Heimliche Online-Durchsuchung in den USA: FBI setzte erstmals CIPAV ein
CIPAV ist offenbar ein Windows-Programm; es wird von einem FBI-System per Mail oder Instant Messaging verschickt und nistet sich auf einem Zielcomputer oder auf einem Web-Angebot wie MySpace oder Google Mail ein, um von dort auf Zielcomputer zu gelangen.
Zur Aufdeckung der Identität eines Straftäters, der mehrere Drohungen verschickte, eine High School im amerikanischen Bundesstaat Washington in die Luft zu sprengen, hat das FBI erstmals zum Mittel der so genannten heimlichen PC-Durchsuchung gegriffen. In seinem Blog beim amerikanischen Branchendienst CNet verweist der US-Journalist Declan McCullagh dabei auf die eidesstattliche Erklärung eines FBI-Offiziers, der den Durchsuchungsbefehl (PDF-Datei) beantragte. In dieser Erklärung wird die Funktionsweise der Spyware beschrieben, die das FBI einsetzt und unter dem Kürzel CIPAV (Computer and Internet Protocol Address Verifier) führt.
CIPAV ist offenbar ein Windows-Programm; es wird von einem FBI-Computer per E-Mail oder Instant Messaging verschickt und nistet sich auf einem Zielcomputer oder auf einem Web-Angebot wie MySpace oder Google Mail ein, um von dort auf den oder die Zielcomputer zu gelangen. Einmal installiert schickt CIPAV nach einer Durchsuchung der gesamten Festplatte eine Aufstellung zum FBI, die den Namen aller laufenden Programme, die Browser-Informationen, den Typ des Betriebssystems samt Seriennummer und alle Benutzerinformationen aus der Registry enthält. Außerdem werden jeweils die zuletzt besuchte URL und alle besuchten IP-Adressen übermittelt, jedoch – im Unterschied zu den Forderungen für eine heimliche Online-Durchsuchung hierzulande – nicht die Inhalte der Kommunikation, wie das FBI in der eidesstattlichen Erklärung mehrfach betont. Ob CIPAV in der aktuellen Version zumindest technisch in der Lage ist, auch die Inhalte der Kommunikation oder die Tastatureingaben mitzuschneiden und zu übermitteln, geht aus den FBI-Dokumenten nicht hervor.
Mit Hilfe von CIPAV gelang es dem FBI im vorliegenden Fall, über die IP-Nummer die Identität eines ehemaligen Schülers einer Timberland High School zu ermitteln, der diese tagelang mit Bombendrohungen terrorisiert hatte. Der Jugendliche benutzte für seine Drohungen fünf unterschiedliche Google Mail-Adressen und ein MySpace-Konto unter dem Namen "timberlinebombinfo", auf dem andere "Mitstreiter" ihren Hass auf die High School bekannt machen sollten. In diese Web-Angebote loggte er sich über drei italienische kompromittierte Computersysteme ein. Entsprechend verwiesen die IP-Adressen, die Google und MySpace dem FBI lieferten, auf die italienische Rechner. Um den Täter aufzuspüren, wurde CIPAV vom FBI entweder über Google Mail oder MySpace nach Erhalt des richterlichen Durchsuchungsbefehls so verschickt, dass die Spyware sich installieren konnte, als der Jugendliche erneut Drohungen verschickte. Der Einsatz von CIPAV wurde vom Richter mit der Auflage genehmigt, dass die Software nur zwischen 6:00 und 22:00 ihre mitgeschnittenen IP-Informationen übertragen durfte. Sie konnte jedoch rund um die Uhr die IP-Adressen mitprotokollieren.
Mit der Bombendrohung an der Timberland High School ist der Einsatz von Spyware zur Ermittlung eines Täters durch das FBI erstmals öffentlich dokumentiert. In früheren Ermittlungsverfahren hatte das FBI bisher nur Keylogger eingesetzt, die von FBI-Beamten heimlich direkt an Zielcomputern installiert wurden.
Siehe dazu auch:
- Bundestrojaner: Geht was – was geht, Know-how-Artikel in heise Security
Zu den Auseinandersetzungen um die erweiterte Anti-Terror-Gesetzgebung, die Anti-Terror-Datei sowie die Online-Durchsuchung siehe auch:
(Detlef Borchers) / (jk)
