summaryrefslogtreecommitdiff
diff options
context:
space:
mode:
author46halbe <46halbe@berlin.ccc.de>2011-10-26 11:55:58 +0000
committer46halbe <46halbe@berlin.ccc.de>2020-05-23 13:39:08 +0000
commit8258d12f8dbf5d771a52dc265266a6609cf7bca9 (patch)
treebe95c5eaab7d2f7a71e71846cdb7904a9fbd49c1
parentd81d7af8e44516e90a01d34735d474290bedaf96 (diff)
committing page revision 1
-rw-r--r--updates/2011/analysiert-aktueller-staatstrojaner.md226
1 files changed, 226 insertions, 0 deletions
diff --git a/updates/2011/analysiert-aktueller-staatstrojaner.md b/updates/2011/analysiert-aktueller-staatstrojaner.md
new file mode 100644
index 00000000..5063ff1e
--- /dev/null
+++ b/updates/2011/analysiert-aktueller-staatstrojaner.md
@@ -0,0 +1,226 @@
1title: Chaos Computer Club analysiert aktuelle Version des Staatstrojaners
2date: 2011-10-26 12:00:00
3updated: 2011-10-26 11:55:58
4author: presse
5tags: update, pressemitteilung, staatstrojaner
6previewimage: /images/0zapftisdiffed_1.png
7
8Dem Chaos Computer Club (CCC) wurde jüngst eine noch fast fabrikneue Version des Staatstrojaners zugetragen. Der Vergleich zur älteren, vom CCC bereits analysierten Version mit dem aktuellen Schnüffel-Code vom Dezember 2010 förderte neue Erkenntnisse zutage. Entgegen aller Beteuerungen der Verantwortlichen kann der Trojaner weiterhin gekapert, beliebiger Code nachgeladen und auch die angeblich "revisionssichere Protokollierung" manipuliert werden. Der CCC fordert daher einen vollständigen Verzicht auf Trojanereinsätze in Ermittlungsverfahren.
9
10
11<!-- TEASER_END -->
12
13Am 8. Oktober 2011 veröffentlichte der CCC die Dokumentation und
14Binärdaten eines deutschen Staatstrojaners. \[0\] Dieser wurde für
15verharmlosend "Quellen-Telekommunikationsüberwachung" genannte
16behördliche Computerinfiltrationen genutzt. Der Einsatz in
17Ermittlungsverfahren und zur Repression wurde zwischenzeitlich von
18vielen Bundesländern eingeräumt.
19
20Obwohl der CCC handfeste technische Beweise veröffentlicht hatte,
21dementierten die Behörden, verantwortliche Innenpolitiker und der
22Hersteller DigiTask die Existenz illegaler Funktionalitäten
23\[1\],\[2\],\[10\] und beriefen sich auf eine angeblich veraltete
24Softwareversion des analysierten Trojaners.
25
26Die Ausflüchte variierten von "Testversion" bis "Prototyp", DigiTask
27beteuerte noch am 11. Oktober 2011 gegenüber seinen Behördenkunden, daß
28fast alle Probleme in neueren Versionen gelöst seien. Die Funktion zum
29Code-Nachladen wird vom Hersteller DigiTask unisono mit den einsetzenden
30Behörden als "natürlich notwendig" angesehen, zum darin implizierten
31Grundrechtsverstoß wird in keiner Weise Stellung bezogen. Gemacht wird,
32was nutzt, der Zweck heiligt die Mittel.
33
34Der CCC legte daher nun eine weitere detaillierte technische
35Dokumentation einer neueren Version des Staatstrojaners aus dem Jahre
362010 vor. \[3\] Die Aussagen von DigiTask in \[10\] erweisen sich anhand
37der im Bericht erläuterten Details als beschönigender Versuch, die
38rechtswidrige technische Realität zu kaschieren. Zeitgleich werden vom
39CCC kommentierte Disassemblate beider Trojaner-Versionen öffentlich zur
40Verfügung gestellt, um eine Nachvollziehbarkeit der Erkenntnisse zu
41gewährleisten und weitere Forschung durch Interessierte zu erleichtern.
42\[4\]
43
44"Auch in den letzten drei Jahren waren die Behörden und ihr
45Dienstleister offensichtlich nicht in der Lage, einen Staatstrojaner zu
46entwickeln, der auch nur minimalen Anforderungen an Beweiskraft,
47Grundgesetzkonformität und Sicherheit gegen Manipulation erfüllt", faßte
48ein CCC-Sprecher die neuen Erkenntnisse zusammen. "Es steht aus
49prinzipiellen und konkreten Gründen auch nicht zu erwarten, daß dies in
50Zukunft gelingt."
51
52Die Befunde des neuen CCC-Berichts stehen in scharfem Kontrast zu den
53Behauptungen des Innenstaatssekretärs Ole Schröder, der offenbar das
54kürzere Streichholz gezogen hatte und dem Bundestag Rede und Antwort
55stehen mußte. Dort behauptete er: "Die Software wird für jeden
56Einzelfall entsprechend konzipiert und vorher überprüft, damit sie eben
57nicht mehr kann, als sie darf." \[8\] Die Prüfung kann ausweislich der
58vorgefundenen Zustände nicht sehr intensiv gewesen sein – wie sollte sie
59auch, ohne verfügbaren Quellcode.
60
61## Der CCC fordert daher:
62
631. Kein weiterer Einsatz von Trojanern in strafprozeßualen
64 Ermittlungen,
652. Sofortige Offenlegung der Quellcodes und aller Prüfprotokolle über
66 vergangene Einsätze von Trojanern durch deutsche
67 Ermittlungsbehörden,
683. Zukünftige automatische Offenlegung von Quellcode, Binary und
69 Protokollen des Trojaners nach jedem Einsatz.
704. Bei einer staatlichen Infiltration eines Rechners muß unwiderruflich
71 die Möglichkeit erlöschen, Daten von der Festplatte des
72 infiltrierten Systems gerichtlich zu verwerten.
73
74"Der Kontrast zwischen den wohlfeil klingenden Beschwichtigungen des
75BKA-Präsidenten im Innenausschuß und den vorgefundenen technischen
76Realitäten könnte kaum größer sein", kommentierte ein CCC-Sprecher. "Das
77DigiTask-Trojaner-Modell 2010 entspricht wie seine Vorgängervarianten in
78keiner Weise dem Stand der Technik und enthält weiterhin die
79grundgesetzbrechende Funktion zum Nachladen beliebiger Erweiterungen. Es
80ist ein 'multifunktionaler Rohling' in einem ganz anderen Sinne."
81
82Die nun analysierte Version 3.6.44 des von der Firma DigiTask
83entwickelten Trojaners entspricht in ihren Funktionen den Angaben des
84BKA-Präsidenten Ziercke im Innenausschuß des Bundestages, \[1\] nach
85denen inzwischen eine beidseitige Verschlüsselung und weitere
86Schutzmechanismen implementiert worden seien. Grundsätzlich stellte sich
87bei der Analyse heraus, daß sich die Trojaner-Version aus dem Jahre 2010
88nur punktuell von der älteren Variante unterscheidet.
89
90Wesentliche technische Neuerung des DigiTask-Trojaners Modell 2010 ist
91die von BKA-Präsident Ziercke betonte bi-direktionale Verschlüsselung,
92laut DigiTask seit dem 8. Oktober 2009 in Verwendung. \[10\] Die Analyse
93zeigt jedoch, daß diese genauso schlecht implementiert und anfällig für
94Angriffe ist, wie in den zuvor verwendeten Varianten. Der CCC konnte
95sein selbstgeschriebenes Trojaner-Steuerprogramm in nur wenigen Stunden
96anpassen, die Schadsoftware weiterhin steuern und Code auf den
97Opfer-Rechner nachladen.
98
99Selbst DigiTask mochte die schwerwiegenden Manipulationsmöglichkeiten
100nicht in Abrede stellen. "Dies würde im Umkehrschluss bedeuten, dass die
101Behörden eigene nicht richterlich zugelassene Funktionen selbst
102schreiben und auf das ZÜA System laden. Dieser Vorwurf der Manipulation
103durch eine Sicherheitsbehörde ist technisch möglich, würde aber geloggt
104werden und mit einem MD5 Hash Wert versehen." (Agovis im Original) Wieso
105die manipulierende Sicherheitsbehörde dazu die DigiTask-Steuersoftware
106verwenden sollte, die möglicherweise den Code-Upload loggen könnte,
107bleibt wohl das Geheimnis des DigiTask-Geschäftsführers Achim Pulverich.
108
109Wie von Herrn Ziercke zu Protokoll gegeben sind die Funktionen zum
110Anfertigen von Bildschirmfotos nicht mehr direkt aus der staatlichen
111Fernsteuersoftware heraus zugänglich. Die verfassungswidrige
112Nachladefunktion steht jedoch weiterhin scheunentorweit offen. Dies
113bedeutet, daß unbefugten Dritten vom spukhaften Fernlöschen von Dateien
114bis hin zur akustischen Raumüberwachung genausoviele Möglichkeiten
115geboten werden, wie den ermittelnden Beamten und ihren von Unkenntnis
116der technischen Sachlage geplagten Vorgesetzten.
117
118Besonders bemerkenswert ist die Verwendung desselben, bereits mindestens
119drei Jahre alten und zudem fest eingebauten AES-Schlüssels für die
120Verschleierung der Datenübertragung. Laut der DigiTask-Stellungnahme ist
121erst seit dem 2. Juli 2010 überhaupt die Vergabe eines anderen
122AES-Schlüssels "global für eine Recording Unit" möglich. Eine angeblich
123neue, aber noch nicht veröffentlichte Version soll nun sogar
124bahnbrechenden Fortschritt ermöglichen und einen neuen Key pro
125Infiltrationsmaßnahme ermöglichen. Das dem CCC vorliegende
126Trojaner-Exemplar vom Dezember 2010 hat jedoch wiederum keinen
127abweichenden AES-Schlüssel. Kleinere Anpassungen versetzten den CCC
128innerhalb kürzester Zeit in die Lage, mit Hilfe seines
129selbstentwickelten Fernsteuer-Werkzeugs auch diesen neueren Trojaner zu
130kontrollieren, ein Programm hochzuladen und dieses zur Ausführung zu
131bringen. \[5\]
132
133Der CCC zeigt zusätzlich zu den bisherigen Erkenntnissen, daß eine
134sogenannte "revisionssichere Protokollierung" im Falle eines Staats-
135oder Bundestrojaners nicht effektiv umsetzbar ist. In der Realität der
136Trojaner-Software kann sogar von unautorisierten Dritten eine
137Ermittlungsmaßnahme mit fingierten "Beweisen" irregeführt werden. Schon
138die erste Vorführung einer selbstgebauten Fernsteuer-Software des CCC
139hat gezeigt, daß ein Trojaner Befehle von unautorisierten Dritten
140erhalten kann, ohne daß die Behörden davon Notiz nehmen, geschweige denn
141revisionssicher protokollieren könnten.
142
143Zur Veranschaulichung führte der Club nun eine Software vor, mit Hilfe
144derer jeder den Ermittlern gefälschte Bildschirmfotos senden kann.
145Bizarrerweise bestätigt die Herstellerfirma DigiTask in ihrer
146Stellungnahme diesen Fakt und behauptet allen Ernstes: "Das
147Unterschieben von falschen Beweisen kann z. B. über eine vorhandene
148DSL-Überwachung erkannt werden." Daß die DigiTask-Software keine
149nennenswerten Sicherungsmechanismen gegen einen solchen Angriff
150aufweist, wird nicht einmal bestritten.
151
152Dahinter steckt der simple Fakt, daß ein Trojaner auf einem
153unkontrollierbaren System läuft, nämlich dem Computer eines
154Verdächtigen. Hier ist er potentiell immer unter Kontrolle des Besitzers
155oder eines weiteren Angreifers. Es ist nicht möglich, einen Trojaner zu
156entwickeln, den unautorisierte Dritte nicht imitieren könnten. Alles
157dazu notwendige Wissen steckt schließlich im Trojaner selbst, den man
158per Definition in dem Moment aus der Hand gibt, wenn man ihn auf dem
159Fremdsystem installiert. Hier kann er jederzeit entdeckt und untersucht
160werden. Mit Trojanern erlangte Erkenntnisse sind daher generell nicht
161gerichtsfest. Der CCC fordert, diese einfache Erkenntnis zu
162verinnerlichen und gesetzlich zu verankern.
163
164"Per Trojaner erlangte Beweise dürfen generell nicht vor Gericht
165verwertet werden. Die Exekutive darf kein rechtsfreier Raum sein", sagte
166ein CCC-Sprecher.
167
168Ein weiterer wesentliche Aspekt ist die Inkaufnahme von Risiken für die
169Betroffenen. Man halte sich das Beispiel des Zollkriminalamts vor Augen,
170das durch eine Infiltration deutscher Firmencomputer mit nachladefähiger
171Trojanersoftware etwaigen Wirtschaftsspionen und Konkurrenten die
172aufwendige Verwanzung ihrer Opfer erspart. Schlimmer noch: Die
173fahrlässige und schlecht geschützte Durchleitung der gewonnenen
174Betriebsgeheimnisse durch Netzwerke und Rechenzentren auf ihrem Weg in
175und durch die USA liefern unzähligen weiteren Parteien einen Zugriff
176frei Haus – 0zapftis.
177
178Die Verantwortlichen für die Konzeptionierung, den Einsatz und die
179Überprüfung dieser Trojaner lassen den notwendigen Respekt vor dem
180Urteil des Bundesverfassungsgerichtes aus dem Jahr 2008 sowie eine
181ausreichende technische und rechtliche Ausbildung vermissen. Wer solch
182grundgesetzwidrige Vorgehensweise nach der Maxime 'der Zweck heiligt die
183Mittel' nicht nur billigt, sondern fortzuführen plant, hat in
184verantwortlicher Position in einem Rechtsstaat nichts verloren.
185
186## Links:
187
188- \[0\] [Die erste Pressemitteilung zum
189 Staatstrojaner](http://www.ccc.de/de/updates/2011/staatstrojaner "Erste Pressemitteilung")
190- \[1\]
191 <http://netzpolitik.org/wp-upload/174366-Bericht-BKA-Prasident-Ziercke_TOP-24a-24c_53.-InnenA-Sitzug.pdf>
192- \[2\]
193 <http://www.bundestag.de/dokumente/protokolle/plenarprotokolle/17132.pdf>
194- \[3\] [Technischer
195 Report](http://www.ccc.de/system/uploads/83/original/staatstrojaner-report42.pdf)
196 Die hier betrachtete Version des Trojaners stellte sich während der
197 Analyse als identisch mit den an die Antivirus-Industrie über das
198 Portal Virustotal übermittelten Binärdaten vom Dezember 2010 heraus.
199 Virustotal bietet eine Plattform zum Online-Analysieren potentieller
200 Schadsoftware und verteilt diese Dateien an die größten Antivirus-
201 und Betriebssystemhersteller zur Entwicklung von Gegenmaßnahmen.
202 Informationen aus der Antivirus-Indstrie zufolge hat vermutlich der
203 Hersteller DigiTask selbst diese Version zu Virustotal übermittelt,
204 um zu prüfen, ob aktuelle Virenscanner den Trojaner erkennen können.
205- \[4\] [kommentierte Disassemblate beider
206 Trojaner-Versionen](http://www.ccc.de/system/uploads/85/original/0zapftis-release-2.tbz)
207 und die [Binaries
208 dazu](http://www.ccc.de/system/uploads/84/original/0zapftis-3.6.44-binaries.tbz)
209- \[5\] Videos: <http://haha.kaputte.li/0zapftis-2_lowres-final.mov>\
210 [http://haha.kaputte.li/0zapftis-2\_922x578-final.mov (medium
211 resolution)](http://haha.kaputte.li/0zapftis-2_922x578-final.mov%20(medium%20resolution))\
212 [http://haha.kaputte.li/0zapftis-2\_1230x770-final.mov (high
213 resolution)](http://haha.kaputte.li/0zapftis-2_1230x770-final.mov%20(high%20resolution))
214- \[6\] Frank Braun: „[0zapftis – (Un)Zulässigkeit von
215 ,Staatstrojanern‘](http://www.kommunikationundrecht.de/delegate/resources/dok751.pdf?fileid=dok751.pdf_kur&type=asset)“.
216 In: Kommunikation & Recht 11/2011, S. 681-686
217- \[7\] [FAQ zum
218 Staatstrojaner](http://pi10.tumblr.com/post/11835810799/faq-zum-staatstrojaner)
219- \[8\] [Plenarprotokoll 17/132 des Deutschen
220 Bundestages](http://www.bundestag.de/dokumente/protokolle/plenarprotokolle/17132.pdf), 19.
221 Oktober 2011, S. 15604,
222- \[9\] Ulf Buermeyer, Matthias Bäcker: [Zur Rechtswidrigkeit der
223 Quellen-Telekommunikationsüberwachung auf Grundlage des § 100a StPO,
224 HRRS](http://www.hrr-strafrecht.de/hrr/archiv/09-10/index.php?sz=8)
225- \[10\] [Dem CCC zugespielte Stellungnahme der Firma DigiTask an ihre
226 Behördenkunden](http://www.ccc.de/system/uploads/80/original/Stellungnahme_DigiTask.pdf)