Bundestrojaner

Systematische Zerstörung der Informationssicherheit

Vorgetragen von René Pfeiffer / @luchsat auf der Privacyweek 2017

Vorab: IANAL

IANAL = I Am Not A Lawyer

Daher: Fokus auf Mathematik und Informatik.

Worum geht es?

  • Aufbrechen von Verschlüsselung
  • „Crypto Wars“
  • Quellen-Telekommunikationsüberwachung
    • = Online-Durchsuchung
    • = „Bundestrojaner“
    • = staatliche Schadsoftware
  • Konsequenzen

Angewandte Kryptographie

Quelle

Kryptographie – Komponenten

  • Algorithmus / Algorithmen
  • Schlüssel
    • nur Geheime oder
    • Paare von Geheimen & Öffentlichen
  • Klartext / Geheimtext

Kryptographie – Komponenten

  • Algorithmus / Algorithmen
  • Schlüssel
    • nur Geheime oder
    • Paare von Geheimen & Öffentlichen
  • Klartext / Geheimtext

Kerckhoffs’ Prinzip

Kryptographie – Grundlegendes

  • Schlüssel möglichst oft wechseln
  • Ende-zu-Ende-Verschlüsselung
    • nur Quelle/Ziel kennen Schlüssel
    • keine Mittelsmenschen
  • Verschlüsselung ≠ Authentisierung

Crypto Wars?

  • 1464 – Schwarze Kammer / Cabinet Noir (Frankreich)
  • 1945+ – Coordinating Committee for Multilateral Export Controls (CoCom)
  • 1975 – Data Encryption Standard (DES)
  • 1991 – Pretty Good Privacy (PGP)
  • 1993 – Clipper Chip, Schlüsselhinterlegung, key escrow (USA)
  • 1994 – GSM A5/1 Streit (NATO)

Crypto Wars? (2)

  • 1995 – Secure Sockets Layer (SSL)
    • 40 Bit Schlüssel (Exportversion)
    • 128 Bit Schlüssel (USA)
  • 1996 – Clipper Chip eingestellt (USA)
  • 2010 – Forderung Hintertür für Internet Crypto (USA)
  • 2014 – Kritik an starker Crypto Smartphones (Comey, USA)
  • 2015 – Forderung Verbot für Crypto ohne Hintertür (UK)

Crypto Wars? (3)

  • 2016 – Investigatory Powers Act 2016 (UK)
    The Act allows the Home Secretary to give secret orders to tech companies to do anything they physically can to facilitate surveillance…
  • 2017 – The goal for governments is to get as much information as possible. (UK)

Einige Internetfirmen kooperieren ohne Transparenz.

Crypto ohne Hintertür

Crypto mit Hintertür

Bundestrojaner

Die Überwachung und Aufzeichnung der Telekommunikation darf auch in der Weise erfolgen, dass mit technischen Mitteln in von dem Betroffenen genutzte informationstechnische Systeme eingegriffen wird, wenn dies notwendig ist, um die Überwachung und Aufzeichnung insbesondere in unverschlüsselter Form zu ermöglichen. Auf dem informationstechnischen System des Betroffenen gespeicherte Inhalte und Umstände der Kommunikation dürfen überwacht und aufgezeichnet werden, wenn sie auch während des laufenden Übertragungsvorgangs im öffentlichen Telekommunikationsnetz in verschlüsselter Form hätten überwacht und aufgezeichnet werden können.

Quelle

Bundestrojaner gibt es schon

  • bestimmte Länder
  • Anbieter am Markt vertreten
    • Blue Coat Systems
    • DigiTask
    • Gamma Group
    • Hacking Team
    • NSO Group…
  • CCC Analyse 0zapft is – LKA Bayern (2011)
  • alle Kriterien von Spyware erfüllt, daher
  • = staatliche Schadsoftware

Beispiel: Finfisher

Auszüge aus den Analysen

  • Screenshots, Screen Videos
  • Hochladen und Ausführen beliebiger Software
  • Hochladen beliebiger Daten
  • Mitlesen der Browser-/Bildschirmaktivität
  • Mikrofon und Kamera des Zielrechners verwendbar
  • Einsatz veralteter Verschlüsselungsverfahren (0zapft is, DigiTask)

Für alle Betriebssysteme verfügbar (laut Hersteller).

Installation eines Bundestrojaners

  • ganz analog zu Schadsoftware
    • freiwillig (Social Engineering)
    • Ausnutzen von Lücken
    • verdeckt (ohne Zielperson)
  • Voraussetzung ist mangelnde Sicherheit
  • offene Punkte bleiben

Handel mit Lücken – 0days

  • 0day – Lücke mit 0 Tagen Vorwarnung
  • letztlich unbekannte Sicherheitslücken
  • Markt vorhanden, rege Nachfrage
    • Cybercrime benötigt 0days
    • Dienste benötigen 0days
    • Bundestrojaner benötigt 0days
  • gute 0days sehr teuer
  • Stuxnet enthielt 4 0days – Wert Millionen USD

0days – Preise

Exkurs: Typische Tor Anwender

Exkurs: Spurenbeseitigung

Während der Durchführung einer Überwachung … ist durch geeignete Protokollierung sicherzustellen, dass jeder Zugang zu dem Computersystem und jede nachträgliche Veränderung daran nachvollzogen werden können. Dazu sind die erforderlichen Sicherungskopien herzustellen und die Ergebnisse der Ermittlungsmaßnahme so zu speichern, dass deren Vorführung in einem allgemein gebräuchlichen Dateiformat möglich ist. Nach der Beendigung einer Überwachung … ist dafür zu sorgen, dass Vorrichtungen, die der Überwachung dienten, entfernt oder diese funktionsunfähig werden…

Quelle: Bundesgesetz, mit dem die Strafprozessordnung 1975 und das Staatsanwaltschaftsgesetz geändert werden

Antivirus-Software?

Antivirus-Software darf keine Ausnahmen machen!

Konsequenzen

  • keine sichere Kommunikation mehr möglich
    • betrifft e-Commerce
    • betrifft Behörden(portale)
    • betrifft Bürger
  • keine sicheren Systeme mehr möglich
    • Mißbrauch der Bundestrojaner möglich
    • keine nationale Sicherheit mehr
  • „WannaCry“ Schadsoftware (2017)
    Schwachstelle der NSA seit 5 Jahren bekannt

Fehlende Grundlage

  • Forderungen liegen keine Argumente zugrunde
  • bisherige Attentäter waren
    • den Behörden meist bekannt oder
    • verwendeten keine starke Verschlüsselung
  • Maßnahmen erzeugen mehr Daten,
    • die nicht bearbeitet werden (Personalmangel) und
    • extrem sensitiv sind – Schutz nicht möglich
  • „Going Dark“ ist ein Mythos (siehe Snowden Files)

Zusammenfassung

  • Internet ist kein rechtsfreier Raum
  • IT ist kein rechtsfreier Raum
  • Schadsoftware ist nicht rechtssicher
    • Funktionsumfang kann sich ändern
    • Integritätsschutz fehlt in Gesetzesvorschlägen
  • Personal und Skills statt Schadsoftware!
  • Wer Crypto aufbricht und Schadsoftware gesetzlich verankert, der hat kein Interesse an Sicherheit.

Fragen?

Über die Crowes Agency OG

Die Crowes Agency OG ist eine Gruppe von Experten aus verschiedenen Feldern. Wir bieten unsere Erfahrungen im Rahmen von großen und kleinen Projekten an. Der Fokus liegt auf den Gebieten Grafikdesign, Software-Entwicklung, öffentlichen Erscheinungen (wie beispielsweise Webseiten und Kommunikation mit der „Außenwelt“), Systemadministration, IT Sicherheit und Unternehmensberatung. Die Crowes Agency stellt aus ihrem Pool von Mitarbeitern Teams für die Lösung von Kundenproblemen zusammen.

Über die DeepSec

Die DeepSec GmbH veranstaltet seit 2007 jährlich im November die DeepSec In-Depth Security Conference in Wien. Die DeepSec bringt als neutrale Plattform die Sicherheitsexperten aus allen Bereichen zum Gedanken- und Erfahrungsaustausch zusammen. Dort erhalten IT- und Security-Unternehmen, Anwender, Behördenvertreter, Forscher und die Hacker-Community in über 42 Vorträgen und Workshops die Chance, sich über die aktuellen und zukünftigen Sicherheitsthemen auszutauschen. Die Konferenz möchte insbesondere dem verbreiteten Vorurteil entgegen wirken, dass Hacker zwangsläufig Kriminelle sind.

Über den Autor

René Pfeiffer ist selbstständiger Systemadministrator und Vortragender an der Fachhochschule Technikum Wien im Bereich Computer- und Datensicherheit. Mit über 15 Jahren Berufs- und 30 Jahren Computererfahrung sowie einem akademischen Hintergrund in theoretischer Physik verbindet er in Schulungen und Projekten erfolgreich Theorie und Praxis.

Seine Themenschwerpunkte liegen im Bereich IT Administration, Aufbau sicherer Infrastrukturen (Host-/Netzwerkbereich), sichere Kommunikation in Organisationen und Infrastruktur (VPN Technologien, Nachrichtensysteme), Wireless Security, technische Dokumentation, Betreuung von Forschungsarbeiten in der IT Security, technischem Auditing und Evaluierung von Software.

Herr Pfeiffer hält seit 2000 jährlich Fachvorträge und Schulungen auf Tagungen und Seminaren (Institute for International Research (I.I.R.), Business Circle, Confare, Linuxwochen Österreich, SAE Institute Wien, DeepSec In-Depth Security Conference, Bundesverband Sicherheitspolitik an Hochschulen, Kundenveranstaltungen).

Bildquellen / Artikel


Die Quellen sind zusätzlich oder teilweise statt in dieser Liste an den Bildern selbst angebracht.

Kontaktmöglichkeiten

  • E-Mail: rene@crowes.eu / pfeiffer@luchs.at
  • PGP/GPG: 0x28CAC51F8C413583
  • PGP/GPG: 0x8531093E6E4037AF
  • Mobil: +43.676.5626390 (Signal verfügbar)
  • Threema: 4WFYBWCJ