committing page revision 2

author: 46halbe <46halbe@berlin.ccc.de> 2009-03-05 22:33:18 +0000
committer: 46halbe <46halbe@berlin.ccc.de> 2020-05-23 13:38:09 +0000
commit: acc8a17c72c46a3bbbd5f63acf4c51b48e0cfc8b (patch)
tree: 06d2ab09da28be55836a38ae26f5f379dc707471 /updates/2007/bundestrojaner-elster.md
parent: 77b87da6c76d196c6a852b5d2accf0d48bc07fdc (diff)
1 files changed, 76 insertions, 0 deletions
diff --git a/updates/2007/bundestrojaner-elster.md b/updates/2007/bundestrojaner-elster.md
new file mode 100644
index 00000000..c75744d1
--- /dev/null
+++ b/updates/2007/bundestrojaner-elster.md
@@ -0,0 +1,76 @@
+title: Bundestrojaner in ELSTER-Software entdeckt
+date: 2009-03-05 13:24:42 
+updated: 2009-03-05 22:33:18 
+author: 46halbe
+tags: update
+  Untersuchungen des Chaos Computer Clubs ergaben, dass der Bundestrojaner über die aktuelle Version der Elster-Software verbreitet wird.
+<!-- TEASER_END -->
+Seit dem 19. März 2007 wird die aktuelle ELSTER-Software für das Jahr
+2006/2007 in der Version 8.1.0.0 \[1\] für den Steuerbürger
+bereitgestellt. Schon von Anfang an hegten Experten Zweifel an der
+Integrität der 18 MB großen .exe-Datei. Nach einer mehrtägigen
+intensiven Analyse fand der Chaos Computer Club (CCC) nun deutliche
+Hinweise, dass über die fragwürdige Software der sog. Bundestrojaner
+\[2\] verbreitet wird.
+Der Bundestrojaner, kürzlich als neues Werkzeug des überwachungsstaates
+in die Schlagzeilen geraten, soll das Ausspähen der gesamten
+steuerpflichtigen Bevölkerung ermöglichen. Jeder Bürger mit eigenem
+Einkommen wird in Zukunft verpflichtet, die Steuererklärung mittels
+ELSTER-Software abzugeben. Dass es dem CCC nach wenigen Tagen gelang,
+den Trojaner ausfindig zu machen, spricht nicht eben für die Qualität
+der Spitzelsoftware.
+Die Analyse zeigte verschiedene verdächtige Module, wie z. B.
+wte0104-brsjm.digit, das u. a. vorhandene Mikrofone und Kameras in
+modernen Computern einschalten kann. Weitere Routinen dienen der
+Durchsuchung der auf dem Rechner gespeicherten Dateien. Eine Funktion
+sendet Daten vom Benutzerrechner ferngesteuert an den BKA-Rechner mit
+der IP-Adresse 217.7.176.25 \[3\].
+Der Trojaner tauscht offenbar auch einige Systemdateien aus, um sich
+unabhängig vom ELSTER-Programm auf dem System einzunisten. Die
+Schadsoftware erzwingt danach einen Neustart des Rechners. Auf dem
+Bildschirm des betroffenen Computers erscheint dazu die Fehlermeldung:
+"Systemfehler 70797976 – Neustart erforderlich."
+Pikanterweise wird ein Port auf dem infizierten Rechner geöffnet, der es
+erlaubt, neue Suchbegriffe nachzuladen. Das ist insofern problematisch,
+da die Suchfunktion eine Schwachstelle enthält, die es einem Angreifer
+erlaubt, nicht nur Suchbegriffe, sondern beliebige Daten und
+ausführbaren Code auf dem Rechner zu platzieren. "Damit ist der
+unbemerkten Manipulation aller Daten Tür und Tor geöffnet," sagte
+CCC-Spezialexperte Jens-Thorben Janckiewozki.
+Eine erste Ausnutzung dieser Nachladeschwachstelle wurde auch schon in
+der freien Wildbahn beobachtet. Ein schwer zu analysierender, auf
+Schwachstellen des Bundestrojaners aufsetzender Wurm dient
+wahrscheinlich dem Abfangen von PIN- und TAN-Eingaben von
+Onlinebanking-Benutzern der Postbank. Auch erste Zusammenschlüsse von
+gekaperten Rechnern zu sogenannten Botnetzen wurden im Verlaufe des
+Samstags beobachtet. Der Chef des BSI hatte unlängst Botnetze als größte
+Gefahr im Internet ausgemacht.
+Bisher war weder das BKA noch das Bundesinnenministerium für eine
+Stellungnahme zu erreichen. Unter der Hand gab ein Techniker des BKA
+jedoch zu, dass in den eigenen Reihen niemand den Trojaner programmiert
+hätte. Dafür mussten schon aus Kostengründen im Ausland Fachkräfte
+angeworben werden. Die großen Antivirenhersteller haben mittlerweile
+ebenfalls mit der Analyse begonnen und hoffen in den nächsten Tagen
+entsprechende Updates zu verbreiten.
+-   \[1\] [ElsterWeb](https://www.elster.de/)
+-   \[2\] [Wikipedia:
+    Bundestrojaner](http://de.wikipedia.org/wiki/Bundestrojaner)
+-   \[3\] [Whois
+    217.7.176.25](http://www.ripe.net/whois?searchtext=217.7.176.25)
+Nachtrag: Aufgrund heftiger Reaktionen und entsprechender Nachfragen
+sehen wir uns angehalten, darauf hinzuweisen, dass es sich bei dieser
+Meldung um einen Aprilscherz handelt. Der CCC kann natürlich trotzdem
+nicht ausschließen, dass die Elster-Software den Bundestrojaner oder
+schlimmeres enthält.
author	46halbe <46halbe@berlin.ccc.de>	2009-03-05 22:33:18 +0000
committer	46halbe <46halbe@berlin.ccc.de>	2020-05-23 13:38:09 +0000
commit	acc8a17c72c46a3bbbd5f63acf4c51b48e0cfc8b (patch)
tree	06d2ab09da28be55836a38ae26f5f379dc707471 /updates/2007/bundestrojaner-elster.md
parent	77b87da6c76d196c6a852b5d2accf0d48bc07fdc (diff)

diff --git a/updates/2007/bundestrojaner-elster.md b/updates/2007/bundestrojaner-elster.md new file mode 100644 index 00000000..c75744d1 --- /dev/null +++ b/updates/2007/bundestrojaner-elster.md
@@ -0,0 +1,76 @@
	1	title: Bundestrojaner in ELSTER-Software entdeckt
	2	date: 2009-03-05 13:24:42
	3	updated: 2009-03-05 22:33:18
	4	author: 46halbe
	5	tags: update
	6
	7	Untersuchungen des Chaos Computer Clubs ergaben, dass der Bundestrojaner über die aktuelle Version der Elster-Software verbreitet wird.
	8
	9
	10	<!-- TEASER_END -->
	11
	12	Seit dem 19. März 2007 wird die aktuelle ELSTER-Software für das Jahr
	13	2006/2007 in der Version 8.1.0.0 \[1\] für den Steuerbürger
	14	bereitgestellt. Schon von Anfang an hegten Experten Zweifel an der
	15	Integrität der 18 MB großen .exe-Datei. Nach einer mehrtägigen
	16	intensiven Analyse fand der Chaos Computer Club (CCC) nun deutliche
	17	Hinweise, dass über die fragwürdige Software der sog. Bundestrojaner
	18	\[2\] verbreitet wird.
	19
	20	Der Bundestrojaner, kürzlich als neues Werkzeug des überwachungsstaates
	21	in die Schlagzeilen geraten, soll das Ausspähen der gesamten
	22	steuerpflichtigen Bevölkerung ermöglichen. Jeder Bürger mit eigenem
	23	Einkommen wird in Zukunft verpflichtet, die Steuererklärung mittels
	24	ELSTER-Software abzugeben. Dass es dem CCC nach wenigen Tagen gelang,
	25	den Trojaner ausfindig zu machen, spricht nicht eben für die Qualität
	26	der Spitzelsoftware.
	27
	28	Die Analyse zeigte verschiedene verdächtige Module, wie z. B.
	29	wte0104-brsjm.digit, das u. a. vorhandene Mikrofone und Kameras in
	30	modernen Computern einschalten kann. Weitere Routinen dienen der
	31	Durchsuchung der auf dem Rechner gespeicherten Dateien. Eine Funktion
	32	sendet Daten vom Benutzerrechner ferngesteuert an den BKA-Rechner mit
	33	der IP-Adresse 217.7.176.25 \[3\].
	34
	35	Der Trojaner tauscht offenbar auch einige Systemdateien aus, um sich
	36	unabhängig vom ELSTER-Programm auf dem System einzunisten. Die
	37	Schadsoftware erzwingt danach einen Neustart des Rechners. Auf dem
	38	Bildschirm des betroffenen Computers erscheint dazu die Fehlermeldung:
	39	"Systemfehler 70797976 – Neustart erforderlich."
	40
	41	Pikanterweise wird ein Port auf dem infizierten Rechner geöffnet, der es
	42	erlaubt, neue Suchbegriffe nachzuladen. Das ist insofern problematisch,
	43	da die Suchfunktion eine Schwachstelle enthält, die es einem Angreifer
	44	erlaubt, nicht nur Suchbegriffe, sondern beliebige Daten und
	45	ausführbaren Code auf dem Rechner zu platzieren. "Damit ist der
	46	unbemerkten Manipulation aller Daten Tür und Tor geöffnet," sagte
	47	CCC-Spezialexperte Jens-Thorben Janckiewozki.
	48
	49	Eine erste Ausnutzung dieser Nachladeschwachstelle wurde auch schon in
	50	der freien Wildbahn beobachtet. Ein schwer zu analysierender, auf
	51	Schwachstellen des Bundestrojaners aufsetzender Wurm dient
	52	wahrscheinlich dem Abfangen von PIN- und TAN-Eingaben von
	53	Onlinebanking-Benutzern der Postbank. Auch erste Zusammenschlüsse von
	54	gekaperten Rechnern zu sogenannten Botnetzen wurden im Verlaufe des
	55	Samstags beobachtet. Der Chef des BSI hatte unlängst Botnetze als größte
	56	Gefahr im Internet ausgemacht.
	57
	58	Bisher war weder das BKA noch das Bundesinnenministerium für eine
	59	Stellungnahme zu erreichen. Unter der Hand gab ein Techniker des BKA
	60	jedoch zu, dass in den eigenen Reihen niemand den Trojaner programmiert
	61	hätte. Dafür mussten schon aus Kostengründen im Ausland Fachkräfte
	62	angeworben werden. Die großen Antivirenhersteller haben mittlerweile
	63	ebenfalls mit der Analyse begonnen und hoffen in den nächsten Tagen
	64	entsprechende Updates zu verbreiten.
	65
	66	- \[1\] [ElsterWeb](https://www.elster.de/)
	67	- \[2\] [Wikipedia:
	68	Bundestrojaner](http://de.wikipedia.org/wiki/Bundestrojaner)
	69	- \[3\] [Whois
	70	217.7.176.25](http://www.ripe.net/whois?searchtext=217.7.176.25)
	71
	72	Nachtrag: Aufgrund heftiger Reaktionen und entsprechender Nachfragen
	73	sehen wir uns angehalten, darauf hinzuweisen, dass es sich bei dieser
	74	Meldung um einen Aprilscherz handelt. Der CCC kann natürlich trotzdem
	75	nicht ausschließen, dass die Elster-Software den Bundestrojaner oder
	76	schlimmeres enthält.