daily.out

2011-10-10 Der Staats-Trojaner, der keiner war, und die Macs

Wenn man in meinem Sicherheits-Artikel nach "Bundestrojaner" sucht, findet man zwei Stellen, an denen ich auf den Lauschangriff von Vater Staat eingehe. Aufgrund der aktuellen konkreten Situation ergänze ich hier noch etwas.

Dem Chaos Computer Club wurden anscheinend einige Windows-Malwares von Betroffenen zur Verfügung gestellt, die vom CCC für Exemplare des sogenannten "Staats-Trojaners" gehalten werden. Der CCC weigert sich jedoch, die Details zu nennen, die ihn zu dieser Annahme veranlassen. Sie sagen, ihr Schweigen wäre Informantenschutz". Das wundert mich sehr, denn sonst ist der CCC meines Wissens doch immer für "full disclosure". Und was haben die Betroffenen denn zu befürchten? Sie sind Opfer einer Schadsoftware geworden. Das kann man ruhig öffentlich sagen.

Per Mail wurde ich gefragt, ob auch Macs oder GNU/Linux Opfer solch eines Trojaners werden können. Kurze Antwort: Ja. Lange Antwort: Ein Trojaner ist nicht auf Sicherheitslücken oder Bugs angewiesen, da er ein normales Programm ist, das den Benutzer jedoch über seinen wahren Zweck hinwegtäuscht. Darum ist prinzipiell jedes System dafür als Ziel geeignet.

Da der Staats-Trojaner nicht im großen Stil verbreitet wird, kann es eine Weile dauern, bis er auffällt. Erst dann können eventuelle Scanprogramme oder die in Mac OS X eingebaute Malware-Erkennung den Schädling effektiv abfangen. Wenn er jedoch völlig individuell ist und manuell vom Angreifer mit physikalischem Zugriff auf das Gerät installiert wird, dann besteht kaum eine Chance, ihn durch Malware-Tools zu entdecken.

Das ist gar kein Trojaner

In diesem konkreten Fall, der dem CCC vorliegt, handelt es sich jedoch gar nicht um einen Trojaner, weil es kein Programm ist, das den Benutzer zum Ausführen verführen und über seinen wahren Zweck täuschen soll. Es ist auch kein normales Programm, sondern ein Kernel-Modul und eine DLL (dynamisch verlinkte Library), die über einen Registry-Key geladen wird.

Ähnliches ist auch auf anderen Systemen möglich. Allerdings haben Unices den Vorteil, daß sie keine kryptische Registry wie Windows haben, in der sich solch gefährliche Malware-Aufrufe befinden können. Auf Mac OS X und GNU/Linux kann man auch Malware verstecken, aber nicht so leicht und so effizient, indem man ihren Aufruf in eine undurchsichtige Datenbank wie die Windows Registry steckt. Über Rootkits geht es natürlich auf jedem System. Der Punkt ist jedoch, daß die Registry ein ausreichend gutes Versteck ist für solche Zwecke.

Die dem CCC vorliegende Malware ist also vom Vorgehen her überhaupt kein Trojaner sondern eine lupenreine Spionage-Software, die das System und die Programme zur Laufzeit manipuliert und als Brückenkopf für weitere Schadfunktionen und Zugriffe dienen kann. Die Installation soll direkt und manuell beispielsweise bei einer Flughafenkontrolle des Laptops erfolgt sein.

Das kann mit Mac OS X und GNU/Linux auf ähnliche Weise passieren. Die Technik wäre etwas anders, aber es ist machbar, da auch hier keine Sicherheitslücken genutzt werden müssen, sondern das System auf normale Weise erweitert wird. Vergleichbar letztendlich mit der Installation eines Druckertreibers.

Was hilft dagegen? Die Festplatte verschlüsseln, mit einem komplexen Paßwort absichern und den Rechner ausschalten, wenn man ihn allein lassen muß. Dann können sie die Platte nicht entschüsseln und demnach auch nichts installieren.

---