Gnihih, in Deutschland kann man gerade beobachten, wie ihnen diese ganze Staatswanzen-Sache so richtig ins Gesicht explodiert ..
Ich hab das anfänglich mal für nen Scherz gehalten, dass da irgendwer dem CCC ein zamgeklicktes Ding untergejubelt hat, weil das Ding was die da analysiert haben sooo dermaßen verpfuscht ist, und man soll ja auch nie was glauben solangs nicht offiziel dementiert wurde
http://orf.at/stories/2083344/2083340/
- Das Ding verschlüsselt nur den Upload vom PC zum Server per AES, nicht den command-kanal, und verwendet auch keine Signaturen, nur nen Check obs von einer bestimmten IP kommt. D.h. wenn man plaintext '4' an den infizierten rechner hinschickt, macht der Funktion '4', wenn man 10 hinschickt, macht er Funktion 10, etc.. Es gibt auch schon ne hübsche nachgebaute GUI mit der man das Ding steuern kann
http://www.ccc.de/system/uploads/78/ori ... apftis.png
- Der Uplink authentifiziert sich mit der Passphrase 3CPO-R2D2-POE, und geht dann gegen über amerikanischen Server, zumindest in manchen Versionen des Trojaners
http://www.f-secure.com/weblog/archives/00002249.html
- Das einzige was darin auch nur ansatzweise obfuscated wurde ist die Funktion um Module nachzuladen, genau das was explizit illegal ist
Und dann hört Skype ab, indem es sich als Skype-Plugin installiert, und sich nur beim Start eines Gesprächs reinhängt. Das ist in mehrfacher Hinsicht spannend, da Skype dann mal nachfrägt 'Wollen Sie wirklich dieser seltsamen, verdächtigen Software Zugriff geben?", d.h. da muss man beim Installiern vor Ort sein und das wegklicken. 'Echte' Trojaner pfeifen auf den Aufwand und hören einfach das ganze Audio-Interface ab. Nur, als die Diskussion losging vor langer Zeit, dass man Skype und Co ja nicht abhören könnte weils verschlüsselt ist, wollte dann auch keine Firma als die bösen Terroristen-Supporter dastehn und auch Skype hat dann ganz offiziell gesagt, alles kein Problem, wenn wer die Skype-Gespräche abhören will, muss man nur bei ihnen mal nachfragen. Österreich hat das ja auch gemacht. Problem ist halt das Skype so kleinlich ist und auf richterlichen Beschluss besteht, das ist mit nem Trojaner dann halt viel bequemer
Der CCC und andere Security-Experten haben da grad ziemlich Spaß daran, den Fallout zu beobachten:
http://www.spiegel.de/netzwelt/web/0,15 ... 31,00.html
Die Hacker vom Chaos Computer Club höhnten schon am Wochenende, der Trojaner tauge ohnehin nicht viel: "Wir sind hocherfreut, dass sich für die moralisch fragwürdige Tätigkeit der Programmierung der Computerwanze kein fähiger Experte gewinnen ließ", heißt es in einem 20-seitigen Dokument, das der Computerclub veröffentlichte. Die von SPIEGEL ONLINE befragten Virenexperten sehen das ähnlich. Einer konnte sich am Telefon das Lachen kaum verkneifen, als er auf die Schnüffelsoftware angesprochen wurde.
Auch Sophos hat da mal ne FAQ geschrieben:
http://nakedsecurity.sophos.com/2011/10 ... rojan-faq/
Q: Which website does the Trojan communicate with?
A: The Trojan appears to connect to an IP address, 83.236.140.90, which appears to be based in Düsseldorf or Neuss.
Q: Where is the LKA Nordrhein-Westfalen based?
A: Düsseldorf.
Wenn jetzt jemand im Staat Geld in die Hand nimmt, muss das dokumentiert werden in diesen Amtsblättern offensichtlich. Nun kostet die Herstellung von so nem Trojaner wirklich viel Geld, und wenn man da Profis ranlässt kommt da ja auch durchaus was raus, wie man bei Stuxnet gesehn hat.
Die Länder haben sich da jetzt wohl an DigiTask gewandt und mal nachgefragt, und die haben dann gemeint, sie bauns um ~2Mio €, und auch brav Presentationen gemacht, in denen auch ziemlich das drinsteht, was der Trojaner kann
Die Ausschreibungen müssen bei so viel Geld auch schön brav in den Amtsblättern dokumentiert werden, wo man natürlich wunderbar nachschaun kann wer da aller bei DigiTask eingekauft hat.
Sowohl im Sophos Blog als auch bei F-Secure wird das erwähnt:
http://www.f-secure.com/weblog/archives/00002250.html
Und dann kommt auch noch raus, wofür das Ding eingesetzt wurde:
http://taz.de/!79701/
In dem Verfahren ging es um drei Personen, die Kleidung und Drogerieartikel gestohlen und im Ausland weiterverkauft haben sollen. [..]
Bei einem anderen Verdächtigen installierten Beamte den Trojaner, als er im Sommer 2009 von einer Geschäftsreise aus Indien zurückkam und am Flughafen München kontrolliert wurde. Die Behörden hatten ihn im Verdacht, Teil einer Gruppe zu sein, die Arzneimittel illegal ins Ausland verkauft. Der Trojaner fertigte in drei Monaten mehr als 60.000 Screenshots an.
In einem weiteren Fall verdächtigten die Behörden einen Nürnberger, Drogen und Dopingmittel aus dem Ausland einzukaufen, um sie an Türsteher und Personen aus dem Rotlichtmilieu weiterzuverkaufen.
Die ärgsten Terroristen also, da hilft nur Trojanereinsatz!
Da kann man sich dann zurücklehnen und zusehn wie die Leute dann zum Schwitzen anfangen und sich um Kopf und Kragen reden
Da kommen dann so Aussagen wie "Was immer der CCC untersucht hat, es war nicht der Bundestrojaner" (Das ist richtig, denn der Bundestrojaner ist quasi die "Vollversion", und die wurde meines Wissens schon verboten, da gehts um diese "Quellen-TKÜ", also nur um Telekom-Überwachung und sonst nichts, und das ist auch Ländersache, nicht vom Bund), über "Bei uns wird nur Software eingesetzt die unseren Qualitätsmaßstäben entspricht" bis hin zu
http://www.evangelisch.de/themen/politi ... janer49763
Die Behörde hatte schon vor Jahren eine entsprechende Überprüfung abgelehnt, da damit ein Interessenkonflikt entstünde - das BSI berät auch Bürger, wie sie ihre digitalen Geräte vor Angreifern schützen können. Das bayerische Landeskriminalamt teilte schließlich mit, dass es sich bei den externen Prüfern nicht um versierte IT-Sicherheitsexperten, sondern um Mitarbeiter anderer Landeskriminalämter handle.
[..]
Sie bestätigte außerdem, dass die abgehörten und mitgeschnittenen Daten tatsächlich, wie vom CCC festgestellt, zunächst an einen kommerziellen Dienstleister in den USA geschickt würden.
Ein echtes representatives staatliches IT-Großprojekt wie es im Bilderbuch steht
Achja, und Code von Speex hat der CCC auch drin gefunden.. Das ist ein Opensource-Sprachcodec, womit der Trojaner auch ne Opensource-Lizenz verletzt