Tumblelog by Soup.io
Newer posts are loading.
You are at the newest post.
Click here to check if anything new just came in.

December 13 2013

Erneuertes Wassenaar-Abkommen: Spionagesoftware könnte zukünftig mehr Exportkontrolle unterliegen

Könnte Umsatzeinbußen erleiden: Die deutsche Trojaner-Schmiede Gamma

Könnte Umsatzeinbußen erleiden: Die deutsche Trojaner-Schmiede Gamma

Vergangene Woche haben die 41 Partner des Wassenaar-Abkommens zwei neue Kategorien für Spionagesoftware in das seit 1996 bestehende Regelwerk aufgenommen. Dort ist nun die Rede von “Intrusion software” und “IP network surveillance systems”.

Damit wird erstmals international anerkannt, dass Schadsoftware zu den sogenannten Dual-Use-Gütern und –Technologien gezählt werden kann. Gemeint ist der doppelte Verwendungszweck: Waren und Güter werden für zivile Zwecke entwickelt, aber auch militärisch genutzt. In einer Mitteilung schreibt das Sekretariat in Wien:

In 2013, new export controls were agreed in a number of areas including surveillance and law enforcement/intelligence gathering tools and Internet Protocol (IP) network surveillance systems or equipment, which, under certain conditions, may be detrimental to international and regional security and stability.

Neben dem Wassenaar-Abkommen existieren weitere internationale Ausfuhrkontrollregime, darunter die Australische Gruppe gegen den Verbreitung chemischer und biologischer Waffen, die Gruppe der Nuklearen Lieferländer sowie das Trägertechnologie-Kontrollregime.

Das Wassenaar-Abkommen unterrichtet die teilnehmenden Länder, wenn eine andere Regierung den Export bestimmter Produkte untersagt. Damit wollen die Partner die Umgehung von Ausfuhrbestimmungen verhindern und verbotenen Exporten auf die Spur kommen. Bindend ist die Regelung aber nicht: Wenn ein Staat die Lieferung inkriminierter Produkte verbietet, darf sie vom anderen jederzeit erlaubt werden. Vertragspartei müssen einander vor Erteilung einer Ausfuhrgenehmigung nicht konsultieren.

Letzten Freitag haben die Delegationen der Annahme zweier Vorschläge Frankreichs und Großbritanniens zugestimmt. Neben den neuen Kategorien wurden auch deren Definitionen ins Abkommen aufgenommen.

Großbritannien hatte die Aufnahme von “Advanced Persistent Threat Software and related equipment (offensive cyber tools)” vorgeschlagen. Gemeint sind Trojaner, mit denen die Zielsysteme in Echtzeit ausgeforscht werden können. In der Beschreibung heißt es dazu:

“Software” specially designed or modified to avoid detection by ‘monitoring tools’, or to defeat ‘protective countermeasures’, of a computer or networkcapable device, and performing any of the following:
a. The extraction of data or information, from a computer or networkcapable device, or the modification of system or user data; or
b. The modification of the standard execution path of a program or process in order to allow the execution of externally provided instructions.

Einschränkend wird erklärt, dass keine “Debuggers” oder Digital Rights Management-Systeme erfasst sind. Kontrolliert werden also jene Anwendungen, die Sicherheitseinstellungen auf dem infizierten Rechner gezielt unterlaufen, um von den NutzerInnen unbemerkt zu bleiben. Bekannte Systeme sind etwa die FinFisher-Produktreihe von Gamma International sowie Trojaner der deutschen Firma Digitask und der schweizer Firma Era IT Solutions.

Die Aufnahme von “IP network surveillance systems” ins Wassenaar-Abkommen wurde von Frankreich angeregt. Hierzu gehört insbesondere die Deep Packet Inspection (DPI), vermutlich aber auch einige jener Werkzeuge die im Zuge des NSA-Skandals bekannt wurden. Bekannte Hersteller derartiger Technologie sind die deutschen Firmen Utimaco, Atis Uher sowie Rohde & Schwarz, die französische Firma Amesys, das italienische Hacking Team oder die israelisch-amerikanische Verint. Im neuen Abkommen heißt es dazu:

IP network communications surveillance systems or equipment, and specially designed components therefor, having all of the following:
1. Performing all of the following on a carrier class IP network (e.g., national grade IP backbone):
a. Analysis at the application layer (e.g., Layer 7 of Open Systems Interconnection (OSI) model (ISO/IEC 7498-1));
b. Extraction of selected metadata and application content (e.g., voice, video, messages, attachments); and
c. Indexing of extracted data; and
2. Being specially designed to carry out all of the following:
a. Execution of searches on the basis of ‘hard selectors’; and
b. Mapping of the relational network of an individual or of a group of people.

Die Bürgerrechtsorganisation Privacy International kritisiert die Definition als zu eng: Die inkriminierte Hard- und Software muss in der Lage sein, große Datenmengen zu verarbeiten. Auch die unerwünschten Anwendungsgebiete sind stark eingeschränkt, was folglich eine Nutzung für andere Zwecke durchaus erlauben würde. Offensichtlich fallen Systeme nur dann unter das Abkommen, wenn sie Daten nicht nur analysieren, sondern auch speichern.

Streng genommen ist die Nutzung der Spionagetechnik durch Polizeien und Geheimdienste nach dem Wassenaar-Abkommen auch nicht illegal. Vielmehr geht es um die unerwünschte Häufung militärischer Kapazitäten, wodurch das sicherheitspolitische “Gleichgewicht” durcheinander geraten könnte. Trotzdem ist die Aufnahme der beiden Kategorien zunächst ein Fortschritt, spätere Initiativen könnten sich darauf beziehen.

Auch Privacy International sieht in Exportkontrollen nicht die “Silberkugel” für die “Probleme der Überwachungssysteme”:

Let us be clear: export controls are not a silver bullet solution for the problem of surveillance systems. Subjecting surveillance systems to export controls is only the first step to implementing effective mechanism to control the trade. Implementation and ensuring that human rights concerns are given sufficient weighting in the license-granting process are much needed. And instituting a system for controlling the trade of these technologies does not in any way take any of the moral responsibility away from the companies that develop and sell these, nor does it allow for shareholders, boards and private investment firms to abdicate their responsibility and turn a blind eye to the fact their increasing profits are based on the suffering of those in oppressed regimes. However, it does crack open the door to further action, and that is an opportunity.

Problematisch ist auch, wer über die Länder mit Exportbeschränkungen entscheiden soll – die Regimes von Gaddhafi, Mubarak und Ben Ali wurden beispielsweise jahrelang bedenkenlos aufgerüstet. Privacy International verweist auf ein von Wikileaks veröffentlichtes Cable, wonach deutlich wird wie die Umsetzung des Abkommens stets politischem Kalkül unterliegt. Teilnehmende Staaten können so auch den Überblick bekommen, welche Firmen in welchem Handelssegment führend sind.

Wir wollen netzpolitik.org weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung. Investiere in digitale Bürgerrechte.

flattr this!

August 03 2013

Silicon Rösler will europäische Internet-Infrastruktur

Silicon Valley-Fan und Wirtschaftsminister Rösler will “eigenständige deutsche und europäische Lösungen und Angebote bei der IT-Infrastruktur”. Sein Ziel: mehr Unabhängigkeit und Sicherheit bei der Datenverarbeitung.

Damit unterstreicht er die Vorreiterrolle seines Ministeriums bei der Förderung innovativer deutscher Start-ups wie Gamma International. Deren unabhängige IT-Lösung FinFisher sorgt nicht nur in Deutschland, sondern auch international für Sicherheit.

Röslers Freund Diekmann war ja – immer am Puls der Zeit – schon vor kurzem nach Deutschland zurückgekehrt. Und der muss es ja wissen.

Wir wollen netzpolitik.org weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung. Investiere in digitale Bürgerrechte.

flattr this!

June 24 2013

Großbritannien nimmt OECD-Beschwerde gegen Spähsoftware-Hersteller Gamma an

Privacy International, die Reporter ohne Grenzen, das European Center for Constitutional and Human Rights sowie Bahrain Watch haben Anfang des Jahres Beschwerde gegen die Münchener Trovicor GmbH und die britisch-deutsche Gamma Group bei der OECD, der Organisation für wirtschaftliche Zusammenarbeit und Entwicklung, eingelegt. Sie werfen den beiden Unternehmen vor, Überwachungssoftware an Bahrain verkauft zu haben, wo diese genutzt wurde um Aktivistinnen und Aktivisten während der Proteste des Arabischen Frühlings zu überwachen, daraufhin zu verhaften oder zu foltern. Wie heute bekannt wurde, nahm die nationale Kontaktstelle der OECD in Großbritannien die Beschwerde an. Nachdem die britische Kontaktstelle reagiert hat, hofft man nun auf eine Reaktion aus Deutschland. Dies betont auch Miriam Saage-Maaß vom European Center for Constitutional and Human Rights:

Die britische Kontaktstelle zeichnet sich durch schnelles und transparentes Vorgehen aus. Es ist zu hoffen, dass sich die deutsche OECD-Kontaktstelle im Fall Trovicor an der britischen Entscheidung orientieren wird.

Laut Ala’a Shehabi von Bahrain Watch könnte dies zu einem Präzedenzfall werden:

Dieser Fall ist der erste seiner Art und basiert auf soliden Indizien, die die Beschwerdeführer geliefert haben. Er wird den Blick auf wichtige grundsätzliche Fragen lenken: Wer Geschäfte macht, die sich direkt gegen Demokratie-Aktivisten im Kampf um gleiche Rechte richten, kann auf diese Weise zum Mittäter werden.

Sollte bei einer offiziellen Prüfung verifiziert werden, dass die Produkte beider Unternehmen zu Menschenrechtsverletzungen beigetragen haben, verstießen sie gegen die OECD-Leitsätze für multinationale Unternehmen.

Die Ergebnisse der Prüfung müssten veröffentlicht werden, die OECD kann zudem Gespräche zwischen den Unternehmen und den Beschwerdeführern anberaumen. Außerdem würde die OECD Handlungsempfehlungen aussprechen, wie Trovicor und Gamma International es vermeiden könnten, zu Menschenrechtsverletzungen beizutragen.

Wir wollen netzpolitik.org weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung. Investiere in digitale Bürgerrechte.

flattr this!

August 29 2012

FinSpy Mobile: Deutscher Staatstrojaner FinFisher für iPhone, Android und Blackberry enttarnt

Nach der Enttarnung des Staatstrojaners FinSpy aus der Produktpalette von FinFisher sind jetzt auch Versionen für mobile Endgeräte entdeckt und analysiert wurden. Forscher des Citizen Lab haben Trojaner für iOS, Android, BlackBerry, Windows Mobile und Symbian enttarnt, die sie für Varianten von FinSpy Mobile halten. Die Software kann die Telefone komplett überwachen, inklusive Anschalten des Mikrofons und Ortung des Geräts.

Wie bereits bei der enttarnten Windows-Version nutzen auch die neuen Versionen für Smartphones und Tablets Strings wie “FinSpy” oder den Namen des Firmenchefs “Martin Muench”, Domains wie “demo-de.gamma-international.de” und Command & Control Server, die “Hallo Steffi” antworten:



Die Trojaner können die volle Kontrolle über die Smartphones übernehmen, inklusive dem Aufzeichnen aller Kommunikation wie Telefonaten, SMS und Blackberry Messenger, dem Download aller Dateien, dem heimlichen Anschalten des Mikrofons und die Überwachung des Aufenthaltsortes des Mobilgeräts in Echtzeit.

Überwachungs-Geräte in der Tasche

Über den Infektionsweg sagt das Team um Morgan Marquis-Boire wenig. Nur: Falls die Trojaner die mobilen Betriebssysteme nicht direkt angreifen, benötigen alle untersuchten Exemplare eine Interaktion des Nutzers, wie dem Klicken auf einen Mail-Anhang oder eine Webseite.

Neben den neuen Versionen haben die Forscher des Citizen Lab auch weitere Kommando-Server in Äthiopien, Bahrain, Brunei, Indonesien, Mongolei, Niederlande, Singapur, Tschechische Republik, Turkmenistan und den Vereinigten Arabischen Emiraten gefunden. Damit bestätigen sie weitgehend die Analyse von Rapid 7. Nicht alle diese Staaten setzen jedoch automatisch den Trojaner ein, mindestens der Amazon-Cloud Server in den USA war wohl nur ein Proxy.

Vernon Silver berichtet auch über die neueste Analyse auf Bloomberg News. Ihm gegenüber bestätigte Firmenchef Martin J. Muench, dass Gamma mit FinSpy Mobile auch einen Trojaner für mobile Endgeräte verkauft. Wie, und auf welchen Plattformen, dazu will er keine Auskunft geben.

Gegenüber netzpolitik.org bestätigte Muench, dass die bisher analysierten Samples “von den Funktionalitäten her definitiv Ähnlichkeiten” zu FinFisher haben, aber für eine endgültige Bestätigung mehr Zeit für die Analyse notwendig ist. “Sofern es sich tatsächlich um FinSpy handelt, so muss es hier eine Version sein die temporär z.B. für Produktdemonstrationen verwendet wurde”, so Muench. Auch Bloomberg zitiert eine Pressemitteilung von Gamma, dass eine Demo-Version der Software gestohlen worden sei:

“The information that was stolen has been used to identify the software Gamma used for demonstration purposes,” the release said. “No operations or clients were compromised by the theft.” The Gamma statement said that while its demo products contain the word “FinSpy” — a marker the researchers used to help identify samples — its more sophisticated operational products don’t.

Gamma hält sich laut eigenen Aussagen beim Export seiner Überwachungs-Software an die “Exportbestimmungen in Großbritannien, den Vereinigten Staaten und Deutschland”. Dumm nur, dass die in Deutschland gar nicht kontrolliert werden.

flattr this!

July 26 2012

Gamma FinFisher: Weltweit gegen Aktivisten eingesetzter Staatstrojaner enttarnt und veröffentlicht

finspyDie kommerzielle Spionage-Software FinFisher der deutsch-britischen Firma Gamma International ist offenbar enttarnt und im Internet veröffentlicht. Aktivisten vom Citizen Lab haben Exemplare des Trojaners analysiert, den sie für FinSpy halten. Vor wenigen Monaten wurden damit die Geräte bahrainischer Demokratie-Aktivisten infiziert und deren Kommunikation dann nach Bahrain übermittelt.

Über die Firma Gamma und ihr Produkt FinFisher hat netzpolitik.org schon wiederholt berichtet. Von der Trojaner-Produktfamilie, die man an Staaten verkauft, gibt es auch ein Werbe-Video. Nicht nur Ägypten und Bahrain kauften die Überwachungs-Software, auch das Bundeskriminalamt testet ihn als neuen Staatstrojaner für Deutschland.

Der Bloomberg-Journalist Vernon Silver hat nun gleich mehrere live eingesetzte Trojaner-Exemplare erhalten, die ein Teil von FinFisher sein sollen. Damit sollten die Geräte von Demokratie-Aktivisten in Washington, London und Manama, der Hauptstadt Bahrains infiziert werden. Mittlerweile sind die Samples auch als Download verfügbar.

Das Citizen Lab hat die Dateien auseinander genommen und eine technische Analyse veröffentlicht (PDF). Die Software verwendet die Strings “Finspy4.01″ und “Finspyv2″ und kommuniziert mit den Domains tiger.gamma-international.de und ff-demo.blogdns.org. Die Funktionen ähneln Gammas Datenblättern über FinFisher. Daher kommt das Analyse-Team zu dem Fazit, wahrscheinlich ein Finspy-Produkt der Gamma-Produktpallette FinFisher gefunden und analysiert zu haben.

Der analysierte Trojaner wurde per E-Mail an ausgewählte Aktivisten verschickt, die sich mit Bahrain beschäftigen. In harmlos aussehenden E-Mail-Anhängen versteckten sich ausführbare Dateien. Das Öffnen der Bilder war zwar möglich, gleichzeitig installierte sich der Trojaner jedoch auf der Festplatte und nistete sich ins System ein. Der Analyse nach tat der Trojaner einiges zur Verschleierung, er umging Viren-Scanner und crashte Debugger.

Einmal infiziert, sammelte die Software eine Reihe von Daten auf den Zielrechner, darunter Screenshots, die getippten Tasten via Keylogger, Passwörter, Aufzeichnungen von Skype-Gesprächen und gesendete Dateien. Diese wurden verschlüsselt gespeichert und an den Server mit der IP-Adresse 77.69.140.194 geschickt, die dem wichtigsten Telekommunikationsunternehmen in Bahrain gehört. Dieser “Command and Control”-Server ist noch aktiv und antwortet auf HTTP-Anfragen mit “Hallo Steffi”.

Gamma selbst wollte sich gegenüber netzpolitik.org und Bloomberg nicht äußern. Das britische Büro von Gamma International verweigerte eine Stellungnahme und verwies uns auf die Mail-Adresse von Firmenchef Martin J. Muench. Dieser hat leider noch nicht geantwortet. Die Webseite vom Münchener Büro von Gamma ist derzeit down, an der Telefonnummer aus dem Whois geht jemand anderes ran, eine funktionierende Nummer war auf Anhieb nicht zu finden. Im Buggedplanet.info Wiki stehen weitere Informationen, aber leider auch keine deutsche Telefonnummer. Die Botschaft von Bahrain konnte ebenfalls nichts dazu sagen und will unsere E-Mail weitergeben.

Neben einer Verifizierung der Echtheit hätte netzpolitik.org Gamma auch gerne gefragt, wie man dort zu diesen Einsätzen der eigenen Software steht. Man redet sich gerne aus der Verantwortung, dass man nur an Regierungen verkauft und diese damit nur Kriminelle verfolgen. Im aktuellen Beispiel wurden gezielt politische Aktivisten überwacht, die teilweise noch nicht einmal in Bahrain leben oder bahrainische Staatsbürger sind. Keiner der Betroffenen weiß von polizeilichen Ermittlungen oder gar Anklagen gegen sich.

Seit Jahren werden wirksame Export-Verbote für solche Überwachungstechnologien gefordert. Die britische Menschenrechtsorganisation Privacy International will deswegen jetzt die britische Regierung verklagen. Die deutsche Bundesregierung unterstützt solche Exporte sogar noch mit Hermes-Bürgschaften.

flattr this!

Older posts are this way If this message doesn't go away, click anywhere on the page to continue loading posts.
Could not load more posts
Maybe Soup is currently being updated? I'll try again automatically in a few seconds...
Just a second, loading more posts...
You've reached the end.

Don't be the product, buy the product!

Schweinderl