Bundestrojaner - Abwehrmöglichkeiten

Hab grad gelesen, dass die SPD es geschafft hat, die heimlichen Online-Durchsuchungen doch irgendwie durchzuboxen (Haha, jetz muss man schon SED-Nachfolger oder Nazis wählen, wenn man nicht durchsucht werden will) und damit kommt ja auch das Wort Bundestrojaner wieder auf.

Jetz meine Frage, wie kann man es schaffen, seinen PC (vom LAN-Kabel abziehen mal abgesehen) so abzusichern, dass keinerlei unberechtigter Zugriif von außen mehr möglich ist?

Den Antivirenherstellern werden sicher Vorgaben gemacht werden, welche Methoden sie dann nichtmehr abdecken dürfen also kann man sich wohl nichtmehr auf gängiges AV-Material verlassen doch würden 2 Router mit komplett unterschiedlichen Firewalls hinternander sowie weitere Firewalls auf dem Rechner genügen, um den Trojaner aufzufangen?

Oder sollte man einen Proxyrechner für den Internetzugang dazwischenstellen, der nix weiter macht als ständig sich überprüfend und abgesichert lediglich als Gateway fungiert und eingehende Pakete so sortiert, dass sie nur von Seiten/IPs angenommen werden, die man vorher ausdrücklich festgelegt hat, der Rest aber in Quarantäne wandert?

Wie siehts aus mit verstecktem und verschlüsseltem Betriebssystem oder der Verwendung von Live-CDs beim Inetzugang?

Oder benutzt man ein Lockvogelsystem, welches die Aufmerksamkeit auf eine bestimmte Festplatte mit lauter zusammenhanglosen Schlüsselwörtern lenkt, man seinen Privatkram aber woanders unterbringt?

Normalerweise heißt es ja, wenn man nix verbrochen hat, hat man nix zu befürchten aber da das Ganze heimlich geschieht und so ziemlich das Privateste von irgendwelchen überwachungsgeilen Spitzeln begafft wird, sollte man wenigstens über Gegenmaßnahmen (von der Wahl mal abgesehen, so eine Regierung is schlimmer als Stasi) reden, vllt kommt ja etwas Sinnvolles raus.

Wenn kein unknackbarer Schutz geht, dann sollte man mindestens die Hürden so hoch hängen, dass die durchschnittliche Arbeitszeit eines Bundeshackers nicht ausreicht und man seinen Schutz in solchen Abständen ändert, dass sich der Spitzel auf immer neue Gegebenheiten einstellen muss. (wenn er noch überlegt, wie man die Holzpallisaden erklimmt, sollte man dahinter schon nen Graben mit Spießen gebuddelt haben)

Das Ganze hat etwas vonnem Katz und Maus Spiel aber es regt auch die Kreativität an und es ist sicher lustig, wenn irgendein Spitzel dann mal eine Begrüßung vorfindet mit der Ankündigung, dass er durch seinen Hack eine Retourkutsche erfuhr, indem man seine Daten mit Antikörpern versieht, die bei der Übertragung ganz einfach das Spiel umdrehen.

Gibt soviele Möglichkeiten nur welche ist die Realistischste?

Also, Programmierer, Hobbyhacker, Spezialisten, jetzt seid ihr gefragt, die politische Seite des Bundestrojaners mal auszublenden und rein mit technischen Mitteln Strategien und Ideen zu entwickeln, wie man sein System in eine Festung umbaut, denn eins is mal sicher, nen Bundestrojaner schmuggelt sich durch jedes kommerzielle Programm, denn die werden mit Sicherheit Lücken lassen müssen.

Dein Vorschlag mit dem Lockvogelsystem hört sich doch gut an. Wenn jeder User sowas machen würde wäre der Bundestrojaner ja für den Popo, bzw. ziemlich aufwändig auszuwerten.

Aber wie bekommt man den denn jetzt? Bei neuen Betriebssystemen wäre es wohl am einfachsten wenn er gleich im Lieferumfang dabei ist.

Aber als normaler User? Ich dachte der Bundestrojaner richtet sich an den dümmsten anzunehmenden User der bedenkenlos auf exe. Dateien von unbekannten Absendern draufklickt?

ist der rechner am netz, gibt es keinen hundert prozentigen schutz.
eine hardware firewall ist recht sinnvoll, die kann sich sogar der "normal" user kaufen und konfigurieren. sollte aber klar sein, dass dies nur eine hürde darstellt.

Der größte Fehler, den Leute begehen, wenn sie an den Bundestrojaner denken ist, das man sich einen Hacker vorstellt, der irgendwo vor seinem Rechner hockt und mittels irgendwelcher Tricks einen Trojaner auf einen Rechner installiert. Nur - warum so kompliziert? Geht doch viel einfacher!

Wir reden ja vom Staat. Der hat die tollsten Befugnisse und jede Menge Geld zur Verfügung. Warum also sollte sich der Staat nicht einfach in den Deutschen Internetknotenpunkt einklinken? Wenn er das tut, kann er Datenpakete mithören, kopieren und austauschen. Ihr ladet euch den neusten Firefox runter? Ein Windows Update? Tja - ist das denn wirklich nur das, was es zu sein scheint? Oder hat jemand die Pakete manipuliert und man installiert sich den Bundestrojaner? Exakt abgestimmt auf das System, angepasst an die Firewall und den Virenscanner?

Weit hergeholt? OK, dann komme ich jetzt mal zu den Fakten.

Wie man am 23.09.2006 in der ct lesen konnte, plante unser aller geliebter Schäuble die Einrichtung einer "Internet Monitoring und Analysestelle". Wenn man den Bericht liest, klingt das vergleichsweise harmlos:

http://www.heise.de/newsticker/Bericht-Anti-Terror-Zentrum-ueberwacht-Online-Aktivitaeten--/meldung/78590

Ich meine - hey, wir sprechen doch bloß von ein paar Typen, die rumsurfen und sich Webseiten angucken. Genau! Darum soll der Spaß auch 139 Millionen Euro verschlingen:

http://www.heise.de/newsticker/Online-Durchsuchung-von-PCs-durch-Strafverfolger-und-Verfassungsschutz--/meldung/821

139 Millionen Euro für einen Satz Rechner und einen Sack voll Angestellten? Hmmm... Ob unser Herr Schäuble vielleicht etwas ganz anderes im Sinn hat?

Wie man am 25.10.2006 lesen konnte, rüstet der Deutsche Internetknotenpunkt DE CIX, über den auch die Datenpakete dieses Postings liefen, seine Router um. Dort arbeitet man jetzt nicht mehr mit Cisco sondern mit Routern von Force 10 Networks:

http://www.heise.de/newsticker/Datendrehkreuz-DE-CIX-wird-aufgeruestet--/meldung/80021

Und jetzt wird es spannend: Force 10 Networks liefert auch Router an die NSA. Die P-Series dieser Router ( http://web.archive.org/web/20070125164751/http://www.force10networks.com/products/p-series_overview.asp ) enthält eine Funktion mit der Bezeichnung lawfully authorized electronic surveillance and CALEA applications. Damit hört die NSA den Internetdatenverkehr der gesamten USA ab. Und nein, das habe ich mir nicht ausgedacht, das ist ein offizieller, aktenkundiger und vom Gericht anerkannter Fakt:

http://futurezone.orf.at/hardcore/stories/112618/ (Archiv-Version vom 11.06.2006)

Ich höre schon die ersten Unkenrufe. "Ich nutze ein VPN" - ahja. Dann hoffe ich mal, das die VPN-User keine Deutschen Seiten aufrufen. Oder eigentlich europäische, den auch wenn der Knotenpunkt DE CIX heisst, so läuft nicht nur der Deutsche Datenverkehr darüber. Zudem lässt sich jede Datenübertragung mithilfe der Force 10 Geräte stören. Schon blöd, wenn die Datenrate bei einem Kilobyte liegt und man sich ein paar hundert MB Updates runterladen will. Naja, Updates will ja keiner verheimlichen. Also schaltet man sein VPN aus.

Ihr habt eine Firewall, die auch die Interprozesskommunikation überwacht? Das ist natürlich fein (wenn auch irre aufwändig; zudem dürften nur die wenigsten Leute verstehen, was sie da tun). Nun, wie auch immer, ich hoffe ihr fahrt die Updates für die Firewall über ein VPN. Naja, wenn das geht, heißt das. Ansonsten ist nämlich bekannt, mit welcher Firewall ihr arbeitet. Und bekanntermaßen haben auch Firewalls Lücken.

Aber das ist ja alles total weit hergeholt. Denn immerhin müsste der Staat dafür unbekannte Sicherheitslücken sammeln, und die kann man nur in den finstersten Ecken des Internets besorgen. Und das würde der Staat natürlich niemals tun. Überhaupt, sowas gibt es nicht. Oder etwa doch? http://www.gi-ev.de/aktuelles/meldungsdetails/meldung/167/ (Archiv-Version vom 07.12.2007)

Natürlich lässt sich mit so einem gehackten Rechner einiges anstellen. Ihr habt eine Webcam? Super! Das spart dem Staat eine Menge Geld. Eine Webcam mit Mikro? Perfekt!

Ich wünsche euch noch ein schönes Jahr 1984...

Webcam abziehen...

Warum hast Du das getan? Ich habe ein Vermögen mit 0190-GilbMLRS.com verdient :-(

Das glaub ich dir gern aber ich möchte ab sofort Honorar.

Die beste Möglichkeit (meiner Meinung nach) seine Daten vor sowas zu schützen ist, sein Rechner, mit den für den Staat interessanten Daten, komplett vom Netzwerk zu nehmen und stattdessen mit einem anderen Rechner, der nur das wichtigste und legalste Zeug drauf hat, ins Internet zu gehen. Und wenn man kein Bock hat sich etwas zu kaufen (Musik, Spiele, Filme, andere Software, usw.), dann gibt es noch Lan-Partys, wo man sich das Zeug ziehen kann. Irgend einer hat das gesuchte Zeug bestimmt und wenn nicht, dann bittet man jemanden ganz lieb darum, es zu beschaffen, sodass man sich nicht die Hände schmutzig machen muss :}.
Sicherlich gibt es da bessere Möglichkeiten, aber da kenne ich mich nicht so gut aus.

@moredread:
das was du beschreibst ist der man-in-the-middle-angriff. dieser ist aber kompliziert (wegen headermanipulation der pakete) und bei verschlüsselten verbindungen sehr schwierig effektiv umzusetzen. denn beim zweiten müsste man schon in dem moment mitlauschen, wo die schlüssel ausgetauscht werden. allerdings werden bei informationen die wirklich sicher sein sollen, der schlüssel über ein drittes medium übertragen.

ansonsten gibt es auch gegen diesen angriff effektive methoden, die aber eher kompliziert sind und sich nicht so einfach auf das www übertragen lassen.

@Gibmirs

bevor du weiter irgendwelche üblichen Falschinformationen weiter verbreitest, solltest du dich vielleicht erst mal in die Sicherheitstechnik in der EDV einlesen.

Sehr empfehlenswert:

http://www.ntsvcfg.de/linkblock.html (Archiv-Version vom 15.10.2008)

http://www.bsi.bund.de/

nachtrag:
zudem würde eine solche manipulation auch schnell auffallen. durch das abhören und verändern der pakete entsteht eine spürbar höhere latenz, was so manche anwendungen ziemlich unbenutzbar machen würde (bspw. onlinespiele, die auf eine niedrige latenz angewiesen sind). da müsste dann schon ein guter paketfilter her, womit man aber wieder bestimmte medien ausschließen würde und die wirklich interessanten sachen, dann einfach darüber abgedeckt werden.

von den verschiedenen betriebssystemen fange ich mal lieber garnicht erst an. ich denke der bundestrojaner wird nichts besonders intelligentes, dafür haben politiker zu wenig ahnung von dieser materie und echte cracks die so einen guten trojaner schreiben könnten, arbeiten sicher nicht im öffentlichen dienst.

und irgendwann fällt jeder virus auf, spätestens bei denen, die sich mit so etwas auskennen und ihren netzwerkverkehr von außen mitsniffen. treffen wird es dann nur die, die auch jetzt schon fleißig viren sammeln, weil sie jeden anhang in mails öffnen und mit den unsichersten programmen im netz rumhängen. ob bei denen aber dann interessante informationen zu finden sind, möchte ich arg bezweifeln ;). meiner meinung nach ist das ding ein schuss in den ofen und die idee dafür kann nur von jemanden kommen, der von technik keinerlei ahnung hat: hallo herr schäuble ;)...

@UffTaTa

Ich habe in meinem Eingangspost nur Fragen gestellt und ich muss mich nich von jemandem belehren lassen, der nicht weiß, wie man mithilfe eines Switches mehrere Rechner annem handelsüblichen Router mit zwei LAN-Buchsen anschließt.

btw. lern endlich, meinen Nick ordentlich zu schreiben.

Guggen hier

@Zoddy

Du darfst nicht vergessen, das unter diesem Gegriff "Bundestrojaner" auch jede andere Massnahme zur elektronischen Überwachung zusammengefasst ist. Das reicht von Key-Loggern, über Datenwanzen zu all den bekannten Standard Überwachungsmassnahmen. Im Prinzip wird der grosse Lauschangriff eben auch auf den Internetverkehr bzw. die elektronische Datenverarbeitung erweitert.

Es kann im Zuge der Installation des Bundestrojaners durchaus dazu kommen, das in die Wohnung des Verdächtigen eingebrochen werden muss, um Programme zu installieren oder Keylogger in die Tastatur zu fummeln.

@Zoddy

> das was du beschreibst ist der man-in-the-middle-angriff. dieser ist aber kompliziert
> (wegen headermanipulation der pakete) und bei verschlüsselten verbindungen sehr
> schwierig effektiv umzusetzen. denn beim zweiten müsste man schon in dem
> moment mitlauschen, wo die schlüssel ausgetauscht werden. allerdings werden bei
> informationen die wirklich sicher sein sollen, der schlüssel über ein drittes medium
> übertragen.

Naja, der Haken ist nur, in den USA funktioniert es offenbar prima. Aktenkundig geworden ist die Sache ja wegen Datendiebstahls - und zwar bei großen Banken. Die haben zuerst den Provider verklagt. Dann kam raus, das der Provider unschuldig war und die ganze Sachen wegen eines Lecks beim NSA geschehen ist.

Klar ist eine Man-in-the-middle-Attack nicht gerade einfach. Aber die Hardware des DE-CIX ist ja von vorneherein darauf ausgelegt. Genau das, was Du sagst, war mein erstes Gegenargument, als ich über diese Idee gestolpert bin. Ich denke, das ist in großem Umfang möglich. Naja, und ich muss die Man-in-the-middle-Attacke ja nicht ausschliesslich benutzen. Es reicht, wenn ich auf dem Wege einen Trojaner in das System einschleuse. Danach ist Schluss mit Lustig.

Aber ich lege nicht die Hand dafür ins Feuer, das es so ist. Ich finde lediglich die Indizien, die darauf hinweisen, ziemlich erschreckend.



> von den verschiedenen betriebssystemen fange ich mal lieber garnicht erst an.

Auf dem Schwarzmarkt gibt es Cracks für jedes System, und so, wie es aussieht, kauft unsere Regierung solche Cracks.


> und irgendwann fällt jeder virus auf, spätestens bei denen, die sich mit so etwas
> auskennen und ihren netzwerkverkehr von außen mitsniffen.

Wie soll das funktionieren? Wenn Du Dir ein Windows-Update runterlädst, und in Wirklichkeit der Bundestrojaner auf dem System eingespielt wird - wie möchtest Du das mitsniffen? Der Aufruf von Seiten mit Prüfsummen nutzt da übrigens wenig. Denn wenn Du das immer machst, dann ist das natürlich bekannt, schliesslich sieht man, auf welche Seiten Du gehst.



> meiner meinung nach ist das ding ein schuss in den ofen und die idee dafür kann
> nur von jemanden kommen, der von technik keinerlei ahnung hat: hallo herr
> schäuble

Da habe ich meine Zweifel. Ich habe mal eine Weile beim Bundesamt für Sicherheit in der Informationstechnik gearbeitet und einige der Verantwortlichen kennengelernt. Du hast in einem Recht: Die Politiker dort haben von Tuten und Blasen keine Ahnung. Die Techniker, mit denen ich gesprochen haben, waren aber äußerst fit. Und hin und wieder kommt es vor, das ein Politiker den Technikern ein Ohr leiht...

Es kann im Zuge der Installation des Bundestrojaners durchaus dazu kommen, das in die Wohnung des Verdächtigen eingebrochen werden muss, um Programme zu installieren oder Keylogger in die Tastatur zu fummeln.

Ich habn kleines Vaio, lässt sich prima verstecken und als Server für ne kleine Überwachungskamera verwenden, die logischerweise offline arbeitet, dafür brauch man nur ne handelsübliche Webcam und ein Freeware-Programm, welches man als "Betriebssystem" für die Kamera einsetzt. Das Gesamte Ding versiegelt irgendwo installiert und LAN-Buchse freigelassen, schon kann man sich die Bilder bequem aufn Laptop laden und sieht, was tagsüber so durch die Wohnung marschiert.

Und so bekommt man jeden Einbrecher vor die Linse egal, welches Amt er bekleidet.

@moredread:
Es reicht, wenn ich auf dem Wege einen Trojaner in das System einschleuse. Danach ist Schluss mit Lustig.
erstens ist dieser weg schon durchaus kompliziert, vor allem bei leuten die sich mit so etwas auskennen und zweitens ist auch nicht schluss mit lustig, nur weil das ding auf deinem computer hockt. auch da gibt es noch genügend gegenmaßnahmen. man darf nie vergessen: egal wie ausgetüftelt solch ein trojaner ist, er kann nicht bspw. das netzwerk neu erfinden.

Auf dem Schwarzmarkt gibt es Cracks für jedes System, und so, wie es aussieht, kauft unsere Regierung solche Cracks.
na dann finde mal die sicherheitslücken im openbsd-system bspw. klar, für windows gibt es etliche.

Wie soll das funktionieren? Wenn Du Dir ein Windows-Update runterlädst, und in Wirklichkeit der Bundestrojaner auf dem System eingespielt wird - wie möchtest Du das mitsniffen? Der Aufruf von Seiten mit Prüfsummen nutzt da übrigens wenig. Denn wenn Du das immer machst, dann ist das natürlich bekannt, schliesslich sieht man, auf welche Seiten Du gehst.
der trojaner muss ja nun einmal nach außen kommunizieren. da er wohl kaum selbst hardware baut, wird er sich wohl mit ganz normalen netzwerkverkehr zufrieden geben müssen und dieser ist absolut leicht mitzusniffen. und selbst in windows lassen sich tief ins system gegrabene viren finden.

Da habe ich meine Zweifel. Ich habe mal eine Weile beim Bundesamt für Sicherheit in der Informationstechnik gearbeitet und einige der Verantwortlichen kennengelernt. Du hast in einem Recht: Die Politiker dort haben von Tuten und Blasen keine Ahnung. Die Techniker, mit denen ich gesprochen haben, waren aber äußerst fit. Und hin und wieder kommt es vor, das ein Politiker den Technikern ein Ohr leiht...
nun, ich weiß jetzt nicht, was du unter fit verstehst und inwieweit du selbst ahnung von diesem thema hast, aber ich habe selbst im öffentlichen dienst gearbeitet. zudem kenne ich - bedingt durch meinen job - einige wirklich talentierte admins. und die sind eigentlich alle einer meinung: im öffentlichen dienst sind keine echten cracks zu finden. warum auch? ist man in der freien wirtschaft doch wesentlich besser aufgeoben.

im öffentlichen dienst sind keine echten cracks zu finden. warum auch? ist man in der freien wirtschaft doch wesentlich besser aufgeoben.

Einwas kannste glauben, wenn der Staat Spezialisten brauch, dann holt der sich die. Und wenns leihweise der nette Herr vom MAD ist. Was Bürger nich weiß, das macht ihn nich heiß.

GilbMLRS schrieb:Haha, jetz muss man schon SED-Nachfolger oder Nazis wählen, wenn man nicht durchsucht werden will)

Traurig aber leider wahr :-(

@gilb:
ja nur das ich in der vergangenheit eher die erfahrung gemacht habe, das man sich lieber die größten quacksalber, denn echte spezialisten holt. und selbst wenn, begrenzt man sie so sehr in ihren möglichkeiten, das sie sich nicht austoben konnten...