24C3: Bürgertrojaner soll Demokratie stärken
Der CCC fordert zur Überwachung von "Problempolitikern" und zur Stärkung der Partizipationsmöglichkeiten Möglichkeiten zur heimlichen Durchsuchung der Computer auch von Volksvertretern und blickt stoisch den "Sicherheitsalpträumen 2008" entgegen.
Der Chaos Computer Club (CCC) fordert zur Stärkung der demokratischen Partizipationsmöglichkeiten Möglichkeiten zur heimlichen Online-Durchsuchung der Computer sowie anderer "informationstechnischer Systeme" von Volksvertretern und Regierungsmitgliedern. "Wir brauchen den Bürgertrojaner für mehr Bürgerbeteiligung", sagte der frühere CCC-Sprecher Ron am gestrigen Abschlusstag des 24. Chaos Communication Congress (24C3) in Berlin in Anspielung auf die Begehrlichkeiten aus dem Bundesinnenministerium und der Union nach dem so genannten Bundestrojaner. Schon im vergangenen Jahr hatte der Hackerverein die Netzbürger zu einer stärkeren Überwachung von "Problempolitikern" aufgerufen, um frühzeitig Maßnahmen zur Abwehr der hohen Korruptionsgefahren treffen zu können.
Der nachdrückliche Ruf nach dem Bürgertrojaner war Teil des traditionellen und mit viel Hackerironie gewürzten Rückblicks der Datenreisenden auf die Sicherheitsdebakel des auslaufenden Jahres und der Prophezeiung weiterer Alpträume für 2008. Anscheinend hätten sich die Politiker den Tipp, Teile der Überwachungsaufgaben zur Kostenersparnis nach Fernost auszulagern, zu Herzen genommen, unkte Rons Kollege Frank Rieger. Einzelne Formulierungen wie die angeblich mit den verschärften Hackerparagraphen nicht drohende "Überkriminalisierung" würden zumindest darauf hindeuten, dass Gesetzes- und Sprechvorlagen inzwischen "in China gemacht" würden. "Remote Government" sei anscheinend das Stichwort.
Die abgebrühten Hacker erstaunte nach Rons Angaben ansonsten auch die Erfahrung aus 2007, "dass Privatpersonen einen kleinen Nationalstaat plattmachen können". Estland sei schließlich im Frühjahr zwanzig Tage "down gewesen", erläuterte Rieger. "Vielleicht wollen wir deswegen gerade mehr E-Government", ergänzte er im Hinblick auf die Führungsposition der Esten in Bereichen wie Online-Behördengängen oder E-Voting. Denn auch der Gesetzgebungsmaschinerie und die Bürokratie würden bei einem flächendeckenden Netzausfall dann einfach nicht mehr funktionieren.
Generell würden die deutschen Sicherheitsbehörden ihren Pendants etwa in den USA in Punkto "Coolness" hinterher rennen, sattelte der CCC-Veteran bei der Staatschmachtschelte drauf. So sei hierzulande angesichts der gefährlichen gezielten Attacken mit PC-Schädlingen, die kaum ein Virenscanner erkenne, allein vom "China-Trojaner" die Rede gewesen. Jenseits des Atlantiks sei der vergleichbare Vorfall rasch als eine ganze Operation "Titan Rain" gebrandmarkt worden. "Krüppelig" klinge zudem die Umschreibung "RFS" (Remote Forensic Software) für den Bundestrojaner. Hier habe das FBI mit "CIPAV" (Computer and Internet Protocol Address Verifier) aber ebenfalls einen glatten Fehlgriff in der Namensgebung getan. Prinzipiell würden die deutschen Strafverfolger aber anfangen, die Möglichkeiten der Digitalisierung und der damit einhergehenden Ansammlung umfangreicher Datenbestände auch zu nutzen. Die neue Form der Rasterfahndung sei es so, etwa Kreditkartenfirmen einfach einen speziellen Suchtext für deren SQL-Datenbanken zu geben. Rons Kommentar: "Damit sind wird dann alle standardmäßig verdächtig."
Bestätigt gemäß dem Motto "told you so" sahen sich die Auguren des CCC in früheren Voraussagen etwa durch aufgekommene Superwürmer, die "endlich" auch Angriffsmodule nachladen hätten oder Voraussetzungen für die Kontrolle von Peer-to-Peer-Netzwerktechniken mitbrächten. Unter den zahlreichen getürkten Rechnungen und anderen leidigen Versuchen von Cybergangstern, Bots und in Folge Spam massenweise zu platzieren, hoben sie eine Attacke hervor, in der sich der Angreifer die Hoheit über einen Server des Pharmariesen und Viagra-Herstellers Pfizer verschaffte – und darüber unter anderem Werbemails für Verschnitte des Potenzmittels verschickte. "Da müssen wir zumindest ein paar Stilpunkte vergeben", nickte Rieger anerkennend. Nicht schlecht war Ron zufolge zudem ein Test mit einer Google-Anzeige mit der freundlichen und nicht gerade wenig genutzten Einladung, sich per Klick seinen möglicherweise noch virenfreien Rechner infizieren zu lassen.
Mit vorauseilender Schadenfreude und Gruseln zugleich wagten die Hacker schließlich wieder einen Blick in die Glaskugel und machten darin etwa "Bio-Hacking" mit bald bei eBay zu ersteigernden DNS-Synthesizern sowie "Roboter-Hacking" als Trends fürs kommende Jahr aus. In 2008 sei die Industrieautomatisierung nicht mehr aufzuhalten und schier jede große Fertigungs- oder Fräsmaschine werde mit Windows und Netzwerkfähigkeiten bestückt, warnte Rieger vor allzu leicht zu knackenden IT-Installationen mit gefährlichen Auswirkungen. Die Hacker sollten daher zumindest auch nach einer mit angeschlossenen Webcam Ausschau halten, "damit ihr seht, was ihr tut". Nicht mehr alles, was viele serielle Schnittstellen habe, sei ein Geldautomat, witzelte Ron weiter. Auch ins Feld der Spielzeug-Roboter komme Bewegung, betonte er und zog einen Mini-Dinosaurier mit umfangreicher Speicherkarte, Stereo-Mikrofonen und hochauflösender Kamera unterm Tisch hervor. Das Gerät bezeichnete er als "niedlichste Wanze aller Zeiten" sowie als Mischung aus "Furby 2.0" und "Bundestrojaner 3.0" in einem.
"Viele interessante Dinge" erwartet Rieger zudem von der zunehmenden Verschmelzung der traditionellen, auf Schaltzentralen setzende und sich gegenseitig vertrauenden Telefonnetzen mit dem Internet im Rahmen des VoIP-Trends. Als Einladung zur kreativen Betätigung sieht er auch die Angebote von Webgrößen wie Amazon.com, in ihren großen Speicher- und Backendsystemen Platz für eigene Datenbanken und Shop-Systeme mieten zu können. Im Bereich "Mobile Malware" bedankte sich der Hacker zudem bei Apple für das iPhone: "Das ist der Traum." Tolle Hardware, jede Applikation dürfe alles, alle Programme würden dieselben Dienste nutzen und alle Anwender sofort blind jedes Software-Gadget installieren, das ihnen ein Kumpel gezeigt habe.
Ron gab sich derweil sicher, dass das Aufkommen lästiger Werbemails in 2008 erstmals sinkt: "Es wird der Nachweis geführt, dass Terroristen ihre Kommunikation in Spam codieren", sagte er voraus. Damit würden zumindest die US-Spammer nach Guantanamo verbannt. Weiter fragten sich die CCC-Vertreter amüsiert, ob man bei biometrischer Gesichtserkennungssoftware Pufferüberläufe durch zu breites Grinsen oder beim Mautsystembetreiber TollCollect einen SQL-Datenbankangriff über umgestaltete Nummernschilder hinbekommen könne. Noch nicht richtig als Spielfeld ernst nehmen wollten sie dagegen das IT-Großprojekt der Gesundheitskarte, da sich dieses wohl auch im kommenden Jahr – genauso wie die neue einheitliche Steuernummer – weiter verzögere.
Auf ihrer Liste der Hard- und Software mit weniger "lustigen" Schwachstellen haben die Hacker Flash gleich in doppelter Variante. Sowohl bei den so benannten Speicherformen, die sich als schwer zu löschen herausgestellt hätten, als auch bei dem gleichnamigen Graphikwerkzeug Adobes rechnen sie mit dem ein oder anderen Fiasko. "Datenhygiene" werde generell immer wichtiger, das betreffe neben Speichereinheiten und Festplatten zunehmend auch die eigenen Profile in sozialen Netzwerken und Online-Gemeinschaften. "Wir erwarten Forensik-Seminare für korrekt lebende Lebensabschnittsgefährten in der Volkshochschule", betonte Ron.
Microsofts Betriebssystem Vista müsse in 2008 zudem dran glauben, gab sich Rieger sicher. Man werde hier einige "schöne" ausnutzbare Lücken sehen. Als bedrohlich bezeichnete er im Hinblick auf Redmond zudem die Entwicklung, dass in Krankenhäuser automatische Medikamentendosiergeräte mit MS Access Einzug halten würden. Da empfehle es sich als Patient "immer noch mal zu fragen, was man da bekommt". Auch Apple könne aber "mit Karacho auf die Schnauze fallen". Es gäbe gerade eine "Inflation" an aufgedeckten "Bugs" für Mac OS X, die aber noch zurückgehalten würden. Ursache sei, dass sich die Kalifornier im Gegensatz etwa zu Microsoft noch weigern würden, für derartige "Zero-Day-Exploits" zu zahlen. So oder so werde da in Bälde wohl mal einer der Sicherheitstester "abdrücken" und eine Lawine an weiteren Schwachstellenmeldungen auslösen. Als nicht weniger besorgniserregend bezeichnete Ron die aktuelle Statistik, wonach bis zum ersten Angriff eines frisch ans Netz angeschlossenen Rechners 39 Sekunden vergehen, publizierte Lücken durchschnittlich erst nach 348 Tagen geflickt und alle 24 Stunden 30.000 Webseiten neu infiziert würden.
Zum 24. Chaos Communication Congress siehe auch:
- Sicherheitslücken in Sonys PSP und Nintendos Wii
- Hacker wünschen "guten Rutsch ins Jahr 1984"
- Gravierende Probleme beim Erfassen von Fingerabdrücken für den ePass
- Mac OS X für alle Intel-PCs
- Die Zukunft von Tor und anderen Anonymisierungsdiensten
- Aus dem Tagebuch eines Spions
- CDU und SPD fordern "Zurückrollen" Schäubles
- Barcode-Systeme anfällig für schwere Hackerangriffe
- Linux voll lauffähig auf der Xbox 360
- Scharfe Kritik an der Fluggastdatensammlung
- Gezielte Trojaner-Attacken im Informationskrieg
- Hackerfreiräume und Anonymisierungsdienste
- Haushaltshacker testen das Pfandsystem
- Kampf gegen Schäubles Computerwanze
- Hacker gegen 24-Stunden-Rundum-Überwachung
- Das Hackerchaos dräut erneut in Berlin
(Stefan Krempl) / (anw)
