CCC-Trojaner am Flughafen implantiert?
Endlich kommt da mal etwas Licht in die Sache.
Ich bekomme gerade von Kommentatoren Links auf etwa diesen Artikel hier oder diesen, wonach ein Anwalt konkret und namentlich bestätigt, daß es seinen Mandanten betrifft, der die Platte an den CCC gegeben hat und daß der Trojaner am Zoll auf das System gebracht wurde.
Das ist doch endlich mal eine konkrete Aussage.
Umsoweniger verstehe ich, warum man das nicht schon am Wochenende hätte sagen bzw. am Do/Fr mit dem Anwalt hätte klären können. Das ist genau die Art von Nachlässigkeit und Oberflächlichkeit, die ich meine, derentwegen ich die Zuverlässigkeit und Vertrauenswürdigkeit anzweifle. Die Angabe mit der anonymen braunen Tüte ist damit ja wohl auch unwahr. Und der angebliche (spekulierte) Quellenschutz ebenso. Die Analyse des Codes war gute Arbeit. Das mediale Auftreten weniger.
Nunmehr bekommt das alles Gestalt und Plausibilität – und vor allem Nachprüfbarkeit.
Wenn der Zoll hier natürlich Notebooks infiltriert, dann wäre das ein gewaltiger Vertrauensbruch und natürlich – wie ich im vorherigen Blogartikel schon ansprach – mehr Schaden als Nutzen für die Sicherheit.
Das bestätigt übrigens meine Angewohnheit, meine Notebooks niemals aus den Augen zu lassen. Am Flughafen Berlin hatte ich mal drei(!) Notebooks dabei, und sie wollten sie mir alle drei abnehmen um sie nach Sprengstoff zu beschnüffeln, waren aber etwas unwirsch, als ich darauf bestanden habe, dabei zu bleiben. Aber eigentlich eher aus Angst, daß die Dinger unbeaufsichtigt bleiben und geklaut oder beschädigt werden, runterfallen oder sowas.
Und es bestätigt zudem meine Empfehlung, die ich in meiner letzten Firma für Auslandsreisen gegeben habe, nämlich nur mit jungfräulich installierten und datenlosen Notebooks zu reisen, die jederzeit verloren gehen dürfen. Allerdings hatte ich dabei an England und USA gedacht, und auch mehr an Spionage als an Trojaner. Den deutschen Zoll hätte ich in dieser Hinsicht ehrlich gesagt nicht verdächtigt.
Man lernt ja in Security immer noch was dazu.
Man sollte eben nicht nur die Platte verschlüsseln, sondern zusätzlich noch Wert darauf legen, daß Booten von CD und USB abgeschaltet und ein BIOS-Paßwort gesetzt ist, und auf Firewire und Thunderbolt verzichten. Und sich vielleicht leicht entnehmbare Festplatten versiegeln. Oder Siegelaufkleber über die diversen Buchsen machen.
Normalerweise verschließe ich beim Reisen mein Gepäck immer mit Kabelbindern (wovon ich gelernt habe, daß das nicht viel bringt, weil man die modernen Gepäckstücke mit Reißverschlüssen trivial mit einem Kugelschreiber an jeder Reißverschlußstelle aufbekommt). Künftig werde ich mein Gepäck also rundherum versiegeln. Wie ich das genau mache, muß ich mir noch überlegen.
Früher hatte ich immer solche Mini-Schlösser am Gepäck. Jemand fragte mich mal, warum, die könnte man doch trivial aufbrechen. Es ging mir aber nicht darum, das Klauen zu verhindern, sondern daß mir jemand Schmuggelgut, Drogen usw. unterschieben könnte, um mich als Vehikel zu mißbrauchen oder sonst Ärger zu konstruieren. Das dürfte spätestens jetzt auch für IT gelten.
Ich glaube nicht, daß man der „öffentlichen Sicherheit” damit einen Gefallen getan hat.
18 Kommentare (RSS-Feed)
Ich würde auch sagen, dass das mediale Auftreten nicht besonders professionell war. Man kann doch nicht so schnell so viele Informationen raushauen. In einer Zeit in der die Leute noch über die Quelle diskutieren und noch am spekulieren sind (wie in deinen Blog-Posts und den dazugehörigen Kommentaren), kann man doch keine weiteren Informationen rausgeben!
Gute Geschichten brauchen Spannungsbögen! Und so was muss sich über Tage und Wochen entwickeln um in den Medien bleibende Wirkungen zu erzeugen (Ausnahme ist das vielleicht das Sommerloch).
Alle ein, zwei, drei Tage kann man mit neuen Information kommen. In der Zwischenzeit müssen die Leute die Gelegenheit für Spekulationen, Kritik, Forderungen nach Aufklärung, usw. haben. Und wenn die Diskussion gerade am einschlafen ist, dann kommt man mit neuen Informationen um sie wieder anzuheizen.
Ja, klar: Wenn man gleich alle Informationen rausgibt, dann ist man konkret, plausibel und nachvollziehbar. Aber dann hat man das Thema auch an zwei oder drei Tagen durch. Und das würde ja sogar ein Guttenberg, der ja bekanntlich vom Aussitzen keine Ahnung hat, auf der linken Arschbacke absitzen.
Dramaturgisch ist das meiner Meinung nach ganz schlecht gelaufen. Hoffen wir mal dass das Thema nicht schon morgen wieder in der Versenkung verschwindet, sondern sich trotzdem eine aktive Debatte entwickelt.
@Dingens: Da kann man drüber streiten.
Dramaturgisch ist das durchaus sinnvoll, das Ding tröpfelesweise rauszulassen und die Leute zum spekulieren anzuhalten.
Seriös ist es nicht.
Was mich in dem Zusammenang mal interessiert: Ist der Zoll nicht eine Bundesbehoerde? D.h. wenn der Zoll beteiligt war, ist es dann nicht automatische eine Bundes- und nicht “nur” eine Landesangelegenheit, dass so ein Stueck Software auf den Rechner eines Ahnungslosen aufgespielt wird?
Doch, meines Wissens ist er das.
Außer der Bundes- und Landesfrage drängt sich mir die Frage nach der Zuständigkeit auf. Der Zoll darf zwar auch ermitteln und abhören, aber nur in Zoll-Angelegenheiten, beispielsweise Waffen- oder Drogenschmuggel. Wenn die unterstellte Straftat aber keine Zoll-Angelegenheit war, muß da irgendwie noch Amtshilfe dahinterstecken.
Die Straftat war aber wohl auch eine Zollangelegenheit. Es ging um den Verkauf von Betäubungsmittel ins Ausland, wie aus dem Urteil ersichtlich wird. Urteil: ijure.org/wp/wp-content/uploads/2011/01/LG_Landshut_4_Qs_346-101.pdf
Dann wäre aber die Frage, ob das wirklich eine bayerische oder nicht doch eine Bundessache ist mit der Spähsoftware.
Solide Gepäckstücke kann man auch so verschließen, dass sie gegen Manipulationen einigermaßen gesichert sind. Da bieten sich beispielsweise maßgefertigte Flightcases an, oder wenn man es auch noch wasserfest haben möchte, so etwas: http://peli.com/de
Ich hab einen Fotokoffer von Peli.
Nutzt Dir aber nichts, denn verschließen ist nich. Siehe etwa USA. Versiegeln ist nicht verboten.
Naja, der Zoll is wohl dafür zuständig, das illegale Aus- und einführen von waren zu verhindern. Der Strafprozess ging aber ja auch darum, dass der einfach nen Drogendealer war. Das is dann wiederum Aufgabe des LKA Bayern.
Wobei man jetzt ketzerisch die Frage stellen kann, ob man sich da eher für bayerische Politik oder für Drogendealer entscheiden will.
Genauso gefährlich wie Firewire und Thunderbolt ist PCMCIA/ExpressCard. Wenn man an den PCI-Bus des Systems kommt, dan kann man mit entsprechender Spezialhardware auf den Arbeitsspeicher zugreifen und das System beliebig manipulieren.
Ein weiterer möglicher Ansatzpunkt wäre die Installation eines Hardware-Keyloggers. Bei den meisten Notebooks kann man relativ schnell die Tastatur ausbauen und zwischen Mainboard und Tastatur wäre bei den meisten Notebooksgenug Platz für einen kleinen Keylogger. Sobald das Passwort für die Festplattenverschlüsselung im Keylogger ist, kann das Gerät natürlich beschlagnahmt und ausgewertet werden.
Der einzige wirksame Schutz ist wohl eine Festplatenverschlüsselung kombiniert mit einer möglichst vollständigen Versiegelung der gefährlichen Schnittstellen (Firewire, Thunderbolt, PCMCIA, ExpressCard). Wenn z.B. bei einer Kontrolle ein Siegel beschädigt wurde, dann muss man eben die unverschlüsselten Teile (Bootloader, Kernel/Initrd) wiederherstellen.
@Jakob: Stimmt.
Den deutschen Zoll hast Du nicht verdächtigt? Also bitte, wieso das denn nicht? Staat=Verbrecher, Zoll=Teil des Staats. Wenn man die nicht verdächtigt, wen sonst?
Ich würde ein verschlüsseltes Betriebssystem von CD, natürlich mit Bootpasswort, vorschlagen. Dafür wie man den Stick mit den Daten gefahrlos durch den Zoll bringt habe ich allerdings noch keinen Vorschlag. Vielleicht einen leeren Stick, Daten verschlüsselt per mail.
@Gustav: Weil bei mir die Gleichung „Staat=Verbrecher” nicht pauschal gilt.
Und weil ich zwar ein sehr guter, aber kein allwissender und perfekter Security-Spezialist bin. In dem Moment, in dem ich glaube, wirklich alles und jedes zu wissen, nichts mehr dazuzulernen zu müssen und von nichts mehr überrascht zu werden, möge ich ohne Vorwarnung erschossen werden.
Das ist durchaus nicht nur Dramaturgie, sondern vor allem Taktik. Politiker sind ja bekannt dafür, sich im Zweifelsfall mit Lügen oder einem Sündenbock reinzuwaschen. Je mehr man die erst mal im Ungewissen läßt, wieviel bekannt (und belegbar) ist, desto eher hat man eine Chance, sie mit runtergelassenen Hosen zu erwischen. Das mag nicht die feine Tour sein, aber wie man in den Wald hinein ruft, so schallt es hinaus!
Und was die Sache mit den braunen Tüten angeht: der CCC hat wohl mehrere Exemplare des Trojaners. Sonst würde die Aussage keinen Sinn ergeben, daß die alle den gleichen AES-Key verwenden, um nach Hause zu telefonieren. Insofern haben sie möglicherweise auch immer noch Quellen zu schützen.
Denn wenn die Behörden dir erstmal einen Trojaner installiert haben, dann wirst du keinen Wert drauf legen, sie mit der Nase darauf zu stoßen daß du den a) entdeckt und b) demm CCC weitergegeben hast.
Erfreulicherweise reicht es ja, wenn sie bei einer Variante die Herkunft belegen können und die anderen hinreichend ähnlich sind um aus der gleichen Quelle zu stammen.
@Hadmut Gut, der der uns aus der Hand von Entführern befreit mag vielleicht kein, oder zumindest nicht der schlimmste, Verbrecher sein. Aber der Zoll? Bewaffnet am Straßenrand und auf unserem Weg zu Verkehrsmitteln, unsere Reisebewegungen überwachend, neugierig und bereit uns unser Eigentum mit Waffengewalt zu entreißen (was noch die harmlosere Variante ist), vernetzt mit all den anderen Verbrechern und diesen gegenüber stets hilfsbereit, das hat doch nichts mit Allwissenheit zu tun wenn man weiß dass das der Feind ist.
@Jemand Die schönste Lüge, die mich gleichzeitig rasend macht, finde ich “wir sagen das mit aller Offenheit und Transparenz”.
@Gustav: Für so naive Feindbilder mußt Du Dir einen anderen Sandkasten suchen, da bist Du hier falsch.
Es wäre fraglich wieviel ein ATA-Passwort + Festplattenverschlüsselung + TPM bringen könnte.