Staatstrojaner: BKA kauft Software "FinFisher"

[Annika_Kremer]

Das Bundeskriminalamt (BKA) erwarb kürzlich die Überwachungs-Software "FinFisher" der Firma Eleman/Gamma. Diese soll - als Ersatz für die nach der Analyse durch den Chaos Computer Club (CCC) unbrauchbar gewordene Software der Firma DigiTask - als neuer Staatstrojaner eingesetzt werden, da die Entwicklung einer eigenen Software bisher erfolglos verlief.

zur News

[Trollolol]

Wieso brauchen die eigentlich so eine Funktion wie "Skype überwachen" in einem extra Trojaner? Skype selber bietet die Funktion doch schon von Haus aus an.

[Annika_Kremer]

Das hat Skype die auch mal gefragt.

[Malicus]

Wird Zeit, dass ein FinFisher Blocker auf den Markt kommt. Aber halt, wenn die Behörden dann einen FinFisher Blocker Blocker haben, dann muss man ja selbst einen FinFisher Blocker Blocker Blocker haben. Gut für deren Einnahmen wärs aber.

[widarr]

Es wird Zeit, dass ein Blocker für freiheitsfeindliche und grundrechtsmissachtende Politiker auf den Markt gebracht wird.

[Annika_Kremer]

Wird Zeit, dass ein FinFisher Blocker auf den Markt kommt.

Eine durchaus interessante Frage: Wenn jetzt jeder weiß, was die haben, kann man sich dann davor schützen? Oder ist das eher so wie bei ZeuS, dass das so baukasten-mäßig ist, dass jede Variante anders ist und so unentdeckt bleibt? Kugelfisch, bist du anwesend?

[Lobo0202]

Wird Zeit, dass ein FinFisher Blocker auf den Markt kommt.

der blocker für den letzten bka-trojaner hieß übrigens "64 bit windows". vll klappt das ja immer noch ;-)

[accC]

Also wenn die ein kommerzielles "Massenprodukt" nutzen, dann ist es doch nur eine Frage von nun ja Tagen, bis AntiViren-Programme den Trojaner erkennen und unschädlich machen können. Wenn dann noch zusätzlich keine Update-Funktion eingebaut sein darf, kann man den Trojaner quasi für vernichtet erklären, bis dann wieder für teuer Geld ein neuer programmiert wurde. Man kann Steuergelder auch professionell verbrennen.

Einfach nur lächerlich, arm und beschissen und dafür soll man sich dann auch noch den Buckel krumm ackern, dass sich da oben ein paar Gehirntote sicher fühlen.

Genau, wo bleibt unser Kugelfisch?

[ichhabnendsi]

ttp://wikileaks.org/spyfiles/files/0/289_GAMMA-201110-FinSpy.pdf

Der kann sogar Linux

[MystiqueMax]

Ich schnall eh nicht wieso man annimmt, dass Leute, die a) es Wert sind überwacht zu werden vom BKA und b) ohne Trojaner nicht geschnappt werden würden, seien so blöd ein unsicheres System zu benutzen. Die kommunizieren doch längst über ein Tails-System oder ein anderes System per Live-Medium, dass unbeschreibbar gemacht wurde, bsp: SD-Card plus USB-Lesegerät, dessen Firmware die Schaltung der SD-Card erkennt.

Was wollen sie da überwachen? Mich, wie ich für 15€ mir G1 Credits kaufe und für 13,99€ meinen WoW/SWTOR/GW2 Account verlängere, dann ein Gespräch von mir aufnehmen, wie ich Bewaffnung und Vorgehen mit meinen Mitverschwörer plane, bis sie kurz vor dem Zugriff der GSG9, KSK (unter Notstandsparagraph natürlich) oder des SEK feststellen, dass ich nur mit meinen Mates eine Runde Arma2 im Vorraus plante?

Komm, hätte ich wirklich was vor, dann Live-Linux + Laptop, ab ins Auto, Wlan Scanner rein, unverschlüsselt finden, bzw. WEP verschlüsselt finden und so kommunizieren. Eigentlich kann ich das auch schon mit meinem Handy machen. Daher sind wir bei den echten Terrors wieder zurück im kalten Krieg und die alte Parole, nur physikalischer Zugriff ist Vollzugriff, zählt wieder.

[Mr_J]

Also wenn die ein kommerzielles "Massenprodukt" nutzen, dann ist es doch nur eine Frage von nun ja Tagen, bis AntiViren-Programme den Trojaner erkennen und unschädlich machen können.[...]

Das grundsätzliche Problem dürfte wie bei anderen Spywares/Malwares sein dass wenn sie erstmal im System ist, es schwierig wird sie zu finden/entfernen. Abhilfe gegen so etwas sollte aber ein permanent im Hintergrund laufender Virenscanner sowie eine Verschlüsselung der Festplatte (z.B. mit Truecrypt) schaffen und so ein Infektionsrisiko mit der Software minimieren.

MfG
Mr. J

[privet]

cyberkrieg...

jeder der denkt das deutschland nicht aufstocken sollte ist naive

[Kugelfisch23]

Oder ist das eher so wie bei ZeuS, dass das so baukasten-mäßig ist, dass jede Variante anders ist und so unentdeckt bleibt?

Sicherlich wird die erzeugte Malware - genau wie bei ZeuS auch - immer ähnliche Merkmale aufweisen, der auf dem kompromittierten System ausgeführte, zu Grunde liegende Schadcode wird schliesslich (innerhalb einer Baukasten-Version und bei gleichem Feature-Umfang der Malware) immer derselbe sein. Das würde grundsätzlich eine Erkennung erleichtern.

Das Problem ist jedoch, dass sich Malware etwa durch obskure Laufzeitpacker - die oft gar keine Packer im ursprünglichen Sinne mehr sind, sondern als `Crypter` nur noch der Verschleierung des Binaries dienen - leicht so verändern lasst, dass zumindest die signaturbasierte Erkennung versagt, in einigen Fällen reichen dazu sogar bereits leichte Veränderungen am Schadcode, welche auf die eigentliche Funktionalität keine Auswirkungen haben. Zumindest bei gepackten Binaries wird auch die heuristische Erkennung versagen, sofern der Scanner den Packer nicht bereits kennt und entpacken kann. Lediglich die Verhaltensbasierte Erkennung könnte in solch einem Fall anschlagen, allerdings natürlich erst, nachdem der Schadcode bereits zur Ausführung gekommen ist.

Insofern stellt sich die Frage, ob die Behörden einerseits auch Packer/Crypter zur Verschleierung zukaufen und korrekt einsetzen (insbesondere: einen bestimmten Packer nur einmalig nutzen), andererseits, ob zeitnah zumindest ein Sample der neuen Malware an die Öffentlichkeit oder die Entwickler von Malware-Scannern gelangt. Dass die Software bekannt und kommerziell verfügbar ist, dürfte das wohl erleichtern. Auch stellt sich die Frage nach dem Infektionsweg - zumindest in einem Fall in der Vergangenheit wurde die Malware bei einer fingierten Zollkontrolle direkt auf das zu überwachende System installiert. Bei bestehendem Hardware-Zugriff (und fehlender Verschlüsselung der Systempartition) hindert den Angreifer natürlich nichts daran, den Malware-Scanner während der Infektion ausser Kraft zu setzen und im Anschluss seine Malware durch ein Rootkit zu tarnen.

[Annika_Kremer]

Danke wie immer sehr informativ.

[accC]

Nehmen wir mal an, der Trojaner wird nicht über direkten Hardwarezugriff durch Ermittler installiert, müsste also mittels manipulierter Webseiten, Emailanhänge usw. ins System gebracht werden.

Supports most common Operating Systems (Windows, Mac OSX and Linux)

Wie leicht oder schwer wäre dann eine Infektion von Linux und Mac-Betriebssystemen?
Wenn ich mich nicht irre, gab und gibt es doch schon seit Jahren keine wirklich erfolgreichen und ernst zu nehmenden Viren/Spyware- Angriffe auf diese Systeme.

@Kugelfisch23: Für wie hoch schätzt du das Risiko da ein?



Ohne zu illegalen, strafbaren oder terroristischen Handlungen aufrufen zu wollen: Wieso kümmert sich Anonymous nicht mal um diese beschissene Gamma Group?

[Nicky343]

Aha, wieder einmal beweist das BKA, dass Datenschutz Dritter für sie keine Rolle spielt - Hauptsache Überwachen. Das ist alles ...

Spoiler: 

... aber irgendwoher kenne ich das noch:

• Google
• Facebook
• Twitter
• Internetprovider
• Telekom
• IPv6-Adressen
• Unister (aber ich hoffe mal, der neue Chef von denen ist kein Datenschutzignorierer)
• Spammer
• Impressumspflicht
• Überwachungskameras in Computerpools von Unis (mal sehen, wann die ganze Uni davon betroffen ist)
• elektronische Sicherungen von Büchern in Bibliotheken (da kann man z. B. registrieren, ob jemand ein Buch unberechtigterweise mitgehen lässt)
• ElStEr-Programm mit samt illegalem Bundestrojaner-Programm-Spyware-Auftragsstalker
• Hubschrauber der Polizei, die nach Leuten mit Cannabisplantagen fahnden, selbst wenns nur mal eine einzige Pflanze ist (und ich habe permanente ANGST davor, dass die mich für nen Drogendealer halten, ich baue sowas nicht mal selbst an und werde es auch nicht tun, weil von dem Zeug alle sone Psychose kriegen und dann sind die alle im Krankenhaus, bringen sich selber um oder andere oder halten sich selber für einen Auftragsstalker oder verklagen mich auf etwaigen Schadensersatz, weil sie durch ihren Konsum obdachlos geworden sind)
• Handy-Überwachung mittels stiller Anrufe oder stiller SMS, selbst wenn das Gerät ausgeschaltet worden ist
• Bundestrojaner-Auftragsstalkingprogramm
• GEZ-Kamerapaparazzis
• Videoüberwachung bei Flughäfen, Bahnhöfen und Polizeipräsenz bei eben solchen
• Werbefritzen, die sich nicht ans Antiwerbeschild halten
• Politessen, die mal wieder nix besseres im Sinn haben, als die Hauptstraßen abzukassieren und die durch Falschparker beengten Nebenstraßen gleich mal unterschlagen (häufig zugeparkte Straße vor meinem Wohnungseingang, darunter viele Falschparker, die die Verkehrstauglichkeit der engen Nebenstraße beeinträchtigen (ist eine Einbahnstraße, was erschwerend hinzu kommt)

bla bla bla

So, wer noch Ideen hat, wie man son scheiß-Stalkerfritzen-Spyware-Fuzzi-Programm-Malware-Dingsi enttarnen, im Vorhinein sperren oder nachträglich entfernen kann, möge mich bitte in Kenntnis setzen. Liebend gern gesehene Gäste sind natürlich auch die SemperVideo-Macher. :-)

MfG Nicky343, die Auftragsbestalkte

[accC]

@Nicky343: Ich glaube du bist weit über das Ziel hinaus geschossen.

Google, Facebook und Twitter sowie Unister mögen zwar kräftig auf die Privatsphäre und Datenschutz scheißen, sind aber freiwillig gewählte Übel, die man sich nicht auflasten muss. Genau genommen ist auch die Impressumspflicht kein Problem, da du keine Internetseite publizieren musst, maximal als Unternehmen und notfalls kannst du sogar einen Anwalt ins Impressum schreiben lassen.

Wieso du Telekom und Internetprovider sowie IPv6 auseinander ziehst, verstehe ich nicht, das ist im Prinzip auch nur ein Punkt namens "Internetprovider".

Kameraüberwachung an Unis ist auch weniger problematisch, da du a. auch Fernunis "besuchen" kannst und b. den Kameras normalerweise auch aus dem Weg gehen kannst, zumindest als Student weißt du, wo die Kameras sind. Außerdem bezweifele ich irgendwie, dass sämtliche Unis Kameraüberwacht sind.

Was genau hast du an Spammern und elektronischen Buchsicherungen auszusetzen? Das hat beides nichts mit Überwachung zu tun. Ersteres mal überhaupt nicht und zweites kann dir maximal sagen, ob du mit einem Buch einen bestimmten Bereich überschritten hast, nicht aber wo du dich tatsächlich befindest, also wirkliche Überwachung ist das nicht.
Auch bei GEZ und Werbehausierern sehe ich kein Problem, diesen Leuten kannst du einfach Hausverbot erteilen und sie notfalls, sollten sie widerrechtlich dein Grundstück betreten erstmal bis zum eintreffen der Polizei dort festsetzen.
Die Sache mit der Politesse, nun ja, das ist ja wohl auch eher unpassend bezüglich "Überwachung". Auch da kannst du, sofern eine Zufahrt blockiert ist, die Polizei rufen oder wenn es deine Grundstückseinfahrt ist, die blockiert wurde sogar auf Kosten des Fahrzeughalters abschleppen lassen.

Gut, Videoüberwachung und Nacktscanner an Flughäfen sind tatsächlich problematisch,

Auf deiner Liste bleiben also noch die Punkte Videoüberwachung, Bundestrojaner, Handyüberwachung und Cannabis-Hubschrauber und zumindest von letzteren habe ich bisher noch nie gehört.


Ubuntu als Live-System nutzen. Am besten auf einem USB-Stick, auf dem du einen Schreibschutz aktivieren kannst. Statt einem Desktop-PC nur noch einen Laptop nutzen und dich in fremde oder öffentliche wlans hacken bzw verbinden, anstatt den eigenen Internetanschluss zu nutzen. Damit solltest du dann nahezu ausreichend sicher sein.
Natürlich keine Onlinegeschäfte, keine Namen im Internet angeben, nirgends registrieren, flash, javascript, java, silverlight, bla deaktivieren.
Wenn du durch die Öffentlichkeit läufst, dann nur mit 0-8-15-Schal und Mütze, dass man dein Gesicht (Ohren, Augen, Nase, Mund) nicht erkennen kann. Keinen digitalen Geldfluss ermöglichen (nur mit Bargeld bezahlen).. Handyvertrag, Telefon- und Internetanschluss kündigen. Keine ABOs, Laufzeitverträge eingehen, das Konto auflösen und am besten die Wohnung/das Haus verkaufen. Ach ja, alle erworbenen Gegenstände erst mal eine Runde durch den Microwellenautomat jagen, damit ggf enthaltene Chips zerstört werden.
Mehr fällt mir jetzt gerade nicht ein, außer vielleicht, dass du in den Urwald auswandern könntest.

[widarr]

Aha, wieder einmal beweist das BKA, dass Datenschutz Dritter für sie keine Rolle spielt - Hauptsache Überwachen. Das ist alles ...

[SPOILER]... aber irgendwoher kenne ich das noch:
...

Das alles liegt daran, dass wir nicht mehr im Land der Dichter und Denker leben sondern der Richter, Henker, Spießer, Denunzianten, konformistischen konservativen obrigkeitshörigen Füdlibürger und anderer Freiheitsfeinde.

Ja, ich hab eine sehr negative und resignierte Ansicht der Realität.

[RightRound]

Das Bundeskriminalamt (BKA) erwarb kürzlich die Überwachungs-Software "FinFisher" der Firma Eleman/Gamma.

Da habe ich nichts dagegen, wenn diese ausschließlich gegen Straftäter eingesetzt wird. Sobald aber die Privatsphäre eines Einzelnen ohne Anlass angegriffen wird, hört bei mir die Legitimität jeglicher Software auf.

[Kugelfisch23]

Wie leicht oder schwer wäre dann eine Infektion von Linux und Mac-Betriebssystemen?
Wenn ich mich nicht irre, gab und gibt es doch schon seit Jahren keine wirklich erfolgreichen und ernst zu nehmenden Viren/Spyware- Angriffe auf diese Systeme

Die Infektion an sich unterscheidet sich kaum von der Infektion von Windows-Betriebssystemen. Allerdings müsste die Malware - zumindest ohne Social Engineering oder einen zusätzlichen lokalen Exploit zur Eskalierung der Privilegien - mit normalen Benutzerrechten operieren, was für die Überwachungsfunktionen kaum ein Problem ist, sofern die zu überwachende Software unter demselben Benutzerkonto läuft, allerdings kann ohne root-Rechte kein Rootkit zur Verschleierung installiert werden.

Ein weiteres Problem wird - insbesondere unter GNU/Linux - sein, dass sich die wenigsten Benutzer ausführbare Dateien aus Fremdquellen herunterladen. Software und Updates stammen in der Regel aus den Paketquellen der Distribution, was einerseits durch den zuverlässigen Update-Mechanismus dafür sorgt, dass Updates für bekannte Schwachstellen zeitnah eingespielt werden, andererseits auch effektiv eine Kompromittierung durch fremde, vom Benutzer auszuführende Binaries verhindert. Ausserdem erschwert bei GNU/Linux die hohe Diversifikation (verschiedene Distributionen mit unterschiedlichem Dateisystem-Layout, unterschiedlichen Kernel-Versionen, ...) die Entwicklung einer stabilen Malware (bereits vom Benutzer explizit gewünschte vorkompilierte Binaries sind oftmals problematisch).