Bundestrojaner: Geht was – was geht

Technische Optionen für die Online-Durchsuchung

Die meinen das Ernst: Das unbemerkte Durchsuchen von
PCs durch Ermittlungsbehörden soll gesetzlich geregelt
und anschließend auch technisch umgesetzt werden. Und
rein technisch wäre das sogar machbar. Doch erst bei
genauer Betrachtung zeigt sich, in welches Dilemma die
Behörden dabei geraten.

Einige Spekulationen rund um das heimliche Ausforschen
von Internet-PCs kann man schnell aussortieren. Selbst
wenn es – wie im Kontext des sogenannten NSA-Keys
vermutet – tatsächlich eine Hintertür in Windows geben
sollte, käme die für solche Zwecke kaum zum
Einsatz. Käme die Existenz einer solchen Hintertür raus
– und das würde sie früher oder später – wäre es ein
PR-GAU ohnegleichen. Und es ist kaum vorstellbar, dass
ein multinationaler Konzern wie Microsoft das Wohl &
Wehe seines Aktienkurses der Schweigsamkeit eines
deutschen Polizisten anvertraut.

So ganz ohne weiteres kann man nicht von außen auf die
Daten eines Rechners zugreifen; im Regelfall wird der
Netzwerkverkehr des Zielsystems gefiltert. Auf Systemen
mit direktem Internet-Zugang kommen oft Personal
Firewalls zum Einsatz, in vielen Fällen erledigt diese
Aufgabe aber auch ein externer Router mit
Firewall-Funktionen, der nur ausgehenden Verkehr zu
lässt. Zugang für Online-Durchsuchungen über eine
Hintertür in Firewalls ist zwar technisch möglich
aber schon aufgrund der
Vielfalt eher unwahrscheinlich. Somit muss man
irgendwas an der Firewall vorbeischmuggeln, was dann
die Tür von Innen öffnet.

Aufgabenteilung

Dabei ist es sehr naheliegend, dass sich der
Bundestrojaner an der Architektur moderner Schädlinge
orientiert, die eine strikte Aufgabenteilung vornehmen:
die Infiltration und die eigentliche Spionage. Bei der
Infiltration geht es darum, einmalig die
Sicherungsmechanismen des PCs zu umgehen und ein
kleines Programm zur Ausführung zu bringen. Gefragt ist
hier also ein typisches trojanisches Pferd.

Einmal im Innern lädt der Trojaner das eigentliche
Überwachungsmodul nach, das sich dann im System
einnistet, dort versteckt, Daten sammelt und diese
entweder aktiv nach außen verschickt oder solange
bereit hält, bis sie abgerufen werden. Das entspricht
vom Anforderungsprofil einer Mischung aus Spyware und
Rootkit. Der weitere Text unterscheidet folglich
zwischen einer Trojaner- und einer Spyware-Komponente.

Diese Trennung in zwei Komponenten bringt eine Reihe
von Vorteilen mit sich. Insbesondere kann man das
trojanische Pferd vergleichsweise einfach und schnell
neu erstellen, um Viren-Signaturen auszuweichen oder es
sogar individuell auf die Zielperson maßzuschneidern.
Die technisch anspruchsvollere Spyware-Komponente
hingegen kommt erst zum Einsatz, wenn man bereits einen
Treffer gelandet hat und wird somit keinem unnötigen
(Entdeckungs-)Risiko ausgesetzt.

Pferdezucht

Die Trojaner-Komponente wird eine Form von
Downloader sein, der das Spyware-Modul von irgendwo aus
dem Netz nachlädt und startet. Sowas ist schnell
entwickelt und auf Grund der recht unspezifischen
Beschreibung schwer zu identifizieren. Ausgehende
Verbindungen lassen sich immer irgendwie als normaler
Netzwerkverkehr tarnen und am Anwender und dessen
Schutz-Software vorbeimogeln, wenn man es drauf anlegt.

Spannend ist die Frage, wie dieser Downloader auf das
Zielsysten gelangt und dort aktiviert wird. Da gibt es
im wesentlichen drei Szenarien. Das einfachchste: Etwas
wie die Rechnungs-Trojaner "in gut". Wenn die
Profifahnder im Rahmen ihrer Ermittlungen ohnehin
bereits Informationen über den Verdächtigen gesammelt
haben, haben sie dafür beste Voraussetzungen. Sie
könnten dem Verdächtigen unter der tatsächlichen
Adresse eines Freundes mit passender persönlicher
Ansprache ein "geiles Spiel" oder einen zum Hobby
passenden Bildschirmschoner unterjubeln. Und wenn es
nicht auf Anhieb funktioniert, ist es auch nicht weiter
schlimm: Ein Virus mehr in der Inbox wird kaum Verdacht
erregen.

 

Zwangseinleitung

Eine andere Variante wäre das Einschleusen des Bundestrojaners
in ohnehin durchgeführte Downloads. So wäre es durchaus möglich, Provider per
Gesetz dazu zu verpflichten, spezielle Proxies
aufzustellen. Auf eine entsprechende Anordnung wird der dann
der Zielperson bei der nächster Einwahl als
transparenter Zwangs-Proxy zugeordnet, über den alle
Verbindungen umgeleitet werden, sodass er den
nächsten Download mit dem Bundestrojaner infizieren kann.

Das funktioniert wie bei klassischen Viren: Der
Schadcode hängt sich hinten an die ausführbare Datei
an, und ersetzt Code im Programm durch einen Sprung auf
den eigenen. Die überschriebenen Befehle werden
gespeichert und vor dem Rücksprung
ausgeführt. Technisch gesehen ist das keine große
Sache: Derartige Infektionstechniken sind gut
untersucht und der Aufwand, einen existierenden Proxy
entsprechend aufzubohren, sollte überschaubar sein.

Mit dem nächsten Spiel oder Utility, das die Zielperson
aus dem Internet herunterlädt und startet, holt sie
sich auch den Trojaner auf den Rechner. Das
naheliegendste Ziel für einen solchen Angriff wären
automatisch installierte Sicherheits-Updates, da diese
oft sogar ohne Zutun des Anwenders installiert
werden. Doch da hat Microsoft einen Riegel
vorgeschoben: Die Sicherheits-Updates tragen eine
digitale Signatur aus Redmond. Wenn deutsche Beamte am
Update herumfummeln, zerstören sie diese Signatur und
der Update-Service verweigert die Installation. Analog
sichern beispielsweise auch Mac OS X, SuSE und Ubuntu
ihre Sicherheits-Updates. Aber dann klinkt sich der
Bundestrojaner eben in den Download der nächsten Firefox-Version
ein.

Im Vergleich zu der Variante mit dem Trojaner per Mail
oder Instant Messenger bedeutet dieses Verfahren zwar
deutlich mehr Aufwand, dafür garantiert es zumindest
auf den ersten Blick einen bürokratisierbaren und
weitgehend reibungslosen Ablauf. Dass die Politiker
durchaus bereit sind, auf Wunsch der Strafverfolger
alle Provider dazu zu verpflichten, technische
Gerätschaften nach ihren Vorgaben aufzustellen, haben
sie mit der Telekommunikationsüberwachungsverordnung
(TKÜV)
demonstriert.
Sie verpflichtet die Provider bereits
seit 2005 eine "Standardschnittstelle zur Ausleitung von
E-Mail an die Strafverfolgung" bereitzuhalten. Da passt
eine "Standardschnittstelle zur Einleitung von
Überwachungssoftware der Strafverfolgung" doch prima
ins Regal daneben.

Schwarzer Spion

Und schließlich bleibt immer noch die Variante,
Sicherheitslücken in Applikationen auszunutzen, wie es
bereits bei der Industriespionage geschieht. In
Abständen von wenigen Wochen melden Antivirenhersteller
beispielsweise immer wieder neue Office-Dateien, die
bislang unbekannte Sicherheitslücken in Microsofts
Office-Programmen ausnutzen, um Spionage-Software zu
installieren. Und das sind nur die Fälle, in denen der
virtuelle Einbruch aufgeflogen ist.

DOC-, MP3-, MOV-, PDF- aber auch JPG-Dateien könnten
über Lücken in Abspiel- oder Anzeigeprogrammen zum
Einfallstor werden. Mit etwas Vorbereitung kann man
sowas jedem unterjubeln, der das Internet nutzt. Der
Haken: Die zwei von Schäuble angeheuerten Entwickler
werden solche Lücken kaum aufspüren. Und auf dem freien
Schwarzmarkt sind diese sogenannten Zerodays recht
teuer. Da legt man schnell mal 10.000 Euro für einen
Exploit auf den Tisch, der nach dem ersten Einsatz
unter Umständen schon verbrannt ist, weil er entdeckt
wurde. Ganz abgesehen davon, dass der Einkauf in dieser
Szene moralisch ziemlich fragwürdig wäre. Diese Version
wird also vermutlich auch weiterhin Geheimdiensten und
freiberuflichen "Informationsbeschaffern" vorbehalten
bleiben, die jeden Preis zahlen.

Der weisse Spion

Softwaretechnisch deutlich aufwendiger ist die
Spyware-Komponente. Muss sie sich doch im System über
Tage, Wochen oder sogar Monate verstecken, im
Hintergrund Informationen sammeln und diese auf Abruf
übers Netz an den Ermittler weiterleiten. Und das alles
auch noch in beweiskräftiger Form. Doch darüber müssen
sich Schäubles Beamte nicht weiter den Kopf
zerbrechen. Das gibt es nämlich schon – und sogar zu
kaufen.

Encase von Guidance Software ist die Software für
professionelle Beweismittelsicherung schlechthin; unter
anderem FBI und BKA setzen sie ein. Und deren
Hersteller bietet mit dem sogenannten Field Intelligence Model (FIM)
zufällig ein Produkt an, dessen Beschreibung durchaus
der Nährboden für Schäubles Überwachungsideen sein
könnte:

Ein unauffälliger, passiver Software Agent mit
Auto-Update, der auf den zu überwachendenn
Arbeitsplatzsystemen oder Servern installiert
wird. […] Die Servlets haben spezielle
Stealth-Funktionen und laufen auf folgenden
Betriebssystemen: Alle Windows Versionen, Linux Kernel
2.4 und aufwärts, Solaris 8/9 mit 32/64 Bit und Mac OS X.

Wie das konkret funktioniert, bleibt leider offen, denn
wie nicht anders zu erwarten, reagierte Guidance auf
die Anfragen von heise Security zu Encase FIM nicht. Da
man laut Produktbeschreibung ohnehin "ausschließlich an
Strafverfolgungsbehörden" liefert, kann man
Öffentlichkeit in dem Geschäft nicht brauchen.

Alles muss versteckt sein

Im Gegenteil: Gerade das Verstecken der Software
dürfte eines der Hauptprobleme sein. Zwar konnte auf
Nachfragen keiner der zehn befragten
AV-Hersteller Signaturen für das Encase FIM-Servlet
vorweisen. Doch die ließen sich ohnehin durch
Modifikationen am Quellcode leicht umgehen.

Der Beschreibung nach zu urteilen, müsste aber auch
jedes Behaviour Blocking, das seinem Namen auch nur
halbwegs gerecht wird, die Aktivitäten eines derartigen
Spyware-Programms bemerken. Denn wenn der
Antiviren-Software ein Programm wie FIM durch die
Maschen geht, gelingt das Spionageprogrammen aus
kriminellen Quellen auch.

Ob die Antiviren-Software den Fund dann aber auch
meldet, steht auf einem anderen Blatt. Zumindest
theoretisch wäre es durchaus denkbar, dass sie in
solchen Fällen mal ein Auge zudrückt. Marktführer
Symantec wollte jedenfalls schonmal Fragen zu Encase
FIM nicht beantworten.

Konkurrent Microsoft hingegen bezog deutlich Stellung
zugunsten seiner Kunden: "Unsere Software meldet jedes
verdächtige Verhalten, das ihr auffällt." Allerdings
sei man dabei natürlich immer an die Gesetze eines
Landes gebunden, schränkte Pressesprecher Thomas
Baumgärtner im Hinblick auf die aktuelle Diskussion
ein. Auch Dirk Kollberg von McAfees Avertlabs verneinte
die Existenz diesbezüglicher Absprachen mit staatlichen
oder sonstigen Behörden.

Da es ziemlich unwahrscheinlich ist, dass sich alle
Hersteller auf Mauscheleien mit deutschen Behörden
einlassen, wäre gleich das nächste Gesetz fällig: ein
gesetzlich verordneter blinder Fleck für
Sicherheitssoftware, damit sie den Bundertrojaner
gewähren lässt. Schließlich darf es nicht sein, dass
ein Softwarehersteller Millioneninvestitionen des
deutschen Staates einfach hinfällig macht, indem er die
Verdächtigen vor der Installation des Spyware-Moduls
warnt.

Andererseits werden beispielsweise amerikanische Kunden
keine Antiviren-Software kaufen, die bekanntermaßen
eine "deutsche Hintertür" enthält. Es wird also
zumindest im Ausland weiterhin AV-Software ohne geben
– und genau die werden Kriminelle natürlich
bevorzugt einsetzen. Das bedeutet im Umkehrschluss dann, dass
früher oder später Forderungen auftauchen, den Einsatz
von Sicherheitsoftware ohne diesen blinden Fleck in
Deutschland zu verbieten, nach dem Motto: Es kann doch
nicht angehen, dass sich kriminelle Subjekte den vom
Gesetz legitimierten Durchsuchungen durch
Strafverfolgungsbehörden erfolgreich entziehen.

Konflikte

Letztlich ergibt sich durch den Bundestrojaner für die
Behörden ein unlösbarer Interessenkonflikt: Einerseits
fordern und fördern sie Sicherheitsmaßnahmen – und auf
der anderen sind es genau diese Sicherheitsmaßnahmen,
die ihnen den Zugriff auf die gewünschten Information
verwehren. Entweder verbietet man effiziente
Schutz-Software oder man versucht genau diese
Schutz-Software immer wieder auszutricksen – und
findet sich dabei in der Gesellschaft von Kriminellen
wieder.

Jedes Loch in Sicherheitssoftware kann auch für
Betrügereien, Spionage oder andere kriminelle
Aktivitäten genutzt werden – insbesondere, wenn der
Bundestrojaner schon demonstriert, wie das geht. Und
wenn Beamte Kenntnis von solchen Lücken hätten und
nicht für ihre Beseitigung gesorgt haben, träfe sie
zumindest eine Mitverantwortung.

Und um Missverständnissen vorzubeugen:
Selbstverständlich kann man sich gegen all die hier
geschilderten Einbruchsversuche schützen. Gegen
Trojaner in der Mail hilft konsequentes Nachfragen beim
angeblichen Absender vor dem Öffnen eines
Dateianhangs. Eventuelle Manipulationen von Trojaner-Proxies werden durch
digitale Signaturen, Vergleiche von Prüfsummen und
SSL-Downloads entlarvt. Selbst das Encase FIM Servlet lässt sich
ziemlich sicher mit speziellen Antirootkit-Tools und
entsprechendem Knowhow aufspüren und
neutralisieren. Und die potenziellen Zielpersonen
staatlich angeordneter Überwachungsmaßnahmen werden mit
bei den ersten sein, die diese Wissen konsequent
nutzen, um sich zu schützen. (ju)

Quelle: http://www.heise.de/security/artikel/86415/3