Schnüffelsoftware weltweit in Aktion
Von Matthias Becker · 12.06.2013
Sie können Passwörter stehlen, Skype-Anrufe mitschneiden oder die Webcam einschalten: Mit ausgefeilten Spionage-Programmen verschaffen sich Polizei und Nachrichtendienste Zugang zu privaten Informationen. Nun mehren sich die Hinweise, dass diese Methoden in weiten Teilen der Welt eingesetzt werden.
"Ich habe eine E-Mail auf meinem Telefon erhalten. Die sah so aus, als käme sie von einer Aktivistin, einer mir unbekannten Oppositionellen, die sich im Vertrauen an mich gewandt hatte. Sofort hab ich versucht, die E-Mail zu öffnen, sogar mehrfach, aber es funktionierte nicht. Dann habe ich sie an einen Freund, einen Computerfachmann, weitergeleitet. Und der meinte dann nur: ‚Du hast mir gerade einen Virus geschickt.‘"
Ala'a Shehabi ist eine bekannte und einflussreiche Oppositionelle aus Bahrain. Als der Arabische Frühling vor zwei Jahren ihr Heimatland erfasste, beteiligte auch sie sich an den Protesten. Die schlanke Frau, die ein buntes Kopftuch trägt, lebt mittlerweile in London.
"Ein paar Tage später bekam ich wieder eine, diesmal angeblich von einer Journalistin von Al Jazeera. Und die schrieb, im Anhang sei ein Bericht über die Folterungen eines bekannten Menschenrechtsaktivisten. Jetzt war ich etwas misstrauisch, weil ich von solchen Berichten noch nie gehört hatte. Wer war das eigentlich, der mir das schickte? Danach kamen noch drei solche E-Mails, aber nun war mir völlig klar, dass sie versuchten, mich dazu zu bringen, die Anhänge herunterzuladen."
Ala'a Shehabi wandte sich an einen befreundeten Computerwissenschaftler, Bill Marczak vom Citizens Lab, einem kanadischen Institut für Computersicherheit.
"Sobald man die Anhänge öffnete, versuchte der Computer, Verbindung mit einem Server in Bahrain aufzunehmen. Wir haben dann die Funktionsweise des Trojaners analysiert. Er installiert ein ausgefeiltes Spionage-Programm, das Passwörter stiehlt, eine Liste der besuchten Webseiten und E-Mails überträgt, Skype-Anrufe mitschneidet, und – das ist wahrscheinlich das Erschreckendste – das Programm kann sogar die Webcam und das Mikrophon einschalten, um Vorgänge in dem Raum auszuspionieren, in dem der Computer steht."
Offenbar wurde Ala'a Shehabi Opfer eines Staatstrojaners, wahrscheinlich geschickt von Behörden des Königreichs Bahrain. Bill Marczak und seine Kollegen fanden im Programm-Code das Wort FinSpy. Das ist einer der Hinweise darauf, dass es sich bei der Software um ein Produkt der deutsch-britischen Firma Gamma International handelt.
Ala'a Shehabi ist eine bekannte und einflussreiche Oppositionelle aus Bahrain. Als der Arabische Frühling vor zwei Jahren ihr Heimatland erfasste, beteiligte auch sie sich an den Protesten. Die schlanke Frau, die ein buntes Kopftuch trägt, lebt mittlerweile in London.
"Ein paar Tage später bekam ich wieder eine, diesmal angeblich von einer Journalistin von Al Jazeera. Und die schrieb, im Anhang sei ein Bericht über die Folterungen eines bekannten Menschenrechtsaktivisten. Jetzt war ich etwas misstrauisch, weil ich von solchen Berichten noch nie gehört hatte. Wer war das eigentlich, der mir das schickte? Danach kamen noch drei solche E-Mails, aber nun war mir völlig klar, dass sie versuchten, mich dazu zu bringen, die Anhänge herunterzuladen."
Ala'a Shehabi wandte sich an einen befreundeten Computerwissenschaftler, Bill Marczak vom Citizens Lab, einem kanadischen Institut für Computersicherheit.
"Sobald man die Anhänge öffnete, versuchte der Computer, Verbindung mit einem Server in Bahrain aufzunehmen. Wir haben dann die Funktionsweise des Trojaners analysiert. Er installiert ein ausgefeiltes Spionage-Programm, das Passwörter stiehlt, eine Liste der besuchten Webseiten und E-Mails überträgt, Skype-Anrufe mitschneidet, und – das ist wahrscheinlich das Erschreckendste – das Programm kann sogar die Webcam und das Mikrophon einschalten, um Vorgänge in dem Raum auszuspionieren, in dem der Computer steht."
Offenbar wurde Ala'a Shehabi Opfer eines Staatstrojaners, wahrscheinlich geschickt von Behörden des Königreichs Bahrain. Bill Marczak und seine Kollegen fanden im Programm-Code das Wort FinSpy. Das ist einer der Hinweise darauf, dass es sich bei der Software um ein Produkt der deutsch-britischen Firma Gamma International handelt.
36 Nationen mit FinFisher-Software
Die Forscher vom Citizens Lab versuchten auch mit einem Internet-Scan herausfinden, in welchen Ländern der Staatstrojaner eingesetzt wird. Deshalb schickten sie an alle IP-Adressen im Netz Anfragen, wie sie auch FinFisher aussendet.
"Das Spionageprogramm muss ja die gestohlenen Daten, die Passwörter, die Skype-Mitschnitte übertragen. Deshalb suchten wir im ganzen Internet nach Computern, die diese Daten empfangen konnten. So fanden wir heraus, mit welchen Internet-Servern das Programm in Verbindung steht."
In insgesamt 36 Nationen entdeckten Bill Marczak und seine Kollegen Server, auf denen FinFisher-Software ausgeführt wird. Darunter sind beispielsweise Turkmenistan, Saudi-Arabien und Pakistan, aber auch die USA, Großbritannien und Deutschland. Das bedeutet nicht unbedingt, dass die Behörden dieser Länder mit dem Programm arbeiten. Aber es ist ein Indiz dafür, wie groß mittlerweile die Datenmenge sein muss, die von Staatstrojanern abgeschöpft wird – weltweit. Die Spionageprogramme müssen Sicherheitslücken in den Betriebssystemen ausnutzen. Informationen über solche Schwachstellen sind gefragt – erklärt Andre Meister, Experte für Überwachungstechnik und ein Autor des Blogs Netzpolitik.org.
"Es gibt viele legitime Sicherheitsfirmen, die Hard- und Software kaputt machen, analysieren und gucken, wo sind Schwachstellen, wie kann man eindringen. Und dann normalerweise eben zum Hersteller gehen und sagen: ‚Ihr habt hier eine Sicherheitslücke, und die gehört geschlossen.‘ Der ehemalige Schwarzmarkt für solche Sicherheitslücken, die dann eben von gewöhnlichen Kriminellen verwendet wurden, der wird mittlerweile mehr und mehr zum Tummelplatz staatlicher Akteure. Immer mehr Staaten kaufen solche Sicherheitslücken und entwickeln eigene Software-Waffen daraus oder lassen das eben von spezialisierten Firmen herstellen."
FinFisher ist eine solche Remote Intrusion Software. Sie dient dazu, die Kommunikation "an der Quelle", nämlich auf den Geräten der Nutzer, abzuschöpfen. Für die umstrittene "Quellen-Telekommunikationsüberwachung" kaufte auch das deutsche Bundeskriminalamt einen Staatstrojaner von der Firma Gamma. Das Bundesverfassungsgericht verlangt allerdings, dass ein solches Programm nur ermöglichen darf, dass ein laufendes Gespräch oder eine E-Mail abgefangen wird. Weitere Daten von der Festplatte sollen für die Ermittler tabu bleiben. Das BKA versucht deshalb im Moment, einen Staatstrojaner herzustellen, der diesen rechtlichen Anforderungen genügt.
Schadsoftware kann über einen E-Mail-Anhang installiert werden, wie im Fall von Ala'a Shehabi. Es geht aber auch noch unauffälliger. Für das Produkt "Finfly ISP" warb Gamma mit einem kurzen Werbefilm. In diesem, nur mit Musik versehenem Animationsfilm ist zu lesen:
Finfly ISP! Der Sicherheitsbeamte installiert das Gerät im Serverraum eines Internetanbieters. Finfly ISP analysiert nun den Datenverkehr, um das Ziel schnell und effektiv auszumachen. Die Zielperson erhält ein vermeintliches iTtunes-Update, ihr System ist nun infiziert. Das Hauptquartier hat unbeschränkten Zugang.
Gedacht war dieser Clip für Behördenvertreter. Bekannt wurde er, weil Wikileaks ihn im Internet veröffentlichte. Mit FinFly ISP können Polizeibehörden und Nachrichtendienste heimlich auf Computer zugreifen – erklärt Andre Meister.
"Ein Internetanbieter wird verpflichtet, eine extra Hardware in ihre Infrastruktur einzubauen. Und da kommen dann alle Datenpakete von einer Person, die man infizieren möchte, durch. Die Hardware guckt, welche Downloads macht der gerade, und wenn jetzt ein legitimes Software-Update oder so passiert, hängt man da einfach noch ein paar Daten mit ran. Man denkt, man macht einen Windows-Update – installiert sich aber auch noch einen Trojaner dazu."
In jeden Computer könne man auf diese Art eindringen, das sei nur eine Frage des Aufwands. Und solange ein Gerät mit dem Internet verbunden ist, lässt sich gegen solche Angriffe nur wenig ausrichten.
"Technisch nicht. Technisch hilft dagegen überhaupt gar nichts."
Weitere Infos und Zahlen hier:
www.securelist.com/en/analysis/204792290/Spyware_HackingTeam
"Das Spionageprogramm muss ja die gestohlenen Daten, die Passwörter, die Skype-Mitschnitte übertragen. Deshalb suchten wir im ganzen Internet nach Computern, die diese Daten empfangen konnten. So fanden wir heraus, mit welchen Internet-Servern das Programm in Verbindung steht."
In insgesamt 36 Nationen entdeckten Bill Marczak und seine Kollegen Server, auf denen FinFisher-Software ausgeführt wird. Darunter sind beispielsweise Turkmenistan, Saudi-Arabien und Pakistan, aber auch die USA, Großbritannien und Deutschland. Das bedeutet nicht unbedingt, dass die Behörden dieser Länder mit dem Programm arbeiten. Aber es ist ein Indiz dafür, wie groß mittlerweile die Datenmenge sein muss, die von Staatstrojanern abgeschöpft wird – weltweit. Die Spionageprogramme müssen Sicherheitslücken in den Betriebssystemen ausnutzen. Informationen über solche Schwachstellen sind gefragt – erklärt Andre Meister, Experte für Überwachungstechnik und ein Autor des Blogs Netzpolitik.org.
"Es gibt viele legitime Sicherheitsfirmen, die Hard- und Software kaputt machen, analysieren und gucken, wo sind Schwachstellen, wie kann man eindringen. Und dann normalerweise eben zum Hersteller gehen und sagen: ‚Ihr habt hier eine Sicherheitslücke, und die gehört geschlossen.‘ Der ehemalige Schwarzmarkt für solche Sicherheitslücken, die dann eben von gewöhnlichen Kriminellen verwendet wurden, der wird mittlerweile mehr und mehr zum Tummelplatz staatlicher Akteure. Immer mehr Staaten kaufen solche Sicherheitslücken und entwickeln eigene Software-Waffen daraus oder lassen das eben von spezialisierten Firmen herstellen."
FinFisher ist eine solche Remote Intrusion Software. Sie dient dazu, die Kommunikation "an der Quelle", nämlich auf den Geräten der Nutzer, abzuschöpfen. Für die umstrittene "Quellen-Telekommunikationsüberwachung" kaufte auch das deutsche Bundeskriminalamt einen Staatstrojaner von der Firma Gamma. Das Bundesverfassungsgericht verlangt allerdings, dass ein solches Programm nur ermöglichen darf, dass ein laufendes Gespräch oder eine E-Mail abgefangen wird. Weitere Daten von der Festplatte sollen für die Ermittler tabu bleiben. Das BKA versucht deshalb im Moment, einen Staatstrojaner herzustellen, der diesen rechtlichen Anforderungen genügt.
Schadsoftware kann über einen E-Mail-Anhang installiert werden, wie im Fall von Ala'a Shehabi. Es geht aber auch noch unauffälliger. Für das Produkt "Finfly ISP" warb Gamma mit einem kurzen Werbefilm. In diesem, nur mit Musik versehenem Animationsfilm ist zu lesen:
Finfly ISP! Der Sicherheitsbeamte installiert das Gerät im Serverraum eines Internetanbieters. Finfly ISP analysiert nun den Datenverkehr, um das Ziel schnell und effektiv auszumachen. Die Zielperson erhält ein vermeintliches iTtunes-Update, ihr System ist nun infiziert. Das Hauptquartier hat unbeschränkten Zugang.
Gedacht war dieser Clip für Behördenvertreter. Bekannt wurde er, weil Wikileaks ihn im Internet veröffentlichte. Mit FinFly ISP können Polizeibehörden und Nachrichtendienste heimlich auf Computer zugreifen – erklärt Andre Meister.
"Ein Internetanbieter wird verpflichtet, eine extra Hardware in ihre Infrastruktur einzubauen. Und da kommen dann alle Datenpakete von einer Person, die man infizieren möchte, durch. Die Hardware guckt, welche Downloads macht der gerade, und wenn jetzt ein legitimes Software-Update oder so passiert, hängt man da einfach noch ein paar Daten mit ran. Man denkt, man macht einen Windows-Update – installiert sich aber auch noch einen Trojaner dazu."
In jeden Computer könne man auf diese Art eindringen, das sei nur eine Frage des Aufwands. Und solange ein Gerät mit dem Internet verbunden ist, lässt sich gegen solche Angriffe nur wenig ausrichten.
"Technisch nicht. Technisch hilft dagegen überhaupt gar nichts."
Weitere Infos und Zahlen hier:
www.securelist.com/en/analysis/204792290/Spyware_HackingTeam