| Start | Bilder und Berichte | über uns | Kunst und Krempel | Links | Neues | Blog | Geodienste | Kontakt |

Schnipsel

< Sie sind gelandet | Belagerungszustand >

Wednesday, 18. July 2007

Dokumentation zum FBI-Trojaner

In den USA gibt es ja gerüchteweise schon länger das, was bei uns Bundestrojaner genannt wird. Die Amis nennen das CIPAV (Computer and Internet Protocol Address Verifier) und verwenden es wohl weniger als heimlichen Schnüffler auf der Festplatte als vielmehr als Spürhund für versteckte Surfer.

Jetzt gibts erstmalig (soweit ich weiss) eine Dokumentation zu diesem Programm, nachzulesen in einer beeideten Erklärung eines FBI-Agenten zu einem Gerichtsverfahren wegen falscher Bombendrohungen. Die Geschichte wird bei Heise, Gulli und c|net erzählt, deshalb nur in Kürze:
Ein Schüler einer high school eröffnet einen Account bei Myspace, lädt andere Schüler ein, unterhält sich mit denen über ein Sprengstoffattentat auf seine Schule. Er schickt auch Bombendrohungen an die Schule die zur Evakuierung derselben führt.
Zum Anmelden bei Myspace und in seine Mailaccounts verwendet er aufgemachte Proxies, unter anderem in Italien beim dortigen Nationalen Institut für Nuklearphysik.
Deshalb kommt das FBI mit den IP-Adressen von Myspace, Google-mail ... nicht weiter und setzt CIPAV ein.
Sie erwischen den Schüler und verknacken ihn zu 90 Tagen Arrest. In diesem Prozess ist die Anordnung des Schnüffeleinsatzes wichtig. In dessen Anforderung gibt es die Erklärung des Special Agent Sanders, der erzählt, was CIPAV ist und wie es funktioniert.

Interessant ist, was dieses CIPAV alles tut, so richtig klar ist es natürlich nicht beschrieben, aber es eine Vorstellung bietet die Erklärung schon:

  • CIPAV muss zugestellt werden. Das Verfahren zur Zustellung ist ein "electronic messaging program from an account controlled by the FBI". Also Mail oder Instant Messenger. c|net behauptet, die Wortwahl spräche im FBI-Jargon für Mail. Alternative Methode wäre ein Angriff über den Browser, ausgelöst durch Manipulation in seinem Myspace-Profil.

  • Die Zustellung erfolgt zwischen 6 und 22 Uhr, weil nur zu dieser Zeit Durchsuchungsbeschlüsse zugestellt werden dürfen (jo, klingt kurios). Die "activation" durch das Opfer wird aber zu einem späteren unbestimmbaren Zeitpunkt vorgenommen. Auch das spricht für Mail oder Message, finde ich.

  • Danach macht sich CIPAV genau ein mal auf die Suche auf dem Zielrechner und ermittelt IP-Adresse, MAC-Adresse, offene Ports, Betriebssystem mit Seriennummer, laufende Programme, alles was sich auf Windows-Rechnern mit "SET" ermitteln lässt, den angemeldeten User, die History des Browsers.

  • Später übermittelt es permanent, aber nur noch IP-Adresse, "Kontaktdaten der elektronischen Kommunikation", Routing der Kommunikation.


In dem ganzen Text wird der Begriff "registry" und "environment" auf die Umgebung des Browsers bezogen, also Spracheinstellung und solche Dinge, sehr tief scheint das Ding nicht ins Betriebssystem einzudringen. Allerdings frage ich mich, wie man so oberflächlich dann "alle IP-Adressen der elektronischen Kommunikation" erfassen will. Es sei denn man schränkt auch diesen Begriff auf "Outlook und Internet-Explorer" ein.

Alles in allem ein recht interessanter Bericht, um den Stand der Technik bei hölzernen Polizeipferdchen zu erfahren, ohne die Phantasie gross anzustrengen. Und auch irgendwie beruhigend. Von "Schlüsselwortsuche" wie sie unserem Kabinett vorschwebt ist das noch weit entfernt und mein Betriebssystem ist sicher nicht berücksichtigt. Allerdings ist CIPAV auch nicht direkt als Schnüffeltool konzipiert sondern als Suchhilfe. Über Art und Verbreitungsweg von Nachfolgern oder gefährlicheren Brüdern dieses Pferdes wird leider nichts erzählt. Eine weitere Ausforschung des übernommenen Zielrechners muss aber beabsichtigt sein, sonst bräuchte man die Liste der offenen Ports und der laufenden Programme ja nicht.

Leider ist nicht klar, inwieweit die Mithilfe des Opfers bei der Aktivierung des Trojaners erforderlich ist. Das hätte ich noch gerne gewusst, ob "suesse_terroristin.exe" als Attachmentname ausreicht oder ob irgendwelchen raffinierteren Automatismen in Mailprogramme/Messengers zum Einsatz kommen. Gegen Automatismen spricht aber wieder, dass der Schüler Webmail-Dienste benutzt hat, seine unfreiwilligen italienischen Verbündeten haben ja vermutlich nur einen Web-Proxy zur Verfügung gestellt.

Basierend auf  der Vermutung, der Schüler sei so raffiniert  vorgegangen und würde nie ein Attachment anklicken oder einem Link in einer Message folgen kommen andere zum Schluss, ein Mailattachment scheide aus, es können nur ein Browserbug und ein manipuliertes Myspace-Profil sein. Ich bin mir da nicht so sicher, wer lange genug mit jemandem chattet findet sicher einen Ansatzpunkt, den ein Programm ausführen zu lassen.
Geschrieben von Max in Überwachung um 21:52 | Kommentare (0) | Trackbacks (0)

Trackbacks
Trackback-URL für diesen Eintrag



Kommentar schreiben

Umschließende Sterne heben ein Wort hervor (*wort*), per _wort_ kann ein Wort unterstrichen werden.
BBCode-Formatierung erlaubt
Die angegebene E-Mail-Adresse wird nicht dargestellt, sondern nur für eventuelle Benachrichtigungen verwendet.

Um maschinelle und automatische Übertragung von Spamkommentaren zu verhindern, bitte die Zeichenfolge im dargestellten Bild in der Eingabemaske eintragen. Nur wenn die Zeichenfolge richtig eingegeben wurde, kann der Kommentar angenommen werden. Bitte beachten Sie, dass Ihr Browser Cookies unterstützen muss, um dieses Verfahren anzuwenden.
CAPTCHA
  Deine IP-Adresse wird beim Absenden für maximal 2 Tage gespeichert und zur Spamvermeidung gegen eine lokale schwarze Liste abgeprüft. Falls Du "Daten merken" ankreuzt, werden Deine eingegebenen Daten einen Monat lang auf Deinem Rechner in Form von Cookies gespeichert. Wer keine Mailadresse angeben will, muss das auch nicht tun. Der Name darf gerne, muss aber nicht Dein echter Name sein...
 
 
 
 

Kategorien

Verwaltung des Blogs

Login