2007-10-14

Bundestrojaner: Geht was – was geht

So ganz ohne weiteres kann man nicht von außen auf die Daten eines Rechners zugreifen; im Regelfall wird der Netzwerkverkehr des Zielsystems gefiltert. Auf Systemen mit direktem Internet-Zugang kommen oft Personal Firewalls zum Einsatz, in vielen Fällen erledigt diese Aufgabe aber auch ein externer Router mit Firewall-Funktionen, der nur ausgehenden Verkehr zu lässt. Zugang für Online-Durchsuchungen über eine Hintertür in Firewalls ist zwar technisch möglich aber schon aufgrund der Vielfalt eher unwahrscheinlich. Somit muss man irgendwas an der Firewall vorbeischmuggeln, was dann die Tür von Innen öffnet.
Aufgabenteilung

Dabei ist es sehr naheliegend, dass sich der Bundestrojaner an der Architektur moderner Schädlinge orientiert, die eine strikte Aufgabenteilung vornehmen: die Infiltration und die eigentliche Spionage. Bei der Infiltration geht es darum, einmalig die Sicherungsmechanismen des PCs zu umgehen und ein kleines Programm zur Ausführung zu bringen. Gefragt ist hier also ein typisches trojanisches Pferd.

Einmal im Innern lädt der Trojaner das eigentliche Überwachungsmodul nach, das sich dann im System einnistet, dort versteckt, Daten sammelt und diese entweder aktiv nach außen verschickt oder solange bereit hält, bis sie abgerufen werden. Das entspricht vom Anforderungsprofil einer Mischung aus Spyware und Rootkit. Der weitere Text unterscheidet folglich zwischen einer Trojaner- und einer Spyware-Komponente.

Diese Trennung in zwei Komponenten bringt eine Reihe von Vorteilen mit sich. Insbesondere kann man das trojanische Pferd vergleichsweise einfach und schnell neu erstellen, um Viren-Signaturen auszuweichen oder es sogar individuell auf die Zielperson maßzuschneidern. Die technisch anspruchsvollere Spyware-Komponente hingegen kommt erst zum Einsatz, wenn man bereits einen Treffer gelandet hat und wird somit keinem unnötigen (Entdeckungs-)Risiko ausgesetzt.
Pferdezucht

Die Trojaner-Komponente wird eine Form von Downloader sein, der das Spyware-Modul von irgendwo aus dem Netz nachlädt und startet. Sowas ist schnell entwickelt und auf Grund der recht unspezifischen Beschreibung schwer zu identifizieren. Ausgehende Verbindungen lassen sich immer irgendwie als normaler Netzwerkverkehr tarnen und am Anwender und dessen Schutz-Software vorbeimogeln, wenn man es drauf anlegt.

Spannend ist die Frage, wie dieser Downloader auf das Zielsysten gelangt und dort aktiviert wird. Da gibt es im wesentlichen drei Szenarien. Das einfachchste: Etwas wie die Rechnungs-Trojaner "in gut". Wenn die Profifahnder im Rahmen ihrer Ermittlungen ohnehin bereits Informationen über den Verdächtigen gesammelt haben, haben sie dafür beste Voraussetzungen. Sie könnten dem Verdächtigen unter der tatsächlichen Adresse eines Freundes mit passender persönlicher Ansprache ein "geiles Spiel" oder einen zum Hobby passenden Bildschirmschoner unterjubeln. Und wenn es nicht auf Anhieb funktioniert, ist es auch nicht weiter schlimm: Ein Virus mehr in der Inbox wird kaum Verdacht erregen.

Zwangseinleitung

Eine andere Variante wäre das Einschleusen des Bundestrojaners in ohnehin durchgeführte Downloads. So wäre es durchaus möglich, Provider per Gesetz dazu zu verpflichten, spezielle Proxies aufzustellen. Auf eine entsprechende Anordnung wird der dann der Zielperson bei der nächster Einwahl als transparenter Zwangs-Proxy zugeordnet, über den alle Verbindungen umgeleitet werden, sodass er den nächsten Download mit dem Bundestrojaner infizieren kann.

Das funktioniert wie bei klassischen Viren: Der Schadcode hängt sich hinten an die ausführbare Datei an, und ersetzt Code im Programm durch einen Sprung auf den eigenen. Die überschriebenen Befehle werden gespeichert und vor dem Rücksprung ausgeführt. Technisch gesehen ist das keine große Sache: Derartige Infektionstechniken sind gut untersucht und der Aufwand, einen existierenden Proxy entsprechend aufzubohren, sollte überschaubar sein.

Mit dem nächsten Spiel oder Utility, das die Zielperson aus dem Internet herunterlädt und startet, holt sie sich auch den Trojaner auf den Rechner. Das naheliegendste Ziel für einen solchen Angriff wären automatisch installierte Sicherheits-Updates, da diese oft sogar ohne Zutun des Anwenders installiert werden. Doch da hat Microsoft einen Riegel vorgeschoben: Die Sicherheits-Updates tragen eine digitale Signatur aus Redmond. Wenn deutsche Beamte am Update herumfummeln, zerstören sie diese Signatur und der Update-Service verweigert die Installation. Analog sichern beispielsweise auch Mac OS X, SuSE und Ubuntu ihre Sicherheits-Updates. Aber dann klinkt sich der Bundestrojaner eben in den Download der nächsten Firefox-Version ein.

Im Vergleich zu der Variante mit dem Trojaner per Mail oder Instant Messenger bedeutet dieses Verfahren zwar deutlich mehr Aufwand, dafür garantiert es zumindest auf den ersten Blick einen bürokratisierbaren und weitgehend reibungslosen Ablauf. Dass die Politiker durchaus bereit sind, auf Wunsch der Strafverfolger alle Provider dazu zu verpflichten, technische Gerätschaften nach ihren Vorgaben aufzustellen, haben sie mit der Telekommunikationsüberwachungsverordnung (TKÜV) demonstriert[1]. Sie verpflichtet die Provider bereits seit 2005 eine "Standardschnittstelle zur Ausleitung von E-Mail an die Strafverfolgung" bereitzuhalten. Da passt eine "Standardschnittstelle zur Einleitung von Überwachungssoftware der Strafverfolgung" doch prima ins Regal daneben.
Schwarzer Spion

Und schließlich bleibt immer noch die Variante, Sicherheitslücken in Applikationen auszunutzen, wie es bereits bei der Industriespionage geschieht. In Abständen von wenigen Wochen melden Antivirenhersteller beispielsweise immer wieder neue Office-Dateien, die bislang unbekannte Sicherheitslücken in Microsofts Office-Programmen ausnutzen, um Spionage-Software zu installieren. Und das sind nur die Fälle, in denen der virtuelle Einbruch aufgeflogen ist.

DOC-, MP3-, MOV-, PDF- aber auch JPG-Dateien könnten über Lücken in Abspiel- oder Anzeigeprogrammen zum Einfallstor werden. Mit etwas Vorbereitung kann man sowas jedem unterjubeln, der das Internet nutzt. Der Haken: Die zwei von Schäuble angeheuerten Entwickler werden solche Lücken kaum aufspüren. Und auf dem freien Schwarzmarkt sind diese sogenannten Zerodays recht teuer. Da legt man schnell mal 10.000 Euro für einen Exploit auf den Tisch, der nach dem ersten Einsatz unter Umständen schon verbrannt ist, weil er entdeckt wurde. Ganz abgesehen davon, dass der Einkauf in dieser Szene moralisch ziemlich fragwürdig wäre. Diese Version wird also vermutlich auch weiterhin Geheimdiensten und freiberuflichen "Informationsbeschaffern" vorbehalten bleiben, die jeden Preis zahlen.

Der weisse Spion

Softwaretechnisch deutlich aufwendiger ist die Spyware-Komponente. Muss sie sich doch im System über Tage, Wochen oder sogar Monate verstecken, im Hintergrund Informationen sammeln und diese auf Abruf übers Netz an den Ermittler weiterleiten. Und das alles auch noch in beweiskräftiger Form. Doch darüber müssen sich Schäubles Beamte nicht weiter den Kopf zerbrechen. Das gibt es nämlich schon – und sogar zu kaufen.

Encase von Guidance Software ist die Software für professionelle Beweismittelsicherung schlechthin; unter anderem FBI und BKA setzen sie ein. Und deren Hersteller bietet mit dem sogenannten Field Intelligence Model[2] (FIM) zufällig ein Produkt an, dessen Beschreibung durchaus der Nährboden für Schäubles Überwachungsideen sein könnte:

Ein unauffälliger, passiver Software Agent mit Auto-Update, der auf den zu überwachendenn Arbeitsplatzsystemen oder Servern installiert wird. [...] Die Servlets haben spezielle Stealth-Funktionen und laufen auf folgenden Betriebssystemen: Alle Windows Versionen, Linux Kernel 2.4 und aufwärts, Solaris 8/9 mit 32/64 Bit und Mac OS X.

Wie das konkret funktioniert, bleibt leider offen, denn wie nicht anders zu erwarten, reagierte Guidance auf die Anfragen von heise Security zu Encase FIM nicht. Da man laut Produktbeschreibung ohnehin "ausschließlich an Strafverfolgungsbehörden" liefert, kann man Öffentlichkeit in dem Geschäft nicht brauchen.
Alles muss versteckt sein

Im Gegenteil: Gerade das Verstecken der Software dürfte eines der Hauptprobleme sein. Zwar konnte auf Nachfragen keiner der zehn befragten AV-Hersteller Signaturen für das Encase FIM-Servlet vorweisen. Doch die ließen sich ohnehin durch Modifikationen am Quellcode leicht umgehen.

Der Beschreibung nach zu urteilen, müsste aber auch jedes Behaviour Blocking, das seinem Namen auch nur halbwegs gerecht wird, die Aktivitäten eines derartigen Spyware-Programms bemerken. Denn wenn der Antiviren-Software ein Programm wie FIM durch die Maschen geht, gelingt das Spionageprogrammen aus kriminellen Quellen auch.

Ob die Antiviren-Software den Fund dann aber auch meldet, steht auf einem anderen Blatt. Zumindest theoretisch wäre es durchaus denkbar, dass sie in solchen Fällen mal ein Auge zudrückt. Marktführer Symantec wollte jedenfalls schonmal Fragen zu Encase FIM nicht beantworten.

Konkurrent Microsoft hingegen bezog deutlich Stellung zugunsten seiner Kunden: "Unsere Software meldet jedes verdächtige Verhalten, das ihr auffällt." Allerdings sei man dabei natürlich immer an die Gesetze eines Landes gebunden, schränkte Pressesprecher Thomas Baumgärtner im Hinblick auf die aktuelle Diskussion ein. Auch Dirk Kollberg von McAfees Avertlabs verneinte die Existenz diesbezüglicher Absprachen mit staatlichen oder sonstigen Behörden.

Da es ziemlich unwahrscheinlich ist, dass sich alle Hersteller auf Mauscheleien mit deutschen Behörden einlassen, wäre gleich das nächste Gesetz fällig: ein gesetzlich verordneter blinder Fleck für Sicherheitssoftware, damit sie den Bundertrojaner gewähren lässt. Schließlich darf es nicht sein, dass ein Softwarehersteller Millioneninvestitionen des deutschen Staates einfach hinfällig macht, indem er die Verdächtigen vor der Installation des Spyware-Moduls warnt.

Andererseits werden beispielsweise amerikanische Kunden keine Antiviren-Software kaufen, die bekanntermaßen eine "deutsche Hintertür" enthält. Es wird also zumindest im Ausland weiterhin AV-Software ohne geben – und genau die werden Kriminelle natürlich bevorzugt einsetzen. Das bedeutet im Umkehrschluss dann, dass früher oder später Forderungen auftauchen, den Einsatz von Sicherheitsoftware ohne diesen blinden Fleck in Deutschland zu verbieten, nach dem Motto: Es kann doch nicht angehen, dass sich kriminelle Subjekte den vom Gesetz legitimierten Durchsuchungen durch Strafverfolgungsbehörden erfolgreich entziehen.

Konflikte

Letztlich ergibt sich durch den Bundestrojaner für die Behörden ein unlösbarer Interessenkonflikt: Einerseits fordern und fördern sie Sicherheitsmaßnahmen – und auf der anderen sind es genau diese Sicherheitsmaßnahmen, die ihnen den Zugriff auf die gewünschten Information verwehren. Entweder verbietet man effiziente Schutz-Software oder man versucht genau diese Schutz-Software immer wieder auszutricksen – und findet sich dabei in der Gesellschaft von Kriminellen wieder.

Jedes Loch in Sicherheitssoftware kann auch für Betrügereien, Spionage oder andere kriminelle Aktivitäten genutzt werden – insbesondere, wenn der Bundestrojaner schon demonstriert, wie das geht. Und wenn Beamte Kenntnis von solchen Lücken hätten und nicht für ihre Beseitigung gesorgt haben, träfe sie zumindest eine Mitverantwortung.

Und um Missverständnissen vorzubeugen: Selbstverständlich kann man sich gegen all die hier geschilderten Einbruchsversuche schützen. Gegen Trojaner in der Mail hilft konsequentes Nachfragen beim angeblichen Absender vor dem Öffnen eines Dateianhangs. Eventuelle Manipulationen von Trojaner-Proxies werden durch digitale Signaturen, Vergleiche von Prüfsummen und SSL-Downloads entlarvt. Selbst das Encase FIM Servlet lässt sich ziemlich sicher mit speziellen Antirootkit-Tools und entsprechendem Knowhow aufspüren und neutralisieren. Und die potenziellen Zielpersonen staatlich angeordneter Überwachungsmaßnahmen werden mit bei den ersten sein, die diese Wissen konsequent nutzen, um sich zu schützen. (ju[3])

Links in diesem Artikel:
[1] http://www.heise.de/newsticker/meldung/64897
[2] http://www.guidancesoftware.com/products/fim_index.asp
[3] mailto:ju@heisec.de

[http://www.heise.de/security/artikel/86415]

Source: www.heise.de