diff options
Diffstat (limited to 'updates')
-rw-r--r-- | updates/2011/addendum-staatstrojaner.md | 45 |
1 files changed, 45 insertions, 0 deletions
diff --git a/updates/2011/addendum-staatstrojaner.md b/updates/2011/addendum-staatstrojaner.md new file mode 100644 index 00000000..04ebfd61 --- /dev/null +++ b/updates/2011/addendum-staatstrojaner.md | |||
@@ -0,0 +1,45 @@ | |||
1 | title: Addendum Staatstrojaner | ||
2 | date: 2011-10-09 19:18:00 | ||
3 | updated: 2011-10-09 19:28:34 | ||
4 | author: 46halbe | ||
5 | tags: staatstrojaner | ||
6 | |||
7 | Der Chaos Computer Club (CCC) nimmt den Quellenschutz und die Hackerethik ernst. Dieses Addendum beschreibt die Positionen in der veröffentlichten Version von einem der uns zugespielten Staatstrojaner, an denen Daten modifiziert wurden, um die genaue Herkunft der Programme zu verschleiern. | ||
8 | |||
9 | <!-- TEASER_END --> | ||
10 | |||
11 | Wir gehen nach der vergleichenden Analyse der uns vorliegenden Versionen | ||
12 | davon aus, daß die Behörden anhand von Ermittlungsfall-spezifischen | ||
13 | Bezeichnern (also Trojaner-Binary-interne "Aktenzeichen") die Herkunft | ||
14 | des veröffentlichten Programmes nachvollziehen können. Dem wollten wir | ||
15 | entgegenwirken, um unsere Informanten zu schützen. Um sicherzugehen, | ||
16 | wurden in wenigen Zweifelsfällen einige Byte modifiziert. Sollte sich | ||
17 | aber später herausstellen, daß das "Schwärzen" einzelner Passagen | ||
18 | unnötig war oder wird, werden wir eine aktualisierte Version des | ||
19 | Trojaners zur Verfügung stellen und dies dokumentieren. | ||
20 | |||
21 | Der veröffentlichte Trojaner ist nicht der aktuellste, den wir besitzen. | ||
22 | Wir haben Grund zur Annahme, daß die uns vorliegenden Versionen über | ||
23 | einen Zeitraum von anderthalb bis zwei Jahre zusammengebaut und | ||
24 | eingesetzt wurden. Es kann also nicht von einer "Beta-Version" | ||
25 | gesprochen werden. | ||
26 | |||
27 | Es folgt eine Liste mit Positionen, an denen der Chaos Computer Club das | ||
28 | originale Trojaner-Binary vor der Veröffentlichung gepatcht hat. | ||
29 | |||
30 | An Offset 4C370h beginnen Daten, die folgende Bedeutungen haben: | ||
31 | |||
32 | > 4C370h -\> unknown\_bytearray\[12\] \ | ||
33 | > - modifiziert, da derzeit unbekannt\ | ||
34 | > 4C37Ch -\> unsigned short tcp\_port = 6666 \ | ||
35 | > - Der TCP-Port, zu Testzwecken modifiziert (Original: 443)\ | ||
36 | > 4C37Eh -\> unsigned char unk\_index = 0 \ | ||
37 | > - unmodifiziert\ | ||
38 | > 4C37Fh -\> unsigned long ip\_address = 172.16.98.1 \ | ||
39 | > - Die IP-Adresse des Weiterleitungsservers, zu Testzwecken modifiziert | ||
40 | > (Original: 207.158.22.134)\ | ||
41 | > 4C383h -\> unsigned char case\_identifier\[13\] = "23CCC23\\0"\ | ||
42 | > - ASCII-Zeichenkette mit eindeutigem Aktenzeichen. Modifiziert zum | ||
43 | > Quellenschutz\ | ||
44 | > 4C390h -\> unsigned char trojan\_version\[16\] = "3.4.26\\0"\ | ||
45 | > - Version des Trojaners wurde modifiziert | ||