Staatstrojaner & Co... Was kann die Spähsoftware und wie kann man sich schützen?

B

Bergbesteiger

Aktives Mitglied
Thread Starter
Dabei seit
06.10.2012
Beiträge
583
Reaktionspunkte
84
Wenn man aktuell Artikel über neue, staatlich eingesetzte Spähsoftware liest, könnte man den Eindruck gewinnen: die können mittlerweile alles, immer und wann sie wollen.

So heißt es in einem Artikel der Süddeutschen über 'Finfisher':

"Zuerst wählt der Nutzer das Betriebssystem aus, das er angreifen will: ein iPhone von Apple, ein Handy mit Googles Betriebssystem Android oder einen PC mit Windows oder dem kostenlosen System Linux? Der Ermittler kann eingeben, über wie viele Server in verschiedenen Ländern der Trojaner Haken schlägt, bis auch technisch versierte Opfer nicht mehr nachvollziehen können, wer sie da eigentlich überwacht.

(...)

Dann darf der Ermittler auswählen, wie fies der Trojaner werden soll, was er können darf: das Mikrofon als Wanze benutzen. Gespeicherte Dateien sichten und sichern, wenn sie gelöscht oder geändert werden. Mitlesen, welche Buchstaben der Nutzer auf der Tastatur drückt. Den Bildschirm abfilmen. Skype-Telefonate mitschneiden. Die Kamera des Rechners anschalten und sehen, wo das Gerät steht. Handys über die GPS-Ortungsfunktion zum Peilsender machen. Finspy präsentiert die überwachten Geräte als Liste. Flaggen zeigen, in welchem Land sich das Ziel befindet."
(Quelle: http://www.sueddeutsche.de/digital/finfisher-entwickler-gamma-spam-vom-staat-1.1595253)

Auch das Bundeskriminalamt scheint bereits auf den Zug aufgesprungen zu sein...
https://netzpolitik.org/2013/geheim...ten-staatstrojaner-finfisherfinspy-von-gamma/

Die Frage ist jetzt nur: Was kann diese Software effektiv? Braucht es wie bei den vom CCC analysierten, mittlerweile förmlich veralteten Varianten noch den physischen Zugriff zum Computer, um die Installation vorzunehmen? Kriegen Anwender überhaupt noch was davon mit, wenn ihnen die Spionage-Software aufgespielt bzw. betrieben wird? Können Anwender sich schützen, den Einbruch und die Verwendung feststellen und im Zweifelsfall Gegenmaßnahmen ergreifen?
 
  • Gefällt mir
Reaktionen: Amiga, Harrak, Jock-l und 4 andere
Es ist wirklich interessant: Ich habe letzte Woche einige Leute, die sich in Sachen 'Internetsicherheit' sonst weit aus dem Fenster lehnen, mal angeschrieben und um ein Statement gebeten. So ein Forenbeitrag wäre ja auch erst einmal sehr unverfänglich. Reaktionen: Gar keine oder sehr zurückhaltende. Also: es bestehen immens große Unsicherheiten darüber, was derzeit effektiv möglich ist! Die aufrichtigste Reaktion kam noch von einem Anwalt, der diesen Umstand auch einräumte, aber auch anklingen ließ, dass wir uns seiner Meinung nach auf einem sehr schlechten Weg als 'freie Demokratie' befinden, die immer abhängiger vom Informations- und Komunikationsmedium Internet wird... und absehbar wohl bereits mehr möglich ist, als wir wahrhaben wollen. Er hat bereits Ausspäherfahrung hinnehmen müssen und hat mittlerweile selbst seine Webcam abgeklebt, nachdem er als Anwalt einen Mandanten zu vertreten hatte, wo Ermittlungsbehörden z.B. mit Skype-Protokollen auftauchten... und auch Webcamfotos u.a. zu dem Potential der ehemals 'Staatstrojaner' genannten Software gehörte, die vom CCC analysiert worden ist.

Auch RA Udo Vetter bestätigt das...
https://netzpolitik.org/2010/abhoren-mit-skype/

Jetzt frag ich mich dann aber gleich, wie kann da einer, wie z.B. MacMark, auf den ja gerne hinsichtlich sicherheitstechnischer Fragen verlinkt wird, noch Skype empfehlen?
http://www.macmark.de/blog/osx_blog_2012-07-a.php?PHPSESSID=6d8995590930111faa0b7b24b3c2b89a

Seine Empfehlung ist geradezu blauäugig und tendiert inhaltlich dahin: Na ja, ist halt eine umfangreiche, bequeme Software...

Aber auch sicher? Wohl bei weitem nicht! Warum dann nicht seriös Alternativen aufzeigen und sich womöglich auch als Entwickler bei entsprechenden Projekten einbringen? Statt dessen eine unsichere, äußerst bedenkliche Empfehlung?

Bruce Schneier ist ein durchaus beachtenswerter Sicherheitsexperte. Ehemals für das US-Verteidigungsministerium tätig, beschäftigt er sich heute u.a. mit den Themen Kryptographie wie allgemeiner Computersicherheit und die Rückwirkung auf die Anwender...

Auf CNN hat er jetzt zusammengefasst, was das Internet für ihn mittlerweile ausmacht: es ist ein Überwachungsinstrument, das von Staatsorganen in enger Verschränkung mit Unternehmen genutzt wird.
http://edition.cnn.com/2013/03/16/opinion/schneier-internet-surveillance/?hpt=hp_bn7
http://www.gulli.com/news/21038-bruce-schneier-das-internet-ist-ein-ueberwachungsstaat-2013-03-17

Für viele Leute mag das keine Neuigkeit sein. Aber vielleicht ist es ja ein neuer Anreiz, sich als Aktivist im CCC oder sonstwo zu engagieren...

Bleiben die Eingangsfragen: Was kann derzeitige Spähsoftware wirklich ... und wie kann man sich schützen...
 
  • Gefällt mir
Reaktionen: 84ck80n3, Amiga, YoungApple und 2 andere
Wenn einer an deine Daten ran kommen will, dann kann er das auch. Fraglich ist nur, was nützen ihm deine Daten?
Jedes System lässt sich "hacken"!
Dass ein Stattstrojaner flächendeckend eingesetzt wird, halte ich für fraglich. Es wird sicher versucht mit gängigen Schadprogrammen Zugang zu dem auszuspähenden Rechner zu erhalten.
Ist dieser auch nur einigermassen "geschützt" dürfte das nicht gelingen.
Sollte es einen Staatstrojaner für den Mac geben, wäre das mit Sicherheit schon aufgeflogen.
Erinnert ein bisschen an die üblichen Verschwörungstheorien. Ein solchen Ding wäre nicht geheim zu halten (siehe Stuxnet und co.)
Ein gezielter Angriff auf einen Zielrechner wäre möglich, doch ob sich der Aufwand lohnt??
"Backdoors" in allgemein zugänglichen Software ist auch möglich. Die Frage ist halt immer, wie interessant bist Du für einen Angreifer.
Es wird wohl niemanden interessieren was Du mit deiner Freundin oder Freund über Skype beredest, es sei denn du bestellst Literweise Ammoniak und co.
Eine Überwachung der Bevölkerung war doch schon in DDR-Zeiten und davor möglich, warum denn jetzt nicht?
 
  • Gefällt mir
Reaktionen: PiaggioX8
JohnnyChicago schrieb:
Wenn einer an deine Daten ran kommen will, dann kann er das auch. Fraglich ist nur, was nützen ihm deine Daten?
....

Die Frage ist halt immer, wie interessant bist Du für einen Angreifer.
Es wird wohl niemanden interessieren was Du mit deiner Freundin oder Freund über Skype beredest, es sei denn du bestellst Literweise Ammoniak und co.
........
Zum Vergrößern anklicken....


Soweit so gut. Natürlich hat nicht jeder 3 Spitzel im Nacken wozu auch.
Letztlich ging es in den verlinkten Artikeln aber auch um die Problematik der Datenarchivierung, der Rückverfolgbarkeit sämtlicher besuchten oder genutzten Inhalte des Webs.

Keiner weiss was in Zukunft davon noch verwendet werden könnte und in welcher Form.

Natürlich kann man berechtigterweise sagen, " mir doch egal, welche Porn0seiten ich bevorzuge, sollen ses doch wissen " was solls. auch gut.


Aber hier mal ein anderes Szenario, nat. etwas zugespitzt konstruiert:

- Du besuchts Seiten mit Infos über gewisse Krankheiten, meldest Dich anonym in einem Forum über koronare Herzkrankheiten an und ein Post von Dir lautet:
" 2007 hatt ich einen leichten Herzinfarkt und heute leide ich plötzlich unter... wer kann da was empfehlen..? "
- Du besuchst regelmässig Seiten bez. Alkoholismus und Ratgeber für Suchtentwöhnung oder Ähnl. wie Angstthematiken
- Du suchst Hilfe bei einer online Schuldnerberatung...

Diese Deine Aktivitäten sind nun protokolliert, theoretisch zurückverfolgbar aber heute noch ohne Zusammenhang, Zweck oder Konsequenz.

Was kann aber in 15 Jahren sein ?

Du möchtest dann.. sagen wir einen grösseren Kredit mit längerer Laufzeit und bekommst keinen wegen erhöhter Risikogruppe.
Und wunderst dich warum ausgerechnet Du keinen bekommst.

Ich halte derartige zukünftige Verwendung von zahllos gesammelten Daten um ein Persönlichkeitsprofil zu erstellen für durchaus denkbar
und plötzlich ergibt sich aus den Daten ein " sinnvolles " Profil für Dritte.

Und ohne zu Verschwörungstheorien zu neigen, warum sollte dieses Szenario nicht genau so stattfinden können ?
 
  • Gefällt mir
Reaktionen: 84ck80n3, Watz63 und L with
... ich halte das Szenario nicht nur für plausibel, sondern gehe davon aus, daß man bereits solche Verknüpfungen/Sammlungen anlegt/nutzt etc.
Zu sagen, daß es nicht erlaubt sei, halte ich für leeres Geschwätz. Man sitzt nicht mehr in den Startlöchern sondern ist mitten im Lauf.
 
  • Gefällt mir
Reaktionen: 84ck80n3
erikvomland schrieb:
Ich halte derartige zukünftige Verwendung von zahllos gesammelten Daten um ein Persönlichkeitsprofil zu erstellen für durchaus denkbar
und plötzlich ergibt sich aus den Daten ein " sinnvolles " Profil für Dritte. Und ohne zu Verschwörungstheorien zu neigen, warum sollte dieses Szenario nicht genau so stattfinden können ?
Zum Vergrößern anklicken....

Sofern solche Profile irgendwie automatisierbar sind, werden sie auch hergeleitet. Facebook ist hier ein idealer Kandidat, aber auch Shoppingdienste wie amazon können ihre Kunden schon sehr gut katalogisieren. Anders sieht es mit der Trojanersache aus. Es ist dort bisher immer noch eine manuelle Auswertung nötig; nicht zuletzt dürfen (in Deutschland) auch bei Abhörmaßnahmen die Grenzen des Intimbereichs nicht überschritten werden (wobei man das technisch kaum trennen kann, daher die manuelle Sortierung). Daraus kann man schließen, dass eine flächendeckende Überwachung allein schon an der erforderlichen Zahl der Überwacher scheitern wird.

Es bleibt trotzdem die Aufgabe der Gesellschaft, Überwachung wie die oben geschilderte eben nur bei schweren Straftaten und auch dann nur nach Genehmigung eines Richters. Mit Entsetzen liest man dann solche Aussagen, hier zum Thema Bestandsdatenschutz:
Ernst Wirth vom bayerischen Landeskriminalamt (...) lobte, dass der Entwurf nicht mit “Formvorschriften” überfrachtet sei – ein Richtervorbehalt würde die Ermittler immer nur “viel Zeit kosten”.
Zum Vergrößern anklicken....
Wer solche Staatsbeamte hat, braucht keine Feinde mehr.
 
Wie gesagt halte ich eine sozusagen Echtzeitüberwachung Aller auf Verdacht und die Megaauswertung nicht für das Problem sondern eher die
konkrete Nachfrage bei Einzelfällen ala " Was finden wir den da so gesammeltes bei diesem Rechner/Anschluss..? "

Siehe Tracking..ich kenn mich da aber nicht aus wie sich das technisch verhält. Ich hab mir mal noscript für FF installiert, keine Ahnung obs wirklich hilft.

Wobei die grössten Dummheiten noch immer woanders passieren:

Meine Nachbarin teilte mir neulich mit, dass die Tochter einer Freundin von Ihr es tatsächlich geschafft hat eine 75.000 Euro Überweisung
( Altersvorsorge-umschichtung) mit dem Handy zu tätigen, die dann offenbar abgefangen wurde und nie ankam. Geld scheints futsch.
Mir kam dann allerdings der Gedanke, dass womöglich auch die Tochter selbst betrogen haben könnte...aber sowas..?
 
erikvomland schrieb:
die Tochter einer Freundin von Ihr (...) eine 75.000 Euro Überweisung
Zum Vergrößern anklicken....

Das klingt nun ein bisschen nach "Urban Legend". Gewöhnlich gibt es da ja Limits bei Überweisungen, und Umschichtungen innerhalb eines Depots erfordern keine kompletten Transaktionen. Aber wie auch immer - das größte Risiko für den Rechner sind nicht die ausnutzbaren Schwachstellen, sondern die Leute, die nicht auf Warnungen hören, sondern gleich jedes Attachment und jeden Link anklicken. Da hast du völlig recht.
 
JeanLuc7 schrieb:
Das klingt nun ein bisschen nach "Urban Legend".
Zum Vergrößern anklicken....

Ich fand die Story auch strange, aber die Nachbarin ist über jeden Zweifel erhaben..Womöglich hat die Tochter da was gedreht..:eek:
oder die Mutter hat ein Faible für Münchhausen ...

Faktisch ist die Welt bez. der Komplexität des Netzes aber leider voller Laien und ich bin einer davon.

Hatte auch mal Ghostery installiert bis ich bei Chip-online gelesen hatte das Gh. auch nicht so vertrauenswürdig sein soll und sogar selbst gesammelte Daten weitergibt..:mad:
 
Der Artikel ist aber auch ein bisschen dramatisch geschrieben ...

Wer bisschen Ahnung mitbringt, dem passiert so leicht nix. Der Bundestrojaner wurden ja zB per Hand aufgespielt, also schön Laptop Passwort einrichten, wenn man am Flughafen ist (AES am besten)

Und ja, Skype wird abgehört!! Die Gespräche laufen auch über Fremde Server. Am besten per p2p-Technik telefonieren http://go.estos.de/ und verschlüsselt ist es auch noch.. yeey ^^

Statt Google Startpage.com

Und für das Seiten übergreifende Tracking AdBlock verwenden (nicht vergessen selbst facebook usw in die Filterliste einzutagen, wegen den Like Buttons.. das ganze sieht dann so aus
facebook.com/*$domain=~facebook.com
facebook.net/*$domain=~facebook.net

apis.google.com/*$domain=~apis.google.com
plusone.google.com/*$domain=~plusone.google.com
google-analytics.com
doubleclick.net

twitter.com/*$domain=~twitter.com
Zum Vergrößern anklicken....
dann kommt man immer noch ohne Probleme auf die Seite, aber auf fremden Seiten, wird geblockt
 
  • Gefällt mir
Reaktionen: Trimmi, Quaoar, Bergbesteiger und eine weitere Person
dedoteldot schrieb:
Hier ist es anschaulich beschrieben, hier etwas technischer. Mit dem Collusion Add-on für den Firefox kann man sich das grafisch aufbereitet anschauen. Im RL hilft vielleicht soetwas.
Zum Vergrößern anklicken....

Wie das Tracking funktioniert konnte ich mir schon vorstellen, gemeint war ob das "Blocking" auch hinhaut bzw. was man da nicht alles als Laie übersehen kann.
Danke aber für die Links..
 
um nochmal konkret nachzufragen

- AdblockPlus hab ich schon länger, wegen der Banner im moment mit einem Filterabonnement.
- Noscript habe ich auch seit kurzem, das ist aber etwas undurchschaubarer zum Einstellen und da muss man für Standardinhalte oder benötigte Funktionen offenbar "erlaubend nachregeln"
- Collusion wurde noch empfohlen

Ich habe jetzt keine besonders sensiblen Inhalte bei meinen Aktivitäten sondern halte eben dieses Tracking für ablehnenswert.

Reicht mir jetzt AdblockPlus und muss ich da ständig von Hand mitfiltern ?



PS.: Neulich habe ich mal Spotify getestet, da werden ja so wie ichs verstanden habe breitwürfig meine Playlists verteilt...:confused:
 
Noscript und AdBlock arbeiten unterschiedlich ...
AdBlock hat eine Filterliste

Und Noscript deaktiviert einfach alles, und Du musst es dann selbst nach und nach aktivieren.

Noscript ist super gegen iframes die irgendwas im Hintergrund laden wollen
 
  • Gefällt mir
Reaktionen: erikvomland
Anne Roth hat einen guten Artikel über unser Thema hier geschrieben.
annalist.noblogs.org/post/2013/03/18/deutsche-software-hilft-bei-der-uberwachung-von-aktivistinnen-weltweit/

Aber noch einmal zum Finfisher. Bei cizizenlab.org sind Hintergründe dokumentiert.
https://citizenlab.org/2012/07/from-bahrain-with-love-finfishers-spy-kit-exposed/

Die Einbringung des Trojaners ist bisher über unterschiedliche Wege vorgenommen worden. In Bildern auf Webseiten waren z.B. ausführbare Dateien versteckt. Auch Mail-Anhänge (die eher plumpere Methode also) wurden genutzt wie aber auch der direkte Providerzugang (man in the middle), wo z.B. per gefälschter Updates Daten eingespeist wurden.

Sowieso interessant: alle verbreiteten Systeme sind abgedeckt. Windows, Linux, Android, BlackBerry, Symbian... und natürlich Max OS X und iOS.

Scary, oder? Mich würde ja brennend eine Stellungnahme von Apple interessieren...
 
Bergbesteiger schrieb:
Die Einbringung des Trojaners ist bisher über unterschiedliche Wege vorgenommen worden. In Bildern auf Webseiten waren z.B. ausführbare Dateien versteckt.
Zum Vergrößern anklicken....

Da übertreibst Du aber sehr! Wenn Du damit sagen willst, dass es reicht, einfach nur ein Bild auf einer Webseite anzugucken, dann ist das wohl kaum besser als ein Fukushima-Facebook-Eintrag von Claudia Roth^^

So leicht lassen sich Computer nicht infizieren! Und die Journalisten wo Trojaner auf dem Rechnern waren, die hatten einfach überhaupt kein Plan, aber dafür den IE6 :p
 
doubleh schrieb:
Da übertreibst Du aber sehr! Wenn Du damit sagen willst, dass es reicht, einfach nur ein Bild auf einer Webseite anzugucken, dann ist das wohl kaum besser als ein Fukushima-Facebook-Eintrag von Claudia Roth^^

So leicht lassen sich Computer nicht infizieren! Und die Journalisten wo Trojaner auf dem Rechnern waren, die hatten einfach überhaupt kein Plan, aber dafür den IE6 :p
Zum Vergrößern anklicken....

...so ein Trojaner lässt sich aber recht leicht huckepack auf einem System- oder Programm-update einschleusen und installieren. Erstrecht, wenn dein ISP gezwungen wird mitzuspielen.
 
in2itiv schrieb:
...so ein Trojaner lässt sich aber recht leicht huckepack auf einem System- oder Programm-update einschleusen und installieren. Erstrecht, wenn dein ISP gezwungen wird mitzuspielen.
Zum Vergrößern anklicken....

Ich hoffe doch, dass wir von solchen Horrorszenarien noch weit entfernt sind, um nicht zu sagen, diese am besten nie eintreten.
Und ich bin mir ziemlich sicher, dass unsere öffentliche Wahrnehmung und die wachsame Demokratie noch wehrhaft genug ist, um solche Szenarien im Keim zu ersticken.
Dass "krasse" Dinge hier und da passieren, ist schon möglich. So etwas hat es in der Menschheitsgeschichte immer gegeben, und wird es wohl auch immer geben.
Nur ist das eine andere Frage, ob solche Nummern zum Regelfall werden.
 
erikvomland schrieb:
(...)
- Du besuchts Seiten mit Infos über gewisse Krankheiten, meldest Dich anonym in einem Forum über koronare Herzkrankheiten an und ein Post von Dir lautet:
" 2007 hatt ich einen leichten Herzinfarkt und heute leide ich plötzlich unter... wer kann da was empfehlen..? "
- Du besuchst regelmässig Seiten bez. Alkoholismus und Ratgeber für Suchtentwöhnung oder Ähnl. wie Angstthematiken
- Du suchst Hilfe bei einer online Schuldnerberatung...

Diese Deine Aktivitäten sind nun protokolliert, theoretisch zurückverfolgbar aber heute noch ohne Zusammenhang, Zweck oder Konsequenz.

Was kann aber in 15 Jahren sein ?

Du möchtest dann.. sagen wir einen grösseren Kredit mit längerer Laufzeit und bekommst keinen wegen erhöhter Risikogruppe.
Und wunderst dich warum ausgerechnet Du keinen bekommst.

Ich halte derartige zukünftige Verwendung von zahllos gesammelten Daten um ein Persönlichkeitsprofil zu erstellen für durchaus denkbar
und plötzlich ergibt sich aus den Daten ein " sinnvolles " Profil für Dritte.

Und ohne zu Verschwörungstheorien zu neigen, warum sollte dieses Szenario nicht genau so stattfinden können ?
Zum Vergrößern anklicken....

Das wären dann aber eine ganze Menge Daten! Die muss auch einer analysieren und dann einem Profil zu ordnen.
Bist Du natürlich überall mit deinem Klarnamen registriert kann man natürlich sehr schnell ein Profil erstellen. Google "sei dank"!
Ich finde es deshalb wichtig, dass man mit Pseudonymen "arbeitet", denn wie schnell hat man einen Beitrag auf Stammtisch-Niveau geschrieben, der einem dann zum Verhängnis werden könnte!
 
JohnnyChicago schrieb:
Das wären dann aber eine ganze Menge Daten! Die muss auch einer analysieren und dann einem Profil zu ordnen.
Bist Du natürlich überall mit deinem Klarnamen registriert kann man natürlich sehr schnell ein Profil erstellen. Google "sei dank"!
Ich finde es deshalb wichtig, dass man mit Pseudonymen "arbeitet", denn wie schnell hat man einen Beitrag auf Stammtisch-Niveau geschrieben, der einem dann zum Verhängnis werden könnte!
Zum Vergrößern anklicken....

...das ist doch auch heute schon kein Problem. Und geh davon aus, das google heute schon das meiste von dem was du da schreibst über dich weiß. Woher? Na, dann beschäftige dich mal damit, wie google arbeitet und was die dir in deinen Browser Cache ablegen, das fleissig für sie Informationen sammelt.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Zurück
Oben Unten