Protokoll zur vereinfachten Einspeisung und Verwendung 
bundesbehördlicher Trojanersysteme

Status des Memos

Dieses Memo hat informativen Charakter. Dieses Memo stellt keinen Standard jeglicher Art da. Die Verbreitung ist natürlich untersagt.

 

Inhalt

Zweck
Protokoll

 

Zweck

Dieses Dokument beschreibt ein Protokoll, das es bundesbehördlichen Organen erlaubt, jegliche IT-gestützte Privatsphäre aufzuheben und nach deren Aufhebung legal an beliebige Informationen bezüglich terroristisch-relevanter oder irrelevanter Daten zu gelangen. Da eine immer größer werdende Zahl an illegalen Aktivitäten im Internet verdeckt durchgeführt werden, d. h. vor staatlichen Stellen absichtlich(!) verheimlicht werden, muss mit der Standardisierung eines solchen Protokolls entgegengewirkt werden.

Protokoll

Der komplette Protokollstack “zur vereinfachten Einspeisung und  Verwendung bundesbehördlicher Trojanersysteme”, im weiteren kurz PEST genannt, besteht aus mehreren Schichten.
Schicht 0
Schicht 0 definiert die physikalischen Voraussetzungen zur Implementierung und Verwendung von PEST. Ein PEST-konformes Anwesen (Haus, Wohnung, Garage, Flugplatz, Keller, Bunker, Strand oder sonstiges als Wohnung verwendbares Umfeld) stellt mindestens 2 (In Worten: Drei) “Not-Eingänge Respektive Dateneingänge”, im weiteren kurz NERD genannt, bereit, um die “Not-Eingangs Respektive Dateneingangs-Spezialisten”, im weiteren kurz NERDS genannt, auf einfache Weise physikalischen Zugang (herein- und heraus-laufen) erlangen zu lassen. Ein NERD darf nicht verschlossen, verbarrikadiert, lackiert, zugestellt, verdeckt, versteckt, offen, geschlossen oder auf sonstige Weise unzugänglich gemacht werden. Jeder NERD muss mindestens die Größe von 3m x 2m besitzen und durch ein rot-leuchtendes, 1m x 2m großes Schild gekennzeichnet sein.

Schicht 1
Schicht 1 definiert die Verbindung zum örtlichen “Datenspeicherungs- und Auswertungszentrum”, kurz “DAU”. Jedes netzwerkfähige-, bedingt netzwerkfähige- oder nicht netzwerkfähige Gerät muss per dedizierter Überwachungsleitung an das DAU angeschlossen sein. Diese Verbindung wird per Glasfaser hergestellt, entsprechende Module für PC, Laptop, Ipod, Toaster, Rasenmäher und alle weiteren, hier nicht namentlich aufgeführten Geräte werden vom Gerätebesitzer beschafft. Jegliche Daten, die ein Gerät produziert und die auf beliebige Weise das Gerät verlassen, werden somit schon beim Versenden dupliziert und an das DAU gesendet.

Schicht 2
Schicht 2 definiert die Softwarekomponente, die jedes Gerät implementiert haben muss. Die Softwarekomponente wird als .msi-Paket oder auf sonstige Weise zur Verfügung gestellt und muss installiert werden. Hierbei hat der Benutzer selbst dafür Sorge zu tragen, dass ein Betriebssystem eingesetzt wird, das mit der zur Verfügung gestellten Software auch zurecht kommt. Bei jedem Netzwerkzugriff wird über das DAU geprüft, ob die Softwarekomponente korrekt installiert wurde. Wenn dies nicht der Fall ist, wird der Internetzugriff verweigert. Die “Softwarekomponente zur Normalen investigativen forensischen FeinArbeit”, im weiteren kurz SNIFFA genannt, muss mindestens die folgenden SNIFFA-Kommandos implementieren:
- HEY
- COPYMAILS
- DIR[x]
- FLUSHPGPKEYS
Die Kommandos im einzelnen
HEY
Hiermit bittet das DAU den SNIFFA-Client, sich und den angemeldeten Benutzer zu identifizieren. Als notwendige Daten müssen mindestens zurückgegeben werden: Benutzername, Passwort, Vorname, Nachname, Geburtsdatum, Kontonummern(n), Kontostand, Telefonnummern, Sozialversicherungsnummer, Bookmarks, Windows-Adressbuch, die letzten 10 e-bay-Bestellungen, die letzten 10 geschriebenen Foren-Beiträge. Aus datenschutzrechtlichen Gründen wird darauf verzichtet, mehr Informationen als unbedingt notwendig zu erfragen, daher gibt die HEY-Abfrage nur die oben genannten notwendigsten Daten zurück.
COPYMAILS
Veranlasst den SNIFFA-Client, die letzten 8000 Emails inklusive Anhang an das DAU zu senden.
DIR[x]
Sendet einen kompletten Auszug aller Dateinamen inklusive Metadaten an das DAU
FLUSHPGPKEYS
Sendet die aktuell verwendeten PGP-Keys, den kompletten PGP-Keyring und die mittlerweile gelernten Passwörter an das DAU.

Für alle, die es nicht erkennen: Dies ist kein offizieller RFC oder Draft-standard. Ebenso sollte der Text nicht zu ernst genommen werden. Wirklich vollständig ist dieser auch nicht, aber, was soll´s…

• Bookmark on Delicious
• Digg this post
• Recommend on Facebook
• Buzz it up
• Share via MySpace
• Tweet about it
• Subscribe to the comments on this post

Tags bei Technorati: Bundestrojaner, witzig

Bundesinnenminister Wolfgang Schäuble hat den Entwicklungsstopp für den heftig umstrittenen Bundestrojaner beim Bundeskriminalamt (BKA) wieder aufgehoben. Dies berichtet der Spiegel in seiner kommenden Ausgabe. Der CDU-Politiker treibt demnach sein Prestigeprojekt der heimlichen Online-Durchsuchung gegen alle Widerstände weiter voran.

[Quelle: Heise]

Hmmm, sind "Prestigeprojekte" nicht diese Projekte, die immer um den Faktor 10 oder 100 teurer werden, als geplant?

Der Bundestrojaner (offiziell "Remote Forensic Software"). Ok, wie kann/soll er funktionieren? Grundsätzlich sind ja 2 Möglichkeiten im Gespräch:

1. Vor-Ort-Auftauchen eines BKA-teams und implementieren eines, auf dieses System, zugeschnittenen Trojaners.
2. "Online-Zugriff" auf das System und "Einschleusen" einer Software.

Punkt 1 hat ein paar Haken: Extremer Aufwand, geringe Abdeckung (wenige Überwachungen), Unauffällige Installation ist schwierig und, wie ich finde, einer der wichtigsten Punkte: schon die Installation eines solchen tools verändert das zu überwachende System, daher sind die Ergebnisse zumindest anzuzweifeln (Andreas Pfitzmann, Informatikprofessor an der Technischen Universität Dresden).

Diese Methode fällt meiner Meinung nach fast schon weg, da der zeitliche, personelle und finanzielle Aufwand für eine Überwachung im Großen Stil definitiv zu groß wäre.

Ok, kommen wir zu Weg 2: Einschleusen einer Software, die, mindestens in eingeschränktem Maße, Daten mitloggt. Dass solch ein "Einschleusen" grundsätzlich funktioniert, sieht man an der Anzahl der aktuell im Umlauf befindlichen Trojaner. Allerdings, funktioniert es da, wo es funktionieren soll? Dass sich Hausfrau Lieschen Müller, die 30 Minuten die Woche am PC verbringt, diesen Trojaner einfangen kann, weil sie in der falschen Mail den Anhang öffnet, oder der 15-jährige Bob, der ständig unbedarft auf Pornoseiten surft, ist ja einleuchtend. Aber: trifft das auch auf die Personen zu, die wirklich etwas zu verbergen haben (und ich rede jetzt mal nicht von 2 geklauten .mp3s)? In Diskussion war auch das Einschleusen der Software über die vorhandenen Überwachungsschnittstellen bei den Providern (quasi eine klassische Man-in-the-middle-Attacke). Selbst wenn sich jemand solch einen Trojaner eingefangen hat, gibt es immer noch einige Variablen, die hier "Probleme" machen könnten, wie z. B. Betriebssystem (Windows, Linux, Mac, BSD, …) Personal Firewall, Hardwarefirewall (z. B. auf dem Router), Benutzerkontext (arbeitet derjenige als Administrator/root oder als extrem eingeschränkter Benutzer), Benutzung von Virtuellen Maschinen, usw. Des weiteren, um vor Gericht vernünftig verwertbar zu sein, müssten die gewonnenen Ergebnisse auf sehr sicherer Weise gespeichert/übertragen werden und alles müsste sehr nachvollziehbar sein.

Ich bezweifle, dass sich die Politiker im klaren darüber sind, was für Hürden hier im Wege liegen, wie lückenhaft diese Art der Überwachung ist und was alles dagegen unternommen werden kann. Ein Großteil der Antiviren-Hersteller hat angekündigt, einen eventuellen "Bundentrojaner" als Schadsoftware zu erkennen, und diesem keinen Freischein zu geben. Es ist halt nicht immer alles so einfach, wie man es gerne hätte. Und ein einfaches "Wir schreiben jetzt eine remote-Überwachungssoftware" genügt nicht, es muss erst noch durchgeführt werden.

Bei all dem Hype und der Panikmache um den "Bundestrojaner" (und all der Abneigung dagegen und der notwendigen Vorsicht), bin ich momentan der Meinung, dass so ein Tool nicht gegen ernsthaft gefährliche und ausreichend bewanderte Personen helfen wird- wenn man weiß wie, sind die Abwehrmöglichkeiten (z. B: die die Fähigkeiten einer modernen Hardwarefirewall oder eines Proxies) ziemlich umfangreich.

Ich lasse mich hier aber gerne auch auf Diskussionen ein.

• Bookmark on Delicious
• Digg this post
• Recommend on Facebook
• Buzz it up
• Share via MySpace
• Tweet about it
• Subscribe to the comments on this post

Tags bei Technorati: Bundestrojaner, firewall, Security