Slevin schrieb am 7. Februar 2007 16:57
> Bei Telepolis erschien gestern ein Artikel von Burkhard Schröder,
> dessen Tenor war, dass Online-Durchsuchungen lediglich eine
> Wunschvorstellung seien, dass es sie nie gegeben hat und auch nie
> geben wird. Es sei ein Hoax und beruhe auf dem "mangelnden
> Sachverstand eines Oberstaatsanwaltes", wie Schröder am 6.2.2007
> schreibt. Nun heißt es aber in vielen anderen Artikeln, wie auch in
> dem vorliegenden, dass Online-Durchsuchungen sehr wohl anvisiert
> werden. Zudem sei der Artikel von Burkhard Schröder misslungen. Ist
> er dies tatsächlich oder wurde einfach nur eine Worthülse in den Raum
> geworfen, die sich nun immer mehr mit Leben füllt und ein Eigenleben
> zu entwickeln beginnt? Und ist genau dies die Absicht, sozusagen den
> Weg zu bereiten für Online-Durchsuchungen?
Man muss die Sache differenziert betrachten. Tatsache ist,
dass die Forderungen der Politik und Ermittler keineswegs
solche nach einem Papiertiger sind. Es geht schon um eine
handfeste, hochproblematische Vorgehensweise, die durchaus
praktikabel ist.
So fuehrte zum Beispiel eine Sicherheitsluecke in der
Secure Shell (sshd - CRC32 Compensation Attack Vulnerability)
ueber viele Monate zu zig Einbruechen in Computer weltweit
alleine weil die Ausnutzbarkeit der Luecke lange Zeit
unbekannt war, sie fuer nicht praktisch ausnutzbar
gehalten wurde und Exploits nur im kriminellen
Untergrund kursierten.
Auf manchen Rechnern eines bestimmten US-Herstellers
konnte man zeitweise sogar durch einfaches Eintippen von
"finger /usr/X11R6/bin/xterm|Ip-Adresse" auf einem
anderen Unix/Linux/BSD-Rechner etc. eine Root-Shell
erhalten. Jeder, der dies wusste, konnte das machen und
so auf einfachste Weise in fremde Rechner komplett
mit allen Rechten des Systemadministrators eindringen.
Das schaffte so jedes 5-jaehrige Kind.
Wieso soll das dann die Polizei dies nicht ausfuehren koennen?
Auf vielen Systemen wurde dieser Fehler nicht einmal gepatcht.
Deshalb erstaunt es schon sehr, dass Burkhard Schroeder
die Meinung vertritt, es handle sich eher um eine Art
von Hoax. Sowas ist -durchgefuehrt durch Hacker und
Kriminelle- schon seit Jahren Realitaet und verursachte
zum Teil schon erhebliche Schaeden.
Realistisch betrachtet gibt es mittlerweile zwar Hindernisse
fuer so ein Vorgehen(Firewalls, Patches etc.) .
Dennoch sollte man die Existenz dieser hochproblematischen
Moeglichkeit nicht leichtfertig in Abrede stellen.
Schliesslich sollte man bedenken, dass Privatleute
ihre Rechner oft nur relativ schlecht absichern und auch
andere Schnittstellen von Rechnern (etwa Funknetzwerke
ohne oder mit unsicherer Verschluesselung) eine
Zugangsmoeglichkeit bieten und fuer die Polizei
sogar ein direkter physikalischer Zugang zum Rechner
verschaffbar waere.
Ich moechte hier nur einmal auf ein paar Punkte des
Artikels eingehen:
Zunaechst zum Artikel des Oberstaatsanwalts in
der Juristischen Fachzeitschrift:
"Der Datenspeicher des Computers eines Verdächtigen
könne untersucht werden, schreibt er, "indem etwa mittels
E-Mail oder auf andere Weise, auf den zu durchsuchenden
Computer "Trojaner" oder "Backdoor"-Programme aufgespielt
werden. Wie es möglich sein könnte, per Mail etwas auf den
Rechner eines Verdächtigen einzuschleusen, wenn der sich weigert,
Attachments von unbekannten oder gar anonymen Absendern
zu öffnen oder wie man einem Linux-Nutzer eine
Spionage-Executable unterjubeln will, verrät Manfred
Hoffmann nicht."
Man muss gar nicht E-Mails mit Trojaner verschicken.
Oft reicht es schon aus, an einen passenden Port
passende TCP/IP-Pakete zu senden. Insofern hat der
Oberstaatsanwalt zutreffend geschrieben "oder auf andere
Weise...". Zwei Beispiele findet man oben und das erste
betraf zufaellig u.a. Linux, das zweite DG-UX (auch ein Unix).
Weiter schreibt er dann als Schlussfolgerung:
"Bei der Online-Untersuchung handelt sich also um eine reine
Wunschvorstellung und mitnichten um eine real existierende Methode."
Das ist schlicht falsch. Alleine nach obigen zwei Methoden
haette man jahrelang zahllose Linux-Systeme und DG-UX-Computer
auf der Welt durchschnueffeln koennen. Und das sind nur zwei
von zahllosen weiteren Sicherheitsluecken.
Dann weiter mit einem Zitat aus Golem und seiner Antwort:
"<Gegen Ermittlungsbeamte, die mit richterlicher Erlaubnis
persönlich einen Trojaner auf dem Rechner installieren,
hilft auch die beste Firewall nicht.>
Das ist erstens technisch gesehen grober Unfug und zweitens
frei erfunden. Diese Beamten gibt es nicht."
Die meisten Trojaner versuchen heutzutage, uebliche Firewalls
auszutricken und ueber technische Details dazu bekam man kuerzlich
sogar auf heise.de einiges zu lesen...
Ich frage mich weiter, woher er wissen will, dass es diese
Beamten nicht gibt.
Dann weiter mit:
"Die Zielperson kann aber auch zu einer Webseite gelockt
werden, von wo aus sich unbemerkt im Hintergrund das
Spionageprogramm installiert." Dass nur unbedarfte
Windows-Nutzer davon betroffen wären und dass dieses
"Verfahren" tatsächlich überhaupt nicht angewendet
worden ist, verschweigt der Artikel."
Leider sind nicht nur Microsoft's Browser von
Sicherheitsluecken betroffen. Davon abgesehen benutzen
>90% aller Internetnutzer den Internet Explorer.
Auch das ist somit kein Gegenargument.
Dann zur Passage:
"Was aber geschieht, wenn der Verdächtige [extern] Truecrypt
nutzt und seine Mails mit [extern] GnuPG verschlüsselt?
Wenn man jemandem etwas "zuspielen" will, geht das nur per E-Mail.
Der Verdächtige muss also das Betriebssystem Windows besitzen,
sich um die Authentizität des Absenders nicht kümmern und sorglos
Attachments öffnen. Er muss - schlicht formuliert - ein Dümmster
Anzunehmender User sein."
Die Attacke muss wie gesagt gar nicht ueber E-Mail kommen.
Windows XP bot wie Unix-Derivate bisher genug andere
Moeglichkeiten, in fremde PCs einzudringen.
Eines ist jedenfalls klar: Wenn die Generalbundesanwaeltin
fuer sowas vor dem BGH klagt, dann macht sie das sicher
nicht fuer etwas, was es gar nicht gibt.
Deshalb erstaunt mich sein unzutreffender Artikel schon
ziemlich. Mehr moechte ich dazu an dieser Stelle nicht
schreiben.
> Bei Telepolis erschien gestern ein Artikel von Burkhard Schröder,
> dessen Tenor war, dass Online-Durchsuchungen lediglich eine
> Wunschvorstellung seien, dass es sie nie gegeben hat und auch nie
> geben wird. Es sei ein Hoax und beruhe auf dem "mangelnden
> Sachverstand eines Oberstaatsanwaltes", wie Schröder am 6.2.2007
> schreibt. Nun heißt es aber in vielen anderen Artikeln, wie auch in
> dem vorliegenden, dass Online-Durchsuchungen sehr wohl anvisiert
> werden. Zudem sei der Artikel von Burkhard Schröder misslungen. Ist
> er dies tatsächlich oder wurde einfach nur eine Worthülse in den Raum
> geworfen, die sich nun immer mehr mit Leben füllt und ein Eigenleben
> zu entwickeln beginnt? Und ist genau dies die Absicht, sozusagen den
> Weg zu bereiten für Online-Durchsuchungen?
Man muss die Sache differenziert betrachten. Tatsache ist,
dass die Forderungen der Politik und Ermittler keineswegs
solche nach einem Papiertiger sind. Es geht schon um eine
handfeste, hochproblematische Vorgehensweise, die durchaus
praktikabel ist.
So fuehrte zum Beispiel eine Sicherheitsluecke in der
Secure Shell (sshd - CRC32 Compensation Attack Vulnerability)
ueber viele Monate zu zig Einbruechen in Computer weltweit
alleine weil die Ausnutzbarkeit der Luecke lange Zeit
unbekannt war, sie fuer nicht praktisch ausnutzbar
gehalten wurde und Exploits nur im kriminellen
Untergrund kursierten.
Auf manchen Rechnern eines bestimmten US-Herstellers
konnte man zeitweise sogar durch einfaches Eintippen von
"finger /usr/X11R6/bin/xterm|Ip-Adresse" auf einem
anderen Unix/Linux/BSD-Rechner etc. eine Root-Shell
erhalten. Jeder, der dies wusste, konnte das machen und
so auf einfachste Weise in fremde Rechner komplett
mit allen Rechten des Systemadministrators eindringen.
Das schaffte so jedes 5-jaehrige Kind.
Wieso soll das dann die Polizei dies nicht ausfuehren koennen?
Auf vielen Systemen wurde dieser Fehler nicht einmal gepatcht.
Deshalb erstaunt es schon sehr, dass Burkhard Schroeder
die Meinung vertritt, es handle sich eher um eine Art
von Hoax. Sowas ist -durchgefuehrt durch Hacker und
Kriminelle- schon seit Jahren Realitaet und verursachte
zum Teil schon erhebliche Schaeden.
Realistisch betrachtet gibt es mittlerweile zwar Hindernisse
fuer so ein Vorgehen(Firewalls, Patches etc.) .
Dennoch sollte man die Existenz dieser hochproblematischen
Moeglichkeit nicht leichtfertig in Abrede stellen.
Schliesslich sollte man bedenken, dass Privatleute
ihre Rechner oft nur relativ schlecht absichern und auch
andere Schnittstellen von Rechnern (etwa Funknetzwerke
ohne oder mit unsicherer Verschluesselung) eine
Zugangsmoeglichkeit bieten und fuer die Polizei
sogar ein direkter physikalischer Zugang zum Rechner
verschaffbar waere.
Ich moechte hier nur einmal auf ein paar Punkte des
Artikels eingehen:
Zunaechst zum Artikel des Oberstaatsanwalts in
der Juristischen Fachzeitschrift:
"Der Datenspeicher des Computers eines Verdächtigen
könne untersucht werden, schreibt er, "indem etwa mittels
E-Mail oder auf andere Weise, auf den zu durchsuchenden
Computer "Trojaner" oder "Backdoor"-Programme aufgespielt
werden. Wie es möglich sein könnte, per Mail etwas auf den
Rechner eines Verdächtigen einzuschleusen, wenn der sich weigert,
Attachments von unbekannten oder gar anonymen Absendern
zu öffnen oder wie man einem Linux-Nutzer eine
Spionage-Executable unterjubeln will, verrät Manfred
Hoffmann nicht."
Man muss gar nicht E-Mails mit Trojaner verschicken.
Oft reicht es schon aus, an einen passenden Port
passende TCP/IP-Pakete zu senden. Insofern hat der
Oberstaatsanwalt zutreffend geschrieben "oder auf andere
Weise...". Zwei Beispiele findet man oben und das erste
betraf zufaellig u.a. Linux, das zweite DG-UX (auch ein Unix).
Weiter schreibt er dann als Schlussfolgerung:
"Bei der Online-Untersuchung handelt sich also um eine reine
Wunschvorstellung und mitnichten um eine real existierende Methode."
Das ist schlicht falsch. Alleine nach obigen zwei Methoden
haette man jahrelang zahllose Linux-Systeme und DG-UX-Computer
auf der Welt durchschnueffeln koennen. Und das sind nur zwei
von zahllosen weiteren Sicherheitsluecken.
Dann weiter mit einem Zitat aus Golem und seiner Antwort:
"<Gegen Ermittlungsbeamte, die mit richterlicher Erlaubnis
persönlich einen Trojaner auf dem Rechner installieren,
hilft auch die beste Firewall nicht.>
Das ist erstens technisch gesehen grober Unfug und zweitens
frei erfunden. Diese Beamten gibt es nicht."
Die meisten Trojaner versuchen heutzutage, uebliche Firewalls
auszutricken und ueber technische Details dazu bekam man kuerzlich
sogar auf heise.de einiges zu lesen...
Ich frage mich weiter, woher er wissen will, dass es diese
Beamten nicht gibt.
Dann weiter mit:
"Die Zielperson kann aber auch zu einer Webseite gelockt
werden, von wo aus sich unbemerkt im Hintergrund das
Spionageprogramm installiert." Dass nur unbedarfte
Windows-Nutzer davon betroffen wären und dass dieses
"Verfahren" tatsächlich überhaupt nicht angewendet
worden ist, verschweigt der Artikel."
Leider sind nicht nur Microsoft's Browser von
Sicherheitsluecken betroffen. Davon abgesehen benutzen
>90% aller Internetnutzer den Internet Explorer.
Auch das ist somit kein Gegenargument.
Dann zur Passage:
"Was aber geschieht, wenn der Verdächtige [extern] Truecrypt
nutzt und seine Mails mit [extern] GnuPG verschlüsselt?
Wenn man jemandem etwas "zuspielen" will, geht das nur per E-Mail.
Der Verdächtige muss also das Betriebssystem Windows besitzen,
sich um die Authentizität des Absenders nicht kümmern und sorglos
Attachments öffnen. Er muss - schlicht formuliert - ein Dümmster
Anzunehmender User sein."
Die Attacke muss wie gesagt gar nicht ueber E-Mail kommen.
Windows XP bot wie Unix-Derivate bisher genug andere
Moeglichkeiten, in fremde PCs einzudringen.
Eines ist jedenfalls klar: Wenn die Generalbundesanwaeltin
fuer sowas vor dem BGH klagt, dann macht sie das sicher
nicht fuer etwas, was es gar nicht gibt.
Deshalb erstaunt mich sein unzutreffender Artikel schon
ziemlich. Mehr moechte ich dazu an dieser Stelle nicht
schreiben.