Press  »  KW 05/08: Standpunkt Sicherheit

Eilers, Carsten. KW 05/08: Standpunkt Sicherheit. Entwickler Magazin. Column: About Security. January 28, 2008.

KW 05/08: Standpunkt Sicherheit.

Hatte ich im Standpunkt Sicherheit vom 7.1. noch befürchtet, für die "analoge (Überwachungs-)Lücke" Briefpost würde unseren Innenpolitikern auch noch etwas einfallen, wurde ich letzte Woche eines besseren belehrt: Zumindest den US-Amerikanern ist da schon etwas eingefallen. Die wollen von den Postunternehmen vorab Informationen über Absender, Empfänger und wenn verfügbar, den Inhalt von Briefen und Paketen mitgeteilt bekommen. Begründung: Es könnte ja jemand wie 2001 Anschläge mit Anthrax-Briefen oder Ähnlichem versuchen. Ja, klar: Ein ordentlicher Terrorist schreibt natürlich auf dem Brief drauf "Vorsicht, Anthrax - Nur vom Opfer zu öffnen".

Briefgeheimnis? Wen interessiert das denn schon? Nun, vielleicht ja die Unternehmen, die z.B. Konstruktionsunterlagen o.Ä. per Post in die USA schicken. Die legen sicher keinen Wert darauf, dass ihre Pakete mal eben - natürlich ganz legal im Zuge der Terrorabwehr, es könnte ja ein Bombenbauplan drin sein - vom Zoll oder einen sich für zuständig haltenden Geheimdienst geöffnet und die Unterlagen kopiert werden. Und danach werden die Kopien dann zwecks einfacherer Auswertung an einen inländischen Konkurrenten weitergeleitet. Ach was, ich fantasiere hier nur rum, das sind ja die USA, unsere Verbündeten. Die würden doch nie Wirtschaftsspionage betreiben. Jedenfalls nicht bei uns im Westen. Oder?

Ebenfalls interessant dürfte das damit aufzubauende Beziehungsgeflecht sein: Wer hat wem wann was geschickt? Gehen Briefe oder Pakete hin- und her, z.B. weil an irgendetwas gearbeitet wird, was nicht über das Internet übertragen werden kann oder soll?

Wer jetzt meint, so was interessiere doch keinen, mit so einer Datensammlung können man doch nichts anfangen, sollte mal einen Blick auf die Projekte von Prof. Hendrik Speck der FH Kaiserslautern werfen. Bei der Auswertung der Beziehungen in Social Networks ist einiges möglich, und eine Datenbank mit Informationen über verschickte und empfangene Post ist auch nichts anderes als ein soziales Netzwerk.

Und nun?

Nachdem die Überwachungslücke bei der Briefpost geschlossen werden kann (was in die USA funktioniert, sollte im Inland doch erst recht funktionieren) und der Verfassungsschutz eine Ausweispflicht für Internet-Cafes fordert, fehlt eigentlich nur noch eine Ausweiskontrolle vor Telefonzellen. Dann sollten sämtliche Möglichkeiten der unbeobachteten Kommunikation über größere Distanzen erfasst sein. Oder?

Bayerischer Skypetrojaner

Der CCC hat ein Dokument veröffentlicht, dessen Anhang interessante Rückschlüsse auf den Bayerntrojaner, der nun wohl zu einem (Windows-only) Skypetrojaner mutiert, erlaubt. Genauso wie im September 07 bei der Antwort des Bundesinnenministeriums auf einen Fragenkatalog der SPD zur Onlinedurchsuchung möchte ich auch hier etwas mit eigenem Senf nachwürzen. Ein Trojaner auf dem Rechner des Opfers soll die Skype-Daten vor der Verschlüsselung durch Skype abfangen und an einen Server der Polizei weiterleiten. Ach so, Stopp, das Opfer ist jetzt ja ein Täter oder zumindest ein Tatverdächtiger. Jedenfalls: "Um die Bandbreite der übertragenen Daten gering zu halten, werden diese über einen speziellen Codec stark komprimiert." Der muss dann wirklich gut sein: Das Ergebnis muss sowohl winzig klein sein, damit es die meist doch recht schmalbandigen Leitungen nicht verstopft, als auch noch hinterher gut verständlich. Sowas würde ich dann aber nicht an die Überwachungsstaatsfanatiker vermieten, sondern an Musikliebhaber verkaufen. Ein so toller Audio-Codec lässt sich bestimmt gut vermarkten.

"Für die Installation der Skype Capture Unit wird eine ausführbare Datei mitgeliefert, die zum Beispiel als Anhang an eine E-Mail verwendet werden kann oder aber direkt auf dem Zielsystem installiert werden kann." Per E-Mail zuschicken... tolle Idee: "Hier schreibt die Polizei, bitte installieren sie sofort den mitgelieferten Trojaner". Klar: Deutschland sucht ja den Super-DAT. Ich gebe zu, dass Social Engineering funktioniert. Aber bei einem ausgebildeten Terroristen, der damit rechnet? Und was die direkte Installation betrifft - dazu müssen die Herrschaften erst mal an den Rechner dran. Schaffen die das? Unbemerkt? Und dürfen die das überhaupt? Über einen Man-in-the-Middle-Angriff sollen auch SSL-Verbindungen belauscht werden. Klar, wenn man sowieso schon mal sein digitales Ungeziefer auf dem Rechner hat, bietet sich das ja an. Aber ob das noch als Telekommunikationsüberwachung durchgeht? Übrigens einer meiner Lieblingssätze in dem Schreiben: "Die durch die SSL-Verschlüsselung kryptierten Daten können so visualisiert werden." Tolle Formulierung!

Dann der nächste interessante Teil: "Zur Verschleierung der eigenen IP-Adresse müssen noch zwei Proxyserver von ihrem Amt angemietet werden. Es empfiehlt sich, hier einen Proxy in Übersee zu mieten." Wieso denn mieten, die Kollegen aus den USA helfen da bestimmt gerne aus. Günstig könnte auch einer in Asien sein, wie wäre es mit China?

Auch schön: "Lieferzeit: nach Auftragseingang ca.4-6 Kalenderwochen". Heißt das, der Trojaner ist noch gar nicht fertig und man wartet auf den ersten Auftrag? Und dann soll das Teil in 4-6 Wochen geschrieben werden? Respekt! Falls der aber schon fertig ist - wieso dauert das dann so lange? Muss man erst einen "Zweitverwerter" für die Daten suchen, damit sich das Ganze auch lohnt? Überhaupt lohnt - wie sich das bei den Preisen (3.500 Euro pro Monat, 2.500 Euro einmalig pro Installation, Mindestmietdauer 3 Monate) bei einmaligen Einsätzen lohnen soll, weiß ich nicht. Selbst wenn die das nicht selbst entwickeln, sondern irgendwo in Indien oder einer der ehemaligen Sowjet-Republiken programmieren lassen und die Programmierer mies bezahlen, bleibt da bei einem einmaligen Einsatz nicht viel übrig. Eigentlich kann sich das nur rechnen, wenn die Software möglichst oft und dann unverändert eingesetzt wird. Aber vielleicht verkauft man den gleichen Trojaner oder die anfallenden Daten ja auch an andere Interessierte, z.B. in der Wirtschaft?

Vorwärts in den Überwachungsstaat

Weil ich gerade beim Thema bin: Frau Merkel meint, was technisch an Überwachung möglich ist, das muss der Staat auch umsetzen und darf das Feld nicht den Terroristen, Verbrechern etc. überlassen. So so, Terroristen machen also Videoüberwachung? Ich dachte immer, das wären Polizisten. Wie man sich doch täuschen kann. Aber das Verbrecher Onlinedurchsuchungen machen will ich ihr gerne glauben, da kennt sie sich ja mit aus. Wenn Frau Merkel meint, "das ist nicht unser Staat" kann ich ihr nur zustimmen. Und so einen Überwachungsstaat wollen wir auch nicht.

Contact

Professor Hendrik Speck. 2007.

Prof. Hendrik Speck
University of Applied Sciences Kaiserslautern
Department of Computer Sciences
Amerikastrasse 1
66482 Zweibrücken
Germany

Office: Building O, Room O 017

E-Mail: Hendrik.Speck  (at) hs-kl (dot) de
Phone: +49 631 3724 5360

Call Prof. Hendrik Speck with Sykpe Chat with Prof. Hendrik Speck

See Xing Profile of Prof. Hendrik Speck See Projects and Programs of Prof. Hendrik Speck

* Click here to View larger map.