Tumblelog by Soup.io
Newer posts are loading.
You are at the newest post.
Click here to check if anything new just came in.

February 21 2014

Internet-Überwachung in einem Failed State: Kanadische Filtertechnologie in Somalia gefunden

Somalia ist ein failed state, ein gescheiterter Staat. Nach dem Failed States Index von 2013 sogar der am meisten gescheiterte Staat weltweit. Seit dem Beginn des bewaffneten Widerstands gegen die Herrschaft des Diktators Siad Barre seinem Sturz 1991 existiert in Somalia keine funktionierende Zentralregierung. Der ostafrikanische Staat zerfiel in verschiedene Machtbereiche, die seitdem von Clans und Kriegsherren umkämpft werden. Es gibt zwar eine Übergangsregierung, diese kontrolliert jedoch nur kleine Teile des Landes. 1992 sowie in den Jahren 2010 bis 2012 wurde Somalia von Hungerkrisen geplagt, und die Vereinten Nationen befürchten eine neue Hungerkatastrophe.

Die WissenschaftlerInnen des Citizen Lab an der Universität von Toronto in Kanada forschen u.a. zu Überwachungstechnologien und deren Export, vor allem in Staaten mit bedenklichen Menschenrechts- und staatlichen Praktiken. In einem gestern veröffentlichten Artikel beschreiben die ForscherInnen den Einsatz einer kanadischen Überwachungs- und Filtertechnologie bei drei Internet Service Providern (ISPs) in Somalia. Geblockt wurden dabei neben pornographischen Inhalten auch URLs für Anonymisierungstools.

Internet in Somalia

Nur sehr wenige Menschen in Somalia haben Zugang zum Internet. Nach einer Schätzung der Internationalen Telekommunikationsunion (ITU), nutzten 2012 circa 1.38 Prozent der somalischen Bevölkerung das Internet. Da ein privater Internetanschluss sehr teuer ist, gibt es vor allem Internetcafes in Somalia, 2006 waren es schon über 200.

The fragile political and security situation in Somalia limits the activities of many of its ISPs. [...] Due to widespread piracy off Somalia’s coastlines, most Somalis must rely on satellite rather than undersea cables to connect to the Internet globally. Fear of piracy has deterred cable-laying ships from operating in Somalia’s waters, thereby impeding both the development and maintenance of undersea cables.

Die somalische Internet-Infrastruktur könnte jedoch in naher Zukunft besser werden: Seit 2013 gibt es Bestrebungen von Liquid Telekom und Hormuud, das erste Glasfaserkabel auf dem Land zu verlegen.

Pressefreiheit

In einer 2012 verabschiedeten neuen Verfassung heißt es in den Artikeln 16 und 18 zwar, dass die Meinungs- und Medienfreiheit gewahrt werden sollen. Dennoch berichteten die Reporter ohne Grenzen, dass 2012 18 MedienvertreterInnen in Somalia getötet worden sind, und listet Somalia beim Press Freedom Index von 2013 auf Platz 175 von insgesamt 179 Plätzen.

Gefahr für ISPs durch radikale Gruppen

Die militante Bewegung al-Shabaab sprach im Januar diesen Jahres ein Verbot an somalische ISPs aus, Internetdienste anzubieten und setzte ihnen eine Frist von 15 Tagen. Sollten die Unternehmen sich widersetzen, würden sie als “mit dem Feind kooperierend” angesehen und “be dealt with in accordance with Islamic law”. Daraufhin stellten einige ISPs ihre Internetdienste in Gegenden ein, die von der al-Shabaab kontrolliert werden. Der somalische Innenminister Abdikarim Hussein Guled verurteilte dieses Verbot und rief die Telekommunikationsunternehmen auf, sich dieser Nötigung zu widersetzen:

The Somali Government strongly condemns such acts which show continued brutality and terrorist tactics of intimidation by trying to ban Somalis from using the internet. [...] The Somali Government will work with all telecommunications companies and ensure that they are free to provide internet and other related communications services to our citizens. While the government provides all the necessary assistance to protect the public, we also caution them not to cooperate and work with terrorist groups or bow to threats. We have a responsibility to protect our citizens against all threats.

Internetzensur

Mithilfe der Suchmaschine Shodan durchsuchten die ForscherInnen des Citizen Lab somalische Netzwerke nach Hinweisen auf installierte Überwachungstechnologien. Im November 2013 fanden sie die Filtertechnologie Netsweeper auf drei IP Adressen in Somalia und Somaliland. Im Dezember 2013 untersuchten die WissenschaftlerInnen mit einer eigenen Software die Erreichbarkeit sensibler URLs.

Die drei aktiven Filter konnten den Netzwerken dreier großer somalischer ISPs zugewiesen werden: Hormuud Telecom Somalia, Golis Telecom sowie Telesom. Anschließend testeten die ForscherInnen bei Hormuud die Erreichbarkeit von 49 URLs, um eine Zensur bestätigen zu können.

We were not able to run full test runs from inside the country because of our security concerns over the threats by the al-Shabaab organization to Internet companies and users. Our concern for the security of potential in-country testers prevented us from extensive testing, so there may be websites and content categories beyond those identified here which are blocked.

Neun geblockte URLs wurden gefunden, fünf davon mit pornographischen Inhalten. Vier der geblockten URLs führen zu Anonymisierungs- und Umgehungstools wie Tor oder Peacefire.

Export von Überwachungstechnologien

Einige Fragen stellen sich nach diesen Ergebnissen:

Wieso finden sich kanadische Filtertechnologien in den Netzwerken eines gescheiterten Staates? Durch die eher machtlose Regierung, autonome Regionen und andauernde Aufstände und Kämpfe streiten verschiedene Akteure um die Authorität im Staat. Hat Netsweeper Inc. sorgfältig geprüft, wem hier Filtertechnologien verkauft werden? Hat Netsweeper beurteilen können ob ihre Produkte in Somalia eingesetzt werden könnten um Menschenrechte zu verletzen? Und nutzen die Telekommunikationsunternehmen in Somalia die Netsweeper Technologie dazu, um Filterwünsche radikaler Gruppen umzusetzen?

Die AutorInnen des Artikel schreiben, dass in weiteren Untersuchungen geklärt werden müsste, ob die Netsweeper Installationen bei Golis und Telesom ebenfalls dazu verwendet werden, Inhalte zu blocken sowie welche Inhalte neben pornografischen und Umgehenungstools noch gefiltert werden.

2013 hatten die ForscherInnen des Citizen Lab bereits Netsweeper Technologie bei einem pakistanischen ISP gefunden, die genutzt wurde um politische Inhalte zu blocken. Daraufhin kontaktierten sie Netsweeper und stellten eine Reihe von Fragen, unter anderem zur Unternehmensverantwortung, die öffentlich beantwortet werden sollten. Bis heute hat das Citizen Lab darauf keine Antwort erhalten.

Wir wollen netzpolitik weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung. Investiere in digitale Bürgerrechte.

flattr this!

July 09 2013

June 25 2013

Citizen Lab Bericht: Malware Attacken gegen die syrische Opposition

Die syrische Opposition, im nun über zwei Jahre andauernden syrischen Bürgerkrieg, sieht sich dauernden Cyberangriffen von Pro-Regierungs-Truppen ausgesetzt. Das berichtet das Citizen Lab in seinem neuesten Beitrag “A Call to Harm: New Malware Attacks Target the Syrian Opposition”. In diesem Bericht stellt das Citizen Lab zwei erst kürzlich bekannt gewordene Angriffe durch Malware vor, mit denen die Computer der Opposition abgehört werden können.citlab2

Beim ersten beschriebenen Angriff handelt es sich um Malware, welche mit Hilfe einer infizierten Kopie des Programms Freegate auf den jeweiligen Rechner installiert wird. Freegate ist eigentlich ein Programm, mit dessen Hilfe Zensurmaßnahmen im Internet umgangen werden können. Das Programm wurde ursprünglich für den chinesischen Markt entwickelt, wird mittlerweile aber auch häufig in Syrien eingesetzt. Die Angreifer infizierten den Installer des Programms und verteilten den Downloadlink zum infizierten Programm in privaten sozialen Netzwerken.

Nachdem das Programm heruntergeladen und entpackt wurde, kommt die Datei „VPN-Pro.exe“ zum Vorschein. Die Malware ist dabei in .NET geschrieben, was laut Citizen Lab bereits bei zuvor entdeckter Malware in Syrien der Fall war. Nach dem Ausführen der „VPN-Pro.exe“ wird das Opfer zunächst mit der Endnutzerlizenz (EULA) konfrontiert. Nachdem diese vom Nutzer bestätigt wurde startet sich das Programm von selbst und fordert dazu auf die Firewall zu entsperren. Kurz danach erscheint die Mitteilung, dass ein Update für Freegate verfügbar sei.

Währen dieses Vorgangs wurde im Hintergrund bereits die Malware in Form einer gefälschten svchost.exe-Datei installiert. Diese Installation findet statt, egal ob der Nutzer Freegate vollständig installiert oder die Installation vorzeitig abbricht.

citlab3

Eine Untersuchung der „svchost.exe“ förderte mehrere Verweise zu “ShadowTech Rat.” zu Tage.

citlab4

Bei Betrachtung des Netzwerksverkehrs wurde später auch eine Paketerfassung über TCP auf Port 1321 festgestellt.

“ShadowTech Rat.” ist ein Trojaner, welcher den Fernzugriff auf fremde Rechner ermöglicht. Auf YouTube sind Videos zur Funktionsweise des Tools zu sehen. Die Einsatzmöglichkeiten des Tools reichen vom Mitlesen von Passwörter über die Aktivierung der Webcam des fremden Rechners.

Auch wenn die infizierte „svchost.exe“ sowie die „VPN-Pro.exe“ bereits als Viren an VirusTotal gemeldet wurden, ist die Erkennungsrate von Virenprogrammen zur Zeit noch sehr dürftig. Die „svchost.exe“ wurde bei einem Test vom Citizen Lab von nur 4 von 47 getesteten Programmen erkannt, die „VPN-Pro.exe“ von 5 von 47 Programmen.

Der zweite Angriff den das Citizen Lab in den letzten Wochen beobachten konnte lief nach einem ganz ähnlichen Schema ab. Dabei wird anfangs eine E-Mail von einer mehr oder weniger unauffälligen Adresse an die Opfer versandt.

citlab5

Die E-Mail enthält dabei einen Text, ein Bild (welches hier nicht dargestellt wird) sowie einen Anhang. Der Text weist dabei auf ein Video von Scheich al-Arur, einem sunnitischen Religionslehrer, hin, welcher zu einem heiligen Krieg gegen Baschar al-Assad und die Hisbollah aufrufe. Dem Nutzer wird dabei suggeriert, dass die angehängte Datei im zip-Format einen Link zu diesem Video enthalte. Das Citizen Lab hat verschiedene Arten solcher E-Mails entdeckt, doch die Infizierung des Computers verläuft immer nach folgenden Schema.

Nachdem die zip-Datei entpackt wurde kommt eine Windows-Shortcut-Datei mit der Endung *.lnk zum Vorschein. In dieser Datei immer eine bestimmte URL eingebettet.

citlab6

Beim Ausführen dieser Datei wird das Opfer dementsprechend auf eine Webseite geleitet. Je nachdem welche E-Mail an das Opfer versendet wurde, bekommt dieses entweder ein Video von Scheich al-Arur auf Youtube oder ein Video von AlKalima Online zu sehen. Während der Nutzer jedoch das Video schaut wird im Hintergrund eine php-Datei ausgeführt, welche eine infizierte Datei auf den Computer lädt. Diese Datei fügt darüber hinaus einen Eintrag in der Registry hinzu, damit die Malware einen Neustart des Systems überlebt.

citlab7

Wenn die Malware installiert ist, kommuniziert diese mit einem C2 Server unter der Domain “tn5.linkpc.net”. Diese Domain leitet die Anfragen weiter zu einem Server welcher von SyriaTel betrieben wird. Von dort versucht die Malware die Datei „123.functions“ nachzuladen. Auch wenn dieser Download im Versuch vom Citizen Lab fehlschlug, handelt es sich scheinbar aber um eine bereits bekanntes Verfahren.

Diese beiden Beispiele, welche aus den ersten Juniwochen stammen, zeigen auf, wie einfach es scheinbar ist, fremde Computer mit Spionagesoftware zu infizieren. Entscheidend hierbei ist jedoch immer die Gutgläubigkeit der Nutzer. Was in diesen Fällen also am wichtigsten scheint, ist die Aufklärung der syrischen Bevölkerung.

Der vollständige Artikel mit weiteren Einsichten und Erklärungen ist beim Citizen Lab zu finden oder hier als pdf herunterzuladen.

Wir wollen netzpolitik.org weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung. Investiere in digitale Bürgerrechte.

flattr this!

May 21 2013

Black Code: Inside the Battle for Cyberspace – Neues Buch ruft dazu auf, die Freiheit im Internet zu verteidigen

black-codeDie ursprüngliche Verheißung des Internets als globaler Gemeinschaftsraum für geteiltes Wissen und Kommunikation ist in Gefahr. Das beschreibt Ronald Deibert, Direktor des Citizen Lab, in seinem neuen Buch “Black Code”. Darin legt er detailliert dar, wie Unternehmen, Regierungen, Polizei und Kriminelle gemeinsam unsere “digitale Wasserversorgung vergiften” – und dass wir uns wehren müssen.

Über das kanadische Citizen Lab und dessen Direktor Ronald Deibert haben wir hier wiederholt berichtet. Heute ist das neue Buch von Deibert erschienen: Black Code: Inside the Battle for Cyberspace

As cyberspace develops in unprecedented ways, powerful agents are scrambling for control. Predatory cyber criminal gangs such as Koobface have made social media their stalking ground. The discovery of Stuxnet, a computer worm reportedly developed by Israel and the United States and aimed at Iran’s nuclear facilities, showed that state cyberwar is now a very real possibility. Governments and corporations are in collusion and are setting the rules of the road behind closed doors.

This is not the way it was supposed to be. The Internet’s original promise of a global commons of shared knowledge and communications is now under threat.

Cory Doctorow von Boing Boing hat es schon gelesen und eine Rezension geschrieben: How to make cyberspace safe for human habitation

Ronald Deibert’s new book, Black Code, is a gripping and absolutely terrifying blow-by-blow account of the way that companies, governments, cops and crooks have entered into an accidental conspiracy to poison our collective digital water supply in ways small and large, treating the Internet as a way to make a quick and dirty buck or as a snoopy spy’s best friend. The book is so thoroughly disheartening for its first 14 chapters that I found myself growing impatient with it, worrying that it was a mere counsel of despair.

But the final chapter of Black Code is an incandescent call to arms demanding that states and their agents cease their depraved indifference to the unintended consequences of their online war games and join with civil society groups that work to make the networked society into a freer, better place than the world it has overwritten.

Sein Fazit:

Black Code is a manifesto for a 21st-century form of network stewardship, a sense of shared responsibility toward our vital electronic water supply. It’s a timely rallying cry, and sorely needed.

Das Buch ist 320 Seiten stark, bei Random House erschienen und erhältlich als Totbaum oder e-Book. Vorwort und Einführung gibt’s als Leseprobe:

Wir wollen netzpolitik.org weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung, auch um weiterhin einen Full-RSS-Feed anbieten zu können. Investiere in digitale Bürgerrechte.

flattr this!

April 02 2013

Citizen Lab Bericht: Tibetische Aktivisten erneut mit gezielten Android-Trojanern ausspioniert

Android Berechtigungen der richtigen und der infizierten App.

Android Berechtigungen der richtigen und der infizierten App.

Tibetische Aktivisten wurden bereits mit mehreren Android-Trojanern gezielt angegriffen und ausspioniert. In einem neuen Bericht analysiert das Citizen Lab einen Trojaner, der Kontakte, Anruflisten und SMS-Nachrichten abhört. Staatliche Trojaner existieren für alle verbreiteten Betriebssysteme, der Infektionsweg ist dabei häufig per E-Mail.

Letzte Woche berichtete Kaspersky Lab, dass tibetische Aktivist/innen gezielt mit Trojanern für das mobile Betriebssystem Android ausspioniert wurden. Jetzt veröffentlichte das kanadische Citizen Lab einen weiteren detaillierten Bericht über gezielte Android-Trojaner gegen Tibeter.

Im zentralasiatischen Tibet gibt es oft nur einen eingeschränkten oder gar keinen Zugang zu Googles App-Store “Google Play”. Viele Tibeter installieren sich daher Android-Apps aus anderen Quellen, so werden diese z.B. gerne als APK-Dateien (Android Package) per E-Mail verschickt. Eine der gerne genutzten und versendeten Apps ist KakaoTalk, ein kostenloser Messaging-Dienst und eine Alternative zu WeChat, das mit der chinesischen Regierung kooperiert.

Im Dezember schickte ein befreundeter “IT-Security Experte” einem Abgeordneten des tibetischen Exilparlaments die richtige App und Installations-Hinweise per E-Mail. Im Januar erhielt eine “hochrangige politische Figur in der tibetischen Gemeinschaft” eine fast identische E-Mail. Diese hatte dem Anschein nach den selben Absender, kam aber in Wahrheit von einem GMX-Account. Der Text in der Mail war der selbe, aber die angehängte App war mit einem Trojaner infiziert.

Einmal installiert, sammelte die App in regelmäßigen Abständen die Kontakte des Benutzers, Anruflisten, SMS-Nachrichten und Informationen über die Konfiguration des Mobilfunk-Netzwerks. Darüber hinaus kommunizierte die App regelmäßig mit dem Command-and-Control-Server “android.uyghur.dnsd.me”, wobei versucht wurde, den Datenverkehr aussehen zu lassen wie den der chinesischen Suchmaschine Baidu. Der C&C-Server teilte dem Trojaner dann mit, wo er die abgeschnorchelten Daten hochladen soll.

Schließlich fing die Trojaner-App auch spezielle SMS-Nachrichten mit bestimmten Codes ab, woraufhin Informationen über die Funkzelle und das Mobilfunk-Netzwerk zurückgeschickt wurden, ohne dass die Anwenderin von diesen SMS etwas mitbekommt. Diese Informationen sind für einfache Online-Kriminelle wenig hilfreich, daher ist es vorstellbar, dass die Angreifer mit einem Mobilfunk-Anbieter zusammen arbeiten können. Der Citizen Lab hält sich vornehm zurück, China als staatlichen Akteur hinter den Angriffen namentlich zu benennen, angesichts der Auseinandersetzungen um die tibetische Unabhängigkeit liegt die Vermutung jedoch nahe.

Dieser Bericht zeigt erneut, dass staatliche Trojaner zur Überwachung politischer Gegner keineswegs nur ein paar unsichere Windows-Computer betreffen. Auch sie Staatstrojaner-Suite “made in Germany” FinFisher/FinSpy existiert für alle möglichen Zielsysteme: darunter Windows, Mac OS X, Linux, iOS, Android, BlackBerry, Windows Mobile und Symbian. Die aktuelle Schadsoftware wurde übrigens bis zur Veröffentlichung von keiner der drei großen Android-Antivirenprogramme erkannt.

vgwort pixel

flattr this!

March 26 2013

NPP120: Ron Deibert über die Arbeit des Citizenlab

rondeibert

Vergangene Woche war ich auf Einladung des Citizenlab in Toronto in Kanada, um an ihrem Cyberdialogue zum Thema “Governance without Government in Cyberspace?” teilzunehmen. Über Aktivitäten des Citizenlab haben wir hier bereits oft berichtet. Sehr interessant sind die vielen Reports über Zensur- und Überwachungsinfrastrukturen in repressiven Regimen und in letzter Zeit vermehrt die investigativen Recherchen zur Nutzung von (Staats-)Trojanern in verschiedenen Kontexten. Das spannende am Citizenlab ist, dass dort nicht wie in vielen anderen Netzpolitik-Forschungszentren überwiegend Juristen beschäftigt sind, sondern Politikwissenschaftler und Hacker. Ich hätte übrigens auch gerne was vergleichbares wie das Citizenlab in Deutschland. Gibts leider nicht.

Im Anschluss der Konferenz hab ich mit Ron Deibert einen rund 30 Minuten langen Netzpolitik-Podcast aufgezeichnet. Ron ist Professor für Politikwissenschaften und Direktor des Canada Centre for Global Security Studies und des Citizen Lab at the Munk School of Global Affairs an der Universität Toronto. Hier ist die MP3. Das Interview ist auf englisch.

Zur groben Orientierung sind hier die Themen aufgelistet:

0:00 Einleitung, Vorstellung des Citizenlab
3:27 Wieso arbeiten dort Politikwissenschaftler mit Hackern zusammen?
6:48 Fokus: Überwachungstechnologien
8:58 Fokus und Projekt: Netzsperren, Filter und Zensur
11:43 “Post 9/11″ – Auswirkungen des 11. Sept 2001 auf das Internet
15:00 Gibt es einen Weg zurück? Verhältnis Freiheit/ Sicherheit
17:30 Entwicklungen bzgl des Internets in westlichen Demokratien
20:29 Entwicklungen bzgl des Internets in repressiven Staaten
22:54 “Digitale Waffen” – Export von Überwachungstechnologien
26:38 Zukunft – Welche policy ist nötig, was können Bürger tun?

Auf der TEDxToronto hat Ron Deibert im vergangenen Jahr einen Vortrag über das Citizenlab, und wie man ein Hacker wird, gehalten:

flattr this!

August 29 2012

FinSpy Mobile: Deutscher Staatstrojaner FinFisher für iPhone, Android und Blackberry enttarnt

Nach der Enttarnung des Staatstrojaners FinSpy aus der Produktpalette von FinFisher sind jetzt auch Versionen für mobile Endgeräte entdeckt und analysiert wurden. Forscher des Citizen Lab haben Trojaner für iOS, Android, BlackBerry, Windows Mobile und Symbian enttarnt, die sie für Varianten von FinSpy Mobile halten. Die Software kann die Telefone komplett überwachen, inklusive Anschalten des Mikrofons und Ortung des Geräts.

Wie bereits bei der enttarnten Windows-Version nutzen auch die neuen Versionen für Smartphones und Tablets Strings wie “FinSpy” oder den Namen des Firmenchefs “Martin Muench”, Domains wie “demo-de.gamma-international.de” und Command & Control Server, die “Hallo Steffi” antworten:



Die Trojaner können die volle Kontrolle über die Smartphones übernehmen, inklusive dem Aufzeichnen aller Kommunikation wie Telefonaten, SMS und Blackberry Messenger, dem Download aller Dateien, dem heimlichen Anschalten des Mikrofons und die Überwachung des Aufenthaltsortes des Mobilgeräts in Echtzeit.

Überwachungs-Geräte in der Tasche

Über den Infektionsweg sagt das Team um Morgan Marquis-Boire wenig. Nur: Falls die Trojaner die mobilen Betriebssysteme nicht direkt angreifen, benötigen alle untersuchten Exemplare eine Interaktion des Nutzers, wie dem Klicken auf einen Mail-Anhang oder eine Webseite.

Neben den neuen Versionen haben die Forscher des Citizen Lab auch weitere Kommando-Server in Äthiopien, Bahrain, Brunei, Indonesien, Mongolei, Niederlande, Singapur, Tschechische Republik, Turkmenistan und den Vereinigten Arabischen Emiraten gefunden. Damit bestätigen sie weitgehend die Analyse von Rapid 7. Nicht alle diese Staaten setzen jedoch automatisch den Trojaner ein, mindestens der Amazon-Cloud Server in den USA war wohl nur ein Proxy.

Vernon Silver berichtet auch über die neueste Analyse auf Bloomberg News. Ihm gegenüber bestätigte Firmenchef Martin J. Muench, dass Gamma mit FinSpy Mobile auch einen Trojaner für mobile Endgeräte verkauft. Wie, und auf welchen Plattformen, dazu will er keine Auskunft geben.

Gegenüber netzpolitik.org bestätigte Muench, dass die bisher analysierten Samples “von den Funktionalitäten her definitiv Ähnlichkeiten” zu FinFisher haben, aber für eine endgültige Bestätigung mehr Zeit für die Analyse notwendig ist. “Sofern es sich tatsächlich um FinSpy handelt, so muss es hier eine Version sein die temporär z.B. für Produktdemonstrationen verwendet wurde”, so Muench. Auch Bloomberg zitiert eine Pressemitteilung von Gamma, dass eine Demo-Version der Software gestohlen worden sei:

“The information that was stolen has been used to identify the software Gamma used for demonstration purposes,” the release said. “No operations or clients were compromised by the theft.” The Gamma statement said that while its demo products contain the word “FinSpy” — a marker the researchers used to help identify samples — its more sophisticated operational products don’t.

Gamma hält sich laut eigenen Aussagen beim Export seiner Überwachungs-Software an die “Exportbestimmungen in Großbritannien, den Vereinigten Staaten und Deutschland”. Dumm nur, dass die in Deutschland gar nicht kontrolliert werden.

flattr this!

August 09 2012

Gamma FinFisher: Neue Analyse des Staatstrojaners deutet auf weitere Kunden hin

Der Spionage-Software FinFisher wird möglicherweise auch in Dubai, Katar, Mongolei und Indonesien eingesetzt. Das geht aus weiteren Analysen des vor zwei Wochen enttarnten Staatstrojaners hervor. Auch in Europa wurden Server entdeckt, die möglicherweise als Kommandozentralen für die Software der deutsch-britischen Firma Gamma International dienen.

Vor zwei Wochen haben Aktivisten vom Citizen Lab die Analyse eines Trojaners veröffentlicht, den sie für das Produkt FinFisher der Firma Gamma International halten. Die Computerwanze sollte weltweit Computer bahrainischer Aktivisten infizieren und ausspähen.

Ursprüngliche Analyse bestätigt

Jetzt hat ein zweites Forscher-Team eine Analyse der Software veröffentlicht. Als Grundlage dienten ihnen vier infizierte Dateien, die auch netzpolitik.org vorliegen. Die Gruppe um Claudio Guarnieri und Jacob Appelbaum bestätigt in weiten Teilen die Ergebnisse des Citizen Lab, wie die Malware den Zielrechner infiziert und sich einnistet. Wird die vermeintliche Bild-Datei auf dem Zielrechner geöffnet, kopiert sich der Trojaner in einen System-Ordner und injiziert nach einem Neustart seinen Schadcode direkt in Systemprozesse. So kann sich die Netzwerk-Kommunikation des Trojaners in einem Prozess des Internet Explorers verstecken, der oft leicht durch Firewalls kommt.

Das Team ist sich ziemlich sicher, dass es sich tatsächlich um FinFisher handelt. Neben dem bekannten String “finspyv4.01″ in einem Ordner-Namen hat man die Strings “finfisher” und “finfisher.lnk” entdeckt. Im Vergleich mit der offiziellen Demo-Version von FinFisher sind viele Gemeinsamkeiten im Ablauf des Programms: die aggressive Präsenz auf dem System, die Prozesskette und der Netzwerk-Verkehr. Anhand der Kommunikationsmuster stellt das Team zwei Regeln für das Angrifferkennungssystem Snort zur Verfügung, um die bekannten FinFisher Infektionen im eigenen Netz zu erkennen.

Server auf fünf Kontinenten

Auch Guarnieri und Co. ist aufgefallen, dass der vom Citizen Lab enttarnte Kommando-Server in Bahrain auf HTTP-Anfragen mit dem String “Hallo Steffi” antwortet. Eine Abfrage diese Musters in der Datenbank des Projekts Critical.IO offenbarte elf weitere Server, die dieses Verhalten zeigten. Diese befinden sich in Äthiopien, Australien, Estland, Indonesien, Katar, Lettland, Mongolei, Tschechien (zwei mal), USA und den Vereinigten Arabischen Emiraten. Die Standorte auf einer Google Karte visualisiert:

Ob diese Server tatsächlich von staatlichen Behörden in diesen Ländern verwendet werden, kann derzeit nicht abschließend bewertet werden. Zunächst haben sie nur alle den ominösen String “Hallo Steffi” geantwortet (Update: Und auf ähnlichen Port-Kombinationen gelauscht). Mittlerweile tun sie das nicht mehr, was auf ein Update nach dem Bekanntwerden hindeuten könnte. Der Chef der Gamma International GmbH in München, Martin J. Münch behauptet gegenüber dem Bloomberg-Journalisten Vernon Silver, dass Dritte die FinSpy-Server nicht durch Netzwerk-Scans erkennen könnten, weil sie “mit Firewalls geschützt sind”.

Auf Nachfrage von Bloomberg haben Institutionen der meisten Staaten geantwortet, dass man von einer FinFisher-Nutzung im eigenen Land nichts wisse. Das indonesische Kommunikations- und IT-Ministerium meinte, dass der Einsatz solcher Software Datenschutzgesetze und Menschenrechte des Inselstaates verletzen würde. Andere Länder haben nicht geantwortet, beim amerikanischen FBI hieß es: “kein Kommentar”.

Gamma streitet ab – unglaubwürdig

Auf Anfrage von netzpolitik.org wollte auch Gamma keine Stellung beziehen, der versprochene Rückruf von Martin J. Münch blieb aus. Stattdessen verweist man auf die Firmen-Policy, keine Auskunft über seine Kunden zu geben. Eine Ausnahme machte man für Bloomberg, als Geschäfte mit Bahrain bestritten wurden. Auch sei der untersuchte Trojaner wahrscheinlich keine der aktuell verkauften Versionen von FinSpy. Viel wahrscheinlicher sei es, dass jemand die Demo-Version der Software entwendet und modifiziert hat, so Münch weiter.

Ein von netzpolitik.org befragter IT-Security-Forscher hält das für eine Ausrede:

Da hat Gamma jemand diese Malware geklaut, und – obwohl sie gegen Debugging und Analyse geschützt ist – den angeblichen Call-Home raus gepatcht, dann in zig Ländern selbstentwickelte Command-and-Control Server aufgebaut, die sich mit ‘Hallo Steffi’ melden? Das ist bestimmt nicht so.

Die genaue Rolle dieser elf Server wird Gegenstand weiterer Untersuchungen sein. Zwar haben die infizierten Rechner der bahrainischen FinSpy-Versionen die Überwachungsdaten an den ursprünglichen “Hallo Steffi”-Server in Bahrain geschickt. Das könnte jedoch auch nur ein Proxy-Server sein, wie ihn auch deutsche Behörden bei ihrem Einsatz des DigiTask-Trojaners eingesetzt haben. Die eigentlichen Empfänger könnten überall sitzen. Fragt sich nur wie wahrscheinlich ein Proxy in Äthopien ist, ein Land mit sehr langsamen und zensiertem Internet.

Jede Art von Malware bekämpfen

Die neue Analyse beunruhigt die Forscher. Obwohl sie die Infektionskette als schwach bezeichnen, ist die Spionage-Software insgesamt ziemlich komplex und gut geschützt bzw. verschleiert. Zwar werden die bekannten Exemplare mittlerweile von Antiviren-Programmen erkannt, aber natürlich reagieren die Hersteller auch darauf mit Anpassungen.

Keine Malware kann langfristig unter Kontrolle gehalten werden, früher oder später wird jede Schadsoftware für bösartige Zwecke genutzt, so die Forscher. Verbreitung, Produktion und Erwerb von Malware müssen verhindert und bekämpft werden. Wenn Gamma behauptet, sich an die Exportrichtlinien von Deutschland, Großbritannien und den USA zu halten, dann sind diese Teil des Problems.

Stattdessen testet auch das Bundeskriminalamt FinFisher als neuen Staatstrojaner für Deutschland.

flattr this!

July 26 2012

Gamma FinFisher: Weltweit gegen Aktivisten eingesetzter Staatstrojaner enttarnt und veröffentlicht

finspyDie kommerzielle Spionage-Software FinFisher der deutsch-britischen Firma Gamma International ist offenbar enttarnt und im Internet veröffentlicht. Aktivisten vom Citizen Lab haben Exemplare des Trojaners analysiert, den sie für FinSpy halten. Vor wenigen Monaten wurden damit die Geräte bahrainischer Demokratie-Aktivisten infiziert und deren Kommunikation dann nach Bahrain übermittelt.

Über die Firma Gamma und ihr Produkt FinFisher hat netzpolitik.org schon wiederholt berichtet. Von der Trojaner-Produktfamilie, die man an Staaten verkauft, gibt es auch ein Werbe-Video. Nicht nur Ägypten und Bahrain kauften die Überwachungs-Software, auch das Bundeskriminalamt testet ihn als neuen Staatstrojaner für Deutschland.

Der Bloomberg-Journalist Vernon Silver hat nun gleich mehrere live eingesetzte Trojaner-Exemplare erhalten, die ein Teil von FinFisher sein sollen. Damit sollten die Geräte von Demokratie-Aktivisten in Washington, London und Manama, der Hauptstadt Bahrains infiziert werden. Mittlerweile sind die Samples auch als Download verfügbar.

Das Citizen Lab hat die Dateien auseinander genommen und eine technische Analyse veröffentlicht (PDF). Die Software verwendet die Strings “Finspy4.01″ und “Finspyv2″ und kommuniziert mit den Domains tiger.gamma-international.de und ff-demo.blogdns.org. Die Funktionen ähneln Gammas Datenblättern über FinFisher. Daher kommt das Analyse-Team zu dem Fazit, wahrscheinlich ein Finspy-Produkt der Gamma-Produktpallette FinFisher gefunden und analysiert zu haben.

Der analysierte Trojaner wurde per E-Mail an ausgewählte Aktivisten verschickt, die sich mit Bahrain beschäftigen. In harmlos aussehenden E-Mail-Anhängen versteckten sich ausführbare Dateien. Das Öffnen der Bilder war zwar möglich, gleichzeitig installierte sich der Trojaner jedoch auf der Festplatte und nistete sich ins System ein. Der Analyse nach tat der Trojaner einiges zur Verschleierung, er umging Viren-Scanner und crashte Debugger.

Einmal infiziert, sammelte die Software eine Reihe von Daten auf den Zielrechner, darunter Screenshots, die getippten Tasten via Keylogger, Passwörter, Aufzeichnungen von Skype-Gesprächen und gesendete Dateien. Diese wurden verschlüsselt gespeichert und an den Server mit der IP-Adresse 77.69.140.194 geschickt, die dem wichtigsten Telekommunikationsunternehmen in Bahrain gehört. Dieser “Command and Control”-Server ist noch aktiv und antwortet auf HTTP-Anfragen mit “Hallo Steffi”.

Gamma selbst wollte sich gegenüber netzpolitik.org und Bloomberg nicht äußern. Das britische Büro von Gamma International verweigerte eine Stellungnahme und verwies uns auf die Mail-Adresse von Firmenchef Martin J. Muench. Dieser hat leider noch nicht geantwortet. Die Webseite vom Münchener Büro von Gamma ist derzeit down, an der Telefonnummer aus dem Whois geht jemand anderes ran, eine funktionierende Nummer war auf Anhieb nicht zu finden. Im Buggedplanet.info Wiki stehen weitere Informationen, aber leider auch keine deutsche Telefonnummer. Die Botschaft von Bahrain konnte ebenfalls nichts dazu sagen und will unsere E-Mail weitergeben.

Neben einer Verifizierung der Echtheit hätte netzpolitik.org Gamma auch gerne gefragt, wie man dort zu diesen Einsätzen der eigenen Software steht. Man redet sich gerne aus der Verantwortung, dass man nur an Regierungen verkauft und diese damit nur Kriminelle verfolgen. Im aktuellen Beispiel wurden gezielt politische Aktivisten überwacht, die teilweise noch nicht einmal in Bahrain leben oder bahrainische Staatsbürger sind. Keiner der Betroffenen weiß von polizeilichen Ermittlungen oder gar Anklagen gegen sich.

Seit Jahren werden wirksame Export-Verbote für solche Überwachungstechnologien gefordert. Die britische Menschenrechtsorganisation Privacy International will deswegen jetzt die britische Regierung verklagen. Die deutsche Bundesregierung unterstützt solche Exporte sogar noch mit Hermes-Bürgschaften.

flattr this!

Older posts are this way If this message doesn't go away, click anywhere on the page to continue loading posts.
Could not load more posts
Maybe Soup is currently being updated? I'll try again automatically in a few seconds...
Just a second, loading more posts...
You've reached the end.

Don't be the product, buy the product!

Schweinderl