summaryrefslogtreecommitdiff
diff options
context:
space:
mode:
-rw-r--r--updates/2007/bundestrojaner-elster.md76
1 files changed, 76 insertions, 0 deletions
diff --git a/updates/2007/bundestrojaner-elster.md b/updates/2007/bundestrojaner-elster.md
new file mode 100644
index 00000000..c75744d1
--- /dev/null
+++ b/updates/2007/bundestrojaner-elster.md
@@ -0,0 +1,76 @@
1title: Bundestrojaner in ELSTER-Software entdeckt
2date: 2009-03-05 13:24:42
3updated: 2009-03-05 22:33:18
4author: 46halbe
5tags: update
6
7 Untersuchungen des Chaos Computer Clubs ergaben, dass der Bundestrojaner über die aktuelle Version der Elster-Software verbreitet wird.
8
9
10<!-- TEASER_END -->
11
12Seit dem 19. März 2007 wird die aktuelle ELSTER-Software für das Jahr
132006/2007 in der Version 8.1.0.0 \[1\] für den Steuerbürger
14bereitgestellt. Schon von Anfang an hegten Experten Zweifel an der
15Integrität der 18 MB großen .exe-Datei. Nach einer mehrtägigen
16intensiven Analyse fand der Chaos Computer Club (CCC) nun deutliche
17Hinweise, dass über die fragwürdige Software der sog. Bundestrojaner
18\[2\] verbreitet wird.
19
20Der Bundestrojaner, kürzlich als neues Werkzeug des überwachungsstaates
21in die Schlagzeilen geraten, soll das Ausspähen der gesamten
22steuerpflichtigen Bevölkerung ermöglichen. Jeder Bürger mit eigenem
23Einkommen wird in Zukunft verpflichtet, die Steuererklärung mittels
24ELSTER-Software abzugeben. Dass es dem CCC nach wenigen Tagen gelang,
25den Trojaner ausfindig zu machen, spricht nicht eben für die Qualität
26der Spitzelsoftware.
27
28Die Analyse zeigte verschiedene verdächtige Module, wie z. B.
29wte0104-brsjm.digit, das u. a. vorhandene Mikrofone und Kameras in
30modernen Computern einschalten kann. Weitere Routinen dienen der
31Durchsuchung der auf dem Rechner gespeicherten Dateien. Eine Funktion
32sendet Daten vom Benutzerrechner ferngesteuert an den BKA-Rechner mit
33der IP-Adresse 217.7.176.25 \[3\].
34
35Der Trojaner tauscht offenbar auch einige Systemdateien aus, um sich
36unabhängig vom ELSTER-Programm auf dem System einzunisten. Die
37Schadsoftware erzwingt danach einen Neustart des Rechners. Auf dem
38Bildschirm des betroffenen Computers erscheint dazu die Fehlermeldung:
39"Systemfehler 70797976 – Neustart erforderlich."
40
41Pikanterweise wird ein Port auf dem infizierten Rechner geöffnet, der es
42erlaubt, neue Suchbegriffe nachzuladen. Das ist insofern problematisch,
43da die Suchfunktion eine Schwachstelle enthält, die es einem Angreifer
44erlaubt, nicht nur Suchbegriffe, sondern beliebige Daten und
45ausführbaren Code auf dem Rechner zu platzieren. "Damit ist der
46unbemerkten Manipulation aller Daten Tür und Tor geöffnet," sagte
47CCC-Spezialexperte Jens-Thorben Janckiewozki.
48
49Eine erste Ausnutzung dieser Nachladeschwachstelle wurde auch schon in
50der freien Wildbahn beobachtet. Ein schwer zu analysierender, auf
51Schwachstellen des Bundestrojaners aufsetzender Wurm dient
52wahrscheinlich dem Abfangen von PIN- und TAN-Eingaben von
53Onlinebanking-Benutzern der Postbank. Auch erste Zusammenschlüsse von
54gekaperten Rechnern zu sogenannten Botnetzen wurden im Verlaufe des
55Samstags beobachtet. Der Chef des BSI hatte unlängst Botnetze als größte
56Gefahr im Internet ausgemacht.
57
58Bisher war weder das BKA noch das Bundesinnenministerium für eine
59Stellungnahme zu erreichen. Unter der Hand gab ein Techniker des BKA
60jedoch zu, dass in den eigenen Reihen niemand den Trojaner programmiert
61hätte. Dafür mussten schon aus Kostengründen im Ausland Fachkräfte
62angeworben werden. Die großen Antivirenhersteller haben mittlerweile
63ebenfalls mit der Analyse begonnen und hoffen in den nächsten Tagen
64entsprechende Updates zu verbreiten.
65
66- \[1\] [ElsterWeb](https://www.elster.de/)
67- \[2\] [Wikipedia:
68 Bundestrojaner](http://de.wikipedia.org/wiki/Bundestrojaner)
69- \[3\] [Whois
70 217.7.176.25](http://www.ripe.net/whois?searchtext=217.7.176.25)
71
72Nachtrag: Aufgrund heftiger Reaktionen und entsprechender Nachfragen
73sehen wir uns angehalten, darauf hinzuweisen, dass es sich bei dieser
74Meldung um einen Aprilscherz handelt. Der CCC kann natürlich trotzdem
75nicht ausschließen, dass die Elster-Software den Bundestrojaner oder
76schlimmeres enthält.