Fragen? Antworten! Siehe auch: Alternativlos
Der AIVD ist bislang nicht durch Zurückhaltung aufgefallen, wenn es um das Aufspielen von Trojanern und generell das Hacken von anderer Leute Endgeräten geht. Eher im Gegenteil. WTF?!
Update: Bert hat auch eine Englische Übersetzung gepostet, aber auf Linkedin (nur mit Ganzkörperkondom klicken).
Update: Bert hat freundlicherweise auch noch einen Blogpost dazu geschrieben.
In ihrem Positionspapier sprechen sich die Grünen für konsequente Abschiebungen von nichtdeutschen Gefährdern aus. Bei Abschiebungen und Überstellungen in andere EU-Länder sei der Vollzug noch mit zu vielen Mängeln behaftet. "Bund und Länder müssen sich gemeinsam anschauen, wie aus der möglichen eine tatsächliche Abschiebung wird."Oh. Hups. Das war ja gar nicht die AfD. Das waren die Grünen!Mihalic und von Notz, der auch Vorsitzender des Parlamentarischen Kontrollgremiums ist, zeigen sich offen für ein schärferes Waffenrecht und mehr Befugnisse für die Sicherheitsbehörden - unter anderem verdeckte Ermittlungen in sozialen Netzwerken und einen besseren Austausch zwischen Polizei und Geheimdiensten.
Achtet auch auf das Detail, dass der Typ, der hier Abschiebungen von Gefährdern (!) fordert, und mehr Trojaner- und Massenüberwachungsbefugnisse für Geheimdienste, dass DER den Vorsitz im parlamentarischen Geheimdienstkontrollausschuss hat.
Ihr wisst schon, das Gremium, das dafür sorgen soll, dass die Geheimdienste nicht freidrehen. DER will denen jetzt noch mehr Stasi erlauben.
Ja gut, denkt ihr euch jetzt, das geht eh nicht, weil die Schuldenbremse ja verhindert, dass die unser schönes Geld anzünden und für solchen Fascho-Scheiß zum Fenster herauskübeln. Aber weit gefehlt, sie haben einen Plan!
Zur Finanzierung schlagen sie eine Art Sondervermögen vor. Sie nennen es "Basisinvestition".Früher sagte man: Schulden aufnehmen.
Dann sagte man: Sondervermögen.
Jetzt sagt man: Basisinvestition!1!!
Hey, psst, habt ihr auch die Grünen gewählt? Damit die Dinge endlich anders werden? Besser? *Wieher*
Bundesamt für Verfassungsschutz und Bitkom fordern stärkere CybersicherheitNa das sind ja genau die richtigen!
Der IT-Verband Bitkom und das Bundesamt für Verfassungsschutz sehen Deutschlands Wirtschaft akut bedroht und erachten Expertise im eigenen Land notwendig.Bitkom, wir erinnern uns, hat gegen das Verbot von Datenhandel lobbyiert, weil es ja Bürger gebe, die mit Werbung zugespammt werden wollen. Bitkom hat auch argumentiert, DE-Mail brauche keine Ende-zu-Ende-Verschlüsselung, weil das ja ein "extremes Sicherheitsniveau" wäre, das brauche doch kaum jemand. Bitkom feierte auch Politiker, die weniger Datenschutz und mehr Datenreichtum forderten. Bitkom fand nicht, dass man Mindest-Security per Regulator vorschreiben muss, sondern forderte mehr Meldepflichten (wissenschon, Datenreichtum!). Was für ein Clown-Laden Bitkom ist, sieht man ganz gut an folgender Veranstaltung:
AI & Data Summit and Quantum Summit will take place on 25 and 26 September 2024 live at Kosmos Berlin.Mir fällt nur schwer jemand ein, den man noch weniger ernst nehmen kann als die.Außer, natürlich, den Verfassungsschutz. Diese Organisation wollte uns Trojaner auf den Endgeräte spielen, und dafür Exploits kaufen. Das ist echt nicht zu fassen, dass ausgerechnet diese beiden Player jetzt so tun, als seien sie an mehr Cybersicherheit interessiert.
Bleibt nur noch eine offene Frage. Sind die nur böswillig oder auch bestürzend inkompetent und uninformiert? Hier ist ein Hinweis:
Die Professionalisierung der Angreifer bereitet dem Verfassungsschutz große Sorgen. "Zero-Day-Schwachstellen spielen eine ganz zentrale Rolle", warnte Selen, das BfV beobachte eine Industrialisierung der Angreifer.Nein. Tun sie nicht. Eine Lücke ist nicht Zero-Day, nur weil du Klappspaten den Patch noch nicht ausgerollt hast. Eine Lücke ist Zero-Day, wenn es keinen Patch gab, den du hättest ausrollen können.
Der Bitkom vertritt übrigens Firmen wie Microsoft, Amazon und SAP. Daher werden die nie empfehlen, dass man Windows rauskantet und nicht in die Cloud zieht. Stattdessen kolportieren sie tolle Ideen wie diese hier:
Die Trennung etwa von SAP-Systemen eines Konzerns zwischen deutschen und chinesischen Standorten sei betriebswirtschaftlich eigentlich nicht sinnvoll, aber notwendig, solange es keine Alternativen gebe. Diese Restrukturierung entlang der Supply Chain finde aber zunehmend statt.Was heißt hier Problem? Profit-Gelegenheit für SAP!
Das ist alles so eine Farce!
Ich beobachte ja dieses ganze Security-Theater seit Jahren belustigt und Popcorn mampfend von der Tribüne. Seit Jahrzehnten warnen jetzt Experten davor, USB-Sticks in den PC zu stecken.
Der Hauptgrund war immer, dass man da ein Filesystem mit Autorun-Datei drauf haben konnte, und Windows würde das dann beim Reinstecken einfach ausführen und etwaige Malware installieren. Das ist seit Jahren nicht mehr so.
Aber USB ist halt ein recht generisches Protokoll, und nur weil das wie ein Stick aussieht, heißt das nicht, dass es sich auch als USB-Stick anmeldet. Es kann sich auch als Tastatur und Maus anmelden und Eingaben tätigen, die einen Trojaner "von Hand" installieren.
USB-Geräte reinstecken ist also immer noch grundsätzlich riskant, nicht nur unter Windows.
Das ist leider ein grundsätzlicher Trend in der IT. USB 4 geht sogar noch weiter und kann PCI sprechen, d.h. ungefragt Speicher auslesen. Da kann sich der Host zwar gegen wehren, aber nicht komplett (die Granularität der Zugriffsrechte ist eine Speicher-Page).
Nichts davon musste sein. Das sind alles selbst zugefügte Wunden.
In meinem Vortrag habe ich über die Architektur hinter meinem Blog gesprochen. Also: gatling, blog.cgi und tinyldap. War eine Keynote, kein technischer Vortrag, und am Ende der Veranstaltung hat eh keiner mehr Kraft für tiefschürfende technische Ausführungen.
Aber es hat mich zum Nachdenken gebracht. Meine ganzen Projekte sind inzwischen alle ziemlich alt. Waren die eigentlich ein Erfolg? Wie definiert man überhaupt Erfolg bei sowas?
Kürzlich wies mich ein Leser auf diese Analyse einer russischen Malware hin, in der der Analyst meine dietlibc gefunden hat. Also SO einen krassen Fall von GPL-Verletzung hatten wir ja schon lange nicht mehr! Ich verlange die Herausgabe des Quellcodes!!1!
Schön ist das natürlich nicht, wenn mit meiner Library irgendwelche Trojaner geschrieben werden. Auf der anderen Seite aber auch irgendwie ein Ritterschlag. Wenn du willst, dass dein Trojaner auf allen Distros funktioniert, auch mit echt alten Kernels, dann gibt es schlechtere Wahlen als dietlibc. :-)
Tja, und dann habe ich mal ins cvs log von tinyldap geguckt. Der erste Checkin von Makefile war im Januar 2002. Über 20 Jahre her! Wie die Zeit vergeht.
Am Ende ist tinyldap das Projekt, das mir am meisten gebracht hat. ASN.1 ist kein abstraktes Mysterium mehr für mich. LDAP auch.
Auf Platz 2 vom Lerneffekt her ist dietlibc. Wo ich früher häufig irgendwas fummeln musste, kenne ich jetzt die obskure libc-Funktion, die genau das erledigt.
Unter dem Strich hat mir das derartig viel Erfahrung gebracht, dass ich die Projekte auch als großen Erfolg werten würde, wenn die außer mir nie jemand eingesetzt hätte.
dietlibc könnte ihre größte Popularität sogar noch vor sich haben. Wenn die Leute merken, dass man nicht Go benutzen muss, wenn man Binary haben will, das ohne weitere Abhängigkeiten einfach lauffähig ist. Ein Docker-Image aus nur einem Binary ist im Moment praktisch ein Monopol von Go. Das könnte man genau so gut mit dietlibc machen, oder von mir aus mit musl-libc.
Kann eigentlich nicht mehr lange dauern, bis den üblichen Verdächtigen unter den Microservice-Leuten das auffällt. Any day now.
Tsja. Auf die nächsten 20 Jahre!
Erst verwanzen sie Wohnungen, um "die Kinder zu schützen" (vor Drogen!1!!).
Dann packen sie Trojaner auf Telefone, um "die Kinder zu schützen" (vor Hassrede).
Dann führen sie die zeitlich unbegrenzte Inhaftierung Unschuldiger ein, um "die Kinder zu schützen" (vor Triebtätern?).
Dann holzen sie den Forst ab, dessen Sauerstoff die Kinder hätten atmen wollen, und schmeißen die Kinder in den Knast, die sie eben noch schützen zu wollen vorgaben.
Auf dem Weg haben sie noch den Sozialstaat abgeschafft, um arme Kinder arm zu halten.
Wo bleibt eigentlich die Revolution? Wer wählt diese Triebtäter immer wieder ins Parlament?!?
Das kann ich halt nicht so sehen. Wir wissen nicht, wo diese Nachrichten herkommen. Vielleicht aus einem internen Chatforum. Vielleicht hat jemand Döpfners Telefon gehackt. Vielleicht hat Döpfner seine Nachrichten in die Cloud gebackupt und da hat sie jemand kopiert. Wissen wir nicht.
Ich muss daher davon ausgehen, dass hier jemand auch die ganzen privaten Dinge von dem Döpfner gesehen hat. OK, auf dem Weg hat jemand gefiltert, vielleicht der Leaker, vielleicht die "Zeit", und bei der Veröffentlichung dann gefiltert. Das ist aus meiner Sicht ja wohl der absolute Mindeststandard an der Stelle! Das entschuldigt doch nicht den ursprünglichen Einbruch!?
Ich sehe das, wie ich auch Trojanereinsetz der Polizei sehe. Die schwören uns auch, dass sie die Intimsphäre wahren werden. Aufnahme aus dem Schlafzimmer werden direkt gelöscht sagen sie. Das mag ja sein, aber dafür muss die ja jemand angehört haben, um zu merken, dass die aus dem Schlafzimmer waren!
Privatsphäre bezieht sich nicht nur auf die Veröffentlichung sondern auch darauf, dass jemand überhaupt Zugriff auf diese Daten hat.
Ich bin jetzt nicht Döpfner und kann mir das nur aus der Ferne vorstellen, aber für mich würde sich das glaube ich anfühlen wie eine Hausdurchsuchung. Nur halt nicht von der Polizei durchgeführt! D.h. … ein Einbruch.
Ich kenne jemanden, dem mal jemand in das Haus eingebrochen ist und Dinge geklaut hat. Als niemand im Haus war, immerhin. Aber der hat Jahre gebraucht, bevor er sich in seinem eigenen Haus wieder sicher gefühlt hat.
Ich selbst habe mal bei einer Einreise in die USA erlebt, dass vor mir alle ihre Fingerabdrücke abgeben mussten. Als ich dran war, meinte der Typ nur so: Nee, deine haben wir ja schon. Ich habe Monate gebraucht, bis der Schock wieder aus meinen Knochen rauswar. Meine hatten die schon, weil ich mit Visum einreiste, und bei der Visumsbeantragung gibt man die Fingerabdrücke ab. Ich dachte aber, dass man die abgibt, damit die bei der Einreise vergleichen kann. Nee. Offensichtlich nicht. Man gibt die ab, weil die USA gerne alle unsere Fingerabdrücke bei den Akten haben wollen.
Vielleicht bin ich da überdurchschnittlich sensibel, aber der Gedanke, dass jemand alle meine privaten Nachrichten liest, und dann ein paar davon rauspickt, die er für "beruflich" hält, und veröffentlicht? Das finde ich einen absoluten Horror!
Ein paar Leser fanden auch, dass der Empfänger entscheidet, ob eine Nachricht privat ist. Das finde ich nicht. Ich betreibe eine Firma mit einem alten Uni-Freund zusammen, und wir erzählen uns ständig private Dinge von Arztbesuchen bis Familienproblemen. Da sind auch einige mit Nachrichtenwert dabei, die wir nicht öffentlich erzählt haben, weil wir dem Kunden Verschwiegenheit zugesichert haben. Wenn die morgen in der "Zeit" erscheinen würden, würde ich ganz sicher davon ausgehen, dass die auch die Arztbesuche und den Familienstress gesehen haben. Das würde mich an der Stelle nicht beruhigen, dass sie das nicht auch gleich in ihrer Zeitung abgedruckt haben.
Stell dir mal vor, du kriegst ein Schreiben von der Staatsanwaltschaft, dass sie ein Verfahren gegen dich eingestellt haben, weil deine Browserhistory beweist, dass du zu dem Zeitpunkt ein Alibi hattest. So ungefähr wirkt das auf mich hier gerade. Auf der einen Seite gut, dass sie die Browserhistory nicht veröffentlichen. Auf der anderen Seite: WTF? Die haben in meine Browserhistory geguckt!?!?
Ich plädiere hier also nochmal ausdrücklich für mehr Empathie. Grundrechte und Menschenwürde sind nur real, wenn sie für alle gelten. Insbesondere wenn sie auch für Leute gelten, die ihr nicht leiden könnt.
Das ist schon ein relativ starkes Statement. Normalerweise lässt man derart hohe Amtsträger selber zurücktreten, aus gesundheitlichen Gründen, oder wollte sich beruflich neuorientieren, sucht neue Herausforderungen oder sowas. Familiäre Gründe.
Tja. Der Nachfolger wird bestimmt noch schlechter. Irgendein SPD-Parteisoldat, der auf Trojanereinsatz und Vorratsdatenspeicherung steht.
Da kriegen die SPD-Wähler, was sie verdient und gewählt haben.
Update: Achtet mal auf die Details. Schönböhm hat selbst um das Disziplinarverfahren gegen sich gebeten. Damit hat er sie in Zugzwang gebracht. Entweder sie feuern ihn, ohne dass irgendwas vorliegt, das sie nicht seit Jahren wussten und in Kauf genommen haben, und machen sich komplett zum Stück Brot, oder sie sagen öffentlich, dass sie nichts in der Hand haben.
Schönbohm fand, dass sie nichts gegen ihn in der Hand haben, das nicht seit 10+ Jahren bekannt war, und er hat sich auf dem Weg immer schön alles abnicken lassen und auf einem Paper Trail bestanden. Ich hab den Mann nie für einen guten BSI-Chef gehalten, aber wie er die hier auf den letzten Metern nochmal so richtig ausmanövriert und gegen die Wand laufen ließ? Chef's Kiss!
Im Vergleich zu der Faeser und ihrer Lachnummer von einem Papiertigerministerium wirkt der jetzt geradezu wie eine Kompetenz-Singularität. Herzliche Grüße an dieser Stelle an Nancy Faeser. Die hat sich damit schöner selbst zerlegt als ich es je hätte herbeiführen können.
Aktuell gibt es mal wieder ein tolles Beispiel. Und zwar hat ja der Bund in seiner unendlichen Weisheit entschieden, dass Ärzte, die schon mit der Fortbildung auf ihrem eigenen Gebiet überfordert sind, jetzt auch Computerspezialisten werden und an eine "Telematik-Infrastruktur" angeschlossen werden sollen.
Idee: Wir digitalisieren das Gesundheitswesen!
Problem: Die Ärzte können das nicht. Die wollen und sollen das auch nicht können. Wenn ich die Wahl habe, ob mein Zahnarzt seine Zeit für Fortbildung in Zahnarzt-Themen oder für Fortbildung in IT-Themen investiert hat, werde ich natürlich immer den Zahnarzt nehmen, der sich in seinem Fach weitergebildet hat. Die ganze Idee ist schon beschissen.
Aber gut. Also wurde eine Firma namens Gematik beauftragt, und da sitzen dann lauter Bürokraten drin, deren einzige Sorge war, am Ende an irgendwas Schuld zu sein. Also haben sie sich für Fundamentalismus entschieden. Aber nicht Fundamentalismus wie "das ist eine grundsätzlich schlechte Idee, das machen wir nicht" sondern Fundamentalismus wie "wir werden da jetzt soviel Compliance-Theater drauf, wie wir nur können".
Das Highlight war vor vielen Jahren, dass die ernsthaft mit "beschlagnahmesicheren Käfigen" geworben haben. Da stehen die Server in den Rechenzentren drin. In Käfigen, damit Behördenwillkür nicht einfach so zum kompletten Datenverlust führt, sondern die sich erstmal durch die Käfige beißen müssen.
Da hätte man auch sagen können: Hervorragender Punkt. Daten so zentral zu sammeln ist eine grundsätzlich beschissene Idee, das machen wir nicht. Irgendein Arschloch wird immer kommen und darauf zugreifen wollen. Irgendein Vorwand wird sich schon finden. Ein Kindermörder soll per DNA-Abgleich identifiziert werden oder sowas. Wer kann da schon nein sagen? Und schon ist das Fluttor offen.
Aber nein, haben sie natürlich nicht gemacht. Dann wären sie ja nicht bezahlt worden. Stattdessen haben sie da beschlagnahmesichere Käfige beworben und Krypto gesprenkelt, und dann meinte jemand: Ja aber können wir denn deren Internet einfach so trauen?! Nein, natürlich nicht! Also geben wir ihnen VPN-Endpunkte. Aber nicht irgendwelche, nei-hein! Wir geben ihnen zertifizierte Bullshit-Theater-Endpunkte!
Wer macht sowas in Deutschland? U.a. Secunet. Sowas wird sonst zum Vernetzen von Botschaften eingesetzt. Daher ist Teil von solchen Geräten, dass sie versuchen sollen, sich Angreifern mit physischem Zugriff zu widersetzen.
Diese Idee gibt es häufiger, aber sie war schon immer Schwachsinn. Mein Lieblingsspruch zu dem Thema ist von Peter Gutmann, der mal meinte: Die einzige tamperproof hardware, die es gibt, ist Voyager 1. Weil die inzwischen ausreichend schwierig physisch zu erreichen ist für Angreifer.
Egal. Gegen Angreifer mit physischem Zugriff kannst du dich nicht sinnvoll wehren. Du kannst sie ärgern und aufhalten, aber wehren geht nicht. Das wussten die Ingenieure natürlich, und sie wussten auch, dass sie hier nicht an einer Atombombe arbeiten, die in Feindeshand fallen könnte und dann nicht explodierfähig sein darf, sondern an einem stinkenden VPN-Tunnel. Also haben die gemacht, was Ingenieure leider immer machen in solchen Fällen: Sie haben Bullshit-Theater gemacht. Sie haben Krypto drübergesprenkelt, damit es sicher riecht. Aber weil das Teil natürlich booten können soll, ohne dass der Arzt einen 128stelligen Code eingibt, liegt der Schlüssel für die Krypto-Simulation daneben. Mit der "Lösung" können alle leben.
Der Chef kann sagen: Wir haben doch Krypto gesprenkelt!
Das BSI zertifiziert das, weil Dateisystem ist verschlüsselt!1!!
Der Kunde kriegt ein Häkchen für seine Checkbox, deren Sinn er eh die ganze Zeit nicht verstanden hat.
Und der Arzt kann das benutzen, ohne irgendwas davon verstanden zu haben, und (hoffentlich) ohne dass das unsicherer ist als es ohne das Theater gewesen wäre.
Aber wenn wir genau hingucken, stellen wir fest, dass wir hier eine Security-Zusage gemacht haben. Von der wir die ganze Zeit wussten, dass sie nicht einhaltbar ist. Eines Tages kommt also ein missratener Teenager und hackt das mit primitivsten Mitteln auf (denn der Schlüssel liegt ja wie gesagt daneben!). So ist das gerade mit den "Konnektoren" in den Arztpraxen geschehen. Abwehren von Angreifern mit physischem Zugriff war die ganze Zeit keine reelle Anforderung, denn wieso würde der Arzt seinen Konnektor hacken oder da Patienten ranlassen?! Und wenn jemand in die Praxis einbricht, dann kann der da das Papier raustragen und muss nichts hacken.
Aber jetzt kommt ein Winkel dazu. Und zwar haben die so viel Bullshit-Security-Theater über das Projekt gesprenkelt, dass "die Hardware veralten" kann. Die veraltet natürlich nicht wirklich, sondern das Bullshit-Theater-Zertifikat läuft aus. Es gibt keinerlei inhaltliche Sachgründe hinter irgendwas davon. Das war von vorne bis hinten Bullshit.
Aber wartet. Der missratene Teenager hat als Demo für seinen Hack gezeigt, dass man damit auch X.509-Zertifikate erneuern kann. Auf den Boxen. In Software. Ja, äh, natürlich kann man das. Wer würde denn Boxen bauen, wo man das nur per Hardwaretausch machen kann? Nun, wie sich rausstellt: Gematik und ihre Zulieferer. Nur waren sie dabei eben inkompetent, weil das eh sinnlose Compliance-Theater-Anforderungen waren, die die Ingenieure also auch nur Compliance-Bullshit-Theater-mäßig "umgesetzt" haben.
Tja und jetzt stehen alle Seiten peinlich berührt in der Gegend rum. Die Hersteller können nicht erklären, wieso man das doch tauschen kann, oder wieso sie das verhindern wollten. Gematik kann nicht erklären, wieso das überhaupt in den Anforderungen landen konnte. Und niemand kann erklären, wieso das eh finanziell kurz vor dem Kollaps stehende Gesundheitssystem jetzt 300 Millionen zahlen sollte, um unnötig Geräte zu tauschen, wenn ein Softwareupdate gereicht hätte.
So hat dann Berichten zufolge einer der Hersteller sich verleugnen lassen und ging nicht mehr ans Telefon und die Gematik findet die eine Äußerung, mit der sie ihren Griff ins Klo noch vertiefen konnten: Ach komm, Atze, lass uns mal trotzdem die Hardware tauschen!1!!
Darf ich nochmal darauf hinweisen, dass nichts davon sachlich oder technisch begründet ist. Das war alles Compliance-Flipper zwischen in Inkompetenz festgekalkten Behörden und Institutionen. Wenn ich mir was wünschen dürfe, würden die alle gefeuert und müssten ihre Gehälter für die letzten Jahre zurückzahlen. Unfassbar.
Update: Bei der Gelegenheit möchte ich auch noch auf den Umstand hinweisen, dass man überhaupt gar keine Konnektoren braucht. Die erfüllen keinen Zweck. Ein VPN macht Transportverschlüsselung und Authentisierung. Die macht beides auch TLS.
Update: Ja aber Fefe, bei der Box kann der Trojaner auf dem Windows-Rechner aber doch die Schlüssel nicht klauen! Das ist doch viel sicherer! Ja, äh, wieso soll der Angreifer denn die Schlüssel haben wollen, wenn die Box ihn auf Zuruf mit der Telematik-Infrastruktur verbindet? Hier wird ein Problem gelöst, das niemand hatte. Mit anderen Worten: Das ist Bullshit-Theater.
Na das passt ja mal wieder alles wie Arsch auf Eimer!
Sehr perfide auch: Es geht um "Schwachstellenmanagement", was ich ja generell schon immer kritisiere, weil es ein Codewort dafür ist, dass Firmen Schwachstellen nicht alle einfach sofort immer wegpatchen, sondern dafür ein "Management" einführen, was dazu führt, dass bekannte Schwachstellen offen bleiben. Sein schlechtes Gewissen betäubt man dann, indem man die eiternden Wunden mit ein paar Schichten Schlangenöl und Monitoring zudeckt.
Wenn ihr euch jetzt fragt, wieso das Monitoring den Exploit kennen soll, wenn die Firma schon nicht in der Lage war, den Patch gegen die Lücke zeitnah einzuspielen, dann habt ihr natürlich völlig Recht. Niemand erkennt da jemals irgendwas relevantes.
Aber in diesem dreisten Regierungsdokument geht es unter diesem eh schon verbrannten Namen um etwas noch übleres: Um das Management von Sicherheitslücken durch ... die Geheimdienste. Die entscheiden, ob sie eine Lücke melden oder lieber selber verwenden, um damit unschuldigen Bürgern die Geräte zu hacken.
Es geht hier also in keinem Aspekt um eine Strategie, um die Cyberstrategie zu verbessern. Es geht um eine Strategie, die Bürger künstlich noch unsicherer zu halten als sie eh schon (katastrophal!) sind.
Die israelische Polizei hat doch Spyware wie jene namens Pegasus der NSO Group genutzt, um Mobiltelefone von israelischen Bürgern und Bürgerinnen auszuspionieren.Oh ach gucke mal, was wir in der Sofaritze gefunden haben! Eine Rechnung für angeschaffte Spyware-Trojaner! Haha, bedauerlicher Irrtum, als wir neulich sagten, wir würden sowas nicht einsetzen!1!!
Aber wartet, geht noch großartig weiter:
Parallel zu dieser Kehrtwende behauptet ein Whistleblower, dass die NSO Group einem US-Unternehmen für Mobilfunksicherheit vor Jahren für einen Zugang zum Mobilfunk-Netzwerk SS7 "Taschen voller Bargeld" angeboten habe.Wenn dein Geschäftsgebahren an die Panzerknacker oder eine der CDU-Spendenaffären erinnert, dann ist dein Geschäftsgebahren kriminell und/oder zumindest furchtbar unseriös.
Und dann sagt man einfach: Ist zugestellt.
Wie man dann die Kohle eintreibt? Klären wir später!
Ich kann kaum erwarten, wie blöde der Herr Justizminister guckt, wenn das mal irgendein Land dieser Welt mit ihm macht. Wie, na klar gibt es auf Sie einen Haftbefehl und wir haben der Deutschen Bank aufs Konto gegriffen, weil wir Ihr Konto nicht erreicht haben. Könnt ihr ja intern verrechnen. Na hören Sie mal, das stand letzte Woche im Ulan-Bator-Anzeiger! Da können wir ja wohl nichts für, wenn Sie den nicht lesen!1!!
Da haste doch spontan Vertrauen in den Rechtsstaat, wenn der zu solchen Methoden greift.
Ich frage mich ja, wieso die überhaupt finden, sie hätten Zuständigkeit oder Jurisdiktion über Telegram. Die Russen behaupten ja auch nicht, sie hätten Zuständigkeit und Jurisdiktion über Xing oder die Heise-Foren. Diese ganzen Truthähne in der Regierung sind so damit beschäftigt, einen auf dicke Hose zu machen, dass sie gar nicht merken, was dabei alles zu Bruch geht.
Hey! Habt ihr euch mal gefragt, wieso eine gammelige russische Chat-App mit fragwürdiger Pseudo-Krypto hier überhaupt einen Fuß auf den Boden gekriegt hat?
Weil ihr systematisch alles Vertrauen in Verschlüsselung und Sicherheit aus Deutschland kaputtgemacht habt. So sehr kaputt gemacht, dass die Leute lieber eine halbseidene unseriöse App aus Russland verwenden, um sich gegenseitig zu sagen, wie wenig sie euch noch vertrauen. Wenn ihr nicht seit Jahrzehnten herumfaseln würdet, dass ihr in unsere Kommunikation reinschnüffeln und uns Trojaner installieren wollt, dann hätte hier vielleicht ein Messenger entstehen können. Der hätte dann auch eine ladungsfähige Inlands-Anschrift gehabt.
Gut, dem wären dann spätestens beim NetzDG auch alle User weggelaufen. Ihr saugt ja systematisch den Sauerstoff aus dem Raum für Tech-Innovationen aus Deutschland. Da bleiben am Ende nur noch Werbeklitschen und Blockchain-Scammer übrig. Und Akademiker, die auf der verzweifelten Suche nach Forschungs-Drittmitteln was von KI faseln.
Geliefert wie bestellt.
Thomas Haldenwang, Präsident des Bundesamts für Verfassungsschutz (BfV), hält die Behörde im Kampf gegen extremistische Aktivitäten auf dem Messenger-Dienst Telegram und sozialen Netzwerken nicht für überfordert. "Unsere virtuellen Agenten sind auf den Plattformen unterwegs", erklärte der politische Beamte in einem Interview mit der Frankfurter Allgemeinen Sonntagszeitung. "Ich darf Ihnen nicht sagen, wie viele Mitarbeiter das sind, aber sie sind sehr erfolgreich."Dieses Wort ... es bedeutet nicht, was Sie denken, das es bedeutet!
Immerhin hat er Humor. Schaut nur, was er sonst so gesagt hat:
Auf die Frage der Zeitung, ob er "überhaupt keine Wünsche an die neue Regierung" habe und nicht etwa auf eine Befugnis zu heimlichen Online-Durchsuchungen dränge, entgegnete Haldenwang: "Wir sind aktuell personell und materiell gut ausgestattet. Bevor ich weitere Kompetenzen fordere, möchte ich zunächst mal sehr sorgfältig analysieren, ob die derzeitigen Kapazitäten und Befugnisse ausreichen. Grundsätzlich muss man sich immer fragen: In welchem Verhältnis steht der Gewinn von Informationen zum Verlust von Freiheitsrechten? Das muss immer in einer Balance bleiben."Was erstmal an die Endszene von Terminator 2 erinnert ("Because if a machine, a Terminator, can learn the value of human life, maybe we can too."), ist bei genauerer Betrachtung an Zynismus kaum zu überbieten. Das sind Leute, die in unsere Wohnungen einbrechen und Wanzen installieren dürfen, die Trojaner auf unsere Telefone aufspielen dürfen, V-Leute einsetzen dürfen, und sie haben in der Vergangenheit auch jede dieser Befugnisse zum Schaden unserer Demokratie eingesetzt. Und DIE haben jetzt die Stirn, sich hier als Bewahrer von Menschenrechten und Demokratie hinzustellen?!
Auslöser dafür ist offenbar eine frisch anhängige Klage von Apple gegen die NSO Group. Offenbar merkt die Regierung, dass der Ruf des Landes darunter leidet, wenn sie der Hauptexporteur von Software für Unterdrückungsregimes sind.
Leider ist Deutschland noch auf der Exportliste, d.h. das BKA und der BND können beherzt weiter bei NSO einkaufen gehen. Mal gucken, was der Koalitionsvertrag da aus unserer Richtung dran bewirken wird.
Wegen der ganzen "Angriffe" überall!1!!
Ja aber echt mal. Wenn wir doch nur eine staatliche Institution hätten, die dafür zuständig wäre, Behörden abzusichern!1!!
Warte mal, hatten wir da nicht eine? Die mit diesem Typen an der Spitze, ihr wisst schon! Wie hieß der noch? Der Cyberclown!
Die Gefährdungslage im Cyberraum sei in der Berichtsperiode "angespannt bis kritisch" gewesen, heißt es in dem Dokument.Aha. Soso. Die Gefährdungslage also.
Damit meinen sie bestimmt die Tatsache, dass alle Windows, Outlook und Active Directory einsetzen, oder? Nicht?
Solche Schwachstellen bezeichnet Schönbohm als "Ausdruck einer mangelhaften Produktqualität".Ach genau! Schönbohm hieß der!!
Man würde denken, wenn immer wieder Windows, Outlook und Active Directory durch "mangelhafte Produktqualität" auffielen, dass diese staatliche Institution dann mal empfiehlt, die nicht mehr einzusetzen?
Die Hersteller sollten daher in ihrem eigenen Interesse daran mitarbeiten, diese Mängel schnellstmöglich und konsequent zu beheben.Oh. Ah. Verstehe. Die sollen ruhig weiter alle Windows, Outlook und Active Directory einsetzen. Wenn was passiert, kann man seine Nerven an der Gewissheit beruhigen, dass der Hersteller mehr hätte tun sollen.
Überzeugt euch diese Strategie auch auf Anhieb? Ich fühl mich schon viel besser.
Wir haben alles getan. Also eigentlich konnten wir ja gar nichts machen. Wir haben also nichts getan. Danach haben wir gesagt, Microsoft sei Schuld.
Erinnert mich an den Bundestagshack damals. Wo mir ein Insider erzählte, man habe die Presse schreiben lassen, dass das APT war, weil damit alle gut leben konnten. Gegen APT kann man ja eh nichts machen. In Wahrheit war das eher Straßen-Trojaner-Gepfusche auf dem Niveau von Back Orifice. Aber wie so häufig würden die Details die Bevölkerung bloß beunruhigen.
Warum reg ich mich eigentlich auf? Wieso geb ich nicht mein Gewissen an der Garderobe ab und verkaufe auch "Threat Intelligence"? Genau was die Leute brauchen, die da draußen Windows, Outlook und Active Directory einsetzen. Threat Intelligence! Oh, und ein SIEM!!
Ja aber aber aber Fefe ist VPN nicht verschlüsselt? Ja schon, aber nicht Ende zu Ende sondern von dir zu deinem VPN-Anbieter. Der sieht deinen ganzen Traffic.
Ja aber aber aber Fefe, das ist doch nicht der israelische Geheimdienst, der die alle kauft, sondern bloß eine Firma!
Du hast völlig Recht! Darf ich dir ein Angebot für ein totsicheres Crypto-Investment unterbreiten? Ich hätte auch eine Brücke in New York im Angebot!
Nein, nein, wir sind die Regierung! Wir wissen, wie man Daten sicher ablegt! UNS könnt ihr vertrauen!!1!
Wenn wir bei euch Massenüberwachung machen und Trojaner einbauen und Daten abschnorcheln, dann sind die voll sicher bei uns!1!!
Oh und erwähnten wir, dass eure Gesundheitsdaten endlich mal digitalisiert werden sollten? Und wir euren Fingerabdruck in unserer IT brauchen?
Das war 2008.
Jetzt haben sie das wieder zurückgezogen.
Jemand hat die offensichtliche Beobachtung gemacht, dass wenn die Polizei Sicherheitslücken sammeln und Trojaner installieren darf, dass dann dieses Grundrecht wertlos ist. Daraufhin hat der 1. Senat diese Verfassungsbeschwerde abgewiesen. Begründung:
Zwar besteht eine grundrechtliche Schutzpflicht; betroffen sind das Fernmeldegeheimnis und die grundrechtliche Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme. Dass die daraus folgende Schutzpflicht verletzt sein könnte, haben die Beschwerdeführenden jedoch nicht in der erforderlichen Weise begründet.Ja gut, der Beschwerdeführer weist darauf hin, dass der Apfel auf den Boden fällt. Aber das heißt ja nicht, dass der Beschwerdeführer die Schwerkraft ausreichend begründet hat!1!!
Die Beschwerdeführenden haben nicht hinreichend dargelegt, dass diese grundrechtliche Schutzpflicht verletzt sein könnte.Nee, natürlich nicht! Seit wann gefährdet das die Vertraulichkeit oder Integrität von IT-Systemen, wenn jemand Sicherheitslücken hortet und Trojaner installiert?!
Und puff ist es weg, das neue Grundrecht. Verbrannte Erde. Sieht aus wie wenn die Nato aus Flugzeugen Demokratie abgeworfen hat. Ein rauchender Krater.
Immer Geld für Überwachung und Trojaner da, aber nie was für den Katastrophenschutz?
Wir hatten Geld für die Aufrüstung der fucking Bundeswehr, aber nicht für Katastrophenschutz!
Vor einem Jahr, dieser Sirenentest. Reichte das nicht als Erkenntnis, das Handlungsbedarf besteht?
Ein Markt, der überhaupt nur existiert, weil es Player gibt, die für Exploits zahlen, und die dann nicht schließen sondern sie ausnutzen.
Ein Markt, der aus genau einem Grunde existiert: Weil unseriöse Unrechtsregimes wie das unsrige ihre Geheimdienste und Polizeien ermächtigen, Sicherheitslücken auszunutzen um Trojaner zu installieren.
Diesen Markt gibt es, weil Länder wie wir Geld für Exploits zahlen. Ob wir die direkt kaufen oder über eine israelische Exploitwäscherei, das spielt an der Stelle keine Rolle.
Bei allem Gestikulieren über die schlimmen Israelis, die dieses Exploit-Kit zusammengestellt haben, dürft ihr bitte nicht aus den Augen verlieren, dass sie das tun, weil unethische Möchtegernediktaturen wie Deutschland es für legitim findet, Trojaner auf den Geräten ihrer Bürger zu installieren.
Ist es nicht. War es nie. Und wenn man es doch macht, dann passiert genau das, was ihr gerade schön beobachten könnt.
Bald ist Wahl. Das Mindeste, was ihr tun könnt, ist keiner Partei eure Stimme geben, die es jemals für ethisch vertretbar hielten, Schadsoftware gegen die eigenen Bürger einzusetzen.
Na also DAMIT konnte ja wohl NIEMAND rechnen!
Komm, lass uns schnell unserem Staat Trojanerbefugnisse geben. Was kann da schon passieren!1!!
Update: Primärquelle.
Seit Freitag ist in Deutschland das „Gesetz zur Anpassung des Verfassungsschutzrechts“ in Kraft. Alle 19 Bundes- und Landesgeheimdienste dürfen nun Trojaner-Schadsoftware einsetzen. Ein weiteres Gesetz ist bereits im Bundesrat, das die Polizeibehörden ermächtigt, Trojaner bereits einzusetzen, noch bevor eine Straftat vorliegt.Bevor eine Straftat vorliegt, d.h. gegen unbescholtene Bürger. Gegen dich und mich.
Old and busted: Wir setzen Trojaner gegen die Bürger ein.
New hotness: Wir zwingen die Bürger, die Trojaner selbst zu installieren.
Oh, äh, sagte ich Trojaner? Ich meinte Internetzensursoftware!!1! Für den Jugendschutz, wissenschon. Du bist volljährig? EGAL!
Haha, sagt mal, haha, erinnert ihr euch an dieses Urteil vom Verfassungsgericht? Über das Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme? Das ... äh das war damals. Heute geht es uns eher um die Gewährleistung der Verwanzung und Instabilität informationstechnischer Systeme. Stellt sich nämlich raus, dass sich unsere Bürger mithilfe informationstechnischer Systeme gegenseitig informieren und sogar Absprachen treffen, uns nicht mehr zu wählen. Das geht ja mal gar nicht.
In diesem Sinne. Hier. Installier das mal kurz. Stell keine Fragen.
Weitergehen. Gibt nichts zu sehen hier.
Völlig klar, da müssen kurz vor Einlaufen in den Hafen noch schnell das Altöl und die radioaktiven Abfälle über die Reling gehievt werden! Wissenschon, die Gesetze, bei denen man keinen Bock auf eine öffentliche Debatte hatte!
Sowas wie: Yet another Ermächtigungsgesetz für die Polizei. Ab jetzt sollen Hausdurchsuchungen auch nachts stattfinden. Weil, äh, die bösen Hacker sind nachtaktiv! Wenn man da morgens aufschlägt, sind die Laptops alle zugeklappt und man kommt ohne Passwort nicht ran!1!!
Naja und weil man im öffentlichen Dienst Nachtzuschlag kriegt, könnt ihr mal davon ausgehen, dass ab jetzt ALLE Durchsuchungen nachts stattfinden werden.
Oh und komm, Atze, wenn wir schon die leckenden Giftmüllfässer anfassen ... was haben wir denn da noch? Wie wäre es mit diesem hier!
Mit dem Vorhaben wird der Gesetzgeber auch eine einheitliche Rechtsgrundlage schaffen, mit der die Polizei und andere Sicherheitsbehörden wie der Zoll automatisierte Kennzeichenlesesysteme (AKLS) im öffentlichen Verkehrsraum zu Fahndungszwecken nutzen können.Der Staat ist wie die Kirche. Die Kirche dient einem omnipräsenten, allmächtigen Mann im Himmel, ABER SIE BRAUCHT MEHR GELD VON EUCH!!1!
Der Staat zwängt euch Geburtsurkunden, Personalausweise, Reisepässe, Steuernummern, Kontodatenabschnorchelung zur Geldwäschebekämpfung, Stammdatenhaltung in den Bürgerämtern, Meldepflichten bis zum Abwinken, sie nehmen eure fucking Fingerabdrücke auf, dann der große Lauschangriff, jetzt auch noch Trojanereinsatz gegen eure Telefone, aber SIE BRAUCHEN MEHR DATEN ÜBER EUCH!!1!
Nicht aus tatsächlichen Gründen. Nur damit ihr euch nicht daran gewöhnt und nicht mehr merkt, wer hier der Chef ist und von euch fordern kann was sie wollen. Daumenschrauben zieht man ja auch nicht direkt voll an, sondern man zieht sie langsam immer fester zu. Damit das die ganze Zeit schmerzt!
Die haben immerhin schonmal den Vizekanzler gestellt, und was hat der gemacht? Einen illegalen Angriffskrieg gegen Jugoslawien geführt. Danach ist er Pipeline-Manager geworden.
Oh und er war auch maßgeblich an der Agenda 2010 beteiligt, die Entkernung des Sozialstaates in Deutschland.
Dass so eine Partei nicht nur weitermacht sondern jetzt auch noch einen Kanzlerkandidaten stellt, das lässt tief blicken.
Wie die katholische Kirche! Die hat auch einfach weitergemacht! Inquisition? Hexenverbrennung? Kindesmissbrauch? Egal! Augen zu und weiter!
Und wen stellen sie da auf? Eine Talkshow-Touristin, die bisher ausschließlich durch Hohlphrasen, Empörung und Wokeness aufgefallen ist.
Oder fällt von euch jemandem was ein, was die mal geleistet hätte?
Übersehe ich was oder ist die nicht nur die personifizierte Frauenförderung sondern bestätigt direkt auch noch alle Vorurteile.
Aber kommt, fragt sie nach ihren Kindern. Das ist das relevante Kriterium für Kanzler. Mutter sein ist nämlich der härteste Job der Welt, müsst ihr wissen.
Update: Mir ist noch was eingefallen, wofür die Grünen stehen. Für Atomenergie (sie waren gegen den Merkel-Atomausstieg), für Abholzung (Danneröder Forst), für Stuttgart-21. Für Trojaner in euren Telefonen. Gegen Geschwindigkeitslimits auf Autobahnen. Für weitere illegale Kriege ohne Bundestagsmandat. Für Covid-Behandlung mit Zitronen und Knoblauch. So ein suchbares Blogarchiv ist ja schon manchmal ganz hilfreich.
Das ist eines der Highlights der ganzen Chose.
SPD-Chefin @EskenSaskia begründet ihre Zustimmung vor allem mit dem Kampf gegen rechtsextreme Netzwerke.Nein, wirklich!
Herzlichen Glückwunsch. Das verdient den Erich-Mielke-Award für maximalen Realitätsabstand. Erstmal die Vorstellung, dass die Geheimdienste rechtsextreme Netzwerke aufdecken! Das ist ja schon absurd bis zum Anschlag. Googelt mal die Wehrsportgruppe Hoffmann für die historische Kontinuität.
Aber dann dass man denen Trojaner gibt und sie verwenden das dann a) überhaupt und b) ausschließlich für die Aufklärung von rechtsextremen Netzwerken, das verlängert die Skala noch mal deutlich nach oben.
Immerhin haben wir jetzt die Frage geklärt, wer so blöde sein könnte, Geheimdiensten Trojaner zu geben.
die Darstellung im Tagesspiegel zur Berliner Justiz ist leider falsch.Das wird ja immer schlimmer!
In Wirklichkeit kam dort Windows 7 zum Einsatz und nicht Windows 95. Leider können viele der Redakteure wohl Word 95 und Windows 95 nicht auseinanderhalten, wenn sie News stur abschreiben.Problematisch war dort die "selbst programmierte" Software AuLAK ("Automation des Landgerichts, der Amtsgerichte und des Kammergerichts"), die auf Basis von Word 95 (vermutlich Makro) lief. Diese war wahrscheinlich auch das Einfallstor des damaligen Trojaners. Es gab also schon lange keine Clients mit Windows 95 mehr und auf einem Rechner mit Windows 7 läuft zumeist auch Windows 10 einigermaßen (sofern man nicht wirklich Müll dort stehen hat).
Für die Online-Durchsuchung räumen die Abgeordneten den Ordnungshütern nun auch das Recht ein, Wohnungen mit richterlicher Erlaubnis heimlich betreten und durchsuchen zu können. Es seien Fälle von nicht mit dem Internet verbundenen Rechnern oder Systemen denkbar, "die einen unüberwindbaren Zugriffsschutz gegen Angriffe von außerhalb aufwarten", begründen sie diese sehr weitgehende Bestimmung. Es gelte, hier "eine Regelungslücke bei solch abgekapselten" Anlagen zu schließen."Regelungslücke", my ass.
Außerdem jetzt erlaubt: Drohneneinsatz. Logs von Telemedienbetreibern anfordern.
Der Paragraf zur parallelen Bestandsdatenauskunft bezieht sich prinzipiell auch auf Daten wie Passwörter oder PINs, mit denen der Zugriff auf Endgeräte oder davon räumlich getrennten Speichereinrichtungen geschützt wird.In Mecklenburg-Vorpommern wohnen ja eh nicht mehr viele. Wenn ich da wohnen würde, würde ich jetzt schnell wegziehen.
Das wäre überhaupt mal ein guter Ansatz. Dann schicken wir alle anderen Fascho-Ordnungshüter einfach nach Mecklenburg-Vorpommern in die Quarantäne. Da können die sich dann alle gegenseitig abhören und Trojaner aufspielen.
Jetzt sind die CIA-Anteile verkauft. Da kann dann auch das ZDF mal zaghaft zu berichten anfangen. Die Geschichte ist seit vielen Jahren bekannt. Ich hatte die auch schon im Blog. Neu ist bloß, dass die CIA einfach weitergemacht hat.
Ich freue mich einerseits, dass das thematisiert wird, aber auf der anderen Seite finde ich es ein bisschen peinlich, wie das ZDF jetzt einen auf dicke Hose macht mit ihrem super-investigativen Journalismus von Dingen, die schon seit Jahren in der Wikipedia stehen, und dann solange gewartet habend, bis die CIA ihre Assets migrieren konnte.
Immerhin entbehrt es nicht einer gewissen Komik, die offiziellen Stellungnahmen der Befragten zu lesen. CIA, BND und Siemens haben direkt jeden Kommentar verweigert, die Schweizer wollen von nichts gewusst haben, und dem Parlamentarischen Kontrollgremium sagte man unter der Hand, das sei ja alles kalter Kaffee.
Ich fände das ja prima, wenn wir jetzt ein bisschen mehr solche Stories kriegen würden. Am besten über zeitgenössische Vorfälle. Denn, nicht vergessen, diese Geheimdienste, das sind die, denen wir an anderer Stelle vertrauen sollen, wenn es um Krypto-Hintertüren und Trojaner auf unseren Telefonen geht, und um Hackback.
Der Name ist eine Anspielung auf die OffensiveCon, ebenfalls in Berlin, in ein paar Tagen. Dort treffen sich so Exploit-Schreiber und Malware-Leute und diskutieren Angriffsmethoden und -vektoren. Mich stört das schon länger, dass die Regierungen alle in Angriff investieren und niemand macht Verteidigung. Daher freute ich mich, dass jemand eine Gegen-Con macht.
Meine Erwartung war: Fehlerminimierende Softwarearchitektur, resilienzsteigernde Netzwerkarchitektur, vorbeugender Coding-Stil, sowas.
Tatsächlich war das aber ein Treffen von der AG Kritis. Kritis ist der Name für das BSI/BBK-Projekt zum Schutz kritischer Infrastrukturen, also Strom, Wasser, Krankenhäuser, etc. Ich habe mich da nie für interessiert, weil das aus meiner Sicht voll am Thema vorbeischießt. Die reden da überhaupt nicht darüber, wie wir eine sichere Infrastruktur aufbauen können, oder wie wir von Windows+Outlook+Active Directory wegkommen, sondern die optimieren da, wie schnell man nach einem Emotet-Befall neu aufsetzen kann. Den Emotet-Befall selbst verhindert niemand. Der ist bei dem Zustand der Infrastruktur so sicher wie das Amen in der Kirche.
Aus meiner Sicht ist damit das ganze Projekt nicht interessant. Versteht mich nicht falsch: Man kann da prima Geld verdienen. Man kann Installationen zertifizieren, man kann Audits machen, ob alle Punkte auf der Checkliste bearbeitet wurden, … aber nichts davon finde ich auch nur das geringste bisschen attraktiv. Nicht nur ist das nicht attraktiv, es hilft auch niemandem. Meine Code Audits haben zumindest einen nachweisbaren kurzfristigen Nutzen in die richtige Richtung. Das, was wir aber mal wirklich machen müssten, das macht niemand. So war dann auch eine meiner ersten Wortmeldungen aus dem Publikum nach dem Vortrag des BSI-MIRT (Mobile Incident Response Einheit). Ich fragte den BSI-Menschen, da ja Windows+AD+Outlook der Einfallsvektor für Emotet sei, ob sie da mit gutem Vorbild vorangehen und was anderes einsetzen. Er verweigerte lieber die Aussage, und meinte dann in der Pause so zu mir: Wir haben auch eine Menge Linux-Rechner!!
Ich bin inzwischen der Meinung, dass das nicht nur nicht hilfreich ist, sondern dass das aktiv schädlich ist, wenn man in Incident Response investiert. Ich kenne das von Software-Herstellern. Wenn der Daemon sich automatisch restartet nach Crashes, dann ist der Leidensdruck weg, was gegen die Crashes zu tun. Dann lebt man halt mit den Crashes. Ich habe das auch bei der Softwareentwicklung schon beobachtet, dass mir Entwickler erklärten, es gäbe da ja eine Security-Abteilung, die für sowas zuständig sei, daher müsse man sich hier jetzt nicht so stressen deswegen.
Die zentrale Verlautbarung auf der Konferenz war aber die Vorstellung eines neuen Cyberwehr-Konzeptes. Weil es schon ein Cyberwehr-Konzept gab, und das voll verkackt wurde und gescheitert ist, heißt das jetzt Cyber-Hilfs-Werk, als Wortspiel auf das THW. Die Idee ist, dass man bei einer "Großschadenslage" (ein Konzept aus dem analogen Katastrophenschutz) erste Hilfe leistet, damit die Versorgung der Bevölkerung schnell wieder anläuft. Wenn jemand unseren Strom wegcybert, dann könnte das Menschenleben kosten. Das ist also schon quasi unterlassene Hilfeleistung, wenn ich als Nerd dann nicht freiwillig und ehrenamtlich mithelfe.
Sorry, aber das sehe ich überhaupt nicht so. Im Gegenteil. Das setzt die völlig falschen Anreize. Wenn die Stromkonzerne sich darauf verlassen können, dass ich ihnen im DurchNotfall den Arsch abwische, wieso sollten die dann in Vorbeugung investieren?
Ja aber Fefe, sagten die mir, das ist doch ein Großschadensfall! Der ist eh schon astronomisch teuer! Dann müssen wir halt dafür sorgen, dass das nicht billiger wird durch unseren ehrenamtlichen Einsatz!
Sorry, überzeugt mich auch nicht. Die Unternehmen spekulieren offensichtlich darauf, wenn wir schon die völlig überflüssigen und volkswirtschaftlich kontraproduktiven Banken mit Milliardenbailouts retten, und da war noch nicht mal ein Angreifer am Start sondern die haben sich mit ihrem Gezocke selber versenkt, dann ist ja wohl aus Sicht der Stromversorger völlig klar, dass der Staat bei einer Großschadenslage einspringen würde. Ich erinnere daran, dass die Bahn ihr Schienennetz auf Verschleiß fährt und nicht ausbessert, weil bei akuter Einsturzgefahr von Brücken der Staat zahlt und nicht die Bahn. Glaubt mal nicht für eine Sekunde, dass die Stromkonzerne auch nur einen Euro in Vorsorge investieren, wenn sie sich den auch in die Tasche stecken oder an die Shareholder auszahlen könnten.
Ich fühle mich in meiner Position bestätigt, wenn ich sehe, dass Vater Staat das Konzept der Cyberwehr großartig findet und voll an Bord ist. Vater Staat ist nämlich nicht so doof wie man immer glaubt. Das ist ja schon länger meine These, dass so viel Verkacken nicht nur mit Inkompetenz erklärbar ist. Das ist Strategie. Der Staat sieht das offensichtlich genau so wie ich und würde gerne die Kosten für die Reparatur an die Ehrenamtlichen externalisieren.
Als der wohlmeinende Vortragende dann noch erklärte, dass man aus versicherungstechnischen Gründen nur auf Anordnung (!!) des Innenministeriums (!!!!) aktiv würde, weil man dann ein Verwaltungshelfer sei und gegen Unfälle auf dem Weg zum Einsatz versichert sei, da knallten bei mir die letzten Sicherungen auch noch durch. GANZ SICHER werde ich NIEMALS für das Innenministerium irgendwas tun. Das sind die Leute, die mir aktuell Trojaner auf die Geräte spielen wollen. Das sind die Leute, die gegen meine Proteste Videoüberwachung ausgerollt haben, obwohl klar war, dass das nichts bringt und meine Grundrechte verletzt. Das sind die mit dem großen Lauschangriff. Mit der Funkzellenauswertung. Das sind die mit dem Hackertoolverbot. DIE LETZTEN, auf deren Ruf ich zur Mithilfe bereit bin, sind die vom Innenministerium. Das geht gar nicht. Absoluter No-Go.
Mir tut das echt in der Seele weh, denn in der Szene sind viele liebe kompetente hilfsbereite Nerds, die einfach nur Menschenleben retten wollen. Aber ich glaube, dass das nie besser wird, wenn wir nicht mal einen so richtig fetten Großschadensfall haben und denen ihre Ministerien niederbrennen, weil keiner vorgesorgt hat. Je länger dann alles down ist, desto besser. Damit das auch mal Konsequenzen hat. Mir schwebt da so ein Fight-Club-Szenario vor.
Aber genug von der Cyberwehr. Es gab auch noch andere Vorträge. Zum Beispiel einen über die völkerrechtliche Bewertung von Hackback. Nun habe ich mich ja schon zu Hackback geäußert, aber nicht zu rechtlichen Fragen. Das war Absicht. Ich halte die rechtliche Debatte für kontraproduktiv. Auf der anderen Seite sitzen schließlich die Leute, die Gesetze machen. Wenn du denen nachweist, dass ihr Scheiß gegen die Gesetze verstößt, dann machen die halt neue Gesetze. Das Völkerrecht kann ich nun überhaupt nicht ernst nehmen. Das ist Freiwilligenrecht. Für mich war das Interessanteste an dem Vortrag daher nicht der Inhalt, sondern wie die Vortragende es vortrug. Mit dem Brustton der Überzeugung kamen da so Aussagen wie: Das wäre dann klar völkerrechtswidrig. Äh, mal in den Irak geguckt? Wie war das mit unserem NATO-Angriffskrieg in Jugoslawien damals? Auch alles klar völkerrechtswidrig. Hält genau niemanden auf. Die halten nicht mal inne und denken nochmal drüber nach. Die Vortragende dann so: Das hat der Internationale Gerichtshof so festgestellt! Ja, äh, und? Erinnert mich an eine Aktionskarte bei dem Brettspiel Junta. "Studenten protestieren gegen Menschenrechtsverletzungen. Keine Auswirkungen." Daher habe ich mich in meinen Hackback-Überlegungen darauf konzentriert, dass das auch inhaltlich völlig bekloppt ist und garantiert nicht weiterhelfen wird. Ein weiterer Referenzpunkt in dem Vortrag war die Martensklausel. Googelt das mal selbst und überlegt euch, ob ihr das ernst nehmen würdet als Rechtsnorm. Und wer da eurer Meinung nach für die Durchsetzung zuständig ist.
So bin ich am Ende in der paradoxen Lage, dass das eine wunderschöne Konferenz mit kompetenten Vortragenden und netten Unterhaltungen war, aber ich inhaltlich nichts gelernt habe. Ich habe schon Dinge gelernt, aber über die Leute, nicht über die Inhalte.
Hmm. So kann ich euch jetzt nicht gehen lassen. Lasst uns mal ein Szenario entwickeln, in dem das schon alles gut ist. Mir fällt nur eins ein: Strukturelle Inkompetenz. Strukturelle Inkompetenz ist, wenn du dich freiwillig bereiterklärst, in der WG das Geschirr zu waschen, und das dann so unzureichend wäschst, dass sie dich nie wieder fragen werden. Möglicherweise ist das Cyberhilfswerk auch sowas. Wir reden jetzt jahrelang darüber, und dann machen wir einen Plan, und der Plan rechnet dann mal aus, wieviel das im Zweifelsfall hilft, und kommt zum Ergebnis: Gar nicht. Vielleicht merken die dann, dass sie lieber vorbeugen sollten. Angesichts der praktisch reinen Symbolpolitik in Digitalfragen halte ich das für eine gefährliche Strategie. In allen bisherigen Fällen hat der Staat dann trotzdem die offensichtlich und mit Ansage ungenügende schlechte Idee umgesetzt, und dann danach schockiert festgestellt, dass es nicht geholfen hat. Warum sollte das diesmal anders laufen?
Übrigens, am Rande: In Israel fährt der Staat jetzt das volle Arsch-Abwischen-Programm und telefoniert proaktiv Firmen hinterher, sie sollen mal patchen. Wie in der Seniorenresidenz. Hast du heute schon deine Pillen genommen? Was für ein Menschenbild! Meine Erfahrung ist außerdem: Wenn du Menschen wie Kleinkinder oder Alzheimerpatienten behandelst, dann werden die sich auch wie Kleinkinder oder Alzheimerpatienten verhalten.
Update: Was wäre denn mein Vorschlag? Strafen. Hohe Strafen. Und nicht warnen sondern direkt die Firma schließen. Das muss richtig doll wehtun, wenn du die Infrastruktur runterkommen lässt, weil du glaubst, die Kosten externalisieren zu können. RICHTIG fucking schmerzhaft muss das sein. So mit rückwirkender Pfändung von vorher ausgezahlten Vorstands-Gehältern und so. Und insbesondere würde ich das für den Aufsichtsrat schmerzhaft machen, wenn sie ihrer Aufsichtspflicht nicht nachkommen.
Das ist eigentlich auch Teil von Kritis übrigens. Wenn der Auditor sagt: Das hier ist ein hohes Risiko. Dann kann die Firma sagen: Wir akzeptieren das Risiko. Nur hat das im Moment halt keinerlei Auswirkungen, wenn das ganze Ding dann hochgeht. Das müssen wir ändern.
Update: Einer der anderen Veranstalter weist darauf hin, dass nur 3/5 bei AG Kritis sind, aber 5/5 in der c-base. Die akkuratere Darstellung wäre also, dass das eine c-base-Veranstaltung war, auch wenn das Programm am Ende Kritis-lastig aussah :-)
Update: Leserbrief dazu:
in Deinem Kritis-Rant schreibst Du: "Wenn der Auditor sagt: Das hier ist ein hohes Risiko. Dann kann die Firma sagen: Wir akzeptieren das Risiko."
Das ist i.A. richtig, aber eben nicht bei Kritis-Audits. Dort gilt vielmehr: "Der B3S stellt klar, dass bzgl. relevanter Risiken für die kritische Dienstleistung eine eigenständige dauerhafte Risikoakzeptanz durch den Betreiber in der Regel keine zulässige Option im Sinne des BSIG ist" (Orientierungshilfe zu Inhalten und Anforderungen an branchenspezifische Sicherheitsstandards (B3S) gemäß § 8a (2) BSIG, Abschnitt 4.3.2, Quelle)Ob das am Ende einen großen Unterschied macht, sei mal dahingestellt ...
Nun ist das bei Onlinediensten so, dass die keine Passwörter speichern, sondern Hashes von Passwörtern. Und zwar, oh Ironie des Schicksals, damit ein Angreifer (wie z.B. eine freidrehende Behörde oder ein von Faschisten unterwandertes Justizministerium oder eine Organisation, deren Hauptzweck das Brechen von Gesetzen ist, wie z.B. der Verfassungs"schutz"), der es schafft, in einen solchen Dienst einzubrechen, nicht alle Passwörter raustragen kann.
Das heißt nicht, dass das nicht technisch umsetzbar wäre. Es würde uns bloß IT-sicherheitstechnisch in die Steinzeit zurückbomben.
Die offensichtliche Gegenrede wäre, dass die Leute da draußen doof sind und überall dasselbe Passwort verwenden. Das stimmt zwar, das würde ich hier aber nicht als Gegenargument gelten lassen. Der Diensteanbieter könnte ja nicht das Passwort rausrücken, sondern ein Passwort, das den gewünschten Account auch aufmacht.
Dafür müsste man natürlich mal eben die gesamte Software da draußen umbauen. Realistisch ist das also nicht. Viele Diensteanbieter setzen Software ein, für die sie gar nicht den Quellcode haben, und wo sie das also auch nicht mal eben reinhacken könnten.
Auf der anderen Seite würde dieses Gesetz quasi übernacht für den flächendeckenden Einsatz von Zweifaktorauthentisierung sorgen. Und dann kommen die armen Faschisten wieder nicht in unsere Accounts rein und brauchen die nächste Generation Faschistengesetze.
Sorry, falls euch das nicht gefällt, wenn ich das so deutlich als Faschismus bezeichne. Ich bin auch kein Freund davon, solche Worte inflationär einzusetzen. Aber das Ausmaß, wie sich der Staat in letzter Zeit anmaßt, seine eigentlich schutzbefohlenen Bürger als Gefährder zu brandmarken und präventiv wegzusperren, ihnen Wanzen und Trojaner unterzujubeln und jetzt auch noch ihre Passwörter auszuspähen, … ich wüsste nicht, wie man das anders nennen kann. Das Ausmaß an Übergriffigkeit unserer Regierung und Behörden ist inzwischen so, wie wir es in früher in Filmen herablassend Bananenrepubliken und Diktaturen nachgesagt haben. Sowas hätte man früher Kuba oder China unterstellt. Wir hier waren die Bastion der Freiheit. Unser öffentlich-rechtlicher Sender in Westberlin hieß sogar "Sender Freies Berlin", falls sich da noch jemand dran erinnert. Tja, ist nicht so viel übrig geblieben von der Freiheit Berlins.
New hotness: PyPI liefert Trojaner-Pakete aus.
Und wieder werden alle völlig überrascht sein, wie das passieren kann! Alles, was wir getan haben, war blind Code von irgendwo aus dem Internet nehmen und an unsere Kunden ausliefern! Das konnte ja wohl niemand ahnen, dass da was passieren kann!?!?
Ich habe ja ganz am Anfang meiner Karriere Paperboy programmiert, sowas wie Google News vor Google News. Wir hatten ein Werbebanner vom "Quality Channel", das war das Werbenetzwerk von Spiegel Online. Wir hatten ein Banner. Eines. Oben drüber. Und da floss genug Geld drüber, dass man davon gut hätte leben können. Und was haben die Zeitungen gemacht? Ach komm, wir machen hier noch ein Banner unten drunter, und eines in die Mitte, und dann hier noch eines an den Rand, und dann kamen Interstitionals, Popups, es wird einfach immer nur schlimmer und schlimmer. Und was bewirkt das? Der Wert des einzelnen Banners sinkt. Wenn ich bei Heise eine Werbung schalte, und unten drunter ist Outbrain und macht Werbung für unseriöse Cryptocurrency-"Investments", "Silber-Gedenkmünzen" und sogar "laden Sie hier Ihr Treiberpaket runter" (so fängt man sich tolle Trojaner ein!), dann ist das wie mit Immobilien. Dieser unseriöse Ranzkack in der Nachbarschaft senkt den Preis meiner Immobilie. Durch die Menge und die Unseriosität der reingenommenen Werbung haben sich die Verlage selbst ihre Preise zerstört.
Ich meckere jetzt über Heise, weil ich Axel Springer nicht lese. Im Moment glaube ich nicht, dass Heise losziehen und Adblocker verbieten würde. Aber wer weiß, ich hätte auch nicht gedacht, dass Heise "Brandworld" und Outbrain macht.
Ich glaube, die Lösung für das Finanzierungsproblem ist ganz einfach. Habt nur einen Banner pro Seite. Oben drüber. Mittig. That's it. Der ist dann auch wieder etwas wert. Wobei durch die massenhafte Verbreitung von Adblockern, die ihr Verlage ja selbst herbeigeführt habt, auch der Zug schlicht abgefahren sein könnte.
Ja und nein. Auf der einen Seite ist das kein reiner Schlangenöl-Placebo. An der Spec haben sich Experten aus mehreren Fachgebieten die Hände wund-masturbiert. Da ist einmal alles drin. Von Challenge-Response über Public-Key bis hin zu USB und NFC. Die Spec erwähnt als Inspiration auch Smartcards, damit wirklich jeder an Bord ist.
Das hat technisch schon Hand und Fuß, was die da machen. Ich rede trotzdem von Masturbation, weil dem ein paar Annahmen zugrundeliegen, über die man, zurückhaltend formuliert, nochmal diskutieren sollte.
FIDO2 kombiniert zwei Trends, die wir gerade gehäuft sehen in der IT-Security. Erstens: Unsere Software ist so unfassbar komplex geworden, dass wir Security nicht mehr herbeiführen können, daher bauen wir jetzt einen kleinen Mini-Rechner, und der ist dann so klein, dass man ihm noch vertrauen kann. Das Muster kennt ihr wahrscheinlich aus dem Supermarkt oder von Banken, die euch dann da so ein kleines Mini-Terminal für Kartenzahlung hinhalten. Da ist auch der Gedanke, dass das klein und verplombt ist und man dem daher vertrauen kann, weil die Bank oder der Supermarkt daran gar nicht mehr herumpfriemeln könnte, selbst wenn sie wollten.
Der zweite Trend ist, dass wir von sich gegenseitig vertrauenden Komponenten und der Unterscheidung "Internet vs. Intranet" zusehends wegkommen und stattdessen überall Krypto ausrollen. Selbst innerhalb von Chips haben wir inzwischen Krypto, und innerhalb von Modulen einer Software. Selbst so ein SOC, wie er in Mobiltelefonen verbaut wird, besteht inzwischen aus sich gegenseitig nicht mehr vertrauenden Modulen, die Krypto einsetzen.
Welche Annahmen meine ich jetzt, über die man nochmal reden sollte? Na die erste ist offensichtlich, dass diese Hardware "tamper proof" ist. Einer meiner Lieblingssprüche zu tamper-proof hardware ist von Peter Gutmann, der sagte: It is said that the only tamper-proof hardware is Voyager 2. Und zwar nicht, weil die Hardware sicher ist, sondern weil man da so schlecht rankommt, weil das Ding so weit weg ist. Die Annahme, dass man so einen Stick überhaupt tamper-proof machen kann, würde ich schonmal direkt bestreiten wollen. Klar, billig ist so ein Angriff auf so eine Hardware dann nicht. Aber wer weiß, wie viel wert die Geheimnisse sind, die ihr mit so einem Gerät absichern wolltet?
Die andere, wichtigere Annahme ist, dass es mit 2FA nicht so schlimm ist, wenn der Rechner oder der Browser gehackt wird. Und das stimmt halt auch nur partiell.
Ohne 2FA ist es so, dass ein Eindringling alle eure gespeicherten Passwörter direkt auslesen und ausleiten kann. Das ist im Normalfall ein Totalschaden.
Mit 2FA ist es so, dass die Passwörter nicht reichen, weil man den 2. Faktor braucht. Allerdings kann ein Angreifer im Browser ja einfach warten, bis ich mich das nächste Mal mit 2FA anmelde, und dann mit meiner angemeldeten Session Unfug machen. Das ist von der Auswirkung her fast genau so schlimm.
Dann gibt es da auch wieder eine Convenience-Abwägung. Nimmt man ein Token, was man bloß einstecken muss? Oder eines, wo man zusätzlich einen Knopf drücken muss? Oder eines, wo man den Fingerabdruck geben muss, damit der freischaltet? Die meisten Leute werden fürchte ich ein Token nehmen, das man einfach einsteckt und dann stecken lassen kann, und dann hat man halt nicht viel gewonnen in dem Szenario, dass ein Hacker den Browser übernimmt.
Und so ist es wie so häufig in der Security. Ist eigentlich keine doofe Idee, aber bringt eben auch nicht so viel, wie einem das Marketing aufzuschwatzen versuchen wird.
Ich persönlich verkünde ja seit ein paar Jahren, dass Komplexität der Feind ist. Unter der Metrik sieht so ein Token recht komplex aus. Zwischen PC und dem Token gibt es ein Binärprotokoll, über das man möglicherweise die Software auf dem Token angreifen kann. Weiß ich nicht, ob das eine reelle Bedrohung ist, aber die Angriffsoberfläche gibt es jedenfalls schonmal, und vorher gab es die nicht. Mir persönlich stößt es sauer auf, dass die erstmal NOCH ein neues Binär-Serialisierungs-Verfahren "erfunden" haben dafür. Dabei kommt dieser Scheiß von Google, und die haben uns vorher schon völlig ohne Not ihre Protocol Buffers reingedrückt. Der Typ von Protocol Buffers ist inzwischen nicht mehr bei Google. Was hat er als erstes getan? Ihr werdet es geraten haben: Ein neues Binär-Serialisierungs-Verfahren gemacht ("Cap'n Proto").
Das sind die Leute, die uns vorher gesagt haben, ASN.1 sei gefährlich und wir sollen unsere Krypto lieber als JSON in Base64 machen (googelt man JWT, wenn euch das neu ist).
Also, zusammengefasst. Ist das Schuldabwälzung? Ja. Ganz klar. Wenn euer Account jetzt gehackt wird, dann habt ihr euer Token verbummelt und es ist eure Schuld.
Ist es nur Schuldabwälzung? Ich glaube nicht. Aber ob euch das tatsächlich was nützt, hängt davon ab, ob es wahrscheinlicher ist, dass ihr (im Vorher-Szenario) den Laptop verliert, oder (im Nachher-Szenario) das Token. Dass die Krypto von den Tokens ranzig ist, da müsst ihr euch glaube ich wenig Sorgen machen. Es kommt so gut wie nie vor, dass Krypto-Krams über die Krypto angegriffen wird. Ich würde mir eher Sorgen machen, dass mir ein Taschendieb das Token klaut, und weil das nichts wiegt, merke ich es nicht sofort. Und dann ist da am besten auf dem Fingerabdrucksensor noch ein rekonstruierbarer Fingerabdruck von mir drauf.
Im Übrigen: Wenn ihr euch für FIDO2 entscheidet, dann gilt natürlich dasselbe wie auch für andere Security-Produkte. Kann ich dem Hersteller trauen? Ist das Open Source? Kann ich das zur Not selbst patchen, wenn der Hersteller stirbt oder sich weigert? Wie sind die Recovery-Pfade, falls das Token verlorengeht? Fange ich mir damit eine Beweislastumkehr ein?
Update: Dies ist vielleicht die richtige Gelegenheit für den Hinweis, dass es auch außerhalb von 2FA Wege gibt, die Arbeitsumgebung sicherer zu machen. Es hat sich z.B. eingebürgert, sich bei Webseiten einzuloggen, und dann einfach eingeloggt zu bleiben. Während ihr bei einer Site eingeloggt seid, kann auch eine andere, böse Webseite auf allen anderen Webseiten, auf denen ihr noch eingeloggt seid, Daten abgreifen und eventuell sogar Transaktionen auslösen. Das ist ein häufiger Bug in Webseiten, gegen den es seit einer Weile ordentliche Browser-Gegenwehr gibt, die über "wir passen halt überall auf" hinausgeht. Aber das ist ein Risiko, das man sich gar nicht erst ans Bein binden muss. Ich jedenfalls halte mich auf Webseiten wenn möglich unangemeldet auf und logge mich nur kurz ein, wenn ich einen Kommentar abgeben will oder so. Und dann ist da noch die Frage, was man mit den Passwörtern macht. Hier gibt es ein weites Spektrum an Ratschlägen. Ein Master-Passwort im Browser vergeben hilft, falls einem der ausgeschaltete Rechner wegkommt. Hilft nicht, wenn man sich einen Trojaner einfängt oder einen Angreifer im Browser hat oder wenn der Rechner nur im Sleep-Modus war und nicht ganz ausgeschaltet, und da am Besten noch ein Browser offen war. Und für "der ausgeschaltete Laptop wird geklaut" habt ihr hoffentlich eh schon Full Disk Encryption aktiviert.
Meine Einschätzung ist im Moment, dass die Browser die Achillesferse der IT sind, und man immer sofort alle Security-Updates einspielen muss. Ich bin sogar soweit gegangen, meine Browser vom Beta-Channel zu beziehen, damit ich nicht nur einmal im Monat Bugfixes kriege.
Dass man nicht überall dasselbe Passwort nehmen soll, hat sich glaube ich schon herumgesprochen. Ich halte es so, dass ich Passwörter von einer Software zufällig generieren lasse. Dann weiß ich, dass die Passwörter ausreichend Entropie haben. Nachteil: Die Passwörter merkt man sich dann nicht mehr. Dafür gibt es Passwortmanager, oder man verlässt sich auf den Browser. Allerdings: Wer den Browser übernehmen kann, kommt auch an eure Passwörter, solange es da einen Automatismus gibt und ihr die nicht immer manuell rüberkopiert.
ich weiß nicht, ob das unbedingt für den Blog interessant ist, aber ich wollte es dennoch mal einsenden, denn ich hatte heute ein Zwiebelfreunde-DejaVuWer sich nicht erinnert: Die Zwiebelfreunde und das Nachspiel.
Undzwar klingelte es um halb 7 an meiner Wohnungstür, und da stand die Kriminalpolizei mit einem Durchsuchungsbeschluss für meine Wohnung, da ich Zeuge in einem Ermittlungsverfahren bin.Und da wundern sich die Leute, wenn das Ansehen der Strafverfolgungsbehörden immer weiter ins Bodenlose sinkt.Beschlagnahmt wurden meine Laptops, mein Desktop sowie meine Smartphones und USB-Sticks/Festplatten. Sie wollten auch noch die Hardware meiner Verlobten mitnehmen, das haben sie dann zum Glück aber doch unterlassen.
Und jetzt zum Grund für die Durchsuchung: Ich sei Zeuge in einem Strafverfahren, es geht wohl um Kindesmissbrauch bzw Kinderpornographie. Der Grund dafür dass ich Zeuge bin:
Ich habe früher (letzte Aktivität 2015) für das Tox-Messenger Projekt Open-Source Code geschrieben. Es handelt sich um einen dezentralen Messenger, bei dem das Finden der Kontakte über ein DHT (ähnlich wie bei Bittorrent) funktioniert. Aus diesem Grund gibt es sogenannte "Bootstrap Nodes", um es Clients zu ermöglichen, Kontakte zu finden. Eine dieser Bootstrap Nodes habe ich als Teil meiner Open-Source Arbeit auf einem meiner Server gehostet. Da die Node sehr stabil war und dauerhaft lief, war sie eine der Nodes, die im Quellcode einiger Clients fest einkompiliert wurden, damit jeder Nutzer beim Start der Software ein Set an Bootstrap-Nodes zur Verfügung hat.
Und jetzt zum interessanten Teil: Beim Beschuldigten wurde im Client Log (Log der Software, nicht das Chat Log!) gefunden, dass sich der Client zu "meiner" Bootstrap Node verbunden hat. Und das reichte dem Richter am AG Schweinfurt wohl, um einen Durchsuchungsbeschluss für mich als Zeugen. Sie wollen gucken, ob ich "Chatprotokolle" mit dem Beschuldigten auf meinem Rechner habe. Und so ist jetzt meine gesamte Hardware inklusive Arbeitslaptop und -Handy auf dem Weg nach Schweinfurt.
Zum Glück ist (fast) alles verschlüsselt. Die Polizisten haben mich auch direkt nach den Passwörtern gefragt, welche sie selbstverständlich nicht bekommen haben. Sie meinten dann, dass das später einfach vom Staatsanwalt angeordnet wird, aber mein Rechtsverständnis war, dass das in Deutschland noch nicht legal ist. Aber das wird sich wohl zeigen.
Für die technisch unversierten: DHT ist eine Distributed Hash Table, eine der Basisstrukturen hinter P2P-Protokollen im Internet. Darüber findet man seine Nachbarn und mit denen redet man dann (auch verschlüsselt, im Idealfall). Die Idee, dass die DHT-Bootstrapping-Node Chatprotokolle anfertigen kann, zeigt, dass die nicht mal 10 Minuten mit der Technologie verbracht haben.
Anders herum wird ein Schuh draus. Wer die Bootstrap-Node ersetzt, kann den Leuten falsche Nachbarn geben, und sich so möglicherweise in die Kommunikation zwischen Dritten einbringen. Insofern klingt das ganze Szenario für mich sehr unwahrscheinlich. Ich könnte mir eher vorstellen, dass sagen wir mal der BND oder das Cyberabwehrzentrum gerne Man in the Middle in der Infrastruktur machen will und sich gedacht hat, dafür ersetzen sie am besten eine der hart einkodierten Bootstrap-Nodes mit einem eigenen Trojaner.
Das Problem, wie man trojanerresistente Datenablage macht, ist gelöst. Seit Jahren.
Programmierer haben nämlich immer ihren Quellcode verloren. Also haben sie Versionierungssysteme erfunden.
Ein Versionierungssystem ist wie ein Dateisystem, in dem man auch rückwärts gehen kann. Du kannst alles ändern oder löschen und die Änderungen auf den Server hochladen, aber damit sind die alten Versionen nicht weg. Ein Verschlüsselungstrojaner bewirkt überhaupt gar nichts. Checkst du den Stand von gestern mittag aus, bist du fertig.
Etwas formaler: Man nimmt eine Datenstruktur, an die man nur anhängen kann. Wie eine Buchhaltung! Da kannst du nur am Ende Dinge anfügen. Sowas kann man technisch auch für andere Dateien erzwingen. Und schon ist das Trojanerproblem gelöst.
Ein Angreifer kann natürlich immer noch Dokumente ausspähen. Das ist ein anderes Problem, das auch andere Lösungsansätze benötigt. Das ist auch gelöst, vom Militär, durch Kompartmentalisierung, aber mit unerwünschten, die Produktivität einschränkenden Nebenwirkungen.
Update: Zwei Arten von Klugscheißern schlagen jetzt hier auf. Erstens die "HAHA ER HAT BLOCKCHAIN GESAGT"-Witzbolde und zweitens die "aber so ein Versionierungssystem liegt doch im Filesystem, das ist dann auch verschlüsselt"-Leute.
Nein, ich habe nicht Blockchain gesagt. Die Idee mit append-only Datenstrukturen ist steinalt. Was bei Blockchain gut ist, ist nicht neu, und was neu ist, ist nicht gut. Bei Blockchain können auch andere anhängen und/oder verhindern, dass du anhängst. Hatte ich ja schon ausgeführt.
Und ich rede hier natürlich nicht von sowas wie Apple Time Machine oder einfach ein .git neben den Dateien zu haben. Ich rede davon, dass Institutionen wie ein Verlag und ein Gericht ja eh schon Content-Management-Systeme einsetzen. Und die müssen dann halt so arbeiten. Alles auf dem selben Rechner, dessen Infektion man überleben können will, ist Theater. Das muss auf einer anderen Kiste sein, und die programmatischen Schnittstellen dürfen schon gar nichts außer append-only zulassen. Wenn DU den Snapshot oder die Versionsgeschichte löschen kannst, kann das auch der Trojaner.
Vergleich mal diese UIs mit den Security-UIs, die möglicherweise eure ganze Firma runterfahren können, wenn ihr einmal danebenklickt. Vergleicht mal, durch wieviel Hindernisparkour ihr hüpfen müsst, um ein Windows ohne Cloud-Account und mit so weit wie möglich abgeschalteter Telemetrie installiert zu kriegen, mit der UI, um ein Trojaner-Attachment auszuführen.
Dann werdet ihr Ausreden der Form "das können wir unseren Usern doch nicht zumuten" mit ganz anderen Augen sehen.
Die andere Sache, die ihr immer als Lösung verkauft, ist dass die Leute geschult werden müssen, nicht überall drauf zu klicken.
Ich will jetzt hier nicht groß auf Heise draufkloppen, weil das ja anderswo auch so läuft. Aber lasst uns doch mal jetzt endlich eine Sache gemeinsam festhalten. Antiviren helfen nicht. Und "die Leute schulen" hilft auch nicht.
Bei der Gelegenheit sei mal an die Geschichte von "vom Auto überfahren werden ist Schuld des Fußgängers" erinnert, denn ich sehe da Parallelen. Genau wie die Autoindustrie uns eingeredet hat, dass wenn jemand angefahren wird, dann er da wohl nicht hätte sein sollen, genauso redet uns die Softwareindustrie seit Jahren ein, dass Anwender halt nicht auf alles draufklicken sollen. Die aktuelle Inkarnation davon ist, wie man bei Windows 10 und Smartphones "Consent" gewährt, indem die einem kurz (wenn man Glück hat!) eine Liste mit angeforderten Permissions vor der Nase aufpoppen und danach gilt der Anwender als selber schuld.
Ein Browser, bei dem man nicht auf alle Links draufklicken darf, weil einem sonst das System von Ransomware übernommen wird, ist nicht akzeptabel. Eine Arbeitsumgebung, bei dem man keine Dokumente öffnen darf, die einem zugeschickt werden, ist nicht akzeptabel. Das ist der Job von Sachbearbeitern eines Verlages, Dokumente zu öffnen, die ihnen zugeschickt werden. Wir sollten hier uns auch nicht von irgendwelchen Diskussionen ablenken lassen, wie gut oder nicht gut die Malware getarnt war. Eine Arbeitsumgebung, in der man nicht überall draufklicken darf, ist nicht akzeptabel. Nehmt die Hersteller in Haftung.
Und an Heise: Haben eure Sachbearbeiter etwa Admin-Privilegien unter Windows?!
Diese haben dann recht schnell alle Windows-10-Arbeitsplätze im Netz infiziert, an denen die Benutzer lokale Admin-Rechte hatten. Das war eigentlich bereits per Policy untersagt. Allerdings gab es einige Ausnahmen, etwa auf einigen gerade eingerichteten Rechnern für eine interne Schulung, deren Software lokale Adminrechte erforderte.Ja nee, klar, da macht man dann halt ne Ausnahme. Wenn die Gammelsoftware von 1995 Admin-Rechte haben will. *stöhn*
Der Einsender kommentiert:
der kleine mann (innenminister von .at) in dem video hat eine pressekonferenz gegeben zum thema "aktionsplan sichere almen". und als waere das nicht skurril genug hat er sich eine eigene UNIFORM gebastelt inklusive zu grosser namensschilder und einem fanatsieabzeichen.Das finde ich jetzt ein bischen harsch. Immerhin kümmert er sich da um ein reales Problem, nämlich einen Ausfall des Stromnetzes. Was man so hört, ist es ja eher Glück als Können, dass wir noch eine stabile Stromversorgung haben.
un-glaub-lich.das ist der selbe kasper der POLIZEIPFERDE wieder eingefuehrt hat.
ob die kiwara-pferde wohl die kuehe auf den almen schuetzen werden?
Und was Ticks von Innenministern geht, da sind mir Pferdeliebhaber und Fantasieabzeichen auf Fakeuniformen viel lieber als freidrehender Seehofers mit immer mehr Überwachungs- und Unterdrückungsscheiß. Der letzte Schrei ist ja gerade Trojanereinsatz gegen Einbrecher. Ja nee, klar. Können wir nicht dem Seehofer ein Pony kaufen, damit der die Hände voll hat? Vielleicht noch nen Malkasten und Stoff, damit er sich eine Uniform malen kann?
Update: Ein Leser weist darauf hin, dass kein Fantasie-Abzeichen war sondern das internationale Emblem des Katastrophenschutzes. Das passt also schon.
Falls jemand dachte, dass die aus dem Vorfall lernen, als jemand ihre persönlichen Daten abgegriffen und Dritten zugänglich gemacht hat, … dann habt ihr euch geirrt.
Schlaue Rekrutierungsstrategie! Wie die Amis. Winning their hearts and minds with bombs, cruise missiles and drone strikes! (Danke, Carsten)
Rechtsstaat, wir hörten davon. Was war das noch gleich? Irgendein Relikt aus ferner Vergangenheit.
Trojaner nutzt Antivirensoftware zum Diebstahl von AnmeldedatenHätte uns doch nur jemand gewarnt!
Und da war jetzt ein Chip verbaut, der da nicht hin gehörte. Das fand ein Dienstleister raus, den Amazon mit Due Diligence beauftragt hatte, weil sie eine Firma namens Elemental kaufen wollten, die Video-Kompression als Appliance anbot.
Amazon reported the discovery to U.S. authorities, sending a shudder through the intelligence community. Elemental’s servers could be found in Department of Defense data centers, the CIA’s drone operations, and the onboard networks of Navy warships. And Elemental was just one of hundreds of Supermicro customers.Und das war anscheinend keine kleine Operation, die die Chinesen da gefahren haben.The chips had been inserted during the manufacturing process, two officials say, by operatives from a unit of the People’s Liberation Army.Leider sagen sie nicht, welche Firma da Due Diligence gemacht und die Chips gefunden hat. Das würde mich ja mal interessieren, WTF das für ein Laden ist, und was da für Leute sitzen, dass die sowas erkennen können. Nicht dass das am Ende eine Legende für eine NSA-Operation war.Wisst ihr noch, wie alle über Dragos gelacht haben, als der behauptete, von Geheimdiensten mit airgap-bridging Hardware-Trojanern infiziert worden zu sein?
Update: Oh Mann, dabei ist die Lösung so einfach! (Kontext)
Update: Bloomberg hat von allen Betroffenen umfangreiche Dementis erhalten. Die sind inhaltlich ziemlich unwieselig und vollumfänglich. Wirkt ein bisschen, als hätte Bloomberg sich das komplett aus dem Arsch gezogen.
Das ist natürlich kompletter Bullshit. Die wollen nicht Cyber-Security. Die wollen Offensiv-Cyber. Die wollen 0days kaufen, nicht um die Lücken zu schließen, sondern um die Lücken auszunutzen. Die wollen Trojaner bauen, um ihre Bürger verdeckt zu beschnüffeln.
Woher ich das weiß? Weil diese tolle neue Agentur eine Kooperation von Verteidigungsministerium und Innenministerium ist. Das sind genau die beiden Ministerien, die Angriffe machen. Wenn das was mit Verteidigung zu tun hätte, hätten sie die Kohle einfach dem BSI geben können. Haben sie aber nicht.
Insofern glaubt da mal kein Wort von dem Gefasel von wegen Abwehr von Angriffen.
Nicht dass das BSI noch viel Glaubwürdigkeit hätte, seit sie in die Bundestrojaner-Geschichte eingespannt wurden. Aber es ist jedenfalls noch deutlich mehr Glaubwürdigkeit übrig als bei Flinten-Uschi und Heimat-Horst.
Update: OMFG, die Behörde heißt "Agentur für Disruptive Innovationen in der Cybersicherheit und Schlüsseltechnologien (ADIC)". Ich leg mich flach! Das klingt, als hätte sich der CCC das als Satire ausgedacht! Das Forschungsministerium toppt das noch beim Versuch, "disruptive Innovation" zu übersetzen. Raus kam: Sprunginnovation. Heiliger Bimbam, wie schlecht ist DAS denn!
Wenn die Hersteller von Staatstrojanern öffentlich bekannt werden, stellen sie ihre Zusammenarbeit mit den Bundesbehörden ein. Mit dieser Begründung verweigert die Bundesregierung selbst dem Bundestag Auskunft über die zwielichtige Branche. Wir veröffentlichen eingestufte Protokolle aus dem Innenausschuss.NEIN!!! Das ist ja mal eine innovative Ausrede! Die Kriminellen, von denen unsere Kriminellen ihre kriminelle Spionagesoftware kaufen, wollen nicht, dass ihre Namen bekannt werden. WELL DUH! Wie wäre es, wenn wir einfach aufhören, kriminelle Behörden zu haben? Die müssten dann keine Kriminellen einstellen, die es moralisch vertretbar finden, anderen Leuten auf ihren Telefonen Wanzen zu installieren, und dann wäre das ganze Problem weg!
Oder man kann das natürlich noch aus einem anderen Winkel sehen, wie der schöne Kommentar von Linus Neumann nahelegt:
Heckler und Koch, Krauss-Maffei Wegmann, Rheinmetall – diese Unternehmen tun Verwerfliches, sind aber gezwungen, unter ihrem eigenen Namen aufzutreten. Nun wird uns erzählt, die Bundesregierung arbeite mit Unternehmen zusammen, die ihren eigenen Namen geheim halten müssten? Wahrscheinlicher scheint mir zu sein: Die Bundesregierung schämt sich für ihre Zulieferer und deren Kundenstamm – zu Recht!So krass kriminell sind diese Zulieferer! Schlimmer als Rohde & Schwarz, die IMSI-Catcher bauen. Schlimmer als Heckler & Koch, mit deren Produkten Menschen erschossen werden. Schlimmer als Rheinmetall, die Panzer bauen! Überlegt euch mal ein gedankliches Modell, mit dem es überhaupt noch schlimmere Kategorien gibt. Und in DEN Kategorien kauft die Bundesregierung ihre Trojaner ein.
Man hätte das vielleicht so formulieren müssen: Wenn bekannt wird, von wem wir die Trojaner kaufen, müssten wir diese Firmen direkt komplett verhaften.
So Unterdrückungs-Staaten?
Wo die Staatsgewalt es völlig normal findet, wenn sie in Wohnungen einbrechen, um Trojaner aufzuspielen?
So Länder wie die Bundesrepublik Deutschland?
Und das krasseste an diesem Anbieter ist, dass die gerade einen wunderschönen Datenreichtum hatten.
Na sowas! Wer hätte das ahnen können! Dass uns die Politik so dermaßen dreist ins Gesicht lügen würde?
Hätte uns doch nur jemand vorher gewarnt, dass man denen Fundamentalopposition geben muss!
Was Microsoft-Mitarbeiter in Seattle mit gebleachtem Filmstar-Lächeln und glitzernden Präsentationen vorstellen, wirkt, als würden sie unbekümmert Orwells 1984 zum zeitgemäßen Businessratgeber umfunktionieren. KI-Algorithmen tracken Patienten in Krankenhäusern, lückenlose automatische Überwachung am Arbeitsplatz sowie Deep-Learning-Tools, die Bewerber automatisch im Netz stalken und alle nur erdenklichen Informationen über sie zusammentragen und der Personalabteilung präsentieren.Auf DER Seite der Barrikaden werde ich jedenfalls ganz sicher nicht stehen. (Danke, Randolf)
Daher möchte ich jetzt hier mal ein Gedankenexperiment machen. Habt ihr alle verpennt, was man heutzutage alles im Internet machen kann? Lasst uns mal den ultimativen fiesen Virus brainstormen. Ich fange mal an.
Ist ja schön, dass du ein Backup hast, aber das hilft dir nicht gegen das SWAT-Team, das deine Tür eintritt. Selbst wenn du den ganzen Ärger der Reihe nach aufräumst, bist du Jahre beschäftigt. Und je nach Qualität der Arbeit der Malware den Großteil davon aus der U-Haft heraus. Oh und willkommen auf der No-Fly-List, und hier ist der Lageplan von Guantamo Bay, den wirst du möglicherweise brauchen.
Ihr müsst mal aufhören, Malware nach dem zu beurteilen, was bisher schiefgelaufen ist. Das war Glück, dass der Schaden bisher gering war. Eine (!) durchgekommene Malware ist Totalschaden.
Ihr würdet ja auch im Auto den Sitzgurt anlegen. Da muss man keinen lebensbedrohlichen Unfall erlebt zu haben, um zu verstehen, dass man sich hier ordentlich schützen muss..
Update: Und einen Punkt noch, den ich glaube ich im Blog noch nicht hatte, nur live beim Podium. Ich sage: Antiviren helfen nicht, ich setze keinen ein. Das Publikum sagt: Ja aber da kann man sich ja einen Virus einfangen.
Wir spulen eine Minute vor. Ich sage: Antiviren funktionieren nicht, weil Viren durchrutschen könnten. Das Publikum sagt: Tja 100% Sicherheit gibt es halt nicht.
Jetzt treten wir gemeinsam mal einen Meter zurück und schauen uns das an. Wieso ist das bei mir plötzlich ein Totschlag-Gegenargument, dass da vereinzelt mal was durchrutschen könnte (was ich im Übrigen auch so sehe und daher weitere Schutzmaßnahmen vorschlage), aber bei Antiviren ist das OK, wenn was durchrutscht? Anders formuliert: Wir ziehen mal auf beiden Seiten den Antivirus ab. Übrig bleibt bei beiden: Man muss sorgfältig sein, und gelegentlich könnte was was durchrutschen. Nur dass ihr für dieses Sicherheitsniveau Geld an die Schlangenölindustrie überweist und ich nicht. Oh und gucke mal: Das war genau meine These. Antiviren kosten Geld aber schaffen kein besseres Sicherheitsniveau.
Update: Einen noch. Die Antwort der Schlangenölbranche ist bisher, was ich relativ unterhaltsam finde, relativ klar: Ja, stimmt ja, hast ja Recht, signaturbasiertes Schlangenöl ist nicht gut. Daher solltet ihr auch alle dieses andere, cloudbasierte Schlangenöl kaufen! Wenn das nicht greift, dann hätten sie auch noch Verhaltens-Heuristik-Schlangenöl. Leute, nichts davon hat die Ransomware-Epidemie aufgehalten, die im Vortrag des BKA in Form einer Exponential-Wachstums-Kurven-Folie Niederschlag fand. Die Leute da draußen haben alle Schlangenöl, und zwar nicht in allen verfügbaren Geschmacksrichtungen. Nichts davon hilft. Kann man sich ja auch selber überlegen. Wie sieht denn ein "schiebe mal das Verzeichnis hier in ein ZIP" vom Verhalten her aus? Gar nicht so viel anders wie ein Ransomware-Trojaner, gell? Tsja. Hätte uns doch nur jemand gewarnt!!1!
G-Data stimmt mir grundsätzlich zu, dass Zahlen zur Wirksamkeit von Antiviren schwierig zu beschaffen sind, weil die im Allgemeinen von den Herstellern kommen und daher nicht als neutral gelten können. Die Zahlen, die eine große Bibliothek an Malware gegen Antiviren werfen, finden häufig hunderte von Viren, die nicht gefunden wurden, und die Antivirenhersteller reden sich dann mit angeblicher Praxisferne der Tests heraus. Ich las neulich von einer Studie, bei der eine Uni alle ihre einkommenden die Malware-Mail-Attachments bei Virustotal hochgeladen hat und auf unter 25% Erkennungsrate kam. Leider finde ich die URL nicht mehr. Vielleicht kann da ja ein Leser helfen. Mein Punkt ist aber unabhängig davon, ob das jetzt 5%, 25% oder 90% Erkennungsrate sind. Es reicht, wenn ein Virus durchkommt. Eine Malware ist nicht wie die Windpocken. Wenn man sie kriegt hat man halt rote Pünktchen im Gesicht und nach ner Woche ist wieder alles OK. Nein. Eine Infektion reicht, um die gesamten Daten zu klauen, die Platte zu verschlüsseln, und an einem DDoS-Botnet teilzunehmen. Die Erkennungsrate ist, solange sie nicht 100% ist, irrelevant. Ich bin immer wieder schockiert, mit welcher Selbstverständlichkeit Leute nach einer Malware-Infektion halt "desinfizieren" klicken in irgendeinem Tool und dann weitermachen, als sei nichts gewesen. Das ist wie wenn jemand in eine Schwimmbecken scheißt, und man fischt den größten Klumpen raus, und dann schwimmen alle weiter. WTF!?
Der nächste Talking Point der AV-Industrie ist (angesichts der miserablen Erkennungsraten in der Praxis), dass man ja nicht mehr rein reaktiv arbeite sondern auch magischen Einhorn-Glitter aus der Cloud habe. Erinnert ihr euch noch an den Aufschrei nach Windows 10, als Microsoft sich das erstmals explizit von euch absegnen ließ, dass sie eure Daten in die Cloud hochladen? Wie jetzt?! Die wollen gerne als Debugginggründen sehen, welche crashenden Programme ich ausführe!? DAS GEHT JA MAL GAR NICHT!!1! Ja was denkt ihr denn, was das ist, was die AV-Industrie mit der Cloud macht? Die werden im Allgemeinen nur die Hashes der Software hochladen, aber das heißt trotzdem, dass die sehen können, wer alles Winzip benutzt, oder dieses eine hochpeinliche aus Japan importierte Hentai-"Dating-Simulator"-Anwendung. Aber DENEN traut ihr?!
Ich sage euch jetzt mal aus meiner Erfahrung, dass die Analyse von einem Stück Software Wochen dauert, besonders wenn die Software gerne nicht analysiert werden möchte. Wenn die AV-Industrie also so tut, als könnte ihre magische Cloud "innerhalb von Sekunden" helfen, dann gibt es nur zwei Möglichkeiten: Entweder sie haben ein paar Wochen gebraucht und tun jetzt nur so, als sei die paar Wochen lang schon niemand infiziert worden. Oder sie haben da irgendwelche Abkürzungen genommen. Überlegt euch mal selbst, wieviel Verzögerung eurer Meinung nach akzeptabel wäre. Dann, wieviel Arbeit das wohl ist, anhand einer Binärdatei Aussagen zu machen. Zumal man solche Aussagen im Allgemeinen in einer VM macht, und Malware im Allgemeinen guckt, ob sie in einer VM läuft und dann die bösen Funktionen weglässt. Eine denkbare Abkürzung wäre also, schon so einen Check als Zeichen für Malware zu deuten. Da sind wir aber nicht mehr in der Branche der seriösen Bedrohungsabwehr, sondern in der Branche der Bachblüten-Auraleser-Homöopathen, das ist hoffentlich jedem klar.
Das ganze Gefasel mit proaktiven Komponenten halte ich auch für eine Nebelkerze. Wenn das funktionieren würde, gäbe es Weihnachten keine wegzuräumende Malware auf dem Familien-PC, und in der Presse wäre nie von Ransomware die Rede gewesen, weil das schlicht niemanden betroffen hätte.
Ja und wie ist es mit dem Exploit-Schutz? Das ist Bullshit. Das erkennt man schon daran, dass Microsoft diese angeblichen Wunderverfahren der AV-Industrie nicht standardmäßig ins System einbaut. Googelt das mal. Microsoft hat hunderttausende von Dollars für gute Exploit-Verhinder-Ideen ausgeschrieben und ausgezahlt. Und wieviele Prämien für gute Ideen findet ihr von der AV-Branche? Na seht ihr.
Überhaupt. Kommen wir mal zu den Standards. Microsoft hat den Prozess etabliert, den gerade alle großen Player kopieren, die SDL. Ich weiß das, weil ich dabei war, als sie das bei sich ausgerollt haben. Microsoft hat, was ich so gehört habe, sechsstellig viele CPU-Kerne, die 24/7 Fuzzing gegen ihre Software-Komponenten fahren, um Lücken zu finden. Microsoft hat ganze Gebäude voller Security-Leute. Ich würde schätzen, dass Microsoft mehr Security-Leute hat, als die typische AV-Bude Mitarbeiter. Microsoft hat geforscht, ob man mit dem Umstieg auf .NET Speicherfehler loswerden kann, ob man vielleicht einen ganzen Kernel in .NET schreiben kann. Sie hatten zu Hochzeiten über 1/4 der Belegschaft Tester. Es gibt periodische Code Audits von internen und externen Experten. Sie betreiben eine eigene Security-Konferenz, um ihre Leute zu schulen, die Bluehat. Aus meiner Sicht stellt sich also die Frage: Wenn DAS die Baseline ist, trotz derer wir immer noch ein Sicherheitsproblem haben, dann müssten ja die AV-Hersteller nicht nur genau so gut sondern deutlich besser sein. Sonst wären sie ja Teil des Problems und nicht Teil der Lösung. Das hätte ich gerne mal von den AV-Leuten dargelegt, wieso sie glauben, sie könnten das besser als Microsoft.
Oh und einen noch, am Rande:
Wenn Daten signiert sind ist klar, von wem die Informationen stammen. Oft ist es schon ein beträchtlicher Sicherheitsgewinn, wenn man weiß, dass die Information von einem bekannten und ergo vertrauenswürdigen Quelle stammen.Das ist natürlich Bullshit. Es sind schon diverse Malware-Teile mit validen Signaturen gefunden worden, und alle alten Versionen mit bekannten Sicherheitslücken sind ja auch noch gültig signiert. Code Signing dient nicht dem Schutz des Kunden sondern dem Schutz von Geschäftsmodellen.
Mir ist außerdem wichtig, dass ihr merkt, wenn ihr hier mit einer bestimmten Haltung an das Thema rangeht, weil ihr selbst schon entschieden habt, und jetzt nur noch die Argumente rauspickt und höher bewertet, die eure getätigte Entscheidung bestätigen. Das ist ein sehr menschliches und normales Verhalten, aber dem Erkenntnisgewinn dient das nicht. Wo kommen denn die Zahlen her, dass angeblich noch niemand über Lücken in Antiviren gehackt wurde? Wenn ihr zu Weihnachten 10 Viren findet — macht ihr dann erstmal eine wochenlange forensische Analyse, wo die herkamen? Nein, macht ihr nicht! Ihr seid froh, wenn die weg sind. Aussagen wie "noch keiner ist über seinen Antivirus gehackt worden" sind unseriös, und Aussagen wie "es sind keine Fälle bekannt" sind irreführend und Nebelkerzen.
Update: Wer übrigens die Früchte von Microsofts Exploits-Schwieriger-Machen haben will, der muss a) immer schön Windows updaten; weg mit Windows 7 und her mit Windows 10, und/oder b) EMET installieren.
Update: Hups, EMET-Link war kaputt.
Update: Ein Einsender weist darauf hin, dass es doch mal einen Fall von einer massenhaftung Malware-Verbreitung via Antivirus-Sicherheitslücke gab.
Update: Ein fieser Wadenbeißer hat sich mal durch die Archive gegraben:
es gibt noch weiteres Argument gegen die Schlangenöl-Branche, das ich glaube ich bei dir noch nicht gelesen habe, wenngleich das eher nicht gegen die Microsoft-Lösung zielt:
Kollateral-Schaden.
Wie oft hatten wir es bitte schon, dass ein Amok laufender Scanner von einem marodierenden Wozu-Testen-AV-Riesen schlicht Windows & co als Virus/Trojaner/Whatever eingestuft hat?
Gucken wir doch mal:
Das passt auch sehr schön dazu, welchen Testaufwand Microsoft im Vergleich betreibt.
Oh und was ist eigentlich mit Virenscannern, die Inhalte aus dem Netz nachladen, die nicht unbedingt... naja, gab es schließlich auch schon:
Soll man daraus schließen, dass die ihr eigenes Gift vmtl selbst gar nicht einsetzen?
Ach ja, ich vergaß, alles bedauerliche Einzelfälle vom Werksstudentenpraktikanten, die natürlich nie, nie, nie wieder passieren. Ungeachtet dessen, dass sie nie hätten passieren dürfen, das wäre eigentlich der Anspruch an diese Software.
So wie auch schon Schlangenöl auch nur in den besten Fällen keine Wirkung hatte.
Ich habe bisher auf diese Art von Linksammlung verzichtet, weil es mir gerade nicht darum geht, mit dem Finger auf einzelne Hersteller zu zeigen. Es gibt da sicher auch Pfusch bei einzelnen Anbietern, das sehe ich auch so, aber mir ist die fundamentale Kritik am Konzept des Antivirus wichtiger. Pfusch in Software gibt es ja leider häufiger.
Update: Ein anderer Einsender kommentiert:
Zum Thema Proaktive Komponente kann ich dir aus unserer Infrastruktur klar sagen: DAS ist das was am Meisten Fehlmeldungen produziert. Ich habe z.B. einen lang vergessenen Texteditor auf einer Netzwerkfreigabe rumliegen. Seit 2007. Und 2016 auf einmal meldet der Antivirus, dass das Ding verseucht ist und sofort desinfiziert werden muss. Ich warte zwei Tage (=zwei Signaturupdates) ab und lass den Ordner wieder scannen. Diesmal: Nix. Oder letzte Woche hat er uns 6 Userworkstations als virenverseucht gemeldet, weil die User Proxy PAC-Scripte im Browser konfiguriert haben. Ja, haben sie weil so unser Internetzugang funkioniert, aber ich frag mich ernsthaft warum der AV nur diese 6 Workstations gemeldet hat und nicht noch die anderen 400 die das AUCH haben. Tags drauf war wieder alles gut. Für mich als Admin ist das keine zusätzliche Sicherheitskomponente sondern nur zusätzliche Arbeit.
Und ich möchte auch zu der Cloud-AV-Sache noch mal klarstellen, wie sehr das Bullshit ist. Der CCC hat vor ein paar Jahren den Staatstrojaner veröffentlicht, ihr erinnert euch wahrscheinlich. Natürlich in einer entschärften Version, die keinen Schaden angerichtet hätte. Diese Version tauchte dann relativ zeitnah in den Cloud-Antivirus-Datenbanken auf. Die nicht entschärfte Version tauchte nicht auf. Nur falls sich da jemand Illusionen gemacht hat.
Update: Ein Biologe kommentiert:
Es gibt ja ein paar hübsche Analogien zwischen Computerviren und deren Verbreitung und der realen Welt. Beim Lesen des G-Data Pamphletes musste ich an einer Stelle herzlich lachen, als sie ihre "über 90% Erkennungsrate" beweihräucherten. Auf die Mikrobiologie übertragen ist das eine log1-Reduktion, also so knapp über Homöopathie und Gesundbeten. Ich arbeite mit Lebensmitteln, da darf man etwas "Debakterisierung" nennen, wenn man im log3-Bereich unterwegs ist. Also wenn 99.9% aller Keime gekillt werden. Pasteurisierung ist bei log5, also 99.999%. Und auch da wird die Milch nach 21 Tagen sauer.
90% ist da auf jeden Fall der Bereich "lohnt den Aufwand nicht". Da ist eine sinvolle Backup-Strategie und eine gewisse Routine im Rechner-wiederaufsetzen sinnvoller eingesetzt.
Update: Viele meiner Leser scheinen eine Statistik-Schwäche zu haben, und kommen mir hier mit Analogien wie "Kondome schützen ja auch nicht 100%" oder "im Flugzeugbau hat man auch nicht 100% als Anforderung". Vergegenwärtigt euch mal, wie viele Viren es gibt, und wie viele Malware-Angriffe pro Tag es auf typische Systeme gibt. Und dann rechnet euch mal aus, bei einer Erkennungsrate von 90%, oder sagen wir 99%, oder sogar 99.9%, wie viele Stunden es dauert, bis der Rechner infiziert ist. Ich habe in Köln und Hamburg das Publikum gefragt, wer schonmal Weihnachten einen Familien-PC säubern musste. Fast alle. Dann, bei wie vielen ein Antivirus drauf war. Jeweils einer weniger. EINER weniger. ALLE ANDEREN haben trotz Antiviren Malware eingefahren. Wir reden hier nicht von "ich habe dreimal pro Tag mit Kondom Sex und habe nie HIV gekriegt", sondern von über einer HIV-Infektion pro Tag. Und da, behaupte ich mal, wären auch die Nicht-Statistiker unter euch plötzlich mit der Kondom-Performance unzufrieden. Was ihr gerade am eigenen Leibe erlebt, das nennt man Rationalisierung. Ihr habt eine Entscheidung getroffen, nämlich einen Antivirus einzusetzen, und greift jetzt unterbewusst nach Strohhalmen, um das irgendwie zu rechtfertigen. Ich meine das gar nicht böse. So funktionieren Menschen. Euch kommt zugute, dass die meisten Viren bisher wenig kaputtgemacht haben. Vielleicht ein paar erotische Selfies exfiltriert, wenn es hochkommt an einem Botnet teilgenommen. Erst jetzt mit Ransomware werden Viren auch gefühlt richtig gefährlich. Ihr solltet nicht warten, bis euch das am eigenen Leib passiert.
Liebe Leser: Macht das nicht. Alle Geheimdienste und Polizeien der Welt haben bereits Interesse bekunden und Projekte gestartet, um per Trojaner eure Smartphones aufzumachen. Tut da keine Krypto-Keys drauf.
Wenn das Geld erstmal im Ausland ist, wird es, erzählte er, skriptgesteuert innerhalb von Minuten auf hunderte von anderen Konten verschoben, und es sei aussichtslos, da irgendwas zurück zu holen. Ähnlich sieht es bei vielen Online-Delikten aus.
Bei der Ursachenforschung verglich er dann die Technik von vor 30 Jahren ("Telefonzelle, Bibliothek, Telefonbuch") mit der von heute, und stellte dann die Anzahl der vorgeschriebenen Informatikstunden von vor 30 Jahren und heute gegenüber — beide 0. Dem gegenüber stehen sowas wie 70 Stunden für Theater (wir reden von Pflichtstunden in einem Hamburger Gymnasium), und natürlich Musik und Sport. Er fand, dass auch Informatik Pflicht sein sollte, oder sagen wir mal IT-Grundwissen, zumal ja der Auslöser bei den meisten Online-Geschichten eine Aktion des Users ist — Klick auf Attachment, Spam geöffnet, etc. Da müsse man eben auch in der Bekämpfung beim User ansetzen.
Der Vortrag war super, und ich hoffe, dass die Folien im Web auftauchen werden. Mal gucken, ob ich da vielleicht sogar zu beitragen kann.
Den es gab da noch einen echten Hammer in diesem Vortrag, nämlich wieso die Cybercrime-Deliktzahl der Kriminalstatistik zurückgeht. Das liegt daran, dass 2014 die Grafik total Scheiße aussah, nach exponentiellem Wachstum. Also hat man die Bemessungsgrundlage geändert, also eine manipulative Statistik erstellt. Und zwar tauchen jetzt nur noch Cybercrime-Delikte in der Statistik auf, wenn nachgewiesen wird, dass die Malware von deinem deutschen Server kam (und dafür reicht nicht als Anscheinsbeweis, dass die IP in Deutschland liegt!) Tjahaa, meine Damen und Herren, da wollte wohl jemand dringend in der Statistik nachweisen, dass das neue gemeinsame Cyberabwehrzentrum effektiv ist…?
Sympathischerweise hat er das extra herausgestellt, dass hier die Bemessungsgrundlage geändert wurde, anstatt sich mit der für seine Behörde ja positiv aussehenden Statistik zu brüsten. Ich fand den Vortrag insgesamt super und kann größeren Hamburger Firmen nur raten, sich mal an das ZAC vom LKA zu wenden und den mal einzuladen. Der rennt sozusagen hauptberuflich rum und spricht mit Firmen, Aufklärung und Hilfe. Kostet auch nichts, deren Hilfe in Anspruch zu nehmen. Und das ist ja immer noch mal was anderes, wenn der Chef das von der Polizei erzählt kriegt, dass sich da mal was ändern muss, als vom eigenen Admin, dem er eh nicht viel beimisst.
Ein weiteres Highlight in dem Vortrag war auch, wie wenig die Polizeien miteinander reden, und dass bei einer Malware-Schleuder schon mal passieren kann, dass 10 verschiedene Polizeien aus verschiedenen Bundesländern den selben Server zu beschlagnahmen versuchen. Ganz großes Kino.
zu Deiner Frage, ob das Zeigen von Experten eine Strategie ist, um den Leuten das Gefühl zu geben, dass es da draußen Leute gibt, die sich auskennen, und der Zuschauer sich da nicht mehr näher für interessieren muss:Ich sollte das vielleicht noch mal genauer ausführen, was ich gemeint habe. Ich meinte nicht, dass ein einzelner Fernsehmacher oder Talkshowproduzent sich denkt, hey, heute halte ich mal die Massen dumm und lade ein paar Experten ein. Mir ging es eher darum, ob wir es uns in einem System bequem gemacht haben, in dem die Bevölkerung glaubt, das Wahlvolk ist eh zu doof für eine echte Demokratie, und das wäre bloß gefährlich, wenn man die ernsthaft entscheiden ließe. Wenn man diese Prämisse akzeptiert, dann wäre das ständige Vorzeigen von Experten ein mögliches Verfahren, um diese Idee zu bestärken. Ob jetzt mit Absicht oder nicht.Als Fernsehmacher sage ich dazu ganz klar: Nein.
Ob sich meine Zuschauer näher für ein Thema interessieren, nachdem ich ihnen einen Experten dazu gezeigt habe, ist deren Entscheidung. Ich habe da keine Präferenz. Wieso auch sollte ich denen das vorschreiben wollen?
Ich glaube vielmehr, die Zuschauer interessieren sich hinterher stärker für ein Thema, wenn sie das Gefühl haben, dass es sie unmittelbar betrifft.
Und die Auftritte von Experten in den Medien sind für mich auch kein Symptom dafür, dass man als Journalist sein Publikum für dumm hält.
Was glaubst Du denn, warum zum Beispiel die FAZ gerade Dich über Trojaner-Angriffe auf die Bundesregierung befragt? Doch bestimmt nicht, weil sie ihre Leser für dumm hält oder sie sich nach der Lektüre des Artikel nicht mehr näher für das Thema IT-Sicherheit interessieren sollen?
Oder habe ich da irgend etwas an der Argumentation in dem Posting falsch verstanden?
Ich denke, dass ich eigentlich auf den Widerspruch zwischen "ich habe einen Verstand, und wenn ich auf ein Problem stoße, dann benutze meinen Verstand, um mir selbst zu helfen" und "lass mal die Experten sich kümmern, ich hab ja eh keine Ahnung" hinaus wollte.
Experten sind jetzt nichts Schlechtes. Wir können ihnen gerne das Sammeln und Bewerten der Argumente überlassen. Aber wir sollten Experten nicht dafür nutzen, uns das Denken oder die Entscheidung abzunehmen.
New hotness: Trojaner gegen Steuer-auf-Zuckerhaltige-Kaltgetränke-Aktivisten in Mexiko.
Hätte uns doch nur jemand gewarnt, dass Trojaner missbraucht werden würden!1!!
Neulich erst, da hat die NSA den deutschen Diensten geholfen, die verschlüsselten ISIS-Nachrichten zu entschlüsseln. Die von dem Axtmörder in der Bahn neulich, und die von dem Sprengstoffkiller in Ansbach. Die waren beide ISIS-gesteuert, heißt es jetzt, über eine Telefonkarte aus Saudi Arabien (wieviel Saudi-Connections braucht es eigentlich noch, bis da mal jemand was tut?!). Money Quote:
Deutsche Behörden waren technisch nicht in der Lage, die codierten Chats zwischen den Attentätern und dem IS-Koordinator zu knacken. Die geheimen Anweisungen des Unbekannten erfolgten bis kurz vor den Anschlägen. Ein Ermittler sagte zu FOCUS: „Erneut sehen wir, wie wichtig die vielgeschmähte NSA für unsere Sicherheit ist.“Hach, ist das nicht wunderschön, diese staatliche Propaganda in unseren staatstragenden Propagandamedien? Die haben sich nicht mal getraut, diesen Bullshit dem ehemaligen Nachrichtenmagazin oder der Süddeutschen anzutragen, weil die noch einen Restruf in Sache Recherche haben. Das sagt ja schon alles an der Stelle.
Aber nehmen wir das doch mal wörtlich. Unsere eigenen Behörden sind nicht in der Lage, Straftaten aufzuklären. Die Geheimdienste, die sich selbst ermächtigt haben, statt der ja so einfachen Aufklärung danach eine Erkennung vorher zu machen, haben auf ganzer Linie versagt und schaffen jetzt nicht mal die Aufklärung danach. Warum existieren BND und Verfassungsschutz eigentlich noch? Wie krass müssen die noch versagen? Zumachen, jetzt!
Update: Und das ist nach all den Sicherheitsgesetzen, Budgeterhöhungen, Einrichtungen von Cyber-Sicherheits- und Kompetenzzentren. Nach all dem kriegen die immer noch nichts hin. Zumachen!
Schlimmer: Beim Aufräumen finden sie auf ihrem Server eine Hintertür.
Einmal mit Profis arbeiten!
Das ist nicht der Punkt. Der Punkt ist das hier:
Vor allem Windows-Nutzern rät Adobe zu einem zügigen Update. Denn die Lücke mit der Kennung CVE-2016-1019 werde derzeit aktiv ausgenutzt. Das geschehe in Windows bis inklusive Version 10 und dem Flash Player 20.0.0.306. Kaspersky zufolge machen sich zwei Exploit-Kits die Lücke zunutze, um die Erpressungs-Trojaner Cerber und Locky auszuliefern.Jetzt vergesst mal bitte kurz den Flash-Teil.
Ihr solltet gerade alle den Arsch auf Grundeis haben.
Was wir hier gerade beobachten können, ist dass nicht mehr nur 0days einen Marktwert haben, sondern jede Sicherheitslücke.
0days sind rar und teuer. Gut, in diesem Fall war es auch ein 0day. Aber denkt euch das mal weg.
Das hier ist die Industrialisierung der Computer-Einbrüche.
Gut, einen Markt für gehackte Rechner gab es schon immer. Botnetz-Betreiber haben damit organisiertes DDoS gegen Online-Casinos und so gemacht.
Aber bei diesen Erpressungs-Trojanern vermute ich den möglichen Payout deutlich höher.
Und die Zeiten von "wieso würde mich denn jemand hacken wollen, ich habe doch keine wichtigen Daten" sind auch endgültig vorbei. Das redet sich hoffentlich niemand mehr ein.
Ein Staat, der bei seinen Bürgern Trojaner installiert, hat seine Legitimation verspielt.
Beim Metronaut gibt es eine schöne Übersicht über andere geforderte Gesetzesverschärfungen.
Update: Die "Mainzer Erklärung" der CDU ist jetzt online. Sogar der Trojanereinsatz ist mal wieder mit von der Partie.
Aber hey, des einen Problem ist des anderen PR-Gelegenheit: Putin versorgt von der Krim aus ein kleines Städtchen in der Ukraine mit Gas.
So, dann gucken wir doch mal in den Fahrplan.
Tag 1: Der 11:30-Slot hängt davon ab, wer die Keynote macht. Ich denke mal, ich würde da in der Keynote bleiben.
Der Slot ab 12:30 ist schwierig. Saal 1 ist eine Netzpolitik-NSAUA-Veteranin, das wird sicher spannend. Saal 2 ist die Erfinderin von Blue Pill, wenn ihr euch an den Hype vor ein paar Jahren erinnert. Ihr Konzept im Vortrag hat sie schon geblogt. Es ist: Stateless Laptop. Sie fordert eine Hardware ohne Speichermedien, insbesondere ohne Firmwares und Flash-Biosse, kurz: was, wo man nirgendwo Malware einspielen kann. Ich glaube, der Zug ist abgefahren. Und vor allem ist es bei heutiger hochintegrierter Elektronik gar nicht so einfach, von außen zu bestätigen, dass da nirgendwo Flash-Speicher mit dabei ist. Aber anhören möchte ich mir das trotzdem. Mal gucken, entscheide ich kurzfristig.
Der Slot ab 14:00 wird wohl Saal 1 oder verlängerte Mittagspause mit Socializing bei mir.
Beim Slot um 16:00 tendiere ich zu Saal 2. Bin eher nicht so der Hardware-Hacker, aber Saal 1 ist noch hardware-iger.
Der Slot um 17:00 wäre eigentlich ein klarer Fall von Saal 2, aber da kenne ich den Vortragenden und habe die Folien korrekturgelesen. Mal gucken.
Der Slot um 18:30 ist wieder schwierig, weil es in beiden großen Sälen um Massen-Pwnage geht. Saal 1 ist von den Scada-Strangelove-Leuten und handelt von Eisenbahn, Saal 2 ist glaube ich der Vortrag, in dem das Netz von Kabel Deutschland Schaden nimmt. Wobei sie das schon gefixt haben werden. Also eher Schaden fürs Ansehen.
Der Slot um 20:30 wird Saal 2 für mich, gar keine Frage. Saal 1 betrifft Apple. Who cares.
Der Slot um 21:30 wird ganz klar Saal 1. Saal 2 ist sicher auch spannend und cool, aber Saal 1 ist ein Hardware-Ingenieur von AMD, eine der wenigen ernstzunehmenden Einreichungen, die wir zu Failosophy hatten. Bei Failosophy war die Idee, Industrieveteranen mal über ihre Fehlstarts berichten zu lassen, damit man was daraus lernen kann. Und um "boah guckt mal alle wie toll wir hier sind" zu vermeiden. Da muss ich also hin. Saal 3 klingt auch gut, aber Saal 1 ist Pflicht an der Stelle. Gut, dass wir Video-Aufzeichnungen haben!
Der Slot um 23:00 ist schon wieder ein Konflikt zwischen Saal 1, wo djb und Tanja Lange sprechen werden (mehr muss ich gar nicht wissen, da werde ich sitzen) und Saal 2, wo mein alter Kumpel Gadi und einer seiner Techniker-Mitarbeiter einen dem Vernehmen nach sehr coolen Vortrag über Trojaner-Zoologie halten wird. Na mal gucken, vielleicht geh ich auch zu Gadi und guck mir djb auf Video an. Eine harte Entscheidung. Mann Mann Mann, ey!! Wer macht eigentlich immer diese Fahrpläne?! *rant*
Update: Ich erfahre gerade aus gewöhnlich gut informierter Quelle, dass man den VW-Talk unbedingt sehen will. Der ist heute um 14:00 in Saal 1.
Update: Beim Durchgucken der anderen Tage fällt mir auf, dass ich fehlinformiert war. Wir haben da einige coole Failosophy-Talks.
Die Schadsoftware, um die es geht, sperrt den Computer und fordert zu einer Zahlung auf, um das Problem zu beheben.DIE BESTEN DER BESTEN DER BESTEN, SIR!
Aber macht euch keine Sorgen, denn bei UNS ist die EDV SICHER:
Sicherheitsrelevante Systeme seien aber weder bei der Polizei noch beim Verfassungsschutz betroffen gewesen. Von einem gezielten Angriff auf Daten der Landesverwaltung werde nicht ausgegangen, teilte der Sprecher mit.Na dann ist ja alles gut. War nicht mal ein gezielter Angriff, bloß ein Wald- und Wiesen-Trojaner. Meine Güte. Und DIE sollen uns schützen!
Ungewöhnlich ist dabei aber, dass im Fall Luxemburgs ausgerechnet die Steuerverwaltung als Kunde auftaucht. Bei allen anderen Staaten gehören nämlich entweder die Polizei oder der jeweilige Geheimdienst zu den Auftraggebern. In der Tat hat die Steuerverwaltung laut Gesetz keinerlei Befugnis, Spionage-Software zu kaufen, geschweige denn selbst Spionage zu betreiben.Na sowas!
Update: Der Regierungschef sagte vor dem Parlament, nur der Geheimdienst sei bei Hackingteam Kunde, nicht die Steuerverwaltung. Vielleicht hat der Geheimdienst zum Verschleiern via Steuerverwaltung eingekauft oder so? (Danke, Patrick)
Mir fiel hier beim Rumklicken gerade ein besonders schönes Exemplar auf. Das ist ein Whitepaper von RSA über, … ja so richtig klar ist das nicht. Ihr Team? Ihre Produkte? Es geht jedenfalls um Incident Response (auch bekannt als "Feuerwehr" oder "Ghostbusters"-Einsätze) in APT-Fällen (auch bekannt als "Windows-Trojaner"). Normale Malware gibt es ja gar nicht mehr, ist ja heutzutage alles APT. Mit APT können alle leben. Die gehackte Organisation, denn bei APT kann man halt nichts machen, alles 0day und military grade ultra-Geheimdienst-Qualität und so. Die untersuchenden Spezialisten, denn hey, wer kann schon von sich sagen, einen echten APT gefunden zu haben! Gut, inzwischen fast alle, aber wollen wir mal nicht so sein.
Aber gucken wir uns das Whitepaper mal an. Es geht damit los, dass sie eindrucksvoll schildern, wie raketentechnologisch roswellig ihre UFO-Technologie da ist! Während Villariba erst 10% untersucht hat, ist Villabajo dank RSA-Gehirnchirurgenequipment schon 90% fertig (Seite 5).
Da wird man doch neugierig, wie sie das anstellen! Und blättert weiter bis zum Kapitel 3, Analysis Methodology. Und was steht dort?
RSA IR employs a methodology that is founded on industry standards.Wie jetzt, nanu? Ich dachte ihr seid der Industrie 90% voraus! Wie könnt ihr dann die selben Standards nehmen wie der Rest der Industrie? Das liegt bestimmt an dem ganzheitlichen Ansatz!The holistic approach includes the following four core components:- Intelligence gathering and research;
- Host-based forensic analysis;
- Network-based forensic analysis; and,
- Malware analysis.
Oder mit anderen Worten: Was auch alle anderen machen, wie das jeder tut, weil das offensichtlich ist.Plötzlich ist dann von iterativen Ansätzen und wiederholbaren Prozessen die Rede, das klingt dann schon gar nicht mehr so 90% schneller als anderswo, und dann gibt es dieses Highlight:
To complete this work, RSA IR uses several commercial and open source forensic toolsWie, Moment, ihr benutzt anderer Leute von-der-Stange-Tools? Ich dachte, EURE Tools seien der heiße Scheiß!In addition, the Team will leverage available tools and technologies in place within the enterpriseJa, äh, na was soll man auch sonst benutzen an der Stelle?Aber gut, das ist ja immer noch recht abstrakt. Vielleicht werden die Dinge in der Case Study-Sektion klarer?
The RSA IR team used Volatility to analyze the submitted memory dump. Very quickly, while parsing the Application Compatibility cache from the memory image, RSA IR confirmed this server likely had unauthorized activity based on locations and filenames that were executed on the system.Das ist ja mein persönliches Highlight. Erstens: Volatility ist ein Open-Source-Tool. Aber über Formulierungen wie "confirmed this server likely" könnte ich mich stundenlang amüsieren. Likely ist, was man vorher hat. Confirm macht aus likely ein definitely. Bestätigen, dass etwas wahrscheinlich passiert ist, geht nicht. Etwas ist wahrscheinlich passiert, dann bestätigt man das, dann weiß man, dass es passiert ist und braucht kein wahrscheinlich mehr.Ihr seht schon: Whitepapers sind ein Quell der Unterhaltung für Leute, die sich für den sprachlichen Dreizack aus Bullshit, Schlangenöl und Herumwieseln interessieren.
Hey, vielleicht sollte ich auch mal ein Whitepaper schreiben. "Wir machen das selbe wie unsere Mitbewerber. Wir können es nur besser." :-)
In der digitalen Quarantäne-Liste, die vom Bundesamt für Sicherheit in der Informationstechnik bereitgestellt wird, sind mehrere Zehntausend Websites erfasst, die im Zusammenhang mit der Verbreitung von Schadsoftware aufgefallen waren.Da stellen sich natürlich direkt mal einige Fragen, z.B. ob die Liste aktuell ist? Wer die wartet? Ob da auch mal Domains runtergenommen werden oder immer noch mehr angehängt werden? Wir erinnern uns an die BPjM-Liste. Oder die No-Fly-List. Das wäre die erste Blacklist in der Geschichte der Menschheit, die ordentlich gepflegt würde. Und kann man überhaupt eine Liste mit sechsstellig Einträgen pflegen?
Man muss sich ja auch fragen, ob man ein Parlament haben will, das in einer Filterblase sitzt, und einige Dinge gar nicht sehen kann. Ich muss da spontan an Fuck the EU denken.
Alles höchst beunruhigend. Es hilft auch nicht, dass sie sagen, das sei nur temporär. Meiner Erfahrung nach hält kein noch so langfristig geplantes Feature so lange wie temporäre Notbehelfe.
Nicht nur ich mache mir da Sorgen:
"Es ist mit dem freien Mandat unvereinbar, dass eine Regierungsbehörde entscheidet, auf welche Informationen Abgeordnete zugreifen dürfen, und diese Kommunikation zudem protokolliert."Da hat er völlig Recht. Auf der anderen Seite hilft natürlich ein freies Mandat nicht, wenn die User dann alle doof sind und sich im Netz Malware einfangen.
Ich für meinen Teil finde es ja hochamüsant, dass die Abgeordneten kein zensierte Netz haben wollen, nur gut zehn Jahre nach Jürgen Büssow.
Nun, die gute Nachricht ist: Mit dem BND-Ermächtigungsgesetz war dann ja wirklich Schluss.
Die schlechte Nachricht: Schäubles Finanzministerium untersteht ja der Zoll, und der hat ziemlich krasse geheimdienstähnliche Befugnisse, und ist in der Vergangenheit durch Trojanereinsatz aufgefallen. Wenn man denen also Befugnisse gibt, oder sie auch nur glauben, sie hätten Befugnisse, dann besteht akute Missbrauchsgefahr.
Der Zoll darf z.B. einfach mal eben Grundstücke und Räume betreten und durchsuchen, sogar ohne richterlichen Beschluss, wenn sie was von Gefahr im Verzug heucheln. Sie dürfen Dinge beschlagnahmen und Proben entnehmen. Kurz: Das ist jetzt schon eher beängstigend, was der Zoll so machen darf.
Und jetzt? Jetzt schiebt der Schäuble ein Zoll-Ermächtigungsgesetz in die Pipeline! Wie krass ist das? Man kann das ja schon grob ahnen, wenn man mal Schäubles Track Record anguckt. Aber ich will mal jemanden zitieren, der nicht der Zaghaftigkeit in Sicherheitsfragen verdächtig ist:
Kritik kam von der Gewerkschaft der Polizei (GdP).Ja, richtig gelesen! Das Gesetz ist so krass, dass selbst die Polizei Angst kriegt!
Diese warnt vor »großen rechtsstaatlichen und datenschutzrechtlichen Gefahren« und wirft Schäuble vor, einen »allmächtigen Zollgeneral« zu schaffen.Ach naja komm, liebe GdP, allmächtig ist ein sehr starkes Wort. So schlimm wird es schon nicht sein, oder?
Mit dem Generalzolldirektor sorge der Bundesfinanzminister für einen mächtigen Behördenchef, der mehr Befugnisse auf sich vereine, als die Spitzenkräfte von Bundespolizei, BKA und Verfassungsschutz zusammen.Öh … WTF?!
Update: Moan, schon wieder Justiz geschrieben, als ich Finanz meinte. Das ist mir mit dem Zoll schon mal passiert glaube ich. Narf.
Update: Primärquelle bei der GdP. (Danke, Frank)
Die Trojaner-Software von Gamma verletzt die Achtung der Menschenrechte. Mit dieser Rüge der britischen OECD-Kontaktstelle verbunden wird Gamma für die Zukunft aufgetragen, einen wirksamen Schutz der Menschenrechte in die Software einzubauen.Die Briten sind ja schon immer als Kämpfer für die Menschenrechte bekannt!
Online-Erpresser arbeiten mit einer neuen Masche, um Betreiber von Webservern zu erpressen: Die Angreifer manipulieren die Server so, dass sie neu angelegte Datensätze – etwa, wenn sich ein Nutzer registriert – verschlüsseln. Beim Zugriff darauf werden die Daten transparent entschlüsselt, so dass der Angriff nicht sofort auffällt. Der dabei genutzte Krypto-Schlüssel liegt auf einem Server der Angreifer. Nach einigen Monaten entfernen sie ihn und rücken ihn nur nach der Zahlung eines Lösegelds wieder raus.Das ist ja mal ein progressives und innovatives Geschäftsmodell…
Ich kannte sowas nur von Windows-Trojanern auf Privatrechnern. (Danke, Erik)
Nun, äh, ihr müsst jetzt sehr stark sein, während ich ein kleines Lied anstimme: Trojaner-Transparenz Marke Sigmar Gabriel:
Doch auf Transparenz im eigenen Haus scheint das Bundeswirtschaftsministerium (BMWi) deutlich weniger Wert zu legen. Denn bis heute ist das Ministerium nicht bereit, Auskunft über die tatsächliche Zahl der bisherigen Ausfuhren von Überwachungstechnologie zu erteilen.
"We didn't want to interfere with NSA/GCHQ operations," he told Mashable, explaining that everyone seemed to be waiting for someone else to disclose details of Regin first, not wanting to impede legitimate operations related to "global security."Na gut, Fox IT ist eine üble Trojanerbude. Wie sieht es denn mit seriösen Antivirenfirmen aus, sagen wir mal F-Secure?Mikko Hypponen, a renowned security expert and chief research officer for F-Secure, said that while they had detected some parts of Regin since 2009, they were not at liberty to discuss their discovery due to confidentiality agreements with customers who asked them not to publish details of hacks they suffered.2009!!!
Nun, liebe Leser, das will ich gerne aufklären: Die Kohle aus dem neuen IT-Sicherheitsgesetz fließt in den "Verfassungsschutz". Ja, der Verfassungsschutz! Die, die wie kaum eine andere Behörde für das Gegenteil von Sicherheit stehen! Die, die den Ku-Klux-Klan Deutschland, den NSU und andere verfassungsfeindliche Organisationen entweder selbst gegründet und/oder jahrelang per V-Mann-Spende am Leben gehalten haben, ausgerechnet die werden jetzt nicht zugemacht sondern kriegen noch neue Planstellen dazu! Und dann nennen sie das auch noch Sicherheitsgesetz!
Wenn das nicht unsere Steuergelder wären, wäre es fast eine schöne Aktion zur Monty-Python-Abschlußtour.
Oh, einen noch. Falls jemand dachte, hey, der Verfassungsschutz ist furchtbar, aber immerhin sind sie noch nicht mit Trojanern in der Hand ertappt worden, wie das BKA! Für den habe ich eine schlechte Nachricht:
Das Bundesinnenministerium möchte mit seinem jetzt veröffentlichten Referentenentwurf für ein IT-Sicherheitsgesetz neben dem Bundesamt für Sicherheit in der Informationstechnik (BSI) und dem Bundeskriminalamt (BKA) auch das Bundesamt für Verfassungsschutz (BfV) ausbauen.Business as usual!
Wer sich jetzt wundert, dass der Zoll und BND nicht auch noch einen Geldregen kriegen: Der BND untersteht dem Kanzleramt, der Zoll dem JustizFinanzministerium. Der Referentenentwurf kommt aus dem Innenministerium. Die geben in ihren Gesetzesentwürfen natürlich nur sich selbst Geld, nicht anderen Ministerien. Denn darum geht es hier. Geld her, egal wie dümmlich der Vorwand auch ist.
Update: Vielleicht sollte ich auch auf inhaltliche Aspekte eingehen. Nur so der Vollständigkeit halber. Firmen müssen jetzt Hackerangriffe melden, aber a) nur "den Behörden", nicht der Bevölkerung, und b)
können sie das anonym tun, solange es keine Störungen oder Ausfälle gibt
Und wer soll das schon prüfen oder im Nachhinein überhaupt noch sagen können, ob einer der vielen Ausfälle auf Hackerangriffe zurückzuführen war oder nicht.
An dieser Stelle sei mir erlaubt, kurz darauf hinzuweisen, wieso die Idee "Hackerangriffe müssen gemeldet werden" überhaupt auf dem Tisch lag. Damit Firmen und Behörden diese Peinlichkeit vermeiden wollen. Das soll einen Anreiz schaffen, die Infrastruktur robust und sicher zu machen. Dafür gibt im Moment niemand wirklich Geld aus, weil es betriebswirtschaftlich kurzfristig mehr Profit bringt, wenn man es in Kundenacquise steckt. Diese zentrale Idee wird also mit diesem Gesetzesentwurf komplett ad absurdum geführt. Ursprünglich ging die Idee ja noch weiter, die Firmen hätten auch alle potentiell betroffenen Kunden jeweils individuell in Kenntnis setzen sollen. Damit die Firma befürchten muss, die Kunden laufen wenn.
Oh und wieso betrifft das eigentlich nur Firmen und nicht auch Behörden? Und wieso nur kritische Infrastruktur, nicht auch ganz normale Infrastruktur? Wer definiert eigentlich, welche Infrastruktur kritisch ist und welche nicht?
Update: Ich finde übrigens, wenn man da richtig Anreiz schaffen will, muss man auch gleich gesetzlich ein Sonderkündigungsrecht schaffen, wenn eine Firma beim Schlampen erwischt wird. Und zwar nicht nur für die betroffenen Kunden, für alle Kunden. Was glaubt ihr, wie eilig es die Knebelvertrag-Telcos plötzlich hätten, nie wieder gehackt zu werden!
They are clear that we need to act immediately. If we do not, criminals and terrorists will go about their work unimpeded, and innocent lives will be lost.Menschenleben sind in Gefahr!1!!Was sollte das? Das sieht doch ein Blinder, dass der lügt? Nun, hier ist die Antwort. Es stellt sich raus, dass in dem Gesetz diverse Trojaner als Drive-By-Downloads drin sind. So Dinge wie:
Clause four of the bill appears to extend Ripa – the Regulation of Investigatory Powers Act (basically Britain's Patriot Act) – so that the UK government can impose severe penalties on companies overseas that refuse to comply with interception warrants. It also lays out situations in which they may be required to maintain permanent interception capacity.Und damit sich alle angesprochen fühlen, definieren sie Telekommunikations-Dienstleister um, damit auch Gmail und Hotmail und so darunter fallen.
Es ist an der Zeit, das BKA zuzumachen. Und Ziercke die Rente zu streichen.
Oh BTW: Das ist so übel in Usbekistan, dass die Tschechen sich sogar geweigert haben, den "Präsidenten" überhaupt zu empfangen.
Update: Übrigens, noch ein bisschen Kontext zu Usbekistan. Der ehemalige britische Botschafter in Usbekistan ist Craig Murray, der hier im Blog schon häufiger zu Wort kam. Der hat ein Buch über die Lage dort geschrieben, bei dem wohl auch an zwei-drei Stellen peinliche Details über die Arbeit der deutschen Botschaft vorkommen. Übrigens, wenn ihr euch gefragt habt, welche Behördenkooperation der Ziercke da intensivieren will, dann müsst ihr ein paar Jahre zurückdenken, zur Sauerland-Gruppe. Als ihnen der Fall zusehends bei Lichte in seine Einzellügen zerbröselte, haben sie sich schnell eine Referenz ins Ausland zurechtgelegt, die von den Bürgern nicht nachprüfbar war. Diese Referenz hieß IJU, Islamische Dschihad-Union, und kam angeblich aus Usbekistan. Craig Murray hatte die damals ziemlich sofort als False-Flag-Operation der usbekischen Diktatur enttarnt, was 2008 dann auch ein Überläufer in der ARD bestätigt hat. Insofern schuldet Deutschland aus Zierckes Sicht dem Karimov was, weil Zierckes blanker Hintern damals im Wind hing und Karimov da mit seiner Fake-Terrorzelle ein Tuch drüber gedeckt hat.
Oh, und es gab da vor einer Weile auch mal eine Monitor-Sendung darüber, wie deutsche Telekommunikations-Überwachungstechnik nach Usbekistan exportiert wurde. Ob die auch auf den Trojaner-Kundenlisten stehen? (Danke, Christoph)
Aber da war ja überhaupt keine Reue, nicht mal ein "Hups". Eher so Beobachten aus der Entfernung. "Hmm, das hat aber groß Bumms gemacht".
Mal einen Fehler zu machen, dass kann man verzeihen. Passiert. Aber nicht zu seinen Fehlern zu stehen, und in der Presse das dann noch kleinzureden versuchen, "war nur ein ganz trivialer Fehler", das geht aus meiner Sicht gar nicht. Und das dann noch dem Briten in die Schuhe schieben zu wollen, der das am Neujahrsmorgen um 1 Uhr nachts durchgewunken hat, das finde ich auch unakzeptabel.
Das ist genau so abwegig wie wenn ein Krimineller für seine Tat die Polizei verantwortlich macht, weil die ihn nicht aufgehalten haben.
Im Übrigen: Nein, der Fehler ist nicht trivial. In einem Netzwerkprotokoll keine Eingabevalidierung zu machen ist kein trivialer Fehler. Das ist auf der 1-bis-Tschernobyl-Skala ein Fukushima. Das Mindeste, was man dann tun kann, ist ein öffentliches: Meine Schuld, tut mir leid, verzeiht mir, ich gelobe Besserung. Zumindest ein bisschen "Wir entschuldigen uns für die Unannehmlichkeiten"-Heucheln ist ja wohl nicht zuviel verlangt!
Wie sieht denn das jetzt aus? "Sind die Open-Source-Leute alle so wenig teamfähig, dass sie ihre Fehler kleinreden und anderen in die Schuhe schieben?" "Vielleicht lassen wir das hier lieber nicht in Deutschland entwickeln, die stehen da nicht zu ihren Fehlern."
Aber vielleicht habe ich da einfach zu hohe Ansprüche. Ich runzle ja schon meine Stirn, dass jemand mit so wenig Erfahrung es überhaupt gewagt hat, bei OpenSSL Code einzuchecken, der auch noch Daten vom Angreifer handled. Das ist dann wohl der Dunning-Kruger-Effekt in Aktion.
Ich habe 1995 mal Code bei ssh eingeschickt, bevor es openssh gab. Das war Code für ein zusätzliches Detail in der Config-Datei. Ich weiß noch, wie ich da sehr nervös war, das überhaupt hinzuschicken. Netzwerk-Parsing-Code hätte ich mich gar nicht einzusenden getraut damals. Ist dieser Respekt vor wichtigen Infrastrukturprojekten über die Jahre verloren gegangen?
Oder habe ich das übersehen und er hat sich entschuldigt?
Update: Eigentlich ist der Typ bloß das Symptom. Das ist ja ein gesamtgesellschaftliches Problem. Oder erinnert sich jemand von euch, wann in der Politik zuletzt jemand Schuld gewesen ist an irgendwas? Kommt nicht mehr vor. Der Hoeneß war Schuld, ja, als es nicht mehr zu leugnen war. Das war die Ausnahme. War bei dem Mollath irgendjemand Schuld? Nein. Bei BER? Das war alles Schicksal. Ein Gesetz nach dem anderen haben wir wegen Verfassungswidrigkeit weggehauen. Da war auch nie jemand Schuld. Illegaler Bundestrojanereinsatz? War auch keiner Schuld. Kaufen wir halt einen anderen Trojaner. Vorratsdatenspeicherung verfassungswidrig? Niemand zeugt Reue. Ich hatte halt gehofft, dass das wenigstens in meiner Branche anders ist. Dass wenigstens die Techies zu ihrem Scheiß stehen können. Techies sind ja auch sonst ehrlicher und können den Kunden im Allgemeinen nicht so direkt ins Gesicht lügen, wenn sie nach Schwächen ihres Produkts gefragt werden.
Apropos Fukushima. TEPCO hat sich entschuldigt. Die hätten auch mit dem Finger einmal im Kreis zeigen können. Die Regulierungsbehörde, die Regierung, die Anreize, die Börse, wir haben unseren Techies vertraut, das lief doch immer alles super… aber selbst DIE haben die Größe gehabt, sich zu entschuldigen.
Weil das offenbar eine Menge Leute gerade beschäftigt, veröffentliche ich hier meine Antwort:
Technisch gesehen war das schon immer so, dass digitale Daten beliebig veränderbar sind, und daher als Teil einer Beweisführung grundsätzlich zu hinterfragen sind. Nur weil in irgendeiner Logdatei steht, dass Sie einen Film im Internet heruntergeladen haben, heißt das noch lange nicht, dass das auch tatsächlich stattgefunden hat. Die Daten könnten da auch von einer Ihnen übelmeinenden Person mit entsprechenden Zugriffsrechten hingeschrieben worden sein, nicht nur von einer unparteiischen Software.Update: Ich möchte nochmal betonen, dass ich es für eine sehr positive Entwicklung halte, dass die Presse diese Frage überhaupt stellt.Der Chaos Computer Club hat zuletzt anlässlich der Bundestrojaner-Pläne darauf hingewiesen, dass ein derartiger Zugriff auf einen Rechner auch dafür genutzt werden kann, gefälsche "Beweise" zu hinterlegen. Inzwischen wissen wir dank Edward Snowdens Unterlagen, dass das auch tatsächlich so von Geheimdiensten praktiziert wird. In dem Kontext ist es besonders bedenklich, dass der Hinweis auf Edathy ausgerechnet aus dem Five-Eyes-Mitgliedsland Kanada kommt.
Herr Edathy ist allerdings in der Vergangenheit nie als Gegner der Geheimdienste aufgefallen. Bei seiner Arbeit im Innenausschuss zeigte er sich stets eher als Vorantreiber des Geheimdienst-Sicherheitsstaats. Er befürwortete bis zuletzt die Vorratsdatenspeicherung, sprach sich für ein Hackertoolverbot aus. Nicht einmal als die Staatstrojaneraffäre am platzen war, konnte er sich dazu durchringen, mehr als nur eine "vorübergehende Aussetzung" des Einsatzes aller Staastrojaner zu fordern.
Zur Einordnung: Die Vorratsdatenspeicherung und Trojaner wären genau die Werkzeuge, mit denen eine staatliche Stelle in die Lage versetzt würde, einen Bürger zu identifzieren und ihm gefälsche Beweise unterzujubeln. Und das Hackertoolverbot sollte verhindern, dass die Hacker-Community Gegenwehr-Möglichkeiten entwickelt.
Es ist also nicht offensichtlich, wieso ein Geheimdienst ausgerechnet Herrn Edathy mit untergeschobenen Beweisen belasten sollte. Es erscheint daher wahrscheinlicher, dass die Geheimdienste Herrn Edathy einen Präsentkorb mit Dankesnote zustellen würden, als dass sie ihm verbotenes Material unterschieben.
Dennoch ist es sehr begrüßenswert, dass dieser traurige Anlass jetzt dazu führt, die Frage nach der Beweiskraft von digital vorliegenden Daten mal offen zu stellen.
Bitte beachten: GERMAN EYES ONLY, aber das Programm ist spannend. Es fällt sofort die große Häufung an Fraunhofer-Instituten auf. Ich habe ja schon häufiger gefordert, eine GPL-Verschärfung zu bauen, damit der Code nicht für militärische Zwecke benutzt werden darf, da fällt auch Forschung drunter. Vielleicht wäre es ein guter erster Schritt, mal eine Liste an Forschungseinrichtungen in Deutschland zu machen, die Abteilungen haben, die da drunter fallen würden.
Vielleicht hat ja mal jemand Bock, ein Wiki aufzusetzen, wo man eintragen kann, in welchen Abteilungen welcher Forschungseinrichtung man nicht arbeiten will. Langfristig braucht man sowas natürlich auch für private Firmen, und da nicht nur für Militär-Kram sondern auch für Trojanerentwicklung und "baut Internetfilter" und so.
Gemeint sind (nein, wirklich!) die Kleinen Anfragen, mit denen die Linkspartei seit vielen Jahren als praktisch einzigem ihnen verbleibenden Instrument Aufklärung und Kontrolle der jeweiligen Regierung betreibt. Was die Herren Spezialexperten beim Focus allerdings mangels Demokratie in Bayern nicht verstanden haben: Die Kleinen Anfragen sowie ihre Antworten sind selbstverständlich öffentlich einsehbar, da muss niemand irgendwas an irgendwen weitergeben, das ist alles auf dem Webserver des Bundestags abrufbar.
Der Focus ist ja noch nie durch seine journalistische Integrität aufgefallen, aber das ist selbst für Focus-Verhältnisse bemerkenswert dämlich.
Ich kann mich da nur Heise anschließen:
Ohne dass der Focus Namen nennt oder gar Beispiele, welche Geheiminformationen weitergereicht wurden, wird deutlich, dass Telepolis und Netzpolitik gemeint sind. Auch heise online nutzt Informationen aus Kleinen Anfragen, etwa in der Aufklärung über die Drohnenpolitik der Bundesregierung, über den Umfang der Softwareentwicklung für Trojaner und andere Überwachungskomponenten oder jüngst über den Angriffen auf das Schengen-Informationssystem. Selbst das Magazin Focus berichtet nicht selten unter Berufung auf Antworten auf Kleine Anfragen.Ich zitiere auch immer wieder gerne aus Kleinen Anfragen der Linken, weil die schlicht die einzigen sind, die da überhaupt mal Licht in den Nebel zu bringen versuchen.
Erschwerend hinzu kam, dass die Seite dann ziemlich sofort unter der Last zusammenbrach (warum eigentlich?).
Die Fakten liegen immer noch nicht auf dem Tisch, aber so langsam scheint halbwegs Konsens zu bestehen, dass da irgendein Ermittlungsverfahren gegen irgendjemanden läuft, weil sie diese Daten gefunden haben. Daher wollen sie nicht sagen, woher sie die haben.
Ich stelle mir das so vor. Das BSI wird von einer Firma oder Behörde angerufen, weil die ein Botnetz bei sich gefunden haben. Die kommen und finden beim Stochern diese Daten. Was tun? Nun könnte man natürlich die Email-Adressen alle anschreiben, aber wer glaubt denn seit dem Bundestrojaner noch Emails von Behörden?
Diese Webseite jetzt ist aus meiner Sicht Ass Covering. Da geht es nicht darum, Leuten zu helfen. Denn Leute, die sich um ihre Sicherheit genug Sorgen machen, dass sie von der Existenz so einer Webseite erfahren, und dann da hingehen und damit interagieren, sind vermutlich eh nicht betroffen. Ich verwende z.B. eine eigene Email-Adresse pro Webseite, die meine Email-Adresse haben will — und natürlich jeweils ein anderes Passwort. Soll ich die jetzt alle beim BSI eingeben? Ich mache das ursprünglich, um zu erkennen, woher Spammer Email-Adressen haben, aber es hilft natürlich auch prima gegen solche Account-Datenbanken. Da ist dann jeweils nur der eine Account gehackt, das Passwort funktioniert nirgendwo anders.
Dazu dann das Verfahren, das die das wählen. Man kriegt die Antwort nicht direkt sondern man kriegt einen Code und später eine Email, wenn man betroffen war. Wenn man nicht betroffen war, kriegt man keine Email. Das BSI scheint zu glauben, dass davon auch die Umkehrung gilt: Wer keine Email kriegt, war nicht betroffen. Aber das ist natürlich Blödsinn, Emails können verloren gehen, im Spamfolder landen, versehentlich gelöscht werden, etc. Oder wenn die Credentials gehackt waren und auch für den Email-Provider gelten, kann jemand mit den Daten natürlich auch die Email vom BSI löschen, bevor das Opfer sie sieht. Und die Email ist im Gegensatz zu der SSL-Verbindung, über die man die Daten einschickt, nicht verschlüsselt und signiert, d.h. wenn da eine Mail kommt, gibt es keinen Grund, der zu trauen. Den Code hätte auch jemand raten können. Kurz: Die Aktion ist voll für den Fuß. Das BSI tut das daher aus meiner Sicht nur, weil sie glauben, irgend etwas tun zu müssen.
Besonders absurd mutet die Meldung von heute an, dass das BSI seit Dezember auf den Daten saß, aber so lange brauchte, weil sie wirklich sicher gehen wollte, dass ihre Webseite den Ansturm aushalten würde. Was sie dann nicht tat.
Einmal mit Profis arbeiten!
Update: Die Webseite heißt übrigens www.sicherheitstest.bsi.de und liegt bei Strato. Ohne jetzt irgendwie Strato bashen zu wollen, aber … srsly, BSI? Das konntet ihr nicht selber hosten? So sieht das aus, wenn jemand per DNS-Hijacking Domains umlenkt. Übrigens liegt die BSI-Webseite nicht nur in einem anderen Netz (das dem BSI gehört), sondern sie benutzt auch eine andere Domain. Viel mehr Indizien für "hier riecht was schlecht, hier geb ich lieber keine Daten ein" hätte man auf die Schnelle gar nicht ankreuzen können. Oh, doch, eine noch. Das SSL-Zertifikat kommt bei der BSI-Homepage von Trustcenter, und beim Sicherheitstest von T-Systems. NA SUPER. Vertrauenswürdiger geht es ja kaum!1!!
Update: Anscheinend soll die Rück-Email PGP-signiert sein. Wozu brauchen sie dann den Code, wenn sie PGP haben? Weil niemand einen Grund hat, einem angeblichen BSI-Key zu vertrauen, der vor sechs Wochen erzeugt wurde?
Update: Wo wir gerade bei T-Systems waren… guckt mal, was da auskommentiert im HTML steht:
<div style="padding-top:20px;padding-bottom:20px;">Und hier ist das Bild. Ja, das hätte ich auch lieber auskommentiert an deren Stelle *schenkelklopf* :-)
<!--<img src="/static/images/vl_powered_by_T.png" />-->
Update: Ah, sie haben auch ihren öffentlichen PGP-Schlüssel auf ihrer HTTP-Webseite. Immerhin. Ich sehe trotzdem nicht, wieso sie da überhaupt Email machen und nicht direkt per Web antworten. Das schafft doch nur zusätzliche Metadaten.
Update: Der PGP-Schlüssel ist vom 9.12., das SSL-Zertifikat ist vom 17.12. Da kann man mit ein bisschen Fantasie die Denkprozesse verfolgen.
Hey, Cheffe, wir haben hier echt viele Email-Adressen, was machen wir jetzt?
Wir schreiben denen ne Email!
Ja, aber Cheffe, seit dem BKA-Trojaner glaubt unseren Emails doch keiner mehr!
Dann signieren wir die halt mit PGP!
OK, Cheffe, hab nen Schlüssel gemacht, aber wieso sollten die Leute dem denn vertrauen? Ich hätte Frau Merkel gebeten, uns den zu signieren, aber die hat kein PGP!
Na gut, dann machen wir dazu ne Pressemitteilung und machen einen Webserver auf und da tun wir den Schlüssel hin!
Aber Cheffe, unser Webserver hält doch nichts aus, wir benutzen doch Java!
Ja, äh, hmm, na löse das halt irgendwie!1!!
OK, Cheffe, ich hab jetzt bei Strato nen Webserver geklickt, aber wir brauchen auch SSL, sonst lachen die Leute doch wieder über uns!
Hmm, also über unseren normalen Amtsweg braucht das 4 Monate. Frag mal Strato, ob die nicht auch SSL mit verkaufen können!
OK, Cheffe, hab ich gemacht, alles in Ordnung!1!!
Update: In den Mails an Betroffene steht, dass die Daten bei einem Botnet gefunden wurden. Jemand hat mir ein Zitat aus so einer Mail geschickt.
Update: Der Code steht bei den PGP-Mails übrigens im Subject, also im nicht signierten Header-Bereich.
Ich erzähle mal kurz, worum es ging. Jemand hatte da 2 Schauspieler und 7 Schauspielerinnen angeheuert, die auf dem 30c3 so taten, als seien sie eine Firma namens Security Solutions Ltd. Der eine Mann war ein älterer, seriös aussehender Schlipsträger, der schön langsam und mit Pausen sprach, und mit seinem Bullshit-Bingo nicht durcheinanderkam. Der andere war wohl so ein schleimiger Geltolle-Business-2.0-Typ, der Kofferträger für den anderen. Die Frauen sind als Anwerberinnen herumgelaufen und haben Hacker angesprochen, ob sie nicht Lust auf ein Hinterzimmergespräch hätten, um über eine Zusammenarbeit zu reden. Dort warteten dann die anderen beiden und man bekam eine Visitenkarte und musste ein NDA unterschreiben. Von den 500 angesprochenen Hackern kamen wohl bloß zwei bis zu dem NDA. Das ist eine ziemlich gute Quote.
Ein Holländer, den sie angesprochen haben, hat sie sogar richtig auseinandergenommen, so ala "die Firma gibt es gar nicht im Handelsregister".
Insgesamt ein ausgesprochen gutes Ergebnis, wenn man bedenkt, dass Recruiter auf Events in anderen Ländern echt üblich sind und deutlich erfolgreicher sind. Da können wir als europäische Hackerszene echt stolz auf uns sein.
Aber wir dürfen uns da nicht auf unsere Lorbeeren ausruhen, sondern müssen da weiter wachsam bleiben. Die Meldung, dass CSC für Trojaner-Auditierung eingesetzt wird, und dass sie den Trojaner von einer Firma kaufen mussten, sind zwar an sich traurig aber auch eine Validierung der Tatsache, dass sie in unserer Community keine Hilfe finden.
Update: Am 3. Tag war die (nicht eingeweihte) Security in Form von Honkhase kurz davor, diese Leute rauszuschmeißen, weil sie jemand verpfiffen hatte. Und zwei NDA-Unterschreiber haben als Feedback bei uns hinterlassen, dass sie da nur zum ausforschen mitgegangen sind. Das kann man danach natürlich immer sagen, aber es freut mich trotzdem sehr.
Diplomats are expected to hammer out revised terms for the Wassenaar Arrangement in private meetings in Vienna this week so that it includes new controls on complex surveillance and hacking software and cryptography. The 41 signatory states include the US, Russia, Japan, France and Germany.Auf der einen Seite kann das total super sein, wenn endlich der Export von Gamma-Trojanern verboten wird. Aber wenn da steht, Hacking-Software und Kryptographie sollen Exportrestriktionen kriegen, dann sehe ich Szenen vor mir wie dass man nmap und wireshark nicht mehr zum Download anbieten darf, oder dass Tor verboten wird. Hoffentlich wird das nicht so schlimm wie es sich da liest. (Danke, Christian)
Vertrauliche Protokolle legen nahe, dass deutsche Spitzenbeamte die Reform verwässern und verzögern.Wer auch sonst! Und wo kommen die her?
verzögern Spitzenbeamte des Bundesinnenministeriums seit Monaten die ReformNa das passt ja mal wieder!
Und was schlagen die so vor? Festhalten!
Als Tests für ihre Methode haben sich die Forscher genau die Hardware genommen, bei der das maximal weh tut, wenn jemand manipuliert, nämlich a) einen Zufallszahlengenerator und b) S-Boxen aus einem Krypto-Verfahren, die eigentlich seitenkanalfrei sein sollten.
Update: Neue URL des Papers!
The bureau typically uses hacking in cases involving organized crime, child pornography or counterterrorism, a former U.S. official said. It is loath to use these tools when investigating hackers, out of fear the suspect will discover and publicize the technique, the person said.
Daher: Im Übrigen bin ich dafür, dass die OSZE die GEMA zumacht.
Die Sendung war übrigens teilweise durchaus unterhaltsam. Popcorn bereithalten. Jake fragt z.B. den Schmidbauer, ob der BND eigentlich auch Leute abschnüffelt mit Trojanern und so. Daraufhin andere in der Runde "natürlich nicht" und der Schmidbauer dann "natürlich!" Die Szene ist echt großartig.
Keine Ahnung, mir fällt keiner ein.
Die Contentmafia lobbyiert gerade in den USA für Malware-Legalisierung. Konkret:
a proposal to legalize the use of malware in order to punish people believed to be copying illegally. The report proposes that software would be loaded on computers that would somehow figure out if you were a pirate, and if you were, it would lock your computer up and take all your files hostage until you call the police and confess your crime.Mit anderen Worten: genau wie der BKA-Trojaner.
Dem konnte sich das OLG nicht anschließen und urteilte, dass wenn sie das nicht trennen können, aus welchen Gründen auch immer, dann dürfen sie halt gar nichts aufzeichnen. Zu viel Speichern wegen Inkompetenz geht jedenfalls nicht. Grundrechtsschutz hängt nicht von der Haushaltslage der überwachenden Behörde ab.
Money Quote:
Die technische Ausstattung muss den (verfassungs)rechtlichen Vorgaben entsprechen. Verwaltungsinterne Probleme bei der Beschaffung der erforderlichen Hard- und Software rechtfertigen keinen Grundrechtseingriff.*Strike*! Das ist dann wohl auch für die ganzen anderen halbgaren Abhörinfrastrukturen den Gnadenschuss. Sehr schön! (Danke, Ulf)
Update: Gamma hat stets geleugnet, den Trojaner nach Ägypten geliefert zu haben, das war nur ein Angebot, was da gefunden wurde. Dennoch ist das, was Gamma und ihre Trojaner ans Tageslicht gezerrt hat, daher ist das für mich "der Ägypten-Trojaner", auch wenn Gamma ihn möglicherweise (wer kann das schon genau sagen) nicht nach Ägypten geliefert hat.
Es gibt für den Laden kein direktes Äquivalent in Deutschland, das wäre vermutlich sowas wie eine Mischung aus Rohde&Schwarz, T-Systems und IABG. Deren Beteuerungen sind grob vergleichbar mit Nokia Siemens Networks, die ja auch beteuern, ihre Hände durch die Ausgliederung von Trovicor reingewaschen zu haben. Von denen würde man sich ja auch keine Hackerveranstaltung sponsern lassen wollen.
Ich war ja immer ein Freund der holländischen Hackercamps, aber unter diesen Umständen gehe ich da lieber nicht hin.
(Falls jetzt jemand seinen PDF-Reader deinstallieren will: Foxit Reader kommt nicht von Fox-IT. Verschiedene Firmen.)
Was das wohl für Leute machen? So Drohnen-Bauen jetzt? Leute, die bei Trojanerbuden rausflogen, weil sie selbst denen zu bösartig waren?
Konkrete Punkte sind:
Ich bin grundsätzlich für eine Meldepflicht. Der Gedanke hinter einer Meldepflicht, und warum ich auch dafür bin, ist: a) wir brauchen ordentliche Daten, um über das Problem reden zu können. Wer wird wie häufig gehackt und welche Daten leaken dabei? b) wenn die Firmen das unter den Teppich kehren können, warum sollten sie dann in Security investieren. Dann bleibt alles Scheiße und die Kunden wissen nicht, bei welchen Anbietern ihr Geld wirklich sicher ist.
Wenn man sich jetzt diesen Entwurf ansieht, dann sieht man, dass die zwar melden müssen, aber nur dem BSI, nicht der Öffentlichkeit. Und das BSI legt das dann zwar offen, aber nicht der Öffentlichkeit, sondern … den Meldepflichtigen. Die können dann zwar sehen, ob sie sicherer als der Durchschnitt der Konkurrenz sind, aber der Kunde kriegt es nicht mit. Damit ist der Anreiz für Verbesserungen weg. Dann werden die weiter alle die Öffentlichkeit anlügen, wie toll sicher sie sind, und Vorfälle verschweigen.
Alleine schon aus diesem Grund lehne ich diesen Gesetzesentwurf ab. Aber meine Kritikpunkte gehen noch weiter.
Das BSI soll jetzt Firmen beraten. Das halte ich für eine sehr schlechte Idee. Das BSI wird aus Steuergeldern finanziert. Wieso sollten Steuergelder dafür ausgegeben werden, den Firmen zu ermöglichen, ihre Hausaufgaben an das BSI outzusourcen? Nee, so geht das nicht.
Es ist nicht so, dass das BSI keine Rolle spielen sollte. Ich schlage vor, dass das BSI einen Katalog erstellt, in dem Angriffe klassifiziert werden. Wo man dann sagt: ein XSS auf der Pressemitteilungen-Webseite der Polizei Brandenburg ist kein Angriff auf "sicherheitsempfindliche Stellen lebenswichtiger Institutionen". Diese Formulierung zitiert Heise als Beschreibung dafür, wofür das BKA in Zukunft zuständig sein soll. Hier muss aus meiner Sicht Sorge getragen werden, dass es eine klare Unterscheidung zwischen gefährlichem Angriff und zivilem Ungehorsam und Demonstrationsrecht gibt. Wenn Leute aus Protest gegen Abschiebungsflüge die Lufthansa-Webseite blockieren, sollte das jetzt nicht über diese Hintertür zu einem Fall für das BKA deklariert werden.
Überhaupt, das BKA. Die sollen 105 neue Stellen schaffen, um besser das Internet patroullieren zu können. Halte ich für falsch. Die stehen sich doch jetzt schon nur im Wege. Ich habe noch von keinem einzigen Fall gehört, wo das BKA mal im Internet zu Recht und Ordnung beigetragen hätte. Was die brauchen ist eine Schulung, und die klare Vorgabe, dass ihrem Präsidenten pro Eingriffsversuch in die Politik ein Monatsgehalt abgezogen wird, bis hin zu negativem Gehalt und Forderungen an ihn. Jedes Mal, wenn Ziercke und co die Vorratsdatenspeicherung fordern, verplempern die Zeit, die sie damit verbringen sollten, Kriminelle zu fangen.
Also. Das Gesetz lehne ich so ab. Mein Vorschlag:
Kurz gesagt: aus dem Gesetz muss der Populismus und der Bullshit raus, dann kann daraus was richtig gutes werden.
Die größten Gefahren und Risiken sind aus meiner Sicht:
Ich persönlich halte die Meldepflicht nur dann für effektiv, wenn die Fälle alle sofort veröffentlicht werden, und zwar ohne Anonymisierung. Zumindest die Kunden haben ein Recht, das zu erfahren. Und zwar nicht erst, wenn sich nicht mehr abstreiten lässt, dass sie betroffen sind. Sofort. Ich hätte gerne eine Webseite, wo man hingehen kann, Postbank eingibt, und dann kommt eine Liste der Incidents bei denen, jeweils mit Links zu deren Reaktion und mit Zeitstempeln, damit man sehen kann, wie lange die jeweils untätig rumgegammelt haben. Und da müssen auch Incidents drin sein, die die jeweilige Firma bestreitet. Das kann gerne dranstehen, dass sie das bestreiten. Und von mir aus können sie auch Dokumente anheften, die das belegen. Aber man darf da nicht rauskommen können, indem man schlicht leugnet.
Ich würde mich auch freuen, wenn das BSI nach einem Hackerangriff die Aufgabe hätte, die Schwere zu bewerten. Damit man das als Kunde vergleichen kann.
Update: Fällt jemandem ein, wie man "das BKA ist jetzt für 202c zuständig" anders interpretieren kann als "Ziercke ist sauer auf den CCC und will sich jetzt rächen"? Aber Herr Ziercke! Wie unsportlich!
Ich dachte erst: Ziercke im Knast? GEIL!
Dann dachte ich: nee, warte, den Entwickler, nicht den Verantwortlichen. Nanu, Entwickler? Haben die doch gar keinen!
Dann dachte ich mir: Das BKA setzt doch gerade auf den Gamma-Trojaner! Martin Münch im Knast? GEIL!
Aber dann fiel mir ein, dass die den anderen BKA-Trojaner meinen.
Schade eigentlich.
Argument 1: das sind nur einige schwarze Schafe, die sich von den Bösen finanzieren lassen. Ich bin ein seriöser Forscher, mir geht es um die Erleuchtung.
Antwort: Es spielt keine Rolle, ob du für deine Strukturausforschung von denen bezahlt wirst oder nicht. Das Ergebnis deiner Arbeit wird veröffentlicht werden und steht denen am Ende zur Verfügung.
Argument 2: Wenn ich das nicht tue, der ich Sensibilität für die Szene habe, dann wird das irgendein Depp machen, der wird dann noch viel mehr Schaden anrichten.
Antwort: Wenn du annimmst, dass die Leute wegen meiner Warnung nicht mit dir reden, wieso sollten die dann mit dem Depp reden? Im Übrigen sei an der Stelle Joseph Weizenbaum zitiert, der auf dieses "Argument" antwortete, indem er es auf Vergewaltigungen anwendete. Die gäb es ja auch, da könnte man sich ja auch nicht mit "wenn ich es nicht mache, macht es jemand anderes" das Gewissen reinreden.
Argument 3: Wenn ihr uns nicht an euch ranlasst, dann werden die Arbeiten aus wilder Spekulation bestehen, und dann endet das für euch noch schlechter.
Antwort: Das ist kein Argument sondern ein Erpressungsversuch.
Ich möchte außerdem darauf hinweisen, dass das "wenn ich es nicht mache, macht es jemand anderes, und der ist weniger lieb als ich"-Argument die klassische Verteidigung von KZ-Wächtern und Soldaten ist. Im Übrigen kann man gerade beim BKA sehen, dass sich nicht unbedingt ein anderer findet *hust*
Versteht bitte, liebe Wissenschaftler, dass der CCC sich nicht nur die Wahlcomputerindustrie zum Feind gemacht hat, sondern wir auch die Trojaner-Fraktion der Sicherheitsbehörden geärgert haben. Und beim CCC sind schon zwei Hacker unter mysteriösen Umständen ums Leben gekommen über die Jahre. Für euch mag das nicht offensichtlich sein, aber es geht hier um Selbstschutz und möglicherweise auch um Menschenleben. Aus meiner Sicht ist das vergleichbar mit einer Naturdokumentation im Dschungel von Afrika. Die findet auch nur dann statt, wenn das Kamerateam nicht die gefilmten Tiere durch das Drehen der Dokumentation in Gefahr bringt. Wenn ihr Wissenschaftler nicht selbst darauf kommt, dass eure Forschung möglicherweise andere in Gefahr bringen könnte, oder zumindest die gesellschaftliche Arbeit des CCC behindern kann, dann ist es gut, dass ich vor euch gewarnt habe.
Wieso macht eigentlich keiner von euch eine Strukturausforschung über BP? Oh, was sagt ihr, die lassen euch nicht rein? Na sowas. Warum wohl?
Over the course of three months, attackers installed 45 pieces of custom malware. The Times — which uses antivirus products made by Symantec — found only one instance in which Symantec identified an attacker’s software as malicious and quarantined it, according to Mandiant.Zing! Symantec will sich dazu nicht äußern. Ach was, warum denn nicht?Ausgangsort für die Trojaner war die Berichterstattung der New York Times über die Korruption in der Familie von Premierminister Wen Jiabao. Die Times bemüht sich, das auf den ersten Seiten so klingen zu lassen, als hätten sie das die ganze Zeit im Griff gehabt, hätten da Experten rangezogen zur Analyse, und das sei nur so lange gelaufen, weil sie das rückverfolgen wollten. Der Eindruck geht auf den Folgeseiten weg.
From there they snooped around The Times’s systems for at least two weeks before they identified the domain controller that contains user names and hashed, or scrambled, passwords for every Times employee.Und ab da ist das natürlich nicht mehr so schwierig.Investigators found evidence that the attackers cracked the passwords and used them to gain access to a number of computers. They created custom software that allowed them to search for and grab Mr. Barboza’s and Mr. Yardley’s e-mails and documents from a Times e-mail server.Das ist schon ein echter Totalschaden. Ich bewundere, wie die sich da jetzt einreden können, sie hätten das alles repariert und jetzt seien sie wieder sicher.
VR-Protect sieht aus und funktioniert wie ein normaler Browser. Der besondere Unterschied: Er lässt nur wenige vertrauenswürdige Seiten zu, nämlich die Seiten der Bank des Nutzers.Welche Plattformen unterstützen sie? Steht da nicht. Klingt nach "Windows only".
Nun könnte man mit so einem Spezialbrowser tatsächlich was reißen, wenn man die IPs und die SSL-Zertifikate der Bank fest einbrennt. Davon steht da aber nichts. Und das hätte natürlich auch Nachteile. Dafür soll der Browser sich selbst updaten können. Na DANN ist ja alles gut, da kann ja so gut wie NICHTS schiefgehen!1!! Erwähnte ich, dass man den von CD starten soll? Das Autoupdate brennt dann ne neue CD heraus oder wie? Und woher weiß der Benutzer, dass das Update echt ist und kein Trojaner? Wie hilft dieser Spezialbrowser dagegen, dass ein Trojaner die Tastatur mitsnifft? Gar nicht vermutlich.
Kurzum: aus meiner Sicht sieht das aus wie eine windige PR-Maßnahme. Von Leuten, die es besser wissen sollten. Aber das nicht tun, wie man z.B. an diesem Abschnitt hier gut sehen kann:
Jede Bank erhält ihren eigenen Browser. Selbst wenn also eine Browserversion gecrackt würde, sind doch alle anderen Bank-Versionen davon nicht betroffen und der Angriff wird ökonomisch unsinnig."Gecrackt"? m(
Update: Habe ein paar Details in Erfahrung bringen können. Das Ziel von diesem Browser ist anscheinend, die momentan verbreiteten Banking-Trojaner auszuschalten. Dafür haben sie da Arbeit investiert, um den Browser für die verbreiteten Manipulationsmethoden weniger anfällig zu machen. Mit meiner "Windows Only"-Vermutung lag ich wohl richtig. Aus meiner Sicht hat man verloren, wenn man von Schadcode-Befall ausgeht. Das kann man mit solchen Browser-Tricks ein bisschen schwieriger machen, und hoffen, dass die Trojaner dann lieber die anderen Banken angreifen, aber letztendlich halte ich es für nicht seriös, da große Versprechungen zu machen. Ich versuche weiterhin die oben genannten Details rauszufinden, mal gucken was da noch so reinkommt.
Update: Hier kommen noch ein paar Details. Plugins, Toolbars und co sind per CLSID-Whitelist verboten, es wird nicht Wininet benutzt, die URLs und IP und SSL-Zertifikate der Bank sind per Whitelist festgenagelt. Wenn das stimmt dann haben sie da soweit alles rausgeholt. Man kann sich immer noch streiten, wie viel man davon erwarten kann, und der Teufel steckt wie immer in den Details. Aber es sieht nicht mehr ganz so vollständig sinnlos aus wie es die Presseerklärung vermuten ließ.
Das BKA und das BSI weisen deshalb zusätzlich darauf hin, dass das Abspeichern dieses Fotos beziehungsweise eine Besitzverschaffung einen strafbaren Besitz von Jugendpornografie darstellt.Der Lacher ist ja, dass GENAU DIESES SZENARIO damals angesprochen wurde von den Sachverständigen. Genau deshalb ist es bekloppt, den Besitz von Hackertools oder Pornographie oder was auch immer unter Strafe zu stellen, weil Szenarien denkbar sind, in denen der Empfänger gar nichts dafür kann, dass ihm ein Bild untergejubelt wird. Ach was, völlig realitätsfremd, hieß es damals.
Übrigens, weil sich ja nicht jeder mit den verschiedenen Abstufungen des kriminellen Milieus auskennt: der "BKA-Trojaner" ist nicht der "Bundestrojaner", auch wenn der Bundestrojaner vom BKA kommt und auch offensichtlich illegal ist. Achtung, Verwechslungsgefahr!
CSC, CSC … CSC … da war doch was. Oh ja richtig! Das waren die hier, die ihre Business-Jets für Rendition-Flüge nach Guantanamo an die CIA ausgeliehen haben. Und nicht nur Guantanamo, auch an andere Folterknäste.
Nur falls jemand noch Zweifel hatte, wie diese Trojaner-Geschichte ethisch/moralisch einzuordnen ist. Das war damals der militärische Arm von Dyncorp, den hat CSC inzwischen wieder verkauft. Aber wisst ihr, was CSC noch so macht? Die machen den "Groundbreaker"-Rahmenvertrag für die NSA. Über zwei Milliarden Dollar ist der Vertrag wert. Mit anderen Worten: die NSA prüft hier über Bande den Trojaner des BKA.
Sie bauen gerade eine Fachgruppe auf (haben wir ja gesehen, die verzweifelten Stellenausschreibungen). Na denn viel, äh, Glück!1!! (Danke, Timon)
After he was confronted with evidence obtained by the ICIJ/Guardian investigation, Muench changed his position. He told us: "You are absolutely right, apparently there is a Gamma Group International Ltd."He added: "So in effect I was wrong – sorry. However I did not say that Louthean Nelson was not associated with any Gamma company, only the one that I thought did not exist."
Update: Netzpolitik dazu.
Update: Heise dazu.
Asked if the publicity he’s gotten for such surveillance powers inspires mistrust in the people he meets, Muench says he’s given up on a social life for now. “If I meet a girl and she Googles my name, she’ll never call back,” he says.Es ist unsere Pflicht, dass das auch allen anderen Leuten so geht, die an Trojanern mitarbeiten. Ich möchte an dieser Stelle nochmal ausdrücklich den Machern von Buggedplanet.info für ihre Arbeit danken. Wer berufsmäßig die Privatsphäre anderer zerstört, hat aus meiner Sicht selber auch keine verdient.
Erstens hat ja keiner geglaubt, dass das BKA die technische Kompetenz hat, Trojaner zu bauen. Haben sie auch nicht. Dafür gibt es jetzt ein "Kompetenzzentrum Informationstechnische Überwachung" (CC ITÜ). Ich wäre ja lieber arbeitslos und würde vom Arbeitsamt mit Hartz IV Auflagen gegängelt als bei so einem Laden mitzuarbeiten. Die sollen sich alle mal schämen, die da arbeiten. Und dann über China meckern, so haben wir es gern!
Die zweite spannende Neuigkeit ist, dass das BSI eingeknickt ist. Das BSI, eine Ausgliederung des BND, hat es ja schon immer schwer, plötzlich als Behörde ernstgenommen zu werden, die für den Schutz der Bevölkerung vor digitaler Spionage zuständig ist. Gut, besonders beeindruckend waren ihre Leistungen auch nie. Das einzige, was man ihnen zu gute halten konnte, war dass sie sich geweigert haben, unserer Junta ihre Spionagewerkzeuge zu zertifizieren. Das war der ausdrückliche Wunsch der Möchtegerne-Unterdrücker von der CDU, aber das BSI hat immer argumentiert, dass das ihre Glaubwürdigkeit zerstören würde, wenn sie das täten. Jetzt gibt es eine Lösung:
Die Software zur Durchführung von Quellen-TKÜ wird durch ein BSI-zertifiziertes Prüflabor geprüft.Seht ihr? Ganz einfach! Das BSI zertifiziert jetzt nicht die Malware direkt, sondern sie zertifizieren ein Malware-Prüflabor! DAS ist natürlich was GANZ anderes, liebes BSI! DANN kann man ÜBERHAUPT NICHT davon sprechen, dass ihr eure Glaubwürdigkeit im Klo runtergespült habt, da ist ja noch eine Indirektion dazwischen!1!! Und Schwarz-Geld kann ruhig schlafen, weil sie wissen, dass das BSI über Bande ihre Diktatur-Technologie zertifiziert hat.
Update: Die Haupt-Lektion für mich wäre, nie wieder einer Prüfung zu trauen, wenn sie von einer BSI-zertifizierten Prüffirma kommt. Da muss man ja dann davon ausgehen, dass es einen Interessenskonflikt gibt, und die Hintertüren für staatliche Malware und Schnüffelmaßnahmen vor mir geheim halten würden. Wenn jemand eine Liste der zertifizierten Prüflabore findet, freue ich mich über eine Mail.
Update: Das hier sieht wie die Liste aus. Ich rechne also damit, dass der Trojaner dann von den Spezialexperten von T-Systems "geprüft" werden wird. Wir müssen uns also keine Sorgen machen.
Klar: Da geht man zu Adobe!
Zweitgrößter Posten ist 241.504 Euro an secunet für das Projekt "Biometriegestützte Grenzkontrolltechnik". Was das wohl war? Bei secunet besteht immerhin ein Restverdacht, dass die für das Geld auch was abgeliefert haben, daher danke ich denen mal noch nicht, bis sich dieser Verdacht entkräftet hat.
Wenn man mal über den Rest des Dokuments geht, findet man herausstechende Ausgaben bei der Bundesanstalt für den Digitalfunk der Behörden und Organisationen mit Sicherheitsaufgaben, die alleine 2008 151 Millionen an die EADS-Tochter Cassidian gezahlt haben, für "Lieferung und Dienstleistungen Systemtechnik". Und 2009 nochmal 211 Millionen, und 2010 nochmal 319 Millionen. Von dem PDF solltet ihr überhaupt mal ein Backup ziehen. Da ist weiter unten eine fette Liste, wann sie wieviel Geld wofür an Digitask überwiesen haben. Und was für Schüffelequipment und Jammer sie sich so gekauft haben und so.
Customs confiscated the valuable fiddle because she could not provide the documents for her 1986 purchase, the Yomiuri said.Und DIE repräsentieren unser Land!Update: Der Schweizer Zoll verhält sich da ähnlich übel (das hat sich aber inzwischen gebessert und die Schweiz hat sich entschuldigt).
Update: Und die Amis spielen natürlich nochmal in einer anderen Liga.
Demnach ging allein bei den Zoll- und Finanzbehörden in den Jahren 2005 bis 2011 das Gros der jährlichen Ausgaben für Ermittlungen an Digitask.Alleine 2008 haben sie 2,8 von 3 Millionen Euro Budget gekriegt.
Die Spezial-Software "Löschung von Kernbereichsdaten" ließ sich Digitask mit 110.670 Euro bezahlen, immerhin nicht auf Mietbasis.Und die Behörden haben das bezahlt! Unglaublich! Sind halt nicht ihre Moneten, die sie da verplempern, sondern die des Steuerzahlers.
Das Problem sei seit Jahren bekannt, denn im Rechenzentrum sorgen zahlreiche Geräte für starke Wärme.Welche Geräte das wohl sind? Die Trojaner-Kontrollstation? Die Abhörinfrastruktur? Die Schnüffelhardware? Ich finde es egal, was das ist. Wenn es den Notruf gefährdet, wird es halt ausgeschaltet. Ganz einfach.
Update: Oh und habt ihr gelesen, warum das Problem noch nicht gelöst ist? Weil sie das Haus-Management outgesourced haben! Ein weiterer Vorzeigesieg für die Privatisierung.
Update: Die BIM gehört zu 100% dem Land Berlin.
Wir wollen dem Verfassungsschutz NRW die sog. Quellen- Telekommunikationsüberwachung (TKÜ) ermöglichen und die gesetzliche Grundlage dafür schaffen.Dann noch ein paar Wieselworte natürlich, wir haben es ja mit der SPD zu tun. Oh und die Grünen haben mal wieder gezeigt, dass sie doch nur die Öko-CDU sind.
Update: Falls die Grünen das Dokument entfernen, gibt es noch einen Mirror bei netzpolitik.org. (Danke, Peter)
Technische Unterstützung bei der Bekämpfung der Computer-KriminalitätMan sieht also recht deutlich, dass das BKA mal wieder nicht gewillt ist, sich an das geltende Recht zu halten. Sie wollen Trojaner nicht nur gegen Terroristen und Mörder einsetzen, sondern gegen ganz normale "Computer-Kriminalität".
Das Klugscheißen der üblichen Verdächtigen hat übrigens funktioniert. Dem BKA ist aufgefallen, dass es noch andere Betriebssysteme als Windows gibt, und die möchten sie jetzt auch trojanisieren. Habt ihr ja toll gemacht, liebe Klugscheißer.
Ein Highlight jagt das Nächste in der Ausschreibung. So fordern sie
Fundierte Kenntnisse von Netzwerktechnologien, -topologien und -protokollen (vor allem im Internet verwendete Protokolle)Äh, … Kenntnisse von Topologien? Wie meinen?
Erfahrung in der Planung und Leitung von SoftwareprojektenDas war ja auch höchste Zeit, dass die sich für ihre Rohrkrepiererprojekte zumindest mal einen fähigen Projektmanager einstellen.
Gute Kenntnisse im Bereich der Sicherheit von Computer-Netzwerken (Netzwerksicherheit)Bisschen spät, nicht?
Kenntnisse in der Programmierung sicherer SoftwareBisschen sehr spät, nicht?
Aber bei all den bedrückenden Details gibt es auch einen Hoffnungsschimmer. Ein klares Indiz, dass auch die nächsten Trojanergenerationen ein Totaler Megareinfall werden, dass da in den nächsten Jahrzehnten nicht mit funktionsfähigen Trojanern zu rechnen ist:
Gute Kenntnisse von Software-Modellierungsstandards und Tool-Umgebungen (z.B. UML)BWAHAHAHAHA, SIE HABEN UML GESAGT! HAHAHAHAHAHAHA
Nun, heute habe ich ein Leckerli für euch. Mir hat ein Mäuschen das hier zugespielt:
Es handelt sich um einen Mitschnitt eines Treffens in der Europäischen Kommission. Vorsicht: das ist sehr lang.
Die Arbeitsgruppe, die sich da trifft, nennt sich "Koalition der Willigen" (nein, wirklich).
Bei dem Treffen verhandeln die, wie sie am besten anstößiges Material aus dem Internet entfernen wollen.
Am Anfang, so ca ab Minute 8, geht es mit einer Nintendo-Frau los, die vorschlägt, eine Whiteliste aller guten europäischen Webseiten zu machen. Bei ca. 1:00:10 fängt dann ein Polizeivertreter (?) an, von Microsoft zu fordern, sie sollen doch mal per Windows Update einen Trojaner verteilen, der auf den Rechnern nach "kriminellen Inhalten" sucht.
Ich habe selber gerade nicht die Zeit, mir das in Ruhe anzuhören, und 2 Stunden sind auch zu lange, aber als Originalquelle ist das sicher wichtig, dass das im Netz steht. Vielen Dank an das Mäuschen, das mir das geschickt hat (übrigens mit dem Hinweis, dass diese Veranstaltungen prinzipiell für die Öffentlichkeit besuchbar sind, nur macht das halt im Allgemeinen keiner).
Ich würde mir jetzt wünschen, dass da jemand die Highlights rausdestilliert und daraus ein 3-Minuten-Youtube-Video macht, vielleicht mit ein bisschen Illustration drumherum.
Operation Lydd
As Operations Hinton and Iden wound down, Scotland Yard announced that it was launching a criminal investigation into two secret rendition operations mounted by MI6 in 2004 in co-operation with Muammar Gaddafi's intelligence services. Two leading dissidents, Sami al-Saadi and Abdul Hakim Belhaj, were abducted and flown to Tripoli, where they spent six years in jail and were, they say, frequently tortured.Wait, what?! Das ist ja hart genug, wenn die Briten den Schoßhund der Amis geben und ihre Bürger nach Guantanamo ausliefern, aber … an Libyen?!? Ausgerechnet Libyen! Die waren doch seit der Lockerbie-Geschichte Staatsfeind!Und ratet mal, wie diese Geschichte überhaupt ans Licht gekommen ist! Kommt ihr NIE drauf!
The operations came to light by chance when an investigator from the NGO Human Rights Watch discovered a cache of secret documents in a Libyan office building abandoned during the revolution.Ob das das Gebäude war, indem auch die deutschen Trojaner-Angebote waren? Oh Mann.
Ich würde mich zurücklehnen und mich am Elend dieser Leute ergötzen, aber leider wird das ja mit unseren Steuergeldern bezahlt. Das versauert mir den Spaß an der Sache.
Na herzlichen Glückwunsch, Herr Ziercke. So tief ist noch keine andere deutsche Behörde gefallen, dass man aus Angst, sich einen Trojaner zu holen, lieber eine bestehende Botnet-Infektion in Kauf nimmt, als auf eine Seite von euch zu klicken.
Können wir jetzt endlich diesen Ziercke und seine Mannen rausschmeißen, bitte? Was steht dem eigentlich in den letzten Jahren im Wege? Der Mann ist doch eine Katastrophe von geradezu biblischen Ausmaßen! Was muß der noch verkacken, damit er endlich rausfliegt?
Und dass dem BSI auch schon keiner mehr traut, das haben die ja schon länger mal verdient. Nicht wegen ihrer Arbeit, sondern weil das eine BND-Ausgliederung ist und vorher deren "Abteilung für Chiffrierwesen" war. Das war schon immer nicht nachvollziehbar, dass ausgerechnet die anderer-Leute-Krypto-Entschlüsseln-Leute plötzlich für die Gute Sache zuständig sein sollten. Da hätte man auch gleich einen Knasti zum BKA-Chef machen können. Wobei das vermutlich auch nicht schlimmer geworden wäre als dieser unsägliche Ziercke und seine Kinderporno-Roadshow. Sein klandestiner Stil ist schon immer einer Polizeibehörde unwürdig gewesen, und jetzt kriegt er die Rechnung dafür.
Man sieht also sehr gut, dass das nur Oppositions-Theater war. An der Regierung sind die genau die selbe Krätze wie die CDU und die FDP.
Wer sich also gefragt hat, wie sie in Zukunft die Trojaner auf die PCs kriegen…
Dem Linkspartei-Abgeordneten Jan Korte reicht das nicht: "Wenn die Bundesregierung zum Einsatz der vom CCC analysierten Software in den Ländern nichts weiter weiß, als bisher in der Presse stand, was hat sie dann die ganze Zeit getan?"Die haben nicht mal angefangen, irgendwelche Aufklärung auch nur zu versuchen. Oh und ihre Ausrede, wieso der Quellcode aus ihrer Sicht auch gar nicht nötig war:
Deswegen hätten die Bundesbehörden "in jedem Einzellfall Anwendungstests" durchgeführt.Da krieg ich vom Lesen schon Kopfschmerzen! Mir fällt gar keine Steigerung ein, wie die sich noch inkompetenter geben könnten. Oh und die CCC-Demonstration, als wir den Trojaner mit unserem GUI-Tool fernsteuerten, und sogar einen Fake-Trojaner bauten, der dem BKA-GUI-Tool falsche Daten unterschieben kann, die … leugnen sie einfach!
Die Bundesregierung bezeichnete die Möglichkeit, dass der Datenstrom abgehört werden könne, nun als "rein theoretische" Möglichkeit, für die Fachwissen und Zeit nötig seien, die eine überwachte Person wohl eher nicht habe.Ich habe das zufällig aus der Nähe gesehen. Der Code, um einen vorbeirauschenden Kontrollkanal zu entschlüsseln, passt in eine traditionelle Email-Signature:
my $key = "\x49\x03\x93\x08\x19\x94\x96\x94\x28\x93\x83\x04\x68\x28\xa8\xf5".Der Code für den kompletten Fake-Trojaner, der falsche Screenshots zurückliefert, waren unter 100 Zeilen Perl.
"\x0a\xb9\x94\x02\x45\x81\x93\x1f\xbc\xd7\xf3\xad\x93\xf5\x32\x93";
my $cipher = Crypt::Rijndael->new( $key, Crypt::Rijndael::MODE_ECB() );
my $plain = $ciper->decrypt($daten);
Und hier ist, was ihnen so peinlich ist, dass sie es gleich ganz geheimhalten:
Das Informationsinteresse des Parlaments müsse hinter den berechtigten Geheimhaltungsinteressen zurücktreten, heißt es in der Antwort, ansonsten könne ein wirksamer Schutz vor Terrorismus erheblich gefährdet werden.Alles geheim!1!! Ich möchte mich daher zusammenfassend der zitierten Einschätzung des CCC anschließen:Können Bundesbehörden auch Mobiltelefone anzapfen? Auch die Antwort auf diese Frage der Linkspartei ist geheim, "VS - Nur für den Dienstgebrauch". Die Fähigkeiten und Methoden der Behörden sollen im Dunkeln bleiben, sonst könnten staatliche und nichtstaatliche Akteure Rückschlüsse daraus ziehen. Haben Internetprovider bei der Infektion der Zielrechner geholfen? "VS - Nur für den Dienstgebrauch".
CCC-Sprecher Engling will das nicht gelten lassen. "Wenn die Fragen konkret werden, verweist die Regierung auf vorgebliche Geheimhaltungsinteressen und verwehrt damit der Öffentlichkeit und dem Parlament eine wirksame Kontrolle der Polizeibehörden und Geheimdienste." Er vermutet nicht nur die Sicherheitsinteressen des Staates dahinter: "Nur ungern will man zugeben, dass man sich ein teures und doch so amateurhaftes Programm hat andrehen lassen."Das komplette PDF gibt es u.a. hier.
Aber egal, eine lustige Sache daran fiel sogar dem ehemaligen Nachrichtenmagazin auf, nämlich dass die als Einfallstor Itunes verwenden. Nein, werdet ihr jetzt vielleicht sagen, nicht Itunes! Nicht Apple!!1! Apple-Software ist doch sicher!!
Apple hat das dann auch tatsächlich mal gefixt. Und jetzt guckt mal, wie lange sie darauf schon rumsaßen:
CVE-2008-3434 : Francisco Amato of Infobyte Security ResearchJa, voll sicher, diese Apple-Software.
Die Kernaussage war: das BMI hat ja weder technisch noch juristisch die Kompetenz, so einen Trojaner zu machen, zu beurteilen oder auch nur eine Spec zu schreiben. Da sei "die Community gefragt". Oh und wir haben ja eine sehr gut funktionierende Demokratie, weil ja die gemachten Fehler vom CCC augedeckt wurden.
Da braucht man kein Brechmittel mehr. Schwarz-Geld, denn sie wissen nicht, was sie tun!
Innenminister Reinhold Gall (SPD) hat im Landtag den Einsatz von Trojaner-Software durch Polizei und Verfassungsschutz gegen Kritik verteidigt.Schlimm genug, ich weiß, aber schaut mal, was für ein unglaublich bescheuertes Argument er bringt. Das ist so unsagbar dämlich, dass man den eigentlich auch direkt in die geschlossene Abteilung einweisen könnte. Mir schmerzt die Stirn alleine vom Zitieren!
Früher hätten Terroristen zum Beispiel per Brief einen Selbstmordanschlag angekündigt. Diese habe man beschlagnahmen können. «Was machen wir, wenn solche Personen auf Facebook posten?», fragte Gall.Ach du meine Güte, wo haben die DEN denn her?! Früher habt ihr also Bekennerbriefe beschlagnahmt, ja? Nachdem sie bei euch eingetroffen sind? Denn so funktionieren Ankündigungen ja. Na das ist ja eine Topp-Polizeiarbeit, Herr Wachtmeister! Oh und heute, wo die Leute ihre Taten auf Facebook ankündigen (!?!?), da braucht man Trojaner, um sie entschlüsseln zu können? AU DIE SCHMERZEN!Nein, Herr Gall, das sind keine verschlüsselten Selbstmordanschlagsankündigungen auf Facebook, die haben nur alle in der Schule keine Rechtschreibung gelernt, weil Spezialisten wie Sie den Schulen das Geld wegnehmen, um damit sinnlosen Müll "für die Sicherheit" anzuschaffen.
Update: Das geht anscheinend auf eine dpa-Meldung zurück, die kaum jemand übernommen hat. Hier ist die Badische Zeitung.
Oh und um das nochmal so richtig reinzureiben, dass mit Trojanern erhobene "Beweise" generell für die Tonne und vor Gericht nicht das Papier wert sind, auf dem die Internetausdrucker sie ausgedruckt haben, haben wir auch ein kleines Perl-Skript gebaut, das sich der Fernwartungssoftware gegenüber als Trojaner ausgibt und die rickrolled. Aus Lizenzgründen haben wir dann auf ein komplettes Rickrolling verzichtet und dafür auch noch eine schöne Schäuble-Todeskralle und ein paar Bilder von R2D2 und C3PO dazugetan.
Meine Hoffnung war ja, dass das BKA einfach zugibt, dass das ihr Trojaner ist, damit wir jetzt nicht noch öffentlich darauf hinweisen müssen, dass die Beweislast für die gegenteilige Aussage bei ihnen liegt, und sie sich auch noch stilfrei zum schlechten Verlierer machen müssen, weil sie nicht zu ihren Fehlern stehen und zum Geständnis gezwungen werden müssen. Letztlich hatte ja der Spezialexperte Ziercke schon alle wichtigen Punkte zugegeben, das ist ja echt nur noch eine Formalie hier gerade. Also los, BKA, gebt euch einen Ruck. Ihr seht schon schlecht genug aus. Brust raus, gerader Rücken, Blick nach vorne, und steht zu euren Taten.
Update: Ich möchte nochmal ausdrücklich darauf hinweisen, dass der CCC auch die IDA-Datenbanken veröffentlicht hat. Wer also auch mal reversen will, hat es damit jetzt deutlich einfacher, wenn er die als Basis nimmt.
Der Vorwurf des CCC, die Sicherheitsbehörden produzierten bei legal angeordneten Maßnahmen ein Sicherheitsrisiko für die Betroffenen stimmt jedenfalls für meine Behörden nicht. Die Software der Sicherheitsbehörden des Bundesministeriums des Innern ist verfassungsgemäß zum Einsatz gekommen.Es ist klar, dass er hier denselben Spin versucht, mit dem schon der Herrmann baden gegangen ist, nämlich dass nicht wichtig ist, was die Software kann, sondern dass sie sie nie missbraucht haben, und dafür sollen wir bitteschön ihr Indianerehrenwort hinnehmen, weil Polizisten (wie jeder weiß) grundsätzlich vertrauenswürdig sind.
Aber das mal beiseite gelassen gibt er hier klar zu Protokoll, dass die BKA-Version des Trojaners keine über das Internet von Dritten zu benutzende Nachladefunktion hat.
Lieber Herr Friedrich, ich mache Ihnen mal hier so öffentlich jetzt ein Angebot. Ich glaube ihnen das jetzt. Handschlag. Keine Fragen, kein Gewiesel.
Aber wenn wir zufällig nächste Woche den BKA-Trojaner in die Hände kriegen sollten, und dann beim Reverse Engineering herauskommt, dass der auch eine Nachladefunktion hat, und unbefugte Dritte (z.B. wir mit einer angepassten Version von unserem GUI) dort Binaries zur Ausführung bringen können, dann treten Sie sofort zurück. Keine Fragen, kein Gewiesel, sofort Rücktritt. Deal?
Also ich spreche natürlich rein hypothetisch jetzt, ist klar.
Gut, so gesehen können Sie auch jetzt direkt zurücktreten, denn das hat ja der Herr Ziercke bereits hinter verschlossenen Türen zugegeben. Aber Deal ist Deal, ich glaube Ihnen das. Bis nächste Woche. Hypothetisch.
Oder Sie geben uns einfach den BKA-Trojaner, und wir gucken uns den mal an. Es ist ja nicht so, als hätten Sie etwas zu verbergen, nicht wahr?
"Die Fachleute vom Landeskriminalamt sagen, die von ihnen eingesetzte Software konnte genau nur das, was der Richter angeordnet hat", sagte Herrmann dem Münchner Merkur und wies damit erneut die Erkenntnisse des CCC als falsch zurück.Mir ist ja völlig unklar, wie manche Leute es schaffen, die Realität so vollständig auszublenden. Ich meine, wir haben das im Fernsehen gezeigt, wie wir mit seinem Trojaner ein calc.exe starten auf dem Zielrechner. Wie kann der jetzt noch leugnen, dass der Trojaner keine Malware-Nachladefunktion hat?! Hallo, jemand zuhause?
Vielleicht ist das ja bei der CSU Voraussetzung für die Mitgliedschaft. Der Guttenberg hat ja auch erstmal versucht, die Realität einfach nicht zu glauben.
Naja und wenn man schon am Leugnen der Realität ist, dann kann man natürlich zu den lustigsten Schlussfolgerungen aus seiner persönlichen Nicht-Realität kommen. Beim Herrn Herrmann z.B. das hier:
"Der Chaos Computer Club heißt so, weil er genau dieses Selbstverständnis hat", sagte Herrmann der Münchener Boulevardzeitung und wies jegliche Abstimmung mit dem CCC in der Frage zurück. "Das kann kein Partner sein für eine Behörde, die für Recht und Sicherheit steht."Das ist gleich auf mehreren Ebenen ein echter Kracher. Wie kommt der denn darauf, dass wir seinem Polizeistaat noch helfen wollen würden?! Grotesk.
Naja, wie das so ist. Die Altersdemenz-Diagnose wird häufig viel zu spät gestellt.
Update: Das Video findet ihr unter dem schönen Namen haha.kaputte.li :-)
Obwohl die Durchsuchungsaktion bereits am Mittwoch beendet war, gab es gestern noch immer keine Auskunft von den Bundesbehörden: „Keine Stellungnahme“, sagte der Pressesprecher des Generalbundesanwalts, Marcus Köhler. „Kein Kommentar“ hieß es auch aus der Pressestelle des Bundeskriminalamts. Und der Pressesprecher der Marburger Polizei, Martin Ahlich, verweist immer wieder nur auf den Generalstaatsanwalt.Bizarre Geschichte. Ich bin ja gespannt, ob sie da bald wieder ein paar Terroristen aus dem Hut zaubern, die sie natürlich nur mit Trojanereinsatz gefunden haben, und dass sie jetzt so übereilt zugreifen mussten, das war bestimmt Schuld des CCC!1!!
vielmehr verfügt das Land über Sicherheitsbehörden, die sehr kontrolliert, sehr sorgfältig, sehr behutsam mit dem sensiblen Instrument der Quellen-TKÜ umgehen. So soll es auch sein.mit dem Video derselben Rede (ab 5:00), wo er folgendes sagt:Es wäre schlimm, wenn unser Land von Piraten und Chaoten aus dem Chaos Computer Club regiert würde.
Wir haben Sicherheitsbeamte, die Recht und Gesetz verpflichtet sind.
Das Land wird von Sicherheitsbehörden geleitet, die sehr behutsam mit dem sensiblen Instrument der Quellen-TKÜ umgeht, und so soll es auch sein.Wie erklärt sich diese Diskrepanz? Sind die Stenographen des Bundestags schwerhörig? Nein, wie sich herausstellt, legen die ihre Transkripte jeweils dem Büro des jeweiligen Redners vor, und der kann dann darin nochmal die peinlichen Teils geradebiegen.Es wäre schlimm, wenn unser Land am Schluss regiert werden würde von Piraten und Chaoten aus dem Computerclub.
Es wird regiert von Sicherheitsbeamten, die dem Recht und dem Gesetz verpflichtet sind.
Für mich persönlich ist damit klar, dass der Wert dieser Transkripte ähnlich der Beweiskraft von mit Trojanern erlangten "Beweisen" gegen Null geht.
Update: Vielleicht wird angesichts dieses Vergleichs auch klar, wieso ich grundsätzlich keinen Protokollen trauen kann, die vom Verdächtigen selber erstellt werden. Wenn der Bundestag schon nicht sauber protokollieren kann, was der Uhl in einer live ausgestrahlten Debatte gesagt hat, wieso sollten wir dann dem BKA trauen, sich selbst zu protokollieren?
Update: Gleich am Anfang ist noch eine sehr schöne Stelle (im Video am 1:20):
Die Computer der Kriminellen werden immer ausgetüftelter, sie werden immer raffinierter, der Staat muss schauen, wie er diesen Verbrechen im Netz Herr wird.
Und im Stenoprotokoll geht die Stelle so:
Die Computerprogramme der Kriminellen werden immer ausgetüftelter, sie werden immer raffinierter, und der Staat muss schauen, wie er dieser Verbrecher im Netz Herr wird.
Update: Uhl räumt auf Abgeordnetenwatch den "sprachlichen Missgriff" ein.
Update: Falls jemand nicht auf die Ecke links oben geguckt hat, als der Uhl den Spruch mit den Piraten und Chaoten vom Computerclub raushaute: da fazialpalmierte jemand ausgiebig.
Update: Falls noch jemand Fragen hat: Yes, Prime Minister erklärt das hervorragend.
The purpose of minutes is not to record events, it is to protect people.
Also was schreibt er denn da so.
Das BKA hat keinen Verfassungsbruch begangen!Das wird sich zeigen.
In unsere OLD- und Quellen-TKÜ-Software war zu keinem Zeitpunkt eine rechtswidrige Hintertür zum Aufspielen von Ausspähprogrammen eingebaut.Das klingt gut, leider wird es noch im selben Dokument auf Seite 7 der Lüge überführt:
Update selbst wird mit der Updatefunktionalität der Digitask-Aufzeichnungseinheit durchgeführt (Updates werden protokolliert)Das mit dem Protokoll klingt gut, aber leider ist ein Protokoll auf Seiten des Trojaners wertlos, weil es von Dritten manipuliert werden kann, und ein Protokoll auf Seiten des BKA ist auch wertlos, weil über die Schnittstelle auch von Dritten weitere Malware hochgeladen worden sein kann, ohne dass das überhaupt beim BKA vorbeikommt.
Es gibt keinen Zugriff von Dritten auf die Software des BKA.Da bin gespannt auf Ihre Beweisführung, Herr Ziercke!
Die Planung, Durchführung und Nachbereitung von Quellen-TKÜ und Online-Durchsuchung folgen einem detaillierten Phasenkonzept, einschließlich ausdifferenzierter Prüf- und Kontrollmechanismen.Bei dem Satz muss jemand den Inhalt mitzuübertragen vergessen haben. Hier ist jedenfalls keiner angekommen. Auch die ganze Seite 4 ist reiner "Beweis durch Behauptung"-Kinderkram. Damit können sie vielleicht jemanden wie den Uhl überzeugen, aber sonst niemanden. Kein Wunder, dass sie das hinter verschlossenen Türen vor ausgesuchtem Publikum gehalten haben. Sonst wären sie ja aus dem Saal gelacht worden damit.
Dann machen sie noch die Ansage, dass sie in Amtshilfe für Rheinland-Pfalz und Hessen Trojaner verteilt haben. Sehr schön!
Desweiteren verweisen sie auf ihre ISO 9000ff-Zertifizierung (HAHAHAHA, Snake Oil zum Quadrat, das lässt ja tief blicken, dass sie DAS als Beleg für ihre Integrität nehmen!) und ein Phasenkonzept. Wer schonmal in einer WG gewohnt hat, mit Konzept zum gemeinschaftlichen Geschirrspülen und Müllrunterbringen, der wird das ähnlich erheiternd finden wie ich jetzt. Sie zitieren da ab Seite 6 das Phasenmodell. Ich kann das nicht mal pasten hier, ich hab vom Fremdschämen Rheuma gekriegt und kann die Maus nicht mehr schieben. AU DIE SCHMERZEN! Das einzige, was man da mitnehmen kann, ist dass es einen Amtsleitungsvorbehalt gibt. D.h. die Amtsleitung steht jetzt persönlich mit einem Bein im Knast und kann das nicht mehr auf inkompetente Angestellte abwälzen.
Schließlich kommen dann auch noch die Ausflüchte zu dem Proxy, bzw. kommen sie gerade nicht. Da steht nur:
zur Verschleierung der Q-TKÜ gegenüber dem Tatverdächtigen wird die gesamte Kommunikation der Software über mindestens zwei Proxy Server geleitetEin Schelm, wer böses dabei denkt.
auf diesen Proxy Servern werden keinerlei Daten abgelegt, sondern lediglich eine Durchleitung - über nicht-deutsche Server – vorgenommenAch sooo! Das ist nur eine Durchleitung! Na dann kann da ja nichts passieren. Immerhin: Sie geben zu, dass sie durch das Ausland routen. Das macht aber nichts (Seite 11), weil:
Richtig ist vielmehr, das die Daten über einen ausländischen Server lediglich verschlüsselt weitergeleitet und nicht auf dem ausländischen System gespeichert werden.Ich bewundere deren Chuzpe, ihre Pfusch-Verschleierung als "Verschlüsselung" zu bezeichnen. Oh und die scheinen noch nicht verstanden zu haben, dass man mit einem Proxy auch durchfließende Daten manipulieren kann.
Ein schöner Lacher ist noch die "Beendigungsphase":
No shit, Sherlock! Mit forensischen Methoden durch Dritte analysiert, ja? *schenkelklopf*
- Überwachungssoftware wird möglichst im Rahmen operativer Maßnahmen physikalisch gelöscht
- sofern mangels Zugriff auf das überwachte System physikalisches Löschen nicht realisierbar, wird auf die eingebaute Löschfunktion zurückgegriffen
- bei letztgenannter Alternative (sogen. Fernlöschung) besteht ein Restrisiko, dass die Software oder Teile davon zu einem späteren Zeitpunkt mit forensischen Methoden durch Dritte analysiert werden
Die nächste Frage, die sich stellt, ist was es mit der "revisionssicheren Dokumentation" zu tun hat, die gestern alle CDU-Tontauben nachgebetet haben.
Das ist nicht gut, weil "alle gewonnenen Daten" auch den Kernbereich der privaten Lebensgestaltung betrifft und nach Vorgabe des Bundesverfassungsgerichts solche Daten sofort gelöscht werden müssen. Und überhaupt stellt sich natürlich die Frage, was auf ein Protokoll zu geben ist, dass im Fall eines Manipulationsvorwurfes vom Angeklagten selber geführt wurde. Ich sage: gar nichts. Da müsste man schon besondere Maßnahmen ergreifen, um eine Manipulation besonders schwer zu machen, z.B. per Read-Only-Ausleitung der Logdaten in einen physisch separaten Logging-Bereich, bei dem nur hinten angefügt und nichts gelöscht oder überschrieben werden kann nachträglich. Was das BKA aber darunter versteht:
- Sämtliche durchgeführten Aktionen (Updates, Modulaktivierungen und -deaktivierungen) werden protokolliert.
- Des Weiteren sind dort alle gewonnenen Daten (Gespräche, Chatnachrichten, übertragene Dateien) auswertbar vorhanden.
Die operativen Worte hier sind "aus der Bedienoberfläche heraus". Wenn jemand weiß, wie man es außerhalb der Bedienoberfläche manipuliert, ist das Scheunentor offensichtlich offen. Daher dementiert das BKA auch gleich so doll sie können (ein lauer Windhauch würde diese Argumentation wegwehen):
- Das systemtechnische Protokoll ist aus der Bedienoberfläche heraus nicht manipulierbar.
ACH, für das BKA soll die Unschuldsvermutung gelten, wenn sie mit thermonuklearen Trojanern herumhantieren? Aber umgekehrt dürfen unsere Behörden uns trojanisieren, selbst wenn wir nachweislich überhaupt nichts angestellt haben, unter der Maßgabe der Gefahrenabwehr? Im Übrigen ist das mit dem administrativen Zugang nicht glaubwürdig. Wenn das GUI ohne Admin-Zugang in die Datenbank schreiben kann, dann kann das auch der Benutzer des GUIs. Er muss sich nur die Zugangsdaten für die Datenbank aus dem GUI rauspopeln.
- Löschen von Protokolldaten wäre nur mit administrativem Zugang (nicht der Ermittlungsbeamte, nur der Techniker hat Zugang) auf die zugrundeliegende Datenbank und entsprechendem technischen Aufwand bei gleichzeitiger krimineller Energie möglich. Dafür gibt es keinem Fall auch nur die Spur eines Verdachts!
Und ob das BKA kriminelle Energie hat, das ist ja wohl eine Frage des Blickwinkels. Die wollen Trojaner bei den Bürgern installieren! Wenn die Russen das tun, nennt man das "Mafia" und "organisierte Kriminalität" und die Politik nimmt es als Anlass, um noch mehr Trojanereinsätze zu begründen!
Aber hey, ist ja noch nicht fertig. Hier ist noch ein echtes Highlight:
Falsch ist, dass das BKA eine Überwachungssoftware verwendet, die mit einer unsicheren symmetrischen Verschlüsselung arbeitet und nur in eine Kommunikationsrichtung verschlüsselt. Wir verschlüsseln in beide Richtungen!HAHAHAHAHAHAHA, das alleine ist ja schon so ein Brüller, ich lach mich kaputt. Wir verschlüsseln in beide Richtungen mit einem unsicheren symmetrischen Cipher!1!!
Richtig ist, dass ein gemeinsamer Schlüssel zwischen Software und Einsatzservern vergeben wird. Dies dient der Verschlüsselung und der Authentifizierung.OH DIE SCHMERZEN! Sie bestätigen also direkt, was sie im Absatz davor noch dementiert haben. Gut, mit einem symmetrischen Schlüssel kann man sich nicht authentisieren, das weiß schon jeder Informatik-Studienabbrecher, das meinen die bestimmt nicht ernst? Doch, meinen sie!
Der Kommunikationspartner kann sich ohne diesen Schlüssel nicht als gültiger Partner ausgeben.Liebes BKA. IHR LIEFERT DEN SCHLÜSSEL AUS. Der ist im Trojaner drin. Der ist nicht geheim. Und man kann mit ihm nichts authentisieren. Fragt doch mal eure Krypto-Kollegen vom BSI, die haben dem Vernehmen nach Reste von Krypto-Knowhow am Start. Wenn die nicht alle schon dem Herzinfarkt erlegen sind angesichts eurer haarsträubenden Äußerungen hier, dann werden sie euch zumindest bestätigen, wie tief euer Unwissen hier reicht. "Wir haben da auch Experten", dass ich nicht lache. Gut, helfen werden euch die BSIler nicht, das haben sie ja schon angesagt. Aber euch ist ja eh nicht zu helfen.
Weiter im Text. Es fehlt ja noch der Teil, wo sie den CCC als die Bösen hinstellen. Hier ist er:
Seit der Veröffentlichung der Signatur der Verschlüsselung durch den CCC könnten noch laufende Maßnahmen entdeckt werden. Das BKA hat daher in einem aktuellen Verfahren der organisierten Rauschgiftkriminalität die Maßnahme sofort abgebrochen und dies der Staatsanwaltschaft und dem anordnenden Gericht mitgeteilt. Dies ist auch den Bundesländern mitgeteilt worden.ORGANISIERTE RAUSCHGIFTKRIMINALITÄT!!1! Mit anderen Worten: noch eine Online-Apotheke.
Oh, eine Sache möchte ich schon noch ansprechen:
Die Quellen-TKÜ-Software ist auf das Zielsystem und die dort installierte Skypeversion ausgerichtet. Bei einem Skypeupdate muss daher auch die Quellen-TKÜ-Software angepasst werden, da ansonsten die Kommunikation nicht mehr aufgezeichnet wird.Das klingt für mich nach Unsinn. Ich behaupte, dass das auch ohne Updates geht.
Das BKA behauptet weiterhin, das Verfassungsgericht habe nicht gesagt, ein Mehr an Funktionalität sei generell verboten, sondern nur dann,
wenn – und darauf kommt es dem BVerfG an - die durch eine Nachladefunktion eingesetzte Software zum Ausspähen von weiteren Daten genutzt würde.Hier ist, was das Verfassungsgericht tatsächlich urteilte:
Art. 10 Abs. 1 GG ist hingegen der alleinige grundrechtliche Maßstab für die Beurteilung einer Ermächtigung zu einer „Quellen-Telekommunikationsüberwachung“, wenn sich die Überwachung ausschließlich auf Daten aus einem laufenden Telekommunikationsvorgang beschränkt. Dies muss durch technische Vorkehrungen und rechtliche Vorgaben sichergestellt sein.Es geht also nicht darum, ob die nachgeladene Software tatsächlich benutzt wird, um mehr abzuhören, sondern es müssen technische und rechtliche Vorkehrungen da sein, um zu verhindern, dass das geschehen kann. Das ist hier nicht der Fall, daher handelt es sich um eine klare Verletzung des Urteils.
Gegen eine bloße Aktualisierungsfunktion kann das BVerfG keine Einwände haben, weil sonst die Maßnahme an sich gefährdet wäre.Den Typen, der diese Argumentation gemacht hat, würde ich gerne hinter Gittern sehen. "Ich MUSSTE den Laden ausrauben, Euer Ehren, denn mir ist ja Fahrradfahren erlaubt, und wenn ich denen nicht ein Fahrrad gestohlen hätte, dann wäre ja die Fahrradfahr-Maßnahme an sich gefährdet gewesen!1!!" Dass solche Leute überhaupt frei rum laufen können, irritiert mich maßlos, aber dass sie auch noch für Bundesbehörden der Exekutive Statements formulieren, das schlägt dem Fass den Boden aus. Wenn ihr es unter den Vorgaben nicht hinkriegt, DANN KÖNNT IHR ES HALT NICHT MACHEN. Ganz einfach!
Immerhin sehen sie auch selber ein, dass ihre Beweise da wertlos sind, und weil sie keine tatsächliche Überprüfung machen können, …
Das BKA hat am 11./12.10.2011 alle Protokolle bisheriger Quellen-TKÜ-Maßnahmen mit der DigiTask-Aufzeichnungseinheit unter Beteiligung der Beauftragten für den Datenschutz sowie für die IT-Sicherheit im BKA auf Plausibilität kontrolliert hat.Äh, auf … Plausibilität?! So Pi mal Daumen oder wie? Geschaut, dass keine Logeinträge von Freitag nachmittag kommen, weil da die Beamten auf dem Heimweg sind? Oder wie habe ich mir das vorzustellen? Wenig überraschend haben sie nichts gefunden:
Im Ergebnis konnten keine Hinweise festgestellt werden, dass im BKA eine Software eingesetzt wird, die über die rechtlich zulässigen Grenzen der Quellen-TKÜ hinausgeht und dass im Rahmen der bisher erfolgreich durchgeführten Quellen-TKÜ-Maßnahmen unzulässige Daten ausgeleitet werden.Natürlich nicht. Anhand einer "Plausibilitätsprüfung" der Logdateien kann man sowas ja auch nicht beurteilen.
Auf Seite 11 gibt es dann noch die Ausrede, wieso der Proxy in den USA steht. Achtung: fest sitzen bei der Lektüre:
Der Grund für diese Verschleierung ist kriminalistischer Natur. Skype selbst nimmt beim Start automatisch Kontakt mit einem Server in den USA auf. Für den versierten User sollte durch die Quellen-TKÜ- Software kein anderer Eindruck entstehen.m(
Halt, einen hab ich noch. Wie das BKA prüft. Ihr sitzt hoffentlich weiterhin fest:
Das BKA testet die bestellte Software mit Hilfe eines sogen. Positivtests, der der Funktionalitäten der Software und die Reaktion der vom Zielsystem eingesetzten Sicherheitssoftware (Virenscanner, Firewall) prüft. Die Maßnahme wird als einsatzfähig betrachtet, wenn die bestellten Funktionalitäten vorhanden sind, und die Sicherheitssoftware keine Warnungen produziert.Selbstverständlich sind so keinerlei Aussagen über eventuell zusätzlich vorhandene Funktionalität treffbar.
Update: Oh und natürlich ist der Paragraph mit den abgebrochenen Einsätzen auch gleichzeitig das Eingeständnis, dass ihre angeblich ganz andere Version des Trojaners das selbe schlechte Protokoll einsetzt und damit so verschieden nicht sein kann.
Update: Weil ich jetzt mehrfach darum gebeten wurde, hier nochmal explizit die letzte Zeile aus dem PDF:
Glauben Sie mir, meine Mitarbeiter verstehen das nicht!
Daran zweifelten wir auch keine Sekunde, Herr Ziercke!
Theoretisch sind die Aussagekraft von Quellcode und Maschinencode gleich groß, in der Praxis kann man mit Quellcode im Allgemeinen viel schneller und mit viel weniger Spezialwissen Aussagen treffen, wenn man annehmen kann, dass der Autor der Zeilen nichts vor einem verbergen wollte. Das wäre ja bei einer Eigenproduktion des BKA wahrscheinlich der Fall, und womöglich würde man es auch von einem extern eingekauften Trojaner annehmen, wie ich die Behörden so einschätze.
Update: Weil da jetzt mehrere Mails fragten: wie ich schon schrieb geht man bei einer Quellcode-Analyse davon aus, dass der Autor keine Arglist verfolgt. Ansonsten ist sie nicht per se weniger aufwendig als eine Binärcodeanalyse. Insbesondere kompiliert man dann auch selber oder glaubt dem Zulieferer, dass das EXE-File und der Quellcode zusammengehören. Wenn man Grund für die Annahme von Arglist hat, wird das alles Größenordnungen komplizierter.
Und legt gleich mit dreisten Lügen los, wie dass es nur um Terrorismus und organisierte Kriminalität ginge, nicht um Allerweltskriminalität (wie eine Online-Apotheke oder gestohlene Kinderkleidung, ja?). Wi-derlich.
"Wo Quellen-TKÜ dransteht, darf keine Online-Durchsuchung drinstehen, meine Damen und Herren!"
Immerhin gibt es ordentlich schlechtgelaunte Zwischenrufe.
"… ist es auch nicht möglich, Schadmodule nachzuladen, weil das bemerkt werden würde."
"Der Trojaner, den der CCC betrachtet hat, ist ja drei Jahre alt. Und drei Jahre sind in der IT ja eine lange Zeit." Schade nur, dass das ehemalige Nachrichtenmagazin gerade einen Trojaner von 2010 covert. Hups.
Und jetzt fordert er auch noch die Unschuldsvermutung für das BKA. "Das sind Unterstellungen, die durch nichts belegt sind. Das sind Vermutungen, die durch nichts belegt sind." Ja, so gut wie keine Belege, außer vielleicht die CCC-Analyse. Aber ansonsten nichts, also so gut wie. Fast gar nichts. Gut, die Antivirenhersteller haben die CCC-Analyse bestätigt, aber das zählt ja nicht weiter.
Jetzt argumentiert er mit dem Verhältnismäßigkeitsprinzip und vergleicht den Trojaner mit Dienstwaffen der Polizei. Was für eine Farce. Die Einrufe werden immer lauter. Der Brüller!
Jetzt ist der Oppermann für die SPD am Start und beginnt erstmal mit einem Lob für den CCC. "Aber der CCC hat auch chaotische Zustände in der Bundesregierung aufgedeckt" *Applaus* Dann zählt er die Widersprüche in den Aussagen der Minister auf. *Popcorn!* Vor allem natürlich bei dem Friedrich. Kein Wunder, dass sie den nicht hingeschickt haben da.
Und dann geht es los mit dem alten SPD-Programm: "Wir sagen: Wenn schon Staatstrojaner, dann vom Staat"
Burkhard Hirsch ist da, die Justizministerin offenbar auch (wurde gerade persönlich angesprochen, ich sah sie noch nicht).
Jetzt fordert die SPD, die Trojaner zu optimieren, die müssen doch nicht einmal pro Behörde angeschafft werden, reicht doch einmal!1!! Na super, genau was wir jetzt brauchen, die ökonomischen Aspekte waren ja auch völlig unterberichtet bislang, dabei stehen die doch so im Zentrum!
Oh Mann, zwischendurch kommt rein, dass die politische Geschäftsführerin der Piraten die Debatte "ermüdend" findet und weggezappt hat. Oh und Autogrammkarten haben auch eine höhere Priorität. OMFG.
Die FDP ist dran und nutzt die Gelegenheit, um die gesamte Trojaneraufdeckung vollständig als ihre Leistung darzustellen. Wi-der-lich. Immerhin sagen sie an, dass die SPD mal die Schnauze halten soll, weil sie den Trojaner ja eingeführt haben. "Es bringt uns nicht voran, den CCC zu chaotisieren oder zu heroisieren". Denn eigentlich war das ja alles Leistung der FDP!1!! Hat den Liberalen noch keiner mitgeteilt, dass sie a) unter 5% sind und b) Eigenlob stinkt? Mann ist das abstoßend. Bisher einziger inhaltlicher Punkt ist, dass sie erschüttert ist, dass das BKA den Quellcode nicht hatte. (Über "grundrechtsschonendere" Methoden des Abhörens) "Wenn das in Asien geht, und ich meine jetzt ausdrücklich nicht China, …" *stöhn*
Jetzt ist Jan Korte von den Linken und lobt den CCC und die FAZ, das gab es bestimmt auch noch nie :-) Deutlicher Kontrast zum Gefasel der FDP. Er weist darauf hin, dass das BKA im Innenausschuss nicht garantieren wollte, dass ihr Trojaner nicht auch mehr kann. "Und das behindert den aufrechten Gang, wenn man nicht weiß, was Sie mitlesen wollen". Schön formuliert. "Die FDP hat nächste Woche die Möglichkeit, einem Antrag der Linken zuzustimmen, die BKA-Befugnisse zurückzudrehen" *schenkelklopf*
Ah jetzt war die Leutheusser-Schnarrenberger kurz im Bild. Ob die auch noch was sagen will? Der Korte gefällt mir jedenfalls, der hat da schön empört auf den Tisch gekloppt.
Ah, jetzt der von Notz von den Grünen. Beklagt sich über die Relativierung der Grundrechte und dass Vertrauen der Bevölkerung in die Bundesregierung verloren geht.
(Nochmal zu den Piraten: vielleicht solltet ihr das mit der Transparenz nochmal überdenken?)
Hmm, der Notz ist mir irgendwie nicht konkret und nicht empört genug. Das wirkt wie eine dieser "Business as Usual" Bashing-Reden im Bundestag, weil man halt in der Opposition ist. Ist ja schön und gut, dass die sich alle widersprochen haben, aber die Zeit hätte man besser nutzen können. Hahaha, ein lustiger Satz war doch (über den CCC) "sonst würdigen Sie ja das Ehrenamt immer, der CCC arbeitet doch ehrenamtlich!" Ah, jetzt kommt das Fleisch. Die Mehrheit der Bürger lehnt den Trojaner ab. Die Mehrheit lehnt auch die Vorratsdatenspeicherung ab. Gut! "Auch Sie müssen einsehen, dass im Netz die Grundrechte voll gelten" (mit anderen Worten: das Internet darf kein rechtsfreier Raum sein!)
Oh Graus, jetzt der Uhl. Und der greift erstmal bis zur Schulter ins Klo und wirft dem Korte von den Linken vor, dass er gegen den Überwachungsstaat wettert (weil ja die Linken, und die SED, ihr wisst schon, gut, der Korte ist ein bisserl jung dafür, aber hey!).
Jetzt versucht er die Kleidungs-Terroristen aus Bayern als große Gefahr darzustellen und bringt "Wer sich ins Internet begibt, der kommt halt um? Ist das Ihre Position?" Und in Ermangelung inhaltlicher Argumente zitiert er den Ziercke indirekt und weist darauf hin, dass der Ziercke ja SPD-Mitglied sei. Der hat noch nicht mitgekriegt, dass die SPD politisch auch keine Rolle mehr spielt.
Wird immer besser. Das ist ja alles kalter Kaffee, weil der Computer Club, der hat ja NICHTS aufgedeckt, der Fall ist ja schon vom April, und da ist ja schon alles aufgeklärt, und im Übrigen klären wir jetzt ALLES auf, der Schaar hat mir das gesagt, und das reichen wir rum, wir wissen ja noch nicht, was da rauskommt. Nicht gänzlich widerspruchsfrei, seine Argumentation :-)
"Das wäre ja sehr schade, wenn unser Land am Ende regiert würde von Piraten und Chaoten aus dem Computerclub." Stattdessen lieber Leute, die sich an Recht und Gesetz halten, wie … die CSU!1!! *schenkelklopf*
Als nächstes der Klingbeil von der SPD, der direkt ins Klo greift und vom Bundestrojaner spricht, den der CCC untersucht hat (Hint: Staatstrojaner!). Man könnte fast denken, die haben sich alle abgesprochen, damit da gleich mal wieder einer widersprechen kann, und dann glaubt die Öffentlichkeit weiter, dass da Details kontrovers seien.
Kloppt auch auf die Widersprüche von dem Friedrich ein, und dass der die Nachladefunktion verteidigt hat. Sagt, die einzigen Chaoten hier gerade sei die Bundesregierung, dankt dem CCC. Spricht von der Offenbarung eines Kontrollverlusts der Bundesregierung. Der hat wohl auch den Schirrmacher gelesen heute. Wünscht sich, dass in der CDU mehr Leute Altmaier als Uhl lesen. Naja, hat mich nicht vom Hocker gehauen. Der braucht einen dynamischeren Redenstil.
Oh jetzt die Schnarrenberger! "Es darf keine Online-Durchsuchung in eine Quellen-TKÜ übergehen!" Klingt schön empört, aber bringt dann so Allgemeinplätze. Die Frau ist halt ein Polit-Profi. Hoffentlich bringt sie auch noch echte Klopper. "Wir müssen jetzt aufklären!" Ja, äh, na dann machen Sie doch mal! Worauf warten Sie denn? "Da müssen harte Grenzen gezogen werden! Und da müssen auch Manipulationsmöglichkeiten ausgeschlossen sein!" Hört, hört! Was Sie nicht sagen! "Und wir können das doch alles gar nicht sagen!" (Kontext: wir Politiker verstehen die Technik eh nicht richtig)
Haut auch in die Kerbe, dass der Trojaner vom Staat programmiert werden sollte. Nur die Linken trauen sich, Trojaner ganz abzulehnen. Beschämend. Die Schnarrenberger hat jetzt 10 Minuten flammend gepredigt und die einzige inhaltliche Aussage war, dass der Trojaner doch bitte vom Staat selber programmiert werden sollte. Als ob das was helfen würde! Was für eine Nebelkerze.
Jetzt die Frau Jelpke von den Linken, dankt auch dem CCC, und spricht dann von "kleinkriminellen Anabolika-Händlern" als Trojaner-Opfern. Die macht das nicht schlecht, könnte aber auch noch ein bisschen dynamischer reden. Und sie spricht auch endlich mal ein paar konkrete Dinge an, haut auf die Nachladefunktion drauf, die "Aktualisierung" als Ausrede, beklagt das Rumgewiesel und Rumgemauschel und Ausweichen bei konkreten Nachfragen. Weist darauf hin, dass das ein langjähriger Trend ist mit den Sicherheitsgesetzen.
Jetzt der Beck, der eröffnet gleich mit einem großartigen Hieb auf den Uhl und sein "im Internet kommt man halt um" Gefasel, meint er soll sich doch nochmal ein aktuelleres Internet ausdrucken lassen in seinem Büro :-) Wun-der-bar. "Das Tragische an dieser Debatte ist doch: nicht eine Kontrollbehörde hat herausgefunden, dass da was falsch läuft! Der Chaos Computer Club hat das gemacht!" *strike*
"Wir haben hier ein Problem! Das Problem heißt: wer überwacht die Überwacher und die Überwachungssoftware?" Fordert auch, dass der Staat das selbst macht, und zusätzlich eine Kontrolle durch unabhängige Stellen.
Schade, dass die Grünen sich nicht trauen, da Trojaner komplett abzulehnen. Ich sehe schon einen Trojaner-TÜV vor uns. Na super.
Weist darauf hin, dass die Regierung die selben lahmen Ausreden bringt wie die Bayern. "Das ist doch eine glatte Lüge!" Jawoll! So macht man politische Reden, sehr schön. Der Mann rockt. "Wenn der Staat sowas sagt, dann glaube ich als Bürger doch erstmal gar nichts mehr, was nicht unabhängig überprüft worden ist!" *strike*
Oh und jetzt zweifelt er an, dass man überhaupt eine Quellen-TKÜ durchführen darf. Sehr schön! Sagt, dass das gar nicht rechtens ist, zitiert das Urteil, verweist auf die Strafprozessordnung. Sehr gut! Weist die Schnarrenberger darauf hin, dass sie mehr Applaus von der Opposition gekriegt hat als von den Regierungsparteien, "ich hoffe Sie haben verstanden, wo in dieser Angelegenheit Ihre Bündnispartner sind".
Jetzt kommt der Binninger von der CDU, da spar ich mir mal die Zusammenfassung. Ih ist der unsympathisch. Beschwert sich, dass der CCC nicht "Bayern" drangeschrieben hat, dann wäre ja die Diskussion ja vielleicht sachlicher gewesen, und im Übrigen war das ja schwere Kriminalität, weil es ja Haftstrafen gab. Ich glaube die CDU hat überhaupt nur die drei Talking Points, durch die die da immer durchrotieren. Jetzt kommt wieder ein "wir brauchen aber die Quellen-TKÜ!1!!" *göbel* Oh die Schmerzen, ich halt's nicht aus! Oh und ihre Inkompetenz in Technikfragen ist gottgegeben, das ist halt so, Technik versteht ja eh keiner mehr, das muss so. Restunsicherheit und so. Wie bei Atomkraft!1!! Lasst uns ein neues Service- und Kompetenzzentrum schaffen! *schenkelklopf*
So, jetzt Hofmann von der SPD. "Die Exekutive hat immer gemauert! Wir hätten [immer noch] keine Erkenntnisse, wenn wir den CCC nicht hätten". Zu den Vorschlägen der CDU: "Ich denke, das sind Sachen, die wir auch vor zwei Jahren schon hätten machen können"
"Die Union ist mit ihren Sicherheitsgesetzen zur Gefahr für Sicherheit und Freiheit geworden". Sehr schön!
"Wenn der Uhl immer von Grauzone redet, dann weiß ich, der mein Rechtsbruch, also sag ich auch Rechtsbruch" :-)
"… nichts anderes gemacht als eine Online-Durchsuchung durch die rechtliche Hintertür." *strike*
[zu Friedrich] "Ich habe den Eindruck, der weiß nicht, wovon er spricht"
"Es ist doch klar, wenn man so eine Quellen-TKÜ nicht umsetzen kann ohne solche Grundrechtsverletzungen, dann kann man sie halt gar nicht machen!"
Der Mann ist mir noch nie aufgefallen, aber die Rede da gerade, die rockt.
"Diese Regierung ist ein Sicherheitsrisiko"
Zur Schnarrenberger: "Wenn Sie diese Rede vor zwei Jahren gehalten hätten und dann auch so gehandelt hätten, dann hätte ich auch geklatscht".
Jetzt kommt Jimmy Schulz von der FDP und grüßt die Zuschauer an den Empfangsgeräten, erwähnt den Begriff "Hashtag". Betont, dass er schon immer davor gewarnt hat, dass der Trojaner mehr können würde, nennt die Nachladefunktion "perfide", erklärt dass man darüber auch andere Dinge als Updates machen kann. Weist darauf hin, dass Trojaner-Erkenntnisse keine Beweiskraft haben. Whoa, spricht von Generalschlüssel und "Man in the Middle Attack". Der ist ja gut gebrieft! :-)
Oh und er weist darauf hin, dass man auch bei Skype direkt abschnorcheln kann. "Wenn so ein Trojanereinsatz nicht grundgesetzkonform gemacht werden kann, wieso tun wir es dann?" Wow! Und jetzt hat er gefordert, generell auf Trojaner zu verzichten! Ich bin beeindruckt! Das ist ja mal eine Überraschung.
Jetzt Edathy von der SPD. Schlägt vor, dass die Bundesregierung miteinander redet, um sich nach außen hin nicht so häufig zu widersprechen. Finde ich gar nicht, das war doch tolles Popcornkino!
Meint, die Interviewerin im Radio sei besser informiert gewesen als der Friedrich. "Ich finde, so einen Verlegenheitsinnenminister hat die Republik nicht verdient." YES!!! Fordert, dass Sicherheit nicht nur gelegentlich mal der Freiheit untergeordnet wird, sondern immer. "Sicherheit kann ich auch in Nordkorea haben". DER ist ja gut drauf heute!
Gelegentlich ist der Ole Schröder noch im Bild, wie er auf der Bank sitzt und twittert. m(
Schade, dass die SPD in der Regierung für die Einführung des Trojaners verantwortlich war. Sonst wäre das jetzt ein echt großartiger Beitrag gewesen.
Huch, jetzt kommt da ein Hinterbänkler (beachtet auch die Sektion "Plagiatsverdacht") von der CDU. Die haben wohl niemanden gefunden, der sich dahinterstellt. Ob das jetzt die CDU-"Netzpolitiker"-Simulation ist? Spricht von "ich habe auf Facebook eine Anfrage gekriegt". Oh Gott ist der gruselig. Da müssen sie aber echt weit nach hinten gegangen sein, bevor jemand den Vorteil durch Selbstdarstellung höher bewertet hat als die Nachteile durch um-Kopf-und-Kragen-reden. "Wir reden von Einzelfällen!" Au weia, wenn das die neue Netzpolitikabteilung der CDU ist, dann stehen die schlechter da als vorher. Der hat gerade ernsthaft dem CCC Strafvereitelung vorgeworfen. Hoffentlich ist der kein Jurist, sonst hat er gerade auch unter Kollegen seinen Ruf ruiniert (hier nochmal von einem Juristen bestätigt).
Jetzt ein Herr Höferlin von der FDP, der mir ja nichts sagt, und der greift erstmal so richtig tief ins Klo mit einem saftigen "also WIR haben ja ZUERST mit dem CCC ein Treffen gemacht". Ooooh wie peinlich. Ansonsten erwähnt er, dass Skype auch ohne Trojaner abgehört werden kann, und schließt mit "Wir werden das gemeinsam mit den Freunden von der Union lösen".
Jetzt noch ein Herr Schuster von der CDU. Verteidigt sich ausdrücklich gegen "Parteien, die sich schon im Bundestag wähnen" (und er meint glaube ich die Piraten, nicht die FDP damit :-] ). Ein sehr undynamischer Redner, klingt wie ein Jurist. *gähn*
Sagt ausdrücklich, dass keiner irgendwelche illegale Software einsetzt, dass das BKA alles dokumentiert, und dass es auch noch keine unabhängigen Prüfungen gibt, die die CCC-Ergebnisse bestätigen. Versucht wieder den Talking Point, dass es ja nur darauf ankommt, auf welche Knöpfe die Polizisten tatsächlich klicken, und nicht was die Software für Funktionen hat. Alles andere sei ein "Misstrauensverdacht" gegen die Polizistinnen und Polizisten!1!! Ich halt's nicht aus. Wo haben sie DEN denn ausgegraben? "Der CCC ist keine institutionelle Referenz in diesem Lande". Will auch ein zentrales Kompetenzzentrum einrichten. Ich begrüße das ja, dass die CDU Kompetenz einführen will. Das hätten sie schon vor 40 Jahren machen sollen. Sein Schlussplädoyer klang für mich nach "Wir haben euch doch alle lieb!"
Update: Uhl hat noch ein Money Quote rausgehauen, das ich aber nicht klar genug verstanden hatte, um es zu zitieren. Aber es gibt ein Video davon:
Das Land wird von Sicherheitsbehörden geleitet, die sehr behutsam mit dem sensiblen Instrument der Quellen-TKÜ umgeht, und so soll es auch sein.
Es wäre schlimm, wenn unser Land am Schluss regiert werden würde von Piraten und Chaoten aus dem Computerclub.
Es wird regiert von Sicherheitsbeamten, die dem Recht und dem Gesetz verpflichtet sind.
Na wenn das so ist, Herr Uhl.
Eine Frage war, wenn sie den Quellcode nicht haben, woher sie dann wissen können, dass sie keine Gesetze verletzt haben. Antwort: Naja, der CCC hat ja den Quellcode auch nicht und kann das trotzdem. *Konfetti*
Und Ströbele zitiert den Geheimdienstkoordinator, der von Nachrichtenagenturen zitiert wurde, dass die Dienste Trojaner mit zu viel Funktionen an die Behörden weitergegeben hätten. Das, so die Antwort, sei nicht der Fall.
Eine Frage nach den Screenshots wird so beantwortet, dass die Polizei sich da nach dem Richter richtet. Mit anderen Worten: nicht wir sind Schuld, die Richter sind Schuld. Vielleicht hilft das ja doch mal, um in den Richtern die Erkenntnis reifen zu lassen, dass sie vielleicht mehr tun sollten als bloß alle Anträge zu unterschreiben.
Noch eine großartige Frage: die Richter unterschreiben ja bloß die Anträge der Staatsanwaltschaften, und das hieße ja, dass die Staatsanwaltschaften die illegalen Funktionen angefragt hätten, nicht die Richter sie aus blauem Himmel heraus das verfügen. Die Antwort war irgendein belangloser Ausweich-Blah.
Nächste Ansage: sie haben die Software selbst überprüft, um den Anforderungen zu genügen.
Oh yes, jetzt sagen sie gerade an, dass die Behörden selbstverständlich volle Kontrolle hatten über die Software und das auch revisionssicher protokolliert haben. Ich glaube für uns alle zu sprechen, wenn ich sage, dass wir sehen wollen :-)
Jetzt kommt eine Frage zu Rechtshilfeersuchen anderer Länder unter Erwähnung der Schweiz. "Kann ich Ihnen nicht sagen".
"Wie bewerten Sie denn die Aussage eines Kollegen von Ihnen im Rechtsausschuss, dass man das ohne Quellcode gar nicht sagen kann?" "Im Gegensatz zu Ihnen war ich beim Innenausschuss dabei und da ist das nicht gefragt worden." *schenkelklopf* "Ich muss darauf beharren, dass genau das ein Kollege Ihres Hauses im Rechtsausschuss gesagt hat" (sagt ein anderer) POPCORN!!! Und der legt gleich nochmal nach, dass der CCC ja selber gesagt hat, dass er die Analyse überhaupt nur machen konnte, weil der so miserabel programmiert worden war. Die Stammel-Antwort hat wieder was mit revisionssicherer Dokumentation zu tun. Was für ein Blutbad. Ganz großes Tennis!
"Ich muss nochmal nachfragen: Die Bundesregierung hält es nicht für nötig, den Quellcode für diese Software zu haben?" Antwort wieder Blah mit Revisionsfester Dokumentation. Im Grunde kann man sich die Antworten auch sparen und muss nur die Fragen anhören. :-)
Jetzt weist der Schröder darauf hin, dass sie ja geguckt hätten, ob ihre Version auch die vom CCC angeprangerten Lücken habe, und das sei nicht so. Ich glaub kein Wort. Oh und jetzt zählt er auf, was sie geguckt haben, und zwar haben sie nach Code für die Kamera-Funktion gesucht. Der Punkt des CCC war, dass man diese Funktion über die Nachlade-Funktion nachladen kann. Sie hätten wenigstens mal vorher lesen können.
Auf die Frage nach der Rechtsauffassung der Bundesbehörden zum Thema Screenshots kommt, dass sie das nie beantragt hätten.
Jetzt fragt ein Informatiker der SPD (nein, wirklich!), wie die denn ohne Quellcodeeinsicht ausschließen können, dass da weitere Funktionen drin sind. Antwort: "Das hat das BKA im Versuchslabor geguckt.
Ich frage mich ja, was dieser Dr Ole Schröder getan hat, damit sie ihn da jetzt alleine mit der Arschkarte in der Hand hingestellt haben. Fremdschämen++
Auf die Frage, warum sie denn nicht nur selbstgeschrieben Software einsetzen, kommt die Antwort, dass sie das ja bei der Online-Durchsuchung so halten, aber da gäbe es ja immer noch "haltlose Anschuldigungen".
Oh hier noch ein Highlight: Angesprochen auf Exporte von Überwachungstechnologie an Drittstaaten sagt der Schröder, diese Firmen würden ja alle vom Wirtschaftsministerium sicherheitsgeprüft, damit das keine Gefahr darstellt. Au weia, der ist ja nicht mal rudimentär gebrieft worden!
Auf nochmalige Nachfrage kommt dann die Ansage, dass sie ja auch nicht ausschließen können, dass nicht mehr geliefert wird als bestellt wurde. Und im Übrigen war die Anschaffung von Digitask-Software ja vor seiner Amtszeit.
Oh jetzt geben sie zu, den Brandenburgern in Amtshilfe "technische Unterstützung" der Zollbehörden gegeben zu haben, konkret haben sie nichts angeschafft sondern denen einen Trojaner ausgeliehen / gegeben.
Es ist auffällig, wie leer das da ist, trotz so eines Hammerthemas. Die fragen zwar alle fleißig nach und wadenbeißen schön, aber irgendwie hätte ich doch gedacht, dass sich da ein paar mehr Abgeordnete Zeit für nehmen.
Jetzt erzählt der Typ gerade, man könne den Trojaner nicht einfach so um weitere Module "aufladen", denn da brauche man ja Authentifizierung für (eine dreiste Lüge). Aber für Updates müssen Updates eingespielt werden, wenn z.B. Skype geupdated wird (das ist auch eine dreiste Lüge), und im Übrigen sei das ja auch deshalb um dem Bundesverfassungsgericht zu genügen, denn die hätten ja gesagt, so eine Maßnahme müsse am Stück stattfinden (das ist m.W. auch eine dreiste Lüge).
Jetzt fragt Ströbele, ob der BND mal fiese Trojaner im Ausland eingesetzt hat. Ja, das schließt er aus. Ich glaube kein Wort. Mal sehen, was im Protokoll steht.
HAHAHAHA der Informatik nochmal: wenn Sie das ohne Quellcode ausschließen konnten, haben Sie Zugriff auf bisher der Computerwissenschaft nicht bekannte Verfahren. Teilen Sie die bitte auch mit den Unis? *gacker*
Oh und jetzt fragt endlich jemand, warum sie eigentlich Skype nicht ohne Trojaner abhören wie andere Länder. Antwort: "Selbstverständlich haben wir das geprüft. Die Aussage, dass das auch ohne Quellen-TKÜ geht, ist schlicht falsch". Der redet sich um Kopf und Kragen.
Jetzt fragt einer, ob sie in Zukunft auch noch bei Digitask kaufen wollen. Und was das für die Arbeit der Behörden heißt, wenn sie nicht auf eine brauchbare Software verfügen. Antwort: wir prüfen das.
NEIN! Jetzt sagt er gerade an, dass sie keine Aussage treffen können über den vom CCC geprüften Trojaner, weil sie keine Erkenntnisse über die Software haben. Komisch, eben konnten sie noch ohne Quellcode Aussagen treffen. Das ist ja zum Brüllen komisch! Da zahlt man doch gerne Steuern, wenn man da so viel Unterhaltung für geboten kriegt.
"Die Bundesregierung ist der Meinung, dass wir eine klare rechtliche Grundlage [für die Quellen-TKÜ] haben, die vom Verfassungsgericht noch konkretisiert wurde."
"Mit dem Bundesjustizministerium sind wir ständig in guten Gesprächen." *harrharrharr*
Jetzt kommt der Edathy und wadenbeißt herum, ob die Bundesregierung das wie Bayern sieht, dass das ja eine Meinung des LG gäbe und eine Meinung der Regierung, oder ob man die Ansage des Verfassungsgerichtes als verbindlich ansieht. Antwort: "wir machen keine Screenshots, also erübrigt sich die Frage."
Die Grünen haben heute Boden gutgemacht mit ihren Fragen, finde ich.
Schönes Jerzy Montag-Zitat: "Das war ja eine sehr interessante Antwort, aber leider nicht die auf meine Frage" :-)
Schönes Oppermann-Zitat: "Es ist ja schonmal ein Fortschritt, dass die Bundesregierung die Entscheidungen der Gerichte respektiert."
Es kommt wiederholt die Ansage, dass das Justizministerium den Einsatz von Trojanern verbietet, und daher das Behörden die Ergebnisse ihrer Trojaner-Erkenntnisse immer erst so spät wie möglich an die Bundesanwälte weiterleiten, weil sie dann immer den Trojanereinsatz abbrechen müssen. Das muss intern alles großartiges Popcornkino sein bei denen.
Oh sehr schön, jetzt argumentiert der Beck gerade, dass Internet-Telefonie ja eigentlich einen höheren Schutzwert haben sollte als normale Telefonie, weil man da ja auch Kameras benutzt und Videos überträgt.
Der PSts von Schäuble sagt gerade an, dass das Zollkriminalamt die Funktion des Trojaners nicht ändern kann. Die Antwort war vorgelesen, insofern nahm ich erstmal nicht an, dass der sich verplappert hat, aber danach hat er repressiv als repräsentativ vorgelesen, insofern war das vielleicht doch verplappert. "Digitask ist aus unserer Sicht ein marktführendes […] Unternehmen", sie setzen noch heute deren Software ein sagte er gerade. Woher sie wissen, dass die Software nur genau das kann, was sie bestellt haben, konnte er auch nicht wirklich beantworten. Und laut Jerzy Montag haben die auch schon angegeben, dass sie keinen Quellcode gekriegt haben. Oh und auf die Frage, wieso sie bei Digitask einkaufen, nach dem Korruptionsdingens da damals, meint er, das sei ja ein völlig anderes Unternehmen, Digitask sei ja eine Neugründung. Ich hatte das so in Erinnerung, dass das damals der CEO war. Der Zoll sagt jetzt an, dass der ausgeschieden sei und rechtlich nichts mehr zu tun hatte. Komisch, ich dachte der ist da auch jetzt wieder CEO. Jedenfalls findet der Zoll die Firma Digitask vertrauenswürdig genug, um ihnen den Funktionsumfang der Software schlicht zu glauben. Die seien ja auch sicherheitsgeprüft und so.
Oh und jetzt geht es um den Trojaner in Bayern, der wieland fragt. Der Zoll dementiert, dass das ihr Trojaner war. Den hat das LKA Bayern installiert, der Zoll war kaum, also im Grunde so gut wie gar nicht (!!1!) beteiligt. Auf die Frage, ob man jetzt nach Flughafen-Zollkontrollen immer sein Laptop nach Trojanern scannen muss, meint er dann, er sei ja nicht persönlich dabei gewesen m(
Der Zoll hat keine Erkenntnisse, dass bei Zollkontrollen am Flughafen Trojaner von LKAs installiert worden seien (außer dem einen offensichtlich?). Das Zollkriminalamt hat aber in 16 eigenen Ermittlungen Trojaner beantragt und es gab 19 Einsätze.
Ströbele will noch wissen, wo er als Bundestagsabgeordneter nachgucken muss nach Flughafen-Kontrollen, damit er weiß, dass da kein Trojaner installiert wurde. Der Zoll weicht aus und verweist darauf, dass das jeweilige LKA das ja nur nach richterlichem Beschluss machen darf.
Oh übrigens, dieser Ole Schröder ist der Ehemann von Kristina "Andere schwärmten für Pferde, ich für Kohl" Köhler (jetzt Schröder).
Und dann fiel der Satz, der mich immer noch fassungslos macht: Wir haben keinen Zugriff auf den Quellcode und wir kennen ihn auch nicht. Schon wenn es ein Ministerium betroffen hätte, wäre es ein Skandal, aber alle drei Ministerien bestätigten, dass es ihnen genauso gehe.Das ist sehr spannend, weil der Digitask-Anwalt das ja dem Print-Spiegel zu Protokoll gegeben hat. Und Friedrich sagte der FAZ:
Sind Ihre Beamten denn in der Lage, zu überprüfen, was Ihnen die DigiTask liefert?Aus meiner Sicht haben also Friedrichs Untergebene ihn gerade der Lüge bezichtigt. Denn wie soll das BMI das ohne Quellcode überhaupt beurteilen können? Auch ansonsten sind die immer noch im "kopflos herumrennen"-Modus:Ja, selbstverständlich.
Die Antworten waren im Wesentlichen so verfasst, dass man sie als schwammig bezeichnen könnte. Irgendwie wird gerade überall geprüft und abgeklärt. Wissen sie was sie tun, ist man geneigt zu fragen. Und eigentlich müsste man sagen, nein! Oder doch? Sie wissen, dass sie Bürgerrechte einschränken, sie wissen nur nicht in welchem Umfang.
Die Hacker des Chaos Computer Club haben unwiderleglich gezeigt, dass der Staat die Kontrolle über einen mehrfach eingesetzten Staatstrojaner verloren hat. Hätte er es nicht, wäre das, was in Bayern in einen Laptop eingebaut wurde, ein bewusster Verstoß gegen das Grundgesetz. Das wollte eigentlich niemand glauben. Aber seitdem der CSU-Politiker redet, wie er redet, wachsen die Zweifel.Heute ist ja im Bundestag Götterdämmerung, äh, Innenausschuss, aber natürlich gibt es von dort keine Liveübertragung. Wo kämen wir da auch hin, wenn das Volk Einblick bekäme.
Aber zurück zu Schirrmacher. Hier ist noch ein wunderbares Zitat:
Politiker des digitalen Zeitalters müssen endlich erkennen, dass der Verlust der Kontrolle die Regel kommunikativen und politischen Handelns sein wird, so lange das Verständnis der Software quasi-magisch bleibt und die Institutionen im zwanzigsten Jahrhundert steckenbleiben.Und dann fordert Schirrmacher (endlich!) die Umkehrung der Beweislast beim Richtervorbehalt:
Eines dieser Verfahren ist die Umkehrung der Beweislast beim Richtervorbehalt. Bisher ist es für einen Richter einfacher, einer Überwachungsmaßnahme zuzustimmen, als sie abzulehnen.YES!!!! Wie lange schreibe ich das schon? Seit Jahren. Ich weiß gar nicht mehr, seit wann genau. Und jetzt kommt das in der Print-Presse an! Ich bin hocherfreut und hoffe, dass das Schule macht!
Update: Der Innenausschuss wird nicht übertragen, aber jetzt läuft gerade live auf Phoenix die Befragung der Bundesregierung. Da scheint die Strategie zu sein, die 45 Minuten mit belanglosem Filibuster-Müll zu füllen, damit am Ende keine Zeit für den Trojaner übrig bleibt. Es ist auch auffallend leer dort. Ab 13:45 geht es mit dem Trojanerkram los.
Update: Hier steht, dass es erst ab 15:45 mit dem Trojaner losgeht. WTF?
Es handelte sich um einen Feuerwerkskörper, der in 20 Zentimeter Tiefe vergraben war und mit einem Zeitzünder ausgelöst wurde.
In zwei Fällen missglückte die Installation, weil es technische Schwierigkeiten gegeben habe. Im dritten Fall sei der Verdächtige festgenommen worden, sodass eine Installation der Software nicht mehr notwendig war.Die BESTEN der BESTEN der BESTEN, SIR!
"Der Einsatz der Software ist aber aus unserer Sicht rechtlich zulässig", betonte Haase. Weitere Einsätze gebe es derzeit zwar nicht, erneute Versuche seien daher aber nicht ausgeschlossen.Das kann man ja einfach unter Fortbildung abrechnen dann. Oder so. Hier ist die offizielle Pressemitteilung. Wenig überraschend ging es in keinem Fall um Terror, Mord oder Bombenanschläge sondern es waren alles Drogendelikte. (Danke, Gerry)
Die Polizeigewerkschaft will mehr Beamte in die linke Szene einschleusen. Um dort anerkannt zu werden, sollen sie auch Straftaten begehen dürfen.Ich hatte mich schon gewundert. Die "Linksterroristen" sind ja eh nicht als die hellsten Denker bekannt, aber so dämlich wie diese "Terroranschläge" zur Trojaner-PR-Ablenkung durchgeführt wurden, …
Aber ein Altmaier allein macht noch keinen Frühling. Sosehr es mich freut, wenn ein Ritter der Ehrenlegion und einflussreicher Konservativer offenbar wirklich zu verstehen beginnt […]Man fängt an mit ein paar unbequemen Wahrheiten über den Gegenspieler, dann legt man eine Packung Musikindustrie-Bashing nach, macht ein paar "die sind eh alle so gut wie am Ende"-Zukunftsaussagen, verbreitet eine Packung "die Daten fließen alle nach Amerika ab"-Angst, und schließlich legt man noch eine Packung Eigenlob nach.
Bereits nach dem Zwei-Prozent-Erfolg der Piratenpartei im Jahr 2009 wurden bei CDU, CSU, SPD, Grünen und FDP die randständigen Netzpolitiker in den eigenen Reihen nicht mehr nur belächelt.Soweit zum Standard-Parcours, danach kommt die Kür.
Bisher konnte man die Situation der Piraten mit „hoffnungslos, aber nicht ernst“ charakterisieren. Jetzt gibt es Hoffnung, doch die Lage ist ernst geworden. Waren die politischen Freibeuter bisher nur ein wenig lästig, so ist nun zu erwarten, dass die Gegenkräfte ernstzunehmende Ressourcen mobilisieren werden, um die neuentstandene Situation unter Kontrolle zu bekommen.So sieht das aus. Und der gefährlichste Feind der Piraten sind unerwarteterweise die CDU/CSU. Das zeigt Pavel anhand dieses Beispiels:
Die Konservativen im Land werden die gefährlichsten Gegner der Piraten, denn sie sind bemerkenswert handlungsfähig. Drei Tage, nachdem in Fukushima die Meiler explodiert waren, stritten grüne und linke Kräfte noch über Strategien und Demonstrationstermine, während die Konservativen bereits die kurz zuvor in ihrer Laufzeit noch verlängerten Altkraftwerke reihenweise herunterfuhren - eine beeindruckende Demonstration von politischem Gespür und Machtinstinkt.Das Problem ist, wenn man sowas nennt, dass man ja die CDU nicht loben will, eher im Gegenteil. Der Übergang ist nicht so einfach, aber Pavel macht es ausgezeichnet:
Es zeigt aber auch, dass man es mit Recht und Gesetz nicht so genau nimmt, wenn Eile geboten scheint. Denn so sehr man die Stilllegung der Kraftwerke begrüßen mag, so wenig gab es eine gesetzliche Grundlage dafür.und weiter unten
Das politische Hauptproblem ist, dass es in Zeiten des Internets immer schwieriger wird, mit solchen Rechtsbrüchen davonzukommen. Das zeigt die aktuelle Affäre um den Staatstrojaner.Schöner Übergang auch. Und einmal beim Trojaner angekommen, nimmt Pavel keine Gefangenen mehr:
Wie aber können Verantwortliche, die das Recht mit Füßen treten, sich anmaßen zu behaupten, sie würden das Recht schützen?Die Falle an der Stelle ist, dass man die Debatte "aber die armen Polizisten, die tun doch nichts unrechtes, die folgen doch nur Befehlen" vermeiden will, weil man sich sonst in Aussage-gegen-Aussage-Teergruben aufreibt und sein Momentum verliert. In der Tat geht es ja auch wirklich nicht um die Polizisten, die würden sich nach entsprechenden Strukturreformen auch wieder an Recht und Gesetz halten, zum Großteil jedenfalls, und den Rest muss man dann halt rausschmeißen. Das ist aber nichts, was man jetzt groß thematisieren will, sonst machen die Polizeigewerkschaftsbosse wieder eine Tränentour durch die Talkshows. Pavel umschifft die Problematik so:
Die Ursachen für die Staatstrojaneraffäre liegen nicht in mangelndem technischen Sachverstand oder finanziellen Engpässen. Sie sind in der grundsätzlichen Struktur zu suchen, die mit Konstruktionsfehlern behaftet ist, die nicht erkannt und beseitigt werden, weil vieles den Augen der Öffentlichkeit und der politischen Kontrolle entzogen ist. Der Trend zur Vergeheimdienstlichung normaler Polizeiarbeit zeigt fatale Auswirkungen.SEHR schöner Übergang, Pavel! Dann bedient er sich im Drehbuch von Yes, Minister und spielt die inkompetente politische Ebene gegen die Profi-Beamten aus.
Selbst ein Wolfgang Schäuble, der in der Öffentlichkeit in dem Ruf steht, aus Sicht des Apparats ein guter Innenminister gewesen zu sein, wurde dort für eine Heißluftpumpe gehalten.Hört, hört!
Ich will das nicht alles zitieren, aber das ist taktisch und inhaltlich gut und lesenswert und ich empfehle eine vollständige Lektüre.
Ein-zwei Klopper ziehe ich mal noch raus, weil die so schön sind:
Dem einzelnen mit der Durchführung beauftragten Beamten mag man mit viel Augenzwinkern noch eine rechtlich falsche Beurteilung oder Ermessensfehler zugestehen. Doch kann man unmöglich gelten lassen, dass bei Beschaffungsvorgängen in diesen Größenordnungen keine rechtliche Prüfung erfolgte, wo doch sonst für den Kauf einer Socke erst die Rechtsgrundlagen geklärt und umfangreiche Eignungs- und Konformitätsprüfungen durchgeführt werden.*händereib*
Und dann noch diese veritable Breitseite in Richtung Altmaier:
Sie, Herr Altmaier, und ihre politischen Freunde haben sicher tiefe Einblicke in das Eigenleben der Sicherheitsapparate. So erklärt sich vielleicht, dass ihnen der Staatstrojaner als relative Petitesse erscheint. Was für verfassungsrechtliche Skelette tanzen denn noch in den Kellern der deutschen Sicherheitsbehörden, wenn ein so massiver Verstoß wie der Staatstrojaner eine Kleinigkeit sein soll?YESSSSS!
Und stilvoll endet das Traktat mit dem Hinweis in Richtung Altmaier, sollte er es ernst meinen und feststellen, dass er in der falschen Partei ist, könne man ja über alles reden :-)
Nach Informationen des SPIEGEL wird in den Behörden nun erwogen, die Software nicht mehr von privaten Unternehmen zu beziehen, sondern selbst zu programmieren.Das wird bestimmt der großartigste Trojaner aller Zeiten! Wenn ihr dachtet, der jetzige Versuch sei peinlich, … *hust*
Schlimmer noch:
Entsprechende Software hat das BKA bereits für Online-Durchsuchungen codiert. Das Projekt kostete insgesamt 680.000 Euro an Personal- und Sachkosten.Na DA freue ich mich ja schon drauf, dass uns das mal geleakt wird.
Update: Wie passt das eigentlich damit zusammen, dass der Friedrich gerade überall erzählt, das BKA habe eine modifizierte Version des Digitask-Trojaners im Einsatz? Vielleicht meint das BKA mit "codiert" ja, dass sie da Checkboxen im Trojanerbausatz von Digitask geklickt haben. Das würde mich nicht vom Stuhl hauen, wenn das BKA den Unterschied nicht kennt.
Jetzt müsst ihr nur noch die Leute da abholen, wo sie sind. Bei der Erkenntnis, dass sie eh nicht wirklich verstehen, was in ihren Computern vor sich geht, und dass heute schon in Fernsehern, Mobiltelefonen und Autos richtige Computer eingebaut sind. Dass es die Aufgabe des Staates ist, seine Bürger vor Trojanern zu schützen, nicht selber welche zu installieren. Die Bürger sind schon verunsichert genug von der Technologie, sie brauchen vom Staat Hilfe und nicht noch zusätzlich Hintertüren in ihrer Infrastruktur. In Zeiten der Budgetknappheit ist es ein Unding, dass der Staat Onlineapotheken und Kleiderdiebe mit Trojanern verfolgt, deren Anschaffung Millionen gekostet haben, und weitere Millionen für Überwachungskameras ausgibt, gleichzeitig dann aber kein Geld für die Gehälter von Polizisten hat.
Es gibt so viele Aspekte an diesem ganzen Themenkomplex, auf die man mal schön draufhauen kann.
Die Details werden wir ja morgen sehen.
Außerdem gibt es in der FAZ das Friedrich-Interview, aus dem sie gestern zitiert hatten. Und dort verwendet der Friedrich die sehr innovative Pippi Langstrumpf-Verteidigung. Er behauptet erst, es gäbe keine Hinweise darauf, dass gegen Recht und Gesetz verstoßen worden sei (was ja schon höchstrichterlich festgestellt worden ist!) und als ihn dann die FAZ fragt, wieso er denn dann die Überwachungen gestoppt hat, sagt er:
Weil der Code veröffentlicht wurde und jetzt missbrauchsanfällig ist.Beachtet das "jetzt"! widiwidiwie sie mir gefällt! Mit anderen Worten: WIR sind jetzt Schuld, dass sein Trojaner unsicher ist! Denn bevor wir das gesagt haben, hat der Kaiser sehr wohl Kleider getragen!1!!
Die FAZ fragt dann noch, ob sie denn jetzt mit einem anderen Trojaner weitertrojanern, und die Antwort ist:
Ja. Sollen wir die organisierte Kriminalität laufen lassen? Den Drogenhandel? Den Menschenhandel? Den Waffenschmuggel? Und was ist mit dem Terrorismus? Denn nur gegen solche schweren Verbrechen gehen wir auch mit Hilfe von Überwachungssoftware vor.Es sei an dieser Stelle nochmal auf die Online-Apotheke und die Kleiderdiebe hingewiesen, gegen die der Trojaner eingesetzt wurde.
Nun ist die FAZ ja nicht auf den Kopf gefallen und spricht ihn auch auf die höchstrichterliche Entscheidung an, die die Taten der Bayern für rechtswidrig erklärt hat. Was sagt der Friedrich dazu? Achtung, das kann man sich gar nicht ausdenken:
Das Landgericht Landshut hat zu den Möglichkeiten der Quellen-Telekommunikationsüberwachung eine andere Rechtsauffassung vertreten als die bayerische Staatsregierung. Entscheidend ist: Wir müssen in der Lage sein, Kommunikation zu überwachen.Das ist ja unfassbar! Wieso ist dieser Mann noch im Amt?! Hallo? Ist da überhaupt jemand am Steuer bei der Opposition? Mann über Bord?
Ein Money Quote habe ich noch:
Wir nutzen die Quellen-Telekommunikationsüberwachung, um auf richterliche Anordnung organisierte Kriminalität und Terrorismus zu bekämpfen.Hallo, ihr da draußen, habt ihr nicht gehört? TERRORISMUS! ORGANISIERTE KRIMINALITÄT! Jetzt hört doch mal mit eurem Rumgezicke auf, ihr sollt jetzt Angst haben und euch hinter dem Kamin verstecken und hier nicht rumdemonstrieren!1!! Das hat doch sonst immer so gut geklappt!!
Oh einen hab ich noch, einen hab ich noch:
Ich weiß nicht, welche Software der CCC vorliegen hat, also kann ich nicht beurteilen, was das Programm, das der CCC analysiert hat, kann oder nicht kann.Wir haben die Binaries öffentlich ins Web getan. Vor einer Woche. Wie kann er behaupten, er wisse nicht, welche Software wir vorliegen haben? Hat den überhaupt mal jemand aus unserer Dimension gebrieft?
"Wir brauchen diese Nachladefunktion, um uns den normalen Updates auf dem Zielcomputer anpassen zu können."Wun-der-bar, Herr Friedrich! Vielen Dank, wir fingen schon fast an, uns Sorgen zu machen, dass es in Arbeit ausarbeiten würde, wenn wir im Falle einer Klage Vorsatz nachweisen müssten. Das hat sich damit ja dann erledigt.
Guter Mann, dieser Friedrich. Fast so ein kompetenter Polit-Profi wie diese Piratenpartei.
Update: Hier ist der FAZ-Artikel, und da ist noch ein Highlight drin:
Der bayerische Innenminister Joachim Herrmann (CSU) sagte dazu der Sonntagszeitung: „Es scheint mir die Frage zu sein: Was versteht man unter nachladbar?“
Nee, klar, Herr Herrmann. Hey, wenn der Clinton damit durchkommt…
Die Bundesanwaltschaft habe sich bei einer früheren Anfrage zur Rechtmässigkeit der Methode auf den Standpunkt gestellt, dass nicht die gesetzlichen Grundlagen in der Schweiz massgebend seien (siehe Spalte rechts). Gemäss Bosonnets Darstellung haben die Ermittler in ihrem Rechtshilfegesuch an die zuständigen deutschen Behörden argumentiert, dass es in diesem Fall die in der Schweiz verlangte Bewilligung nicht brauche, weil die Software vom Ausland aus eingesetzt werde.Das ist ja wohl an Dreistigkeit kaum zu überbieten! (via)
Analog hier jetzt: nur eine handvoll Trojanereinsätze bekannt. Das Dutzend Trojanereinsätze ist ja wohl kaum der Rede wert, wir reden hier schließlich bloß von 20 Trojanereinsätzen, und wer kann bei nur 40 Trojanereinsätzen schon von einem Problem reden, das waren ja bloß 100!
Der schreibt da Dinge über das Netz, wie wir sie von euch hätten hören wollen nach dem Trojaner. Aber sie kamen nicht. Jetzt hat die CDU (!) gezeigt, dass sie einen glaubwürdigeren Claim auf Netzpolitik hat als ihr. Das habt ihr ja schön verkackt. Das war euer Gebiet, und jetzt ist es das nicht mehr. Au das tut weh, ausgerechnet von der CDU ausgeknockt zu werden.
Der schafft es, da nicht nur wild rumzufordern, sondern die Leute da abzuholen, wo sie stehen. Da könnt ihr noch viel von lernen. Ich hoffe ihr habt auch noch andere Themenbereiche in der Hinterhand?
Und zweitens: die Piraten haben ein Problem mit ihrer Basis. Das geht ja wohl mal gar nicht, dass nur in der CDU mehr Leute für Trojaner sind als bei den Piraten. WTF?!? Das ist auch nicht mehr nur mit "den Protestwählern" zu erklären. Hier müssen die Piraten handeln.
Warum wir jetzt Hilfe brauchen: Andreas sprach das an, und Schünemann dementierte schlicht. Nein, nein, sie hätten nicht bei Syborg gekauft, gestern noch habe er den Namen des Zulieferers gehört aber jetzt kann er sich nicht mehr erinnern. Da muss jetzt dringend jemand nachhaken und eine parlamentarische Anfrage stellen. Wenn jemand das hier mitliest, der im niedersächsischen Parlament sitzt, oder der so jemanden kennt: jetzt ist eure Gelegenheit, etwas beizutragen. Wir wollen bitte wissen, wann und von wem Niedersachsen ihre Trojaner gekauft hat, wie oft und vom wem die jeweils eingesetzt wurden, wer die Qualitätssicherung gemacht hat, wie sie sich vergewissert haben, dass kein Mißbrauch möglich ist, und dass die Trojaner den Anforderungen des Verfassungsgerichts entsprochen haben, und auf welcher Rechtsgrundlage sie die eingesetzt haben. Und wir möchten gerne wissen, wenn es um das Skype-Abhören ging, wieso sie nicht bei Skype nachgefragt sondern einen Trojaner losgeschickt haben. Das muss jetzt möglichst schnell gemacht werden. In diesem Sinne: los, los!
Update: Wird bearbeitet, das ging ja schnell :-)
Update: Allerdings ist das natürlich auch korrekt mit den Nazis, die gibt es bei den Piraten, genau wie es in der CDU Altnazis, bei den Grünen "gefährlichen Eingriff in den Bahnverkehr", bei der NPD Nicht-V-Männer und bei den Linken Stasi-Kader gibt. Und die Piraten sollten da mit aller Entschiedenheit gegen vorgehen, von solchen Leuten unterwandert zu werden.
Update: Auch der NDR gibt da gerade ein ausgesprochen schlechtes Bild ab. (Danke, Andreas)
Frage: Herr Teschke, wie viel Mühe macht es denn Ihrem Haus, den Parteifreund Herrmann nicht vollkommen im Regen stehen zu lassen? Ist das richtig Arbeit?*STRIKE* (Danke, Dietmar)Teschke: Wir haben keinerlei Mühe mit dem CSU-Innenminister Herrmann.
Aber wartet, wenn ihr denkt, das war schon der Höhepunkt, der kommt erst noch:
Der Computer des Verdächtigen wurde durch das Überspielen des Trojaners beschädigt und die Festplatte lahmgelegt.Die sind offensichtlich sogar zum Doppelklicken auf setup.exe zu inkompetent!
Aber wartet, geht noch weiter:
In zwei weiteren Verfahren kam es trotz Erlaubnis durch Gerichte gar nicht erst dazu, dass Ermittlungsbehörden mit Trojanern die Internettelefonate zweier Verdächtiger abhörten. Einmal, weil ein Verdächtiger diese Internetfunktion überhaupt nicht nutzte, ein anderes Mal, weil die Virenfunktion des Computers den Trojaner blockierte.m(
Spionagesoftware sei zuvor in Niedersachsen in zwei Fällen mit richterlichem Beschluss zur Überwachung der Internet-Telefonie eingesetzt worden. Die damalige Technik sei zu einem missbräuchlichen Einsatz nicht geeignet gewesen.Und wer sich jetzt sagt, wow, nicht missbräuchlich genug, was haben die denn da gehabt? Nun, äh,…:
Allerdings stammte sie wie die in Bayern eingesetzte umstrittene Software von Digitask.Wie meinen? Digitask war ihm nicht missbräuchlich genug?!? WTF?
Spannend ist das, weil das BKA das bisher hartnäckig dementiert, und der BMI-Sprecher dann der Lüge überführt wäre, denn der hatte auch offiziell dementiert, dass die Bundesbehörden irgendwas mit der Sache zu tun gehabt hätten. Besonders bizarr ist, dass die aktuellen Talking Points der CDU sind, der CCC habe "gelogen", weil wir in unserer Presseerklärung was von einem Bundestrojaner geschrieben hätten, nicht vom Staatstrojaner. Mal abgesehen davon, dass das keine Rolle spielt, welcher Teil des Staates am Ende die Schuld hat, und auch abgesehen davon, dass der CCC bei seiner Außenkommunikation pingelig darauf geachtet hat, vom Staatstrojaner zu sprechen und nicht vom Bundestrojaner, abgesehen von all dem wäre das natürlich oberpeinlich, wenn das jetzt doch der Bundestrojaner wäre. Mal gucken, wie sich das entwickelt.
Update: Eigentlich ist ja jetzt schon belegt, dass Ozapftis der Bundestrojaner ist, weil das Zollkriminalamt ja zugab, ihn eingesetzt zu haben.
In den Protokollen erscheinen am Ende sogar Chat-Gespräche, die noch vor dem Überwachungsbeschluss des Amtsgerichts stattgefunden haben.Großartig! Das kapiert sogar der dämlichste Bild-Leser, dass da was nicht stimmt. (Danke, Markus)
Die andere spannende Sache ist, dass sie sich jetzt aus der Affäre zu ziehen versuchen, indem sie "Screenshot" dementieren und von "Application-Shots" reden. Das ist natürlich lächerlich transparente Wortklauberei, denn der CCC hat nie etwas anderes behauptet als dass sie da Fensterinhalte des Browsers und von einigen anderen Anwendungen abgreifen. Diese Taktik des unfairen Argumentierens nennt man "Strohmann", wenn jemand etwas dementiert, was ihm so niemand vorgeworfen hat. Glücklicherweise fallen da nur Unaufmerksame oder geistig Unterbemittelte drauf rein, insofern wird das wahrscheinlich eher nicht funktionieren.
Der Brüller ist aber diese Aussage hier:
Die in Landshut als speziell für den Einzelfall zusammengestellte Software könne nicht nochmal verwendet werden, ein Missbrauch sei daher ausgeschlossen.Der Grund dafür, dass die nur einmalig verwendet werden kann? Wenn ich das richtig verstanden habe: Lizenzgründe! Mit anderen Worten: ein Rechtsbruch ist ausgeschlossen, weil das ein Rechtsbruch wäre.
DigiTask überarbeite seine Software regelmäßig. Das Unternehmen geht davon aus, dass in den aktuellen Versionen die vom CCC kritisierten Probleme behoben sind."geht davon aus"? Die wissen das nicht mal selber mit Sicherheit?! OMFG.
Spannend auch ein Detail, das gerade mehr oder weniger unbestätigt aus diversen Bundesländern zu hören ist, und das es beim Spiegel in eine Zwischenüberschrift geschafft hat:
BKA bestellt für Rheinland-Pfalz SchnüffelsoftwareDiverse Bundesländer zeigen gerade offen oder hinter verschlossenen Türen mit dem Finger auf das BKA, entweder als "Amtshilfe" oder wie hier als "die haben das für uns bestellt". Das straft natürlich den BMI-Sprecher lügen, der ja gerade erst großflächig dementiert hatte, dass das BKA etwas mit diesem Trojaner zu tun hätte.
Und zweitens kommt in dem Artikel noch dieses Highlight:
FDP-Generalsekretär Christian Lindner sagte nach einem Treffen mit CCC-Mitgliedern, die schlimmsten Befürchtungen hätten sich bestätigt. Es gehe um eine Software, die "vergleichbar mit einer Hausdurchsuchung" sei, bei der "hinterher die Wohnungstür offen bleibe".Das ist ein ausgezeichneter Talking Point, den könnten die Piraten auch gleich mal notieren, denn Hausdurchsuchungen, bei denen sie die Tür eintreten, die gibt es ja auch immer wieder, und dann sitzt man auch in einer Wohnung ohne Tür. Da müsste auch mal jemand was tun. Eine … Partei am besten. Überhaupt müsste man bei der Strafprozessordnung mal ein paar Dinge modernisieren.
Übrigens, kurzer Hinweis für andere Bundesländer: es gibt noch andere Trojanerlieferanten. Eine sehr umfangreiche Liste findet ihr bei buggedplanet.info. Das müsste mal jemand (Hint, Hint) mit dem EU-Amtsblatt zusammenführen, dann haben wir bis heute abend auch alle Skelette in den Kellern der anderen Bundesländer ausgebuddelt.
Der Freistaat setzt auch auf heimliche Einbrüche. "Die manuelle Installation der Software (…) erfolgte auf Zielrechnern, die sich in einem Firmenbüro befanden", steht in der Antwort des bayrischen InnenministeriumsOh Mann. So ein bisschen ein flaues Gefühl habe ich ja schon in der Magengegend, wenn ich sowas lese. Ich rede ja schon länger davon, dass man Trojaner auch bei verdeckten Einbrüchen installieren kann, ging aber davon aus, dass es sowas nur in US-TV-Serien gibt und nicht in der Realität. Und wisst ihr, wie die ihren verdeckten Einbruch rechtfertigen? Es habe ja einen Durchsuchungsbeschluss gegeben! Einen Durchsuchungsbeschluss!!
Naja, denkt sich jetzt vielleicht der eine oder andere, das werden sicher die übelsten Terroristen seit Osama bin Vader gewesen sein. Nun, äh, nein.
In dem Verfahren ging es um drei Personen, die Kleidung und Drogerieartikel gestohlen und im Ausland weiterverkauft haben sollen.Den Fall mit der Onlineapotheke hatten wir ja schon erwähnt, und ein dritter Fall ging um das hier:
In einem weiteren Fall verdächtigten die Behörden einen Nürnberger, Drogen und Dopingmittel aus dem Ausland einzukaufen, um sie an Türsteher und Personen aus dem Rotlichtmilieu weiterzuverkaufen.
Aber schon die 9% reichen, um an den Linken vorbeizuziehen. Au weia, das muss schmerzen bei den Linken. Und die FDP ist nur noch bei 3%. Harrrrrrr. Die sollten mal die FDP zu den Sonstigen tun und den Piraten ihren Slot geben.
Update: Oh achtet mal auf den Zeitraum. 29.9.-5.10. Das war noch vor dem Trojaner. Na dann wird das ja nächste Woche erst richtig spannend. Dann muss ich ja direkt mal das Ziel hochsetzen, sagen wir 20% :-)
Das Bayerische Landeskriminalamt verwendet nur Software, die den dortigen Sicherheitsanforderungen entsprechen.Äh, … aha. Und was will der gute Mann uns damit sagen? :-)
Und einen anderen hab ich noch für euch (und ich verlinke das nicht nur wegen der großartigen Bildunterschrift): Das ehemalige Nachrichtenmagazin wollte rausfinden, ob unsere Häme zur Codequalität gerechtfertigt war:
Die von SPIEGEL ONLINE befragten Virenexperten sehen das ähnlich. Einer konnte sich am Telefon das Lachen kaum verkneifen, als er auf die Schnüffelsoftware angesprochen wurde.Hihihi
Na kommt, Freunde, da geht noch was.
Falls unter meinen Lesern begabte Grafiker sind…: jetzt wäre eure Gelegenheit, eine coole Visualisierung zu basteln :-)
Update: Hessen gesteht in Form eines verkackten Dementis:
Zwar nutze auch Hessen die Quellen-Telekommunikations-Überwachung. Das bedeutet zum Beispiel das Abhören von Internettelefonaten oder Chats. Die Überwachung geschehe aber in Einklang mit den Gesetzen.
Ja, wie bei allen anderen auch!1!!
Update: Rheinland-Pfalz gesteht.
Update: Nordrhein-Westfalen gesteht
Update: Schleswig-Holstein gesteht.
Update: Auch Bremen ist geständig.
Update: Das Zollkriminalamt gesteht auch.
Update: Hamburg ist auch geständig.
Und es stellt sich raus, so ein Trojaner, der kostet richtig Geld! Genug für eine Meldung im Amtsblatt.
Wenn also z.B. das LKA Baden-Württemberg bei Digitask kauft, oder das LKA Bayern, oder das Zollkriminalamt, dann steht sowas im Amtsblatt der EU. Das Zollkriminalamt hat da noch mehrfach nachgelegt.
Überhaupt, wenn man mal Google nach Digitask-Aufträgen im Amtsblatt fragt, das sieht aus wie dass man da mal einen Tag oder so investieren sollte. Viel Spaß!
Achtet übrigens auf Felder wie "Anzahl Angebote", da steht üblicherweise "1". Oh und selektiert wird natürlich immer nach dem günstigsten Preis.
Update: Mir fällt gerade auf, dass wahrscheinlich einige die Ironie hier gar nicht zu würdigen wissen. Dieses Amtsblatt gibt es ja zur Korruptionsbekämpfung. Und wisst ihr, wer 2002 wegen Bestechung rechtskräftig verurteilt wurde? Kommt ihr NIE drauf! (Danke, Martin)
Das passt ja mal wieder alles wie Arsch auf Eimer! (Danke, Holger)
Vorsicht: funktioniert nur eingeschränkt bei Laptops.
Und damit können wir auch das Geheimnis lüften, wie der Trojaner auf den Rechner kam:
Aufgespielt wurde der Trojaner bei Gelegenheit einer Kontrolle meines Mandanten durch den Zoll auf dem Münchener Flughafen.Der Anwalt schreibt weiterhin:
Auch wenn die Maßnahme selbst von bayerischen Behörden kontrolliert wurde, so steht für mich außer Frage, dass Stellen des Bundes – etwa der Zoll bzw. das Zollkriminalamt – im Wege der Amtshilfe beteiligt waren.Sehr schön.
Update: Die Site ist down, Heise hat auch was.
Oh und wo wir gerade bei Bosbach waren: Herr Wiefelspütz fordert im Innenausschuss brutalstmögliche Aufklärung. Na also dann mache ich mir ja keine Sorgen mehr. Wenn der Wiefelspütz das übernimmt, dann wird sicher alles ans Licht kommen.
Gleichzeitig forderte Bosbach den CCC auf, den Vorwurf des Einsatzes einer Ermittler-Software mit illegalen Möglichkeiten zu belegen. Die Vereinigung von Computerexperten müsse klar sagen, um welche Software es sich handele und welche Behörde in welchem Verfahren und zu welchem Zweck überhaupt tätig geworden sei.Klar, Wolfgang, wir hacken uns dafür einfach kurz ins BKA rein und gucken mal durch deren Fallunterlagen, oder wie hast du dir das vorgestellt? m(
Oh und wenn ihr denkt, damit hat der Bosbach sein übliches Niveau schon erreicht, dann guckt mal was er noch so schreibt:
Der Innenausschuss des Bundestages werde sich mit dem Thema beschäftigen. Einigen Mitgliedern des Innenausschusses sei ehemals eine Software vorgeführt worden, die die vom CCC beschriebenen Fähigkeiten aufweise. Man sei sich deswegen im Ausschuss schnell einig gewesen, dass diese Software nicht angeschafft werde, sagte Bosbach.Wie meinen? Sie haben Software gezeigt bekommen, die genau ihrem Anforderungskatalog entsprach, ihn in Sachen Fernwartung sogar übererfüllte, und haben das dann nicht gekauft?! Das will er uns nicht wirklich gerade erzählen, oder? Auf der anderen Seite sagt er uns ja gerade ins Gesicht, dass er wusste, dass es so einen Trojaner gibt, und nur auf Bundesebene hat man den nicht gekauft. Na dann mal Butter bei die Fische, Herr Bosbach. Wer hat den angeboten?
Eine saftigere Einladung, die Strafprozessordnung und die Praxis der leichtfertigen Anordnung von Hausdurchsuchungen und Beschlagnahmen mal grundsätzlich zu thematisieren kann man doch gar nicht geschenkt bekommen. Elfmeter versaut, während der Torwart sich beidhändig in der Nase popelte.
Und nun habt ihr gerade so eine fette Steilvorlage wie den zerlegten und enttarnten Staatstrojaner, und dann vermasselt ihr die auch noch? Da gibt euch die FAZ auch noch die Gelegenheit, mal richtig auf die Kacke zu hauen. Die nutzt man dann doch nicht für so Nullaussagen wie:
Es ist natürlich ein starkes Stück. Aber mit markigen Statements wäre der Sache nicht gedient. Man muss erst einmal die sachlichen Hintergründe aufklären: Von wem wurde der Trojaner wie und wofür eingesetzt? Hier müssen die parlamentarischen Kontrollen greifen.Jemand zu Hause, McFly? Ich dachte, ihr wolltet die anderen Parteien bei den digitalen Themen vor euch hertreiben? Was glaubt ihr denn, wofür ihr in Berlin gewählt wurdet? Zack, Zack, Kleine Anfrage in den Länderparlamenten organisieren! Wenn das BKA leugnet, wollen wir das für alle LKAs und das Zollkriminalamt auch einmal hören. Bei Larifari-Dementis festbeissen und nachhaken. Der CCC kann fundierte technische Grundlagen bieten, fürs Institutionenwadenbeißen sind doch gerade die Piraten angetreten. Los jetzt, Zwangstranzparenz durchsetzen. Für Geschwurbel wie
Wir werden versuchen, für den nächsten Bundesparteitag Methoden vorzuschlagen, wie man Kontrollinstanzen für das BKA aufbauen könnte. Ob wir das bis dahin schaffen, wird sich zeigen.brauchen wir keine Piraten, solche Politdarsteller-Wortblasen kriegen wir auch bei den anderen Parteien. Eure Führungsriege wirkt im Moment so weichgespült, dass man sie auch für Junge Union oder Jungliberale halten könnte, wenn man gerade nur den Ton an hat.
Wenn ich sowas lese wie
Ich glaube auch nicht, dass sich das in Wahlergebnissen für die Partei niederschlagen wird.dann komme ich aus dem Fazialpalmieren gar nicht heraus. WTF? Schlaft ihr da am Steuer? Die Piraten sind die erste Assoziation, die das Volk da draußen hat, wenn sie von Bundestrojaner und Mißbrauch hören! Zack, zack, Vorlagen, Gesetzentwürfe zum Umsetzen der Vorgaben des BVerfG zur digitalen Intimsphäre in Gesetzescode. Und dann in alle Parlamente einbringen, in denen ihr hockt. Worauf wartet ihr? Dass die NPD das tut?
Boah und dann Formulierungen wie diese hier:
Man muss sehen, inwieweit die Leute durch den Vorfall sensibilisiert werden und nicht einfach einen untragbaren Zustand hinnehmen, weil sie ihn nicht richtig einschätzen können. Die Frage ist, ob man die Sache zum Anlass einer politischen Entscheidung macht.Man muss sehen, ob die Leute sensibilisiert werden?! Habt ihr mal bei Twitter geguckt? Weia. Im CCC in Berlin standen sich die Kamerateams gegenseitig auf den Füssen, im Twitter sind Trojaner-Stichworte pausenlos oben, alle Zeitungen berichten, Platz 2 in der 20-Uhr-Tageschau, Innenminister Friedrich flüchtet nach Afghanistan und ihr fragt euch, ob "die Leute durch den Vorfall sensibilisiert werden"?? Soviel Weltfremde kennt man sonst nur von FDP-Wirtschaftsexperten!
Das ist gerade die Gelegenheit, mal so richtig auf die Kacke zu hauen, radikale Dinge zu fordern, und die etablierten Parteien mit heruntergelassenen Hosen vor euch herzutreiben. Außer faden Parolen und Allgemeinplätzen haben die gerade alle nichts zu bieten, die sind noch im Empörungsheuchelmodus. Es wäre an euch gewesen, da jetzt den Rahmen der Diskussion abzustecken. Tja, verkackt. Wenn ihr so weitermacht, überholt euch noch die Tierschutzpartei mit politischer Professionalität.
Ach ja, und wenn ich das hier lese:
LAUER: Wir sind nicht für den Wilden Westen im Internet.dann höre ich Hinterkopf "das Internet darf kein rechtsfreier Raum sein". Was soll das werden, die Blümchenweichspülervariante? Leute, Leute, Leute.
Mein Eindruck ist, dass euer Vorstand gerade gemerkt hat, dass die Transparenzforderungen ja auch für sie gelten, und dann machen sie aus Angst, bei einem Fehler beobachtet zu werden, lieber gar nichts. Wenn wir Stagnation wollten, würden wir FDP wählen.
In diesem Sinne. Kriegt mal euren Arsch hoch. Jetzt.
Wieso bin ich mir sicher, dass das eine Flucht war? Weil am selben Tag in der Zeitung steht, dass der Wulff eine Reise nach Kabul aus Sicherheitsgründen abgesagt hat. Da war wohl der "ich muss schnell weg hier"-Aspekt bei Friedrichs gerade wichtiger.
Update: Lustige Koinzidenz an der Stelle: auch der Guttenberg floh damals erstmal nach Afghanistan. Vielleicht steht das ja so im Krisenmanagement-Handbuch der CSU. (Danke, Henry)
Das Innnenministerium wies die Anschuldigungen zurück und erklärte, die jetzt vom Chaos Computer Club (CCC) gehackte Software werde nicht vom Bundeskriminalamt einsetzt. "Was auch immer der CCC untersucht hat oder zugespielt bekommen haben mag, es handelt sich dabei nicht um einen sogenannten Bundestrojaner", erklärte ein Sprecher des Ministeriums.Mich freut ja in erster Linie, dass sie unsere Terminologie übernehmen und von "Bundestrojaner" sprechen. Auf der anderen Seite sind sehr spezifische Dementis ja auch immer an sich verdächtig. Sie lassen sich ja z.B. damit die Möglichkeit offen, dass es doch ein Trojaner von ihnen war, aber halt nicht der Bundestrojaner sondern "nur" die "Quellen-TKÜ".
Update: Weil ich das gerade gehäuft gefragt werden: ja, der CCC ist sich sicher, dass das ein Staatstrojaner ist. Aber den Kontext können wir gerade nicht komplett öffentlich machen, um unsere Quellen zu schützen. Macht euch mal keine Sorgen, so leicht kommen die uns nicht davon. Die hoffen jetzt halt, dass wir nun einmal der Reihe nach alle LKAs durchgehen müssen und sich derweil die Sache im Sande verläuft.
Es ist mir eine besondere Freude, heute auf diese Presseerklärung des CCC zu verlinken. Denn dem CCC sind tatsächlich Trojaner zugespielt worden, von denen wir nach eingehender Analyse glauben, dass es sich um "Quellen-TKÜ" handelt. Und die Ergebnisse der Analyse sind ernüchternd.
Von den ganzen Zusagen nach dem Bundestrojaner-Urteil des Verfassungsgericht ist nichts übrig geblieben. Es hieß, der Quellen-TKÜ-Trojaner sei was gaaaaanz anderes als der Bundestrojaner für die "Online-Durchsuchung" und könne gar keine fiesen Dinge tun, nur Skype abhören und so. Tatsächlich aber hat der Trojaner eine Nachladefunktion für beliebige zusätzlich Malware. Es hieß, alle Versionen werden für den speziellen Fall manuell entwickelt, aber in der Realität sind die Trojaner nicht nur sehr ähnlich, sie verwenden auch denselben hartkodierten AES-Schlüssel für die Absicherung der C&C-Verbindung. Und wenn ich AES sage, meine ich AES im ECB-Modus, und es wird nur in eine Richtung verschlüsselt. Und der Schlüssel ist wie gesagt hartkodiert. Die Richtung mit Verschlüsselung ist der Antwortkanal des Trojaners. Der Kanal, über den man zusätzliche Malware nachladen kann, ist gänzlich ungesichert. Integritätsprüfung (digitale Signatur, HMAC o.ä.) oder gar kryptographische Authentisierung gibt es gar nicht.
Oh und Teil des Trojaners ist ein Kernelmodul, allerdings ohne Tarnfunktion (das war wohl zu kompliziert) sondern nur mit Keylogger. Das Kernelmodul stellt Operationen wie "leg mal ne Datei unter diesem Pfad an" oder "schreibe das hier in die Registry" zur Verfügung, und die Keylogger-Funktionalität ist deaktiviert — der Code ist aber noch erreichbar, und dank dilettantischer Anfängerfehler im Rest des Kernelmoduls kann man ihn trotzdem aktivieren und benutzen.
Wenn dieser Trojaner auf einem Rechner installiert ist, steht der danach für jeden offen wie ein Scheunentor, ganz ohne dass man einen Exploit bräuchte. Man muss nur anklopfen und den Trojaner freundlich bitten. Und das Kernelmodul räumt allen lokalen Benutzern Adminrechte an. "Scheunentor" ist zu kurz gegriffen, um das katastrophale Sicherheitsniveau dieser Software zu beschreiben. Die CCC-Reverser dachten erst an einen besonders gewieften Tarnungs-Trick, als sie für AES nur den Verschlüsselungscode fanden und nicht den Entschlüsselungscode.
Der CCC hat für die Scheunentor-API des Trojaners ein GUI geschrieben, das wir mal in einem kurzen Video vorstellen werden. Die Antivirenhersteller haben inzwischen Kopien des Trojaners erhalten und sollten ihn ab morgen früh erkennen und entfernen können, zumal keine Rootkit-übliche Tarnfunktionalität in dem Kernelmodul implementiert war. Aber macht euch keine Sorgen, wir haben den Behörden rechtzeitig Bescheid gegeben, dass sie noch schnell den Selbstzerstörungsknopf drücken können.
Oh, und, ganz wichtig noch, falls ihr ein Andenken haben wollt: die FAZ hat dazu eine Meldung gemacht und wird dem Thema in der FAS-Ausgabe morgen mehrere Seiten widmen. Und zwar, wie ich hörte, inklusive Auszügen aus dem Disassemblat. Wer also die erste Print-Tageszeitung haben will, in der Quellcode von Malware abgedruckt ist, sollte sich morgen eine FAS sichern. Oder halt online lesen, aber das ist ja nicht das gleiche in dem Fall :) Ein Listing-Service in der FAZ, wie damals bei der "DOS International"!
Update: Die Zeit ist auch im Boot.
Update: Erstaunlicherweise ist der C&C-Server immer noch online, und mir erzählt gerade jemand, dass da ein Plesk von 2009 drauf läuft. Die BESTEN der BESTEN der BESTEN, SIR!
Falls sich jetzt jemand wundert, wieso ich die FAZ so plugge: Schirrmacher (Herausgeber) hat einen Leitartikel zum Thema geschrieben, und da hält er das Flammenschwert der Gerechtigkeit in den Händen und kloppt auf genau die richtigen Stellen. Er schreibt nicht nur, dass so ein Trojaner ja grundsätzlich immer alles kann, sondern zeigt auch auf die Nonnenmacher-Geschichte mit den zu Diskreditierungszwecken hinterlegten Kinderpornobildern und spricht in der Kontext von "der neuen Vernichtungsstrategie in der digitalen Welt". Und dann spricht er das Offensichtliche gelassen aus:
In Zeiten einer „Piratenpartei“ kann der Fund des Chaos Computer Clubs die politische Geographie nachhaltig ändern.
So sieht das aus. Ich bin mir sicher, dass da dem politischen Establishment gerade mit Nachdruck der Arsch auf Grundeis geht. Es freut mich sehr, solche Gedankengänge in den etablierten Leitmedien zu lesen. Nicht mehr nur in Verschwörungsblogs wie dem meinen.
Update: Wenn ich schon am erzählen bin, kann ich ja auch noch ein bisschen mehr plaudern. Der eine oder andere wird sich vielleicht gedacht haben, hey, so ein Trojaner, das ist ein komplexes Stück Software, das schaffen die doch bestimmt nicht ohne Plagiieren von Open Source, da ist doch bestimmt noch ne GPL-Verletzung zu haben. Nicht GPL, aber Speex haben wir gefunden, und die Lizenz wurde verletzt. Ich hörte, ein Anwalt sei schon unterwegs.
Update: Das ehemalige Nachrichtenmagazin hat immer noch keine Meldung. Vor zwei drei Stunden ging die dpa-Meldung raus. Nichts. Wow. Da scheint mir die personelle Nähe zu den Geheimdiensten noch ausgeprägter zu sein als bisher angenommen. "Sturmgeschütz der Demokratie", dass ich nicht lache.
Update: Heise, ZDF Heute, Tagesschau, Golem, Gulli aber immer noch nichts bei Spon. Und auf Twitter musste sich ZDF Heute schon anpupen lassen, wieso sie in ihrer Nachtsendung nichts gebracht haben :-)
Update: Jetzt hat auch Spon was, und sie greifen bei den Zitaten in die Vollen, erwähnen sogar explizit den Wirtschaftsspionageaspekt bei der Durchleitung durch die USA. Inzwischen ist die Geschichte auch in Österreich angekommen und sogar sogar in den USA berichten erste Blogs. Oh und sogar die "Bild" war schneller als Spon. Oh und fürs Archiv solltet ihr euch zum Vergleich auch nochmal die BMI-FAQ zum Bundestrojaner durchlesen, mit Statements wie
Die Datenübertragung wird derart verschlüsselt erfolgen, dass der Zugriff Dritter hierauf ausgeschlossen ist und die übermittelten Daten durch hohe Datenschutzstandards geschützt sind.
Update: Jetzt hat das ehemalige Nachrichtenmagazin noch einen richtigen Artikel nachgelegt und damit sogar den Vetter von der Pole Position verdrängt.
Das passte irgendwie alles nicht. Da fehlte irgendwie gerade der konkrete Anlass. Normalerweise ziehen sie sich ja solche "Gefahren" nur direkt vor einer wichtigen Wahl aus dem Arsch, oder wenn sie gerade ein wichtiges Gesetz nicht anders durch Parlament und Bundesrat kriegen. Gut, Wahljahr haben wir, aber irgendwie war das komisch.
Jetzt hat sich das geklärt:
Im Zuge der Ermittlungen hatte das BKA einen Trojaner für eine Online-Durchsuchung sowie eine Software für eine Telekommunikationsüberwachung auf seinem Rechner installiert.Das ging um die "Legitimierung" des Bundestrojaners!
Während der Recherche dieser Fragen schalteten sich binnen zwei Tagen drei Anwaltskanzleien ein. Der ganze Fall ist recht verworren, die Sorge einiger Firmen groß, in einem für sie unangenehmen Kontext genannt zu werden.Harharhar. Ich hatte nur von einer Kanzlei gehört.
Spannend ist, was da im Detail dementiert wird. So dementiert Elaman, die Software geschrieben zu haben. Sie seien nur Lizenznehmer, Herstellerin ist die Gamma International UK Ltd. Daher habe Elaman nichts mit dem Angebot zu tun.
Auf die Nachfrage, ob denn dann Gamma geliefert habe, kommt das hier:
Diese Frage beantwortet die Anwaltskanzlei des Unternehmens nicht, sie erklärt lediglich, dass Gamma International UK Limited keines der Produkte aus ihrer Finfisher-Suite an die ägyptische Regierung geliefert habe. Das Unternehmen liefere nur an Regierungen, befolge dabei britisches Recht und alle andere relevante Vorschriften. Darüber hinaus könne das Unternehmen keine Auskunft über "vertrauliche Geschäftsbeziehungen und die Art der Produkte, die es anbietet", geben.Hihihihi, nee klar.
Erstens mailt mir jemand, dass das mit § 202c StGB gar nicht so einfach ist, weil schon der Satz, dass der Trojaner nur für Regierungen sei, ausreichen könnte, um den Vorsatz nicht nachweisen zu können. Der ist für die Anwendung von 202c notwendig.
Anders herum heißt das auch, dass andere Trojanerschrauber an ihre Untergrund-Webseiten auch ranschreiben könnten, das sei nur für den Export an Diktaturen im Nahen Osten und die wären dann aus dem Schneider. Solche Verrenkungen gibt es immer, wenn der Staat meint, selbst Zugriff auf offensichtlich widerliche, abstoßende Waffentechnologien haben zu müssen, während er sie den Bürger (zu Recht!) verwehrt. Daher müssen wir schauen, dass wir Trojaner generell ächten, damit auch Regierungen darauf keinen Zugriff haben.
Zu dem Streetview habe ich einige Zuschriften gekriegt. Die Streetview-Fotos sind offenbar schon etwas älter, und die Firma Elaman hat damals noch in der Seitzstraße 23 ihren Sitz gehabt. Das is wohl das verpixelte Schild in Weiß dort.
Dann haben mich diverse Leute belustigt darauf hingewiesen, dass die ihre "Sicherheits"-Produkte in den Sprachen Russisch, Arabisch, Englisch und Deutsch anbieten, und wie schön das doch passen würde.
Die KfW-Schule ist inzwischen umbenannt worden und heißt jetzt Pater-Rupert-Mayer-Gymnasium.
Hier gehen auch Mails zu dem Xing-Profil "Markus Meiler" ein, wo jemand bis 2007 für Siemens den Vertrieb in den Vereinigten Arabischen Emiraten gemacht hat und dann bei Elaman den Vertrieb übernommen hat.
Aus gewöhnlich gut unterrichteten Quellen erreicht mich außerdem das Gerücht, der Herr Rumscheidt (der General Manager von Elaman) sei bei Siemens ICM VDR (Voice & Data Recording, siehe hier für Kontext) der Abteilungsleiter gewesen. Öffentliche Quellen dazu gibt es nicht, aber bei unseren Freunden von der Quintessenz gibt es dieses Dokument zu Siemens-"Lawful Interception"-Dokumentation, und da taucht auch ein Herr Rumscheidt in der Versionsgeschichte auf.
Naja, vielleicht kommt da ja die Tage noch ein bisschen substanzielleres raus.
Da findet man dann eine Rechnung ein Angebot über Produkte namens FinSpy und FinFly. Geliefert von einer Firma namens Gamma, aber wenn man nach den Produktnamen googelt, findet man diese Produktseite bei einer deutschen Firma. Und da bleibt kein Auge trocken!
Ich frage mich ja bei sowas immer, wie solche Leute nachts ruhig schlafen können. Niemand sollte Zugriff auf solche Software haben, keine westlichen Regierungen und natürlich erst Recht keine Diktatoren.
Update: Frank hat gerade die großartige Idee, folgende Forderung an Westerwelle zu stellen: Herr Westerwelle, als Wiedergutmachung dafür, dass Ägyptens Trojanersoftware anscheinend aus Deutschland kommt, sollte Deutschland Ägypten auch Zugriff auf die Gauck-Behörden-Software zum Zusammenpuzzeln geshredderter Dokumente schenken.
Oh und bei der Gelegenheit möchte ich noch was anfügen. Trojaner und Spionagesoftware sind eine Bedrohung für Freiheit, Demokratie und Menschenrechte überall und müssen daher genau so geächtet werden wie Streubomben und Antipersonenminen. Genau wie wir Kriminellen solche Software wegnehmen und sie bestrafen, genauso müssen wir den Regierungen (insbesondere auch unserer!) solche Software wegnehmen.
Update: Frank hat auch was dazu gebloggt.
Update: Nehmt euch mal die Zeit, denen ein bisschen hinterherzugoogeln. Da findet man so Sachen wie deren Internet-Überwachungs-Angebote, Messefotos, auf denen Gamma und Elaman gemeinsam einen Stand betreiben, besonders schön auch diese Messefotos hier, komplett mit interessierten Scheichs. Und dieses PDF mit Fotos von deren Personal. Die alten Herren da sehen aus, als hätten sie schon mitgemacht, als es noch Organisation Gehlen hieß. Deren Firmenbroschüre ist auch online, mit dem schönen Slogan "The bridge to trust and security". Klar, Vertrauen und Sicherheit sind auch meine ersten Assoziationen bei Überwachungsequipment, Schnüffelhardware und Trojanern. Die offensichtliche Frage ist jetzt natürlich, ob die nur für den Export liefern oder ob die auch den Bayerntrojaner gemacht haben.
Update: Hier kommt gerade per Mail die Frage, wie eine Produkt mit der Beschreibung "infection proxy which is used to deliver intrusion software" nicht §202c verletzt. Gute Frage. Frage ich mich auch. Das sollte die Staatsanwaltschaft mal prüfen.
Update: Und hier noch ein besonders aromatisches Detail (Danke an Dominik dafür!): Streetview von dem Firmensitz von Elaman. Ich seh da kein Elaman, ist vielleicht in dem verpixelten Bereich. Was aber auffällt, ist das dicke Siemens-Schild. Da lag ich ja offensichtlich gar nicht so falsch mit der Organisation Gehlen.
Update: Wird immer lustiger. Der General Manager von Elaman heißt Holger Rumscheidt. Googelt den mal. Hier findet man einen Holger Rumscheidt, der bis 1987 auf die Realschule des Katholischen Familienwerks in Pullach ging. Und hier findet man ein Paper von einem Holger Rumscheidt von der Siemens AG, München. Alles nur Mutmaßungen, der können natürlich auch alles verschiedene Holger Rumscheidts sein. Aber es ergibt doch ein verlockendes Gesamtbild, so mit Pullach und Siemens.
Update: Mir teilt gerade ein Münchener mit, dass das KfW eine Privatschule ist, deren Einzugsbereich den gesamten Münchener Süden beinhaltet, nicht nur Pullach. Insofern kann man daraus nicht direkt schließen, dass die Familie in Pullach gewohnt hat, z.B. weil der Vater dort Arbeit gefunden hat.
Update: Das war keine Rechnung sondern ein Angebot.
Update: Mir kommt gerade zu Ohren, dass die Firma Gamma International GmbH über einen Anwalt dementieren lässt, mit den Ägyptern zusammengearbeitet zu haben. Das geht sogar soweit, dass sie sagen, kein Angebot geschickt zu haben. Das finde ich ja jetzt doch ein wenig irritierend, denn es gibt ja im Internet diesen Screenshot. Meine Vermutung ist, dass die darauf abzielen, dass das Angebot in den Unterlagen von "Gamma International UK Limited" ist, nicht von "Gamma International GmbH".
Es dauerte, doch das Gewissen des Reisenden war rein; es gab nichts zu verzollen. Nur mit seinem Computer verschwanden die Kontrolleure im Nebenraum. Kurz danach Entwarnung: alles in Ordnung. Gute Heimfahrt.Und da haben sie ihm den Trojaner installiert. Der hat dann alle 30 Sekunden Screenshots gemacht und zum LKA geschickt.
Naja, werdet ihr jetzt vielleicht sagen, das wird halt ein gefährlicher Terrorist und Massenmörder sein. Immerhin hatten sie uns zugesagt, nur in solchen Fällen auf Trojaner zurückgreifen zu wollen. Und auf das Wort der Regierung ist schließlich Verlass!1!!
Nun, äh, nein.
Doch der betroffene kaufmännische Angestellte steht weder unter Terrorverdacht, noch wird er eines Kapitalverbrechens beschuldigt. Gegen den Landshuter läuft seit 2008 ein Ermittlungsverfahren wegen "banden- und gewerbsmäßigen Handelns und Ausfuhr von Betäubungsmitteln". Er ist in einer Firma angestellt, die Psychopharmaka vertreibt.Die sind in Deutschland legal. Auch das noch. Ob auch im Ausland, das ist strittig. Jedenfalls geht es hier nicht um Gefahrenabwehr, sondern um ganz normale Ermittlungen zu einer mutmaßlichen Straftat.
Hände hoch, wer das kommen sah! Also ICH bin jedenfalls schockiert — SCHOCKIERT!!1!
Und da wundern die sich, dass wir ihnen nie ein Wort glauben.
Für die Nutzung der AusweisApp, die Anfang Januar zum Dowload zur Verfügung stehen soll, verteilen zwei Computerzeitschriften "Freikarten" in Form von Kartenlesern und Gutscheinen. Für diesen Service erhalten sie nach Auskunft des Bundesinnenministeriums 792.540,00 Euro. Eine Zeitschrift liefert mit ihrer DVD-Ausgabe 400.000 Basiskartenleser von Reiner SCT an den Kiosk. Dafür bekommt Reiner SCT die 35 Euro, die der Kartenleser kostet, was sich auf 14 Millionen Euro addiert. Weitere 1.864.800,00 Euro erhält die Firma für Service und Support.Und es geht noch weiter mit den Millionen.
Was ich an der Stelle mal hervorheben will: der Heise-Verlag legt keine schrottigen Basisleser bei. Das finde ich angesichts der Zahlen, was man da für Geldberge von der Regierung für diese Propagandamaßnahme kriegt, hoch anständig finde. Denn die Geräte, die da verteilt werden, sind Basisleser, d.h. ohne Keypad, d.h. per Trojaner angreifbar. Da hat sich die c't offensichtlich entschieden, lieber das Geld nicht zu nehmen und den Lesern kein Snake Oil reinzudrücken.
Zur Begründung führten die Polizisten an, S. habe sich offensichtlich Malware eingefangen. Der Durchsuchungsbeschluss sprach von Malware-Verbreitung via Facebook und einem "Ermittlungsverfahren gegen Unbekannt wegen des Verdachts auf Ausspähens von Daten, der Datenveränderung u.a." Allerdings, so stellte sich später heraus, fungierte kein Rechner des Durchsuchten als Zombie, über den Straftaten begangen wurden. Und man wollte auch nicht prüfen, ob der Besitzer diese Straftaten selbst beging. Vielmehr hatte das Amtsgericht den Durchsuchungsbeschluss nur deshalb ausgestellt, weil Ermittler den Download einer als JPEG-Bild getarnten Malware auf dessen Rechner registrierten.Jetzt wird man schon wegen Downloads belangt, und der Download selbst war ja nicht mal eine Urheberrechtsverletzung! Und DESHALB dürfen wir Behörden keinesfalls Zugang auf unsere Vorratsdaten geben. Schaut nur, was die schon ohne VDS anrichten! Krasse Scheiße.
Der Typ, dem sie da die Wohnung durchwühlt haben, arbeitet übrigens als Malware-Analyst, d.h. der untersucht beruflich Malware.
Oh, und falls jetzt jemand denkt, hey, bedauerliches Mißverständnis, die Staatsanwaltschaft Osnabrück ist bestimmt nur inkompetent und nicht auch bösartig:
Die Staatsanwaltschaft Osnabrück teilte Telepolis auf Anfrage mit, dass Durchsuchungen bei Unbeteiligten nach §105 StPO zulässig sind.WTF!? Die halten sich auch noch für im Recht! Und zwar, weil, festhalten:
In der Vergangenheit, so der zuständige Richter, hätten Trojaneropfer "Datenträger nicht freiwillig herausgegeben", "oder aber erst nach vorheriger Löschung von Daten (privaten Bildern, privaten Texten, Dateien, bei denen der Zeuge befürchtete, sich der Strafverfolgung auszusetzen, wie z. B. Tauschbörsenprogrammen)".Ja wo kämen wir da auch hin, wenn Bürger den Behörden zur Aufklärung von Sachverhalten nur Zugriff auf die Daten geben wollen, die zur Aufklärung dieses Sachverhaltes auch benötigt werden! Unfassbar. Und solche Leute dürfen in diesem Lande Wohnungen durchsuchen!!
Ich finde es immer schade, dass da die geifernden Linux-Horden die Kommentare mit ihrer schlechten Laune vergiften, anstatt da mal konstruktiv tätig zu werden. Es ist übrigens bei weitem nicht so, dass Linux weniger Sicherheitslücken hat, wie der eine oder andere vielleicht in seiner naiven Unwissenheit annimmt. Es gibt nur noch keinen Trojaner-Markt, weil der Marktanteil zu gering ist. Genau das gleiche Phänomen, das auch Apple im Moment noch schützt.
"Where is that ugly thing?", fragte der Minister dabeiDaneben eine Merkel mit Gollum-Gesichtsausdruck, oder von mir aus auch irgendein anderer unser ganzen gutaussehenden Poliker ("Politik macht schön").
Ich bin da nicht so drinnen, aber der Absatz in dem Update kommt mir im Moment nicht glaubwürdig vor. Mein Stand ist, dass die "Ende-zu-Ende"-Verschlüsselung eben nicht von Ende zu Ende ist, sondern von (per Trojaner fernsteuerbarem) "Bürgerclient", äh, der "Ausweis-App", und dem Webseiten-Anbieter. Angesichts dessen erscheint mir diese Aussage gerade nicht nachvollziehbar:
Auch muss bei Verwendung des Basislesers kein zusätzliches Sicherheitsprotokoll wie U-Prove verwendet werden, um eine Absicherung der übertragenen personenbezogenen Daten zu erreichen, da der neue Personalausweis grundsätzlich eine Ende-zu-Ende Sitzungsverschlüsselung und Integritätssicherung erzwingt.Bei einem einfachen Kartenleser gibt es kurz gesagt keine Möglichkeit, wie der Ausweis irgendwas erzwingen kann. Selbst wenn man den die Daten kryptographisch signieren lässt, dann kann der Trojaner ja immer noch die zu signierenden Daten ändern, bevor sie den Ausweis erreichen. Wenig erbaulich ist auch das Name Dropping, mit dem sie da zu punkten versuchen:
Derzeit kommen 256-Bit Schlüssel für Elliptische Kurven und AES-128 zum Einsatz.Denn für Integritätssicherung verwendet man eine Hashfunktion. Elliptische Kurven sind ein Public-Key-Verfahren und AES-128 ist ein symmetrischer Blockcipher. Ich vermute daher, dass es sich hier um eine PR-Nebelkerze handelt. Wer sich selbst ein Bild über die Technik machen will, der findet bei den Aufzeichungen vom 26C3 das nötige Bildungsmaterial.
Update: In dem Video erklärt Henryk, dass es tatsächlich ein Protokoll von Dienstanbieter PC/Lesegerät bis Karte gibt, das heißt PACE, aber dafür braucht man ein PACE-fähiges Lesegerät, und die gibt es noch nicht. Bzw. gab es sie noch nicht, als Henryk den Vortrag hielt, zum Jahreswechsel. Er meint, sowas kostet dann so 200 € und er rechnet daher nicht damit, dass das irgendjemand einsetzen wird.
Update: So, Henryk erklärt mir das gerade. PACE ist zwischen Karte und Leser (wenn man einen PACE-fähigen Leser hat), ansonsten zwischen Karte und PC. Nach PACE kommt noch eine Terminal Authentication, bei der sich der Web-Dienst gegenüber der Karte authentisiert, und eine Chip Authentication, bei der sich der Personalausweis gegenüber der Gegenstelle authentisiert, und wenn das durch ist, gibt es in der Tat einen Ende-zu-Ende-Kanal vom Perso bis zum Webanbieter. Da hat das BSI also Recht und ich ziehe mein Gemecker zurück. Hätte ich mich mal vorher informieren sollen :-)
Übrigens, Hashfunktionen sind SHA-1, SHA-224 und SHA-256, je nach Protokoll-Einsatzort.
Keylogger, die laut ARD-Magazin „Plusminus“ geheime Daten abfangen konnten, sind wirkungslos.AU AU AU DAS TUT SO WEH!!
Die Zahlen werden auf der Bildschirmtastatur zufällig angeordnet, die Übertragung erfolgt verschlüsselt, sodass die PIN deutlich besser gegen „Abhören“ geschützt ist.Die Übertragung zwischen Maus und PC erfolgt selbstverständlich nicht verschlüsselt. Wer das nicht glaubt, kann sich das ja mal im Linux-Kernel angucken, da gibt es einen Maustreiber für jeden zum angucken.
Wer nicht sofort versteht, was für eine hanebüchene Irreführung diese Aussage ist, der kann sich ja mal Back Orifice (aus dem letzten Jahrtausend!!) angucken, oder VNC (es gibt in Metasploit eine VNC-Payload). Mann müssen die verzweifelt sein, so eine plumpe Masche überhaupt in Erwägung zu ziehen.
Update: Falls jemand zu faul ist, auf die Links zu klicken: das sind Methoden, um den Bildschirm in einem Trojaner abzufilmen. Da sieht man dann, worauf jemand klickt. Zufällige Anordnung der Knöpfe und verschiebbares Fenster hilft da gar nichts.
I IS In Ad- hoc. Aktion zur Beweitigung Malware( Stuxnet) - SIMATIC PCS 7 / WIN CC Security check UpMeine Quelle versichert, die Grammatikfehler aus dem Original korrekt wiedergegeben zu haben :-)Sehr geehrter Herr (Geschäftsführer),
derzeit ist eine Malware, ein sogennanter Trojaner im Unlauf, der Microsoft Windows Rechner mit WinCC und PCS 7 betrifft.
Es handelt sich dabei um eine Software, die über einen USB-Stick, oder das Netzwerk verbreitet wird und eine Sicherheitslücke in Microsoft Windows nutzt. Betroffen sind Betriebssysteme von XP an aufwärts.
Systeme, bei denen der Zugang über eine USB-Schnittstelle nicht blockiert ist oder die Schutzvorrichtungen wie Firewall und Virenscanner nicht den aktuellen Anforderungen an die IT Security genügen sind potenzielle Ziele des Trojaners.
Sollten Sie sich über den Stand ihrer Anlage in Bezug auf Microsoft Sicherheitupdates und Virenpattern nicht sicher sein, ist es wichtig auf Grund der aktuellen Bedrohung Maßnahmen zu ergreifen.Zur Überprüfung der Systemintegrität Ihrer WinCC Installation bieten wir einen Check Up mit den folgenden Leistungsinhalten hat an:
- Überprüfung von Malware (insbesondere "Stuxnet") auf einem WIN CC System
- Installation von SIMATIC Security Update (Beseitigung der Sicherheitslücken durch Anpassung der Registry und SQL-Sicherheitseinstellungen)
- Update der aktuell erforderlichen Virenpattern (bedarf Kundenzustimmung)
- Installation der aktuellen erforderlichen von Siemens freigegeben Windows Patches(bedarf Kundenzustimmung)
- Dokumentation der Ergebnisse
Für bis zu 4 WinCC PCs in einer Anlage bieten wir diesen Service für eine Pauschale von Eur 1.450,- inklusive Reise- und Nebenkosten an. Bei mehr als 4 PC ist der Aufwand entsprechend zu erweitern.
Im Falle eines Virenbefalls kann die Bereinigung von vernetzten WinCC / PCS 7 Systeme sehr variieren, und wird daher nach Zeit und Aufwand erfolgen.
Optional bieten wir folgende Leistungen nach Aufwand zu den publizierten Servicepreisen oder mit einem separaten Angebot an:
- Installation Virenscanner
- IT-Security Check Up aller Anlagenkomponenten
- Implementierung von präventiven und kontinuierlichen Remote Monitoring & Alarm Services
Weiter Informationen erhalten Sie von unserem international Servicecenter (ISI) Tel.: +49 (180) 1-737373
Mit freundlichen Gruß
Ich bin ja immer wieder schockiert, wie Zulieferer die Stirn haben, für das Aufräumen ihrer Fehler auch noch vom Kunden bezahlt werden zu wollen.
Erst in einem zweiten Schritt wird ein Vertrag geschlossen oder eine Transaktion autorisiert. Ein Vertrag kommt grundsätzlich durch zwei Willenserklärungen zustande: Angebot (durch den Dienstanbieter) und Annahme (durch den Kunden). In vielen Fällen ist die Schriftform für diese Erklärungen nicht notwendig, d.h. sobald sich beide Seiten handelseinig sind, kommt auch ohne Unterschrift ein Vertrag zustande (konkludentes Handeln).Da haben sie völlig Recht. Die digitale Signatur ist weitgehend überflüssig. Die hoheitliche Biometrie bringt auch keinen Sicherheitsgewinn. Und eID ist von Trojanern angreifbar.
Wenn wir uns da alle einig sind, können wir dann nicht einfach den ganzen Blödsinn zurückdrehen, und weiterhin Persos ohne Chip machen?
BSI-Experte Jens Bender nahm Stellung zur Kritik des CCC. Er räumte ein, wenn ein Benutzer "den großen Fehler" mache, den elektronischen Personalausweis länger als nötig in einem Lesegerät zu lassen, könne sich ein Angreifer im Besitz der PIN tatsächlich für ihn ausgeben, zum Beispiel bei Altersverifizierungsdiensten.DAS ist ihre Strategie jetzt? "Das ist alles sicher, aber tut die Karte nur in den Leser, wenn ihr wirklich müsst"? Bwahahahaha, was für eine Lachnummer!
Und ihre Verteidigung zu den Geschäften im Internet ist, dass man dafür eine digitale Signatur braucht und sich nicht nur ausweist. Aha. Soso. Hat das mal jemand dem Herrn de Maiziere erklärt? Der hat die Identifikationsfunktion nämlich schon als Funktion fürs sichere Einkaufen im Internet beworben.
So ein Personalausweis hat drei logisch getrennte Bereiche, den hoheitlichen Teil mit den Biometriedaten, den eID-Teil fürs Ausweisen, und als drittes die Signatur. Damit die aber rechtswirksam ist, muss laut Signaturgesetz die PIN am Smartcardreader eingegeben werden, man braucht also einen Reader mit PIN-Eingabefeld, der braucht dann auch eine richtige Stromversorgung und kostet richtig Geld, weil das a) RFID statt Kontakten ist wie bei den verbreiteten Readern mit Pinpad im Moment und b) gibt es solche Reader für den "nPA" (ePA ist nämlich verbrannt, müsst ihr wissen, deshalb nennen die das jetzt "nPA") noch nicht.
Kurz gesagt: ihre Verteidigung ist, dass der eID-Teil eh für den Fuß ist, und man halt den Signaturteil benutzen soll, den es noch nicht gibt (die beiden zertifizierten Leser sind in der Klasse "Basis", d.h. ohne Pinpad und ohne Display, der Rest sind nur Labormuster ohne BSI-Zertifizierung).
Und, um das nochmal ganz deutlich zu sagen: "dann lässt man die Karte halt nicht im Leser" ist unter dem Gesichtspunkt "das sind kontaktlose RFID-Karten" auch noch mal eine besonders … spaßige Aussage.
Angeblich haben sie schon ne Million Reader ohne Pinpad geordert, damit sie überhaupt was zum zeigen haben. Ohne Pinpad heißt natürlich unsicher, und weil wir, um das nicht zu kompliziert zu machen, als Gefahr "Keylogger" benannt haben, haben sie sich als Feigenblatt ein Software-Pinpad auf dem PC gemacht, wo man dann die Tasten mit der Maus klickt und nicht auf der Tastatur eingibt. Weil das natürlich was GANZ ANDERES ist und VÖLLIG UNABGREIFBAR durch Trojaner!1!! Da kriegt man echt abgenutzte Handflächen vom Fazialpalmieren.
An der Stelle sei auch auf die CCC-Presseerklärung zum Thema hingewiesen. Mein Lieblingssatz daraus:
"Was die da rauchen, hätten wir auch gern mal", kommentierte CCC-Sprecher Engling.Update: Noch ein Detail: mit der eID-PIN kann man die Signatur-PIN setzen, wenn die noch nicht gesetzt wurde, was ja bei praktisch allen Anwendern zumindest initial der Fall sein wird.
[…] Anforderungen an eine "Sicherheitssoftware" aufgestellt, mit der die Nutzer beim Verdacht auf Urheberrechtsverletzungen ihre Unschuld beweisen können sollen.Na suuuuuper! Eine Beweislastumkehr gibt es auch gleich mit im Sparpaket!
Tolle Idee von zierke (BKA): warum nicht die Provider Computer auf Viren und Trojaner checken lassen, bevor man Netz bekommt?und
Ziercke hat lustige Vorstellungen, fordert "hardwarebasierten" Schutz gegen Trojaner-IdentitätsdiebstahlDas haben Markus Beckedahl und Frank Rieger getwittert. Da werde ich ja fast neidisch, dass ich nicht vor Ort bin. Ich könnte jetzt auch ein bisschen Unterhaltung gebrauchen.
Das BSI dementiert selbstverständlich, jemals so einen Blödsinn gesagt zu haben.
Was für eine Posse.
Geht es noch ein wenig unglaubwürdiger, Frau Aigner?
Bei Google gehen wenigstens keine Daten verloren, im krassen Gegensatz zu euch und euren Staatskonzernen wie Telekom und Bahn und euren China-Trojaner-Brutnetzen in den Ministerien.
Also bei aller Freude: ich halte das erst mal für eine Ente bzw für einen "Formulierungs-Sieg". Nehmt z.B. diese Sätze hier:
Bei der Vorratsdatenspeicherung solle die Nutzung der Daten auf schwere Gefahrensituationen beschränkt werden, sagte Bundesinnenminister Wolfgang Schäuble (CDU). Bei den Internetsperren verständigten sich die Verhandlungspartner darauf, dass das Bundeskriminalamt (BKA) zunächst versuchen soll, kinderpornografische Seiten zu löschen statt zu sperren.Das liest sich jetzt wie ein großer Gewinn, aber wenn man mal kurz das Hirn anschaltet, wird man feststellen, dass sie das beides auch schon vorher gesagt haben. Die Vorratsdatenspeicherung war eh nur für schwere Gefahren gedacht und die Internetsperren waren eh nur für die Seiten gedacht, die das BKA nicht gelöscht kriegt. Vom Tisch ist da gar nichts, und hohe Hürden kann ich da auch nicht erkennen. Ähnlich sieht das bei den Online-Durchsuchungen aus:
Für heimliche Online-Durchsuchungen von Computern Verdächtiger ist künftig eine Anordnung der Bundesanwaltschaft nötig. Zudem werden Online-Durchsuchungen nicht auf weitere Sicherheitsbehörden wie den Verfassungsschutz ausgeweitet.Na DAS schränkt es ja ein!1!! Die Bundesanwaltschaft hat ja bei Heiligendamm gezeigt, wie zurückhaltend sie mit ihrer Verantwortung umgeht. Die haben da mehr unterschrieben, als an Anträgen reinkam! Und dass der Verfassungsschutz sich seine Online-Durchsuchungen dann halt in Amtshilfe von einer anderen Behörde machen lässt, das fasse ich mal unter üblicher Bürokratie zusammen. Die haben wahrscheinlich ihren Trojaner eh noch nicht fertig.
Kurz gesagt: ich gehe erst mal von einer Nebelwerfer-Aktion der FDP-PR aus. Das einzige echt positive an dieser Sache ist, dass wir die FDP durch unseren Presserummel davon überzeugt haben, dass sie uns jetzt direkt ins Gesicht lügen. Bisher haben sie uns ja für eine unwichtige Randgruppe gehalten, die nicht mal der Ansprache lohnt.
Und deshalb war es im Übrigen ein Fehler, die FDP zu wählen. Weil da klar war, dass sich nichts wirklich ändern würde. Die haben wahrscheinlich ihre Koalitionsverhandlungen damit verbracht, an der PR zu feilschen, wie sie einen gepflegten Null-Fortschritt als Sieg für die Menschlichkeit verkaufen könnten.
Update: netzpolitik hat auch was dazu und weist u.a. darauf hin, dass der "Erfolg" bei der Vorratsdatenspeicherung genau der Rechtsprechung des Verfassungsgerichtes entspricht. Boah, FDP, beeindruckend!!1!
Update: Meine Freunde drängen mich zu der Aussage, die FDP sei schneller als der bisherige Weltrekordhalter, die SPD, umgefallen. Und das ohne Abstriche bei Vollständigkeit und Nachhaltigkeit! Dazu kann ich nur sagen: da werden einige Regierungsjahre ins Land streichen müssen, bis die FDP nicht nur in Geschwindigkeit, sondern auch in Ausdauer der Top-Performance der Verräterpartei auch nur gefährlich werden kann. Viel hervorhebenswerter finde ich ja die Fortschritte in der Energiepolitik. Mit der heißen Luft der Frau Leutheusser-Schnarrenberger alleine kann man Berlin den Winter über heizen, da rückt plötzlich der Atomausstieg in greifbare Nähe, wenn nicht sogar die Unabhängigkeit von russischem Erdgas, in greifbare Nähe!
Infizierte Treiber-CDs hatten wir schon.
Infizierte Webseiten hatten wir schon.
Infizierte Heftbeilage-DVDs hatten wir schon.
Aber dass jetzt sogar schon die Trojaner mit Viren infiziert daher kommen, das hatten wir noch nicht.
Humoristisches Detail am Rande: theregister verlinkt auf die Blackberry-Foren für ein Programm zum Trojaner-Entfernen. Wenn man da drauf klickt, kommt
The message you are trying to access has been deleted. Please update your bookmarks.Tolle Wurst, Blackberry! Oh, und hier gibt es noch ein paar mehr Details zum Trojaner. (Danke, Frank)
Aber dank des Bundestrojaners wird das ja bald ganz einfach. Sie müssen dafür nicht mal zu fremden Computern gehen, der Trojaner kommt zu ihnen. Den müssen sie dann nur noch reverse engineeren.
Und auch ansonsten machen die Schweizer alle Fehler der anderen auch noch mal bei sich nach: Schweizer Nationalrat will Killerspiele verbieten.
Un dann kommt er mit so dreisten Lügen wie:
Doch auch für das schnelle Löschen von ausländischen Kinderpornoseiten muss das BKA eine leistungsfähige Infrastruktur aufbauen - die dann auch für andere Zwecke, etwa gegen illegale Musiktauschbörsen, eingesetzt werden könnte.WTF? Infrastruktur? Kann es wirklich sein, dass der Rath das so dermaßen gar nicht verstanden hat, dass er sich hier vorstellt, das BKA hat dann auf allen Servern einen Trojaner sitzen und löscht ungefragt Dateien? Gut, so weit sind wir von den Trojanern ja leider nicht entfernt, aber wenn er sich mal vor dem Trollen informiert hätte, wüßte Herr Rath, dass in der Praxis jede interessierte Privatperson Kinderpornographie im Internet löschen lassen kann, indem sie dem Provider Bescheid sagt, bei dem der Server steht. Wenn der nicht reagiert, sagt man dessen Upstream-Provider Bescheid. Bzw muss das BKA das alles gar nicht machen, die müssen einfach nur der Polizei vor Ort Bescheid geben, und die macht das dann — oder sie kriegt ein Verfahren wegen Untätigkeit oder eine Klage wegen Strafvereitelung im Amt ans Bein. So einfach ist das.
Noch mal zum Mitmeißeln, Herr Rath: Kinderpornographie löscht nicht das BKA. Das BKA sagt entweder dem Provider Bescheid, der rückt dann Koordinaten der Uploader heraus und nimmt den Server vom Netz. Oder das BKA beschlagnahmt den Server samt Platten und guckt selber in die Logs. Im ersten Fall haben wir den Provider als neutralen Schutzwall gegen Missbrauch, und im zweiten Fall merke ich, wenn meine Platte beschlagnahmt wird, und habe rechtsstaatliche Mittel, um dagegen vorzugehen. Das ist bei einer geheimen Zensurliste so nicht gegeben.
Und, Herr Rath, niemand beim CCC oder der Anti-Zensur-Kampagne ist dafür, Kinderpornographie im Internet zu belassen. Daher ist es auch eine Anti-Zensur-Kampagne, und keine Kinderporno-Legalisieren-Kampagne.
So langsam muss man sich ja echt fragen, ob der wirklich die Zusammenhänge alle nicht versteht, oder ob der ein Maulwurf der Guttenbergs oder Leyens ist.
Update: Oh und ein Detail noch: Kinderpornographie hosten ist heute schon verboten. Und mehr noch: das BKA muss dagegen vorgehen, wenn sie davon hören. Das heißt: wenn das BKA die Daten hat, um eine Site auf die Zensurliste zu tun, dann hat sie auch genug Daten, um die Löschung der Site betreiben zu können und zu müssen, und zwar ohne Verzug. Die Zensurliste ist also völlig überflüssig, weil die Sites eh gelöscht werden müssen. Und das sind bestehende Gesetze, nach denen Kinderpornographie im Internet nicht angeboten werden darf! Die neuen Gesetze, mit denen Frau von der Leyen sich da gerade für den Wahlkampf in Szene zu setzen versucht, sind völlig überflüssig. Und sie sind außerdem auch noch schädlich.
Update: Christian Rath hat mir eine Mail geschrieben, in der er bittet, zur Abrundung des Bildes auch auf diesen Artikel von ihm zu verweisen, in dessen Kontext der Kommentar zu lesen ist. Den Artikel hatte ich in der Tat nicht gesehen. Bildet euch also ein Bild. Ich bin noch nicht überzeugt, weil der Artikel ein bisschen wie eine Faktenliste klingt, den man schreibt, weil das Wikipedia-Neutralitätsgebot einen dazu zwingt (mal metaphorisch gesprochen), und der Kommentar ist dann, wie man das wirklich sieht, was man dann blogt oder unter Freunden beim Bierchen ausspricht.
3.3.1. Bedarf an der Normierung einer Ermächtigungsgrundlage zur Durchführung einer repressiven Online-DurchsuchungUnd es geht noch spannend weiter:Konkreter Bedarf für eine Online-Durchsuchung wird ausweislich der Fragebögen für die folgenden Fallkonstellationen gesehen:
- Sicherung bereits abgeschlossener, verschlüsselt gespeicherter Kommunikation (auch teilweise als "geronnene" Kommunikation bezeichnet), z.B. Daten aus zurückliegendem E-Mail-Verkehr, ICQ-Gesprächsverlauf, z.Z. mittels Steganographie und PGP;
- Sicherung von Dokumenten vor der Ver- bzw. nach der Entschlüsselung. Hierzu gehören auch:
- die Nutzung von privaten Postfächern mit geschlossenem Nutzerkreis ohne Datenaustausch und damit — mangels Kommunikation — ohne Möglichkeit einer TKÜ, sofern die Daten lokal auf einem Rechner gespeichert sind, und
- Straftaten, bei denen tatrelevante Daten nicht im Netz, sondern lokal auf der Festplatte gespeichert sind, z.B. bei Attentatsvorbereitungen, wenn ein offenes Herangehen an den Rechner ausgeschlossen ist, da die Offenheit der Maßnahme weitere Ermittlungsansätze vereigeln würde.
- Sicherung unverschlüsselter Daten, wenn der PC gewohnheitsmäßig nach Benutzung verschlüsselt wird;
- Feststellen von Passwörtern und genutzten Programmen (insbesondere wichtig bei Verwendung von Steganographie und PGP) zur Entschlüsselung von Daten
Die Erforderlichkeit von Online-Durchsuchungen ergibt sich nach den Evaluationsergebnissen unter anderem daraus, dass Tatverdächtige oftmals Passwörter für ihren Rechner nicht preisgeben und folglich — jenseits taktischer Erwägungen — eine offene Durchsuchung (§§ 102 ff. StPO) mit anschließender Beschlagnahme (§§ 94, 98 StPO) und Datenauswertung bei einem passwortgeschützten Rechner von vornherein keinen Zugang zu den gespeicherten Daten ermöglicht.Das ist natürlich eine dreiste Lüge. Selbstverständlich kommt man auch ohne Passwort an die Daten auf dem Rechner dran. Außer wir sprechen hier von einer PGP Passphrase oder sowas. Oder jemand benutzt Truecrypt oder Bitlocker. Lacher am Rande:
Außerdem besteht die Möglichkeit einen Rechner derart zu konfigurieren, dass bei Starten des Rechners durch einen fremden Nutzer bzw. in einer anderen als der üblichen Reihenfolge die Daten automatisch gelöscht werden und nach dem Löschen nicht wieder herstellbar sind. Auch in diesen Fällen wäre eine Durchsuchung nicht Erfolg versprechend.Da sprechen wohl gerade die Oberhauptkommissare Moe, Larry und Curly?
Aber abgesehen davon von den vielen Gründen, warum man sich über diese Leute lustig machen sollte: der Kernpunkt ist, dass sie plötzlich so tun, als könne man mit einem Bundestrojaner gerichtsfeste Beweise beschaffen. DAS ist der eigentliche Skandal. Das stimmt natürlich überhaupt rein gar nicht, weil nicht beweisbar ist, dass der Trojaner nicht die "Beweise" selbst dort hinterlegt hat, ob nun absichtlich oder nicht. Man könnte sich z.B. ein Szenario denken, bei dem die Chinesen einen Rechner über eine Lücke im Bundestrojaner übernehmen.
Aber tut mir leid, ich kann nicht anders, ich muss noch mehr humoristische Details posten:
Schwierigkeiten bereite das Sicherstellen von auf dem Computer bearbeiteten und anschließend auf externen Medien gespeicherten Dateien (z.B. USB-Stick), da diese Speichermedien bei einer konventionellen Durchsuchung aufgrund ihrer Größe häufig nicht gefunden werden könnten.Wie meinen?! Die BESTEN der BESTEN der BESTEN, SIR! Spezialexperten, wo man hinguckt. Und dann schreiben sie noch, dass man vor einer offenen Durchsuchung erst mal eine verdeckte braucht, damit man weiß, wo man gucken muss. Un-faß-bar. Und, mal unter uns, schon deren Sprache sagt ja eigentlich alles. "Ermächtigungsgrundlage zur Durchführung einer repressiven Online-Durchsuchung". Keine weiteren Fragen.
Update: Wikileaks ist überlastet, daher hostet auch der CCC ne Kopie.
Das BSI-Gesetz sei daher nur ein erster Schritt, kündigte Schäuble an: "Zur Abwehr ist es nötig, über dieselbe fachliche Kompetenz und die technischen Möglichkeiten wie die Angreifer zu verfügen."Da weiß man, was man hat.
Nun ist das ja immer sehr abstrakt, bis man das mal live und in Farbe sieht. Und das ist jetzt anscheinend bei der Bahn passiert: Die Bahn soll auf Rechnern ihrer Mitarbeiter Dokumente gefälscht, Pornos und "Mein Kampf" hinterlegt haben, um sie besser rausschmeißen zu können. Tja und genau so sieht das aus. Die Bahn ist ein Staatsunternehmen. Da sitzt die selbe Art Mensch, die genau diese Tour auch auf Staatsebene machen will. (Danke, Andreas)
Last month judges opened an investigation into allegations that state-owned EDF hired a private detective agency run by a former member of the French secret services to illegally spy on environmentalists and infiltrate their ranks.Natürlich. Die staatlichen Stellen sind nämlich in der Realität so gut wie die einzigen Orte, wo man Hacker findet, die bereit wären, bei Greenpeace Trojaner zu installieren. Das ist wie mit den Schützenvereinen und den Amokläufern. Klar kann man auch ohne Mitgliedschaft im Schützenverein Amok laufen, es tut nur niemand (Ausnahmen bestätigen die Regel). Wenn wir Kriminalität im Internet beseitigen wollen, dann brauchen wir keine Hackertoolverbote, sondern wir müssen die staatlichen Repressionsbehörden abschaffen. Auch bei uns soll der Trojaner ja vom BND kommen. Wenn man Behörden schafft, bei denen die Gesetze nicht gelten, dann gehen die Gesetzlosen da hin.
Der Reihe nach: Niemand hat behauptet, das DENIC habe die Domain gesperrt. So sah das noch nie aus, denn wenn ich beim DENIC säße und eine Domain plattmachen wollen würde, würde ich versehentlich den Eintrag in der .de-Zone verlieren oder so, jedenfalls würde es nicht wie Absicht aussehen. Und dann würde sich ein Domaingrabber die Domain greifen und da Pornos oder Trojaner verbreiten, und dann wäre die Domain verbrannt.
Nein, das war von Anfang an klar, dass da der Registrar, bei dem die Domain angemeldet war, oder der ISP, über den der Deal lief, die Domain fallen gelassen hat. Und da lag und liegt immer noch die Vermutung nahe, dass da jemand von außen nachgeholfen hat. Ich stelle mir das ungefähr so vor:
*klingel*Dieses Vorgehen hätte auch den großen Vorteil, dass der Provider die Schnauze hält, denn er kann ja schlecht der Presse sagen, hey, wir haben Kinderpornos gehostet und nichts gemerkt, bis das BKA bei uns anrief.Ja hallo?
Guten Tag, hier ist das Bundeskriminalamt. Sie hosten da gerade unter wikileaks.de Kinderpornographie. Wenn Sie die Domain schnell wegmachen, sparen wir uns die Durchsuchung.
*domainlösch*
Der Provider sagt, er habe fristgemäß gekündigt. Ich weiß ja nicht, wie euch das so geht, aber wenn mein Provider mir mitteilt, dass er demnächst alle meine Domains auf den Boden fallen lässt, das würde ich dann schon mitkriegen. Hier steht also im Moment Aussage gegen Aussage. Und solange das so ist, erübrigen sich weitere Berichterstattung dazu.
Ich persönlich halte die Ansage des ISPs für nicht glaubwürdig. Denn das ist genau das, was ich sagen würde, wenn ich wikileaks.de plattgehauen hätte, und mich da plötzlich und unerwartet jemand von Heise zu befragen würde. Beweisen muss man da auch nichts, man behauptet einfach, man habe das per Email gemacht, und das muss dann wohl der Spamfilter auf der Gegenseite verschluckt haben. Dass ein ISP Mailserver-Logs manipulieren kann, das muss ich hier glaube ich niemandem erklären. Und da das auch noch im Jahr 2008 war, bestand da auch noch keine Vorratsdatenspeicherungspflicht. Was für ein erfreulicher Zufall für den ISP. Anfang Dezember haben die für Ende März gekündigt. Das finde ich schon mal ungerade, aber gut. Und dann noch zwei Wochen weiter laufen lassen. Weil Ostern war oder wie? Nee, tut mir leid.
Hat sich Wikileaks mit der Zensur-Presseerklärung zu weit aus dem Fenster gelehnt? Kann man finden. Ich finde es nicht. Um nicht zu sagen: kann ich nachvollziehen, die Reaktion. Und ein laues Dementi des Providers gegenüber Heise würde ich auch nicht zum Anlass nehmen, da irgendwas zurück zu rufen.
Aber mal unabhängig von Wikileaks: mir gehen ja gerade die Leute tierisch auf den Sack, die da jetzt groß einen auf "told you so" machen. Erstens: Nein, hast du nicht vorher gesagt. Zweitens: die Faktenlage ist nicht besser als vorher. Drittens: den anderen mangelnde Recherchen und voreiliges Schlüsseziehen vorwerfen und dann selber unrecherchiert und voreilig schlussfolgernd auf eine Heise-Meldung hin die Aussage des Providers als Fakten hinzunehmen, obwohl es eine Gegenaussage des Domainbesitzers gibt, … das würde sogar einem Spiegel-Redakteur auffallen, dass das ein Widerspruch ist.
Überhaupt, AGB-Verletzung, dass ich nicht lache. Das ist die Standardausrede von Billig-Providern, wenn sie Kunden loswerden wollen. Das war z.B. schon immer die Standardbegründung, wenn Flatrate-Anbieter "Vieluser"-Kunden rauskanten wollten. Da muss schon mehr kommen als so eine Platitüde, so eine auf-F-Taste-gelegter-Textblock Standardausrede.
Nochmal zum Mitmeisseln: ich halte Denic für gänzlich unschuldig, im Gegenteil muss man deren Transit-Verfahren loben, sonst wäre die Domain jetzt nämlich tatsächlich eine Trojanerschleuder in Spammerhänden. Ob der Provider Mist gemacht hat oder nicht, wird sich noch zeigen müssen. Bisher sieht es für mich so aus. Wenn es so abgelaufen ist, wie ich das oben skizziert habe, würde ich denen trotzdem nur eine Teilschuld geben. Dann den Schwanz einzuziehen und die Domain zu canceln ist eine sehr menschliche Reaktion. Es hat nicht jeder das Zeug zum Helden und zu zivilem Ungehorsam. Mal ganz pragmatisch gesprochen: wenn das BKA bei einem Provider eine "Hausdurchsuchung" macht und da einmal das Equipment rausträgt, am besten noch inklusive der Rechner und Daten unbeteiligter Kunden, dann ist der ISP tot. Da hat sich unsere Junta einfach mal den längeren Hebel gegeben.
Update: AHA, es kommt Licht ins Dunkel. Wikileaks hat noch eine Erklärung herausgegeben und jetzt sieht das schon ganz anders aus. Der Domaininhaber hat da über seinen Provider versucht, die Domain bnd.de zu sich zu transferieren, und deshalb hat der Provider ihm gekündigt. Das ist immerhin eine nachvollziehbare Begründung, auch wenn sich mir nicht direkt erschließt, wieso das jetzt ein Vertragsbruch sein soll. Immerhin hat der BND sofort widersprochen und damit war das ohne Schaden für irgendjemanden vom Tisch. Unter diesen Umständen frage ich mich aber schon, wieso Wikileaks in der Presseerklärung behauptet, sie hätten von nichts gewußt. Der Zeitpunkt kam überraschend, aber dass sie da gekündigt würden, war angesagt. Und dass mündliche Zusagen nicht das Papier wert sind, auf dem sie stehen, das weiß ja wohl auch jeder, der schon mal mit der Telekom-Hotline telefoniert hat. Kurz gesagt: JETZT könnte man über ein "told you so" nachdenken. :-)
Zum anderen sieht der Entwurf aus dem Hause Zypries laut Bosbach vor, dass Erkenntnisse aus Online-Razzien des Bundeskriminalamts oder von Länderpolizeien auch in Strafverfahren verwertet werden dürfen.Ach nee, die Zypries. Gerade heuchelte sie noch, auf unserer Seite zu sein, und im Verborgenen träufelte sie schon Gift auf ihre Dolchklinge.
Sie ließen verlauten, sie wären zur Kooperation, also zur Herausgabe der Schlüssel an die Ermittlungsbehörden, durchaus bereit, die EU habe lediglich nicht bei ihnen angefragt. Gegenüber US-Medien sagte man sogar, man habe Eurojust längst eine Kooperation angeboten. Eurojust bestätigte nun die Darstellung der Skype-Chefetage und entschuldigte sich bei ihnen für die abweichende Darstellung.Alle direkt rausschmeißen, diese Flachpfeifen.
Tja, Leute, so sieht das aus. Das ist die Wahrheit. Unsere Geschäftsprozesse laufen auf Kartenhäusern einer derartig hohen Komplexität, dass der Boden komplett durchrosten kann, und wir merken das erst, wenn ein Gast durch ein paar Stockwerke gefallen ist.
Daher: Profis erkennt man daran, dass sie Komplexität minimieren. Kleine Module, völlige Trennung der Module, minimale (in Anzahl und Größe) Interfaces. Pfuscher erkennt man daran, dass sie Visio starten müssen, um ihr Projekt zu planen.
Die Datenschutzaktivisten kritisieren, der Vorstoß würde die "unbegrenzte und unbefristete Speicherung jeder Eingabe und jedes Mausklicks beim Lesen, Schreiben und Diskutieren im Internet legalisieren". Diese Surfprotokolle dürften an Polizei, Bundeskriminalamt, Geheimdienste sowie an die Unterhaltungsindustrie herausgegeben werden. Eine richterliche Anordnung sei nicht vorgeschrieben, eine Beschränkung auf schwere Straftaten nicht vorgesehen.Und auch der Ziercke lässt mal wieder seiner Phantasie freien Lauf: Bundestrojaner gegen organisierte Kriminalität in Osteuropa. Nanu? Jetzt hat das BKA auch schon die Kompetenzen eines Auslandsgeheimdienstes? Wird ja immer härter! Und was meint er mit organisierter Kriminalität? Phishing, Spamming, Botnetze. Ja, richtig gehört, Ziercke will den Bundestrojaner gegen Botnetze einsetzen.
Gut, der Ziercke ist ja nicht der einzige, der von Tuten und Blasen keine Ahnung hat, und der ein Botnetz nicht erkennen würde, wenn es ihm in den Arsch beisst, geschweige denn einen chinesischen Trojaner auf seiner Festplatte identifizieren könnte. Aber andere Leute halten dann lieber die Schnauze und vermeiden weiteres sich lächerlich machen. Ich gebe zu, bei Ziercke gibt es da nicht mehr viel zu schützendes Material.
Aber war es das schon? Nein! Es gibt noch folgendes grandiose Argument für den Bundestrojaner:
Man werde aber etwa über die Möglichkeit der Quellen-TKÜ zur Aufklärung von Computerkriminalität reden müssen, die Experten zufolge technisch gesehen verdeckten Online-Durchsuchungen nahe kommt. "70 Prozent der Erfolge beruhen heute auf der TKÜ", sagte Ziercke. "Da kann man den Kopf nicht in den Sand stecken".Hey, ich habe noch einen Vorschlag, Herr Ziercke! Wir können uns die Ermittlungen ganz sparen und die Leute direkt in den Knast stecken, da haben wir dann eine noch höhere Erfolgsquote mit! Dieser ganze Rechtsstaat ist uns doch eh nur im Wege. Und wenn jemand Widerspruch einlegt, dann foltern wir das Geständnis einfach aus ihm heraus. Justiz kann so einfach und effizient sein, wenn man den Anspruch der Rechtstaatlichkeit fallen lässt!
Aber nicht nur das BKA nutzt die Gelegenheit für einen Schuss ins Knie. Auch die DATEV greift mal so richtig schön tief ins Klo.
Als großes Hindernis bei der Aufklärung von Verbrechen im Internet machte der Vorstandsvorsitzende der DATEV den Einsatz von Verschlüsselungstechniken durch Angreifer aus: "Wenn nur die Kryptographie nutzen, die etwas verbergen wollen, haben wir ein Riesenproblem."Oh nein, der Angreifer hat seine IP und den Port verschlüsselt!1!! Und den Shellcode auch!!1! Nicht dass irgendjemand von der DATEV erwartet hätte, dass die zur Diskussion was beizutragen haben. Aber trotzdem. Meine Fresse. Können die nicht einfach alle mal die Klappe halten, wenn sie keine Ahnung haben?
Halt halt! Einen hab ich noch! Der Präsident des BSI hat die Lösung gefunden: man muss Emails digital signieren. Mit einem Chipkartenleser. Und schwupps haben wir die perfekt überwachbare Email! Sozusagen selbstüberwachend!
Und da können auch die Inder nicht zurück stehen: Die Inder wollen Telefon- und Internet-Abhören bei jeder Straftat erlauben.
Nicht nur gegen Kinderpornographie will Indien zugleich scharf vorgehen, sondern auch jegliche obszönen Darstellungen verbieten lassen. Ein Unterschied zwischen Produzenten und Nutzern wird dabei nicht gemacht. Auch wer Porno übers Internet allein anschaut, steht damit bereits mit einem Fuß im Gefängnis. Ihm drohen bis zu zwei Jahre Haft. Selbst niedere Polizeibeamte dürfen beim Verdacht auf illegalen Pornokonsum etwa Wohnungsdurchsuchungen durchführen.Constable, da hinten sieht jemand zu zufrieden aus, der hat bestimmt kürzlich zu einem Porno masturbiert!1!!
Wie lange wollen die uns eigentlich noch mit dem islamistischen Terrorismus verarschen?
Im Übrigen: Krieg ist Frieden. Freiheit ist Sklaverei. Ignoranz ist Stärke.
Oh, und fürs Archiv: das sagt nicht irgendein Hobo von der Strasse, sondern ein Rechtsprofessor, ja sogar ein Mitglied des Bayerischen Verfassungsgerichtshofs! Un-glaub-lich! Haben die da überhaupt keine Aufnahmevoraussetzungen? Oder muss man da einfach nur CSU-Betonkopf sein, damit man da die Zulassung kriegt?
Update: Und Vorratsdatenspeicherung ist Terrorismusbekämpfung.
Update: Dieser Herr Heckmann war auch der Vertreter der Regierung im Trojanerprozess vor dem Verfassungsgericht, und hat die Regierung da immer tiefer reingerissen. Wir müssen dem also eigentlich dankbar sein, dass er so ein Extrem-Rhetoriker ist.
Und was will Europol mit den Trojanern tun? "High-Tech Verbrechen" bekämpfen.
The five-year action plan will take steps to combat the growth in cyber theft and the machines used to spread spam and other malicious programs.Europol will also Spam bekämpfen, indem es neben die Spammer-Malware auf euren Computern noch Europol-Malware auf eure Computer tut. Das ist wie mit beidseitig benutztem Klopapier: der Vorteil liegt auf der Hand!Tja, da haben wir dann natürlich keine Wahl, wenn die EU das macht, dann müssen wir das auch machen. Und damit die EU das macht, braucht es jetzt diesen Piloten. Europol, das sind eigentlich Zoll-Leute, Drogenfahnder, Menschenschmuggel, sowas machen die. Und suuuuper erfolgreich, wenn man mal von den enormen Rückgängen bei Drogen und Zwangsprostitution rückrechnet. Genau die richtigen Experten, um Trojaner auf den Rechnern der Bürger zu installieren. Und auch so super überwachbar! Rechtsstaat 2.0!
Das eigentliche Problem ist natürlich, dass dann auch Länder mit noch schlechteren und/oder korrupteren Strafverfolgungsbehörden dann bei uns Trojaner installieren dürften. Und es ist eine Frage der Zeit, bis FSB und FBI dann ganz offiziell via Europol leute trojanisieren dürfen. Na dann eröffne ich mal den Wettpool, bis wann das FBI uns via Europol trojanisieren darf. Klaus tippt 6 Monate, ich 12.
Update: Heise hat mehr, u.a. wie man sowas verkauft:
In einer Mitteilung hebt die EU-Kommission die Bedeutung des Plans hervor, indem das Ausmaß der Internetkriminalität drastisch geschildert wird: "In den Mitgliedstaaten der EU werden jeden Tag Tausende von Angriffen auf Informationssysteme verübt. Viren, die den Datendiebstahl von Personalcomputern erleichtern sollen, Spam, Identitätsdiebstahl und Kinderpornografie breiten sich immer mehr aus. Aktuellen Berichten zufolge hat sich die Zahl der im Internet verfügbaren Bilder von sexuell missbrauchten Kindern in den vergangenen fünf Jahren vervierfacht, und bei jeder zweiten Straftat im Internet geht es um die Herstellung, die Verbreitung oder den Verkauf von Kinderpornografie."
BINGO!!! (Danke, Klaus)
Update: Hier kann man als Bürger seine Anforderungen an das "Bürgerportalgesetz" äußern. Bürgerportal! Das ist ja sooo 1998! Mir tun ja die armen Leute leid, die da jetzt die Pressearbeit für diese Totgeburt machen müssen.
Dr. Rolf Gössner ist Rechtsanwalt, Mitherausgeber des mit der Theodor-Heuss-Medaille ausgezeichneten Grundrechte-Reports, Vizepräsident der Internationalen Liga für Menschenrechte und Jury-Mitglied bei den Big Brother Awards.Der Heise-Report stellt das so dar, als sei das wegen seiner Klage jetzt vorbei, aber ich glaube ja, das ist ganz anders. Ich glaube, die haben auf Burks' Rechner das entlastende Material gefunden *kicher*
Oh apropos Burks: der hat sich ja in seinem Blog nicht entblödet, mir durch die Blume Mitarbeit bei den Diensten vorzuwerfen. Tja, Leute, das passiert mit euch, wenn ihr von der Paranoia aufgefressen werdet. Es gibt ja in anderen Zirkeln die selbe Theorie über ihn, aber ich fand das immer zu plump als Erklärung. Wenn ich ein Dienst wäre, würde ich doch nicht Burks einstellen. Gut, seine "BKA-Trojaner sind keine Gefährdung"-Propaganda sieht schon ein bisschen suspekt aus, das gebe ich zu, aber der hat mit seinen Tron-"Recherchen" praktisch den gesamten CCC gegen sich aufgebracht. Die Dienste wären ja eher daran interessiert, dass sich jemand in den CCC einschleimt und dann von innen berichtet. Kurz: ich glaube das nicht. Aber das ist eben die Gefahr bei Paranoia. Ab einem gewissen Paranoia-Level lassen sich dann auch Gegenbeweise als tatsächlicher Beweis für die eigene Darstellung werten, so ala "die Durchsuchung beim Burks war nur eine vertrauensbildende Massnahme der Dienste, um ihm Street Cred zu verschaffen".
Ich hoffe, ihr lest das Blog hier schon lange genug, um euch eine Distanz zu den Dingen zu bewahren. Sonst endet ihr wie der Typ im Film Pi, den ich übrigens empfehlen kann. Also den Film, nicht den Typen :-)
Oh und for the record: Nein, ich arbeite nicht für Dienste. Niemand im CCC tut das seit Karl Koch. Wer will schon verbrannt auf einer Waldlichtung enden.
Also da müsste ganz klar mal jemand was machen. Vielleicht will der Burks da ja auch mal eine Verfassungsklage machen als Betroffener…? Burks? Mach mal!
Nun, ich bin ja kein Freund von Burks, vor allem weil er Artikel wie diesen schreibt. Und, liebe Telepolis, es ist eine Schande, dass ihr einen Tag nach dem Innenausschuss-Passieren des BKA-Gesetzes so einen Schmuh abdruckt. Habt ihr da echt nichts besseres gefunden?
Aber egal. Rechte sind nur Rechte, wenn sie für alle gelten. Auch Burks hat das Recht, Nebelkerzen zu publizieren. Und diese Hausdurchsuchung war mit Sicherheit Unrecht. Ich hoffe mal, dass er da die angemessenen Schritte gegen diesen Amtsrichter einleitet, der die Durchsuchung für "verhältnismäßig" hielt. Die haben zwar offenbar seinen Rechner mitgenommen, aber die Bombenbastelanleitung ist immer noch Online. Da hat wohl einer der Spezialexperten unserer Regierung nicht verstanden, dass man Webseiten nur in den seltensten Fällen von zuhause aus hostet.
Aber zurück zu Burks publizistischen Nebelkerzen. Es spielt keine Rolle, ob der Staat im Moment in der Lage ist, einen effektiven Bundestrojaner zu bauen oder nicht. Dass gezielte Trojaner effektiv sein können, ist unbestritten. Da muss man nur die Chinatrojaner bei den diversen Behörden betrachten. Dass das BKA mit dem "wir schicken mal einen EXE-Anhang in einer Mail" Ansatz nicht weit kommt, das sehen sie ja auch selber, daher fordern sie ja auch, den Trojaner bei verdeckten Einbrüchen installieren zu dürfen. Burks linkt als "Beweis" für seine These, der Trojaner sei noch nie eingesetzt worden, seit Monaten auf einen Artikel vom April 2007. Mal abgesehen davon, dass das über ein Jahr her ist, und sich seit dem die Faktenlage geändert haben kann: wieso sollten wir dem Autoren glauben? Der ist Richter in Berlin, aber selbst das BKA hat ja verstanden, dass die Erkenntnisse des Trojaners nur schwerlich gerichtsbelastbar sind, insofern heisst das nichts, wenn ein Richter von keinem Fall weiss. Es gibt auf dem Gebiet viele widersprüchliche Aussagen, und man muss da gar nicht verschiedene Leute befragen, schon der Ziercke widerspricht sich laufend selbst. Aufgabe der Presse ist es, den Blödsinn, den Ziercke so von sich gibt, zu publizieren. Dann können Leute wie ich, die sich mit der Materie ein bisschen auskennen, in ihren Blogs dem Ziercke laut ins Gesicht lachen. Burks' heiliger Krieg gegen Presse, die nicht seine Linie vertritt, ist in meinen Augen armselig und eine Schande für seinen Beruf, aber hey, soll er mal machen.
Wenn der Staat ein Gesetz machen würde, dass es Polizisten erlaubt ist, Menschen mit klingonischen Schmerzstäben zu töten, wäre es dann ein gültiges Argument gegen Kritik an dem Gesetz, dass es im Moment keine klingonischen Schmerzstäbe gibt? Das spielt doch keine Rolle, WIE sie ihr Ziel erreichen wollen! Das Ziel ist trotzdem kritikwürdig!
Update: Whoops, connection refused bei Burks. Entweder der Traffic war zuviel, oder sie haben doch den Rechner rausgetragen, oder es hat jemand gemerkt, dass Burkhard "mich kann man mit dem Bundestrojaner nicht hacken" Schröder eine veraltete und angreifbare Wordpress-Version eingesetzt hat. Oder die Polizei hat mein Blog gelesen und sind noch schnell zum RZ gefahren? :-) Sorry, Burks.
Update: Mhh, Burks gilt doch als Journalist. Genießt der da nicht Quellenschutz? Wieso können die überhaupt seinen Rechner raustragen?
Dem Gesetzentwurf zufolge, der der Süddeutschen Zeitung vorliegt, sollen personenbezogene Daten für Zwecke des Adresshandels und der Werbung in Zukunft nur noch genutzt werden dürfen, wenn der Betroffene dazu seine Einwilligung gegeben hat. Davon ausgenommen sind Werbesendungen von Spendenorganisationen.Ach. Nanu? Da kommt bestimmt noch eine Ausnahmeklausel für die Lotterien hin, wie ich unsere Qualitätspolitiker kenne. Immer bis zum äußersten dem Datenschutz verpflichtet, das sieht man schon an den ganzen Wanzen, Kameras und Trojanern, mit denen sie uns bearbeiten wollen. Und den Telekommunikations-Vorratsdaten. Und den Daten, die zur Geldwäschebekämpfung gesammelt werden.
Einer schreibt z.B., dass da auch schon die Verbraucherzentrale Sachsen vor gewarnt hat.
Ansonsten klärt mich ein Banker über die Kosten auf. Lastschrift und Überweisung kosten Geschäfte gleich viel, die zahlen pro Buchung. Der Unterschied ist wie schon vermutet die Rückbuchbarkeit, die halt bei Überweisungen in der Praxis nicht gegeben ist. Und eine rückgerufene Lastschrift kostet eine zweite Buchung für das betroffene Geschäft.
Dann kam da noch diese URL bei der Berliner Volksbank, die explizit vor dem System warnt.
Payment Network AG bietet im Übrigen eine Versicherung bis 5000 Euro an, aber für den Laden, falls der was zurück erstatten soll, nicht für den Endkunden. Falls ein Endkunde Geld zurück will: da gibt es auch eine Versicherung, aber nur bis 2500 Euro, und nur bei "geprüften Händlern" und nur bei "materiellen Konsumgütern", also nicht bei Dienstleistungen, Wertkarten, Content-Bezahlung, und bizarrerweise auch nicht bei Edelmetallprodukten und Münzen (?!?).
Es gab laut dieses Forenbeitrags sogar schon eine Abmahnung der Verbraucherzentrale Berlin.
Dann weist mich noch jemand aus dem TÜV-Umfeld darauf hin, dass TÜV nicht gleich TÜV ist, das war in diesem Fall TÜV Saarland, genauer Tekit aus Bonn, deren Kriterien "Einfache Bedienung, Sichere Übertragung, Schnelle Transaktion" sind, wo ich zwei von dreien erst mal direkt für irrelevant halten würde aus Sicht eines Security-Prüfers. Und der Fliesstext sagt dann, es wurde "in Anlehnung an ISO und BSI Sicherheitsbestimmungen" geprüft. Also vermutlich haben sie geguckt, ob es am Serverraum eine abschliessbare Tür gab (sorry, aber an einem billigen Seitenhieb gegen das BSI komm ich nicht vorbei) :-)
Dann wies jemand auf Giropay hin, das offenbar etwas ähnliches ist. Wenn ich mir deren Seite angucke, liest sich das aber anders, als ob Giropay bei meiner Bank eine Transaktion einträgt, die ich dann bei meiner Bank bestätige, d.h. weder PIN noch TAN gehen an Giropay und es gibt auch keinen Automatismus, weil ich noch mal bestätigen muss als Kunde. Aber das ist jetzt nur vom Überfliegen von deren Webseite.
Dann wies noch jemand auf Conrads Datenschutzstatement hin, wo u.a. folgender Absatz drin steht:
Wir behalten es uns vor, Ihre Daten zur Versendung von Informationsmaterial auch zu eigenen Werbezwecken zu nutzen sowie anderen Unternehmen in zulässiger Weise zu überlassen. Falls Sie damit nicht einverstanden sind, schicken Sie uns einfach eine kurze formlose MitteilungBwahaha, nee klar.
Dann schreibt jemand, dass L'TUR mit einem ähnlichen Verfahren im Jahr 2000 schon Ärger hatte.
Dann schreibt mir noch einer, dass die Überweisung auch nicht an den Kunden geht, sondern an Payment Network, und die das dann an den Kunden weiter leiten, minus einer Kommission. Das finde ich ja nun wieder spannend, weil so eine Kommission ja gerade das Argument gegen Kreditkarten ist. Offenbar nimmt Payment-Networks da weniger Kommission.
Dann schreibt noch jemand, dass der RTL Spendenmarathon das als exklusives Zahlungsmittel anbieten. Das finde ich ja schon krass jetzt, auch wenn ich gegenüber RTL sicher keine überhöhte Erwartungshaltung habe *hust*.
Hier gibt es ein PDF des TÜV-Zertifikats.
Giropay hat offenbar ein Disagio von 2% und kostet in der Integration 5-10 Kiloeuro. Hier hat also blinde Gier der Banken eine Marktlücke für die Sofortüberweisung geschaffen, und die Zeche zahlen am Ende die Kunden. Bei der Sofortüberweisung beträgt der Abzug je nach Fall zwischen 0,8 und 1,5%, bei Kreditkarten um die 3%.
Vielen Dank für die vielen, vielen Zuschriften.
Update: die Pressemitteilungen von denen sind auch witzig. Ebay (!!) hat die auf die Liste der nicht gestatteten Zahlungssysteme gesetzt. Dann machen sie damit Werbung, auf der Venus 2008 (Berliner Pornomesse) vertreten zu sein. Sehr cool auch diese Meldung mit Foto der bayerischen Justizministerin in Tracht.
Update: Hier ist noch eine Meldung zur Ebay-Verbotsliste, aber mit interessanten Kommentaren darunter, u.a. von der Firma selbst. Während die in den Kommentaren hauptsächliche ihre PR abspulen, bleibt vom Artikel selbst vor allem die juristische Keule in Erinnerung, mit der der Geschäftsführer Ebay droht. Das ist ja auch immer ein schlechtes Zeichen, wenn Firmen mit Klage drohen. Auf der anderen Seite ist es Ebay, die ja auch nicht gerade Sympathieträger sind. Aber hey, ich verlinke mal explizit darauf, damit mir keiner einseitige Berichterstattung vorwerfen kann. Da habt ihr deren Seite. Und das ist auch humoristisch durchaus eine Goldgrube, argumentieren sie doch z.B., ihr System sei sicherer, weil die TAN involviert ist, und die könne ja nicht durch einen Angriff auf den Kunden-Rechner erlangt werden (soso, vielleicht wollen die sich mal über die Möglichkeiten von Trojanern informieren). Außerdem ist ihr System vertrauenswürdig, weil PIN und TAN nicht zu Conrad gehen, sondern zu ihnen. Nun, äh, Conrad hat zumindest einen bekannten Namen, von Payment Network AG habe ich noch nie was gehört und habe überhaupt keinen Grund, die für seriös zu halten. Aber lest das mal selber durch. Mein persönliches Highlight:
Uns liegen sogar Schreiben von Banken selbst vor, dass weder technisch noch juristisch gegen sofortüberweisung.de vorgegangen werden kann.
Sie sind auch noch stolz darauf, dass die Banken gegen sie vorgehen wollten!
"Am besten benutzen Sie zwei voneinander getrennte Betriebssysteme – eines fürs Online-Banking und ein anderes fürs Surfen", äußerte sich BKA-Chef Ziercke gegenüber dpa. Beim Geldabheben solle man den Türöffner möglichst mit einer anderen Karte bedienen als den Geldautomaten.Unglaublich. Ich habe gerade kognitive Dissonanz. Das erscheint mir taktisch ungeschickt, auf der einen Seite Trojaner unter dem Volk verteilen zu wollen, und auf der anderen Seite das Volk vor Trojanern zu warnen. Immerhin, einen hat er noch:Ziercke begründete das mit den immer raffinierteren Methoden Krimineller, Heimcomputer mit Trojanern zu infizieren. Diese Schadprogramme lieferten den Tätern Zugangsdaten jeder Art
Zur Bekämpfung dieser Delikte ist die Polizei nach Zierckes Darstellung auf die Vorratsdatenspeicherung angewiesen.
Aber was ich an der Stelle mal loswerden will: Kinderpornographie ist eine viel weniger schlimme Straftat als die meisten Menschen instinktiv annehmen:
Wer pornographische Schriften (§ 11 Abs. 3), die den sexuellen Missbrauch von Kindern (§§ 176 bis 176b) zum Gegenstand haben (kinderpornographische Schriften), 1. verbreitet, 2. öffentlich ausstellt, anschlägt, vorführt oder sonst zugänglich macht oder 3. herstellt, bezieht, liefert, vorrätig hält, anbietet, ankündigt, anpreist, einzuführen oder auszuführen unternimmt, um sie oder aus ihnen gewonnene Stücke im Sinne der Nummer 1 oder Nummer 2 zu verwenden oder einem anderen eine solche Verwendung zu ermöglichen, wird mit Freiheitsstrafe von drei Monaten bis zu fünf Jahren bestraft.Zum Vergleich: für Falsche Verdächtigung kriegt man auch bis zu fünf Jahre.
Interessant ist in meinen Augen aber der Vergleich mit Sexueller Missbrauch von Jugendlichen. Kinderpornographie ist ja mit dem Argument strafbar, damit würde dem Sexuellen Missbrauch von Kindern Vorschub geleistet. Wenn man sich jetzt aber das Strafmass beim Sexuellen Missbrauch anschaut, findet man:
Eine Person über achtzehn Jahre, die eine Person unter sechzehn Jahren dadurch mißbraucht, daß sie 1. unter Ausnutzung einer Zwangslage oder gegen Entgelt sexuelle Handlungen an ihr vornimmt oder an sich von ihr vornehmen läßt oder 2. diese unter Ausnutzung einer Zwangslage dazu bestimmt, sexuelle Handlungen an einem Dritten vorzunehmen oder von einem Dritten an sich vornehmen zu lassen, wird mit Freiheitsstrafe bis zu fünf Jahren oder mit Geldstrafe bestraft.Keine Mindesthaft von 3 Monaten, man kann mit einer Geldstrafe davon kommen! Wartet, geht noch weiter:
In den Fällen der Absätze 1 und 2 kann das Gericht von Strafe nach diesen Vorschriften absehen, wenn bei Berücksichtigung des Verhaltens der Person, gegen die sich die Tat richtet, das Unrecht der Tat gering ist.Man kann sogar ganz straffrei ausgehen mit dem eigentlichen sexuellen Missbrauch! Für mich sieht unser Strafrecht einfach nur noch irrational aus.
Update: Mir schrieb jemand, dass Kindesmissbrauch von § 177 abgedeckt würde, aber das ist etwas anderes, denn Kinderpornographie heißt eben nicht zwangsläufig, dass da Nötigung oder Vergewaltigung im Spiel war.
Die Freundin meines Arbeitskollegen arbeitet bei der Londoner Polizei (ich kenne die Gute persönlich).Wow. Ich muss Niels da zustimmen, manchmal lassen sich die schönen neuen Methoden der Polizeiarbeit besser gegen die Polizei als für sie einsetzen. Seit dem China-Trojaner hege ich ja den Verdacht, dass das bei dem Bundestrojaner genau so ist, da wollen sie, wenn sie schon die Nachteile des ständig selbst durchsucht werdens hinnehmen müssen, wenigstens auch selber ein bißchen rumschnüffeln.Die hat mir erzählt, daß die Londoner Polizei ein neues, großes Problem hat. Wenn männliche Officer dort mit Frauen konfrontiert werden, ist deren neueste Masche, "sich zu berühren" (Originalformulierung "touch themselves") und die so genommene DNS-Probe großflächig auf der Uniform und möglichst Händen und Gesicht des Polizeibeamten zu verteilen.
Anschließend wird behauptet, daß der Officer sie sexuell bedrängt habe, was automatisch eine Untersuchung mit DNS-Probe nach sich zieht, die natürlich in krassem Umfang positiv ausfällt (ist ja überall verteilt).
Nach den eigenen Regularien hat der Officer jetzt ein böses Problem, alle wissen das in der Polizei, aber sie sind irgendwie machtlos gegen die Masche.
Angeblich rollt da gerade eine Riesenwelle auf die Londoner Polizei zu.
The apparent purpose of this tool is to create trojanized PDF files. You select which EXE you want to embed, which PDF file you want to trojanize, and which platform you expect the victim to be using.Cool. Now, the real question is this: How on earth did we get our hands on such a tool?
You'd never guess it.
We received it inside a trojanized PDF file.
Here's what we believe happened:
Someone, somewhere was using this tool for the first time.
They did a test run, selecting a random PDF file and a random EXE to create a trojanized PDF, just as a test.
As a random EXE, they selected — wait for it — GenMDB.EXE itself!
Then the perpetrator was probably curious to find out if the trojan PDF would be detected by virus scanners or not.
So he uploaded the trojanized PDF to an online scanner.
HAHAHAHAHAHA, die Welt ist voller Idioten. Grandios!Ich vermute übrigens, dass das der Trojaner-Einfallsvektor eines Geheimdienstes ist. Niemand sonst braucht das in so ausgefeilt. Das muss Jahre gedauert haben, dieses Tool zu bauen. Und das hat der eine kleine Idiot gerade mit einem Klick vernichtet.
Antivirenhersteller wissen natürlich, dass sie unseriöse Geschäftemacher sind, und kennen auch 42.zip. Warum erzähle ich das alles? Yahoo hat mit McAfee einen Deal gemacht, und wenn man bei deren Suchmaschine nach fefe sucht, kriegt man bei fefe.de ominöse Warnungen, ich würde Trojaner oder Adware verteilen.
Kennt jemand einen Anwalt, der Lust hat, an Yahoo ein Exempel zu statuieren?
[Screenshot 1, Screenshot 2] (Danke, Korbinian)
The Air Force wants a suite of hacker tools, to give it "access" to — and "full control" of — any kind of computer there is. And once the info warriors are in, the Air Force wants them to keep tabs on their "adversaries' information infrastructure completely undetected."The government is growing increasingly interested in waging war online. The Air Force recently put together a "Cyberspace Command," with a charter to rule networks the way its fighter jets rule the skies. The Department of Homeland Security, Darpa, and other agencies are teaming up for a five-year, $30 billion "national cybersecurity initiative." That includes an electronic test range, where federally-funded hackers can test out the latest electronic attacks. "You used to need an army to wage a war," a recent Air Force commercial notes. "Now, all you need is an Internet connection."
On Monday, the Air Force Research Laboratory introduced a two-year, $11 million effort to put together hardware and software tools for "Dominant Cyber Offensive Engagement." "Of interest are any and all techniques to enable user and/or root level access," a request for proposals notes, "to both fixed (PC) or mobile computing platforms… any and all operating systems, patch levels, applications and hardware." This isn't just some computer science study, mind you; "research efforts under this program are expected to result in complete functional capabilities."
Da sitzen echt ein paar 80jährige Emailausdrucker-Sesselfurzer und haben so viel Geld, dass sie da Aladin und die Wunderlampe spielen können. Die schreiben einfach auf, "wir wollen überall on demand Superuser-Zugriff haben". Aber es gibt auch eine positive Seite an dem Ganzen: das ist El Dorado für Snake Oil Verkäufer. Die werden jetzt einmal von jedem unseriösen Knödel-Anbieter verarscht, vermutlich holen sie sich auf dem Wege auch gleich mal schöne China-Trojaner rein, und am Ende können sie genau so viel wie jetzt. :-)
In einer von der FDP-Fraktion im Bundestag geforderten Standortbestimmung hat die Bundesregierung die Entwicklung des Datenschutzrechts in dieser Wahlperiode als "positiv" bezeichnet.Ich glaube ja langsam, dass da der Bush-Effekt einsetzt. Die glauben ernsthaft, die Historiker werden eines Tages klarstellen, dass das doch alles gar keine so vollständige Totalkatastrophe war wie es jetzt aussieht.Die Politik habe gesetzliche Regelungen zum Schutz der Privatsphäre auf europäischer und nationaler Ebene "an veränderte Lebenssachverhalte" angepasst, zieht das federführende Bundesinnenministerium ein Zwischenfazit. Einige weitere Änderungen seien noch vor der Bundestagswahl 2009 geplant.
Es bestünden "keine Bedenken gegen die Wahrung des Verhältnismäßigkeitsprinzips", in das informationelle Selbstbestimmungsrecht der Betroffenen würde nur eingegriffen, soweit dies erforderlich sei. Bei der einheitlichen Steuernummer-ID sei der Zugriff auf damit verknüpfte Daten streng reglementiert, die Nutzung gegen Missbräuche gesichert.Ich bin ja kein gewalttätiger Mensch, aber wenn ich das lese, gerate ich doch in Versuchung.
Ist die Identität festgestellt, sind die im Zusammenhang mit der Feststellung angefallenen Unterlagen zu vernichten, es sei denn ihre weitere Aufbewahrung ist nach anderen Rechtsvorschriften zulässig.WTF? "zulässig", nicht "notwendig"? Und überhaupt: alles wird vernichtet!! April April!
Sind die Unterlagen an andere Stellen übermittelt worden, sind diese über die erfolgte Vernichtung zu unterrichten.Vermutlich, damit DIE dann die Unterlagen aufheben und nichts verloren geht. Ich sehe da ein lustiges Aktenkarussell vor meinem geistigen Auge.
Ich frage mich ja auch, wie ich mir das Vorladungsrecht vorzustellen habe. "Kommen Sie mal morgen nach Wiesbaden, bitte!" oder wie?
Außerdem dürfen da Kontakt- oder Begleitpersonen längerfristig observiert, video- und audioüberwacht, mit Peilsendern versehen, mit V-Männern oder verdeckten Ermittlern bearbeitet werden, wenn:
die Abwehr der Gefahr oder die Verhütung der Straftaten auf andere Weise aussichtslos ist oder wesentlich erschwert wäre.Da wird nicht gefordert, dass die Ermittlung weniger aussichtslos ist durch die Maßnahmen! Die selbe Klausel "schützt" auch Bürger vor Beschnüffeln in Ton und Bild. Im Übrigen scheißen wir auf unschuldige Passanten:
Die Maßnahme kann auch durchgeführt werden, wenn Dritte unvermeidbar betroffen werden.Das ist dann wohl die annalist-Klausel. Frauen, Kinder, Nachbarn? Egal, da scheißen wir drauf. Alle plattmachen!1!!
Oh und hier sind die Kriterien für eine Gefahr, die einen BKA-Einsatz rechtfertigt:
Abwehr einer Gefahr für den Bestand oder die Sicherheit des Staates oder für Leib, Leben oder Freiheit einer Person oder Sachen von bedeutendem Wert, deren Erhaltung im öffentlichen Interesse geboten ist.Wenn also jemand an
Für die verdeckten Ermittler braucht es immerhin einen richterlichen Beschluß, wenn die Privatwohnungen betreten — aber es gibt natürlich auch eine "Gefahr im Verzug" Regelung, bei der dann nachträglich abgebrochen werden muss, wenn der Richter das nicht unterschreiben will, und keine Regelung, dass so illegal gewonnene Erkenntnisse nicht verwertet werden dürfen. Oh und guckt euch mal das hier an:
Ein Verdeckter Ermittler darf unter der Legende mit Einverständnis des Berechtigten dessen Wohnung betreten. Das Einverständnis darf nicht durch ein über die Nutzung der Legende hinausgehendes Vortäuschen eines Zutrittsrechts herbeigeführt werden.Tolle Wurst. Sie dürfen auch Wohnungen anderer Leute als des Verdächtigen abhören, wenn sich der Verdächtige dort aufhält und das Beschnüffeln in den eigenen vier Wänden "alleine nicht zur Abwehr der Gefahr nach Absatz 1 führen wird". Also, auf Deutsch: solange das Schnüffeln und Spannen nur sinnlos genug ist, können sie es ausweiten. Prima, nicht wahr? Ich fühle mich gleich viel sicherer! Und wieder gibt es einen Richtervorbehalt, der (selbst unter der nicht zutreffenden Annahme, dass ein Richtervorbehalt tatsächlich einen Schutz darstellt) durch eine Gefahr-im-Verzug Regelung ohne Verwendungsverbot für illegal erhobene Daten ausgehebelt wird.
Bei dem Lauschangriff haben sie folgenden "Schutz" drin:
Die Maßnahme nach Absatz 1 darf nur angeordnet und durchgeführt werden, soweit auf Grund tatsächlicher Anhaltspunkte, insbesondere zu der Art der zu überwachenden Räumlichkeiten und dem Verhältnis der zu überwachenden Personen zueinander, anzunehmen ist, dass durch die Überwachung Äußerungen, die dem Kernbereich privater Lebensgestaltung zuzurechnen sind, nicht erfasst werden.Wenn dann doch was privates passiert, sollen sie abschalten. Wenn sie sich nicht sicher sind, sollen sie weiter aufnehmen (aber offenbar nicht reinhören) und das wird dann einem Richter übergeben, der es dann löschen läßt, wenn es zu privat ist. Und das soll mich jetzt beruhigen? Dass statt einem BKA-Beamten ein Richter in meinem Leben herum schnüffelt? Da fühle ich mich doch gleich viel sicherer!1!!
Dann geht es weiter mit der Ausschreibung zur polizeilichen Beobachtung. Hier kommen wir offenbar ins Gebiet der Phrenologie, denn da gibt es folgende tolle Formulierung:
Die Ausschreibung zur polizeilichen Beobachtung ist nur zulässig, wenn […] die Gesamtwürdigung der Person und ihre bisher begangenen Straftaten erwarten lassen, dass sie künftig Straftaten gemäß §4a Abs 1 Satz 2 begehen wird […] und dies zur Verhütung der Straftaten erforderlich ist.Wie kann eine Ausschreibung zur polizeilichen Beobachtung jemals für die Verhütung einer Straftat erforderlich sein? Immerhin haben sie ja schon Peilsender in ihrem Sortiment. Daher nehme ich mal an, dass das nur so als Floskel da steht, aus optischen Gründen, und das nie wirklich fraglich sein wird.
Oh und das BKA darf Rasterfahndung machen. Dann dürfen sie
[…] von öffentlichen oder nicht-öffentlichen Stellen die Übermittlung von personenbezogenen Daten von bestimmten Personengruppen […] verlangen […].Lacher am Rande:
Von den Verfassungsschutzämtern des Bundes und der Länder, dem Militärischen Abschirmdienst sowie dem Bundesnachrichtendienst kann die Übermittlung nach Satz 1 nicht verlangt werden.Da sieht man die amtsinternen Schlachtfelder förmlich vor sich. Und was tun sie jetzt mit den Daten? Nun, sie löschen sie. Außer… ja außer:
zu löschen, soweit sie nicht für ein mit dem Sachverhalt zusammenhängendes Verfahren erforderlich sind.Jetzt frage ich mich als Laie natürlich, was "zusammenhängendes Verfahren" ist. Wenn sie da z.B. wegen "ZOMG TERRORISTEN, WAFFENSCHMUGGEL" rasterfahnden, und die Daten dann an die IFPI übergeben, ist das dann auch ein "zusammenhängendes Verfahren"? Geht ja in beiden Fällen um Schmuggel, und es weiß doch jeder, dass Raubkopierer Terroristen sind.
Aber kommen wir zum Bundestrojaner, dem eigentlichen Grund, wieso wir hier sind. Immerhin steht da diesmal nichts von Sachschäden, sondern nur Leib, Leben oder Freiheit, Güter der Allgemeinheit, deren Bedrohung die Grundlagen oder den Bestand des Staates oder die Grundlagen der Existenz der Menschen berührt. "Berührt"? Nicht "bedroht" oder "in Frage stellt"? Desweiteren:
Eine Maßnahme nach Satz 1 ist auch zulässig, wenn sich noch nicht mit hinreichender Wahrscheinlichkeit feststellen lässt, dass ohne Durchführung der Maßnahme in näherer Zukunft ein Schaden eintritt, […]ACH. Also planen sie doch die weitgehend unbegründete Massenmaßnahme? Anders kann ich das nicht lesen hier.
[…] sofern bestimmte Tatsachen auf eine im Einzelfall durch bestimmte Personen drohende Gefahr für eines der in Satz 1 genannten Rechtsgüter hinweisen.Dieser "bestimmte Personen" Teil stört mich. Wie, bestimmte Personen? Nicht die Zielperson? Das klingt für mich nach "wir schnorcheln mal alles mit", so vage wie das hier formuliert ist. Immerhin:
Die Maßnahme darf nur durchgeführt werden, wenn sie für die Aufgabenerfüllung nach § 4a erforderlich ist und diese ansonsten aussichtslos oder wesentlich erschwert wäre.Hier kommt also mal wieder die "muss nur sinnlos genug sein" Regel ins Spiel.
Die Maßnahme darf sich nur gegen eine Person richten, die entsprechend §17 oder §18 des Bundespolizeigesetzes verantwortlich ist. Die Maßnahme darf auch durchgeführt werden, wenn andere Personen unvermeidbar betroffen werden.Das ist ja lächerlich. Erst sagen sie, man darf das machen, wenn man nicht sicher ist, dass überhaupt in näherer Zukunft ein Schaden zu erwarten ist, und dann das hier? Woher soll man denn dann wissen, wer der Verantwortliche sein wird, wenn man noch nicht mal weiss, dass es in absehbarer Zeit stattfinden wird?
Noch eine Frage: Gefahr für Leib und Leben kann man ja auch sagen, wenn jemand selbstmordgefährdet ist. Kann das BKA jetzt alle Emo-Teenies verwanzen?
Kommen wir zu dem Teil, wo sie versuchen, ihren Hintern zu bedecken.
Liegen tatsächliche Anhaltspunkte für die Annahme vor, dass durch die Massnahme allein Erkenntnisse aus dem Kernbereich privater Lebensgestaltung erlangt würden, ist die Maßnahme unzulässig.Solange also jemand auch nur einen Spam auf dem Rechner kriegt, ist der Rechner Freiwild.
Soweit möglich, ist technisch sicherzustellen, dass Daten, die den Kernbereich privater Lebensgestaltung betreffen, nicht erhoben werden.Hier ist ja unstrittig (unter Leuten, die schon mal einen Computer gesehen haben), dass das unmöglich ist. Eine reine PR-Luftnummer also, diese Formulierung überhaupt aufzunehmen.
Erhobene Daten sind unverzüglich von zwei Bediensteten des Bundeskriminalamtes, von denen einer die Befähigung zum Richteramt hat, auf kernbereichsrelevante Inhalte durchzusehen.HAHAHAHAHAHA, bitte was?! Das ist ja zum Totlachen! Befähigung zum Richteramt? Was haben DIE denn geraucht?
Bestehen Zweifel, ob Daten dem Kernbereich privater Lebensgestaltung zuzurechnen sind, sind diese zu löschen oder unverzüglich dem anordnenden Gericht zur Entscheidung über die Verwertbarkeit und Löschung der Daten vorzulegen.Der größte Hammer in dem Gesetzesentwurf ist aber, dass sie ernsthaft zwischen Bundestrojaner und "Quellen-TKÜ" unterscheiden. Quellen-TKÜ ist selbstverständlich exakt das gleiche. Hier wird ein Trojaner eingebracht. Aber mit diesem argumentativen Taschenspielertrick versuchen sie, den Bundestrojaner durch die Hintertür durchzuschmuggeln. Beim Trojanereinsatz zum Skype-Abschnorcheln gibt es dann nämlich doch wieder Sachschaden als Anlaß. Oh und erinnert ihr euch an deren dreistes Rumgelüge, dass das Erstellen eines Bundestrojaners ja so aufwendig sei, der für jedes Ziel extra zurecht angepaßt werden müsse, und daher das eh keine Maßnahme sei, die man mal eben machen könnte, das braucht enormen Vorlauf, blahblah? Zuletzt wurde diese dreiste Lüge von Herr Bosbach bei "Klipp und Klar" im RBB geäußert. Der ist ja eh schon häufiger durch kreative Realitätsauslegung aufgefallen. Und jetzt haben sie eine "Gefahr im Verzug" Regelung dafür. Falls die Zeit zu knapp ist, um einen Richter zu befragen. Laßt mich das noch mal in groß schreiben:
Für den Bundestrojaner gibt es eine "Gefahr im Verzug" Regelung.
Damit überführen sie sich selbst der Lüge. Ist das nicht toll? So einfach kann das gehen. Erst lügen sie uns ins Gesicht, dann glauben sie, wenn das Gesetz nicht öffentlich gemacht wird, bevor es zu spät ist, dann könnten sie da Tatsachen schaffen.
Weiter geht es im Gesetz mit dem Erheben von Verkehrsdaten, wo sie dem BKA Zugriff auf die Daten der Vorratsdatenspeicherung einräumen, und wieder mit der "auf andere Weise aussichtslos oder wesentlich erschwert" Inkompetenzklausel.
Danach kommen noch so unwichtige Details wie dass das BKA "zur Abwehr einer Gefahr eine Person vorübergehend von einem Ort verweisen oder ihr vorübergehend das Betreten eines Ortes verbieten" kann. Auf dieser nicht vorhandenen Einschränkung basierend kann das BKA dann auch alle Leute festnehmen, um "einen Platzverweis […] durchzusetzen" oder einfach nur so, präventiv, weil sie verdächtig sind. Und wenn das BKA jemanden festhalten kann (was ja nicht weiter eingeschränkt ist so als Personengruppe), dürfen sie sie auch durchsuchen. Wobei sie ja eh jeden durchsuchen dürfen, der eine Sache bei sich führt, mit der er sich verletzen oder Leben oder Gesundheit anderer schädigen kann (also alles, eigentlich. Wenn man es wirklich will, kann man sich mit einer Hose oder einem Taschentuch umbringen). Oder wenn man mit der Sache Sachen beschädigen oder sich oder anderen die Flucht ermöglichen oder erleichtern kann (was sie damit wohl meinen? "Schuhe"?). Oh und natürlich kann das BKA Personen durchsuchen, um zu gucken, ob sie Waffen bei sich führen. Hierfür muss noch nicht einmal eine Bedrohung für andere ausgehen, es reicht schon, wenn der BKA-Beamte sich selbst durch potentielle Waffen bedroht fühlt. Aber wartet, kommt noch besser.
Das Bundeskriminalamt kann eine Wohnung ohne Einwilligung des Inhabers betreten und durchsuchen, wenn […] Tatsachen die Annahme rechtfertigen, dass sich in ihr eine Sache befindet, die nach §20s Abs 1 Nr 1 sichergestellt werden darf.Und das waren die Sachen, mit denen man sich oder andere töten oder verletzten, Sachen beschädigen oder sich oder anderen die Flucht ermöglichen oder erleichtern kann. Wir halten also fest: das BKA darf alle Wohnungen durchsuchen, denn Tatsachen sprechen dafür, dass sich darin Messer befinden, mit denen man sich verletzten kann. Und Werkzeug, mit dem man Sachen beschädigen kann. Immerhin dürfen sie nachts nur kommen, wenn dies zur Abwehr einer gegenwärtigen Gefahr […] erforderlich ist. Da fühlt man sich doch gleich viel sicherer! Oh, oder wenn es eine dringende Gefahr ist (§20t Abs 3) und erfahrungsgemäß dort was zu holen ist.
Auch der Schutz von Journalisten und Anwälten ist ganz toll gelungen:
Soweit durch eine Maßnahme eine [solche Person] betroffen wäre und dadurch voraussichtlich Erkenntnisse erlangt würden, über die diese Person das Zeugnis verweigern dürfte, ist dies im Rahmen der Prüfung der Verhältnismäßigkeit unter Würdigung des öffentlichen Interesses an den von dieser Person wahrgenommenen Aufgaben und des Interesses an der Geheimhaltung der dieser Person anvertrauten oder bekannt gewordenen Tatsachen besonders zu berücksichtigen.Äh, wie meinen? Verhältnismäßigkeit? Abwägung? Das ist ja krass. Also wenn das BKA meine Wohnung abhört, und mein Anwalt besucht mich, dann müssen die nicht sofort aufhören, sondern das liegt dann im Ermessen von jemandem beim BKA?!? Das kann sich ja wohl nur um einen Scherz handeln!? Oh, wird noch härter:
Die Absätze 1 bis 3 gelten nicht, sofern Tatsachen die Annahme rechtfertigen, dass die zeugnisverweigerungsberechtigte Person für die Gefahr verantwortlich ist.BWHAAHAHAHA, was für eine Farce! "Der spricht häufig mit seinem Anwalt, also ist der Anwalt mit verantwortlich, den hören wir jetzt mal ab" oder wie? Mann Mann Mann.
Erwähnte ich, dass das Zeugnisverweigerungsrecht abgeschafft wird?
Unter den in […] bezeichneten Voraussetzungen ist der Betroffene zur Verweigerung der Auskunft berechtigt. Dies gilt nicht, soweit die Auskunft zur Abwehr einer Gefahr für den Bestand oder die Sicherheit des Staates oder Leib, Leben oder Freiheit einer Person erforderlich ist.Immerhin dürfen sie die Erkenntnisse nicht zweckentfremden. Interessant ist, wie sie die Auskunftspflicht definieren. Man muss Namen, Vorname, Tag und Ort der Geburt, Wohnanschrift und Staatsangehörigkeit angeben. Weitere Auskünfte können sie nur von dem Tatverantwortlichen verlangen, und "entsprechend den Voraussetzungen des §20 Abs 1 des Bundespolizeigesetzes für die dort bezeichneten Personen". Nur — seht ihr da eine Einschränkung eines Personenkreises? Ich nicht.
Also, liebe Leute, das ist jetzt in eurer Verantwortung, eure Bekannten über dieses Gesetz aufzuklären. Erzählt ihnen von der "Quellen-TKÜ", mit der sie Trojaner auch bei Sachbeschädigung etablieren wollen, von der Wohnungsdurchsuchung, wenn man dort Messer oder Schuhe vermuten kann, von den Platzverweisen (da steht übrigens nur, dass sie befristet sein müssen, nicht dass die Frist nicht "1000 Jahre" sein kann, und da steht auch nicht, dass der Ort, dessen man verwiesen wird, nicht "Bundesrepublik Deutschland" sein kann), den Präventivverhaftungen (Guantanamo, ick hör dir trapsen), den Durchsuchungen… Wenn wir da jetzt nicht ein Faß aufmachen, dann wird das so durchgewunken.
Update: Stellt sich raus, dass ausgerechnet Denkmäler nicht zum Schutz gegen Missbrauch videoüberwacht werden dürfen.
Update: Da ist noch ein kleines Detail, das ich übersehen hatte, bei der Benachrichtigungspflicht.
Zudem kann die Benachrichtigung einer […] Person, gegen die sich die Maßnahme nicht gerichtet hat, unterbleiben, wenn diese von der Maßnahme nur unerheblich betroffen wurde und anzunehmen ist, dass sie kein Interesse an einer Benachrichtigung hat.
Ich denke, da sollten jetzt 60 Millionen Briefe beim BKA aufschlagen, die grundsätzliches Interesse an Benachrichtigungen bekunden.
Nun, anläßlich aktueller Ereignisse wird klar, wen sie da als Zielgruppe vor Augen haben: Deutsche Verwaltungsangestellte. Im Gegensatz zu unbescholtenen Bürgern (und Terroristen und Kriminellen) hat ja beim BMI offensichtlich niemand irgendwelche Konsequenzen zu befürchten, wenn da sensible Daten verloren gehen. Und die beim BMI sind auch dämlich genug, sich von China Trojaner unterschieben zu lassen. Da paßt dann plötzlich alles.
Und man könnte fast sagen, sie hätten auf mich gehört. Ich proklamiere ja seit Jahren, dass die am auffälligsten kriminelle Kaste in Deutschland Politiker sind. Innenministerium, Bundestag, das ist nicht so weit voneinander entfernt. Also mal rein örtlich gerechnet. So weit haben sie gar nicht daneben gezielt mit ihrer Zielgruppe!
Update: Auch Hessen und Baden-Württemberg wollen Wohnungseinbrüche zur Trojanerinstallation erlauben. Alle von der schwarzen Pest regiert. (Danke, Bernd)
Wenn den Sicherheitsbehörden die Online-Durchsuchung erlaubt werde, müsse ihnen auch die Möglichkeit gegeben werden, physisch auf den Rechner zuzugreifen. Dabei handele es sich nicht um eine Durchsuchung der Wohnung des Verdächtigen, sondern lediglich um ein Betreten. Das sei "von der heutigen Verfassungslage im Bereich der Gefahrenabwehr gedeckt", zitiert der Tagesspiegel den CDU-Politiker.Und wer sagt so einen Schmuh? Der "CDU-Innenexperte". Heute braucht es offenbar nicht mehr viel, um ein "Innenexperte" einer "Volkspartei" zu werden. Aber hey, die CDU will euch nicht durchsuchen, sie will euch nur besuchen! In aller Freundschaft! Um dann auf dem Teppich einen Haufen und auf dem PC einen Trojaner zu hinterlassen. Aber dass nach einem CDU-Besuch der Gestank nicht so einfach weggeht, das war ja eh jedem klar.
Diese verdeckte Fahndungsmethode dürfe nur dann angewandt werden, wenn es "Anhaltspunkte einer konkreten Gefahr für ein überragend wichtiges Rechtsgut" gebe, entschieden die Karlsruher Richter. Dazu gehörten "Leib, Leben und Freiheit der Person". Das gleiche gelte, wenn die Grundlagen oder der Bestand des Staates oder die Grundlagen der Existenz der Menschen bedroht seien.Gerade letzteres erinnert an die Antiterror-Gummiparagraphen. Das wird sich vergleichsweise einfach konstruieren lassen, wie ich fürchte.
Update: Ich habe mir gerade von einem Verfassungsrechtler erklären lassen, dass das doch stärker formuliert ist, als ich das verstanden habe. Hier ist das Urteil, ich zitiere mal:
Das Erfordernis tatsächlicher Anhaltspunkte führt dazu, dass Vermutungen oder allgemeine Erfahrungssätze allein nicht ausreichen, um den Zugriff zu rechtfertigen. Vielmehr müssen bestimmte Tatsachen festgestellt sein, die eine Gefahrenprognose tragen (vgl. BVerfGE 110, 33 <61>; 113, 348 <378>).
Dazu gehört auch, dass die laufende Betonung der Bedeutung der Online-Durchsuchung die IT-Kräfte in der Behörde nicht eben beruhigt. Auf dem Polizeikongress machte sich ein Beamter, nach eigenen Aussagen IT-Experte bei der Berliner Polizei, im Fachpanel über die Online-Durchsuchung seine Gedanken. "Ich frage mich, gegen wen sich das vorgeschlagene Gesetz eigentlich richtet. Wenn wir wissen, dass wir mit unseren Tools nicht gegen die OK [organisierte Kriminalität] und Geldwäsche ankommen, weil die strikt Klartextdateien nur auf separaten Rechnern führen, dann müssen wir uns fragen, was unter dem Deckmantel der terroristischen Bedrohung passiert. Wir produzieren dann nur gemeinte Sicherheit und fangen Otto Normalverbraucher, der mal ein paar Dateien aus dem Netz geladen hat, ob das Nazireden oder Pornografie ist. Da habe ich als Beamter ein großes Problem."Wow. Ich freue mich sehr, dass da ein Beamter genug Arsch in der Hose hatte, das mal offen zu sagen. Und die Antwort auf sowas ist immer die gleiche. Wir haben das ja auch schon ein paar Mal angesprochen, dass sie damit nur die Doofen fangen werden. Da heißt es dann immer:
Die Antwort des Datenschüzters Wolfgang von Pommer Esche, der den Bundesdatenschützer Peter Schaar vertrat, fiel nicht beruhigend aus: "Jeder Kriminelle macht mal Fehler. Da muss man Geduld haben." Außerdem sei die Methode, einen Trojaner zu programmieren so aufwendig, dass die Behörden den Zielrechner genau auskundschaften müssten, sodass keine Gefahr bestehe, dabei irrtümlich einen Normalverbraucher ins Visier zu nehmen.Nur sagen das normalerweise die Betonköpfe aus dem Führungskreis um SSchäuble herum, nicht der Vertreter des Datenschutzes. Das schockiert mich dann doch, dass ausgerechnet der jetzt auch diesen Blödsinn von sich gibt.
Immerhin. Wir haben da die öffentliche Meinung so polarisiert gekriegt, dass die Befürworter des Bundestrojaners alle kurzfristig abgesagt haben. Das ist ja auch schon mal was. Keiner kann im Moment sagen, ihm sei nicht klar, dass niemand aus dem Volk diesen Trojaner haben will.
Bemerkenswert an dem Angebot sind folgende Details:
Ohne irgendwas davon mal in Aktion gesehen zu haben, maße ich mir mal folgende Glaskugel-Aussagen an:
Update: noch was vergessen: die verkaufen der Polizei auch gleich zwei (!) Proxy-Server zum Verschleiern der IPs. Zwei! Das finde ich bemerkenswert. Hat wohl doch mal jemand aufgepaßt bei unseren Tor-Vorträgen :-)
Wie kommt es? Nun, ich denke, die haben ihr Umfeld fertig. Eine Packung Fake-Terroristen mit Fake-Daten auf ihren Fake-Festplatten, und es fehlt nur noch der Trojaner, um damit ein Blutbad abzuwenden. Es wird sich wahrscheinlich um fake-ausländische Fake-Islamisten handeln, die durch die porösen Grenzen eingewandert sind, damit die CSU auch gleich ihre barbarische Ausländerhetzpolitik untermauern kann. Ich würde sogar vermuten, dass sie die Fake-Auswertung der Fake-Daten schon fertig haben, damit sie die Fake-Ergebnisse noch vor dem Verfassungsgerichtsurteil präsentieren können. Nun, wir werden sehen.
Diese E-Mails sind nach Ansicht des BfV chinesischen Ursprungs und trugen eine Schadsoftware mit sich. Bislang gibt es allerdings noch keine gesicherten Hinweise, dass die in den Angriffsmails eingebundene Schadsoftware erfolgreich in Funktion getreten istOh, keine gesicherten Hinweise. Das ist ja auch schwierig im Trojanerumfeld, weshalb wir ja auch dagegen sind, dass der Verfassungsschutz mit Trojanern auf die Bevölkerung losgelassen wird.
Überhaupt fällt die Bundesanwaltschaft schon wieder negativ auf. Können die nicht mal die Klappe halten und hoffen, dass über ihren bisher geäußerten Flurschaden Gras wächst? Ein-zwei Generationen, und ihr Image ist wieder so gut wie neu!
Oh, und dann das hier: Mit Skype haben sie noch gar nicht gesprochen, sagt Ziercke. Warum auch, dann wäre ja der Vorwand für den Trojaner weg. Und wenn wir schon bei Vorwänden sind — lasst uns doch gleich mal einen zweistelligen Millionenbetrag verbrennen!
Auf Nachfrage von heise online erläuterte Ziercke seine Forderung, Kompetenz-Center zur Analyse von Massendaten einzurichten. Entsprechende Geräte können 50 bis 60 Millionen Euro kosten und könnten angesichts der weiter abnehmenden Halbwertzeit von IT-Anlagen nicht von allen Kriminalämtern einzeln angeschafft werden.Aus dem Fenster werfen ging nicht, da liegen noch die ganzen vorigen Geldstapel und verstopfen den Weg. Ich warte ja darauf, dass mal eine Klimaschutzorganisation die Bundesregierung wegen des ganzen Geldverbrennens auf ihre CO2-Bilanz anspricht.
"Das gemeine an moderner Schadsoftware ist, dass die Software on demand für den jeweiligen PC zusammengebaut wird. Keine dieser Malware gleicht einer anderen, sodass die Signaturen niemals stimmen", beschrieb Manske die Methode, mit der möglicherweise auch der "Bundestrojaner" arbeiten wird: Der PC wird mit kleinen Programmen infiziert, die sich erst hinter dem Firewall zum schädlichen Trojaner zusammensetzen.Das ist grotesker Blödsinn. Kein Wunder, dass das BKA so eine Panik schiebt, wenn deren Sachkenntnis sich auf diesem Niveau bewegt.
Immerhin haben sie inzwischen verstanden, dass Antiviren prinzipbedingt nicht funktionieren können. Ich sage das seit den 90er Jahren.
Immerhin faseln die Schweizer nicht nur, sondern haben das auch gleich mal entwickeln lassen:
Die von der Schwyzer Firma Era IT Solutions entwickelte Softwarewanze hört Telefonate ab, die über den Internetdienst Skype oder andere Telefonieprogramme geführt werden. Einmal auf einen Rechner geschleust, lässt sich ein solcher Trojaner um weitere Funktionen erweitern. Dazu gehören das Aufzeichnen von Tastatureingaben und eben das versteckte Durchsuchen von Festplatten nach bestimmten Dateien. Es gibt zudem Programme, die das Geschehen auf dem Bildschirm als Film aufzeichnen. So kann man unter anderem verschlüsselte E-Mails im Klartext mitlesen.Na, ist das nicht toll? Man kann das nachträglich um Funktionen erweitern! Na wenn ihnen das mal nicht um die Ohren fliegt, das haben die Deutschen ja strikt dementiert, dass da irgendwas zur Laufzeit geändert werden könne, weil sonst wäre ja die Beweislast auch dahin.
Aber hey, was kann da schon passieren.
«Solche Wanzen dürfen nur mit richterlicher Genehmigung in Ausnahmefällen zur Anwendung kommen», sagt Hansjakob. Zudem müssten die Betroffenen nachträglich informiert werden.Das funktioniert ja schon in anderen Fällen prächtig. Schließlich wird die überwiegende Mehrheit eines Viertels der Leute nach Lauschangriffen tatsächlich informiert, in Deutschland. Und in der Schweiz ist das bestimmt mindestens genau so ein hohes Niveau.
Interessanterweise geht dem Hansjakob (der leitet übrigens die Arbeitsgruppe Organisierte Kriminalität der Konferenz der Strafverfolgungsbehörden der Schweiz) ein Trojanereinsatz des Inlandsgeheimdienstes zuweit.
Ich finde das ja erfrischend, dass die Schweiz a) noch die Organisierte Kriminalität als Buhmann zitiert und noch nicht Kinderpornos oder die Terroristen, das ist ja schon fast nostalgisch aus dem letzten Jahrtausend, und b) nur von Strafverfolgung redet, nicht vom vorbeugenden Einsatz gegen "Gefährder" oder feindliche Kombattanten.
Interessant auch:
Zudem sei die geheime Durchsuchung von PCs wenig effizient, wenn nicht auch verdeckte Hausdurchsuchungen in Abwesenheit der Angeschuldigten erlaubt seien.AHA! Darauf warte ich ja schon länger, dass das hier mal in der Diskussion auftaucht. Bei uns wollen sie das ja so durchschummeln, indem sie davon reden, das einfach zu machen, z.B. um den Trojaner zu installieren. Und dann hoffen sie, dass keiner merkt, dass es für heimliche Hausdurchsuchungen zum Trojanerinstallieren keine Rechtsgrundlage gibt. (Danke, Dobin)
Eine größere öffentliche Diskussion über das Thema konnten sie im Vorfeld ihrer Entscheidung erfolgreich vermeiden.Was gibt es da auch zu diskutieren. Software haben sie noch keine, aber ich bin mir sicher, die Deutschen geben ihnen gerne die China-Trojaner aus dem Kanzleramt. Bei denen weiss man immerhin, dass sie funktionieren.
Der CCC hat den Andreas Bogk hingeschickt, und ich habe ein bisschen an dem Schreiben mitgearbeitet. Daher bin ich zuversichtlich, dass wir die wichtigen Argumente alle genannt haben. Heute wird es wohl eigentlich nur Fragen geben, keine Grundsatzreden, aber vielleicht kann das ja der eine oder andere doch nutzen für ein emotionales Plädoyer :-)
Der Pfitzmann ist auch ein Experte und ich sehe gerade, dass er ähnlich argumentiert wie wir:
Für Pfitzmann ist eine Debatte, die die Online-Durchsuchung nur unter dem Artikel 13 des Grundgesetzes (Unverletzlichkeit der Wohnung) wertet, rückwärtsgewandt. Vielmehr müsse überlegt werden, wie sich die Zukunft der Computertechnik gestalten wird. Mensch und Computer würden in naher Zukunft immer engere symbiotische Verbindungen eingehen, wie es bei Menschen mit intelligenten Hörgeräten heute bereits ersichtlich werde: "Wir werden in diese Rechner zunehmend verloren gegangene Fähigkeiten auslagern, um sie so wiederzugewinnen. Wir werden an sie persönlichste Denk- und Merkfunktionen delegieren, um uns zu entlasten", so Pfitzmann in seiner Argumentation.Sehr schön. Ganz so toll pointiert haben wir das nicht gesagt, aber gemeint haben wir es. Der Vergleich mit den "Wahrheitsdrogen" freut mich sehr, da hätten wir auch drauf kommen sollen. Na egal. Ich bin ganz zuversichtlich, dass das in unserem Sinne entschieden werden wird. Ich habe ja argumentiert, dass man das heute schon so sagen kann. Wer schon mal einen Crackberry-Süchtigen bei der Arbeit beobachtet hat, wird das ähnlich sehen.Daher sei die Debatte um die Zukunft der Online-Durchsuchung künftig weniger mit einer klassischen Hausdurchsuchung vergleichbar als vielmehr ein direkter körperlicher Eingriff, der mit der "Verabreichung bewusstseinsverändernder Drogen zum Zwecke des Erlangens von Aussagen" vergleichbar, meint Pfitzmann. Aus diesem Grunde müsse das Verfassungsgericht ein "grundlegendes Urteil zum Schutz unseres Denkens und Merkens" fällen. Mit der computerunterstützten Persönlichkeitserweiterung gehe es bei der Entscheidung zur Online-Durchsuchung künftig zentral um den "Schutz des autonomen und unbeobachteten Denkens", so Pfitzmann in seinem Plädoyer.
Im Übrigen, völlig unabhängig davon: der Pohl hat in seiner Inkompetenz das Wort "Less-Than-Zero-Day" erfunden und in die Welt gesetzt, das auch gerade vor dem Verfassungsgericht benutzt wird. Ihr habt hiermit die Erlaubnis, jeden laut auszulachen, der das sagt. Klarer kann man seine Inkompetenz nicht zum Ausdruck bringen. Ein Exploit, der heute bekannt wurde, ist an Tag 1, sozusagen ein "1-Day". "0-Day" heißt bereits, dass er noch nicht bekannt ist. Weniger als nicht bekannt geht nicht. Nur inkompetente Idioten benutzen das Wort "Less-Than-Zero-Day".
Oh, noch ein Highlight:
Zum Erstaunen von Richtern und Experten hat der juristische Vertreter der nordrhein-westfälischen Landesregierung, Dirk Heckmann, bei der mündlichen Verhandlung über das NRW-Verfassungsschutzgesetz vor dem Bundesverfassungsgericht die damit gestattete Ausforschung etwa von Festplatten privater Rechner kleinzureden versucht. "Es geht hier nicht um das Auslesen des gesamten Festplatteninhalts", sagte Heckmann am heutigen Mittwoch in Karlsruhe. Die Befugnis erlaube es den Verfassungsschützern, allein die Kommunikation im Internet zu überwachen. "Ich gestatte mir die Frage, ob wir vom gleichen Gesetz ausgehen", zeigte sich Gerichtspräsident Hans-Jürgen Papier daraufhin verwundert.
Update: Mir erzählt gerade der nibbler von der Presseempore, dass der vorsitzende Richter folgendes gesagt hat:
Zuvor noch eine Frage an den technischen Sachverständigen — unsere Mikrofonanlage hört sich schlimm an, vorhin ist auch ein Richter im Aufzug stecken geblieben — kann man da mal… also wir bräuchten da mal jemanden…
ROTFL, das passt perfekt zu unserer Argumentation mit der Unbeherrschbarkeit der Technologie :-)
Update 2: Der Pfitzmann hat auch Humor. Der hat gerade vorgeschlagen, sie sollen doch statt Trojanern die elektromagnetische Abstrahlung nutzen. Das sei nicht massenfähig, ginge ohne Eingriff ins System, sei zielgerichtet, und, der Hammer, das funktioniere ja bei Wahlcomputern schon sehr gut. :-)
Update 3: Der BKA-Spezialexperte ist gerade dran. Der hat da voll ins Klo gegriffen. Der Kernbereich sei nicht betroffen, weil dafür der lahme DSL-Uplink eh nicht reichen würde (wie meinen?!? Mal darüber nachgedacht, wie die Inhalte auf Youtube kommen?), eine Anschaffung von Exploits sei nicht vorgesehen (damit würde sich ja der Verkäufer auch strafbar machen, so doof ist ja wohl niemand). Und dann hat er den Hammer fallen lassen: "wir haben das konzeptionell noch nicht durchdacht". Äh, whut?! Wird noch härter: dass sie den richtigen Rechner erwischt haben, würden sie ja daran sehen, dass der Trojaner Daten zurück liefert, die das dann sagen. Unglaublich. Pfitzmann hat da auch gleich drauf gekloppt. Also alleine der Spruch wird sie töten.
Update 4: Der NRW-Vertreter hat sich echt nicht entblödet, das "sind doch eh alle mit Trojanern infiziert" Argument zu bringen. Oh Mann. Der Datenschutzbeauftragte hat da eine prima Breitseite gegen gehauen; er fragte, wenn 3/4 der Rechner eh fremdgesteuert seien, wem dann die gefundenen Inhalte zuzuordnen seien.
Update 5: Die FAZ amüsiert sich über das Ausmaß des Verkackens des NRW-Menschen vor dem Verfassungsgericht. Bizarrerweise ist das der gleiche Autor, der gestern noch für die FAZ plump und platt die Gegenposition "vertreten" hat. Hoffentlich ist das SPD-Marathonumfallen nicht ansteckend…!
Heckmanns Verteidigungsversuch verfing nicht. Nach mehreren skeptischen Nachfragen von der Richterbank gelangte er schließlich zur Feststellung: „Ich gebe ja zu, dass die Norm durchaus suboptimal formuliert ist. Ich habe Sie auch nicht selbst formuliert.“
Wieder Gelächter im Gerichtssaal. Doch Heckmann blieb dabei: Ganze Festplatten zu durchsuchen, sei gar nicht beabsichtigt worden. Vielmehr wolle man nur die Kommunikation über das Internet überwachen und an E-Mails, Entwürfe und Telefondaten gelangen, bevor diese auf ihrem Weg ins Netz verschlüsselt würden. Dazu müsse man zwar auf die Festplatte zugreifen, aber lediglich auf eng umgrenzte Bereiche. Das sei möglicherweise in dem Gesetz nicht klargeworden. „Vielleicht hätte man ein Komma anders setzen sollen, darüber müssen wir dann reden.“
Haha, ein Komma anders setzen. Dass ich nicht lache. Immerhin:
Die Skepsis des Gerichts lässt erahnen, dass das Gesetz aus Nordrhein-Westfalen in Karlsruhe keinen Bestand haben wird. Der Gesetzgeber verzichtete auf einen Richtervorbehalt und schuf auch keine Regelungen, um den „Kernbereich privater Lebensführung“ von Durchsuchungen auszunehmen. Das müsste aber geschehen, um der bisherigen Rechtsprechung des Bundesverfassungsgerichts zu folgen.
Update 6: Balsam auf die Seele ist auch dieser wunderschöne Süddeutsche-Artikel dazu.
Und im Übrigen finde ich, Interpol könnte den Schäuble eigentlich auch direkt aus dem Verkehr ziehen. Immerhin hat der offen gesagt, daß er Trojaner verteilen will. Und daß er Passagierflugzeuge abschießen will. Was muss der Mann eigentlich noch sagen, damit Interpol mal einschreitet?!
Weil das BKA das Auto dem Bericht zufolge verwanzt hatte, konnten die Ermittler den Dialog abhören. Auch das Ferienhaus im Sauerland wurde mit einem Grossen Lauschangriff abgehört.Das Auto war also verwanzt. Damit ist ja wohl völlig klar, daß da auch ein Peilsender drin war, und dieses Gefasel mit dem "oh die haben plötzlich beschleunigt und sind bei Rot über Ampeln gefahren" ist damit offiziell als Nebenkerze enttarnt.
Aber kommen wir zum humoristischen Teil der Meldung:
Als die drei Verdächtigen zufällig in eine Kontrolle gerieten, entfuhr einem Dorfpolizisten bei der Überprüfung, die Männer stünden «ja auf der Liste des BKA». Das hätten nicht nur Fritz G., Adem Y. und Daniel S. in dem verwanzten Auto, sondern auch die live lauschenden BKA-Beamten gehört, schreibt der «Spiegel».Ganz groß, liebe Polizei. Geradezu schockierend, eure Sachkompetenz. Wenn ihr mit dem Trojaner auch so kompetent umgeht, dann gute Nacht. Selbst wenn die außerordentlich kompetent wären, sind Trojaner als Technologie nicht beherrschbar. Daher dürfen wir sowas nicht einsetzen. Aber zurück zum humoristischen Teil:
Wie entschlossen die Verdächtigen offenbar waren, zeigt sich dem Magazin zufolge angesichts der Tatsache, dass sie die laufende Observation offenbar bemerkten. So sei einer der Islamisten einmal an einer roten Ampel ausgestiegen und habe seelenruhig die Reifen eines Verfolger-Wagens des Verfassungsschutzes aufgeschlitzt.BWAHAHAHAHA
Die Männer der Terrorgruppe Islamic Jihad Union, die in Deutschland vermutlich mindestens fünf Autobomben hochgehen lassen wollten, haben mit allen Tricks versucht, Polizei und Geheimdienste abzuschütteln.Soso, "vermutlich mindestens fünf Autobomben". Drei Hartz IV Empfänger. Wo haben die 5 Autos her? Und was für Geheimdienste?
So unternahmen die Verdächtigen oft Rundgänge um ihre Wohnungen, um mögliche Fahndungsfahrzeuge zu entdecken. Einer der mutmaßlichen Terroristen ging voraus, ein anderer folgte in einigem Abstand, um Bewegungen von Polizisten mitzukriegen.Mann Mann Mann, das sind ja gewiefte Kriminelle. Also auf sowas muss man erst mal kommen. Ums Haus sind die gelaufen! Oh Mann! Also dagegen können 300 Beamte natürlich nicht anstinken.
Wenn die Verdächtigen im Auto saßen und sicherstellen wollten, dass sie nicht verfolgt werden, beschleunigten sie auf Ausfallstraßen plötzlich auf Tempo 200 oder überfuhren rote Ampeln. Und einmal sprang der inzwischen festgenommene Daniel S. aus dem Saarländischen im letzten Augenblick aus einem abfahrenden Zug, lief über die Gleise und stieg dort in einen anderen Zug. Die Polizisten konnten nicht folgen, ohne selbst entdeckt zu werden.Mir fehlen die Worte. Völlig unmöglich, solche Leute zu verfolgen. Bei Rot über die Ampel gefahren! Nein, solche Barbaren kann man nicht verfolgen, das sieht ja wohl jeder sofort ein. Und so ein Auto ist dann natürlich weg, außer die haben einen GPS-Peilsender installiert, was heute schon bei G8-Protestierern gemacht wird, von denen offensichtlich keinerlei Gefahr ausgeht. Aber hey, wenn jemand aus dem Terrorcamp in Pakistan in Deutschland Autobomben baut, für solche Fälle haben sie keine GPS-Wanzen übrig, denn die waren alle bei den G8-Gegnern verbaut. Oder so. Und die Bahn-Nummer, tja, die Bahn ist nicht verfolgbar. Klar hätte man einen anderen Polizisten zum nächsten Bahnhof schicken können, aber hey, das hilft auch nicht, wenn der Terrorist zwischendurch die Notbremse zieht, aus dem Zug hüpft oder sich von Scotty rausbeamen läßt!1!!
Auch technisch versuchten die Täter sich zu tarnen. Nach Informationen der SZ kommunizierten die Verdächtigen unter den IP-Adressen unbescholtener Bürger miteinander. Sie drangen dafür in offene, ungeschützte Wireless-Lan-Netze ein und benutzten dann zur Tarnung die IP-Adressen (individuelle Nummern für jeden Internet-Zugang), um ihre Führungsleute in Pakistan zu erreichen.Habt ihr gehört, ihr unbescholtenen Bürger? Macht sofort eure WLANs zu!1!! Sonst kann man hier im Lande noch anonym kommunizieren, und wo kämen wir da hin. Ohne Totalüberwachung können wir hier keine Sicherheit herbeiführen.
Der Brüller: das haben natürlich nicht unsere großartigen Ermittler herausgefunden, sondern die Amis haben ihnen ein paar Echelon-Mitschnitte gegeben.
Amerikanischen Ermittlern, die vor allem die Kommunikation von und nach Pakistan im Blick haben, fielen diese E-Mails im Herbst 2006 erstmals auf. […] Wie die Amerikaner an ihre Informationen gekommen waren, teilten sie den Deutschen nicht mit — das ist nicht üblich im internationalen Geheimdienstgeschäft.Nein, wirklich? Bwahahahaha. Also, mal zusammengefaßt. Die Amis lesen offensichtlich unsere Email komplett mit. Und die tollen Terroristen haben ihre Emails unverschlüsselt verschickt, die Deppen.
Das fandet ihr schon alle schlimm? Wartet mal, der eigentlich Kracher kommt noch.
Zu dem Zeitpunkt, als die mutmaßlichen Täter ihre zwölf gehorteten Fässer mit Wasserstoffperoxid aus dem Versteck holen und mit der Herstellung von Sprengstoff beginnen wollten, spielten sie ein Verschlüsselungsprogramm auf einen ihrer Computer. "Da wurden wir blind", sagt ein Fahnder der SZ. "Da hätte uns ein Trojaner geholfen, um da einzudringen."Tataaaaaaa! *Tusch*
Da möchte ich doch mit dem Kopf gegen die Wand schlagen, wenn ich das lese. Aber wartet, das könnte noch jemand nicht verstanden haben, diese subtile Botschaft.
Denn dass die Täter durch ihre Verschlüsselungsaktion der Polizei die Augen vernebelten, wird, wenn es zum Prozess kommt, vor Gericht eine Rolle spielen — und die Angeklagten, ihre Hintermänner und mögliche Nachahmer werden daraus lernen, wie sie sich am besten schützen können. "Wir werden blind und taub, wenn wir hier nicht mithalten", sagt ein hoher Sicherheitsverantwortlicher.Na, schon mal so viel Desinformation auf einem Haufen gelesen in Deutschen Medien? Und die Süddeutsche fing gerade an, Anzeichen von seriösem Journalismus zu zeigen. Mann Mann Mann.
Sicherheitsexperten bemängeln, dass sie noch nicht einmal die Telefonate abhören dürfen, die aus den Terrorcamps in Pakistan nach Deutschland gehen.Was für eine DREISTE Lüge. Echt, so eine Schweinerei. Ich könnt echt nur noch kübelweise kotzen. Es ist nicht Aufgabe des BKA, Terrorcamps in Pakistan zu überwachen. Das macht der BND. Der hört dann auch den Anruf ab und sagt dem BKA Bescheid, und die gehen dann zum Richter und beantragen eine TKÜ für die angerufene Nummer. Umgekehrt kann das BKA dem BND sagen, welche Zielnummern im Ausland sie abgehört haben wollen. Das eigentliche Problem ist, daß das Terrorcamp in Pakistan nicht über Festnetz mit Caller-ID anruft, sondern über Skype Call-Out, d.h. der Telefonanruf geht dann hier bei Skype in Deutschland los. Aber hey, Skype arbeitet selbstverständlich auch mit den Behörden zusammen, es ist keinesfalls so, daß man da einen Trojaner bräuchte, um Skype abzuhören. Das sagen sie nur, damit die dumme Bevölkerung ihnen abnimmt, daß man Trojaner braucht.
Eine "absolute Notwendigkeit" sei der Online-Zugriff auf Computer, meldete sich zudem der scheidende bayerische Ministerpräsident Edmund Stoiber (CSU) aus Paris zu Wort. "Wir können nicht den Briefverkehr abfangen, aber das Internet außen vor lassen."Dafür haben wir bereits TKÜV! Emails hören die bereits ab! AAARGH! Ich glaube ja, der Stoiber ist wirklich so dämlich. Ein paar Jahre dachte ich, der ist ein brillianter Schauspieler und tut nur so. Das war ja bei Reagan auch nicht auf Anhieb klar, daß der wirklich so dämlich ist. Hätte auch eine großartige Satire sein können. Aber nein… der Stoiber ist wirklich so. Da gibt es eigentlich nur eine Möglichkeit: den müssen wir sofort befördern, am besten zum Bundespräsidenten. Und natürlich ist auch Berlins Innensenator für einen Trojaner, und überhaupt diverse andere. Immerhin ist folgendes humoristisches Highlight vorhanden:
Der Innenexperte der SPD-Bundestagsfraktion, Dieter Wiefelspütz, sprach von einer "ganz üblen Masche" der Unionsparteien und einer "erbärmlichen Instrumentalisierung" der aktuellen Lage. Wer den Erfolg der Sicherheitsbehörden mit der Debatte um Online-Durchsuchungen verknüpfe, sei völlig ahnungslos.Ja, richtig gelesen! Wiefelspütz wirft anderen Ahnungslosigkeit vor. Bwahahahahaha!
Bayerns Innenminister Günther Beckstein sagte im Bayerischen Rundfunk, einer der Terrorverdächtigen habe vor wenigen Wochen im Freistaat Bekannte besucht und gemeinsam mit ihnen "im Internet islamistische Seiten abgerufen". Für den CSU-Politiker zeigt dies, dass die von Bundesinnenminister Wolfgang Schäuble (CDU) verlangten verdeckten Online-Durchsuchungen ein nützliches Mittel zur Terrorbekämpfung wären.Na woher weiß er denn das, daß die islamistische Webseiten abgerufen haben? Vielleicht weil wir jetzt schon Vollüberwachung haben? Was genau will er denn da zusätzlich noch mit einem Trojaner rausfinden? Gut, das hätte bei der Beweisführung geholfen, wenn sie da mit dem Bundestrojaner ein paar "Beweise" hinterlegt hätten, aber hey, Beweise brauchen wir eh nicht mehr. Wir haben ja den Willkürparagraphen 129a. Und wer kräht am lautesten? Die ganzen Leute, die eh mit einem Bein im Knast stehen (Georg "SachsenLB-Spekulatius" Milbradt) oder abgesehen von wildem Terror-Gezeter überhaupt kein wiedererkennbares Profil haben (Ronald "TERROR!!!!!" Pofalla).
"Ich habe die Männer einmal gesehen", sagte Anwohner Mike Middeke SPIEGEL ONLINE, "sie hatten nichts Besonderes an sich." Allerdings sei ihm schon vor Tagen ein ziviles Polizeiauto aufgefallen. "Ein Bulli, mit verdunkelten Scheiben. Der stand hier an der Straße."Das ist ja echt genau so, wie man sich das vorstellt. Grandios! Und DENEN will der Schäuble jetzt Trojaner in die Hand geben. Warum nicht gleich taktische Atomraketen? Was kann da schon passieren. Die sind ja offensichtlich wohl geschult und haben alles fest im Griff.
"Uns ist nie etwas aufgefallen", sagte Jürgen Deutsch. Skeptisch sei er jedoch geworden, als vor einigen Tagen angebliche Techniker mit einem Fahrzeug eine vermeintliche Digitalfunkstrecke messen wollten. Tatsächlich handelte es sich dabei aber wohl um eine Überwachungsaktion der Polizei, so Deutsch.Bwahahahaha, wunderbar. Mehr! Popcorn für alle! (Danke, Hilko)
Also da kamen so Ansichten zu Tage wie daß das Hackertoolverbot ja gut sei, weil man ja Hacken schon verbieten müsse, das sei ja gefährlich. Als ich dann erläuterte, daß das Hacken schon vorher verboten war, und das Hackertoolverbot bloß legitime Arbeit und Forschung verhindert und meiner Firma den Nachwuchs entzieht, da hieß es dann "naja aber der Tauss war da ja dagegen". Ich wollte dann wissen, wieso nur der Tauss und drei andere dagegen gestimmt haben und der Rest der SPD dafür, da kam dann nur noch die Ansage, das sei halt alles nicht so einfach.
Zu dem Bundestrojaner meinte sie dann noch, es gäbe ja auch ansonsten total viele Trojaner, und da sollten wir doch auch mal vor warnen, das sei ja eine viel größere Bedrohung.
Am Ende kam dann noch der Vorschlag, ich möge doch der SPD beitreten. Das bringt zwar auch nicht viel, aber da könnte ich mich dann einbringen.
Oh und Gesetze, die werden heutzutage auch nicht gemacht, damit sie Bestand haben. Ein Gesetz ist erst fertig gemacht, wenn die Gerichte sich darüber gestritten haben, wie das eigentlich hätte gemeint sein sollen. Sowas finde ich ja immer zutiefst bedrückend, wenn Leute so wenig Eigen-Anspruch an die Qualität ihres Handwerks haben.
Eines noch: sie meinte, ich solle mich doch mal mit dem Innenexperten der SPD unterhalten, einem gewissen Herr Wiefelspütz. Ich habe da mal eine Mail hingeschrieben, denn wer nicht wagt, der nicht gewinnt. :-)
Mein Lieblingszitat:
Es wird nicht deutlich hervorgehoben, dass Sicherheitslücken existieren, die bisher unveröffentlicht sind. Den Behörden sind solche Lücken bekannt, aber sie veröffentlichen sie nicht.Aha, unsere Superbehörden wissen alles, haben alles, und können alles. Klaaaaaar.
Laßt es mich mal ganz klar und deutlich sagen: das BKA ist eine Behörde. Die zahlen Behördengehälter. Man arbeitet da an veralteter Hardware, in gruseligen öffentlichen Behörden-Räumen, mit ruckligem Internet und schlechter Luft, klapperigen Stühlen und Linoleumboden, und kriegt dafür ein völlig unzureichendes Gehalt. Behörde! Da arbeitet genau niemand, der auch nur ein Quäntchen Ahnung von irgendwas hat und auch auf dem freien Markt etwas werden kann. Wenn es jemanden gibt, bei dem ich mir sicher bin, daß die keine 0days haben, dann ist es das BKA.
Stellt sich nur die Frage, wieso der Pohl so einen Blödsinn verbreitet. Vielleicht braucht der Verfassungsschutz auch mehr Mittel, um sich gegen die ganzen 0days der Chinesen (!1!!) zu wehren? Unklar. Also lasst euch mal von sowas nicht verarschen. Ich frage mich ja, wieso die GI so jemanden in ihrem Namen reden läßt. Haben die keine Angst um ihren Ruf?
Nachtrag: Der Begriff "less than zero day" ist nicht nur Bullshit, der ist ein Bullshit-Bingo-Sofortgewinn. Wenn ihr jemand diesen Begriff in den Mund nehmen seht, lacht ihn laut und öffentlich aus, weil er gerade sämtliche Glaubwürdigkeit als IT-Security-Mensch verloren hat. Das ist als wenn ein Germanist "Der Einzigste" sagt.
Ziercke meinte zudem: "Wir wollen mit dem Instrument Online-Durchsuchung den internationalen Terrorismus bekämpfen und nicht den einzelnen User, der sich irgendwann einmal Musik aus dem Netz runtergeladen hat."Ah SO sieht der das also. Wer etwas gegen den Bundestrojaner hat, der muss etwas zu verbergen haben. Nur Kriminelle könnten etwas gegen seine tollen Ermittlungswerkzeugen haben, wie? Nee, klar. Abtreten. Sofort. Rente auf Null kürzen. Leute mit so einer Einstellung haben im öffentlichen Dienst nichts verloren, und schon gar nicht im BKA, oder gar in gehobener Position. Unglaublich.
Im Übrigen behauptet er, der Trojaner würde ja für jeden Einsatz neu geschrieben, und daher könnten sie das gar nicht auf breiter Bahn einsetzen. Tja, schöne Argumentation, wenn sie ihre Restglaubwürdigkeit nicht durch die Mautbrückendaten-Nummer vollständig zerstört hätten. Im Übrigen hat die Russenmafia ja das gleiche Problem, die kümmern sich ja nicht nur um die gleichen inhaltlichen Felder (Menschenhandel, organisierte Bandenkriminalität, Bankkartenbetrug in großem Stil), sie setzen auch die gleichen Werkzeuge ein (Schußwaffen, Trojaner). Und die Russenmafia hat kein Problem damit, ihre Trojaner auf Millionen von Wirtsrechner zu verteilen. Wieso sollten wir dem BKA glauben, wenn sie sich schon auf die gleichen Methoden einlassen, daß sie dann technisch weniger gut skalieren könnten?
Gut, niemand bestreitet ernsthaft, daß das BKA technisch nicht so kompetent ist wie die Russenmafia, sonst würden sie da ja gelegentlich mal jemanden festnehmen, anstatt immer nur uns Bürger zu drangsalieren mit ihren Maßnahmen, aber das läßt sich ja über die Jahre aufholen. Und hey, vielleicht fangen sie ja doch mal einen, blindes Huhn und so, und dann können sie das ja zwecks Wahrheitsermittlung einem US-Folterknast übergeben, da gibt es ja auch Präzedenzfälle für, und dann können sie aus dem raus pressen, wie man das macht mit den Trojanern! Oder wir machen das auf dem Verhandlungswege, vielleicht kriegt die Merkel das Know-How ja aus China extrahiert.
Tja, liebes BKA, so ist das halt. Wenn ihr euch einmal auf dieses Niveau herab läßt, dann erwartet man von euch auch nie wieder die Einhaltung von Menschenrechten oder gar "das sind doch die Guten". Die Amis haben da ein schönes Sprichwort. "If it looks like a duck, and it walks like a duck, and it quacks like a duck… it probably IS a duck." Ich für meinen Teil habe von mehr Fällen gehört, wo jemandem vom BKA das Haus durchwühlt worden ist, als von der Russenmafia. Seit den 129a-Durchsuchungen "um mal zu gucken, wie die Szene aussieht", sind die in meinem Weltbild auf der dunklen Seite der Macht.
Erst mal muss man sich auf deren Neusprech kalibrieren. Den Bundestrojaner nennen sie jetzt RFS, "remote forensic software", dabei paßt "Schäuphilis" doch so viel besser. Auch an anderer Stelle soll PR-Neusprech die differenzierte Betrachtung des Sachverhaltes verhindern. So unterscheiden sie zwischen "Quellen-TKÜ" und "Online-Durchsuchung". Quellen-TKÜ ist, wenn sie Skype abschnorcheln. Online-Durchsuchung ist, wenn sie Dateien raustragen. Und, so der Gedanke, wenn man das so schön trennt, dann klingt das gleich gar nicht mehr so bedrohlich, und dann müssen sie auch nicht aufpassen, weil wenn sie den Online-Durchsuchung-Trojaner hochladen, dann ist ja klar, daß das keine Quellen-TKÜ war, für die sie eine andere Art der richterlichen Genehmigung brauchen. Ich hatte so ein bißchen den Eindruck, als hielten sie die Quellen-TKÜ schon nach bisherigen Gesetzen für ausreichend legitimiert.
Ich finde es ja gefährlich, wenn wir argumentieren, daß sie keine Ahnung haben und das total unsicher wird. Das ist zwar die Wahrheit, aber wir wollen ja nicht, daß der Trojaner sicher wird, wir wollen daß er gar nicht kommt. Insofern nahm ich mit Belustigung zur Kenntnis, daß das BMI denkt, sie könnten ihre Malware kryptographisch vor Reverse Engineering schützen:
Diese Analyse der RFS (Disassembling) wird jedoch durch die Verwendung kryptographischer Methoden nahezu unmöglich gemacht.An dieser Stelle hätte man nicht tiefer ins Klo greifen können. Dieser eine Satz reicht, um ihnen sämtliche auch nur in Resten von Fetzen vorhandene Sachkenntnis pauschal abzusprechen. Das ist so grotesk falsch, daß man sich ab dieser Stelle gar nicht mehr inhaltlich mit ihrem Geschreibsel beschäftigen muss, man kann sich auf den Stil beschränken. Und der bietet auch noch genug Angriffsfläche.
So paßt das ja überhaupt nicht mit meinem Bild der Sicherheitsbehörden zusammen, daß sie meine Sicherheit senken anstatt sie zu erhöhen. Daher war eine der Fragen, wie sie denn ihre Spyware gegen Missbrauch durch Dritte sichern wollen. Die Antwort ernüchtert.
Die Sicherheitsbehörden und das Bundesministerium des Innern verfügen grundsätzlich über genügenden Sachverstand.Sie halten sich schlicht für unfehlbar. Sie setzen da auf Designkriterien und die Vorgabe von Sicherheitsstandards durch das BSI. Von Prüfung, womöglich gar durch unabhängige Experten, steht da nichts. Für die Ausschreibung von Tollcollect galten höhere Sicherheitsanforderungen. Für Glückspielautomaten gelten höhere Sicherheitsanforderungen. Hey, für Wahlcomputer gelten höhere Sicherheitsanforderungen, und ihr wißt ja alle, wie katastrophal unsicher die sind.
Und wenn man unfehlbar ist, dann muss man sich auch keine fiesen Fragen gefallen lassen.
Es ist nicht zu erwarten, dass die RFS entdeckt wird.Nee, klar. Un-denk-bar.
Die RFS wird so entwickelt, dass von ihr nach dem aktuellen Stand der Technik keine Schadfunktionen ausgehen.So spricht der Papst, also ist es so. Und überhaupt, was bildet ihr euch eigentlich ein, ihre hinterhältige Spyware als solche zu bezeichnen?!
Mit der Online-Durchsuchung werden keine Personen ausgespäht, sondern relevante Erkenntnisse auf informationstechnischen Systemen erhoben.Wartet, kommt noch besser!
Bei der hier in Rede stehenden RFS handelt es sich nicht um eine "Spionagesoftware", sondern um ein technisches Mittel zur Datenerhebung.Das werde ich ab jetzt auch immer sagen. "Herr Richter, das ist doch kein Hackertool, das ist bloß ein technisches Mittel zur Datenerhebung!"
Und überhaupt halten sich die Behörden nicht nur für unfehlbar, sondern auch für grundsätzlich vollständig vertrauenswürdig. Daher stellt sich auch die Frage gar nicht, wie sie da verhindern wollen, daß auf Tagebücher, Krankheitsberichte oder Liebesbriefe zugegriffen wird:
Das Bundeskriminalamt hat beim (verdeckten) Zugriff auf das informationstechnische System kein Interesse an der Kenntnisnahme etwa von Krankheitsberichten, Tagebüchern oder Liebesbriefen.Und damit ist klar: da wird auch nie jemand gucken. Aber wartet, sie toppen das noch mit der Aussage, das Tagebuch hätte man ja auch bei einer offenen Durchsuchung finden und sichten können, insofern müsse man das ja bei unserer Spyware auch nicht weiter schützen.
Nun sollte man denken, wenn die so von sich selbst überzeugt sind, daß sie dann die Großartigkeit ihrer Software erkennen und sofort verstehen, wieso z.B. die Chinesen sich ihres Trojaners bedienen sollten. Aber neeeiiinnn, das ist völlig undenkbar. Denn:
Speziell wird sichergestellt, dass die Software nicht ohne erheblichen Aufwand dazu veranlasst werden kann, an einen anderen Server als den vom Bundeskriminalamt verwendeten zurückzumelden, und dass die Software weder von außen erkannt noch angesprochen werden kann. Das Entdeckungsrisiko kann durch technische Maßnahmen reduziert werden.Ich bin mir sicher, das wird sich Sony bei ihrem Rootkit auch gedacht haben. Aber solche Fragen stellen sich nicht, wenn man mit Zauberern zusammen arbeitet. Denn nicht nur ist die Software nicht von außen ansprechbar, das BKA kann sie trotzdem von außen ansprechen:
oder sogar die Beendigung der Maßnahme wegen eines zu hohen Entdeckungsrisikos angezeigt erscheinen lassen, erfolgt die Anweisung an das Programm sich selbst zu deinstallieren.Zauberei!!! Die können mit einer nicht von außen ansprechbaren Software kommunizieren!
Eine andere Sache ist die Beweissicherheit der aus dem Trojanereinsatz gewonnenen Erkenntnisse. Für die Gefahrenabwehr ist das egal, da kann man auch ohne Beweissicherheit Leute willkürlich in den Karzer sperren, das heißt dann "Unterbindungsgewahrsam". Aber bei Straftaten haben wir ja noch so Reste einer Justiz-Simulation stehen, und da will man von Beweisen, daß sie Beweiskraft haben. Bei Hausdurchsuchungen macht man das so, daß man die Festplatte vor Ort versiegelt, einpackt, dann beim BKA vor Zeugen eine Kopie zieht, und dann auf dieser Kopie arbeitet, damit das Original nicht verändert wird. Das ist beim Trojaner alles nicht gegeben, die Umgebung von dem ist dynamisch und unter der Kontrolle anderer. Selbst wenn wir dem Wirt des Bundesparasiten nicht die nötige Sachkenntnis zubilligen, um da Eingriffe durchzunehmen, so könnte auch ein anderer Trojaner auf dem Rechner sein. Es ist dokumentiert, daß sich Botnet-Trojaner gegenseitig vom Rechner schmeißen, um ihre Überlebenschancen zu verbessern. Ich warte ja auf den Tag, wo die Russenmafia-Trojaner den BKA-Herpes entfernen, weil er sie bei der Arbeit behindert. Und dann ist da natürlich noch die Frage des fernsteuernden BKA-Rechners. Das BKA denkt sich, wenn sie da zwei Beamte haben, die sich gegenseitig bezeugen, daß sie nur Gutes getan haben, ist das alles OK, aber auf dem Rechner könnte ja ein Chinesen-Trojaner sein. Wir haben ja gerade gesehen, daß unsere "grundsätzlich über genügenden Sachverstand" verfügenden Behörden mit ein paar lächerlichen Windows-Trojanern überfordert waren. Und jetzt nehmen wir mal an, der Trojaner-Wirt sagt vor Gericht, er habe den Trojaner bemerkt, und ihm absichtlich irreführende Daten gefüttert. Technisch ist das kein Problem, so einen Trojaner z.B. über Rechnervirtualisierung auch im laufenden Betrieb in ein Holodeck einzusperren und ihn komplett zu verarschen. Wenn der Rechner-Eigentümer zu Protokoll gibt, er habe den Trojaner bemerkt und mit ihm gespielt, ist die Beweiskraft sämtlicher Beweise völlig dahin. Das BKA redet sich ein, man könnte sowas ja dann forensisch feststellen. Dem kann ich nur mit lautem Gelächter antworten.
Die haben mich gefragt, ob es überhaupt noch sicher ist, nach Deutschland einzureisen.
Und die meinten nicht Ausländerfeindlichkeit. Oder die Russenmafia. Oder Skinheads. Die meinten das Hackertoolverbot.
Was habe ich mich da für mein Land geschämt. Kann ich euch gar nicht sagen, wie sehr. Unsere Willkür-Junta hat in ihrer Ignoranz und in ihrer Angst vor Dingen, die sie nicht verstehen, mittelalterlich reagiert und alles als Hexenzeug verboten. Jetzt werden wir bald das machen, was die Ärzte im Mittelalter gemacht haben. Aderlass. Und bei PCs werden wir demnächst Gottesurteile machen. Wenn wir nicht sicher sind, ob der Teufel sie besessen hat, dann werden wir sie töten und reinstallieren. Denn die Werkzeuge zum nachgucken haben wir nicht mehr, und das Verständnis der Dinge kann unter diesen Umständen nicht up-to-date bleiben. Daher wird uns gar nichts übrig bleiben. Einige Firmen machen das ja heute schon so und plätten und reinstallieren alle Rechner am Wochenende, damit sich da nichts einnistet. Ich habe das immer für mittelalterlich und abergläubisch gehalten, aber heute sehe ich, daß das offenbar politisch gewollt sind, daß wir alle inkompetent bleiben. Unsere absolutistischen Herrscher können nicht ertragen, daß jemand von was mehr Ahnung hat also sie, und daher wird das jetzt einfach verboten.
Ich hatte mit einigen meiner Freunde schon Gespräche angefangen, ob wir nicht zusammen in Europa in IT-Security-Fragen kooperieren wollen. Das hat sich jetzt natürlich vollständig geerdet.
Das war echt eine furchtbare Erfahrung, meine Freunde zu erleben, wie sie ihre Laptops frisch reinstalliert hatten, weil sie damit rechneten, am Flughafen durchsucht zu werden. Na klar ist das aus unserer Sicht unrealistisch, aber machen wir es nicht anders herum genau so, wenn wir in die USA fahren? Da habe ich mir immer ein Gefühl der Überlegenheit bewahrt bisher, bei uns könnte sowas nicht passieren. Tja. Da war ich wohl zu optimistisch. Und, mal ganz ehrlich, reparabel ist das nicht. Selbst wenn ich mich jetzt in die Politik begebe und Kanzler werde und alle die Willkürgesetze gekippt werden, ich werde mich nie wieder so fühlen können, als wolle mich die Polizei beschützen. Ich kann die nur noch als die Leute sehen, die mir Trojaner installieren wollten. Das ist nicht reparabel.
Was soll er denn machen, der zivilcouragierte Bürger, wenn 50 angesoffene Neonazis hinter acht Indern herrennen? Ein Teelicht anzünden und für den Frieden beten? Oder soll er mit seinem Handy werfen?Tja, liebe Financial Times. Die Zeiten sind schon länger vorbei. Heutzutage hat der Staat keine Einsatzkräfte verfügbar, um die Bürger vor Gewalt zu schützen. Die sind alle damit beschäftigt, uns abzuhören, Trojaner gegen uns einzusetzen, den Amis bei Folterflügen nicht im Wege zu stehen, und bei Soziologen willkürliche Hausdurchsuchungen zu machen.Soll ich meinen drei Kindern sagen, sie müssen sich in den Weg stellen, wenn ein Lynchmob in Kompaniestärke die Straße heruntertobt? Meint Ihr das im Ernst, liebe Politiker? Dann verrate ich Euch jetzt was: Einen Dreck werde ich tun. Ich werde meinen Kindern stattdessen sagen, dass wir in Deutschland in einem Land leben, in dem der Staat die Menschen vor Gewalt beschützt.
Ich bin ja immer ein Feind der Idee gewesen, daß sich Bürger bewaffnen müssen, aber eines der zentralen Argumente der Waffenspinner-Lobby in den USA ist ja, daß man im Notfall Waffen braucht, um sich gegen einen Unterdrückungsstaat verteidigen zu können. Ich fand das immer abwegig. Aber in diesen Tagen fällt mir die Gegenrede zunehmend schwerer.
Das war die gute Nachricht. Die schlechte: Dafür will Österreich jetzt auch einen Polizei-Trojaner. Seufz.
Schäuble betonte, dass Schadprogramme "weniger darauf ausgerichtet sind, direkten Schaden auszurichten, sondern Kontrolle über den Computer zu erlangen und Daten auszuspionieren". Ziel sei es, eine anhaltende Präsenz auf dem infizierten Computer zu erreichen, um Daten über einen langen Zeitraum zu sammeln und sie beispielsweise gewinnbringend an andere Kriminelle zu verkaufen.Erinnert euch das an was? Code einschleusen, um verdeckt Daten abzusaugen? Gut, das Verkaufen der Daten an Kriminelle hätte ich dem Verfassungsschutz jetzt nicht zugetraut, aber wenn der zuständige Minister das sagt, wird da wohl was dran sein.
In einem Fall sollen Festplatteninhalte von 120 Gigabyte über Wochen hinweg an die Zieladresse des Verfassungsschutzes von einem Trojaner geschickt worden sein. Der betroffene PC-Besitzer, der da online ausgespäht wurde, hat das wohl nach 14 oder 15 Tagen gemerkt, weil er über ausgewertete Systeminformationen mitbekam, dass 120 Megabyte von seinem Rechner aus ins Netz geschickt wurden. Die Rechneranalyse ergab dann, dass ein Trojanisches Pferd Schadsoftware von einem Rechner eines V-Mannes herunter geladen hatte. Diese Schadsoftware bestand im Wesentlichen aus einem Programm, dass einen Port im Router der überwachten beziehungsweise online durchsuchten DV-Anlage öffnete und über diesen Port Dateien an einen Rechner schickte, dessen IP-Adresse maskiert war. Dass eine solche Online-Durchsuchung dann offenbar nach Tagen, wohlgemerkt während sie noch läuft, bemerkt wird, ist nicht nur blamabel, sondern gibt natürlich auch den betroffenen Besitzern durchsuchter PCs Möglichkeiten der Gegenwehr an die Hand. In einem anderen Fall hat der Besitzer eines online durchsuchten PCs unbestätigten Informationen zufolge den Trojaner gleich beim Einschleusen bemerkt, die Aktivitäten des Bundestrojaners genau analysiert und der Zieladresse dann regelrechten Datenmüll geschickt.Auf die Inkompetenz der Behörden ist halt Verlaß. Die nehmen halt an, daß ihre Ziele genau so wenig oder noch weniger drauf haben als sie selber, und während das bei Bankräubern und Nazi-Schlägern offenbar eine gültige Annahme ist, läuft das im Internet nicht so gut. Oh, BTW: wer bei sich einen Trojaner findet, der Daten zum Verfassungsschutz rausschickt, der möge ihn bitte dem CCC geben. Wir geben das dann den Antivirenherstellern und dokumentieren, ob sie ihr Wort halten, und den erkennen. Und vielleicht haben wir auch Zeit, und den mal in Ruhe anzugucken, nur so aus wissenschaftlicher Neugier, versteht sich.
Oh, noch ein interessantes Detail, zur Frage, wie der Trojaner überhaupt auf die Rechner kam:
Zum einen, das ist sozusagen die sichere Methode, sollen Verfassungsschutzmitarbeiter einfach in Büroräume eingedrungen sein und den Bundestrojaner dann händisch auf die Zielrechner überspielt haben. Mit dem zweiten Verbreitungsweg, von dem man aus so genannten informierten Kreisen hört, haben die Verfassungsschützer damit offensichtlich keine so guten Erfahrungen gemacht. Sie sollen mit Trojaner verseuchte CDs verteilt haben. Und das Problem dabei soll gewesen sein: Neben den Zielrechnern, die sie online durchsuchen wollten, sind auch andere Rechner mit diesem Trojaner wohl verseucht worden. Und das soll zur Folge gehabt haben, dass so viele Daten an den Zielrechner geschickt worden sind, dass der Sammelrechner, auf dem die ganzen Durchsuchungsdaten landen sollten, sich offensichtlich wie bei einem Denial of Servcie Angriff verhalten hat. Das heißt, ob der vielen Daten soll der einfach in die Knie gegangen sein.Tja, hab ich wohl weitgehend Recht gehabt mit meinen Ansagen. Oh, und als I-Tüpfelchen geben sie auch noch zu, daß die Daten nicht gerichtsverwertbar sind. Meine Damen und Herren, so sieht ein Totalschaden aus. :-) (Danke, Florian)
Also nicht daß ich da mehr Einblick hätte als sonst irgendjemand, versteht mich da nicht falsch. Aber für mich hört sich das so an, als sei das eine Mischung aus großem Lauschangriff und Hausdurchsuchung. Ich glaube nicht, daß Vater Staat da tatsächlich Sicherheitslücken oder Hintertüren ausnutzt, das ist per Definition volatil (jemand findet es heraus, dann wird es gefixt und geht nicht mehr). Für eine Strafverfolgung will man ja langfristige Perspektiven haben, nicht nur was, das jetzt für zwei Wochen funktioniert.
Daher ist meine Vision von einer Online-Durchsuchung, daß die erst mal ne Email mit Trojaner schicken, und wenn der sich dann meldet ist gut, wenn nicht, dann warten sie, bis keiner zuhause ist, und kommen dann mit dem Spezialkommando, machen die Tür möglichst spurenarm auf (und denkt daran, das ist die Polizei, die können die Tür auch eintreten und das dann auf einen "Einbrecher" schieben, den sie durch ihr zeitnahes Eingreifen gerade noch daran hindern konnten, in der Wohnung irgendwas mitgehen zu lassen), installieren einen Trojaner auf dem PC, oder eben einen Hardware-Keylogger, und schnüffeln die Paßwörter mit. Dann gucken sie per Lawful Interception nach, ob der überwachte PC tatsächlich auf die Jihad-Webseiten zugreift, und wenn er das tut, machen sie ne "echte" Hausdurchsuchung und nehmen die gesammelten Daten mit. Ich glaube nicht, daß die da remote auf die Rechner gucken, oder daß sie die gesamte Bevölkerung abhören wollen, oder daß sie Viren schreiben oder einkaufen. Ich bin auch nicht deshalb dagegen, weil das über die Breitenwirkung mich betreffen könnte. Ich bin dagegen, weil das eine neue Qualität des Eindringens in meine Privatsphäre ist. Der Staat hat in meinem Schlafzimmer und auf meinem PC nichts zu suchen.
Ich habe neulich bei einer üblen Neofaschisten-Site die Argumentation gefunden, daß wir als CCC Schuld sind, daß die zu solchen Maßnahmen greifen müssen jetzt, weil wir dem Volk Krypto gezeigt haben. So widerlich das ist, etwas wahres ist daran. Wir haben alle die Möglichkeiten, so viel und paranoid unsere Sachen zu verschlüsseln, wie wir wollen. Je mehr wir das tun, desto faschistoider muss unsere Junta werden, um uns doch noch kontrollieren zu können. So gesehen ist das ein großer Sieg, daß der Staat jetzt mit dem Onlinetrojaner die Hosen runter läßt, denn das sagt mir, daß unsere Krypto-Kampagnen Erfolg genug hatten, um den Regierenden Angst zu machen, ihre Schäfchen könnten sich ohne ihr Mitwissen gegen sie auflehnen. Daher: Weitermachen! Mehr Krypto! Alle eure Platten verschlüsseln, eure Emails verschlüsseln, alles verschlüsseln. Je weniger ihr zu verbergen habt, desto mehr Krypto müsst ihr benutzen.
PS: Wo bleibt eigentlich die Revolution?
Und falls noch jemand Zweifel an der vollständigen Inkompetenz dieses Ziercke-Menschen hat: sie wollen den Trojaner ohne Ausnutzung von Schwachstellen installieren, und sie wollen den Quellcode "einer solchen Untersuchung" beim Gericht hinterlegen. Der Mann weiß ja sowas von GAR NICHT, wovon er redet, das ist echt unfaßbar.
Ich kann euch ja mal sagen, was ich glaube, wie das funktionieren wird jetzt. Das BKA wird irgendeine studentische Hilfskraft dafür bezahlen, einen superschlechten Visual Basic Trojaner zu hacken, und wird den dann auf de Rechner installieren, indem sie einbrechen und einen USB-Stick in die Hardware schieben. Vermutlich werden sie eine Knoppix-CD dabei haben, damit sie an den Rechner rankommen. Wenn also jemand (wie ich) seinen Rechner ganzzeitig laufen läßt, und auch noch unter Linux, dann sieht man das ganz gut, ob da jemand dran war, weil die Uptime ruiniert ist. Abgesehen davon, daß die dann bei whole disk encryption verkackt haben. Wobei sich natürlich die Frage stellt, wieso sie nicht einfach ne Wanze in die Tastatur einbauen.
Die SINA-Box ist ein VPN-Endpunkt, kein MITM-Werkzeug. Man benutzt es gerade, um sich gegen MITM zu schützen. In das große Lawful Interception Bild paßt die SINA-Box höchstens indirekt rein, wenn die abgehörten Daten damit verschlüsselt zum "Bedarfsträger" (so nennt man das im Fachjargon) geleitet werden. Ich hoffe, Volker fängt sich jetzt keine Klage von Secunet (dem Hersteller der SINA-Box) ein, denn was er da geschrieben hat ist Bockmist.
Der Staat wird auch nicht anfangen, Dateien in vorbei fliegenden Downloads zu ersetzen. Theoretisch ist das denkbar, aber wenn sie das tun, und jemand prüft Checksummen nach, dann ist der Trojanerversuch enttarnt. Daher halte ich das für unwahrscheinlich.
Dann gab es da noch die Theorie, daß sie Windows Update o.ä. mißbrauchen. Auch das halte ich für abwegig, denn eine Firma wie Microsoft hat eh schon damit zu kämpfen, daß Softwarepiraten ihren Updateservice für nicht vertrauenswürdig halten, und die Updates nicht installieren, sich dann Malware einfangen, und am Ende sieht das so aus, als sei Windows mal wieder total trivial zu infizieren, dabei gab es den Patch schon seit Jahren. Daher kann ich mir nicht vorstellen, daß die sich für sowas mißbrauchen lassen. Und per MITM kann man bei solchen Update-Services nur was reißen, wenn die wirklich schlecht implementiert sind, bei MS Update und hoffentlich auch allen Antivirus-Updates sind digitale Signaturen involviert, gerade um MITM-Angriffe abzuwehren.
Die nächste Variante wäre, den Leuten den Trojaner einfach per Spam zu schicken, und dann zu hoffen, daß die Leute da draufklicken. Und die Variante ist die einzige, von der ich mir vorstellen kann, daß unsere Strafverfolgungsbehörden ausreichend Expertise haben, nachdem ihnen jemand anderes einen Trojaner gehackt hat. Ich hatte ja bisher nicht viel mit den Strafverfolgungsbehörden zu tun, aber wenn, dann haben die jedes Mal einen katastrophalen Eindruck hinterlassen. Gut, kann natürlich auch Schauspielerei sein, damit sie unterschätzt werden :-)
Insofern mache ich mir da wenig Sorgen, jemals von einem Bundestrojaner betroffen zu sein. Mein momentaner Eindruck ist, daß da einfach jemand geplappert hat, was sie gerne hätten. Jemand, dessen Sachkenntnis sich aus Hollywood-TV ala "Alias" oder "CSI" speist ("Image-Enhancement aktivieren, fraktale Extrapolation des Gesichts anhand der zwei Pixel auf der Überwachungskamera läuft…"). Jemand, der von Tuten und Blasen keine Ahnung hat, und der gerade dafür gesorgt hat, daß sich mein Eindruck der Strafverfolgungsbehörden noch mal deutlich in Richtung Tiefgeschoss verschiebt. Aber ich kann nicht sagen, daß ich das schlecht finde, wenn die Strafverfolgungsbehörden unfähig sind. Das ist immerhin der beste Schutz, den wir vor "Antiterror"gesetzen und staatlicher Oppression haben.
Der künftige Ober-Bayer Günther Beckstein verriet sich selbst auf dem 10. Europäischen Polizeikongress in Berlin. Zu einer Talkshow-tauglichen Anekdote aufgelegt, erzählte er gutgelaunt, er selbst hätte beinahe auf seinem privaten PC einen per E-Mail geschickten Trojaner-Anhang geöffnet, der sich mit dem Absender BKA tarnte. Er hätte als Innenminister natürlich angenommen, darin sei eine dienstliche Information für ihn enthalten und "hundertprozentig" draufgeklickt, wenn ihn nicht seine Frau noch rechtzeitig vor einem der gefährlichsten Angriffe überhaupt gewarnt hätte.Was ich ja nicht verstehe, wenn ich sowas lese… hat die CSU denn keinerlei Anforderungen an Mitglieder?!
Aber das ist noch gar nicht das Highlight. Das Highlight ist, wie der Zierke (ihr wißt schon, der Spezialexperte vom BKA) begründet, daß sie die Online-Durchsuchungen brauchen:
"Das Zweite ist, wir können zum Beispiel in das Milieu des islamistischen Terrorismus mit verdeckten Ermittlern fast nicht eindringen. Wir sehen nicht, äh, ähnlich aus wie viele Leute im Milieu, wir sprechen nicht die arabische Sprache. Wir müssen uns daher andere Zugänge überlegen, weil der islamistische Terrorismus überwiegend über das Internet kommuniziert. Das ist das Rekrutierungsmittel, das ist das Mittel zur Radikalisierung der Szene."Fassen wir also zusammen: das BKA ist zu dämlich, die Islamisten zu unterwandern. Und weil die alle Internet benutzen, und weil inkompetente Idioten die anderen auch immer alle für mindestens genau so dämlich wie sich selbst halten, ist sich das BKA sicher, daß die dummen Islamisten alle auf Email-Attachments klicken werden. Nicht zu fassen. Und falls noch jemand Zweifel an der Inkompetenz von Herrn Zierke hat… lest, wie er auf die Frage nach absichtlich von Herstellern drin gelassenen Hintertüren antwortet:
"Nein, auch darum geht es nicht. Äh, wir werden mit unseren Programmen, die wir anwenden werden, nicht in solche Lücken hinein müssen, die allgemein zum Schaden der Bevölkerung da sind, sondern wir werden sehr kontrolliert mit hoch professioneller Software unsere Programme starten und werden dann den Weg finden, um dieses aufklären zu können. Vor allem, und das geht noch einmal um die Frage, warum keine offene Hausdurchsuchung äh, Kriminelle laden diese Daten, die man auf der Festplatte normalerweise hat, ins World Wide Web aus. Das heißt, der Speicherplatz ist das Internet irgendwo weltweit."Nicht zu fassen, was für Vorstellungen der Mann hat! Schlimmer noch, wenn der schon selber glaubt, daß die Daten irgendwo im Internet gespeichert sind und nicht auf den PCs der Islamisten, … wieso will der dann überhaupt online durchsuchen?
"Wir wollen, nein, wir können das Internet weltweit eben nicht durchsuchen. Das ist ja das Riesenmissverständnis, was hier entsteht. Wir können nur direkt am Computer des einzelnen ansetzen und nur dann, wenn es unverschlüsselt ist, das heißt, selbst die Verschlüsselungs-Software macht uns große Probleme. Deshalb müssen wir vor dem Verschlüsseln und nach dem Entschlüsseln ansetzen können. Wir brauchen die Passwörter, die man ja auch normalerweise nicht auf dem eigenen Computer abspeichert. All das können wir nur, wenn wir es online machen."Immerhin hat ihm jemand erklärt, daß "Trojaner" etwas schlechtes ist, wogegen Leute sich Antivirus-Software installieren, und daher wollen sie das lieber anders nennen.
Berichten zufolge haben die Sicherheitsdienste inzwischen auch Spionageprogramme entwickelt, die über das Trojaner-Prinzip hinausgehen. Diese würden Computer automatisch nach ungesicherten Einfallstoren durchsuchen, sobald sie sich im Internet anmelden. Nach getaner Arbeit deinstallieren sich die Spione dann selbst und verschwinden unerkannt.Aha, also Würmer statt Trojanern. Na das ist doch gleich viel klarer illegal als ein Trojaner. Ein echter Fortschritt für den deutschen Rechtsstaat.
Ich glaube ja, die haben zu viel "Alias" geguckt und denken, daß sie da für ihre 200.000 Euro einen Marshall Flinkman kriegen, der ihnen da kurz fraktale Mainframe-Kompression mit automatischer Movie-OS-Bild-Extrapolation baut.
Haben Sie Angst vor den sogenannten Trojanern, also vor Spionagesoftware?Na da hat wohl jemand das Microsoft Virus Quiz bestanden!! :-)Nein, ich öffne grundsätzlich keine Anhänge von E-Mails, die ich nicht genau einschätzen kann. Außerdem bin ich anständig, mir muss das BKA keine Trojaner schicken.
Warum wollen Sie Computer unbedingt heimlich überwachen? Genügt es nicht, den Rechner bei einer Hausdurchsuchung zu beschlagnahmen und dann auszuwerten?Und hier ist noch ein Highlight. Angesprochen auf die Privatsphäre und das Verfassungsgericht, sagt er:Nein, es gibt Fälle, da würden die Ermittlungen vorschnell gestört, wenn die Polizei eine Hausdurchsuchung macht. Dann würden Hintermänner und Komplizen gewarnt und könnten ausweichen. Außerdem ist ein Laptop ja auch leicht zu verstecken, vielleicht wird er bei einer Durchsuchung gar nicht gefunden. Ans Internet muss er aber immer wieder.
Ich kenne und respektiere die Rechtsprechung des Bundesverfassungsgerichts zum Schutz der Privatsphäre. Aber wir müssen auch sehen, dass dieser Schutz in der Alltagswirklichkeit praktikabel bleibt. Verbrecher und Terroristen sind klug genug, so etwas auszunutzen. Die tarnen ihre Informationen dann zum Beispiel als Tagebucheintrag. So leicht dürfen wir es denen nicht machen.Die taz wollte dann noch mal kurz prüfen, ob der Mann die Einschläge um sich herum noch spürt:
Gegen die ebenfalls geplante Vorratsspeicherung aller Telefon-, E-Mail- und Internetverbindungsdaten wollen 10.000 Menschen Verfassungsbeschwerde einlegen. Stimmt Sie das nicht nachdenklich?Antwort: nein. Und wenn sie ihn schon mal im Interview haben, können sie ja auch gleich mal fragen, ob er die biometrischen Daten für die neuen tollen Ausweise auch für die Fahndung nutzen will:So etwas regt mich nicht mehr auf.
Derzeit werden biometrische Pässe eingeführt, und biometrische Personalausweise sollen ab 2008 folgen. Dann sind Passbilder und Fingerabdrücke der ganzen Bevölkerung digital erfasst - ein wunderbares Fahndungsinstrument.Tja, Freunde, da geht der Weg hin.Das ist nicht geplant. Die biometrischen Merkmale sollen die Ausweispapiere fälschungssicher machen und sicherstellen, dass Passinhaber und vorlegende Person identisch sind. Mit Fahndung hat das nichts zu tun. Die biometrischen Daten sind ja auch ausschließlich auf dem Chip des Ausweispapiers gespeichert.
Und sie sind bei keiner staatlichen Behörde gespeichert? Weder zentral noch dezentral?
So ist das vorgesehen.
Und wie lange gilt dieses Versprechen?
Der Gesetzgeber behält immer die Möglichkeit, einmal getroffene Entscheidungen später zu revidieren. Da lege ich mich jetzt nicht fest.
Zumindest die inländische Antivirusindustrie ist ja voll aus dem Rennen, wenn sie ausgerechnet diesen Trojaner nicht entfernen darf. Na, liebe Politiker, dieses Knistern, das ihr da gerade hört, das sind die Arbeitsplätze, die ihr gerade verbrennt. Hoffe es wärmt schön, denn nach eurer Abwahl habt ihr euch alle mal eine Runde Hartz IV verdient.
Die Installation der Software-Wanze soll nur auf richterliche Anordnung hin erfolgen.Yeah, right.
Die Internetprovider der überwachten Personen sollen das Programm dann auf deren Rechner schleusen.Viel Glück dabei.
Das Programm speichert die abgehörten Daten ab und sendet sie in kleinen, unauffälligen Paketen an einen Server.In kleinen, unauffälligen Paketen, ja? Mit grauem Packpapier eingebunden?
Und die stellen das auch noch als Vorteil dar, daß die Paßwörter nirgendwo gespeichert sind! Das muss man sich mal überlegen, bei dieser "neuen" "Technologie" muss nur noch ein Shoulder Surfer beobachten, wie das Paßwort eingegeben wird, er muss noch nicht mal per Trojaner irgendeine Datei von dem Rechner klauen! Er muss nicht mal in der Nähe des Terminals sein oder auch nur die IP-Adresse davon raten können! Wie können die diesen offensichtlich Mumpitz als Innovation verkaufen?! Unsere IT-Presse ist echt eine Lachnummer vor dem Herrn. Meiner Ansicht nach hätten die laut ausgelacht gehört, und das auch erst dann, wenn sie nach aktivem Ignorieren nicht von alleine weggehen. Unfaßbar.