Visit Citebite Deep link provided by Citebite
Close this shade
Source:  http://www.andreas.org/blog/?p=307

2007-02-07

Der Bundestrojaner und die Online-Durchsuchung

Filed under: Politik&Gesellschaft, Schäuble-Watch — andreas @ 12:02:01

Kaum hat das BGH seine Meinung zur Online-Durchsuchung geäußert, schon schlagen die Wellen hoch. In NRW hält man die Strafprozeßordnung für nicht relevant für die Arbeit des Verfassungsschutzes, und unser aller Lieblings-Demokratie-Abschaffer Schäuble meint, wenn dem BGH die rechtlichen Grundlagen für eine Online-Durchsuchung fehlen, dann müsse man die halt schaffen.

Erfreulicherweise wird das Thema in der Öffentlichkeit wahrgenommen, und sowohl in der FAZ wie auch bei SpOn werden unsere Argumente wohl gehört. Eher verwunderlich hingegen ist die bei Heise zur Schau gestellte Skepsis, was die technische Machbarkeit einer solchen Online-Durchsuchung angeht. Gut, von Burkhart Schröder sind wir ja Desinformation gewöhnt, aber daß auch Jürgen Kuri da die technische Phantasie fehlt, ist schon eher ungewöhnlich.

Um die Sache mal ein bißchen in den Kontext zu rücken, möchte ich von zwei Job-Angeboten berichten, die mich in den vergangenen Monaten erreicht haben. Zum einen hat das BSI angefragt, ob ich nicht eine Schulung zum Thema “wie schreibe ich einen buffer overflow exploit” für Vertreter diverser Behörden und Organisationen mit Sicherheitsaufgaben halten könne. Zum anderen bekam mich eine Anfrage, doch ein Angebot zur Entwicklung einer transparent bridge abzugeben, die einen Download eines ausführbaren Programms erkennt und dieses on-the-fly mit einem Trojaner versieht.

Die Herren technischen Skeptiker mögen eins und eins zusammenzählen. Ich befinde mich in der glücklichen Situation, einen Lisp-Coder-Job zu haben, der es mir erlaubt, derartige Angebote dankend abzulehnen. Der nächste Hacker hat da vielleicht weniger Skrupel oder mehr wirtschaftlichen Druck.

4 Comments »

  1. Ja, das ist auch der einfachste Weg. Man stelle sich die Beamten vor, die Rechner nmapen, nach Exploits googlen. Dann werden die Logfiles mit wirren Nachrichten ala “User fooAAAAAAAAAAAAAAAAAAAAA… konnte sich nicht anmelden” vollgekotzt, die Personal Firewall poppt staendig auf. Das geht doch nicht. Dann sitzt der User hinter NAT usw. Fuer die Beamten waere da viel mehr Wissen und Erfahrung notwendig. Jeder Hack bedarf einer praezisen Vorbereitung. Das ist viel zu teuer.

    Dagegen ist das automatische Einschleusen von Trojaner einfach. Jeder laedt mal irgendwann ausfuehrbaren Code herunter. Und sei es Winzip oder die Cygwin-Tools, um mit FensterOS klarzukommen. Und dann auf Knopfdruck den Trojaner injizieren. Das Einschleusen und Ausfuehren von Code ist dann ersteinmal reproduzierbar.

    Ferner kann man das Konzept auch weiterdenken. Warum nicht ZIP-Dateien ersetzen? Warum sich nicht in ein CVS-Checkout reinhaengen? Oder einfach ein anderes ISO zurueckgeben, wenn auf der Leitung das neue FreeBSD.iso vorbeikommt? Wer prueft schon Hashwerte?

    Dennoch bleiben viele weitere Fragen offen.

    Comment by Foo — 2007-02-07 @ 17:02:20

  2. […] Und noch eine letzte Anregung zum Themenkomplex Online-Durchsuchung: Vielleicht haben die Medien auch das eine oder andere falsch verstanden. Ich habe mich wie heute Kollege Knüwer vom Handelsblatt auch schon oft genug gefragt: Online-Durchsuchung, wie soll das eigentlich funktionieren? In den Kommentaren zu seinem heutigen Blog-Eintrag wurden dazu einige interessante Informationen und Links zusammengetragen. Doch auf der anderen Seite… […]

    Pingback by Bernhard Jodeleit Blog » Blog Archive » 99,9 Prozent Sicherheit für uns alle — 2007-02-07 @ 20:02:40

  3. […] Andreas, ein “open source hacker, cryptography and dynamic programming languages expert”, hat offenbar in den vergangenen Monaten eindeutige Jobangebote erhalten und berichtet darüber in seinem Blog: […]

    Pingback by Bundestrojaner, Medienrauschen, das Medienweblog — 2007-02-08 @ 11:02:49

  4. […] Im Rahmen der Debatte um die sogenannten “Bundestrojaner” wird aktuell viel diskutiert und geschrieben. Zuletzt erzeugte ein opensource-Hacker Aufmerksamkeit, indem er auf seinem Blog von zwei Jobangeboten sprach, die er vom Bundesamt für Sicherheit in der Informationstechnik (BSI) erhalten hat. In diesen sollte er, wie er selbst schreibt, den BSI-Beamten behilflich sein etwaige Trojaner zu programmieren.  Ein Ausbildungslager für Daten-Späher aufbauen, sozusagen. Interessant ist nun, dass das BSI in seiner aktuellen Pressemitteilung auf die Gefahren von steigenden Online-Bedrohungen hinweisen möchte, um auch im Rahmen des Internationalen Safer Internet Days die Bürger Deutschlands aufklären will. Die Internetnutzer sollen sich “vor immer raffinierteren Tricks der Cyberkriminellen […] schützen”. Und auch im Informationsportal www.bsi-fuer-buerger.de wird in einem Artikel auf die Bedrohungen, die von “Viren und anderen Tieren” ausgehen, hingewiesen. Das BSI erklärt so den letzten Technik-Laien die Risiken der Digitalen Welt. Und das stimmt. Das BSI warnt uns Internetuser, Technik-Laien, ja gar alle Bürger vor dem BSI selbst. Es ruft sogar öffentlich dazu auf, sich vor Datendiebstahl, der von Trojaner ausgeht, zu schützen, sich  zur Wehr zu setzen. In letzter Instanz müssen wir uns als vor Herrn Schäuble und seinen Mannen aus dem BSI zur Wehr setzen. Los… schwenkt die Fahnen. […]

    Pingback by urbandesire » BSI erkennt sich schon selbst als gefährlich an — 2007-02-08 @ 13:02:16

RSS feed for comments on this post. TrackBack URI

Leave a comment

Powered by WordPress