Bundestrojaner: ein Programmierer erzählt

[gulli.com] Ruben Unteregger hat rund sieben Jahre lang als Softwareentwickler beim Schweizer Unternehmen ERA IT Solutions gearbeitet. Seine Aufgabe dort war das Erstellen von Schadprogrammen, die ein Eindringen in die Computer von Privatanwendern ermöglichen soll. Die ERA IT Solutions soll insbesondere am Aufbau von Trojanern beteiligt sein, die dem Abhören von VoIP-Telefonaten dienen. Will er keine Vertragsstrafe zahlen, so muss er sich über die Kunden des Unternehmens ausschweigen. Zeitgleich zur Veröffentlichung dieses Interviews will Herr Unteregger der Öffentlichkeit den Quellcode seines Trojaners zur Verfügung stellen.

ghandy/gulli.com: Stell dich unseren Lesern bitte zu Beginn kurz vor.

Ruben Unteregger: Mein Name ist Ruben Unteregger, 33 Jahre jung, Sysadmin, Programmierer. Ich befinde ich mich noch in meinem Sabbatjahr.

ghandy/gulli.com: Bereits im Jahr 2006 soll laut Wikipedia die Schweizer Firma ERA IT Solutions an der Entwicklung eines Trojaners zum Abhören von VoIP-Gesprächen beteiligt gewesen sein. Stimmt das?

Ruben Unteregger: Nachdem die schweizerische "Sonntagszeitung" im Oktober 2006 einen Artikel über einen Trojaner veröffentlichte, welcher es ermöglichen soll, abhörsichere Skype-Gespräche mitzuschneiden und dass das UVEK (Departement für Umwelt, Verkehr und Kommunikation) bereits Interesse daran gezeigt habe, wollte auch die Öffentlichkeit mehr darüber erfahren. Dass der Bund sich Mitteln bedienen will, welche bis anhin nur in negativen Zusammenhang erwähnt und nur von Internetkriminellen verwendet wurden, löste Diskussionen und Erklärungsbedarf aus. ERA IT Solutions AG hat dann in einem Interview die Existenz dieser Software bestätigt.

ghandy/gulli.com: Du gibst an, dass du bei der ERA IT Solutions im Auftrag vom BKA mit der Entwicklung von Trojanern betraut warst. Wie kam es zur Mitarbeit bei dieser Firma?

Ruben Unteregger: Wenn ich das so gesagt hätte, würde das Eis unter meinen Füßen ganz schön knacksen. Ich habe mit ERA IT eine Geheimhaltung vereinbart, was die Arbeiten an der Abhörsoftware betrifft. Das ist nicht unüblich, wenn sensitive Daten und Informationen in Projekte involviert sind.

Dass eine Zusammenarbeit zwischen ERA IT und BKA bestand, habe ich so nicht erwähnt. Gemäß Presseberichten suchten das BKA Leute mit entsprechend einschlägigen Fachkenntnissen, was darauf schließen ließ, dass auch sie an ihrem eigenen Trojaner-Projekt arbeiteten.

Ich arbeitete von 2001 bis 2008 bei ERA IT und wurde primär in Kundenprojekten in der Privatwirtschaft als Entwickler und Sysadmin in IT-Contractor-Positionen eingesetzt.

Zwischen mir und ERA IT bestand ein gewöhnliches Arbeitgeber/Arbeitnehmer-Verhältnis.

ghandy/gulli.com: Offenbar gibt es nicht nur einen Trojaner, sondern mindestens einen für jedes Betriebssystem. Oder wie muss ich mir das im Detail vorstellen? Auf deiner Webseite gibt es schon alleine die Unterscheidung zwischen MiniPanzer und MegaPanzer.

Ruben Unteregger: Trojaner unterscheiden sich von gutartigen Programmen darin, dass sie nebst dem Programm selbst noch eine Schadroutine ausführen. Ansonsten sind beide "nur" Programme. Nehmen wir ein konkretes Beispiel: Ein Trojaner besteht logisch gesehen aus zwei Komponenten.

Das Basisprogramm: Das kann ein beliebiges Programm sein wie ein Notepad.exe, ein Spiel wie Moorhuhn etc.

Die Schadroutine: Der bösartige Code, welcher im Hintergrund ohne Wissen der Opferperson ausgeführt wird.

Das Basisprogramm und die Schadroutine werden zu einer einzigen Datei verschmolzen. Doppelklickt man nun die neue Datei, werden beide Komponenten ausgeführt. Das Moorhuhn-Spiel im Vordergrund und für die Opferperson ersichtlich und die Schadroutine im Hintergrund.

Ein Basisprogramm wie Notepad, eine Schadroutine und das zusammengeschweißte Produkt. Beide sind immer noch "nur" Programme.

Doppelklicken wir auf einem Windows-Rechner das Programm "Notepad.exe", öffnet sich wie erwartet der Notepad-Editor. Würden wir dieselbe "Notepad.exe" Datei auf einen Linux-Rechner kopieren und ausführen, wüsste das Linux-System nicht was es damit anfangen soll. Die binären Dateien sind auf Linux, Windows, etc. intern anders strukturiert. Es ist nicht einfach möglich, ein Programm oder einen Trojaner zu schreiben, welcher auf allen Betriebssystemen lauffähig ist. Daher muss ein Trojaner wie auch ein normales Programm wie ein Mozilla Firefox für jedes Betriebssystem neu erstellt werden.

MiniPanzer und MegaPanzer sind Trojanische Pferde, welche auf Windows XP entwickelt wurden. Die Lauffähigkeit auf Windows 2000 und Vista wurde nicht getestet. Ich gehe aber davon aus, dass sie auch dort größtenteils voll funktionsfähig sind.

MegaPanzer nistet sich in einem System ein und versucht dort unentdeckt zu bleiben. Wird das System neu gestartet, wird MegaPanzer automatisch im Hintergrund, ohne die Aufmerksamkeit auf sich zu ziehen, gestartet. Das infizierte System kann interaktiv via graphischer Schnittstelle bedient werden. Auf die schwarzen Fenster mit kryptischem Inhalt wurde bewusst verzichtet. Der Fokus bei der Entwicklung waren einerseits die Übernahme von abgesicherten Verbindungen (HTTPS) wie sie beim E-Banking verwendet werden als auch das automatische Ausführen von Befehlen auf Zielsystemen via einem Skript. Angriffe sollten voll automatisiert werden können.

MiniPanzer ist die abgespeckte Variante. Er installiert sich nicht auf dem Zielsystem, ist nicht interaktiv bedienbar und verfügt nur über einen reduzierten Funktionsumfang verglichen mit Megapanzer. 

ghandy/gulli.com: Ist es Schutz genug ein eher seltenes Betriebssystem zu benutzen? Wie kann ich solche Angriffe abwehren?

Ruben Unteregger: Sicherlich profitieren Linux- und OSX-Benutzer von der starken Vorherrschaft von Windows, indem sich Malware-Programmierer vorwiegend auf die Windows-Benutzer konzentrieren und schadhafte Software auf anderen Betriebssystemen vernachlässigt wird. Aber man neigt dazu zu übersehen, dass es nebst dem klassischen Trojaner, welchen man doppelklicken muss, um ihn zu aktivieren, sich auch andere Methoden anerbieten. Es gibt Technologien, die sich großer Beliebtheit erfreuen, welche plattformunabhängig sind, sprich auf Windows, Linux und OSX gleichermaßen lauffähig sind. Flash, Java, Microsoft Silverlight oder auch Acrobat-Reader sind PlugIns und Programme mit hohem Verbreitungsgrad und sind auf den gängigen

Betriebssystemen zu finden. Wird ein Fehler im Flash-PlugIn für Windows gefunden, welcher einem Angreifer die Kontrolle über ein System gibt, sind die Chancen gegeben, dass diese

Schwachstelle ebenfalls in dem Flash-Plugin für Linux existiert und ausgenutzt werden kann. Es reicht nicht auf ein Exoten-Betriebssystem als Schutz vor Malware zu setzen.

Um gegen Malware-Angriffe gewappnet zu sein, ist die Kombination von Antiviren-Software, Desktop-Firewall und Einhalten gewisser Verhaltensregeln empfohlen. Auch sollten die automatischen Updates des Betriebssystems und der Viren-Muster-Dateien aktiviert sein. Hält man sich an diese Grundregeln, befindet man sich auf der sichereren Seite.

ghandy/gulli.com: Sind neben der ERA noch weitere Unternehmen oder Privatpersonen beteiligt? Wie viele sind das zirka? Was lässt sich das BKA diese Entwicklung kosten?

Ruben Unteregger: Wenn man sich den öffentlichen Quellen bedient, stellt man fest, dass nebst ERA IT das BKA selbst an einem Trojaner gearbeitet hat und dieser zu Jahresbeginn fertiggestellt wurde. Heise meinte, dass eine BKA-Studie aufgetaucht sei, die "Online-Durchsuchungen, Skype-Abhörmaßnahmen und die Chat-Teilnahme von Kriminalbeamten in den Jahren 2006 bis 2008 analysiert.". Ich spekuliere mal, dass auch das BKA sein Arsenal an forensischer Software aufgestockt hat.

Die Kosten für die Entwicklung sollen sich unter 200.000 Euro belaufen. Nimmt man die Monatslöhne der beiden Stellen, die vom BKA ausgeschrieben wurden, und rechnet sie auf die befristeten zwei Jahre aus, könnte das schon hinkommen. Aber eine Softwarelösung ist nicht einfach da und funktioniert für die nächsten drei Jahre.

Das Umfeld, in welchem eine Software funktionieren muss, ist lebendig, verändert sich stetig und zwingt auch eine Software sich anzupassen.

Man denke an den Wechsel von Windows XP nach Vista und es steht im Oktober der Wechsel auf Windows 7 bevor. Der Trojaner kann plötzlich von Antiviren-Software erkannt werden oder wird von der Desktop-Firewall geblockt. Es werden noch weitere Kosten anfallen.

Bezüglich weiterer beteiligter Unternehmen sind noch die Aktivitäten der Firma DigiTask zu erwähnen, welche im Januar 2008 durch Zuspielen brisanter Dokumente an den CCC aufgedeckt wurden. Auch ihnen scheint es nicht gelungen zu sein, ihr Projekt ganz geheim zu halten, Informationslecks vorzubeugen und es hat einfach ein wenig länger gedauert als bei uns.

Offenbar ist in diesem Bereich ein lukrativer Markt entstanden, welcher noch nicht gesättigt ist, durch die Schnelllebigkeit der Technologien immer wieder neue Nischen entstehen und so neue Lösungen hervorbringt und der auch von Privaten beliefert wird. Dass da noch weitere Leute in den Markt eintreten wollen, ist anzunehmen.

Eine Firma wie die Gamma Group, welche sich auch Bereich IT Intrusion und Überwachung als Experten sehen und auch in Deutschland tätig ist, hätte gewiss ein Interesse daran bei den entsprechenden Stellen vorstellig zu werden.

ghandy/gulli.com: Die Anschuldigungen in Richtung DigiTask sind ja nicht ganz ohne.

Ruben Unteregger: Bei Wikileaks ist bezüglich des BayernTrojaners durch Einsatz der Voice-over-IP-Technologie ein Dokument verfügbar.  Eine weitere vertrauenswürdige, deutsche Quelle ist der CCC. Das Dokument wird z. B. auch bei der Piratenpartei gehostet. Seitens digitask wurde die Existenz dieser Software bisher weder bestätigt noch dementiert. Ein Stillschweigen dürfte aber für sich selbst sprechen.

ghandy/gulli.com: Wenn ich keine an E-Mails angehängten Dateien anschaue, wie z. B. PDF-Dokumente oder Bilder, wie kann sonst ein Bundestrojaner meinen Computer infizieren?

Ruben Unteregger: Die Einfallstore, wie sich Trojaner verbreiten, sind vielfältig. Typische Download-Kanäle sind das Web, Email oder Tauschbörsen. Leute infizieren ihre Systeme durch Herunterladen von Dateien von unbekannten Quellen, von Seiten mit zweifelhaftem Ruf und Inhalt oder durch Verleitung und Täuschung. Aber auch schon das Rumsurfen im Internet, ohne etwas herunterzuladen kann eine Infizierung mit sich bringen, wenn der Browser des Opfers eine nicht geflickte Schwachstelle vorweist und eine angesurfte Webseite von Angreifern entsprechend präpariert wurde.

In den Vordergrund gerückt sind die tragbaren Datenträger wie der USB Memory-Stick oder Festplatte. Der Trojaner auf einem infizierten System überwacht die USB-Ports, schaut ob es sich bei einem soeben angeschlossenen Gerät um ein USB-Stick handelt und installiert sich dort so, dass ein anderes System, in welches der Memory-Stick eingesteckt wird, ebenfalls infiziert wird.

Eine alte Methode, welche sich bereits zu den Floppy-Disk-Zeiten bewährt hatte.

Ebenfalls realistisch ist das Injizieren eines Trojaners in den Datenstrom von potenziellen Opfern. Nehmen wir folgendes Beispiel: Wir klinken uns in ein Anonymisierungs-Proxy-Netzwerk ein, geben uns dort als Proxy-Server aus und beobachten den Datenverkehr, welcher anschließend über unser System geschickt wird. Nebst viel Datenmüll hat es ebenfalls Daten darunter, welche von Menschen eingetippt wurden und anderen Ende der Leitung auf diese Daten wartet. Diese Daten können wir manipulieren und der Person am anderen Ende der Leitung einen Trojaner so unterschieben, dass sie nichts davon spürt. Der Aufwand, einen solchen Angriff durchzuführen, ist gering. Es gibt noch weitere Varianten, Malware in einen Datenstrom zu injizieren.

Ebenfalls unkompliziert und ebenfalls mit Erfolgsaussichten.

ghandy/gulli.com: Du planst sehr bald die Kernkomponenten einer Variante deines Trojaners zu veröffentlichen. Musst Du denn nicht mit juristischen Problemen rechnen? Immerhin schwächst du die Effizienz der Schadsoftware durch diese Offenlegung ganz vehement.

Ruben Unteregger: Ja, das ist der Plan. Der Quellcode dieses Abhör-Trojaners wird in den kommenden Tagen veröffentlicht. Probleme bezüglich der Urheberrechte wird es keine geben, da mir diese seitens ERA IT Solutions zugesprochen wurden. Aber dem ist so. Der Code wird veröffentlicht, er wird analysiert werden, sobald die Binaries hochgeladen wurden, werden Signaturmuster durch Antiviren-Firmen erstellt und der Schädling erkannt, geblockt und gelöscht, falls er sich versucht auf einem System einzunisten.

Über die genauen Gründe, warum mir diese Rechte wieder zugesprochen wurden, kann ich keine Auskunft geben, da wie bereits erwähnt vertraglich ein Stillschweigen vereinbart wurde. Man kann nun zu spekulieren beginnen oder direkt bei den Quellen nachfragen.

ghandy/gulli.com: Warum ausgerechnet eine Publikation der Quellcodes unter GPL?

Ruben Unteregger: Ich wollte diesen Trojaner unter den anderen beiden einreihen und den Quellcode jedermann zugänglich machen. Der Quellcode aller Tools auf der Homepage stehen unter der GPL zur Verfügung, können heruntergeladen, studiert, modifiziert, verbessert und weitergegeben werden. Dadurch, dass jedermann den Code einsehen kann und von mehr als nur meinem eigenen Augenpaar betrachtet wird, können Fehler, Unschönheiten oder Mängel entdeckt und mitgeteilt werden. Wer will, kann den Code studieren, um zu verstehen, wie etwas funktioniert oder erweitern, falls eine Funktion noch nicht existieren sollte.

ghandy/gulli.com: Den Quellcode gibt es hier. Wie schaut es denn mit der Zusammenarbeit zwischen Antiviren-Herstellern und den Geheimdiensten aus?

Ruben Unteregger: Das entzieht sich meiner Kenntnis, ob es da irgendwelche Zusammenarbeiten gibt und wie die aussehen würden. Ich wage es aber zu bezweifeln. Es ist für mich nicht vorstellbar, dass ein deutscher BND z. B. eine Firma wie Kaspersky, die ihren Sitz in Moskau haben, dazu zwingen können, was sie zu blockieren haben und was nicht. Kaspersky ist eine Firma mit 1500 Mitarbeitern. Würde eine Zusammenarbeit mit einem Dienst nachgewiesen werden, könnte Kaspersky seine Firma schließen, da das Vertrauen, welches die Kunden entgegenbrachten, komplett verloren ginge.

ghandy/gulli.com: Wieso zeigst du in einem Video (siehe unten), wie man mithilfe eines Trojaners das Bankkonto von Phishing-Opfern ausplündern kann?

Ruben Unteregger: Man muss es im Gesamtkontext betrachten. Es hieß einst, dass E-Banking sicher sei und es technisch nicht möglich wäre, die eingesetzten Sicherheitsmechanismen auszutricksen. Bis zu einem gewissen Punkt war diese Aussage auch korrekt. SSL verschlüsselt die Datenübertragung, One-Time-Passwords hindern den Benutzer daran, keine einfach zu erratende und nie ändernde Passwörter zu verwenden und mit einem Rechner, der hinter einem NAT-Router steht und mit AV-Software und Desktop-Firewall ausgerüstet ist, wurde das System als sicher erachtet. Phishing hat das Gegenteil bewiesen und wurde zu einem Problem, welches Millionenschäden verursachte. Die Opfer wurden perfekt getäuscht, tappten in Heerscharen in die Falle und die Phisher ergaunerten sich eine goldige Nase.

Die Angreifer wurden immer professioneller und nutzten neuere Methoden wie Drive-by-Download oder Pharming um ihr Ziel zu erreichen. Und auch das tun sie immer noch mit Erfolg.

Man musste einsehen, dass man mit den erwähnten Schutzmechanismen zwar die Verbindung von Kunden zum E-Banking-Server gut gesichert hat, aber andere Einfallstore völlig ausgeblendet hatte.

Das Video (s. u.) demonstriert eine Variante eines erfolgreichen Angriffes auf eine E-Banking-Session, welche Schritte dazu nötig sind und was für Werkzeuge dazu zum Einsatz kommen. Ich möchte an diesem Punkt noch hinzufügen, dass der Angriff auf Rechnern im eigenen Netzwerk durchgeführt wurde, inszeniert war und keine fremden Systeme in Mitleidenschaft gezogen wurden.

In einem ersten Schritt sollte aufgezeigt werden, dass eine E-Banking-Sitzungs-Übernahme möglich ist, was mit dem Video geschehen ist. Die Absicht ist es aber auch in einem zweiten Schritt aufzuzeigen, was für Möglichkeiten es gibt, einen erhöhten Schutz zu erhalten, um sich vor Mitlesern und Schnüfflern in kritischen Momenten wie E-Banking-Sitzungen, Voice-over-IP oder Skype-Gesprächen zu schützen. Es gibt Möglichkeiten und im Gegensatz zu den eingesetzten Tools zur Übernahme der E-Banking-Session, werden die Lösungen zur Absicherung der Verbindung auch Tools verfügbar gemacht.

ghandy/gulli.com: Wenn jetzt schon solche Mittel eingesetzt werden, wie geht die Entwicklung weiter? Wie sieht das Internet in 10 Jahren aus?

Ruben Unteregger: Hätte ich diese Frage vor 10 Jahren beantworten müssen, wäre ich kaum auf eine Antwort gekommen, die der Situation von heute entspräche. Ich denke ich würde auch heute bei einem Blick in die Kristallkugel ziemlich weit neben das Ziel schießen.

Ich glaube jedoch, dass das Equipment der Behörden zur Überwachung und Strafverfolgung gut aufgestockt wurde. Es wäre an der Zeit, wenn die nächsten zwei, drei Schritte von der Gegenseite gemacht würden und dem Kontrollwahn ein wenig entgegengewirkt wird. Sobald die Welle aus Deutschland auch in die Schweiz überschwappt und man stetig das Gefühl vermittelt bekommt, dass einem jemand über die Schulter schaut, das hätte ich dann doch gerne anders. Vorratsdatenspeicherung, Onlinedurchsuchung, Zensur, Raumüberwachung, Bewegungsprofil, Telefonie-, Email- und SMS-Überwachung… das ist doch ein beachtliches und bedrohlich anmutendes Arsenal an Überwachungs- und Kontrollinstrumenten. Das sollte einem schon die Augen öffnen, den Leidensdruck ein wenig erhöhen, zum Nachdenken anregen und klar werden lassen, in welche Richtung es gehen kann oder wo wir gerade drinn stecken. Könnte man aufzeigen, dass einige dieser Dinge nicht die Sicherheit und den Schutz bieten können, unter welchem sie "verkauft" wurden und diese Nachricht würde dann auch in den Köpfen ankommen und die Idee wieder gekippt werden, das wäre ein guter Schritt in die richtige Richtung.

ghandy/gulli.com: Ruben, vielen Dank für dieses überaus interessante Gespräch!

Source: http://www.gulli.com/news/bundestrojaner-ein-2009-08-21/