[l] Zu der Bayerntrojaner-Meldung… ich habe das Schreiben auch gesehen. Und ich halte es für authentisch. Die Firma existiert, bietet auf ihrer Webseite Überwachungs-Kram an, und sie ist auch noch ETSI-Member in den entsprechenden Gremien. Wir haben ein bißchen hinterher gegoogelt, und die haben schon diverse Aufträge für die Bayerischen Bedarfsträger gemacht, und im Saarland haben wir auch was gefunden. Das ist bemerkenswert, weil die Firma in Hessen sitzt.Bemerkenswert an dem Angebot sind folgende Details:
- Die Lieferzeit ist als 4-6 Wochen ab Eingang des Auftrags angegeben. Warum so lange? Ist das vielleicht nur eine könnte-würde-hätte Sache und die Firma traut sich zu, das dann mal eben in den 4-6 Wochen zu hacken?
- Das Geschäftsmodell ist auf Miete ausgelegt; man zahlt nicht für die Entwicklung der Software, sondern pro Monat und Einsatz und noch einmal ein paar tausend Euro pro Installation. Damit ist aber wohl nicht die Installation beim Opfer gemeint, sondern das Aufsetzen von deren Schnittstellen.
- Die bieten zwei Trojaner an, einen zum Skype-Abschnorcheln und einen zum https-Abschnorcheln (offenbar über eine Art Browser-Plugin realisiert, supported IE und Firefox).
- Das Angebot bietet nur Trojaner für Windows an. Apple- und Linux-User sind damit erst mal sicher.
Wie die Piratenpartei schon sagt, stellt sich die Frage, wie sich das für die Firma rentieren soll. Entweder die haben die Software gar nicht selber gehackt sondern sie sind nur der Distributor und arbeiten aus der Garage der Eltern auf dem Bauernhof auf dem Dorf (wie die Nedap-Importeure), oder sie entwickeln das doch selber, aber bezahlen ihre Mitarbeiter nicht ordentlich, oder sie gehen davon aus, dass das stark nachgefragt wird. Bei den Preisen ist jedenfalls nicht daran zu denken, wie bisher von den Politiker angesagt den Trojaner jeweils als Unikat für den jeweiligen Angriff neu zu entwickeln. Das Angebot spricht da auch von fertigen Modulen, die man dann halt zusammen stöpselt. Eines davon ist ein webbasierter Streaming-Server, über den man dann die abgeschnorchelten Skype-Telefonate hören kann. Sie bieten natürlich auch AES-Verschlüsselung an, sagen sie.Ohne irgendwas davon mal in Aktion gesehen zu haben, maße ich mir mal folgende Glaskugel-Aussagen an:
- Der Streaming-Kram hat mit Sicherheit irgendwelche Remote Exploits drin. Da wären sie einfach mal die ersten auf der Welt, die das beim ersten Ansatz richtig hin kriegen.
- Sie nehmen da einen noch dünnbändigeren Codec als Skype für ihre Audiokompression. Müssen sie auch, sonst reicht die ausgehende Bandbreite nicht für beide ausgehenden Streams. Das heißt: wenn man das Signal so verschlechtert, dass es mit sehr geringer Bandbreite nicht komprimierbar ist, dann hören die nichts. Bisschen Rauschen, Volksmusik in den Hintergrund, Autobahn, Eisenbahn oder Flughafen in der Nähe — da wird man nicht viel verstehen auf dem Bedarfsträger-Mitschnitt.
- Wenn sie das zweimal aus dem Opferrechner rausleiten, dann haben sie merklich mehr ausgehende Bandbreite. Das kann ein aufmerksamer PC-Benutzer sehen.
Ich bin mir uneins, wie das Angebot zu verstehen ist. Auf der einen Seite liest es sich, als hätten sie alles schon fertig. Auf der anderen Seite sieht die lange Lieferfrist so aus, als würden sie das dann "mal schnell" programmieren, wenn da ein Auftrag reinkommt. Wenn sie das noch nicht fertig haben, wünsche ich viel Spaß dabei, Skype zu reverse engineeren. Das ist kein Selbstläufer, die haben da Maßnahmen ergriffen.Update: noch was vergessen: die verkaufen der Polizei auch gleich zwei (!) Proxy-Server zum Verschleiern der IPs. Zwei! Das finde ich bemerkenswert. Hat wohl doch mal jemand aufgepaßt bei unseren Tor-Vorträgen :-)