Wikileaks: Spionage(abwehr) für Dummies

WikiLeaks hat am 1. Dezember einen ganzen Haufen neuer Dokumente veröffentlicht. Die Spy Files zeigen, welche Möglichkeiten Behörden und Geheimdienste haben, um ihre Bürger zu überwachen — mehr oder weniger gesetzeskonform, mehr oder weniger gründlich. Die Dokumente sind offenbar zu einem guten Teil Präsentationen, die Unternehmen auf einer der ISS-Konferenzen (Intelligence Support Systems for Lawful Interception, Criminal Investigation and Intelligence Gathering) gezeigt haben. Sie geben Aufschluss darüber, welche Fähigkeiten die von den Unternehmen angebotenen Produkte auf jeden Fall haben.

Laut der Karte gibt es einige Unternehmen, die auch Verbindungen nach Deutschland haben. Von besonderem Interesse dürfte dabei die Firma DigiTask sein, die in den letzten Monaten oft in Verbindung mit dem deutschen „Staatstrojaner“ genannt wurde. Dieser, auch „Quellen-Telekommunikationsüberwachung“ und „Bundestrojaner“ genannt, wird auf dem Computer der zu überwachenden Person installiert und hat die Aufgabe, den Behörden das Abhören von verschlüsselten Nachrichten zu gestatten, indem er diese vor dem Verschlüsseln oder nach dem Entschlüsseln abfängt. Der deutsche „Chaos Computer Club“ (CCC) hat sich mit einer älteren und einer neueren Variante des Staatstrojaners beschäftigt und darin einige eklatante Sicherheitslücken gefunden: „Wir waren überrascht und vor allem entsetzt, daß diese Schnüffelsoftware nicht einmal den elementarsten Sicherheitsanforderungen genügt. Es ist für einen beliebigen Angreifer ohne weiteres möglich, die Kontrolle über einen von deutschen Behörden infiltrierten Computer zu übernehmen“ sagte ein CCC-Sprecher. Der detaillierte Bericht ist sehr lesenswert:

Wir sind hocherfreut, daß sich für die moralisch fragwürdige Tätigkeit der Programmierung der Computerwanze keine fähiger Experte gewinnen ließ und die Aufgabe am Ende bei studentischen Hilfskräften mit noch nicht entwickeltem festen Moralfundament hängenblieb.

Mittlerweile erkennen viele Antivirenprogramme die erste veröffentlichte Version als Schadprogramm und blocken es.

In den Veröffentlichungen von WikiLeaks sieht man nun, wie die Firma DigiTask sich und ihre Abhörprogramme vorgestellt hat. DigiTask hat den Konferenzteilnehmern (Behördenvertreter etc.) offenbar wirklich ein System präsentiert*, das angeblich mit AES (Advanced Encryption Standard) verschlüsselt. Der CCC hat dann herausgefunden, dass zwar der Datenverkehr vom Trojaner zum Server verschlüsselt wird (und noch dazu über einen Server in den USA läuft), der Trojaner aber selbst die Befehle mehr oder weniger unverschlüsselt empfängt, was eine Sicherheitslücke darstellt. Interessanterweise geht die Präsentation auch explizit auf die Möglichkeit ein, weitere Programmbestandteile nachzuladen und „verbotene“ Funktionalitäten der Software zu sperren.

Was nützt es, das zu wissen?

Wir erhalten Informationen darüber, was den Behörden beim „gewöhnlichen“ Abhören von Datenverbindungen Probleme bereitet. Darunter sind…

  • Informationen, die zwar entschlüsselt werden könnten, aber nicht gesammelt werden können
    • TOR (auch verschlüsselt)
    • Verwendung von Internetcafés, Hotspots usw.
  • verschlüsselte Informationen, die nicht entschlüsselt werden können
    • verschlüsselte Instant Messenger
    • per TLS oder SSL verschlüsselte Verbindungen zu Mailservern
    • mit PGP/GnuPG verschlüsselte E-Mails
    • Websites, die HTTPS verwenden
    • VPN-Verbindungen
  • Informationen, die trotz Beschlagnahme (von Datenträgern) nicht erhalten werden können
    • verschlüsselte Festplatten und andere Datenträger

Das sind also jene Dinge, die man als Computernutzer tun kann, um zu verhindern, dass es Hacker/Geheimdienste/Industriespione usw. allzu leicht haben. Natürlich ist die Quellen-Telekommunikationsüberwachung genau darauf ausgerichtet, diese Probleme zu umgehen. Die Software dazu muss aber zuerst auf den Computer gelangen — und das ist einiges an Arbeit, weil es mitunter physischen Zugriff auf den Computer erfordert.

 

*kleines Glossar:

RFS: remote forensics software
LI: lawful interception