“FinSpy”: Staatstrojaner bald im Einsatz

Novgorod · 3 Feb. 2018

guter trend

- clientüberwachung ist allemal besser als trafficüberwachung, weil man als nichts zu verbergender gauner auf dem eigenen computer wesentlich mehr kontrolle für gegenmaßnahmen hat als in irgendeinem datacenter.. die NSA kann da aber nur drüber lachen, die nutzt weiterhin ihre protokoll-backdoors in ami-software..

Carsten · 3 Feb. 2018

Das gefährliche an diesen Tools ist, dass einem da schnell mal was untergeschoben werden kann.

Metal_Warrior · 3 Feb. 2018

Carsten schrieb:
Das gefährliche an diesen Tools ist, dass einem da schnell mal was untergeschoben werden kann.

Aber das würden die doch nieeeee machen! Die würden ja schließlich auch nie irgendwelche sie selbst

You do not have permission to view link please Anmelden or Registrieren

...

Abgesehen davon: Ein solches Tool nutzt immer eine Sicherheitslücke. Die jedes Handy betrifft, also auch die Handys von Milliarden unschuldigen Nutzern weltweit. Wir wissen ja, was mit WannaCry passiert ist, und wer da diese Lücke fleißig vor Microsoft geheim gehalten hat... War ja ne super Sache, diese Lücke, hat ja weltweit auch

You do not have permission to view link please Anmelden or Registrieren

angerichtet... Und Petya hat die gleiche Lücke genutzt, da war der Schaden nur minimal größer. Alles Peanuts, solange wir nur einen vermutlichen Terroristen daran hindern können, seinen

You do not have permission to view link please Anmelden or Registrieren

.

Carsten · 3 Feb. 2018

Ich bin einigermaßen überrascht, dass hier (noch) nicht direkt die Aluhut-Karte gezogen worden ist.

Metal_Warrior · 3 Feb. 2018

@Carsten: Wir haben alle einen auf, wieso sollten wir da ne Karte ziehen? :unknown:

Spaß beiseite: Wir sind (die meisten von uns) IT-affin. D. h. wir haben alle die plausiblen Verschwörungstheorien vertreten und wurden dafür verlacht, bis Snowden um die Ecke kam und wir nur grinsend "told you so!" gesagt haben. Bei allen folgenden Dingen wars genauso. Insofern ist "Aluhutträger" eher nen freundliches Kompliment a la "der weiß, wie die Realität aussieht, im Gegensatz zu mir".

Shodan · 4 Feb. 2018

Metal_Warrior schrieb:
Insofern ist "Aluhutträger" eher nen freundliches Kompliment a la "der weiß, wie die Realität aussieht".

Irgendwie wird es fast langweilig zur neusten Wiederholung des gleichen Themas einer Informierten Crowd die alten Kamellen zu erzählen.

Welt schrieb:
Bei dem nun genehmigten Trojaner FinSpy handelt es sich um ein kommerzielles Produkt des Münchner Unternehmens FinFisher GmbH.

... schrieb der fleißige Reporter und trank dabei vielleicht ein Pumpkin Spice Latte des Münchner Unternehmens "Starbucks Coffee Deutschland GmbH"

Der namensgebende Think-Tank sitzt zwar in München, die "Cyberweapons made in Germany" werden aber von dem multinationalen Konzern "Gamma Group" vertrieben. Was unseren Behörden als "Lawful Interception" Werkzeug angeboten wird, dient andernorts dazu Oppositionelle, Aktivisten, Anwälte und Journalisten zu überwachen, so z.B. in

You do not have permission to view link please Anmelden or Registrieren

, in

You do not have permission to view link please Anmelden or Registrieren

, im

You do not have permission to view link please Anmelden or Registrieren

und

You do not have permission to view link please Anmelden or Registrieren

(eines der ärmsten Länder der Welt, aber Software aus Deutschland kaufen um

You do not have permission to view link please Anmelden or Registrieren

zu bespitzeln).

You do not have permission to view link please Anmelden or Registrieren

. Jedes halbwegs verbrecherische Regime das etwas auf sich hält hat die Ware von Gamma entweder im Waffenschrank, oder zumindest ein

You do not have permission to view link please Anmelden or Registrieren

.
Und wenn man den "Staatstrojaner" sowieso schon gegen Aktivisten und Journalisten einsetzt, warum nicht auch international

You do not have permission to view link please Anmelden or Registrieren

?

Der Händler zeigt sich unbeeindruckt:

The firm, Gamma Group, says it does not assist or encourage any government agency in the misuse of its products.

Aber noch habe ich Hoffnung: Aktuelle Entwicklungen der deutschen Rechtssprechung eröffnen die Möglichkeit, dass das BKA dem "Münchner Unternehmen" vielleicht nicht nur zur Kundenberatung einen Besuch abstattet. Wie war das nochmal mit der

You do not have permission to view link please Anmelden or Registrieren

bei der Auswahl der Kunden, der Fahrlässigkeit und der Mitverantwortung für deren Taten?

Und darin sehe ich das vielleicht größte Problem: Unsere Behörden würden selbstverständlich niemals

You do not have permission to view link please Anmelden or Registrieren

oder

You do not have permission to view link please Anmelden or Registrieren

, aber wenn Gamma und Behörden erst einmal verklüngelt sind, gibt es einen echten Interessenkonflikt, sollte die

You do not have permission to view link please Anmelden or Registrieren

es notwendig machen gegen das "Münchner Unternehmen" zu ermitteln.
Immerhin ist es eher unpraktisch den Betreiber der gerade erst installierten eigenen Infrastruktur festzunehmen.

In diesem Sinne an all die Aktivisten, Journalisten, Rechtsanwälte und Wirtschaftsfunktionäre da draußen:
Wenn ihr den FinSpy auf eurem Rechner findet, erstattet Anzeige bei unseren Behörden.
Danke.

Bubbels · 2 Apr. 2018

würde da tails oder eine Linux-Live-DVD aussreichend schutz bieten?

TBow · 2 Apr. 2018

Bubbels schrieb:
würde da tails oder eine Linux-Live-DVD aussreichend schutz bieten?

Wie es aussieht werden sie die Spionagesoftware im Betriebssystem verankern bzw haben es bis jetzt dort verankert -> Betriebssystem nicht aktiv bzw ein anderes wird verwendet -> Spionagesoftware ist wirkungslos.

Wenn ich genau überlege, dann komme ich zum behördlichen Schluss - nur Verbrecher stellen solche Fragen.
Ein Einsatzkommando zu dir ist schon unterwegs. Pack schon mal ne Tasche für die U-Haft, zieh dich bis auf die Unterhose aus und warte mit erhobenen Armen vor der Tür.

Seedy · 2 Apr. 2018

Nun, das bedeutet bald:
Nur noch Opensource benutzen und die Lücken stopfen.

Oder seh ich da falsch?

TheOnly1 · 2 Apr. 2018

Solange du nicht den Quellcode jedes Programms und jeder Version selbstständig analysierst und verstehst, ist Open Source letztendlich auch nur eine alternative Version des immer gleichen Versuchs des Selbstbetrugs im Bestreben "irgendwas zu tun".

Seedy · 2 Apr. 2018

@TheOnly1:
Nicht ganz:
Ich bin nicht der einzige, der den Quellcode anschaut.
Der Trick bei Opensource ist ja, dass es reicht, wenn "irgendwer" es findet.
Die Chancen sind höher, da keine Firma hinter hängt, welche Lücken verschweigt, oder aus Rechtsgründen geheim halten muss.

Außerdem ist die Illusion was zu tun besser als aufzugeben, oder? :unknown:

Bruder Mad · 2 Apr. 2018

Und wer garantiert dir, dass deine vermeintlich seriöse Software-Quelle auch wirklich seriös bzw. überhaupt die ist, die sie vorgibt zu sein? So MitM-mäßig...

Seedy · 2 Apr. 2018

@Bruder Mad:
Lese nochmal, eventuell weißt du es danach.

Bruder Mad · 2 Apr. 2018

Lies du nochmal... Wenn dir jemand etwas unterschieben will, dann schafft der das auch, wenn er an entsprechender Stelle sitzt.
Du meinst dann, was aus einer seriösen Quelle runterzuladen und in Wirklichkeit wird dir was untergeschoben.
Und so lange du dann nicht den Quellcode analysierst, wirst du es nicht merken...

Seedy · 3 Apr. 2018

@Bruder Mad:
Verstehe, du willst nicht verstehen.

1. Bei Opensource habe ich zugriff auf den Quellcode, kann ihn bei bedarf sogar selber compilieren und ausführen.
Das hab ich bei Microsoft und Apple nicht.

2. Bei Opensource gucken viele Augen.
Ich mag zwar den Fehler nicht finden, aber dafür evtl. ein anderer und der publiziert ihn.

3. Es hängen keine Firmen dahinter, die von drei Buchstaben dazu erpresst werden löcher zu verschweigen, offen zu halten, etc.
3.1 Es reicht wenn ein Einziger Mensch die Hintertür findet und öffentlich sagt "hier, da ist im Opensource XY ist ne Lücke und so macht ihr sie zu"

Das System mag kein perfekter Schutz sein, aber es ist wesentlich schwieriger mit offenen Karten zu schummeln.

Ein offener Quellcode, der von zich Stellen auf Lücken und Schadcode geprüft wird ist definitiv zuverlässiger, als verschlossener Code von einer einzelnen Firma.

Fazit:
Du laberst Bullshit.

godlike · 3 Apr. 2018

Tarnkappe.info schrieb:
Eine andere, rund 5,7 Millionen teuere, vom BKA selbst entwickelte Spionage-Software

WTF, ich hätte Softwareentwickler werden sollen :eek:

Novgorod · 3 Apr. 2018

You do not have permission to view link please Anmelden or Registrieren

ich glaube er meint eher, dass die NSA sich in deinen router "hackt" und die URL für das nächste firefox-update auf ihren bösewicht-server umleitet.. und solange du nicht exakt analysierst, was da gerade runtergeladen wird und z.b. hashes über andere internetleitungen vergleichst o.ä., bist du trotzdem gefickt (sagt man das heute noch oder ist das nicht mehr PC wie "schwul"?)..

allerdings erschließt sich mir in dem fall nicht ganz, warum die NSA derart ineffizient agieren sollte und sich die mühe macht, ausgerechnet für dich eine open-source software zu verseuchen und dir irgendwie "unterzuschieben".. wenn sie tatsächlich zugriff auf diesem level haben, dann könnten sie sowieso bereits alle deine daten auslesen oder ihre spezialsoftware installieren, ohne dich mit irgendwas scheinbar legitimem "baiten" zu müssen.. andernfalls ist eben kein individualisierter angriff möglich und sie müssten z.b. den offiziellen firefox-updateserver übernehmen um verseuchte software zu verteilen - das würde dann aber wiederum alle betreffen und sehr schnell auffallen (bei open-source schneller als bei MS & co.)..

theSplit · 3 Apr. 2018

Zu der Man in the middle attack, deswegen bieten ja viele Dienste und Webseiten HTTPS an und das wird nicht nur in Browsern genutzt sondern wird auch von anderen Softwaren/Tools unterstützt und gefördert.

Zitat zu HTTP von

You do not have permission to view link please Anmelden or Registrieren

:

Nutzen

HTTPS wird zur Herstellung von Vertraulichkeit und Integrität in der Kommunikation zwischen Webserver und Webbrowser (Client) im World Wide Web verwendet. Dies wird unter anderem durch Verschlüsselung und Authentifizierung erreicht.

Ohne Verschlüsselung sind Daten, die über das Internet übertragen werden, für jeden, der Zugang zum entsprechenden Netz hat, als Klartext lesbar. Mit der zunehmenden Verbreitung von offenen (d. h. unverschlüsselten) WLANs nimmt die Bedeutung von HTTPS zu, weil damit die Inhalte unabhängig vom Netz verschlüsselt werden können.

Die Authentifizierung dient dazu, dass beide Seiten der Verbindung beim Aufbau der Kommunikation die Identität des Verbindungspartners überprüfen können. Dadurch sollen Man-in-the-Middle-Angriffe und teilweise auch Phishing verhindert werden.

Was Software generell betrifft:

Es gibt nicht ohne Grund "Subversion" - dabei werden alle Veränderungen in einem Quelltext bei und vor Updates/Änderungen protokolliert bzw. dargestellt. Das heißt, es wird je nach System festgehalten:
- Wer etwas verändert hat
- Wann etwas verändert wurde
- Was verändert wurde

Zu dem ist auch so, das gewisse Zugänge nicht einfach für jedermann einfach so erreichbar sind, um einen Patch an einem Software-Repository durchzuführen, brauche ich legitimen Zugang über zum Beispiel einen Zugangsschlüssel. Das heißt eigentlich, ich kann nicht einfach im Linux Kernel ein Update einspielen.

Wenn ich das machen will, würde ich einen Patch anbieten und dann würde dieser, um überhaupt dort einfallen zu können, von mehreren Stellen geprüft werden müssen, mindestens einer "legitimen" Personen - davon ist auszugehen. Und da man genau sieht "was" ich verändern will - also man sieht dabei keine 3000+ Zeilen Code, sondern nur meine Ergänzungen mit Zeilennummer und Quelltext und evtl. den X Zeilen umliegenden Code und die Funktion/Routine in der ich etwas verändern will mit dem Patch.

Im Falle von Git ist es zusätzlich so, sagen wir jemand würde [böser Admin] das Repository verändern, also der Versuch es zu bearbeiten ohne das es jemand mitbekommt. Im Falle von Git hat jeder der Entwickler eine "vollwertige" Kopie des gesamten Respositories auf seinem Computer. Wenn Veränderungen gemacht werden, würden Inhalte abweichen und bei einem Update würde einer der Entwickler "höchstwahrscheinlich" mitbekommen, dass etwas verändert wurde und könnte binnen weniger Zeit das gesamte Respository "resetten" und angleichen, auf den Zustand auf seinem Computer.

Es kommt natürlich auf das Subersion-System an, ich habe schon erlebt das SVN zu manipulieren ist und irgendwelche "Commits" eingetragen worden sind oder Daten manipuliert worden. Bei Git bin ich mir da aber nicht so sicher das dies einfach so zu bewerkstelligen ist.

Aber Subversion ist überall im Einsatz und Authenthication der Entwickler werden genutzt. Selbst ein Linus Torvalds kann - mit Sicherheit - nicht einfach heute einen Patch in den Linux Kernel laden, ohne das 5 andere da drüberschauen. Auch wenn er einen gottgleichen Status hat was so etwas angehen mag.

Nachtrag:

Es ist auch so, das zum Beispiel bei den Linux Distributionen auch die Maintainer eines Pakets und die Entwickler der Distribution dafür sorge tragen, das "neue Änderungen im Software-Repository" bzw. Kernel in dem Fall nicht im Minutentakt in im System landen bzw. evtl. nochmal geprüft werden und es vergeht einige Zeit und es besteht die Chance das mehr Leute in dieser Zeit die neuen Änderungen am Code prüfen können. Und es wird auch vermutlich geprüft (okay, Kernel ist da vielleicht hardcore...?) - ob das neue Paket/Software in Ordnung ist.

Das hat den Vorteil, wenn jemand wirklich was einschleust, fällt es zwischenzeitlich jemanden auf - oder aber, es landet nicht direkt im System und man gibt dem ganzen Zeit "zu reifen". Und im Falle es wurde kompromittiert - also Schadcode eingeschleust, besteht durch die zeitliche Versetzung die Chance, das von einem anderen Entwickler "rückgängig" machen zu lassen.

“FinSpy”: Staatstrojaner bald im Einsatz

Weitere

Novgorod

ngb-Nutte

Carsten

Neu angemeldet

Metal_Warrior

Defender of Freedom

Carsten

Neu angemeldet

Metal_Warrior

Defender of Freedom

Shodan

runs on biochips

Bubbels

Neu angemeldet

TBow

The REAL Cheshire Cat

Seedy

A.C.I.D

TheOnly1

RBTV | ngb | BMG

Seedy

A.C.I.D

Bruder Mad

Pottblach™

Seedy

A.C.I.D

Bruder Mad

Pottblach™

Seedy

A.C.I.D

godlike

Warp drölf

Novgorod

ngb-Nutte

theSplit

1998