From acc8a17c72c46a3bbbd5f63acf4c51b48e0cfc8b Mon Sep 17 00:00:00 2001 From: 46halbe <46halbe@berlin.ccc.de> Date: Thu, 5 Mar 2009 22:33:18 +0000 Subject: committing page revision 2 --- updates/2007/bundestrojaner-elster.md | 76 +++++++++++++++++++++++++++++++++++ 1 file changed, 76 insertions(+) create mode 100644 updates/2007/bundestrojaner-elster.md diff --git a/updates/2007/bundestrojaner-elster.md b/updates/2007/bundestrojaner-elster.md new file mode 100644 index 00000000..c75744d1 --- /dev/null +++ b/updates/2007/bundestrojaner-elster.md @@ -0,0 +1,76 @@ +title: Bundestrojaner in ELSTER-Software entdeckt +date: 2009-03-05 13:24:42 +updated: 2009-03-05 22:33:18 +author: 46halbe +tags: update + + Untersuchungen des Chaos Computer Clubs ergaben, dass der Bundestrojaner über die aktuelle Version der Elster-Software verbreitet wird. + + + + +Seit dem 19. März 2007 wird die aktuelle ELSTER-Software für das Jahr +2006/2007 in der Version 8.1.0.0 \[1\] für den Steuerbürger +bereitgestellt. Schon von Anfang an hegten Experten Zweifel an der +Integrität der 18 MB großen .exe-Datei. Nach einer mehrtägigen +intensiven Analyse fand der Chaos Computer Club (CCC) nun deutliche +Hinweise, dass über die fragwürdige Software der sog. Bundestrojaner +\[2\] verbreitet wird. + +Der Bundestrojaner, kürzlich als neues Werkzeug des überwachungsstaates +in die Schlagzeilen geraten, soll das Ausspähen der gesamten +steuerpflichtigen Bevölkerung ermöglichen. Jeder Bürger mit eigenem +Einkommen wird in Zukunft verpflichtet, die Steuererklärung mittels +ELSTER-Software abzugeben. Dass es dem CCC nach wenigen Tagen gelang, +den Trojaner ausfindig zu machen, spricht nicht eben für die Qualität +der Spitzelsoftware. + +Die Analyse zeigte verschiedene verdächtige Module, wie z. B. +wte0104-brsjm.digit, das u. a. vorhandene Mikrofone und Kameras in +modernen Computern einschalten kann. Weitere Routinen dienen der +Durchsuchung der auf dem Rechner gespeicherten Dateien. Eine Funktion +sendet Daten vom Benutzerrechner ferngesteuert an den BKA-Rechner mit +der IP-Adresse 217.7.176.25 \[3\]. + +Der Trojaner tauscht offenbar auch einige Systemdateien aus, um sich +unabhängig vom ELSTER-Programm auf dem System einzunisten. Die +Schadsoftware erzwingt danach einen Neustart des Rechners. Auf dem +Bildschirm des betroffenen Computers erscheint dazu die Fehlermeldung: +"Systemfehler 70797976 – Neustart erforderlich." + +Pikanterweise wird ein Port auf dem infizierten Rechner geöffnet, der es +erlaubt, neue Suchbegriffe nachzuladen. Das ist insofern problematisch, +da die Suchfunktion eine Schwachstelle enthält, die es einem Angreifer +erlaubt, nicht nur Suchbegriffe, sondern beliebige Daten und +ausführbaren Code auf dem Rechner zu platzieren. "Damit ist der +unbemerkten Manipulation aller Daten Tür und Tor geöffnet," sagte +CCC-Spezialexperte Jens-Thorben Janckiewozki. + +Eine erste Ausnutzung dieser Nachladeschwachstelle wurde auch schon in +der freien Wildbahn beobachtet. Ein schwer zu analysierender, auf +Schwachstellen des Bundestrojaners aufsetzender Wurm dient +wahrscheinlich dem Abfangen von PIN- und TAN-Eingaben von +Onlinebanking-Benutzern der Postbank. Auch erste Zusammenschlüsse von +gekaperten Rechnern zu sogenannten Botnetzen wurden im Verlaufe des +Samstags beobachtet. Der Chef des BSI hatte unlängst Botnetze als größte +Gefahr im Internet ausgemacht. + +Bisher war weder das BKA noch das Bundesinnenministerium für eine +Stellungnahme zu erreichen. Unter der Hand gab ein Techniker des BKA +jedoch zu, dass in den eigenen Reihen niemand den Trojaner programmiert +hätte. Dafür mussten schon aus Kostengründen im Ausland Fachkräfte +angeworben werden. Die großen Antivirenhersteller haben mittlerweile +ebenfalls mit der Analyse begonnen und hoffen in den nächsten Tagen +entsprechende Updates zu verbreiten. + +- \[1\] [ElsterWeb](https://www.elster.de/) +- \[2\] [Wikipedia: + Bundestrojaner](http://de.wikipedia.org/wiki/Bundestrojaner) +- \[3\] [Whois + 217.7.176.25](http://www.ripe.net/whois?searchtext=217.7.176.25) + +Nachtrag: Aufgrund heftiger Reaktionen und entsprechender Nachfragen +sehen wir uns angehalten, darauf hinzuweisen, dass es sich bei dieser +Meldung um einen Aprilscherz handelt. Der CCC kann natürlich trotzdem +nicht ausschließen, dass die Elster-Software den Bundestrojaner oder +schlimmeres enthält. -- cgit v1.2.3