Froschs Blog

Computer und was das Leben sonst noch so zu bieten hat

Zur Website | Impressum

CCC hat Bundestrojaner geknackt

9. Oktober 2011 um 17:11 Uhr von Atari-Frosch

Gestern Abend scheppert es im Netz: Der CCC hat auf mehreren anonym (?) zugeschickten Festplatten eine Software entdeckt, bei der es sich nach CCC-Darstellung nur um den Bundestrojaner handeln kann. Und dieses Ding hat es gewaltig in sich!

Laut den CCC-Experten besteht der größte Hammer darin, daß das Programm beliebigen weiteren Code nachladen und unbemerkt vom Benutzer des Systems ausführen kann. Damit kann man dann lustig Screenshots machen, eine Webcam oder ein Mikrofon, sofern am System vorhanden, ansteuern, Dateien anlegen, löschen oder verändern. Und wenn Dritte einmal an die Bedeutung der Steuerungscodes herangekommen sind, haben sie auf dem verseuchten Rechner ebenfalls freie Hand — so viel kann ein Phisher mit gewöhnlichen Methoden nie herausfinden.

Das heißt, das Programm kann all das tun, was das Bundesverfassungsgericht 2008 verboten hat, ja sogar als Möglichkeit verboten hat. Ob die Funktionen ausgeführt wurden, kann man ja nicht feststellen, dazu müßte man wohl die Logs des Steuerungsservers bzw. der Steuerungsserver einsehen können. Darin Einblick zu verlangen, wäre wohl einer der ersten Schritte eines Untersuchungsausschusses, den ich für absolut notwendig halte. Zumindest, wenn sich herausstellt, daß diese Software tatsächlich vom BKA oder einer sonstigen deutschen Behörde stammt.

Interessante Details zeigt auch F-Secure (Possible Governmental Backdoor found („case R2D2”)). In diesem Artikel werden die IP-Adressen zweier Hosts genannt, auf welchen die Steuerungssoftware laufen sollte oder sogar noch läuft. Diese lauten 207.158.22.134 und 83.236.140.90. Die erste liegt bei einem Hoster in den USA, die zweite bei QSC in Deutschland, und zwar für einen Kunden, der nicht publik gemacht wird (QSC-CUSTOMER-5464944-564637; zu sehen mit whois 83.236.140.90).

Die amerikanische Adresse ist aber auch interessant, besonders, wenn man sich mal so ein bißchen ihr Umfeld anschaut. Der Hoster scheint sich nicht sonderlich dafür zu interessieren, was seine Kunden so treiben, obwohl zu vermuten ist, daß er wohl öfter mal Mißbrauchs-Hinweise bekommt:

Über den Hoster selbst erfährt man nicht viel. Ein whois bringt nur die Information: Web Intellects WEB-INTELLECTS-NETBLK1 (NET-207-158-22-0-1) 207.158.22.0 - 207.158.22.255. Aber die Adressen 207.158.22.201 und 207.158.22.203 beherbergen typische Spam-Sites für Körperteilvergrößerungen und Diätpillen. Nette Nachbarschaft, muß ich schon sagen.

Heute hieß es, das BKA streite die Verantwortung dafür ab. Der genaue Wortlaut dabei ist interessant: Es heißt, sie hätten eine solche Software niemals eingesetzt. Das kann durchaus bedeuten, daß sie sie trotzdem geschrieben und getestet haben. Denn da war ja noch diese Stellenausschreibung, an die ich mich auch noch gut erinnern kann. Oder haben sie etwa keinen gefunden, der sich für so wenig Geld Dreck an den Stecken heften will?

Man darf jedenfalls gespannt sein. Einige andere haben auch bereits ausführlich berichtet und kommentiert:

Ein Kommentar zu “CCC hat Bundestrojaner geknackt”

  1. Ray quakte:

    Es ist verdammt noch einmal krank, was da passiert. Das BKA legt meine Daten in die Hände von irgendwelchen Freelancern, die ihren Trojaner nach einer Star Wars Figur benennen. Damit in dem Bereich mal „Reintisch“ gemacht wird, müssen wir einfach alle die Piraten wählen.


Kommentieren

Bitte beachte die Kommentarregeln!

XHTML: Du kannst diese Tags verwenden: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>