Bundestrojaner
Systematische Zerstörung der Informationssicherheit
Vorgetragen von René Pfeiffer / @luchsat auf der Privacyweek 2017
Vorab: IANAL
IANAL = I Am Not A Lawyer
…
Daher: Fokus auf Mathematik und Informatik.
Worum geht es?
- Aufbrechen von Verschlüsselung
- „Crypto Wars“
- Quellen-Telekommunikationsüberwachung
- = Online-Durchsuchung
- = „Bundestrojaner“
- = staatliche Schadsoftware
- Konsequenzen
Angewandte Kryptographie
Kryptographie – Komponenten
- Algorithmus / Algorithmen
- Schlüssel
- nur Geheime oder
- Paare von Geheimen & Öffentlichen
- Klartext / Geheimtext
Kryptographie – Komponenten
- Algorithmus / Algorithmen
- Schlüssel
- nur Geheime oder
- Paare von Geheimen & Öffentlichen
- Klartext / Geheimtext
Kryptographie – Grundlegendes
- Schlüssel möglichst oft wechseln
- je länger verwendet, desto angreifbarer
- idealerweise ständig wechseln
- umgesetzt in Perfect Forward Secrecy (PFS)
- Ende-zu-Ende-Verschlüsselung
- nur Quelle/Ziel kennen Schlüssel
- keine Mittelsmenschen
- Verschlüsselung ≠ Authentisierung
Crypto Wars?
- 1464 – Schwarze Kammer / Cabinet Noir (Frankreich)
- 1945+ – Coordinating Committee for Multilateral Export Controls (CoCom)
- 1975 – Data Encryption Standard (DES)
- 1991 – Pretty Good Privacy (PGP)
- 1993 – Clipper Chip, Schlüsselhinterlegung, key escrow (USA)
- 1994 – GSM A5/1 Streit (NATO)
Crypto Wars? (2)
- 1995 – Secure Sockets Layer (SSL)
- 40 Bit Schlüssel (Exportversion)
- 128 Bit Schlüssel (USA)
- 1996 – Clipper Chip eingestellt (USA)
- 2010 – Forderung Hintertür für Internet Crypto (USA)
- 2014 – Kritik an starker Crypto Smartphones (Comey, USA)
- 2015 – Forderung Verbot für Crypto ohne Hintertür (UK)
Crypto Wars? (3)
- 2016 – Investigatory Powers Act 2016 (UK)
The Act allows the Home Secretary to give secret orders to tech companies to do anything they physically can to facilitate surveillance… - 2017 – The goal for governments is to get as much information as possible. (UK)
- …
Einige Internetfirmen kooperieren ohne Transparenz.
Crypto ohne Hintertür
.jpg)
Crypto mit Hintertür
_Red.jpg)
Bundestrojaner
Die Überwachung und Aufzeichnung der Telekommunikation darf auch in der Weise erfolgen, dass mit technischen Mitteln in von dem Betroffenen genutzte informationstechnische Systeme eingegriffen wird, wenn dies notwendig ist, um die Überwachung und Aufzeichnung insbesondere in unverschlüsselter Form zu ermöglichen. Auf dem informationstechnischen System des Betroffenen gespeicherte Inhalte und Umstände der Kommunikation dürfen überwacht und aufgezeichnet werden, wenn sie auch während des laufenden Übertragungsvorgangs im öffentlichen Telekommunikationsnetz in verschlüsselter Form hätten überwacht und aufgezeichnet werden können.
Bundestrojaner gibt es schon
- bestimmte Länder
- Anbieter am Markt vertreten
- Blue Coat Systems
- DigiTask
- Gamma Group
- Hacking Team
- NSO Group…
- CCC Analyse 0zapft is – LKA Bayern (2011)
- alle Kriterien von Spyware erfüllt, daher
- = staatliche Schadsoftware
Beispiel: Finfisher
Auszüge aus den Analysen
- Screenshots, Screen Videos
- Hochladen und Ausführen beliebiger Software
- Hochladen beliebiger Daten
- Mitlesen der Browser-/Bildschirmaktivität
- Mikrofon und Kamera des Zielrechners verwendbar
- Einsatz veralteter Verschlüsselungsverfahren (0zapft is, DigiTask)
Für alle Betriebssysteme verfügbar (laut Hersteller).
Installation eines Bundestrojaners
- ganz analog zu Schadsoftware
- freiwillig (Social Engineering)
- Ausnutzen von Lücken
- verdeckt (ohne Zielperson)
- Voraussetzung ist mangelnde Sicherheit
- offene Punkte bleiben
Handel mit Lücken – 0days
- 0day – Lücke mit 0 Tagen Vorwarnung
- letztlich unbekannte Sicherheitslücken
- Markt vorhanden, rege Nachfrage
- Cybercrime benötigt 0days
- Dienste benötigen 0days
- Bundestrojaner benötigt 0days
- gute 0days sehr teuer
- Stuxnet enthielt 4 0days – Wert Millionen USD
0days – Preise
Exkurs: Typische Tor Anwender
Exkurs: Spurenbeseitigung
Während der Durchführung einer Überwachung … ist durch geeignete Protokollierung sicherzustellen, dass jeder Zugang zu dem Computersystem und jede nachträgliche Veränderung daran nachvollzogen werden können. Dazu sind die erforderlichen Sicherungskopien herzustellen und die Ergebnisse der Ermittlungsmaßnahme so zu speichern, dass deren Vorführung in einem allgemein gebräuchlichen Dateiformat möglich ist. Nach der Beendigung einer Überwachung … ist dafür zu sorgen, dass Vorrichtungen, die der Überwachung dienten, entfernt oder diese funktionsunfähig werden…
Quelle: Bundesgesetz, mit dem die Strafprozessordnung 1975 und das Staatsanwaltschaftsgesetz geändert werden
Antivirus-Software?
Antivirus-Software darf keine Ausnahmen machen!
Konsequenzen
- keine sichere Kommunikation mehr möglich
- betrifft e-Commerce
- betrifft Behörden(portale)
- betrifft Bürger
- keine sicheren Systeme mehr möglich
- Mißbrauch der Bundestrojaner möglich
- keine nationale Sicherheit mehr
- „WannaCry“ Schadsoftware (2017)
Schwachstelle der NSA seit 5 Jahren bekannt
Fehlende Grundlage
- Forderungen liegen keine Argumente zugrunde
- bisherige Attentäter waren
- den Behörden meist bekannt oder
- verwendeten keine starke Verschlüsselung
- Maßnahmen erzeugen mehr Daten,
- die nicht bearbeitet werden (Personalmangel) und
- extrem sensitiv sind – Schutz nicht möglich
- „Going Dark“ ist ein Mythos (siehe Snowden Files)
Zusammenfassung
- Internet ist kein rechtsfreier Raum
- IT ist kein rechtsfreier Raum
- Schadsoftware ist nicht rechtssicher
- Funktionsumfang kann sich ändern
- Integritätsschutz fehlt in Gesetzesvorschlägen
- Personal und Skills statt Schadsoftware!
- Wer Crypto aufbricht und Schadsoftware gesetzlich verankert, der hat kein Interesse an Sicherheit.
Fragen?
Über die Crowes Agency OG
Die Crowes Agency OG ist eine Gruppe von Experten aus verschiedenen Feldern. Wir bieten unsere Erfahrungen im Rahmen von großen und kleinen Projekten an. Der Fokus liegt auf den Gebieten Grafikdesign, Software-Entwicklung, öffentlichen Erscheinungen (wie beispielsweise Webseiten und Kommunikation mit der „Außenwelt“), Systemadministration, IT Sicherheit und Unternehmensberatung. Die Crowes Agency stellt aus ihrem Pool von Mitarbeitern Teams für die Lösung von Kundenproblemen zusammen.
Über die DeepSec
Die DeepSec GmbH veranstaltet seit 2007 jährlich im November die DeepSec In-Depth Security Conference in Wien. Die DeepSec bringt als neutrale Plattform die Sicherheitsexperten aus allen Bereichen zum Gedanken- und Erfahrungsaustausch zusammen. Dort erhalten IT- und Security-Unternehmen, Anwender, Behördenvertreter, Forscher und die Hacker-Community in über 42 Vorträgen und Workshops die Chance, sich über die aktuellen und zukünftigen Sicherheitsthemen auszutauschen. Die Konferenz möchte insbesondere dem verbreiteten Vorurteil entgegen wirken, dass Hacker zwangsläufig Kriminelle sind.
Über den Autor
René Pfeiffer ist selbstständiger Systemadministrator und Vortragender an der Fachhochschule Technikum Wien im Bereich Computer- und Datensicherheit. Mit über 15 Jahren Berufs- und 30 Jahren Computererfahrung sowie einem akademischen Hintergrund in theoretischer Physik verbindet er in Schulungen und Projekten erfolgreich Theorie und Praxis.
Seine Themenschwerpunkte liegen im Bereich IT Administration, Aufbau sicherer Infrastrukturen (Host-/Netzwerkbereich), sichere Kommunikation in Organisationen und Infrastruktur (VPN Technologien, Nachrichtensysteme), Wireless Security, technische Dokumentation, Betreuung von Forschungsarbeiten in der IT Security, technischem Auditing und Evaluierung von Software.
Herr Pfeiffer hält seit 2000 jährlich Fachvorträge und Schulungen auf Tagungen und Seminaren (Institute for International Research (I.I.R.), Business Circle, Confare, Linuxwochen Österreich, SAE Institute Wien, DeepSec In-Depth Security Conference, Bundesverband Sicherheitspolitik an Hochschulen, Kundenveranstaltungen).
Bildquellen / Artikel
Die Quellen sind zusätzlich oder teilweise statt in dieser Liste an den Bildern selbst angebracht.