[Tarnkappe] “FinSpy”: Staatstrojaner bald im Einsatz

Nach Informationen von die “Welt” (Online-Ausgabe), unter Berufung auf Sicherheitskreise, hat das Bundesinnenministerium am 10. Januar erstmals eine Software zur Überwachung von verschlüsselter Kommunikation auf Mobilgeräten für den Einsatz durch das Bundeskriminalamt (BKA) freigegeben. Bisher kam die App jedoch, anders als zuletzt berichtet, noch nicht auf Handys von Verdächtigen zum Einsatz.


Die Bundesregierung hatte die Überwachungs-Software des Münchner Unternehmens FinFisher bereits 2013 gekauft. Allerdings wurde sie wegen verfassungsrechtlicher Bedenken bislang nicht angewandt. Mit dem Handy-Trojaner wäre es möglich, nun auch verschlüsselte Nachrichten über WhatsApp, Telegram oder Signal mitzulesen. Die Verschlüsselung der Messenger-Dienste wird umgangen, indem Bildschirmfotos (“Screenshots”) von geschriebenen Nachrichten anfertigt und direkt an die Ermittler geschickt werden.


Eine andere, rund 5,7 Millionen teuere, vom BKA selbst entwickelte Spionage-Software RCIS, wurde vom Innenministerium bereits im Februar 2016 offiziell freigegeben. Laut Medienberichten sei die Software allerdings nur sehr selten eingesetzt worden. Sie kann derzeit nur Skype-Gespräche auf infizierten Windows-Computern abhören, soll aber künftig auch Messenger-Apps auf Smartphones knacken können.

Der Bundestag verabschiedete im Juni 2017 das Gesetz „zur effektiveren und praxistauglicheren Ausgestaltung des Strafverfahrens“. Gemäß dem Gesetzentwurf ist die Quellen-TKÜ künftig bei “schweren Straftaten” erlaubt, bei denen auch Ermittlungsbehörden die Telekommunikation überwachen dürfen (Paragraf 100a Strafprozessordnung). Dazu zählen neben Mord und Totschlag beispielsweise auch Steuerhinterziehung, Geldfälschung und Computerbetrug. Die Online-Durchsuchung soll nur bei “besonders schweren Straftaten” erlaubt sein, bei denen eine akustische Wohnraumüberwachung (Großer Lauschangriff) möglich ist (Paragraf 100c Strafprozessordnung). Vorher waren Staatstrojaner nur zur Terrorbekämpfung zugelassen.

Mit der Begründung, die Befugnisse wären notwendig, weil Schwerkriminelle und Terroristen immer öfter verschlüsselte Kommunikation einsetzen, die durch herkömmliche Maßnahmen nicht überwacht werden kann, kommen nun die Staatstrojaner zum Einsatz. Das Gesetz ist umstritten, weil Datenschutz-Probleme und ein Missbrauch von den Behörden bewusst nicht geschlossener Sicherheitslücken befürchtet werden. Zudem wurde die Frage aufgeworfen, ob die Reichweite der Maßnahmen mit der Verfassung vereinbar ist.

Bildquelle: LoboStudioHamburg, thx! (CC0 Public Domain)



https://tarnkappe.info/finspy-staatstrojaner-bald-im-einsatz/Quelle
Autor: Antonia
Quelle

 

[Novgorod]

guter trend - clientüberwachung ist allemal besser als trafficüberwachung, weil man als nichts zu verbergender gauner auf dem eigenen computer wesentlich mehr kontrolle für gegenmaßnahmen hat als in irgendeinem datacenter.. die NSA kann da aber nur drüber lachen, die nutzt weiterhin ihre protokoll-backdoors in ami-software..

 

[Carsten]

Das gefährliche an diesen Tools ist, dass einem da schnell mal was untergeschoben werden kann.

 

[Metal_Warrior]

Das gefährliche an diesen Tools ist, dass einem da schnell mal was untergeschoben werden kann.

Aber das würden die doch nieeeee machen! Die würden ja schließlich auch nie irgendwelche sie selbst belastenden Akten vernichten...

Abgesehen davon: Ein solches Tool nutzt immer eine Sicherheitslücke. Die jedes Handy betrifft, also auch die Handys von Milliarden unschuldigen Nutzern weltweit. Wir wissen ja, was mit WannaCry passiert ist, und wer da diese Lücke fleißig vor Microsoft geheim gehalten hat... War ja ne super Sache, diese Lücke, hat ja weltweit auch gar keinen Schaden angerichtet... Und Petya hat die gleiche Lücke genutzt, da war der Schaden nur minimal größer. Alles Peanuts, solange wir nur einen vermutlichen Terroristen daran hindern können, seinen verstopften Abfluss mit NaOH zu reinigen.

 

[Carsten]

Ich bin einigermaßen überrascht, dass hier (noch) nicht direkt die Aluhut-Karte gezogen worden ist.

 

[Metal_Warrior]

@Carsten: Wir haben alle einen auf, wieso sollten wir da ne Karte ziehen?

Spaß beiseite: Wir sind (die meisten von uns) IT-affin. D. h. wir haben alle die plausiblen Verschwörungstheorien vertreten und wurden dafür verlacht, bis Snowden um die Ecke kam und wir nur grinsend "told you so!" gesagt haben. Bei allen folgenden Dingen wars genauso. Insofern ist "Aluhutträger" eher nen freundliches Kompliment a la "der weiß, wie die Realität aussieht, im Gegensatz zu mir".

 

[Shodan]

Insofern ist "Aluhutträger" eher nen freundliches Kompliment a la "der weiß, wie die Realität aussieht".

Irgendwie wird es fast langweilig zur neusten Wiederholung des gleichen Themas einer Informierten Crowd die alten Kamellen zu erzählen.

Bei dem nun genehmigten Trojaner FinSpy handelt es sich um ein kommerzielles Produkt des Münchner Unternehmens FinFisher GmbH.

... schrieb der fleißige Reporter und trank dabei vielleicht ein Pumpkin Spice Latte des Münchner Unternehmens "Starbucks Coffee Deutschland GmbH"

Der namensgebende Think-Tank sitzt zwar in München, die "Cyberweapons made in Germany" werden aber von dem multinationalen Konzern "Gamma Group" vertrieben. Was unseren Behörden als "Lawful Interception" Werkzeug angeboten wird, dient andernorts dazu Oppositionelle, Aktivisten, Anwälte und Journalisten zu überwachen, so z.B. in Uganda, in Bahrain, im Libanon und Ethiopien (eines der ärmsten Länder der Welt, aber Software aus Deutschland kaufen um Auswanderer in den USA zu bespitzeln).
Und das sind noch nicht alle. Jedes halbwegs verbrecherische Regime das etwas auf sich hält hat die Ware von Gamma entweder im Waffenschrank, oder zumindest ein Angebot in der Schublade.
Und wenn man den "Staatstrojaner" sowieso schon gegen Aktivisten und Journalisten einsetzt, warum nicht auch international Wirtschaftsspionage damit betreiben?

Der Händler zeigt sich unbeeindruckt:

The firm, Gamma Group, says it does not assist or encourage any government agency in the misuse of its products.

Aber noch habe ich Hoffnung: Aktuelle Entwicklungen der deutschen Rechtssprechung eröffnen die Möglichkeit, dass das BKA dem "Münchner Unternehmen" vielleicht nicht nur zur Kundenberatung einen Besuch abstattet. Wie war das nochmal mit der Sorgfaltspflicht bei der Auswahl der Kunden, der Fahrlässigkeit und der Mitverantwortung für deren Taten?

Und darin sehe ich das vielleicht größte Problem: Unsere Behörden würden selbstverständlich niemals politische aktive Rechtsanwälte 38 Jahre lang rechtswidrig dauerüberwachen oder illegal Journalisten in Listen erfassen, aber wenn Gamma und Behörden erst einmal verklüngelt sind, gibt es einen echten Interessenkonflikt, sollte die anstehende Verschärfung der Exportkontrollen für Überwachungstechnologie es notwendig machen gegen das "Münchner Unternehmen" zu ermitteln.
Immerhin ist es eher unpraktisch den Betreiber der gerade erst installierten eigenen Infrastruktur festzunehmen.


In diesem Sinne an all die Aktivisten, Journalisten, Rechtsanwälte und Wirtschaftsfunktionäre da draußen:
Wenn ihr den FinSpy auf eurem Rechner findet, erstattet Anzeige bei unseren Behörden.
Danke.

 

[Bubbels]

würde da tails oder eine Linux-Live-DVD aussreichend schutz bieten?

 

[TBow]

würde da tails oder eine Linux-Live-DVD aussreichend schutz bieten?

Wie es aussieht werden sie die Spionagesoftware im Betriebssystem verankern bzw haben es bis jetzt dort verankert -> Betriebssystem nicht aktiv bzw ein anderes wird verwendet -> Spionagesoftware ist wirkungslos.

Wenn ich genau überlege, dann komme ich zum behördlichen Schluss - nur Verbrecher stellen solche Fragen.
Ein Einsatzkommando zu dir ist schon unterwegs. Pack schon mal ne Tasche für die U-Haft, zieh dich bis auf die Unterhose aus und warte mit erhobenen Armen vor der Tür.

 

[Seedy]

Nun, das bedeutet bald:
Nur noch Opensource benutzen und die Lücken stopfen.

Oder seh ich da falsch?

 

[TheOnly1]

Solange du nicht den Quellcode jedes Programms und jeder Version selbstständig analysierst und verstehst, ist Open Source letztendlich auch nur eine alternative Version des immer gleichen Versuchs des Selbstbetrugs im Bestreben "irgendwas zu tun".

 

[Seedy]

@TheOnly1:
Nicht ganz:
Ich bin nicht der einzige, der den Quellcode anschaut.
Der Trick bei Opensource ist ja, dass es reicht, wenn "irgendwer" es findet.
Die Chancen sind höher, da keine Firma hinter hängt, welche Lücken verschweigt, oder aus Rechtsgründen geheim halten muss.

Außerdem ist die Illusion was zu tun besser als aufzugeben, oder?

 

[Bruder Mad]

Und wer garantiert dir, dass deine vermeintlich seriöse Software-Quelle auch wirklich seriös bzw. überhaupt die ist, die sie vorgibt zu sein? So MitM-mäßig...

 

[Seedy]

@Bruder Mad:
Lese nochmal, eventuell weißt du es danach.

 

[Bruder Mad]

Lies du nochmal... Wenn dir jemand etwas unterschieben will, dann schafft der das auch, wenn er an entsprechender Stelle sitzt.
Du meinst dann, was aus einer seriösen Quelle runterzuladen und in Wirklichkeit wird dir was untergeschoben.
Und so lange du dann nicht den Quellcode analysierst, wirst du es nicht merken...

 

[Seedy]

@Bruder Mad:
Verstehe, du willst nicht verstehen.

1. Bei Opensource habe ich zugriff auf den Quellcode, kann ihn bei bedarf sogar selber compilieren und ausführen.
Das hab ich bei Microsoft und Apple nicht.

2. Bei Opensource gucken viele Augen.
Ich mag zwar den Fehler nicht finden, aber dafür evtl. ein anderer und der publiziert ihn.

3. Es hängen keine Firmen dahinter, die von drei Buchstaben dazu erpresst werden löcher zu verschweigen, offen zu halten, etc.
3.1 Es reicht wenn ein Einziger Mensch die Hintertür findet und öffentlich sagt "hier, da ist im Opensource XY ist ne Lücke und so macht ihr sie zu"

Das System mag kein perfekter Schutz sein, aber es ist wesentlich schwieriger mit offenen Karten zu schummeln.

Ein offener Quellcode, der von zich Stellen auf Lücken und Schadcode geprüft wird ist definitiv zuverlässiger, als verschlossener Code von einer einzelnen Firma.

Fazit:
Du laberst Bullshit.

 

[godlike]

Eine andere, rund 5,7 Millionen teuere, vom BKA selbst entwickelte Spionage-Software

WTF, ich hätte Softwareentwickler werden sollen

 

[Novgorod]

@Seedy: ich glaube er meint eher, dass die NSA sich in deinen router "hackt" und die URL für das nächste firefox-update auf ihren bösewicht-server umleitet.. und solange du nicht exakt analysierst, was da gerade runtergeladen wird und z.b. hashes über andere internetleitungen vergleichst o.ä., bist du trotzdem gefickt (sagt man das heute noch oder ist das nicht mehr PC wie "schwul"?)..

allerdings erschließt sich mir in dem fall nicht ganz, warum die NSA derart ineffizient agieren sollte und sich die mühe macht, ausgerechnet für dich eine open-source software zu verseuchen und dir irgendwie "unterzuschieben".. wenn sie tatsächlich zugriff auf diesem level haben, dann könnten sie sowieso bereits alle deine daten auslesen oder ihre spezialsoftware installieren, ohne dich mit irgendwas scheinbar legitimem "baiten" zu müssen.. andernfalls ist eben kein individualisierter angriff möglich und sie müssten z.b. den offiziellen firefox-updateserver übernehmen um verseuchte software zu verteilen - das würde dann aber wiederum alle betreffen und sehr schnell auffallen (bei open-source schneller als bei MS & co.)..

 

[theSplit]

Zu der Man in the middle attack, deswegen bieten ja viele Dienste und Webseiten HTTPS an und das wird nicht nur in Browsern genutzt sondern wird auch von anderen Softwaren/Tools unterstützt und gefördert.

Zitat zu HTTP von Wikipedia:

Nutzen

HTTPS wird zur Herstellung von Vertraulichkeit und Integrität in der Kommunikation zwischen Webserver und Webbrowser (Client) im World Wide Web verwendet. Dies wird unter anderem durch Verschlüsselung und Authentifizierung erreicht.

Ohne Verschlüsselung sind Daten, die über das Internet übertragen werden, für jeden, der Zugang zum entsprechenden Netz hat, als Klartext lesbar. Mit der zunehmenden Verbreitung von offenen (d. h. unverschlüsselten) WLANs nimmt die Bedeutung von HTTPS zu, weil damit die Inhalte unabhängig vom Netz verschlüsselt werden können.

Die Authentifizierung dient dazu, dass beide Seiten der Verbindung beim Aufbau der Kommunikation die Identität des Verbindungspartners überprüfen können. Dadurch sollen Man-in-the-Middle-Angriffe und teilweise auch Phishing verhindert werden.

Was Software generell betrifft:

Es gibt nicht ohne Grund "Subversion" - dabei werden alle Veränderungen in einem Quelltext bei und vor Updates/Änderungen protokolliert bzw. dargestellt. Das heißt, es wird je nach System festgehalten:
- Wer etwas verändert hat
- Wann etwas verändert wurde
- Was verändert wurde

Zu dem ist auch so, das gewisse Zugänge nicht einfach für jedermann einfach so erreichbar sind, um einen Patch an einem Software-Repository durchzuführen, brauche ich legitimen Zugang über zum Beispiel einen Zugangsschlüssel. Das heißt eigentlich, ich kann nicht einfach im Linux Kernel ein Update einspielen.

Wenn ich das machen will, würde ich einen Patch anbieten und dann würde dieser, um überhaupt dort einfallen zu können, von mehreren Stellen geprüft werden müssen, mindestens einer "legitimen" Personen - davon ist auszugehen. Und da man genau sieht "was" ich verändern will - also man sieht dabei keine 3000+ Zeilen Code, sondern nur meine Ergänzungen mit Zeilennummer und Quelltext und evtl. den X Zeilen umliegenden Code und die Funktion/Routine in der ich etwas verändern will mit dem Patch.

Im Falle von Git ist es zusätzlich so, sagen wir jemand würde [böser Admin] das Repository verändern, also der Versuch es zu bearbeiten ohne das es jemand mitbekommt. Im Falle von Git hat jeder der Entwickler eine "vollwertige" Kopie des gesamten Respositories auf seinem Computer. Wenn Veränderungen gemacht werden, würden Inhalte abweichen und bei einem Update würde einer der Entwickler "höchstwahrscheinlich" mitbekommen, dass etwas verändert wurde und könnte binnen weniger Zeit das gesamte Respository "resetten" und angleichen, auf den Zustand auf seinem Computer.

Es kommt natürlich auf das Subersion-System an, ich habe schon erlebt das SVN zu manipulieren ist und irgendwelche "Commits" eingetragen worden sind oder Daten manipuliert worden. Bei Git bin ich mir da aber nicht so sicher das dies einfach so zu bewerkstelligen ist.

Aber Subversion ist überall im Einsatz und Authenthication der Entwickler werden genutzt. Selbst ein Linus Torvalds kann - mit Sicherheit - nicht einfach heute einen Patch in den Linux Kernel laden, ohne das 5 andere da drüberschauen. Auch wenn er einen gottgleichen Status hat was so etwas angehen mag.

Nachtrag:

Es ist auch so, das zum Beispiel bei den Linux Distributionen auch die Maintainer eines Pakets und die Entwickler der Distribution dafür sorge tragen, das "neue Änderungen im Software-Repository" bzw. Kernel in dem Fall nicht im Minutentakt in im System landen bzw. evtl. nochmal geprüft werden und es vergeht einige Zeit und es besteht die Chance das mehr Leute in dieser Zeit die neuen Änderungen am Code prüfen können. Und es wird auch vermutlich geprüft (okay, Kernel ist da vielleicht hardcore...?) - ob das neue Paket/Software in Ordnung ist.

Das hat den Vorteil, wenn jemand wirklich was einschleust, fällt es zwischenzeitlich jemanden auf - oder aber, es landet nicht direkt im System und man gibt dem ganzen Zeit "zu reifen". Und im Falle es wurde kompromittiert - also Schadcode eingeschleust, besteht durch die zeitliche Versetzung die Chance, das von einem anderen Entwickler "rückgängig" machen zu lassen.