summaryrefslogtreecommitdiff
path: root/updates
diff options
context:
space:
mode:
Diffstat (limited to 'updates')
-rw-r--r--updates/2011/addendum-staatstrojaner.md45
1 files changed, 45 insertions, 0 deletions
diff --git a/updates/2011/addendum-staatstrojaner.md b/updates/2011/addendum-staatstrojaner.md
new file mode 100644
index 00000000..04ebfd61
--- /dev/null
+++ b/updates/2011/addendum-staatstrojaner.md
@@ -0,0 +1,45 @@
1title: Addendum Staatstrojaner
2date: 2011-10-09 19:18:00
3updated: 2011-10-09 19:28:34
4author: 46halbe
5tags: staatstrojaner
6
7Der Chaos Computer Club (CCC) nimmt den Quellenschutz und die Hackerethik ernst. Dieses Addendum beschreibt die Positionen in der veröffentlichten Version von einem der uns zugespielten Staatstrojaner, an denen Daten modifiziert wurden, um die genaue Herkunft der Programme zu verschleiern.
8
9<!-- TEASER_END -->
10
11Wir gehen nach der vergleichenden Analyse der uns vorliegenden Versionen
12davon aus, daß die Behörden anhand von Ermittlungsfall-spezifischen
13Bezeichnern (also Trojaner-Binary-interne "Aktenzeichen") die Herkunft
14des veröffentlichten Programmes nachvollziehen können. Dem wollten wir
15entgegenwirken, um unsere Informanten zu schützen. Um sicherzugehen,
16wurden in wenigen Zweifelsfällen einige Byte modifiziert. Sollte sich
17aber später herausstellen, daß das "Schwärzen" einzelner Passagen
18unnötig war oder wird, werden wir eine aktualisierte Version des
19Trojaners zur Verfügung stellen und dies dokumentieren.
20
21Der veröffentlichte Trojaner ist nicht der aktuellste, den wir besitzen.
22Wir haben Grund zur Annahme, daß die uns vorliegenden Versionen über
23einen Zeitraum von anderthalb bis zwei Jahre zusammengebaut und
24eingesetzt wurden. Es kann also nicht von einer "Beta-Version"
25gesprochen werden.
26
27Es folgt eine Liste mit Positionen, an denen der Chaos Computer Club das
28originale Trojaner-Binary vor der Veröffentlichung gepatcht hat.
29
30An Offset 4C370h beginnen Daten, die folgende Bedeutungen haben:
31
32> 4C370h -\> unknown\_bytearray\[12\]         \
33> - modifiziert, da derzeit unbekannt\
34> 4C37Ch -\> unsigned short tcp\_port = 6666 \
35> - Der TCP-Port, zu Testzwecken modifiziert (Original: 443)\
36> 4C37Eh -\> unsigned char unk\_index = 0    \
37> - unmodifiziert\
38> 4C37Fh -\> unsigned long ip\_address = 172.16.98.1  \
39> - Die IP-Adresse des Weiterleitungsservers, zu Testzwecken modifiziert
40> (Original: 207.158.22.134)\
41> 4C383h -\> unsigned char case\_identifier\[13\] = "23CCC23\\0"\
42> - ASCII-Zeichenkette mit eindeutigem Aktenzeichen. Modifiziert zum
43> Quellenschutz\
44> 4C390h -\> unsigned char trojan\_version\[16\] = "3.4.26\\0"\
45> - Version des Trojaners wurde modifiziert