[HaBo]

**bitmuncher** · 08.10.11, 22:30

Endlich mal wieder was vernünftiges aus dem Hause CCC. Der Club hat sich mal den Staatstrojaner etwas genauer angeschaut und dabei sowohl bedenkliche Funktionalitäten als auch gravierende Sicherheitslücken aufgezeigt. Nachzulesen gibt es das auf CCC | Chaos Computer Club analysiert Staatstrojaner

Chakky · 08.10.11, 22:35

Wollte ich auch gerade Posten.

Ich zitiere da jetzt mal FeFe dazu. Hat auch was interessantes noch dazu geschrieben:

Zitat:

Achtung, aufgepasst, heute gibt es ein besonderes Leckerli. Der CCC kämpft ja schon seit Jahren gegen den Bundestrojaner und die Trojaner der einzelnen Bundesländer und hat bei diversen Gelegenheiten angesagt, dass wenn jemand bei sich einen Bundestrojaner findet, er den doch bitte bei uns abgeben möge, damit wir den sezieren können.
Es ist mir eine besondere Freude, heute auf diese Presseerklärung des CCC zu verlinken. Denn dem CCC sind tatsächlich Trojaner zugespielt worden, von denen wir nach eingehender Analyse glauben, dass es sich um "Quellen-TKÜ" handelt. Und die Ergebnisse der Analyse sind ernüchternd.

Von den ganzen Zusagen nach dem Bundestrojaner-Urteil des Verfassungsgericht ist nichts übrig geblieben. Es hieß, der Quellen-TKÜ-Trojaner sei was gaaaaanz anderes als der Bundestrojaner für die "Online-Durchsuchung" und könne gar keine fiesen Dinge tun, nur Skype abhören und so. Tatsächlich aber hat der Trojaner eine Nachladefunktion für beliebige zusätzlich Malware. Es hieß, alle Versionen werden für den speziellen Fall manuell entwickelt, aber in der Realität sind die Trojaner nicht nur sehr ähnlich, sie verwenden auch denselben hartkodierten AES-Schlüssel für die Absicherung der C&C-Verbindung. Und wenn ich AES sage, meine ich AES im ECB-Modus, und es wird nur in eine Richtung verschlüsselt. Und der Schlüssel ist wie gesagt hartkodiert. Die Richtung mit Verschlüsselung ist der Antwortkanal des Trojaners. Der Kanal, über den man zusätzliche Malware nachladen kann, ist gänzlich ungesichert. Integritätsprüfung (digitale Signatur, HMAC o.ä.) oder gar kryptographische Authentisierung gibt es gar nicht.

Oh und Teil des Trojaners ist ein Kernelmodul, allerdings ohne Tarnfunktion (das war wohl zu kompliziert) sondern nur mit Keylogger. Das Kernelmodul stellt Operationen wie "leg mal ne Datei unter diesem Pfad an" oder "schreibe das hier in die Registry" zur Verfügung, und die Keylogger-Funktionalität ist deaktiviert — der Code ist aber noch erreichbar, und dank dilettantischer Anfängerfehler im Rest des Kernelmoduls kann man ihn trotzdem aktivieren und benutzen.

Wenn dieser Trojaner auf einem Rechner installiert ist, steht der danach für jeden offen wie ein Scheunentor, ganz ohne dass man einen Exploit bräuchte. Man muss nur anklopfen und den Trojaner freundlich bitten. Und das Kernelmodul räumt allen lokalen Benutzern Adminrechte an. "Scheunentor" ist zu kurz gegriffen, um das katastrophale Sicherheitsniveau dieser Software zu beschreiben. Die CCC-Reverser dachten erst an einen besonders gewieften Tarnungs-Trick, als sie für AES nur den Verschlüsselungscode fanden und nicht den Entschlüsselungscode.

Der CCC hat für die Scheunentor-API des Trojaners ein GUI geschrieben, das wir mal in einem kurzen Video vorstellen werden. Die Antivirenhersteller haben inzwischen Kopien des Trojaners erhalten und sollten ihn ab morgen früh erkennen und entfernen können, zumal keine Rootkit-übliche Tarnfunktionalität in dem Kernelmodul implementiert war. Aber macht euch keine Sorgen, wir haben den Behörden rechtzeitig Bescheid gegeben, dass sie noch schnell den Selbstzerstörungsknopf drücken können.

Oh, und, ganz wichtig noch, falls ihr ein Andenken haben wollt: die FAZ hat dazu eine Meldung gemacht und wird dem Thema in der FAS-Ausgabe morgen mehrere Seiten widmen. Und zwar, wie ich hörte, inklusive Auszügen aus dem Disassemblat. Wer also die erste Print-Tageszeitung haben will, in der Quellcode von Malware abgedruckt ist, sollte sich morgen eine FAS sichern. Oder halt online lesen, aber das ist ja nicht das gleiche in dem Fall

Ein Listing-Service in der FAZ, wie damals bei der "DOS International"!

Update: Die Zeit ist auch im Boot.

Update: Erstaunlicherweise ist der C&C-Server immer noch online, und mir erzählt gerade jemand, dass da ein Plesk von 2009 drauf läuft. Die BESTEN der BESTEN der BESTEN, SIR!

Falls sich jetzt jemand wundert, wieso ich die FAZ so plugge: Schirrmacher (Herausgeber) hat einen Leitartikel zum Thema geschrieben, und da hält er das Flammenschwert der Gerechtigkeit in den Händen und kloppt auf genau die richtigen Stellen. Er schreibt nicht nur, dass so ein Trojaner ja grundsätzlich immer alles kann, sondern zeigt auch auf die Nonnenmacher-Geschichte mit den zu Diskreditierungszwecken hinterlegten Kinderpornobildern hin und spricht in der Kontext von "der neuen Vernichtungsstrategie in der digitalen Welt". Und dann spricht er das Offensichtliche gelassen aus:

In Zeiten einer „Piratenpartei“ kann der Fund des Chaos Computer Clubs die politische Geographie nachhaltig ändern.
So sieht das aus. Ich bin mir sicher, dass da dem politischen Establishment gerade mit Nachdruck der Arsch auf Grundeis geht. Es freut mich sehr, solche Gedankengänge in den etablierten Leitmedien zu lesen. Nicht mehr nur in Verschwörungsblogs wie dem meinen.
Update: Wenn ich schon am erzählen bin, kann ich ja auch noch ein bisschen mehr plaudern. Der eine oder andere wird sich vielleicht gedacht haben, hey, so ein Trojaner, das ist ein komplexes Stück Software, das schaffen die doch bestimmt nicht ohne Plagiieren von Open Source, da ist doch bestimmt noch ne GPL-Verletzung zu haben. Nicht GPL, aber Speex haben wir gefunden, und die Lizenz wurde verletzt. Ich hörte, ein Anwalt sei schon unterwegs.

Quelle:
Fefes Blog

Anzeige

- Anzeige -

Forks · 08.10.11, 22:36

Chaos Computer Club: Der deutsche Staatstrojaner wurde geknackt - Aktuell - FAZ

Ein amtlicher Trojaner: Anatomie eines digitalen Ungeziefers - Feuilleton - FAZ

Onlinedurchsuchung: CCC enttarnt Bundestrojaner | Digital | ZEIT ONLINE

Auch wenn das mit Sicherheit wieder keine Konsequenzen haben wird: FUCK YES!

Kleiner Lacher am Rande:

Zitat:

"Wie wurde das Spähprogramm überhaupt entdeckt?

Die Beamten haben offensichtlich gepfuscht. Das Programm enthält theoretisch eine Art Selbstmordfunktion: Auf ein von außen kommendes Kommando hin sollte es sich selbst löschen. Constanze Kurz, Informatikerin und eine der Sprecherinnen des CCC, sagt dazu: "Das Programm wurde nur in den Papierkorb geschoben und nicht überschrieben."

Ums in Fefes Worten zu sagen: Die Besten der Besten der Besten

rat · 08.10.11, 22:38

Aus Heise.de

" Der Hacker-Club fordert zudem "alle Hacker und Technikinteressierten" auf, die Binaries des Trojaners weiter zu analysieren. Außerdem nehme man gerne weitere Exemplare des Staatstrojaners entgegen.

Binary ist ja zum DL dabei http://www.ccc.de/system/uploads/77/...is-release.tgz

**Tarantoga** · 08.10.11, 23:25

Mittlerweile hat Fefe noch ein Update gebracht, das hier nicht verschwiegen werden sollte:

Zitat:

Update: Das ehemalige Nachrichtenmagazin hat immer noch keine Meldung. Vor zwei Stunden ging die dpa-Meldung raus. Nichts. Wow. Da scheint mir die personelle Nähe zu den Geheimdiensten noch ausgeprägter zu sein als bisher angenommen. "Sturmgeschütz der Demokratie", dass ich nicht lache.

Quelle: Fefes Blog

Forks · 08.10.11, 23:37

Possible Governmental Backdoor found ("case R2D2") - F-Secure Weblog : News from the Lab

Zitat:

In addition, the backdoor can be remotely updated. Servers that it connects to include 83.236.140.90 and 207.158.22.134.

Wäre schön, wenn schon ne komplette IP-Liste da wäre..

...Ob Microsoft Security Essentials die Definitionen auch adden wird?

**bitmuncher** · 09.10.11, 00:11

Bei der Bezeichnung R2D2 könnte man skeptisch werden. Hoffen wir mal, dass es sich nicht als Hoax herausstellt. Dann hätte ich den CCC wohl zu früh gelobt.

**Tarantoga** · 09.10.11, 00:42

Zitat:

Zitat von bitmuncher

Bei der Bezeichnung R2D2 könnte man skeptisch werden. Hoffen wir mal, dass es sich nicht als Hoax herausstellt.

Kann ich mir kaum vorstellen, klingt für mich eher nach typischen Programmierer-Humor. Warum sollten Coder die für Geheimdienste & Regierungen arbeiten, anders ticken als andere Coder?

Golgotha · 09.10.11, 00:53

Die besten Hacker des CCC sind zur Zeit
Rop Gonggrijp und Frank Rieger.

Respekt!

Nicht schlecht, gar nicht schlecht --
Wie war's denn noch einmal mit den
Fischen und den Anglern?

**bitmuncher** · 09.10.11, 00:54

Frank Rieger ist es nicht nur zur Zeit. Er ist es schon seit vielen Jahren. Leider hat der CCC von Leuten wie ihm viel zu wenige.

+++ATH0 · 09.10.11, 01:14

Nur mal so als Frage. Welche Indizien konkret weisen denn nun daraufhin, dass es sich hier um den Bundestrojaner handelt?
Was unterscheidet sich also von anderen Trojanern, insoweit, dass man sagen könnte, es sei genau dieser?
Dazu habe ich afaik nichts gelesen.

Golgotha · 09.10.11, 01:24

@Aufleger,

zur Zeit gibt es nur die Indizien, dass das Teil dem
CCC zugespielt wurde.

Es ist aber eine Tatsache, das der DDR- Geheimdienst zusammen
mit den russischen Freunden Das "James Bond Unterwasserauto"
und andere Gadgets aus "James Bond" nachauen wollten und --
dies auch getran haben,

Vielleicht ist R2D2 eine Hommage an diese Zeiten?

+++ATH0 · 09.10.11, 01:31

Zitat:

Zitat von Golgotha

@Aufleger,

Zitat:

Zitat von Golgotha

zur Zeit gibt es nur die Indizien, dass das Teil dem
CCC zugespielt wurde.

Das verschiebt ja nur den "burden of proof" auf denjenigen, der dies dem CCC zuspielte.
Ich hätte dem CCC ja genauso auch mein "Spielzeug" aus Kindertagen zuspielen können; wäre dies genauso als Bundestrojaner akzeptiert worden oder nicht?
Ich verlange ja nur die Hinweise, die für den CCC so stichhaltig waren, dass sie diese Behauptung nun unterstützen. Mehr nicht. Davon habe ich nichts gelesen.

Golgotha · 09.10.11, 01:32

Und wenn der CCC nicht einen Hacker mit dem Handle
"Teer" vergrault hätte, bei Herrn Gaspard kommt er ja als
polyzyklisch aromatischer Kohlenwasserstoff ( PAK ) vor

dann gäbe es vielleicht einen Anknüpfungspunkt --
oder vielleicht auch nicht.

**Tarantoga** · 09.10.11, 01:34

Zitat:

Zitat von +++ATH0

Welche Indizien konkret weisen denn nun daraufhin, dass es sich hier um den Bundestrojaner handelt?

Zitat:

Zitat von Golgotha

zur Zeit gibt es nur die Indizien, dass das Teil dem
CCC zugespielt wurde.

Ich schätze mal das die erwähnten Festplatten dem CCC von Leuten übergeben wurden, die guten Grund hatten an eine Überwachung durch Vater Staat zu glauben. Wenn sich dann auf Festplatten von mehreren dieser "staatsfeindlichen Subjekte" tatsächlich Spielarten eines bislang unbekannten Trojaners befanden, liegt die Schlussfolgerung den Bundestrojaner gefunden zu haben doch recht nahe, oder?

Anzeige

- Anzeige -

08.10.11, 22:30	#1 (permalink)
bitmuncher Moderator Registriert seit: 30.09.06 Likes: 442	CCC untersucht "Bundestrojaner" Anzeige Endlich mal wieder was vernünftiges aus dem Hause CCC. Der Club hat sich mal den Staatstrojaner etwas genauer angeschaut und dabei sowohl bedenkliche Funktionalitäten als auch gravierende Sicherheitslücken aufgezeigt. Nachzulesen gibt es das auf CCC \| Chaos Computer Club analysiert Staatstrojaner Golgotha, enkore and Forks like this. __________________ Mein Blog - Mein Job - Diaspora Der Ring uns zu knechten besteht aus 12 Sternen auf blauem Grund. Neue Beiträge im Habo via Twitter - Das HaBo auf FB - Das HaBo bei G+

08.10.11, 22:38	#4 (permalink)
rat Registriert seit: 22.01.10 Likes: 20	Aus Heise.de " Der Hacker-Club fordert zudem "alle Hacker und Technikinteressierten" auf, die Binaries des Trojaners weiter zu analysieren. Außerdem nehme man gerne weitere Exemplare des Staatstrojaners entgegen. Binary ist ja zum DL dabei http://www.ccc.de/system/uploads/77/...is-release.tgz Forks likes this. __________________ evil loves to party http://ratnetw0rk.blogspot.com

09.10.11, 00:11	#7 (permalink)
bitmuncher Moderator Themenstarter Registriert seit: 30.09.06 Likes: 442	Bei der Bezeichnung R2D2 könnte man skeptisch werden. Hoffen wir mal, dass es sich nicht als Hoax herausstellt. Dann hätte ich den CCC wohl zu früh gelobt. __________________ Mein Blog - Mein Job - Diaspora Der Ring uns zu knechten besteht aus 12 Sternen auf blauem Grund. Neue Beiträge im Habo via Twitter - Das HaBo auf FB - Das HaBo bei G+

09.10.11, 00:53	#9 (permalink)
Golgotha Member of Honour Registriert seit: 29.10.01 Likes: 8	Die besten Hacker des CCC sind zur Zeit Rop Gonggrijp und Frank Rieger. Respekt! Nicht schlecht, gar nicht schlecht -- Wie war's denn noch einmal mit den Fischen und den Anglern? __________________ Man sieht nur mit dem Herzen gut. Wirklich relevante informationren sind für's Auge unsichtbar!

09.10.11, 00:54	#10 (permalink)
bitmuncher Moderator Themenstarter Registriert seit: 30.09.06 Likes: 442	Frank Rieger ist es nicht nur zur Zeit. Er ist es schon seit vielen Jahren. Leider hat der CCC von Leuten wie ihm viel zu wenige. Golgotha and Sven like this. __________________ Mein Blog - Mein Job - Diaspora Der Ring uns zu knechten besteht aus 12 Sternen auf blauem Grund. Neue Beiträge im Habo via Twitter - Das HaBo auf FB - Das HaBo bei G+

09.10.11, 01:14	#11 (permalink)
+++ATH0 Member of Honour Registriert seit: 02.04.05 Likes: 76	Nur mal so als Frage. Welche Indizien konkret weisen denn nun daraufhin, dass es sich hier um den Bundestrojaner handelt? Was unterscheidet sich also von anderen Trojanern, insoweit, dass man sagen könnte, es sei genau dieser? Dazu habe ich afaik nichts gelesen.

09.10.11, 01:24	#12 (permalink)
Golgotha Member of Honour Registriert seit: 29.10.01 Likes: 8	@Aufleger, zur Zeit gibt es nur die Indizien, dass das Teil dem CCC zugespielt wurde. Es ist aber eine Tatsache, das der DDR- Geheimdienst zusammen mit den russischen Freunden Das "James Bond Unterwasserauto" und andere Gadgets aus "James Bond" nachauen wollten und -- dies auch getran haben, Vielleicht ist R2D2 eine Hommage an diese Zeiten? Tarantoga likes this. __________________ Man sieht nur mit dem Herzen gut. Wirklich relevante informationren sind für's Auge unsichtbar!

09.10.11, 01:32	#14 (permalink)
Golgotha Member of Honour Registriert seit: 29.10.01 Likes: 8	Und wenn der CCC nicht einen Hacker mit dem Handle "Teer" vergrault hätte, bei Herrn Gaspard kommt er ja als polyzyklisch aromatischer Kohlenwasserstoff ( PAK ) vor dann gäbe es vielleicht einen Anknüpfungspunkt -- oder vielleicht auch nicht. __________________ Man sieht nur mit dem Herzen gut. Wirklich relevante informationren sind für's Auge unsichtbar!

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Ansicht
Linear-Darstellung Zur Hybrid-Darstellung wechseln Zur Baum-Darstellung wechseln

Ähnliche Themen
Thema	Autor	Forum	Antworten	Letzter Beitrag
[RegEx] Zeichenketten finden, welche "foo" enthalten, ABER NICHT "bar"	beavisbee	(Web-) Design und webbasierte Sprachen	4	05.09.11 14:44
Can't determine definition of operator ""and"" -- found 0 possible definitions	tanj	Code Kitchen	0	25.05.11 22:39
"A disk read error occurred" - Dualbootsystem win7/ubuntu 10.04	bad_alloc	Windows 7	5	01.01.11 20:39
Perl MooseX::Singleton - seltsames Verhalten waehrend "global destruction"	keksinat0r	(Web-) Design und webbasierte Sprachen	0	02.01.10 11:32

[HaBo]

CCC untersucht "Bundestrojaner"