summaryrefslogtreecommitdiff
path: root/updates/2011/addendum-staatstrojaner.md
blob: 04ebfd61b141e53598e97c160335caa5ee8c1b03 (plain) 
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45

title: Addendum Staatstrojaner
date: 2011-10-09 19:18:00 
updated: 2011-10-09 19:28:34 
author: 46halbe
tags: staatstrojaner

Der Chaos Computer Club (CCC) nimmt den Quellenschutz und die Hackerethik ernst. Dieses Addendum beschreibt die Positionen in der veröffentlichten Version von einem der uns zugespielten Staatstrojaner, an denen Daten modifiziert wurden, um die genaue Herkunft der Programme zu verschleiern.

<!-- TEASER_END -->

Wir gehen nach der vergleichenden Analyse der uns vorliegenden Versionen
davon aus, daß die Behörden anhand von Ermittlungsfall-spezifischen
Bezeichnern (also Trojaner-Binary-interne "Aktenzeichen") die Herkunft
des veröffentlichten Programmes nachvollziehen können. Dem wollten wir
entgegenwirken, um unsere Informanten zu schützen. Um sicherzugehen,
wurden in wenigen Zweifelsfällen einige Byte modifiziert. Sollte sich
aber später herausstellen, daß das "Schwärzen" einzelner Passagen
unnötig war oder wird, werden wir eine aktualisierte Version des
Trojaners zur Verfügung stellen und dies dokumentieren.

Der veröffentlichte Trojaner ist nicht der aktuellste, den wir besitzen.
Wir haben Grund zur Annahme, daß die uns vorliegenden Versionen über
einen Zeitraum von anderthalb bis zwei Jahre zusammengebaut und
eingesetzt wurden. Es kann also nicht von einer "Beta-Version"
gesprochen werden.

Es folgt eine Liste mit Positionen, an denen der Chaos Computer Club das
originale Trojaner-Binary vor der Veröffentlichung gepatcht hat.

An Offset 4C370h beginnen Daten, die folgende Bedeutungen haben:

> 4C370h -\> unknown\_bytearray\[12\]         \
> - modifiziert, da derzeit unbekannt\
> 4C37Ch -\> unsigned short tcp\_port = 6666 \
> - Der TCP-Port, zu Testzwecken modifiziert (Original: 443)\
> 4C37Eh -\> unsigned char unk\_index = 0    \
> - unmodifiziert\
> 4C37Fh -\> unsigned long ip\_address = 172.16.98.1  \
> - Die IP-Adresse des Weiterleitungsservers, zu Testzwecken modifiziert
> (Original: 207.158.22.134)\
> 4C383h -\> unsigned char case\_identifier\[13\] = "23CCC23\\0"\
> - ASCII-Zeichenkette mit eindeutigem Aktenzeichen. Modifiziert zum
> Quellenschutz\
> 4C390h -\> unsigned char trojan\_version\[16\] = "3.4.26\\0"\
> - Version des Trojaners wurde modifiziert
generated by cgit v1.2.3 (git 2.25.1) at 2024-05-12 03:56:01 +0000