diff options
author | 46halbe <46halbe@berlin.ccc.de> | 2009-03-05 22:33:18 +0000 |
---|---|---|
committer | 46halbe <46halbe@berlin.ccc.de> | 2020-05-23 13:38:09 +0000 |
commit | acc8a17c72c46a3bbbd5f63acf4c51b48e0cfc8b (patch) | |
tree | 06d2ab09da28be55836a38ae26f5f379dc707471 | |
parent | 77b87da6c76d196c6a852b5d2accf0d48bc07fdc (diff) |
committing page revision 2
-rw-r--r-- | updates/2007/bundestrojaner-elster.md | 76 |
1 files changed, 76 insertions, 0 deletions
diff --git a/updates/2007/bundestrojaner-elster.md b/updates/2007/bundestrojaner-elster.md new file mode 100644 index 00000000..c75744d1 --- /dev/null +++ b/updates/2007/bundestrojaner-elster.md | |||
@@ -0,0 +1,76 @@ | |||
1 | title: Bundestrojaner in ELSTER-Software entdeckt | ||
2 | date: 2009-03-05 13:24:42 | ||
3 | updated: 2009-03-05 22:33:18 | ||
4 | author: 46halbe | ||
5 | tags: update | ||
6 | |||
7 | Untersuchungen des Chaos Computer Clubs ergaben, dass der Bundestrojaner über die aktuelle Version der Elster-Software verbreitet wird. | ||
8 | |||
9 | |||
10 | <!-- TEASER_END --> | ||
11 | |||
12 | Seit dem 19. März 2007 wird die aktuelle ELSTER-Software für das Jahr | ||
13 | 2006/2007 in der Version 8.1.0.0 \[1\] für den Steuerbürger | ||
14 | bereitgestellt. Schon von Anfang an hegten Experten Zweifel an der | ||
15 | Integrität der 18 MB großen .exe-Datei. Nach einer mehrtägigen | ||
16 | intensiven Analyse fand der Chaos Computer Club (CCC) nun deutliche | ||
17 | Hinweise, dass über die fragwürdige Software der sog. Bundestrojaner | ||
18 | \[2\] verbreitet wird. | ||
19 | |||
20 | Der Bundestrojaner, kürzlich als neues Werkzeug des überwachungsstaates | ||
21 | in die Schlagzeilen geraten, soll das Ausspähen der gesamten | ||
22 | steuerpflichtigen Bevölkerung ermöglichen. Jeder Bürger mit eigenem | ||
23 | Einkommen wird in Zukunft verpflichtet, die Steuererklärung mittels | ||
24 | ELSTER-Software abzugeben. Dass es dem CCC nach wenigen Tagen gelang, | ||
25 | den Trojaner ausfindig zu machen, spricht nicht eben für die Qualität | ||
26 | der Spitzelsoftware. | ||
27 | |||
28 | Die Analyse zeigte verschiedene verdächtige Module, wie z. B. | ||
29 | wte0104-brsjm.digit, das u. a. vorhandene Mikrofone und Kameras in | ||
30 | modernen Computern einschalten kann. Weitere Routinen dienen der | ||
31 | Durchsuchung der auf dem Rechner gespeicherten Dateien. Eine Funktion | ||
32 | sendet Daten vom Benutzerrechner ferngesteuert an den BKA-Rechner mit | ||
33 | der IP-Adresse 217.7.176.25 \[3\]. | ||
34 | |||
35 | Der Trojaner tauscht offenbar auch einige Systemdateien aus, um sich | ||
36 | unabhängig vom ELSTER-Programm auf dem System einzunisten. Die | ||
37 | Schadsoftware erzwingt danach einen Neustart des Rechners. Auf dem | ||
38 | Bildschirm des betroffenen Computers erscheint dazu die Fehlermeldung: | ||
39 | "Systemfehler 70797976 – Neustart erforderlich." | ||
40 | |||
41 | Pikanterweise wird ein Port auf dem infizierten Rechner geöffnet, der es | ||
42 | erlaubt, neue Suchbegriffe nachzuladen. Das ist insofern problematisch, | ||
43 | da die Suchfunktion eine Schwachstelle enthält, die es einem Angreifer | ||
44 | erlaubt, nicht nur Suchbegriffe, sondern beliebige Daten und | ||
45 | ausführbaren Code auf dem Rechner zu platzieren. "Damit ist der | ||
46 | unbemerkten Manipulation aller Daten Tür und Tor geöffnet," sagte | ||
47 | CCC-Spezialexperte Jens-Thorben Janckiewozki. | ||
48 | |||
49 | Eine erste Ausnutzung dieser Nachladeschwachstelle wurde auch schon in | ||
50 | der freien Wildbahn beobachtet. Ein schwer zu analysierender, auf | ||
51 | Schwachstellen des Bundestrojaners aufsetzender Wurm dient | ||
52 | wahrscheinlich dem Abfangen von PIN- und TAN-Eingaben von | ||
53 | Onlinebanking-Benutzern der Postbank. Auch erste Zusammenschlüsse von | ||
54 | gekaperten Rechnern zu sogenannten Botnetzen wurden im Verlaufe des | ||
55 | Samstags beobachtet. Der Chef des BSI hatte unlängst Botnetze als größte | ||
56 | Gefahr im Internet ausgemacht. | ||
57 | |||
58 | Bisher war weder das BKA noch das Bundesinnenministerium für eine | ||
59 | Stellungnahme zu erreichen. Unter der Hand gab ein Techniker des BKA | ||
60 | jedoch zu, dass in den eigenen Reihen niemand den Trojaner programmiert | ||
61 | hätte. Dafür mussten schon aus Kostengründen im Ausland Fachkräfte | ||
62 | angeworben werden. Die großen Antivirenhersteller haben mittlerweile | ||
63 | ebenfalls mit der Analyse begonnen und hoffen in den nächsten Tagen | ||
64 | entsprechende Updates zu verbreiten. | ||
65 | |||
66 | - \[1\] [ElsterWeb](https://www.elster.de/) | ||
67 | - \[2\] [Wikipedia: | ||
68 | Bundestrojaner](http://de.wikipedia.org/wiki/Bundestrojaner) | ||
69 | - \[3\] [Whois | ||
70 | 217.7.176.25](http://www.ripe.net/whois?searchtext=217.7.176.25) | ||
71 | |||
72 | Nachtrag: Aufgrund heftiger Reaktionen und entsprechender Nachfragen | ||
73 | sehen wir uns angehalten, darauf hinzuweisen, dass es sich bei dieser | ||
74 | Meldung um einen Aprilscherz handelt. Der CCC kann natürlich trotzdem | ||
75 | nicht ausschließen, dass die Elster-Software den Bundestrojaner oder | ||
76 | schlimmeres enthält. | ||