CCC kritisiert neue Staatstrojaner-Version

Nach einer ausgiebigen Analyse einer neueren Staatstrojaner-Versionen kommt der CCC zu dem Schluss, dass eine rechtskonforme Erhebung von Beweismitteln auf diesem Weg prinzipbedingt nicht möglich sei.

In Pocket speichern vorlesen Druckansicht 282 Kommentare lesen
Lesezeit: 4 Min.

Der CCC hat die bereits von Kaspersky entdeckten, neueren Versionen des Staatstrojaners von Digitask analysiert. Diese datiert auf den Dezember 2010 und ist bislang keinem konkreten Fall zuzuordnen. Bei der Analyse lag der Schwerpunkt auf den Nachbesserungen bei den Schwächen des Vorgängers und der postulierten "revisionssicheren Protokollierung" aller Aktivitäten.

Das Tool BinDiff zeigt Ähnlichkeiten und Unterschiede in der Struktur der beiden Trojaner-Versionen.

(Bild: Chaos Computer Club (CCC))

So fanden die "Reverser" des CCC, dass an der etwa drei Jahre neueren Version zwar durchaus Verbesserungen vorgenommen wurden, diese aber keineswegs ausreichen, um eine rechtskonforme Erhebung von Beweismitteln zu ermöglichen.

So wird im Modell des Jahres 2010 tatsächlich der Datenverkehr in beide Richtungen verschlüsselt, und auch eine rudimentäre Authentifizierung ist vorhanden. Allerdings kommt nach wie vor der gleiche AES-Schlüssel wie beim drei Jahre älteren Bruder zum Einsatz. Auch an der peinlichen Nutzung des ECB-Modus der AES-Verschlüsselung hat sich demnach nichts geändert. Insgesamt kann nach einer kurzen Analyse eines Trojaners immer noch die gesamte Kommunikation zwischen Trojaner und C&C-Server belauschen und sogar manipulieren.

Deshalb konnten die CCC-Spezialisten auch in wenigen Stunden ihren nachgebauten Steuer-Server an die Veränderungen so umbauen, dass er mit den neuen Versionen funktioniert. Damit ließe sich ein mit dem Staatstrojaner infizierter Rechner steuern. Außerdem konnten Sie auch mit einem nachgebauten Fake-Trojaner selbst "Beweise" etwa in Form von Screenshots übertragen, die ein C&C-Server mangels "Authentisierungs-Checks [..], die auch nur annähernd zeitgemäß wären", als authentisch akzeptieren würde. Wenn ein solcher Fake-Trojaner auf dem belauschten Rechner liefe, würde auch ein Abgleich der IP-Adressen keine weiteren Auffälligkeiten zutage fördern. Letzlich kommt der CCC zu dem Schluss, "dass per Trojaner erlangte Screenshots (und andere „Beweise“) generell als gefälscht anzusehen sind und keinerlei Beweiskraft haben".

Im Übrigen enthält auch die 2010er-Version des Staatstrojaners die bedenkliche Nachladefunktion, über die der Trojaner beliebige Programme aus dem Internet herunterladen und ausführen könnte. Diese wurde vor allem kritisiert, weil sie gegen die vom Verfassungsgericht geforderte technische Beschränkung auf die Überwachung von Telekommunikation verstoße. Verteidiger bezeichneten sie hingegen als unverzichtbaren Update-Mechanismus.

[Update]:
Das Bundesinnenministerium reagierte dieses Mal schnell: Die vom CCC neu analysierte Trojanerversion ist nach seinen Angaben nicht vom BKA eingesetzt worden. Auch andere Behörden im Geschäftsbereich des Bundesinnenministeriums hätten die Version nicht verwendet, erklärte ein Ministeriumssprecher laut dpa. Dem Ministerium sind auch das Bundesamt für Verfassungsschutz und die Bundespolizei unterstellt.

Siehe dazu:

(ju)