Die Flagge des Marasek

Dekostreifen

English

Aktuell Texte Der Comic Impressum Kalender Suche PHP-Klassen Container-Wizard main.s21

Kategorien

Buch
Computer
Computerspiele
Film
Geschichte
Gesellschaft
Idee
Kunst
Natur
Persönlich
Politik
Programmieren
Religion & Philosophie
Weblog
Weltpolitik
Weltsicht
{{login}}

Weiteres zur Online-Durchsuchung

Permalink
Vorheriger: Windows-ArchäologieNächster: Die laute Antwort
Eingeordnet in: Computer, Gesellschaft, Politik, Weblog

Ich hatte ja gehofft, dass sich das Thema Online-Durchsuchung von selbst erledigen würde, sobald mal jemand etwas nachdenkt und dahinter kommt, dass die geplanten Maßnahmen am Rande der Unmöglichkeit stehen bzw. die Kosten (die politischen wie die pekuniären) in keinem Verhältnis zum Nutzen stehen. Hier mal ein etwas detaillierterer Beitrag zum Thema.

Motivation

Zu Beginn die Frage nach der Motivation für die "Online-Durchsuchung". Wozu ist diese überhaupt notwendig, wenn es doch das Mittel der herkömmlichen Hausdurchsuchung gibt, in deren Zuge die Computer eines Verdächtigen beschlagnahmt und forensisch untersucht werden können? Das Problem daran ist, dass Dateien und ganze Festplattenpartitionen verschlüsselt werden können. Im Falle der Hausdurchsuchung können die Ermittler im Zweifel nur einen Rechner voller verschlüsselter Daten mitnehmen.
Ein auf dem System mitlaufender Trojaner könnte das zur Verschlüsselung verwendete Passwort ausspähen und dem Ermittler zugänglich machen. Denkbar wäre auch, dass der Ermittler direkt die verschlüsselten Daten einsieht. Auf jeden Fall könnten die Behörden bei einer regulären Durchsuchung die Rechner beschlagnahmen und wären durch die Arbeit des Trojaners nicht mehr ausgesperrt.

Szenarien

"Standalone"-Trojaner

  • Vorgehensweise: dem Verdächtigen wird ein Programm per z. B. E-Mail zugespielt, dass den Bundestrojaner enthält, in der Hoffnung, dass die Zielperson dämlich oder kooperativ genug ist, das Programm auszuführen.
  • Aufwand: relativ gering, da nur der Trojaner geschrieben werden muss und die Infektion im wesentlichen von der Zielperson übernommen wird.
  • Gegenmassnahmen: die üblichen Regeln der Sicherheit (keine fremden Programme öffnen).
  • Erfolgsaussichten: Abhängig von dem Dämlichkeitsgrad der Zielperson. Persönlich schätze ich den möglichen Erfolg mittelmässig ein, da ich dem durchschnittlichen Kofferbomber nicht allzuviel Grips zutraue. Trainierte Angehörige einer professionellen Untergrundorganisation schätze ich als immun ein.
  • Gefahr von Kollateralschäden: Abhängig vom Verbreitungsweg. E-Mail-Adressen können von überall abgerufen werden, so das im schlimmsten Fall der falsche Rechner infiziert wird. Eine CD oder ein USB-Stick könnte in die falschen Hände fallen; bei einem Dateidownload wäre die Gefahr der Fehlinfektion unüberschaubar.

Angriff auf Sicherheitslücken über Internet

  • Vorgehensweise: ein "remote exploit", wie der von "Sasser" ausgenutzte Buffer Overflow im LSASS-Dienst, wird genutzt, um über das Internet in den Rechner der Zielperson einzudringen und den Bundestrojaner zu installieren.
  • Aufwand: hoch bis sehr hoch. Der Buffer Overflow muss ausgenutzt werden, in dem Maschinensprache an die Stelle von Daten in den entsprechenden Bereich geschrieben wird. Programmierer, die Maschinensprache einer bestimmten Rechnerarchitektur beherrschen, haben bereits ein sehr hohes Level erreicht. Zudem muss der Angreifer eine entsprechende Sicherheitslücke in dem System der Zielperson ausmachen können. Hält die Zielperson ihr System aktuell, muss der Angreifer einen neuen Exploit finden (oder erwerben), der dem Hersteller des angegriffenen Programms noch unbekannt ist, und für den es folglich kein Update gibt. Sobald der Exploit bekannt wird, folgt in der Regel auch schnell ein Update, so dass dem Angreifer nur die Zeit zwischen Entdeckung und Update zur Verfügung steht.
  • Gegenmaßnahmen: Ein einfacher DSL-Router blockiert diesen Angriffsweg ohne Probleme, da dieser in der Standardkonfiguration nur jene Pakete nach innen weiterleitet, die von innen angefordert worden sind. Der Angreifer hingegen sieht nur den Router und müsste zunächst diesen knacken, um von dort aus den Rechner der Zielperson zu erreichen.
  • Erfolgsaussichten: die Erfolgsaussichten stufe ich fast als niedrig ein, da ein Router mittlerweile zur Standardausstattung gehört. Höher ist die Erfolgsaussicht bei einem Rechner zu bewerten, der direkt am Internet hängt und sicherheitstechnisch unregelmässig bis gar nicht gepflegt wird; erhöht wird die Wahrscheinlichkeit noch, wenn mehrere Dienste von Drittanbietern auf dem System laufen (beispielsweise ein Webserver), die eher vergessen werden bei einem Update, da sie nicht von dem automatischen Windows-Dienst berücksichtigt werden.
  • Gefahr von Kollateralschäden: abhängig von der vorliegenden Konfiguration. Das sicherste Ziel dürfte ein einzelner Rechner sein, dem eine feste IP-Adresse zugeordnet ist und der direkt am Internet hängt. Dies gibt dem Angreifer die Zeit, das System auf jede Schwachstelle abzuklopfen, ist jedoch ausser bei öffentlichen Servern selten zu finden. Der übliche Anwender geht über eine Wählverbindung mit dynamisch zugewiesener IP online. Der Angreifer muss nun präzise sicherstellen, dass der richtige Computer geknackt wird, da sich die Zielperson wieder ausloggen kann und die IP dann neu vergeben wird.
    Muss der Ermittler zunächst einen Router in seine Gewalt bringen, so muss er acht geben, dass er im dahinter existierenden Intranet den richtigen Rechner erwischt, beispielsweise in einer Wohngemeinschaft. Dazu muss er diesen überhaupt erst identifizieren können.

Angriff auf Sicherheitslücken über nicht-ausführbare Dateien

  • Vorgehensweise: dem Verdächtigen wird eine nicht-ausführbare Datei zugespielt - etwa ein Bild oder ein Musikstück - das aber so präpariert wurde, dass es unter Ausnutzung einer Buffer-Overflow-Lücke in dem darstellenden Programm den Trojaner installiert. Das ist technisch möglich, da in der Vergangenheit immer wieder derartige Sicherheitslücken in z. B. Browsern, Bildverwaltungsprogrammen oder MP3-Playern entdeckt worden sind.
  • Aufwand: hoch bis sehr hoch. Es gelten die gleichen Anforderungen wie für den vorigen Angriffsweg, wenngleich er auch einfacher ist, da keine Firewall zu überwinden ist. Zugute kommt dem Entwickler, dass Anwenderprogramme oftmals nachlässiger gepflegt werden als das Betriebssystem, da es insbesondere unter Windows keine vereinheitlichte Update-Architektur gibt.
  • Gegenmaßnahmen: schwierig. Linux ist hier prinzipiell weniger anfällig, da alle offiziellen Pakete einer Distribution in der Regel über einen Mechanismus aktuell gehalten werden. Unter Windows und Mac OS muss der Anwender seine nicht zum Betriebssystem gehörenden Programme selbstständig aktuell halten. Virenscanner sind gegen eine maßgeschneiderte Anwendung, wie sie von Ermittlungsbehörden zu erwarten sind, weitgehend machtlos.
    Eine Möglichkeit, das Risiko zu minimieren ist es, auch Datendateien aus unbekannten Quellen grundsätzlich zu misstrauen und keine weit verbreitete Software zu verwenden. Der Ermittler kann letzlich nicht wissen, womit die Datei betrachtet wird und wird daher eher die herkömmlichen Programme ins Visier nehmen. Eine strenge Gegenmaßnahme wäre es, etwa nur Text-Dateien in Empfang zu nehmen.
  • Erfolgsaussichten:an sich gut. Letzlich muss die Zielperson in irgend einer Form Datendateien in Empfang nehmen, um überhaupt arbeiten zu können. Die Kollateralschäden jedoch könnten den Erfolg wieder zunichte machen.
  • Gefahr von Kollateralschäden: sehr hoch. Sobald die Datei den Rechner des Ermittlers verlassen hat, kann daraus ein Flächenbrand entstehen. Zuallererst kann, wie bei dem oben beschriebenen Trojanerangriff, der falsche Rechner infiziert werden. Jemand könnte ebenso die Datei nehmen und auf ein Scherzportal hochladen. Der Ermittler sähe sich dann im schlimmsten Fall plötzlich mit der Aufgabe konfrontiert, aus zehntausenden von infizierten Rechnern den Computer der Zielperson ausfindig zu machen.

Angriff auf den Kommunikationsweg

  • Vorgehensweise: der Ermittler klinkt sich in den Internetverkehr der Zielperson ein und manipuliert zielgerichtet Pakete, um Sicherheitslücken auszunutzen oder heruntergeladene Programme um den Bundestrojaner zu ergänzen.
  • Aufwand: exorbitant hoch. Der Ermittler muss den Datenstrom der Internetverbindung selbst manipulieren, und zwar so, dass zielgerichtet eine Sicherheitslücke ausgenutzt werden kann, ohne aber die Verbindung zu unterbrechen oder beispielsweise einen Download zu zerstören. Erschwert wird die Aufgabe, dass er dies aller Vorraussicht an einem Punkt im Netzwerk machen muss, an dem bereits der Internetverkehr vieler Nutzer zusammenläuft.
  • Gegenmaßnahmen: eine verschlüsselte, signierte Übertragung (ssh, pop3s, imaps, https) und signierte Programmpakete. Diese Technologien wurden genau zu dem Zweck entwickelt, dass ein Angreifer die Verbindung nicht abhören oder sich als die Gegenstelle ausgeben kann. Erheblich erschwert wird der Angriff, wenn die Zielperson mit einer verschlüsselten Übertragung ins Ausland tunnelt und dann von dem Tunnelausgang aus ins Netz geht.
  • Erfolgsaussichten: niedrig. In meinen Augen nicht praktikabel und leicht zu umgehen. Allerdings helfen auch Signaturen nichts, wenn der Nutzer die Neigung hat, bei entsprechenden Warnungen auf "OK" zu drücken.
  • Gefahr von Kollateralschäden: hoch. Sitzt die Zielperson hinter einem Router mit mehreren anderen Nutzern, muss der Ermittler den Datenstrom richtig zuordnen. Die infizierte Software - die ja wie gewünscht als harmlos angesehen wird - kann weitergegeben werden.

Kooperation mit der Gegenstelle

  • Vorgehensweise: der Ermittler kooperiert mit dem Anbieter von Software, Internetdiensten u. ä., um die Zielpersön über diese Plattform anzugreifen. Besonders hoch oben auf der Wunschliste dürfte stehen, dem Nutzer manipulierte "Sicherheitsupdates" über die offizielle Quelle unterzuschieben, etwa den Update-Dienst des Betriebssystems.
  • Aufwand: mittel bis hoch. Es hängt letzlich von der Gegenstelle und deren Kooperationsbereitschaft ab. Der Idealfall wäre es, wenn ein Betriebssystemhersteller die Zielperson eindeutig identifizieren könnte und ihr gezielt ein Rootkit unterschiebt. Dies ist jedoch zumindest bei Open Source nicht möglich, da die Pakete anonym abgefragt werden können. Eine Social Networking-Seite könnte zumindest den Benutzer identifizieren, es wäre aber nicht gewährleistet, dass der an seinem Rechner sitzt, zudem muss ein Buffer Overflow ausgenutzt oder ein Trojaner untergeschoben werden.
    Erfolgsaussichten: unterschiedlich. Der Angriff enthält diverse Unwägbarkeiten. Zentral ist die Kooperationswilligkeit des Anbieters, gepaart damit, ob der Angriff erfolgreich sein wird (siehe Problematik bei nicht-ausführbaren Dateien oder Trojanern).
  • Gegenmaßnahmen: Betriebssystem benutzen, das eine Identifizierung nachweislich nicht erlaubt. Updates als Einzelpakete von einem fremden Rechner aus herunterladen. Auch bekannten Plattformen misstrauen.
  • Erfolgsaussichten: hoch bis niedrig; hoch nur im Idealfall, ansonsten siehe oben.
  • Gefahr von Kollateralschäden: im Idealfall recht gering, da die Maßnahme präzise ist und die Updates üblicherweise nicht weitergegeben werden (falls das überhaupt geht). Im Falle von manipulierten Dateien gelten die gleichen Vorbehalte wie in den vorgenannten Punkten.

Allgemeine Gegenmaßnahmen

Allen möglichen Angriffswegen kann durch einige Sicherheitsmaßnahmen wirkungsvoll entgegnet werden. Zunächst sollte die Zielperson ein Betriebssystem verwenden, unter dem ein Account mit limitierten Rechten eingerichtet werden kann. Verwendet er zudem ein weniger weit verbreitetes Betriebssystem, steigt der Aufwand für die Ermittler. Denkbar wäre etwa eine Version von BSD, da die Verantwortlichen hohen Wert auf vorbeugende Sicherheitsmaßnahmen in der Entwicklung legen. Windows als das verbreitetste Desktop-Betriebssystem ist natürlich das beliebteste System für Angreifer, da selbst ein perfekter BSD-Wurm (so er existieren könnte) weit weniger "Nutzen" verspricht als ein Windows-Wurm. Es existiert folglich auch eine breite Szene, auf die Ermittler im Zweifel zurückgreifen und aus der sie rekrutieren könnten. Seltenere Systeme sind daher alleine durch ihren Exotenstatus geschützt.
Je nachdem ob der Trojaner mit der Aussenwelt kommuniziert oder nur im Hintergrund Tastatureingaben mitschreibt für eine spätere Auswertung, kann die Zielperson den Netzwerkzugang von innen nach aussen beschränken und vor allem überwachen, um nach verdächtigen Verbindungen ins Internet zu fahnden. Damit kann sie sich nicht nur schützen, sondern weiss auch, dass gegen sie ermittelt wird. Dies wäre ein Ansatzpunkt für eine gezielte Fehlinformation der Polizei, um etwa von tatsächlichen Anschlagszielen abzulenken und würde den Zweck der Online-Durchsuchung ins Gegenteil verkehren.
Die effektivste Sicherheitsmaßnahme ist jedoch, einen zweiten Rechner als geschlossenes System aufzusetzen. Eine Terror- oder Untergrundorganisation könnte ihren Mitgliedern Computersysteme zur Verfügung stellen, an denen der Nutzer nichts ändern kann, die keinen Internetanschluss haben und auf denen nur die Verschlüsselungssoftware läuft. Nachrichten könnten per USB-Stick von und zu dem Chiffrierrechner übertragen werden.

Fazit

Zu Beginn steht ein Paradoxon: die Onlinedurchsuchung wird in Stellung gebracht gegen jene, die verschlüsseln und ihren Rechner gegen eine forensische Untersuchung schützen. Das sind aber bereits Nutzer, die sich mit der Problematik auseinandergesetzt haben und dementsprechend in der Lage sein sollten, sich mittels allgemeiner Gegenmaßnahmen zu schützen. Vollends ins Leere greift die Online-Durchsuchung, wenn der Durchsuchungsrechner gar nicht online ist...
Als nächstes der Aufwand. Entwickler von Schadsoftware, die diese für kriminelle Zwecke entwickeln (Botnetze) setzen auf die Masse der Nutzer, die sie erreichen. Bei einem Angriff auf mehrere Millionen Rechner ist es wahrscheinlich, dass eine bestimmte Anzahl von verwundbaren Systemen darunter zu finden ist. Der Ermittler muss hingegen eine bestimmte Person in ihrer speziellen Umgebung angreifen. Ein maßgeschneiderter Angriff ist ungleich schwerer. Der Aufwand steigt unverhältnismässig, sobald die Zielperson grundlegende Gegenmaßnahmen ergriffen hat.
Kommen die möglichen Kollateralschäden, die in fast allen Szenarien nicht sicher auszuschliessen bzw. unüberschaubar hoch waren.

Daraus resultierend halte ich die Onlinedurchsuchung für eine ineffektive, teure Maßnahme, die in der Praxis vermutlich mangels Sachkenntnis und Aufwand so gut wie keine Ergebnisse erzielen wird, zumindest nicht im Bereich der Schwerkriminalität. Das Grundproblem bleibt die Unberechenbarkeit. Eine gewöhnliche Hausdurchsuchung folgt einem klaren Prozedere und sie kann vor allem berechenbar zu einem Zeitpunkt X stattfinden, da sich die Polizei im Zweifel gewaltsam Zutritt verschaffen kann. Das Kräfteverhältnis ist zugunsten der Polizei ausgerichtet. Der Erfolg der Onlinedurchsuchung hingegen ist abhängig davon, ob der Rechner der Zielperson beizeiten geknackt werden kann und dies unbemerkt bleibt. Das Kräfteverhältnis ist zugunsten des Nutzers ausgerichtet.

Im schlimmsten Fall fängt die Polizei überwiegend "Hühnerdiebe" mit der Online-Durchsuchung. Dann stünde Aufwand und Erfolg in keinerlei Verhältnis, von den gesellschaftspolitischen Implikationen einmal abgesehen. Als weiterer negativer Effekt könnten herkömmliche Bürger mehr das Vertrauen in den Staat verlieren und sich beispielsweise gehemmt sehen, im Zuge elektronischer Verwaltung Programme auf ihrem Computer zu installieren. "Verstoss gegen die Urheberrechte" ist nun mal ein Massendelikt, weshalb eine Mehrheit sich durch den "Bundestrojaner" bedroht fühlen könnte. Zu den finanziellen Kosten kommen also noch die politischen, die die Maßnahme vollends ausserhalb jeden vernünftigen Rahmen stellen.

Letzlich wäre es effektiver, die für die Online-Durchsuchung angedachten Mittel in herkömmliche Polizeiarbeit zu investieren.

Kommentieren

Bitte beachten: Kommentare sind nicht sofort sichtbar, sondern werden erst nach einer kurzen Prüfung freigegeben, sofern keine rechtliche Beanstandung vorliegt.
Rechtlich bedenkliche Inhalte werden entweder entschärft oder nicht veröffentlicht.

* Titel  
* Nickname  
* Kommentar