Uli Blumenthal: Am Wochenende machte der Chaos Computer Club ziemliche Schlagzeilen. Die Hacker hatten mehrere Versionen eines Staatstrojaners untersucht, der ihnen auf ausgebauten Festplatten befallener Computer zugespielt wurden war. Zusammengefasst stellten die CCC-Experten fest, dass der Trojaner mehr kann, als nur die von Amtswegen vorgesehene Quellen-Telekommunikationsüberwachung. Damit hat der Chaos Computer Club eine politische Diskussion ausgelöst, die sich allerdings nicht immer an die Fakten hält. Im Studio ist mein Kollege Manfred Kloiber von "Computer und Kommunikation". Herr Kloiber, was haben die Hacker des CCC konkret gemacht?
Manfred Kloiber: Sie haben diesen Trojaner genau untersucht. Es handelt sich dabei um eine sogenannte DLL – eine Dynamic Link Library, also eine Sammlung von Softwarestückchen, die normalerweise von anderen Programmen aufgerufen werden können. Und dann galt es herauszufinden, welche Funktionen in dieser DLL stecken. Das Problem dabei: Eine DLL besteht im lauffähigen Zustand aus reinem Maschinencode, also nur Zahlengewirr. Die kann man so nicht nachvollziehen. Und deshalb wurde er disassembliert, man sagt auch zurück enginieert, re-engineert, also automatisch wieder in eine Form gebracht, in der man die vom Programmierer gewünschten Strukturen erkennen kann. Man spricht hier von sogenannten Assemblerprogrammen
Blumenthal: In der "Frankfurter Allgemeinen Sonntagszeitung" war dieser Code ja abgebildet über mehre Seiten. Ich hab's nicht wirklich verstanden, konnte mich auch nicht reinlesen. Wie untersucht man denn diese Assemblerprogramme?
Kloiber: Da gibt es mehrere Ansätze. Solche Assemblerprogramme weisen typische Muster für bestimmte Funktionen auf, die erfahrene Spezialisten auf die Spur zur genaueren Funktionsanalysen bringen. Das ist das eine. Und sie zeigen definierte Sprungmarken zu Teilen des Betriebssystems. Wird beispielsweise eine Datei gespeichert oder gelesen, dann macht das in der Regel ein Anwendungsprogramm nicht selbst, sondern ruft wiederum eine DLL aus dem Sortiment des Betriebssystems auf, die das erledigt. Und aus diesen Sprungmarken kann man dann zurückschließen, welche Funktionalität solch ein Trojaner hat.
Blumenthal: Diese Festplatten wurden ja anonym zur Verfügung gestellt an die Experten des CCC. Was haben die da konkret festgestellt?
Kloiber: Zum Beispiel mit wem und in welcher Weise der Trojaner kommuniziert. Er macht das mit einem Server, dessen IP-Adresse fest im Programm eingetragen ist. Dessen Standort kann man anhand dieser IP-Nummer lokalisieren, in diesem Fall waren es die USA. Wahrscheinlich ein Relais, um den wahren Steuer-Server zu verschleiern. Und wegen dieser festen IP-Adresse gibt es keine richtige Authentifizierung. Das bedeutet dann: Wer vorgaukelt, er sei der Server mit dieser IP, kann die Kontrolle über den Trojaner übernehmen. Auch die Mechanismen der Kommunikation zwischen Trojaner und Server konnten untersucht werden. Die ist verschlüsselt, aber mit einem festen Schlüssel. Das ist ziemlich altmodisch und einfach. Die gravierendsten Erkenntnisse waren aber, dass der Trojaner laufend vom Bildschirminhalt Kopien anfertigt und versendet. Und dass er Funktionen nachladen kann. Was der Trojaner jetzt also noch nicht kann, das kann er dann später über das Internet nachgeschoben bekommen. Hier schreiben die Autoren im Bericht, der Trojaner verschleiere diese Funktion, vermutlich weil sie rechtlich fragwürdig sei. Die Kernaufgabe jedenfalls eines Trojaners, der in der sogenannten Quellen-TKÜ angewandt wird, es gibt noch eine andere Form. Für diese Quellen-TKÜ ist es Notwendig, die Audiodaten abzuzapfen an Mikrofonen und Lautsprechern. Und hier haben sie einen Code gefunden einer Standardsoftware - SPEEX heißt die. Die wird eingesetzt, um das Ganze zu komprimieren. Und da sagen die CCC-Leute, hier hätten sie eigentlich, um den Lizenzbedingungen zu entsprechen, einen Hinweis darauf geben müssen, was die natürlich nicht gemacht haben in diesem Programm.
Blumenthal: In ersten Reaktionen heute ist immer wieder zu hören, dieses Programm, dieser Trojaner ist drei Jahre alt. Zwei Fragen in einer: Welche Schlussfolgerung zieht der Chaos Computer Club aus den Ergebnissen und was weiß man über die Herkunft dieser Software?
Kloiber: Also die Hauptschlussfolgerung ist, dass solche Trojaner in der Regel mehr können als der Richter wahrscheinlich weiß, der solche eine Überwachung anordnet, und deswegen der Einsatz dieses Trojaners an sich fragwürdig ist. Das ist die eine Schlussfolgerung. Die zweite Schlussfolgerung ist, dass er so schlampig und schlecht programmiert ist, dass er Sicherheitslücken reißt, eventuell Kriminelle einladen könnte, Gegenbeweise ober Belastungsmaterial aufzuspielen. Was ein Problem ist: Man weiß nicht ganz genau, woher er kommt. Ob er vom Bund oder vom Land eingesetzt wurde, das wird hier nicht konkret gesagt. Es gibt Hinweise darauf, dass es sich um einen Trojaner handeln könnte, der bereits von bayerischen Behörden eingesetzt worden sein sollte. Dafür spricht, dass es eine Kommunikation von diesen Behörden mit einer Herstellerfirma gibt, die genau diese Spezifikation dieses Trojaners angibt. Also da sind die Hinweise doch relativ dicht.
Link:
Aktuell zum Bundestrojaner
Manfred Kloiber: Sie haben diesen Trojaner genau untersucht. Es handelt sich dabei um eine sogenannte DLL – eine Dynamic Link Library, also eine Sammlung von Softwarestückchen, die normalerweise von anderen Programmen aufgerufen werden können. Und dann galt es herauszufinden, welche Funktionen in dieser DLL stecken. Das Problem dabei: Eine DLL besteht im lauffähigen Zustand aus reinem Maschinencode, also nur Zahlengewirr. Die kann man so nicht nachvollziehen. Und deshalb wurde er disassembliert, man sagt auch zurück enginieert, re-engineert, also automatisch wieder in eine Form gebracht, in der man die vom Programmierer gewünschten Strukturen erkennen kann. Man spricht hier von sogenannten Assemblerprogrammen
Blumenthal: In der "Frankfurter Allgemeinen Sonntagszeitung" war dieser Code ja abgebildet über mehre Seiten. Ich hab's nicht wirklich verstanden, konnte mich auch nicht reinlesen. Wie untersucht man denn diese Assemblerprogramme?
Kloiber: Da gibt es mehrere Ansätze. Solche Assemblerprogramme weisen typische Muster für bestimmte Funktionen auf, die erfahrene Spezialisten auf die Spur zur genaueren Funktionsanalysen bringen. Das ist das eine. Und sie zeigen definierte Sprungmarken zu Teilen des Betriebssystems. Wird beispielsweise eine Datei gespeichert oder gelesen, dann macht das in der Regel ein Anwendungsprogramm nicht selbst, sondern ruft wiederum eine DLL aus dem Sortiment des Betriebssystems auf, die das erledigt. Und aus diesen Sprungmarken kann man dann zurückschließen, welche Funktionalität solch ein Trojaner hat.
Blumenthal: Diese Festplatten wurden ja anonym zur Verfügung gestellt an die Experten des CCC. Was haben die da konkret festgestellt?
Kloiber: Zum Beispiel mit wem und in welcher Weise der Trojaner kommuniziert. Er macht das mit einem Server, dessen IP-Adresse fest im Programm eingetragen ist. Dessen Standort kann man anhand dieser IP-Nummer lokalisieren, in diesem Fall waren es die USA. Wahrscheinlich ein Relais, um den wahren Steuer-Server zu verschleiern. Und wegen dieser festen IP-Adresse gibt es keine richtige Authentifizierung. Das bedeutet dann: Wer vorgaukelt, er sei der Server mit dieser IP, kann die Kontrolle über den Trojaner übernehmen. Auch die Mechanismen der Kommunikation zwischen Trojaner und Server konnten untersucht werden. Die ist verschlüsselt, aber mit einem festen Schlüssel. Das ist ziemlich altmodisch und einfach. Die gravierendsten Erkenntnisse waren aber, dass der Trojaner laufend vom Bildschirminhalt Kopien anfertigt und versendet. Und dass er Funktionen nachladen kann. Was der Trojaner jetzt also noch nicht kann, das kann er dann später über das Internet nachgeschoben bekommen. Hier schreiben die Autoren im Bericht, der Trojaner verschleiere diese Funktion, vermutlich weil sie rechtlich fragwürdig sei. Die Kernaufgabe jedenfalls eines Trojaners, der in der sogenannten Quellen-TKÜ angewandt wird, es gibt noch eine andere Form. Für diese Quellen-TKÜ ist es Notwendig, die Audiodaten abzuzapfen an Mikrofonen und Lautsprechern. Und hier haben sie einen Code gefunden einer Standardsoftware - SPEEX heißt die. Die wird eingesetzt, um das Ganze zu komprimieren. Und da sagen die CCC-Leute, hier hätten sie eigentlich, um den Lizenzbedingungen zu entsprechen, einen Hinweis darauf geben müssen, was die natürlich nicht gemacht haben in diesem Programm.
Blumenthal: In ersten Reaktionen heute ist immer wieder zu hören, dieses Programm, dieser Trojaner ist drei Jahre alt. Zwei Fragen in einer: Welche Schlussfolgerung zieht der Chaos Computer Club aus den Ergebnissen und was weiß man über die Herkunft dieser Software?
Kloiber: Also die Hauptschlussfolgerung ist, dass solche Trojaner in der Regel mehr können als der Richter wahrscheinlich weiß, der solche eine Überwachung anordnet, und deswegen der Einsatz dieses Trojaners an sich fragwürdig ist. Das ist die eine Schlussfolgerung. Die zweite Schlussfolgerung ist, dass er so schlampig und schlecht programmiert ist, dass er Sicherheitslücken reißt, eventuell Kriminelle einladen könnte, Gegenbeweise ober Belastungsmaterial aufzuspielen. Was ein Problem ist: Man weiß nicht ganz genau, woher er kommt. Ob er vom Bund oder vom Land eingesetzt wurde, das wird hier nicht konkret gesagt. Es gibt Hinweise darauf, dass es sich um einen Trojaner handeln könnte, der bereits von bayerischen Behörden eingesetzt worden sein sollte. Dafür spricht, dass es eine Kommunikation von diesen Behörden mit einer Herstellerfirma gibt, die genau diese Spezifikation dieses Trojaners angibt. Also da sind die Hinweise doch relativ dicht.
Link:
Aktuell zum Bundestrojaner