als Freund der Person, könnte man ihr dann beispielsweise ein Computerspiel zusenden, in welchem sich der Trojaner versteckt. «Eine weitere Möglichkeit ist die Installation vor Ort im Rahmen einer verdeckten Polizeiaktion», so Schürmann.

Ruben Unteregger hat früher für die Schweizer Firma ERA IT Solutions gearbeitet. Bereits 2006 berichtete die «SonntagsZeitung», die Firma habe im Auftrag des Bundes Trojaner zur Überwachung von Skype-Gesprächen entwickelt. Letzten Sommer hat Ruben Unteregger Bausteine für solche Trojaner der Öffentlichkeit online zugänglich gemacht. Er geht davon aus, dass die Behörden zur Einschleusung von Trojanern weniger die «klassischen Hackermethoden» verwenden würden, sondern auf die Mithilfe der Provider zählten. «Nicht umsonst zwingt das neue Büpf diese ja zur Kooperation in diesem Punkt» (vgl. «Unternehmen zur Schnüffelei gezwungen» weiter unten). Mithilfe der Provider könne man sich in den Datenstrom einklinken. Wolle der Nutzer ein Programm aus dem Internet runter laden, könne man den Trojaner um das nachgefragte Programm herumwickeln, was eine «elegante Methode» und nur mittelmässig aufwändig sei, so Unter egger. «So würden zudem Antivirenprogramme umgangen, da es sich ja um einen legitimen, vom Benutzer initiierten Download handelt.»

Alles Kinderpornografie?
Für Viktor Györffy, Anwalt und Präsident von grundrechte.ch, hat der Einsatz von Trojanern einen grundsätzlich anderen Charakter als die traditionelle Kommunikationsüberwachung. «Das ist, wie wenn Sie, statt die Briefe abzufangen und zu öffnen, den Schreibtisch aufbrechen und neben dem Büro gleich auch noch das Wohn- und das Schlafzimmer durchstöbern.» Man müsse sich bewusst sein, wie zentral die Computer für die Menschen geworden sind. «In ihnen bilden sich sehr grosse Teile unseres Lebens ab.» Es handle sich hier um einen «wahnsinnig einschneidenden Eingriff» in die Persönlichkeitsrechte eines Betroffenen, so Györffy.

Betroffen von Überwachungsmassnahmen (und damit auch von Trojaner angriffen) können Personen sein, bei denen der Verdacht besteht, ein bestimmtes Delikt begangen zu haben. Die Liste der Delikte, für welche das Gesetz eine solche Überwachung zulässt, verweist auf nicht weniger als 97 Strafartikel. Darunter Klassiker wie die Finanzierung einer terroristischen Organisation, verbotene Pornografie oder Mitgliedschaft in einer kriminellen Organisation, aber auch schwerere Drogendelikte, Diebstahl, Veruntreuung, Betrug, Sachbeschädigung mit hohem Schaden, unbefugte Datenbeschaffung, gewerbsmässiger Wucher, Drohung, Schreckung der Bevölkerung oder Störung des Eisenbahnverkehrs, um nur einige Beispiele zu nennen.

Patrick Rohner vom BJ betont, dass der Trojanereinsatz nur «doppelt subsidiär» angewandt werden soll. Bereits die herkömmliche Kommunikations überwachung werde nämlich nur bewilligt, wenn normale Untersuchungsmethoden nicht ausreichten. Nur wenn auch die Kommunikationsüberwachung «erfolglos geblieben» sei, etwa wenn der Verdächtige Mails verschlüsselt, komme es zum Einsatz der Trojaner. «Bei allen Kommunikationsüberwachungen gilt: Es braucht eine Bewilligung eines Gerichts», so Rohner. Beim Trojaner einsatz «muss der Staatsanwalt zudem die Art der Daten, die er will, genau angeben». So soll vermieden werden, dass auf Daten zugegriffen wird, die von vornherein nutzlos sind.

IT-Experte Pit Schürmann: «Ohne sich erst einmal durch die Dateien zu ackern, kann man sich kein abschliessendes Bild machen.» Es gebe zwar Spezialprogramme, die zum Beispiel automatisiert Kinderpornografie finden würden, schliesslich könne aber nur ein Mensch eine seriöse Durchsuchung garantieren. Viktor Györffy von grundrechte.ch: «Sind die Dateien einmal durchschnüffelt, dann ist die Privatsphäre bereits verletzt – egal, was dann weitergereicht wird und was nicht.»

Hohe Kosten
Bezüglich Aufwand rede man bei einem Trojanerangriff nicht von fünf Stunden, sondern eher von fünfzig Stunden Arbeit – «bei Stundenansätzen von rund 250 Franken wird das schnell sehr teuer», sagt Pit Schürmann. Ruben Unteregger betont, dass man einen Trojaner nicht einfach schreiben und dann ewig einsetzen könne. «Die Programme müssen ständig gepflegt und erweitert werden, um mit der technischen Realität auf den Rechnern mitzuhalten.»

Patrick Rohner vom BJ zu den Kos ten: «Es ist teuer, weil es A-la-carte-Lösungen braucht. Die genauen Kosten kenne ich nicht. Wir reden in einem Fall vielleicht von 10 000, in einem anderen vielleicht von nur 1000 Franken.» Die Kosten würden für die Staatsanwälte ein weiterer Grund sein, diese Art der Überwachung sorgfältig zu prüfen, so Rohner.

Politischer Widerstand gegen die Büpf-Revision ist abzusehen. Zur Wehr setzen will sich etwa die Piratenpartei. Deren Präsident Denis Simonet zur WOZ: «Nützt Aufklärung nichts, so halten wir uns die Möglichkeit offen, das Referendum zu ergreifen.» Simonet weist darauf hin, dass laut Gesetzesentwurf nicht nur Verdächtige betroffen wären, sondern auch Leute aus dem engeren Umfeld der Verdächtigten. «Man findet in jedem Umfeld jemanden, den man eines Deliktes verdächtigen kann.» Wichtig sei es, nun eine Debatte über Überwachung an sich zu lancieren. «Schuldig ist man erst, wenn man verurteilt wurde», sagt der Piratenpräsident. «Das nennt sich Unschuldsvermutung.»

Unternehmen zur Schnüffelei gezwungen
Heute bekommen Kommunikationsdienstleister für Überwachungen eine Entschädigung ausbezahlt. In der Praxis betrifft das vor allem Telefon- und Mobilfunkdienstleister sowie Anbieter von Internetzugängen (Access-Provider). Letztere müssen seit April dieses Jahres in der Lage sein, den gesamten Datenverkehr ihrer KundInnen bei Bedarf in Echtzeit mitzuschneiden, wie die WOZ letzten Sommer enthüllte (siehe WOZ Nr. 29/09). Neu müssen die sogenannten Randdaten aller Internet-, Mobil- und TelefonnutzerInnen während zwölf statt sechs Monaten gespeichert werden.

Die staatlichen Entschädigungen für Kommunikationsüberwachungen hingegen sollen wegfallen. Grössere Firmen protestieren bereits dagegen. Gegenüber der «Aargauer Zeitung» sprach etwa die Cablecom von «Zusatzkosten im sechsstelligen Bereich». Die Swisscom befürchtet, dass künftig auch die Anzahl der Behördenanfragen steigen wird.
Kommt der vorliegende Entwurf für das Gesetz zur Überwachung des Post- und Fernmeldeverkehrs (Büpf) durch, erweitert sich zudem der Kreis jener beträchtlich, die auf eigene Kos ten die Überwachungsarbeit für den Staat erledigen müssen. Betroffen wären neu alle sogenannten «reinen Serviceprovider», darunter auch Kleinstbetriebe oder Privatpersonen, die Speicherplatz für Webseiten anbieten (Webhosting), sofern sie dies beruflich tun.

Das stellt gerade kleine Betriebe vor grosse Probleme: Silvan Gebhardt ist 23-jährig, Inhaber eines Start-up-­Unternehmens in Frauenfeld und spezialisiert auf Kommunikationslösungen für Unternehmen, die dank Gebhardts Firma OpenFactory über Internet telefonie kommunizieren können. «Was dieses Gesetz von mir verlangt, kostet mich zwei bis drei Monatsumsätze – noch bevor überhaupt eine Überwachung angeordnet wird.» Für seine GmbH mit zwei Angestellten sei dies «existenzbedrohend». Der Jungunternehmer, der schon als Dreizehnjähriger IT-Dienstleistungen angeboten hat, sagt: «Sollte das Gesetz so durchkommen, könnte ich es einfach ignorieren – und dabei eine Busse in ebenfalls existenzbedrohender Höhe riskieren.» Wer den Weisungen nicht Folge leistet, kann laut Büpf-Entwurf mit bis zu 100000 Franken gebüsst werden.

Nun hat Unteregger den Sourcecode über die Feiertage angepasst. Damit lassen sich auch Gespräche abhören, die mit der neusten Version der VoIP-Software geführt werden. «Im Internet stehen auf einschlägigen Seiten auch Programme zur Verfügung, mit denen sich die Mikrofone eines Rechners ansteuern lassen. Mein Ansatz bestand allerdings darin, die Skype-Applikation isoliert zu betrachten und alle Daten, die darüber laufen, abzufangen. Dafür muss der Trojaner auf den Rechner der Zielperson eingeschleust werden, was sich über verschiedene Wegen bewerkstelligen lässt», erklärt er im Gespräch mit 20 Minuten Online.

Trojaner steht im Web bereit

Das Update des Trojaners war keine grosse Sache, da Skype die bestehende Sicherheitslücke nach wie vor nicht behoben hat: «Ich habe lediglich ein paar Fehler ausgemerzt und die ganze Sache ein bisschen vereinfacht», so Unteregger. Auf seiner Webseite stellt er den Quelltext kostenlos zur Verfügung. Allerdings ist der Code nicht komplett. «Den Quellcode habe ich am 26. Dezember veröffentlicht, auf lauffähige Trojaner wurde wegen Missbrauchsgefahr bewusst verzichtet», sagt Unteregger. Die fehlenden Passagen sollen zu einem späteren Zeitpunkt veröffentlichen werden.

Der PC wird zur Wanze

Im den kommenden Monaten will Unteregger ein Programm veröffentlichen, mit dem sich PC-Mikrofone ansteuern und als Wanzen missbrauchen lassen. Damit soll die breite Öffentlichkeit auf die bestehenden Sicherheitsmängel aufmerksam gemacht werden.

Der Programmierer arbeitete früher rund 7 Jahre für das Schweizer Unternehmen ERA IT Solutions und war dort für die Erstellung von Schadsoftware zuständig. Dem Unternehmen wird nachgesagt, dass sie auch im Auftrag staatlicher Stellen Trojaner und andere Schadsoftware produziert haben sollen.

Megapanzer (Ruben Unteregger) hat die freie Zeit über die Feiertage genutzt, um seinen alten Code aufzuräumen, Fehler zu beseitigen und den Code an die aktuelle Version von Skype anzupassen. Den Quellcode des Trojaners hat er veröffentlicht, um bewusst auf diese Sicherheitslücke hinzuweisen. Der Source kann von hier heruntergeladen werden. Im Rahmen unseres damaligen Interviews von vor drei Monaten sagte er über die Zukunft der staatlichen Überwachung:

“Ich glaube (…), dass das Equipment der Behörden zur Überwachung und Strafverfolgung gut aufgestockt wurde. Es wäre an der Zeit, wenn die nächsten zwei, drei Schritte von der Gegenseite gemacht würden und dem Kontrollwahn ein wenig entgegengewirkt wird. Sobald die Welle aus Deutschland auch in die Schweiz überschwappt und man stetig das Gefühl vermittelt bekommt, dass einem jemand über die Schulter schaut, das hätte ich dann doch gerne anders.

Vorratsdatenspeicherung, Onlinedurchsuchung, Zensur, Raumüberwachung, Bewegungsprofil, Telefonie-, E-Mail- und SMS-Überwachung… das ist doch ein beachtliches und bedrohlich anmutendes Arsenal an Überwachungs- und Kontrollinstrumenten. Das sollte einem schon die Augen öffnen, den Leidensdruck ein wenig erhöhen, zum Nachdenken anregen und klar werden lassen, in welche Richtung es gehen kann oder wo wir gerade drinn stecken. Könnte man aufzeigen, dass einige dieser Dinge nicht die Sicherheit und den Schutz bieten können, unter welchem sie “verkauft” wurden und diese Nachricht würde dann auch in den Köpfen ankommen und die Idee wieder gekippt werden, das wäre ein guter Schritt in die richtige Richtung.“