Dem Staatstrojaner vorbeugen?

Hi@all!

Ich denke, es ist hier bekannt, dass der Staat sich zuerst Wege geschaffen hat, den Trojaner installieren zu können. Jetzt geht es darum, dass bereits die Provider in Mittäterschaft hineingezogen werden. Das wird dann nochmal einen Level schwieriger, denn eine Sache ist, einen Trojaner bereits bei der potenziellen Installation zu umgehen und im schlimmsten Falle ihn zu finden und zu löschen, eine andere Sache ist es, wenn bereits die Leitung kompromittiert ist.

Gibt es da schon Überlegungen, wie man dem vorbeugen kann?

Wenn man eine Firewall zwischen dem eigenen LAN und dem Provider-Router schält, ist es schon mal eine gute Sache. Doch ich meine, das wird nicht wirklich reichen.

Und vor allem wird das Problem die Smartphones treffen.
Da reicht die Installation von LineAgeOS wohl nicht aus.

Grüße
c5

Beantwortet deine Frage nicht so ganz, aber die EU wird täglich unattraktiver. Vor allem die unverhältnismäßigen Corona-Maßnahmen. Man kann leider nur mit dem Kopf schütteln.

Immer mehr Gesetze werden heimlich während der großen Pandemie durchgewunken. Wie auch unser geliebter Staatstrojaner.

Über 10 Jahre her, aber immer noch aktuell:


Als Otto-Normalbenutzer bist du der Regierung ausgeliefert.

IT- Experten können ihre PCs absichern. Für eine erhöhte Anonymität werden fundierte Fähigkeiten benötigt.

Smartphones sind eine Welt für sich.
Auf meinem Poco X3 läuft noch eine Xiaomi EU Rom, wo der gesamte Datenverkehr von mir gesteuert wird.
Rund läuft das noch nicht. Zeitlich konnte ich mich noch nicht damit beschäftigen eine eigene ROM aufzusetzen.

Was dir vll hilft ist... Whonix.

das ist gruselig, was in kürzester Zeit geschehen ist. Auch wenn das für diejenigen, die die Entwicklung halbwegs beobachtet haben, nicht ganz überraschend kommt. Ich kenne mich verhältnismäßig aus mit den "fundierten Fähigkeiten" der Anonymisierung, merke aber langsam, dass ich auf meine Grenzen stoße.

Zuerst wird Qubes OS und Ähnliches fast schon zur Pflicht in dem Bereich. Dann ist Tor natürlich wohl das Beste, was es in dem Bereich gibt (die Sache ist nur, dass man dort ohne Cokies und JS oft nicht weiter kommt, macht man es an, wirds schon kritisch). Beim DNS kann man auf DOT umsteigen. Dazu kann man natürlich auch komplett auf open hardware gehen, samt coreboot. Dann ist der Hardware-Level nicht per se kompromittierbar. Noch Ideen?

Beim Smartphone wirds schon deutlich schwieriger. Man kann dort auch Tor, Briar oder wenigstens Signal nutzen, die ganzen open source apps von fdroid. Man kann das Tracking mit der TrackerControl unterbinden mit AdAway entsprechend rumpfuschen, oder sogar ein eigenes VPN nach Hause herstellen mit Wireguard oder Ovpn. Man kann die kritischen Apps im Shelter laufen lassen (zumindest einwenig Abschottung vom Speicher). Noch Ideen?

Doch gerade beim Smartphone wirds mit dem OS und den Hardware-Treibern arg problematisch. Wenn also dort etwas "drin" ist, dann ist die OS-Ebene recht egal. Und da fehlt es auf dem Markt immernoch gewaltig, was entsprechende open source Geräte angeht.

WTF ist Xiaomi EU Rom??
Wie steuerst du da den Datenverkehr?
AFwall ist eine nette Sache bei einem gerooteten Handy, dennoch hat man keinen Überblick über den Inhalt der verschickten Pakete.

Doch auch wenn man das alles entsprechend absichert und auf open source setzt und die Überwachung aber auf der Ebene der Provider stattfindet, dann wirds schwieriger. Der Router Zuhause muss dann hinter einem Extrarouter mit einer FW stehen. Welche Möglichkeiten bekommt der Staat aber noch, wenn er die Provider und entsprechend beteiligte Unternehmen direkt anzapft?

Ich glaube unsere Vorstellungen gehen in die gleiche Richtung. Sehr spannend die aktuelle Lage.

Kurz zu deinen Fragen:

Ich besitze ein Smartphone vom Hersteller Xiaomi. Das habe ich geroutet und die offizielle ROM von der Website aufgespielt. Kein LineageOS oder ähnliches. Sobald du eine gerootete Shell hast, kannst du ja installieren, was du willst.

Bzgl. Anonymisierung im Heimnetzwerk.

Ich löse das Problem für mich in den nächsten Wochen wie folgt:

- Eigener Router (Suche hier eine Alternative zu Fritzbox mit docsis 3.1)
- openBSD Server mit VM [Windows XP oder ggf. 95/98 + Whonix Gateway]
- Firewall (Ich teste hier mal OPNsense. Bin da aber bisschen skeptisch, weil es auf openBSD statt FreeBSD m.E. mehr Sinn gemacht hätte. Muss man sich halt mal anschauen, was die sich da zusammengebaut haben.)

Ob ich damit glücklich werde, weiss ich noch nicht

hmm... das Gleiche kann man ja dann auch mit einem gerooteten Android vom Stock machen.
Nur muss man da alles per Hand entfernen. Es sei denn, man blockiert es einfach per Firewall und lässt es drauf, wozu ich nicht tendiere.
Da ich mich allerdings nie ernsthaft mit Android beschäftigt habe, frage ich mich, wie man sich per Terminal genau bewegt in Bezug auf die Installation von apps. Gibt es da so etwas wie apt-get oder dnf? Oder geht das alles nur per apk-Datei?

Ich sitze bisher hinter einer ipfire, die hinter das Providermodem geschalten ist.
Dann Qubes OS drauf und bei Bedarf whonix bzw. die VMs über whonix ins Netz gehen lassen (die Frage ist, ob sie dennoch leaken).
Für Handy ein oVpn zur ipfire. Allerdings frisst mir das Ding den Akku leer
Ein zusätzlicher VPN zu whonix wäre sicher angebracht, aber mal schauen.
Whonix-Gateway wäre bequemer, klar.

Das Problem ist, dass das alles viel Zeit kostet und mein Knowhow nicht mehr up to date ist.
Da will man dann doch gerne auf fertige Lösungen für Geld zurück greifen.

NitroPad X230 ist da z.B. im Laptopbereich eine feine Sache... aber für DEN Preis... booaah!

Doch auch wenn man das alles entsprechend absichert und auf open source setzt und die Überwachung aber auf der Ebene der Provider stattfindet, dann wirds schwieriger. Der Router Zuhause muss dann hinter einem Extrarouter mit einer FW stehen. Welche Möglichkeiten bekommt der Staat aber noch, wenn er die Provider und entsprechend beteiligte Unternehmen direkt anzapft?

Zum Vergrößern anklicken....

Du bringts hier einiges durcheinander.

Der "Staatstrojaner" ist (so gesehen) eine stinknormale Software die irgend jemand auf deinem System installieren muss.
Für einen Wald-und-Wiesen Gauner wird das sehr sehr wahrscheinlich nicht über einen Dropper passieren.
0-Days sind schon lange keine Angelegenheit von Kids mit Debuggern mehr - und sie sind, ja nach Güte - rar. Das gilt dann auch für jede Regierung. In den meisten Fällen muss das also jemand von Hand machen (die Analogie wäre das Verwanzen deiner Wohnung, auch das gab es damals schon).

Was die Leitung angeht, so umgehst du das mit einem VPN zu einer Kiste die sonstwo steht. Oder du benutzt TOR und bedenkst die Tücken.
Dein "Unternehmen" sieht dann halt deinen Traffic - so what?

Was dein Systemsetup angeht: Router mit OpenBSD, ipsec-tunnel zu entfernter Kiste, von da aus in irgend ein VPN.
Betriebssystem: OpenBSD + verschlüsselten Containern für die persönlichen Daten und zum Pornos gucken und zocken ne Linux Partition.

na das ist klar in Bezug auf den "Staatstrojaner", die Idee ist jedoch, so viel ich weiß, die Provider direkt anzuzapfen (samt dem Erzwingen von dem Umgehen der Verschlüsselung). Dann wird es mit einem VPN (und auch mit Tor, wobei hier nicht nur die Verschlüsselung einen guten Faktor darstellt) schon schwierig effektiv zu arbeiten oder irre ich mich da?

0-Days betrifft ja nur Systeme, die extrem up-to-date sind. Das ist allerdings eine ziemliche Seltenheit.

Da muss man ja erstmal eine entfernte Kiste irgendwo stehen haben. Es sei denn man mietet sie bei einem "vertrauenswürdigen Anbieter".
Als OS finde ich Qubes an sich "unschlagbar".

na das ist klar in Bezug auf den "Staatstrojaner", die Idee ist jedoch, so viel ich weiß, die Provider direkt anzuzapfen (samt dem Erzwingen von dem Umgehen der Verschlüsselung). Dann wird es mit einem VPN (und auch mit Tor, wobei hier nicht nur die Verschlüsselung einen guten Faktor darstellt) schon schwierig effektiv zu arbeiten oder irre ich mich da?

Zum Vergrößern anklicken....

Naja das VPN geht ja beispielsweise von deinem PC zu irgend einem anderen Netzwerk oder PC.
Es ist also eine Ende-zu-Ende Verschlüsselung. Der ISP sieht dann den Tunneltraffic und auch wohin das Geraffel geht.
Die üblichen Angriffe auf ein VPN wären ein Mitschnitt der Daten und eine spätere Entschlüsselung oder jemand hat Zugang zu deinem PC und schneidet die Daten mit, bevor sie ins VPN gehen (zb keylogger). Daraus ergibt sich, dass du mit einem sicheren OS und einer starten Crypto im VPN schon auf der sicheren Seite bist. Der normale Provider ist da jedenfalls raus und nach meiner Kenntnis sind auch die üblichen Ermittlungsbehörden nicht in der Lage sowas aufzumachen.

0-Days betrifft ja nur Systeme, die extrem up-to-date sind. Das ist allerdings eine ziemliche Seltenheit.

Zum Vergrößern anklicken....

Nein, das hat damit nichts zu tun. Es können auch uralte Bugs sein, die einfach noch niemand (anderes) gefunden hat. Siehe Meltdown. Wir haben keine Ahnung ob nicht irgendwelche Firmen oder Geheimdienste solche Bugs seit Jahren(!) ausnutzen um Systeme aufzumachen.

Und das ist am Ende auch der Punkt der dann fast schon zur Glaubensfrage wird: Wir wissen nie was die Dienste für Werkzeuge und Exploits haben und deswegen muss man immer davon ausgehen dass (technisch) erstmal alles aufgemacht werden kann was es gibt. Und wir wissen auch nie welche Hardwarehersteller wie intensiv mit Behörden und Diensten arbeiten und nicht vielleicht sogar absichtlich Bugs in Firmware packen (es gab da vor Jahren mal einen Typen auf einer openbsd Liste, der meinte, er (oder andere) hätte absichtlich Fehler in den IPsec stack geschleust. Nach 10 Jahren konnte er dann drüber reden und hats halt gepostet). ZB gab es belegte Aktionen im Rahmen von NIST wo Algos absichtlich geschwächt wurden. Und solcher Code findet dann seinen Weg in alle mögliche Sicherheitsrelavante Software.

Ob und inwieweit man als Ziel betroffen ist, ist dann eher die Frage ob man sich als Ziel lohnt.

hmm... ok, dann war mein Verständnis davon ähnlich. Ich dachte nur, dass da mittlerweile andere Möglichkeiten vorhanden sein könnten. Aber klar, so lange in der Verschlüsselung keine Backdoor impliziert wurde, dann dürfte es kein Problem geben. Ich habe allerdings gehört, dass auch das in Planung steht - Backdoor in Verschlüsselungsprotokollen.

Ok, klar, hast Recht. wer den Bug entdeckt und ihn still ausnutzt ist natürlich im Vorteil.

Davon muss man natürlich ausgehen, dass alles entsprechend zubereitet wird, auch in Bezug auf Firmware-Hersteller.
Deswegen wäre der Fortschritt in der open source Hardware natürlich genial. Aber es scheint da noch eine lange Zeit nötig zu sein, um alltagstaugliche Geräte zu erzeugen. NitroPad X230 ist eine nette Idee, womöglich das beste, was man sich basteln oder eben kaufen kann. Oder kennst du da etwas Besseres?

Als direktes Ziel kommen natürlich nur Menschen in Frage, bei denen es Sinn ergibt... das werden nicht all zu viele sein. Doch in Bezug auf die Zukunft vermute ich eine deutlich ansteigende Massendatensammlung, die tiefer greift als bisher. Da wäre es nicht verkehrt jetzt bestimmte alltagstaugliche Set-Ups auch für "Normalsterbliche" zu überlegen. Mir geht es so, dass ich Manches selbst halbwegs friemeln könnte, aber die Zeit dafür zu schade ist. Von daher bin ich froh, wenn markttaugliche / alltagstaugliche Lösungen herauskommen.

ZB Qubes OS auf dem Laptop (NitroPad), GrapheneOS auf dem Smartphone, dann VPN zu Anonyme-Box(TOR) und hinter der Anonyme-Box noch eine NanoBox mit ipfire drauf (DOT mit Werbe- / Trackingblockern) bevor man zum Provider-Router kommt. Wäre eine käufliche Lösung. Man kann das natürlich auch alles selbst basteln.

hmm... ok, dann war mein Verständnis davon ähnlich. Ich dachte nur, dass da mittlerweile andere Möglichkeiten vorhanden sein könnten. Aber klar, so lange in der Verschlüsselung keine Backdoor impliziert wurde, dann dürfte es kein Problem geben. Ich habe allerdings gehört, dass auch das in Planung steht - Backdoor in Verschlüsselungsprotokollen.

Zum Vergrößern anklicken....

Cryptoalgos sind doch immer (idr) public. Das andere ist die Softwareimplementierung. Und hier ist es fast egal ob OS oder nicht, denn das Zeug nachzuvollziehen ist eh nur einer ziemlich kleinen Gruppe von Menschen möglich.

Dass Dienste in Implementierung absichtlich Schwächen einbauen, die man fast nur nutzen kann wenn man davon weiß, wissen wir.

DoT - super Sache wenn du dir sicher sein kannst dass der Betreiber des Servers nicht schön fleißig loggt und speichert
Aber auch den kannste leicht selbst betreiben.

hmm... mit DoT selbst betreiben habe ich mich noch nicht beschäftigt.
Gibts da vielleicht eine ipfire-Erweiterung dazu?

Das war ein Scherz!
Das ist aktuell noch ein experimentelles Protokoll und wie ich finde eine insgesamt sehr schlechte Lösung.
Und leider ist dieser Ansatz trotzdem so populär, weil er vorgeblich dem User Datenschutz bietet, was nur zum Teil richtig ist.
Jedenfalls wird auf Richtungsweisenden Konferenzen (IGF, ICANN, auch IETF) eifrig darüber diskutiert. Google selbst ist selten dabei und nimmt auch zu nichts Stellung.

Aber wer sind die großen Player hinter DoH (DNS over HTTPS)? Das sind Google und Cloudflare.
D.h. wenn du DoH im Chrome einsetzt, lieferst du brav jede angefragte Webseite an Google - auch ohne Google Konto.
Oder Cloudflare - auch nicht besser. Zwar gibt es eine Auswahloption aber keep it real - der normale User ändert da nix.

Meine Kritik liegt hier:
- Dadurch, das Applikationen direkt DNS Abfragen machen und nicht mehr den lokalen Resolver des Systems benutzen, konterkariert man die Basis des Netzes. Ein Element der Stabilität im Internet ist das DNS und Routing. Wenn du Flächendeckend DoH hast, hast du auch einen Single-Point-of-Failure.
- Sämtliche Sicherheitsfeatures, die auf DNS Sperren basieren, sind nutzlos.
- Der Betreiber entscheidet ggf. welche Zonen gesperrt werden, du hast keinen Einfluss darauf und kannst es nicht mal "sehen". Das ist weitaus übler als die DNS Sperren der Regierung.
- Der DNS Betreiber (zB Google) sieht an EINER Stelle alle deine DNS Abfragen
- lokale Malware (bzw. dessen Kommunikation) kann u.U. nicht mehr identifiziert oder (aus DNS level) geblockt werden
- Du hast keine Ahnung was die Applikation (sonst) für Anfragen macht
- Werbeblocker auf DNS Basis? Erledigt (zb Adword Blocker), Google wird entscheiden, wer geblockt wird und wer nicht
- Es ist nicht davon auszugehen, dass es viele kleine Anbieter geben wird. Durch die Infrastrukturanforderung und die Tatsache, dass man damit nit mittelbar Geld verdienen kann, liegt das Interesse bei den großen Playern (Apple, Amazon, Google, FB)

Datenschutztechnisch sieht DoH verlockend aus aber ist really bad für die Infrastruktur und auf lange Sicht. Es gibt Alternativen wie DoT (DNS over TLS) - hier wird der Transportweg zwischen den Nameservern verschlüsselt, aber die Anfrage selbst ist dem Betriebssystem weiterhin bekannt.

Unterm Schnitt ist DoH ein Alptraum, der Google und allen anderen großen Playern ein wahnsinniges Stück Kontrolle gibt.

Du meinst DoT vermutlich. Nun, wenn man meint, dass man dadurch die Privatsphäre schützt, ist es natürlich Unsinn. Aber als Teil einer Gesamtlösung ist es ja durchaus nicht wegzudenken. Oder was gibt es da für Alternativen?

Auf DoH wollte ich gar nicht hinaus.
Hängt DoH nicht auch vom Server ab und nicht zwangsläufig von Google/Cloudflare?
Klar, DoH hat den Nachteil, dass man die DNS-Anfragen oder DPI gar nicht mehr als solche erkennt. Deswegen spreche ich nur von DoT.
Danke für die Aufzählung der DoH-Probleme, die Tragweite war mir nur teils klar.

Also ist DoT durchaus die einzige Möglichkeit auf der DNS-Basis etwas Privatsphäre zu bringen.

citizenfive hat gesagt.:

Nun, wenn man meint, dass man dadurch die Privatsphäre schützt, ist es natürlich Unsinn.

Zum Vergrößern anklicken....

Kommt drauf an, vor wem. Dem DNS-Serverbetreiber sicher nicht, dem Betreiber eines WLAN-Hotspots schon.

citizenfive hat gesagt.:

Hängt DoH nicht auch vom Server ab und nicht zwangsläufig von Google/Cloudflare?

Zum Vergrößern anklicken....

Wenn in den Browsern DoH aktiviert ist, sind hier ab Werk Google oder Cloudflare als Resolver eingetragen.

ich meinte nur, dass allein die DNS Verschlüsselung für die Privatsphäre nicht reicht, ansonsten klar, vor dem Inetprovider etc. wäre man dann vorerst geschützt.

Oha, das wusste ich bei DoH nicht (nutze eh DoT), das ist ja ein krasser bodenloser Unsinn!

Was mich dazu einmal interessieren würde. Man wird ja infizierte Systeme ohnehin nicht sicher überprüfen können. Ob sich darauf also ein Trojaner oder ähnliche Malware befindet lässt sich afaik deshalb nicht vom infizierten System aus feststellen, weil per System-API-Hoock oder ähnliches Techniken Schadsoftware "unsichtbar" betreiben kann - geht vielleicht auch noch viel einfacher.

Was man aber nicht "unsichtbar" betreiben kann, ist das Versenden von Daten über das jeweilige Netzwerk. Selbst wenn alle sich im Netzwerk befindlichen Systeme infiziert wären, dann müsste man nur "von außen" ein System sozusagen also Monitor betreiben, könnte so den Netzwerktraffic loggen und analysieren. Frage wäre nur: Nach welchen Auffälligkeiten müsste man suchen?

Was man aber nicht "unsichtbar" betreiben kann, ist das Versenden von Daten über das jeweilige Netzwerk. Selbst wenn alle sich im Netzwerk befindlichen Systeme infiziert wären, dann müsste man nur "von außen" ein System sozusagen also Monitor betreiben, könnte so den Netzwerktraffic loggen und analysieren. Frage wäre nur: Nach welchen Auffälligkeiten müsste man suchen?

Zum Vergrößern anklicken....

Das wirst du vorher nicht mit Sicherheit wissen können. Es gibt auch nicht DEN Staatstrojaner, sondern auch die Jungs/Firmen werden einen ganzen Schwung an Software haben welche sich auch weiterentwickelt. Im Prinzip liegst du aber in vielen Fällen vermutlich richtig, denn man würde ggf. gesammelte Informationen versenden wollen. Auf der anderen Seite kann eine solche Software auch nur ein Teil der Ermittlung sein, d.h. Informationen werden lokal gesammelt und nach einem Zugriff auf die Person (im Rahmen einer Verhaftung oder Hausdurchsuchung) nachträglich sichergestellt wobei die Beweiskraft solcher Daten ja ohnehin Systembedingt fraglich bleibt.

Such mal nach Analysen von Staatstrojaner - auch der CCC hatte da mal was veröffentlicht.

Das ist vermutlich nur die Spitze des Eisbergs.

Wer sich wirklich schützen will, kann das heute. Der Staatstrojaner steckt ja noch in den Kinderschuhen.
Heute können wir uns also noch schützen. Aber wie sieht es in 20 oder 30 Jahren aus?

Vermutlich wird es irgendwann direkt in den PC integriert oder man setzt der freien Routerauswahl ein Ende.
Das wäre vermutlich der einfachste Weg.

Irgendwie wird man täglich immer mehr kontrolliert und überwacht...

20, 30 Jahre?? Das ist aber eine nette Zukunftsprognose! Ich gehe von 5 allerhöchstens 10 Jahren aus und wir sind in einem von den meisten recht gewollten totalitären, aber nett aussehenden Überwachungs- und Bevormundungsstaat.

• Die neuen Server-Boards der Serie 5000 von Intel enthalten Programme, die in den Flash-Speicher der BMC-Einheit eingebettet sind und auf dem Zentralprozessor ausgeführt werden. Diese Programme werden mit der Virtualisierungshardware des Zentralprozessors ausgeführt.
• Die Flash-Speicher-Images von der offiziellen Intel-Website enthalten keine solchen Softwaremodule. Daher wurden die Softwaremodule, die mich stören, während der Produktionsphase illegal auf Motherboards geflasht.
• Der Flash-Speicher der BMC-Einheit enthält verschlüsselte Softwaremodule, die ohne Kenntnis der Verschlüsselungsschlüssel nicht zusammengesetzt und in den Flash-Speicher eingefügt werden können. Daher wusste derjenige, der diese illegalen Softwaremodule eingefügt hat, dass die Verschlüsselungsschlüssel Zugriff auf tatsächlich geheime Informationen hatten.

Zum Vergrößern anklicken....

Ist nun gut 10 Jahre her, Virtualisierung und IME (Intel Management Engine oder AMDs Gegenpart) haben wir so gut wie in jedem modernen Rechner, Abschaltung ist nicht wirklich möglich ...