Von SaarBreaker am Sonntag, 5. August 2007 - 16:10

Wie Chip berichtete, hat Joerg Zierke Präsident des Bundeskriminalamts endlich die Katze aus dem Sack gelassen und uns Unwissenden erklärt, wie der Bundestrojaner funktioniert:

Haben diese Undercover-Ermittler einen “Gefährder” hinreichend ausgespäht, obliegt es einem BKA-Team, einen Weg zum PC des Verdächtigen zu finden. Das mag in seltenen Fällen tatsächlich ein E-Mail-Trojaner sein; aufgrund der mageren Erfolgsaussichten bevorzugt man in Wiesbaden aber robustes Agenten-Handwerk: heimlich in die Wohnung eindringen und Images von allen PC-Festplatten ziehen. Diese Daten analysiert dann der BKA-Software-Entwickler und bastelt ein Tool, das perfekt auf die Rechner-Umgebung zugeschnitten ist.

Geschrieben am 08.07.: […] Als lachhaft sehe ich die Geschichte mit dem Bundestrojaner. Wie wollen sie den Bundestrojaner über das Internet einschleusen? […]
Oder denkt Herr Schäuble da eher an einer verdeckten Hausfriedensbruch Geschichte? Ein Beamter dringt in die Wohnung/Haus ein und installiert den Bundestrojaner einfach.

Oh Mann! Etwas mehr hatte ich von einem Bundestrojaner, der jetzt auf den wohlklingenden Namen “Remote Forensic Software” (RFS) hört, schon erwartet. Stattdessen tritt man mit einem simplen Keylogger an die Öffentlichkeit, der laut Herrn Zierke nur im einstelligen Bereich im Jahr zum Einsatz kommen soll. :-O

In dem von Herrn Zierke geschilderten Szenario wurden aber ein paar Kleinigkeiten übersehen:

GG Artikel 13
(1) Die Wohnung ist unverletzlich.
(2) Durchsuchungen dürfen nur durch den Richter, bei Gefahr im Verzuge auch durch die in den Gesetzen vorgesehenen anderen Organe angeordnet und nur in der dort vorgeschriebenen Form durchgeführt werden.
(3) Begründen bestimmte Tatsachen den Verdacht, daß jemand eine durch Gesetz einzeln bestimmte besonders schwere Straftat begangen hat, […]

Selbst wenn das GG geändert werden sollte, gibt es immer noch ein paar Faktoren:

Einbruch in eine Wohnung/Haus

Ein “Gefährder” kennt bestimmt unzählige Möglichkeiten um effektiv einen Einbruch in seiner Wohnung während seiner Abwesenheit zu bemerken. Nur ein dummer “Gefährder” würde seine Wohnung, die wegen der Anonymität in einem Hochhaus liegt, unbeaufsichtigt lassen. Und da wollen Beamte tatsächlich unbemerkt rein marschieren?

Computer und Festplatte(n)

Ein “Gefährder” wird bestimmt nicht so blöd sein und seine brisanten Daten auf der lokalen Festplatte lagern. Er wird entweder eine externe Festplatte, Speicherkarte oder USB-Stick, den er immer bei sich trägt, verwenden. Außerdem könnte er seine “terroristischen” Kontakte in jedem Internetcafe pflegen. Selbst wenn brisante Daten auf der Festplatte sein sollten, sind sie sicherlich verschlüsselt. Zudem kann das Kopieren der Festplatte(n) auch seine Zeit dauern.

Seinen Weg in den Ziel-PC findet das modular aufgebaute Programm namens Remote Forensic Software (RFS) ebenfalls auf eher analoge Weise. Spezialisten machen die Wohnung noch einmal auf und installieren das Tool. Das winzige Programm gleicht also eher einer Wanze als einem Trojaner. Das BKA betont, dass nicht nur das generelle Vorgehen, sondern auch die Technik auf den konkreten Fall abgestimmt wird: Jede RFS ist ein Unikat, dessen Quellcode aus Gründen der Beweissicherung dem zuständigen Richter vorliegt.

Und der Richter kann den Quellcode tatsächlich lesen? Oder wird er vorher ins Deutsche übersetzt?

Egal wie groß das Tool ist, es muss irgendwie geladen werden und es kann nicht vor dem System geladen werden. Also gibt es irgendwo einen Eintrag (Registry?), dass etwas geladen werden muss und genau da liegt auch die Schwachstelle. Es gibt entsprechende Tools wie z.B. IceSword, das nicht nur alle Prozesse anzeigen kann sondern auch alle Kernel-Manipulationen aufdeckt. Natürlich sollte man genau wissen, was man da tut.

Es gibt auch eine andere Variante, die nicht so einfach zu durchschauen ist. Beispiel: Wenn ein Systemfile so verändert wird, dass es ein Tool lädt oder selbst zum Keylogger wird. Dem steht aber der Hackerparagraph entgegen und würde jeden Beweis vor Gericht hinfällig machen.

Zwei Beispiele: Damit die Firewall nicht Alarm schlägt, wenn RFS Daten zum BKA sendet, könnten die “Wohnungsöffner” die Sicherheits-Software so einstellen, dass sie Aktivitäten des Schnüffel-Tools immer zulässt. Verschlüsselt ein angeblicher Gefährder seine Daten an einem Offline-PC, bevor er sie über einen Internetrechner rausschickt, könnte das Tool den Verschlüsselungscode per Keylogging abgreifen und an die betreffende Datei anhängen. Gleiches gilt für Passwörter - das BKA bekäme alle Zugangsdaten frei Haus geliefert.

Das glaube ich aber nicht! Es gibt sehr wohl Firewalls, die alle Programme Prozesse anzeigen, die für den Internet Zugriff konfiguriert sind und aktuell auf das Internet zugreifen. Ein Klick genügt und die Sache ist vorerst erledigt. Außerdem könnte man eine Internetverbindung über einen Laptop herstellen, den man zwischen dem vom BKA “befallenen” PC und Internet hängt. Dann ließen sich sogar die Daten, die an das BKA gehen, manipulieren.

Beweiskraft der gewonnenen Daten
Mal nachdenken: Beamte schleusen heimlich ein RFS in ein für sie fremdes System ein, verändern dadurch nicht frei zugängliche Daten auf einem Datenträger. Dazu fällt mir spontan der Hackerparagraph ein, der das verändern von nicht frei zugänglichen Daten unter Strafe stellt. Außerdem könnten die brisanten Daten auch durch die Beamten oder einen Schädlingsbefall auf die Platte gekommen sein.

Quellen