"Bundestrojaner" detektieren
Martin Laabs
nachdem meiner Meinung nach der "Bundestrojaner" so oder so, legal
oder illegal kommt oder schon da ist habe ich mir ein paar Gedanken
gemacht wie man ein entsprechendes Schadprogramm entdecken könnte.
So viel ich mitbekommen habe ist ja die Motivation dahinter, dass man
gerne die Daten verschlüsselter Datenträgerbereiche auslesen möchte
was nach einer Hausdurchsuchung nicht mehr funktioniert bzw. funktio-
nieren sollte. Also hofft man, dass die Entschlüsselung während des
Angriffs aktiviert ist und man damit das ganze Kryptographieproblem
umgehen kann.
Meine erste Idee dem einen Riegel vorzuschieben war die Netzwerk-
verbindung bei aktiver Entschlüsselung zu deaktivieren was aber
einerseits höchst unpraktikabel ist und andererseits die Schadsoft-
ware ja die Daten unverschlüsselt zwischenspeichern kann.
Die zweite Idee scheint mir praktikabler. Wenn man ein kleines Stück
Elektronik entwickelt (ein kleiner CPLD oder FPGA sollte reichen)
welches alle Zugriffe auf die "interessante" Festplatte in Echtzeit
überprüft und diese unverzüglich vom System trennt so "verbotene"
Bereiche, die vorher definiert worden sind, gelesen werden, sollte
man die Anwesenheit eines Schnüffelprogamms recht zuverlässig
detektieren.
Es gibt auf den ersten Blick vier Schwachpunkte an dem System
1. Ist das System schon vor Installation des Festplattenwächters infiziert
ist die richtige Funktion nicht mehr garantiert. Da das aber wohl bei
so gut wie jeder Schutzfunktion ein mehr oder weniger akademisches
Problem ist sollte das nicht so die Rolle spielen.
2. Wie definiert man die "verbotenen" Bereiche, dass sie von der Schad-
software zuverlässig gelesen werden.
Sicher ist eine Datei Namens Atombombe.txt oder Terror-Bahn.doc ein
netter Honigkrug aber die Entwickler der Schadsoftware sind ja auch
nicht dumm. (Will man meinen.)
3. Kann man verhindern, dass die Daten die vor dem Lesen der verbotenen
Bereiche und der anschließenden Deaktivierung der Festplatte an
"$Institution" übermittelt werden?
Natürlich wäre auch eine (hardwareseitige) Trennung der Netzwerk-
verbindung unproblematisch. Aber da alle technischen Systeme nun
mal kausal sind ergibt sich hier auch das Problem Nr 2, dass
u.U. schon vor der Entdeckung Schadaktivität statt findet.
4. Das Schadprogamm kann erst mal eine Weile die Zugriffe auf die
Festplatte protokolieren und somit statistisch die verbotenen
Bereiche/Dateien/Verzeichnisse ermitteln.
Dem kann man u.U. damit begegnen, dass der Benutzer der Kontroll-
hardware in unregelmäßigen Abständen auf einem sicheren Kanal
(z.B. Taster) mitteilt, dass er jetzt selber einen Zugriff auf
den eigentlich verbotenen Bereich ausführen wird womit die
Statistik des Schadprogamms nicht mehr aussagekräftig sein wird.
Dass genau zu diesem Zeitpunkt auch die Schadsoftware ihre
Zugriffe ausführt dürfte durch den sicheren Kanal mit dem der
Benutzer mit der Kontrollhardware kommuniziert verschwindend
gering sein *so er für den softwareseitigen Zugriff keine Scripts
oder andere Automatisierungen verwenden*
Dass mit so einem kleinen Stückchen Hardware auch ein sicherer Schlüssel-
speicher und ein guter Zufallszahlengenerator implementiert werden kann,
versteht sich von selbst. Primär geht es mir aber um eine Ideenaustausch
zu dem oben beschriebenen Konzept. (Was wohl auch eine ganz nette Studien-
oder Diplomarbeit abgäbe.)
Vielen Dank,
Martin Laabs
Ralph Lehmann
> Hallo,
>
> nachdem meiner Meinung nach der "Bundestrojaner" so oder so, legal
> oder illegal kommt oder schon da ist habe ich mir ein paar Gedanken
> gemacht wie man ein entsprechendes Schadprogramm entdecken könnte.
Wie willst Du testen, ob Dein Konzept greift? Selbst einen Anschlag planen?
ciao Ralph
Gitano
Hash: SHA1
Ralph Lehmann schrieb:
>> nachdem meiner Meinung nach der "Bundestrojaner" so oder so, legal
>> oder illegal kommt oder schon da ist habe ich mir ein paar Gedanken
>> gemacht wie man ein entsprechendes Schadprogramm entdecken könnte.
>
> Wie willst Du testen, ob Dein Konzept greift? Selbst einen Anschlag planen?
Mit einem 'normalen' Schadprogramm?
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.6 (GNU/Linux)
iD8DBQFGqjlthZWiQsqYS8oRAlf5AJ0UmFnUU9FLI+3pT/6ZOfF8zx0KrACdHrmP
a+8RRtpAtmW+2rKstQfieBw=
=tUDI
-----END PGP SIGNATURE-----
Ralph Lehmann
>>> nachdem meiner Meinung nach der "Bundestrojaner" so oder so, legal
>>> oder illegal kommt oder schon da ist habe ich mir ein paar Gedanken
>>> gemacht wie man ein entsprechendes Schadprogramm entdecken könnte.
>>
>> Wie willst Du testen, ob Dein Konzept greift? Selbst einen Anschlag planen?
>
> Mit einem 'normalen' Schadprogramm?
Was ist ein "normales" Schadprogramm?
Martin Laabs
Ralph Lehmann <in...@dummenfang.info> wrote:
> Martin Laabs schrieb:
[...]
> Wie willst Du testen, ob Dein Konzept greift? Selbst einen Anschlag planen?
Nun - idealerweise wäre das Konzept so konzepiert, dass es inhärent
sicher bzw. Aufgabenerfüllend ist. Das ist mein Konzept leider nicht
weswegen ich ja um Alternetivvorschläge, Erweiterungen etc. pp. bitte.
Ansonsten wird, so der "Bundestrojaner" eine größere Anwendung findet
wohl auch eine Kopie von diesem irgendwann irgendwo auftauchen mit dem
man jedenfalls in alter Version testen könnte.
Ansonsten bleibt immer noch die Möglichkeit einen Versuch der Aufmerksam-
keitslenkung zu unternehmen.
Viele Grüße,
Martin L.
Martin Laabs
Heiko Schlenker <hsc...@gmx.de> wrote:
> Es gibt vor allem eine Schwachstelle: Ist das System erst einmal
> kompromittiert worden, dann ist's zu spät. Die Kontrolle hätte dann
> der "Bundestrojaner", auch über den "Festplattenwächter".
Nein - der Festplattenwächter wäre ja ein Stück Hardware was
zwischen Festplatte und Festplattencontroller/Mainboard ge-
steckt wird. Das wird der "Bundestrojaner" nicht kompromitieren
können weil man die Möglichkeit eines "Updates", jedenfalls ohne
ein Kabel zu stecken, nicht implementiert wird.
Viele Grüße,
Martin L.
Oskar Rüetschi
> Hallo,
>
> nachdem meiner Meinung nach der "Bundestrojaner" so oder so, legal
> oder illegal kommt oder schon da ist habe ich mir ein paar Gedanken
> gemacht wie man ein entsprechendes Schadprogramm entdecken könnte.
Nach geltendem Recht ist diese Newsgroup seit diesem Posting eine
terroristische Vereinigung.
Weiss jemand ob das BKA oder der Verassungsschmutz zuständig ist?
Juergen P. Meier
> On 27 Jul., 19:56, Martin Laabs <98mal...@gmx.de> wrote:
>> Hallo,
>>
>> nachdem meiner Meinung nach der "Bundestrojaner" so oder so, legal
>> oder illegal kommt oder schon da ist habe ich mir ein paar Gedanken
>> gemacht wie man ein entsprechendes Schadprogramm entdecken könnte.
>
> Nach geltendem Recht ist diese Newsgroup seit diesem Posting eine
> terroristische Vereinigung.
§202c ist noch nicht in Kraft getreten.
> Weiss jemand ob das BKA oder der Verassungsschmutz zuständig ist?
Sowohl BKA als auch Verfassungsschutz stehen selbst auf der
Abschussliste dieses Gesetzes, da auch sie Hackertools sich
verschaffen und einsetzen.
Die Gerichte duerften sich wohl schon mal auf eine Flutwelle von
Strafanzeigen wegen verstoss gegen den neuen Paragraphen gefasst
machen, vorwiegend gegen Mitarbeiter von diversen Behoerden.
(u.a.: BSI, Verfassungschutz, Landespolizei, BKA)
Juergen
--
Juergen P. Meier - "This World is about to be Destroyed!"
end
If you think technology can solve your problems you don't understand
technology and you don't understand your problems. (Bruce Schneier)
Manfred Fiebig
> Was ist ein "normales" Schadprogramm?
Such dir eines aus: http://www.viruslist.com/de/index.html
;-))))
--
der Hinterwäldler
liebt nicht Windows, hasst es aber auch nicht
Er hat nur festgestellt, das selbst Malware nicht
mehr das ist, was sie vor ein paar Jahren mal war.
Martin Laabs
Heiko Schlenker <hsc...@gmx.de> wrote:
> * Martin Laabs <98ma...@gmx.de> schrieb:
[Festplattenwächter]
> Dodge this ;-)
> http://groups.google.com/groups?as_umsgid=4609346a$0$23142$9b4e...@newsspool1.arcor-online.net
Nun - solche Karten gibt es ja schon aber der Zweck den sie erfüllen
sollen ist ja ein leicht anderer. Es soll ja eher vor Fehlern die
der Anwender begeht oder vor den einfachen Schadprogammen schützen.
Meine Idee ist wirklich einen "Wächter" zwischen IDE-Kabel und Fest-
platte zu platzieren der die ATA-Kommandos dekodiert und im Falle
eines Falles die Festplatte elektrisch vom Bus trennt.
Für das System wäre das, im Normalbetrieb, absolut transparent.
Viele Grüße,
Martin L.
Juergen Ilse
Wie soll denn dieses "Stueck Hardware" zwischen "berechtigten Zugriffen
durch Betriebssystem und Anwenderprogramme" und "Zugriffen initiiert
vom Bundestrojaner" unterscheiden koennen? An der Stelle kommt doch
zwangslaeufig wieder Software ins Spiel, der man auf einem kompromit-
tierten Rechner nicht mehr trauen kann ...
Tschuess,
Juergen Ilse (jue...@usenet-verwaltung.de)
--
Ein Domainname (auch wenn er Teil einer Mailadresse ist) ist nur ein Name,
nicht mehr und nicht weniger ...
Martin Laabs
Juergen Ilse <il...@usenet-verwaltung.de> wrote:
> Wie soll denn dieses "Stueck Hardware" zwischen "berechtigten Zugriffen
> durch Betriebssystem und Anwenderprogramme" und "Zugriffen initiiert
> vom Bundestrojaner" unterscheiden koennen? An der Stelle kommt doch
> zwangslaeufig wieder Software ins Spiel, der man auf einem kompromit-
> tierten Rechner nicht mehr trauen kann ...
Die erste Idee von mir war, dass man bestimmte Dateien/Verzeichnisse
hat welche man als Falle benutzt. Das Stück Hardware kennt die Sektoren
unter denen diese Dateien/Verzeichnisse zu finden sind und sperrt den
gesammten Zugriff auf der Festplatte wenn der Computer auf solch einen
"verbotenen" Sektor zugreift.
Das Proble ist halt nur die Falle so zu gestallten, dass der Bundes-
trojaner auch bitte schön darauf zugreift.
Viele Grüße,
Martin L.
Martin Laabs
Heiko Schlenker <hsc...@gmx.de> wrote:
[...]
> news:46ab1c50$0$28078$4d3e...@news3.pop-hannover.net
Bist Du sicher, dass die ID stimmt? Google findet den Beitrag
nicht mehr und persönlich pflege ich kein Archive (mehr).
Viele Grüße,
Martin L.
Bernd Eckenfels
> Das Proble ist halt nur die Falle so zu gestallten, dass der Bundes-
> trojaner auch bitte schön darauf zugreift.
Das ist auf OS Ebene deutlich einfacher... oder du nimmst eine VM.
Gruss
Bernd
Rainer Sokoll
> Oskar Rüetschi <Peter.Halter...@gmail.com>:
> > Weiss jemand ob das BKA oder der Verassungsschmutz zuständig ist?
>
> Sowohl BKA als auch Verfassungsschutz stehen selbst auf der
> Abschussliste dieses Gesetzes, da auch sie Hackertools sich
> verschaffen und einsetzen.
Sie sind im Sinne des Gesetzes sicherlich nicht unbefugt.
Rainer
Georg Schwarz
ermöglicht:
nach welchem Prinzip sollen Onlinedurchsuchungen denn technisch
vonstatten gehen? Oder anders gefragt: gibt es irgendwo seriöse
Informationen, wie dieser "Bundestrojaner" arbeiten soll? Durch das
Ausnutzen bekannter Exploits wird man sicher auf manche Systeme kommen,
aber bei weitem nicht auf alle.
Unter Umständen kommen wir in die perverse Situation, in der das BSI die
Bürger ausdrücklich davor warnt, wodurch ihr Computer kompromittiert
werden kann (und sie zu erziehen schulen, was man dagegen tun soll),
während andere Behörden genau diese technischen und menschlichen
Schwächen auszunutzen trachten.
--
Georg Schwarz http://home.pages.de/~schwarz/
georg....@freenet.de +49 151 11559652
Martin Schmitz
> nach welchem Prinzip sollen Onlinedurchsuchungen denn technisch
> vonstatten gehen? Oder anders gefragt: gibt es irgendwo seriöse
> Informationen, wie dieser "Bundestrojaner" arbeiten soll?
Das ist doch hier schon Brazillionen mal besprochen worden: so wie
immer, heißt: BKA, Verfassungsschutz oder was auch immer bricht bei Dir
ein und installiert das Ding. Wie sollte das auch sonst gehen?
> Durch das Ausnutzen bekannter Exploits wird man sicher auf manche
> Systeme kommen, aber bei weitem nicht auf alle.
So'n Quark. Meinst Du, dafür hat irgendeine Behörde Mittel und
Kompetenz?
Martin
Toni Grass
> Am 28.07.07 schrieb georg....@freenet.de (Georg Schwarz):
>> nach welchem Prinzip sollen Onlinedurchsuchungen denn technisch
>> Informationen, wie dieser "Bundestrojaner" arbeiten soll?
> Das ist doch hier schon Brazillionen mal besprochen worden: so wie
> immer, heißt: BKA, Verfassungsschutz oder was auch immer bricht bei Dir
> ein und installiert das Ding. Wie sollte das auch sonst gehen?
Oder man kriegt einen eingeschriebenen Brief: 'Beiligende Software ist
bis zum <datum, uhrzeit> zu installieren. Sie haben ab jetzt für
<hausnummer> Wochen zu sorgen, daß 1. der Rechner eingeschaltet ist
und 2. eine permanente Netzverbindung besteht. Bei Zuwiderhandlung wird
eine Beugehaft von <phantasiewert> Tagen verhängt und der PC wird
konfisziert. Ihr BKA, Abteilung für geheime Onlinedurchsuchungen'
Bei der z.Z. herrschenden Bürokratie könnte ich mir so einen ähnlichen
Schwachsinn schon vorstellen.
Toni
Fritz Schoerghuber
> Oder man kriegt einen eingeschriebenen Brief: 'Beiligende Software ist
> bis zum <datum, uhrzeit> zu installieren. Sie haben ab jetzt für
> <hausnummer> Wochen zu sorgen, daß 1. der Rechner eingeschaltet ist
> und 2. eine permanente Netzverbindung besteht. Bei Zuwiderhandlung wird
> eine Beugehaft von <phantasiewert> Tagen verhängt und der PC wird
> konfisziert. Ihr BKA, Abteilung für geheime Onlinedurchsuchungen'
>
> Bei der z.Z. herrschenden Bürokratie könnte ich mir so einen ähnlichen
> Schwachsinn schon vorstellen.
http://www.orschlurch.de/video/thermit.html
--
have a nice day | Dummheit ist ansteckend,
| Verstand wächst sich kaum
fritz | zur Epidemie aus.
schoerghuber | (Kazimierz Bartoszewicz)
Martin Laabs
Georg Schwarz <georg....@freenet.de> wrote:
> In der Hoffnung, dass diese Newsgruppe eine seriöse Diskussion
> ermöglicht:
> nach welchem Prinzip sollen Onlinedurchsuchungen denn technisch
> vonstatten gehen? Oder anders gefragt: gibt es irgendwo seriöse
> Informationen, wie dieser "Bundestrojaner" arbeiten soll? Durch das
> Ausnutzen bekannter Exploits wird man sicher auf manche Systeme kommen,
> aber bei weitem nicht auf alle.
Der bisher für mich plausibelste Ansatz ist eine man in the middle
attac bei ISP welche heruntergeladenen Progammen oder Updates ein
Rootkit anhängt welches dann seinen großen Bruder nachläd. Damit
muss man nämlich nur das Rootkit ändern so es mal aufgeflogen ist.
Alle anderen Ideen scheinen mir entweder nicht praktikabel (Exploits)
oder sind nicht wirklich "online".
Bei dem Einbruchsscenario gibt es noch ein Problem wenn man auch
seine Systempartition verschlüsselte weil dann das installieren des
Bundestrojaners nichttrivial wird.
Viele Grüße,
Martin L.
Martin Schmitz
> Der bisher für mich plausibelste Ansatz ist eine man in the middle
> attac bei ISP welche heruntergeladenen Progammen oder Updates ein
> Rootkit anhängt welches dann seinen großen Bruder nachläd. Damit
> muss man nämlich nur das Rootkit ändern so es mal aufgeflogen ist.
Das halte ich für blühende Phantasie. Wie möchtest Du auf diese Weise
denn an die Daten von Hans Müller kommen? Daß Hans einen Computer
benutzt, weißt Du. Aber welches Betriebssystem denn? Vielleicht OSX?
Lädt Hans sich überhaupt Updates oder andere Software aus dem Internet
herunter? Bei welchem ISP ist Hans - allein das in Erfahrung zu bringen
ist unter Umständen schon schwer genug.
> Alle anderen Ideen scheinen mir entweder nicht praktikabel (Exploits)
> oder sind nicht wirklich "online".
"Online" meint in diesem Zusammenhang die Art, wie die
Ermittlungsbehörden die Daten erhalten, sonst nix.
> Bei dem Einbruchsscenario gibt es noch ein Problem wenn man auch
> seine Systempartition verschlüsselte weil dann das installieren des
> Bundestrojaners nichttrivial wird.
Sicher. Und stell' Dir mal vor, jemand benutzt überhaupt kein Internet!
Martin
Martin Laabs
Martin Schmitz <martin-...@web.de> wrote:
[mitm-attack]
> Das halte ich für blühende Phantasie. Wie möchtest Du auf diese Weise
> denn an die Daten von Hans Müller kommen? Daß Hans einen Computer
> benutzt, weißt Du. Aber welches Betriebssystem denn? Vielleicht OSX?
> Lädt Hans sich überhaupt Updates oder andere Software aus dem Internet
> herunter? Bei welchem ISP ist Hans - allein das in Erfahrung zu bringen
Also das OS lässt sich anhand der heruntergeladenen Dateien recht
zuverlässig bestimmen. Interessant sind ja hierbei nur in irgend
einer Art und Weise ausführbare Dateien und da sollte sowas wie
"file $datei" recht zuverlässig das OS erkennen.
Bei Sourcecode wäre es theoretisch auch denkbar aber wohl noch um
einiges aufwändiger eine Rootkit hineinzuschmuggeln.
[...]
> Sicher. Und stell' Dir mal vor, jemand benutzt überhaupt kein Internet!
Ich sage ja nicht, dass ich diese Idee für super und alle Probleme
lösend halte. Ich finde es sogar sehr bedenklich aber diese Frage ist
meines Erachtens nicht zielführend weil es bei jeder Ermittlungs-
methode Fallbeispiele geben wird wo sie versagt oder nicht einsetz-
bar ist. Deswegen ist sie ja per se nicht unsinnig oder ineffizient.
Viele Grüße,
Martin L.
Richard W. Könning
>In der Hoffnung, dass diese Newsgruppe eine seriöse Diskussion
>ermöglicht:
>nach welchem Prinzip sollen Onlinedurchsuchungen denn technisch
>vonstatten gehen? Oder anders gefragt: gibt es irgendwo seriöse
>Informationen, wie dieser "Bundestrojaner" arbeiten soll? Durch das
Diejenigen, die am lautesten nach einem "Bundestrojaner" rufen, haben
imho keinen Schimmer, wie das Teil arbeiten soll. Deswegen kommt nach
meinem Eindruck auch immer sehr viel Gestammel, wenn ein Journalist
mal etwas konkreter nachfragt.
Ob beim Indianer-Volk der Behörden konkretere und realistischere
Vorstellungen vorhanden sind, weiß ich nicht (Indianer-Volk bekommt
i.a. keine Gelegenheit, sich öffentlich zu äußern).
>Ausnutzen bekannter Exploits wird man sicher auf manche Systeme kommen,
>aber bei weitem nicht auf alle.
>
>Unter Umständen kommen wir in die perverse Situation, in der das BSI die
>Bürger ausdrücklich davor warnt, wodurch ihr Computer kompromittiert
>werden kann (und sie zu erziehen schulen, was man dagegen tun soll),
>während andere Behörden genau diese technischen und menschlichen
>Schwächen auszunutzen trachten.
Solche Situationen sind doch alltäglich: die eine Behörde warnt vor
den Gefahren des Tabak- und Alkohol-Genusses, die andere Behörde
subventioniert Tabak- und Weinanbau. Es kann sogar durchaus sein, daß
auch die Betreuung des Bundestrojaners beim BSI angesiedelt wird (die
sollten sich mit solchem Zeug ja am besten auskennen).
Ciao,
Richard
--
Dr. Richard Könning Heßstraße 63
Tel.: 089/5232488 80798 München
Richard W. Könning
>Georg Schwarz <georg....@freenet.de> wrote:
>
>> In der Hoffnung, dass diese Newsgruppe eine seriöse Diskussion
>> ermöglicht:
>> nach welchem Prinzip sollen Onlinedurchsuchungen denn technisch
>> vonstatten gehen? Oder anders gefragt: gibt es irgendwo seriöse
>> Informationen, wie dieser "Bundestrojaner" arbeiten soll? Durch das
>> Ausnutzen bekannter Exploits wird man sicher auf manche Systeme kommen,
>> aber bei weitem nicht auf alle.
>
>Der bisher für mich plausibelste Ansatz ist eine man in the middle
>attac bei ISP welche heruntergeladenen Progammen oder Updates ein
>Rootkit anhängt welches dann seinen großen Bruder nachläd. Damit
>muss man nämlich nur das Rootkit ändern so es mal aufgeflogen ist.
Um ein MITM beim ISP machen zu können, muß der ISP einen erst mal
rumpfuschen lassen. Ohne entsprechenden gesetzlichen Zwang wird dieser
das nicht machen, da andernfalls (wenn etwas grob schiefgeht) der
Vorstand zivil- und strafrechtlich haftet. Die entsprechende Hardware
ist auch nicht umsonst, Schäuble wird es wie immer nicht bezahlen
wollen, also gibt es auch darüber erst mal Streit...und Gelegenheit,
öffentlich darüber zu diskutieren, wieviel man für die Bekämpfung
eines drittrangigen Sicherheitsproblems ausgeben will. Obstbäume
dürften jedenfalls bislang für Leben und Gesundheit der deutschen
Bevölkerung eine grössere Gefahr darstellen als islamische
Terroristen.
>Alle anderen Ideen scheinen mir entweder nicht praktikabel (Exploits)
>oder sind nicht wirklich "online".
Die Diskussion wird vor allem von Ministern und Behördenchefs geführt,
also von Leuten, die mit großer Wahrscheinlichkeit Juristen sind, mit
anderen Worten, die keinen Schimmer von den technischen Wörtern haben,
die sie in den Mund nehmen (man kann ja anscheinend in diesem Land
auch Verkehrsminister sein, ohne jemals eine U-Bahn in Aktion gesehen
zu haben; anders kann ich mir kaum Tiefensees Vorschlag mit den
Hartz-IV-Empfängern als U-Bahn-Wächter kaum erklären, wenn ich dem
Minister nicht allzu nahe treten will). Mit anderen Worten, unter
"online" fällt alles, was ohne Anklingeln beim Verdächtigen auskommt,
Installation von W-LAN-HW dürfte also wohl auch darunter fallen.
Helmut Hullen
Du (98malaab) meintest am 28.07.07:
>> nach welchem Prinzip sollen Onlinedurchsuchungen denn technisch
>> vonstatten gehen?
> Der bisher für mich plausibelste Ansatz ist eine man in the middle
> attac bei ISP welche heruntergeladenen Progammen oder Updates ein
> Rootkit anhängt welches dann seinen großen Bruder nachläd.
Ich rechne eher damit, dass "als Kompromiss" beim ISP mitgeschnitten
wird. Damit wäre viel mehr erlaubt als jetzt, und die Schuldzuweisung
wird mitgeliefert: "leider hat die böse SPD eine effektive Schnüffelei
verhindert!"
Viele Gruesse!
Helmut
Juergen P. Meier
Joerg Lorenz
>> seine Systempartition verschlüsselte weil dann das installieren des
>> Bundestrojaners nichttrivial wird.
>
> Sicher. Und stell' Dir mal vor, jemand benutzt überhaupt kein Internet!
Die Einführung des Bundestrojaners meint nicht zwingend, dass alle
anderen Ermittlungsmethoden aufgegeben werden. ;-)
Leute, die kein Internet benutzen, sind nach heutigem Verständnis gar
nicht mehr gefährlich und schon gar keine "Terroristen"....
Wer als angehender Terrorist was auf sich hält, wird seine "bösen
Sachen" in einer VM laufen lassen und wird seinen Standort, wo er das
Internet nutzt, laufend wechseln. Dafür baut er sich die ganze benötigte
Infrastruktur (softwaremässig) auf einem USB-Stick auf, den er überall
mit hinnehmen kann. So hinterlässt er keine (forensisch)
nachvollziehbaren und verwertbaren Spuren mehr. Ich bin zwar kein
bekennender Terrorist, aber ich mach es auch so.
Dank diesem Tipp kriege ich von Schäuble, Beckstein und Co. sicher ein
Einreiseverbot für Deutschland aufgebrummt. *ROTFL*
> Martin
Jörg
--
Reclaim your inbox! Thunderbird makes emailing safer, faster, and easier
than ever before with the industry's best implementations of features
such as intelligent spam filters, built-in RSS reader, quick search, and
much more. http://www.mozilla-europe.org/de/products/thunderbird/
Volker Birk
> Am 28.07.07 schrieb Martin Laabs <98ma...@gmx.de>:
> > Der bisher für mich plausibelste Ansatz ist eine man in the middle
> > attac bei ISP welche heruntergeladenen Progammen oder Updates ein
> > Rootkit anhängt welches dann seinen großen Bruder nachläd. Damit
> > muss man nämlich nur das Rootkit ändern so es mal aufgeflogen ist.
> Das halte ich für blühende Phantasie. Wie möchtest Du auf diese Weise
> denn an die Daten von Hans Müller kommen? Daß Hans einen Computer
> benutzt, weißt Du. Aber welches Betriebssystem denn? Vielleicht OSX?
Wie wär's denn einfach mit dem Format, das das heruntergeladene Binary
hat?
Viele Grüsse,
VB.
--
> Ja, ZA hat bei mir in den letzten 5 Jahren (?), genauer: noch nie,
> Probleme bereitet.
Das Schälchen Weihwasser neben meinem Monitor auch nicht.
(Bjoern Schliessmann in d.c.s.f.)
Ralf Muschall
> Das halte ich für blühende Phantasie. Wie möchtest Du auf diese Weise
> denn an die Daten von Hans Müller kommen? Daß Hans einen Computer
> benutzt, weißt Du.
> Aber welches Betriebssystem denn? Vielleicht OSX?
Traffic beim Provider mitschneiden – wenn Hans Müller nicht aktiv
etwas dagegen unternimmt, schreibt allerlei Software sowas in die
Header.
> Lädt Hans sich überhaupt Updates oder andere Software aus dem Internet
> herunter?
siehe oben
> Bei welchem ISP ist Hans - allein das in Erfahrung zu bringen
> ist unter Umständen schon schwer genug.
grep 'Hans Müller' Kundenliste-von-Provider-*.txt
, dann manuell nachsuchen (der Name dürfte häufig sein), komplette
Personalien vom Provider anfordern (der hat ja eine Ausweiskopie oder
einen ausgefüllten Antrag mit Geburtsdatum, Adresse usw.).
Wenn man die Polizei ist, ist sowas einfach.
Das Installieren dürfte trotzdem nur bei Daus funktionieren. Mit
gefälschten Updates kann es schon deswegen nicht klappen, weil die bei
fast jeder Software (aber zumindest jeder wichtigen) signiert sind.
Ralf
--
GS d->? s:++>+++ a+ C++++ UL+++ UH++ P++ L++ E+++ W- N++ o-- K-
w--- !O M- V- PS+>++ PE Y+>++ PGP+ !t !5 !X !R !tv b+++ DI+++
D? G+ e++++ h+ r? y?
Richard W. Könning
Nein, über das betreffende Gesetz hat das BVerfG noch keine
Entscheidungen getroffen. (So schnell arbeiten die wirklich nicht).
Jan Luehr
Martin Laabs wrote:
> Hallo,
>
> nachdem meiner Meinung nach der "Bundestrojaner" so oder so, legal
> oder illegal kommt oder schon da ist habe ich mir ein paar Gedanken
> gemacht wie man ein entsprechendes Schadprogramm entdecken könnte.
http://de.wikipedia.org/wiki/Intrusion_Detection
> So viel ich mitbekommen habe ist ja die Motivation dahinter, dass man
> gerne die Daten verschlüsselter Datenträgerbereiche auslesen möchte
> was nach einer Hausdurchsuchung nicht mehr funktioniert bzw. funktio-
> nieren sollte.
http://www.guidancesoftware.com/products/fim_works.asp
> Also hofft man, dass die Entschlüsselung während des
> Angriffs aktiviert ist und man damit das ganze Kryptographieproblem
> umgehen kann.
Besser: Es gibt tools die das können, oder die schwache Verschlüsselung
direkt angreifen.
> Meine erste Idee dem einen Riegel vorzuschieben war die Netzwerk-
> verbindung bei aktiver Entschlüsselung zu deaktivieren was aber
> einerseits höchst unpraktikabel ist und andererseits die Schadsoft-
> ware ja die Daten unverschlüsselt zwischenspeichern kann.
Die Sache ist grundsätzlich nicht so einfach:
Wenn wir davon ausgehen, dass der Angreiff über ein IPv4 (oder meinetwegen
v6) basiertes Protokoll erfolgt, würde es schon ausreichen einen E-Mail
Rechner zu schützen, indem Mails und News nur per Dial-In UUCP ausgetauscht
werden.
Eine HTTP-Browser-Maschine (sollte nat. ein anderer Rechner sein) ließe sich
überwachen, indem man keinen direkten Zugriff (also über routing) sondern
nur über einen Proxy erlaubt, dessen Logs man überwachen kann.
> Die zweite Idee scheint mir praktikabler. Wenn man ein kleines Stück
> Elektronik entwickelt (ein kleiner CPLD oder FPGA sollte reichen)
> welches alle Zugriffe auf die "interessante" Festplatte in Echtzeit
> überprüft und diese unverzüglich vom System trennt so "verbotene"
> Bereiche, die vorher definiert worden sind, gelesen werden, sollte
> man die Anwesenheit eines Schnüffelprogamms recht zuverlässig
> detektieren.
Das ist imho unpraktikabel.
Warum machst Du es so kompliziert?
Nehme für »verboten« einen nicht per Netzwerk angebundenen Computer.
Möchtest Du den Datenaustausch mit PC-»Verboten» machen, so brenne
verschlüsselte CDs.
> Es gibt auf den ersten Blick vier Schwachpunkte an dem System
(...)
> 2. Wie definiert man die "verbotenen" Bereiche, dass sie von der Schad-
> software zuverlässig gelesen werden.
> Sicher ist eine Datei Namens Atombombe.txt oder Terror-Bahn.doc ein
> netter Honigkrug aber die Entwickler der Schadsoftware sind ja auch
> nicht dumm. (Will man meinen.)
Das ist ein tierisches Problem?
> 3. Kann man verhindern, dass die Daten die vor dem Lesen der verbotenen
> Bereiche und der anschließenden Deaktivierung der Festplatte an
> "$Institution" übermittelt werden?
Irgendwann wirst du Daten aus verboten in den Ram laden (oder gar in den
Swap schreiben). Dann wird dein Schutz unwirksam.
> Natürlich wäre auch eine (hardwareseitige) Trennung der Netzwerk-
> verbindung unproblematisch. Aber da alle technischen Systeme nun
> mal kausal sind ergibt sich hier auch das Problem Nr 2, dass
> u.U. schon vor der Entdeckung Schadaktivität statt findet.
>
> 4. Das Schadprogamm kann erst mal eine Weile die Zugriffe auf die
> Festplatte protokolieren und somit statistisch die verbotenen
> Bereiche/Dateien/Verzeichnisse ermitteln.
Wenn Du wissen willst, was gesucht wird, setze einen Honeypot auf.
> Dem kann man u.U. damit begegnen, dass der Benutzer der Kontroll-
> hardware in unregelmäßigen Abständen auf einem sicheren Kanal
> (z.B. Taster) mitteilt, dass er jetzt selber einen Zugriff auf
> den eigentlich verbotenen Bereich ausführen wird womit die
> Statistik des Schadprogamms nicht mehr aussagekräftig sein wird.
> Dass genau zu diesem Zeitpunkt auch die Schadsoftware ihre
> Zugriffe ausführt dürfte durch den sicheren Kanal mit dem der
> Benutzer mit der Kontrollhardware kommuniziert verschwindend
> gering sein *so er für den softwareseitigen Zugriff keine Scripts
> oder andere Automatisierungen verwenden*
>
> Dass mit so einem kleinen Stückchen Hardware auch ein sicherer Schlüssel-
> speicher und ein guter Zufallszahlengenerator implementiert werden kann,
> versteht sich von selbst. Primär geht es mir aber um eine Ideenaustausch
> zu dem oben beschriebenen Konzept. (Was wohl auch eine ganz nette Studien-
> oder Diplomarbeit abgäbe.)
Ok, also - in the real world:
a) Gibt es jede Menge Personen und Organisationen, die an Deinen Daten,
deutlich mehr Interesse haben als Väterchen Staat.
b) Nur weil Väterchen Staat auf die Idee kommt mitzumischen, ändert sich
nicht wirklich die Gefährdung für Dich persönlich.
c) Väterchen Staat kocht auch nur mit Wasser. Intrusion-Detection-Systeme
hören (noch?) nicht auf zu funktionieren, nur weil ein Spähversuch von
$Behörde aus $Eigenes_Land und nicht von $Behörde aus
$Fremdes_industriespionierendes_Land kommt.
Keep smiling
yanosz
Jan Luehr
Martin Laabs wrote:
http://de.wikipedia.org/wiki/Intrusion_Detection
http://www.guidancesoftware.com/products/fim_works.asp
Das ist ein ziemliches Problem.
Dietz Proepper
> Oskar Rüetschi <Peter.Halter...@gmail.com>:
>> Weiss jemand ob das BKA oder der Verassungsschmutz zuständig ist?
>
> Sowohl BKA als auch Verfassungsschutz stehen selbst auf der
> Abschussliste dieses Gesetzes, da auch sie Hackertools sich
> verschaffen und einsetzen.
Nein, da das Ganze gegen die "unbefugte" Nutzung gerichtet ist.
Manfred Fiebig
Was verstehst du unter einer Befugnis? Wenn ich den diesbezüglichen
Verlautbarungen der letzten Monate richtig folge, wissen die Leuts
überhaupt nicht von was sie sprechen. Damit ist auch der Einsatz dieser
Software von den genannten Ämtern unbefugt.
Oder gibt es jetzt so eine Art Waffenschein für diese Software?
--
der Hinterwäldler
liebt nicht Windows, hasst es aber auch nicht
Er hat nur festgestellt, das selbst Malware nicht
mehr das ist, was sie vor ein paar Jahren mal war.
Ansgar -59cobalt- Wiechers
> Am 31.07.2007 13:01 tippte Dietz Proepper:
>> Juergen P. Meier wrote:
>>> Oskar Rüetschi <Peter.Halter...@gmail.com>:
>>>> Weiss jemand ob das BKA oder der Verassungsschmutz zuständig ist?
>>>
>>> Sowohl BKA als auch Verfassungsschutz stehen selbst auf der
>>> Abschussliste dieses Gesetzes, da auch sie Hackertools sich
>>> verschaffen und einsetzen.
>>
>> Nein, da das Ganze gegen die "unbefugte" Nutzung gerichtet ist.
Das Bundesverfassungsgericht hat dem BKA wie auch dem Verfassungsschutz
genau diese Befugnis abgesprochen.
> Was verstehst du unter einer Befugnis? Wenn ich den diesbezüglichen
> Verlautbarungen der letzten Monate richtig folge, wissen die Leuts
> überhaupt nicht von was sie sprechen. Damit ist auch der Einsatz
> dieser Software von den genannten Ämtern unbefugt.
Du verwechselst Befugnis mit Kompetenz. Das ist (leider) orthogonal.
cu
59cobalt
--
"The Mac OS X kernel should never panic because, when it does, it
seriously inconveniences the user."
--http://developer.apple.com/technotes/tn2004/tn2118.html
Christoph 'Mehdorn' Weber
Martin Laabs <98ma...@gmx.de>:
> Das Stück Hardware kennt die Sektoren unter denen diese
> Dateien/Verzeichnisse zu finden sind und sperrt den gesammten Zugriff
> auf der Festplatte wenn der Computer auf solch einen "verbotenen"
> Sektor zugreift.
Ah ja. Stromausfall. Rechner geht wieder an: "Oh, nicht sauber
geunmountet. Da mache ich erstmal einen fsck. Mh. Was ist das für ein
seltsames Verzeichnis da, ich glaube, da drin ist '..' kaputt. *plopp*
Nanu, Plattenzugriffe gehen nicht mehr."
Christoph
--
[Letzter Flug der Columbia] Das Ding ist explodiert, in 1000 Stuecke
zerfallen, kaputt. -- Wissen wir, welcher Religion Raumfaehren angehoeren
und was fuer Vorstellungen vom Leben nach der Explosion sie haben?
(nach Jens Link, Martin Bienwald)
Andreas Kohlbach
>
> nachdem meiner Meinung nach der "Bundestrojaner" so oder so, legal
> oder illegal kommt oder schon da ist habe ich mir ein paar Gedanken
> gemacht wie man ein entsprechendes Schadprogramm entdecken könnte.
<http://image.to/out.php/i11940_trojaner.jpg>
--
Andreas (PGP Key available on public key servers)
8. You can smash things and get away with it.
* Smashing things doesn't hurt.
* Many nice things are hidden inside other things. - Arcade Wisdom
Martin Laabs
Christoph 'Mehdorn' Weber <das-m...@despammed.com> wrote:
>> Das Stück Hardware kennt die Sektoren unter denen diese
>> Dateien/Verzeichnisse zu finden sind und sperrt den gesammten Zugriff
>> auf der Festplatte wenn der Computer auf solch einen "verbotenen"
>> Sektor zugreift.
> Ah ja. Stromausfall. Rechner geht wieder an: "Oh, nicht sauber
> geunmountet. Da mache ich erstmal einen fsck. Mh. Was ist das für ein
> seltsames Verzeichnis da, ich glaube, da drin ist '..' kaputt. *plopp*
> Nanu, Plattenzugriffe gehen nicht mehr."
Hmm - tatsächlich etwas was recht problematisch ist. Denn würde man
fsck o.ä. modifizieren die verbotenen Bereiche zu meiden hätte der
"allwissende" Angreifer gleich die Liste der Bereiche die er bitte
meiden soll.
Andererseits ist so ein Stromausfall eher selten - vielleicht kann
man mit dem Problem leben. Wie man dann aber ein beschädigtes Datei-
system wieder repariert ohne den Schutz auch nur temporär auszu-
schalten ist nichttrivial.
Vielleicht gleich ein fsck mit auf der Schutzhardware implementieren.
Und wenn man dem schon die Fähigkeit verleiht das Dateisystem zu
"verstehen" kann man vielleicht gleich noch einen unkompromitierbaren
Virenscanner vorsehen. (Ob das - angesichts der ja sowieso benötig-
ten aktuellen Signaturen die von $Staat bei Download ja auch modi-
fiziert werden können - so sinnvoll ist mag mal dahingestellt sein.
Wer geht schon persönlich beim AV-Hersteller vorbei um sich den
öffentlichen Schlüssel geben zu lassen?)
Viele Grüße,
Martin L.