Tumblelog by Soup.io
Newer posts are loading.
You are at the newest post.
Click here to check if anything new just came in.

October 29 2013

Ein Päckchen für Herrn Rajab

Die !Mediengruppe Bitnik hat ein Päckchen auf die Reise geschickt. Es reist seit Montag nachmittag von Julian Assange in der ekuadorianischen Botschaft in London zu Nabeel Rajab in Bahrain. Im Päckchen steckt eine Kamera, die alle 15 Sekunden ein Bild sendet, damit die Reise des Päckchens live verfolgt werden kann. “Delivery for Mr. Rajab” ist ein Kunstprojekt und bereits das zweite nach “Delivery for Mr. Assange” im Januar 2013.

parcel_nabeel_hole_web_1280.jpg_600

Nabeel Rajab ist aktives Mitglied der Opposition in Bahrain und Präsident des Bahrain Centre for Human Rights (BCHR). Im Juli 2012 wurde er wegen eines Tweets festgenommen, mit dem er “Bahrainer beleidigt” haben soll. Im Dezember 2012 wurde er zu zwei Jahren Haft verurteilt.

Das Päckchen, das Dienstag abend am Flughafen Stansted (London) angekommen war, kann per LiveWebcam als auch über eine Karte verfolgt werden.

!Mediengruppe Bitnik twittert außerdem unter @bitnk die Stationen der Reise.

 

Wir wollen netzpolitik.org weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung. Investiere in digitale Bürgerrechte.

flattr this!

June 24 2013

Großbritannien nimmt OECD-Beschwerde gegen Spähsoftware-Hersteller Gamma an

Privacy International, die Reporter ohne Grenzen, das European Center for Constitutional and Human Rights sowie Bahrain Watch haben Anfang des Jahres Beschwerde gegen die Münchener Trovicor GmbH und die britisch-deutsche Gamma Group bei der OECD, der Organisation für wirtschaftliche Zusammenarbeit und Entwicklung, eingelegt. Sie werfen den beiden Unternehmen vor, Überwachungssoftware an Bahrain verkauft zu haben, wo diese genutzt wurde um Aktivistinnen und Aktivisten während der Proteste des Arabischen Frühlings zu überwachen, daraufhin zu verhaften oder zu foltern. Wie heute bekannt wurde, nahm die nationale Kontaktstelle der OECD in Großbritannien die Beschwerde an. Nachdem die britische Kontaktstelle reagiert hat, hofft man nun auf eine Reaktion aus Deutschland. Dies betont auch Miriam Saage-Maaß vom European Center for Constitutional and Human Rights:

Die britische Kontaktstelle zeichnet sich durch schnelles und transparentes Vorgehen aus. Es ist zu hoffen, dass sich die deutsche OECD-Kontaktstelle im Fall Trovicor an der britischen Entscheidung orientieren wird.

Laut Ala’a Shehabi von Bahrain Watch könnte dies zu einem Präzedenzfall werden:

Dieser Fall ist der erste seiner Art und basiert auf soliden Indizien, die die Beschwerdeführer geliefert haben. Er wird den Blick auf wichtige grundsätzliche Fragen lenken: Wer Geschäfte macht, die sich direkt gegen Demokratie-Aktivisten im Kampf um gleiche Rechte richten, kann auf diese Weise zum Mittäter werden.

Sollte bei einer offiziellen Prüfung verifiziert werden, dass die Produkte beider Unternehmen zu Menschenrechtsverletzungen beigetragen haben, verstießen sie gegen die OECD-Leitsätze für multinationale Unternehmen.

Die Ergebnisse der Prüfung müssten veröffentlicht werden, die OECD kann zudem Gespräche zwischen den Unternehmen und den Beschwerdeführern anberaumen. Außerdem würde die OECD Handlungsempfehlungen aussprechen, wie Trovicor und Gamma International es vermeiden könnten, zu Menschenrechtsverletzungen beizutragen.

Wir wollen netzpolitik.org weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung. Investiere in digitale Bürgerrechte.

flattr this!

August 09 2012

Gamma FinFisher: Neue Analyse des Staatstrojaners deutet auf weitere Kunden hin

Der Spionage-Software FinFisher wird möglicherweise auch in Dubai, Katar, Mongolei und Indonesien eingesetzt. Das geht aus weiteren Analysen des vor zwei Wochen enttarnten Staatstrojaners hervor. Auch in Europa wurden Server entdeckt, die möglicherweise als Kommandozentralen für die Software der deutsch-britischen Firma Gamma International dienen.

Vor zwei Wochen haben Aktivisten vom Citizen Lab die Analyse eines Trojaners veröffentlicht, den sie für das Produkt FinFisher der Firma Gamma International halten. Die Computerwanze sollte weltweit Computer bahrainischer Aktivisten infizieren und ausspähen.

Ursprüngliche Analyse bestätigt

Jetzt hat ein zweites Forscher-Team eine Analyse der Software veröffentlicht. Als Grundlage dienten ihnen vier infizierte Dateien, die auch netzpolitik.org vorliegen. Die Gruppe um Claudio Guarnieri und Jacob Appelbaum bestätigt in weiten Teilen die Ergebnisse des Citizen Lab, wie die Malware den Zielrechner infiziert und sich einnistet. Wird die vermeintliche Bild-Datei auf dem Zielrechner geöffnet, kopiert sich der Trojaner in einen System-Ordner und injiziert nach einem Neustart seinen Schadcode direkt in Systemprozesse. So kann sich die Netzwerk-Kommunikation des Trojaners in einem Prozess des Internet Explorers verstecken, der oft leicht durch Firewalls kommt.

Das Team ist sich ziemlich sicher, dass es sich tatsächlich um FinFisher handelt. Neben dem bekannten String “finspyv4.01″ in einem Ordner-Namen hat man die Strings “finfisher” und “finfisher.lnk” entdeckt. Im Vergleich mit der offiziellen Demo-Version von FinFisher sind viele Gemeinsamkeiten im Ablauf des Programms: die aggressive Präsenz auf dem System, die Prozesskette und der Netzwerk-Verkehr. Anhand der Kommunikationsmuster stellt das Team zwei Regeln für das Angrifferkennungssystem Snort zur Verfügung, um die bekannten FinFisher Infektionen im eigenen Netz zu erkennen.

Server auf fünf Kontinenten

Auch Guarnieri und Co. ist aufgefallen, dass der vom Citizen Lab enttarnte Kommando-Server in Bahrain auf HTTP-Anfragen mit dem String “Hallo Steffi” antwortet. Eine Abfrage diese Musters in der Datenbank des Projekts Critical.IO offenbarte elf weitere Server, die dieses Verhalten zeigten. Diese befinden sich in Äthiopien, Australien, Estland, Indonesien, Katar, Lettland, Mongolei, Tschechien (zwei mal), USA und den Vereinigten Arabischen Emiraten. Die Standorte auf einer Google Karte visualisiert:

Ob diese Server tatsächlich von staatlichen Behörden in diesen Ländern verwendet werden, kann derzeit nicht abschließend bewertet werden. Zunächst haben sie nur alle den ominösen String “Hallo Steffi” geantwortet (Update: Und auf ähnlichen Port-Kombinationen gelauscht). Mittlerweile tun sie das nicht mehr, was auf ein Update nach dem Bekanntwerden hindeuten könnte. Der Chef der Gamma International GmbH in München, Martin J. Münch behauptet gegenüber dem Bloomberg-Journalisten Vernon Silver, dass Dritte die FinSpy-Server nicht durch Netzwerk-Scans erkennen könnten, weil sie “mit Firewalls geschützt sind”.

Auf Nachfrage von Bloomberg haben Institutionen der meisten Staaten geantwortet, dass man von einer FinFisher-Nutzung im eigenen Land nichts wisse. Das indonesische Kommunikations- und IT-Ministerium meinte, dass der Einsatz solcher Software Datenschutzgesetze und Menschenrechte des Inselstaates verletzen würde. Andere Länder haben nicht geantwortet, beim amerikanischen FBI hieß es: “kein Kommentar”.

Gamma streitet ab – unglaubwürdig

Auf Anfrage von netzpolitik.org wollte auch Gamma keine Stellung beziehen, der versprochene Rückruf von Martin J. Münch blieb aus. Stattdessen verweist man auf die Firmen-Policy, keine Auskunft über seine Kunden zu geben. Eine Ausnahme machte man für Bloomberg, als Geschäfte mit Bahrain bestritten wurden. Auch sei der untersuchte Trojaner wahrscheinlich keine der aktuell verkauften Versionen von FinSpy. Viel wahrscheinlicher sei es, dass jemand die Demo-Version der Software entwendet und modifiziert hat, so Münch weiter.

Ein von netzpolitik.org befragter IT-Security-Forscher hält das für eine Ausrede:

Da hat Gamma jemand diese Malware geklaut, und – obwohl sie gegen Debugging und Analyse geschützt ist – den angeblichen Call-Home raus gepatcht, dann in zig Ländern selbstentwickelte Command-and-Control Server aufgebaut, die sich mit ‘Hallo Steffi’ melden? Das ist bestimmt nicht so.

Die genaue Rolle dieser elf Server wird Gegenstand weiterer Untersuchungen sein. Zwar haben die infizierten Rechner der bahrainischen FinSpy-Versionen die Überwachungsdaten an den ursprünglichen “Hallo Steffi”-Server in Bahrain geschickt. Das könnte jedoch auch nur ein Proxy-Server sein, wie ihn auch deutsche Behörden bei ihrem Einsatz des DigiTask-Trojaners eingesetzt haben. Die eigentlichen Empfänger könnten überall sitzen. Fragt sich nur wie wahrscheinlich ein Proxy in Äthopien ist, ein Land mit sehr langsamen und zensiertem Internet.

Jede Art von Malware bekämpfen

Die neue Analyse beunruhigt die Forscher. Obwohl sie die Infektionskette als schwach bezeichnen, ist die Spionage-Software insgesamt ziemlich komplex und gut geschützt bzw. verschleiert. Zwar werden die bekannten Exemplare mittlerweile von Antiviren-Programmen erkannt, aber natürlich reagieren die Hersteller auch darauf mit Anpassungen.

Keine Malware kann langfristig unter Kontrolle gehalten werden, früher oder später wird jede Schadsoftware für bösartige Zwecke genutzt, so die Forscher. Verbreitung, Produktion und Erwerb von Malware müssen verhindert und bekämpft werden. Wenn Gamma behauptet, sich an die Exportrichtlinien von Deutschland, Großbritannien und den USA zu halten, dann sind diese Teil des Problems.

Stattdessen testet auch das Bundeskriminalamt FinFisher als neuen Staatstrojaner für Deutschland.

flattr this!

July 26 2012

Gamma FinFisher: Weltweit gegen Aktivisten eingesetzter Staatstrojaner enttarnt und veröffentlicht

finspyDie kommerzielle Spionage-Software FinFisher der deutsch-britischen Firma Gamma International ist offenbar enttarnt und im Internet veröffentlicht. Aktivisten vom Citizen Lab haben Exemplare des Trojaners analysiert, den sie für FinSpy halten. Vor wenigen Monaten wurden damit die Geräte bahrainischer Demokratie-Aktivisten infiziert und deren Kommunikation dann nach Bahrain übermittelt.

Über die Firma Gamma und ihr Produkt FinFisher hat netzpolitik.org schon wiederholt berichtet. Von der Trojaner-Produktfamilie, die man an Staaten verkauft, gibt es auch ein Werbe-Video. Nicht nur Ägypten und Bahrain kauften die Überwachungs-Software, auch das Bundeskriminalamt testet ihn als neuen Staatstrojaner für Deutschland.

Der Bloomberg-Journalist Vernon Silver hat nun gleich mehrere live eingesetzte Trojaner-Exemplare erhalten, die ein Teil von FinFisher sein sollen. Damit sollten die Geräte von Demokratie-Aktivisten in Washington, London und Manama, der Hauptstadt Bahrains infiziert werden. Mittlerweile sind die Samples auch als Download verfügbar.

Das Citizen Lab hat die Dateien auseinander genommen und eine technische Analyse veröffentlicht (PDF). Die Software verwendet die Strings “Finspy4.01″ und “Finspyv2″ und kommuniziert mit den Domains tiger.gamma-international.de und ff-demo.blogdns.org. Die Funktionen ähneln Gammas Datenblättern über FinFisher. Daher kommt das Analyse-Team zu dem Fazit, wahrscheinlich ein Finspy-Produkt der Gamma-Produktpallette FinFisher gefunden und analysiert zu haben.

Der analysierte Trojaner wurde per E-Mail an ausgewählte Aktivisten verschickt, die sich mit Bahrain beschäftigen. In harmlos aussehenden E-Mail-Anhängen versteckten sich ausführbare Dateien. Das Öffnen der Bilder war zwar möglich, gleichzeitig installierte sich der Trojaner jedoch auf der Festplatte und nistete sich ins System ein. Der Analyse nach tat der Trojaner einiges zur Verschleierung, er umging Viren-Scanner und crashte Debugger.

Einmal infiziert, sammelte die Software eine Reihe von Daten auf den Zielrechner, darunter Screenshots, die getippten Tasten via Keylogger, Passwörter, Aufzeichnungen von Skype-Gesprächen und gesendete Dateien. Diese wurden verschlüsselt gespeichert und an den Server mit der IP-Adresse 77.69.140.194 geschickt, die dem wichtigsten Telekommunikationsunternehmen in Bahrain gehört. Dieser “Command and Control”-Server ist noch aktiv und antwortet auf HTTP-Anfragen mit “Hallo Steffi”.

Gamma selbst wollte sich gegenüber netzpolitik.org und Bloomberg nicht äußern. Das britische Büro von Gamma International verweigerte eine Stellungnahme und verwies uns auf die Mail-Adresse von Firmenchef Martin J. Muench. Dieser hat leider noch nicht geantwortet. Die Webseite vom Münchener Büro von Gamma ist derzeit down, an der Telefonnummer aus dem Whois geht jemand anderes ran, eine funktionierende Nummer war auf Anhieb nicht zu finden. Im Buggedplanet.info Wiki stehen weitere Informationen, aber leider auch keine deutsche Telefonnummer. Die Botschaft von Bahrain konnte ebenfalls nichts dazu sagen und will unsere E-Mail weitergeben.

Neben einer Verifizierung der Echtheit hätte netzpolitik.org Gamma auch gerne gefragt, wie man dort zu diesen Einsätzen der eigenen Software steht. Man redet sich gerne aus der Verantwortung, dass man nur an Regierungen verkauft und diese damit nur Kriminelle verfolgen. Im aktuellen Beispiel wurden gezielt politische Aktivisten überwacht, die teilweise noch nicht einmal in Bahrain leben oder bahrainische Staatsbürger sind. Keiner der Betroffenen weiß von polizeilichen Ermittlungen oder gar Anklagen gegen sich.

Seit Jahren werden wirksame Export-Verbote für solche Überwachungstechnologien gefordert. Die britische Menschenrechtsorganisation Privacy International will deswegen jetzt die britische Regierung verklagen. Die deutsche Bundesregierung unterstützt solche Exporte sogar noch mit Hermes-Bürgschaften.

flattr this!

August 24 2011

Auch Bahrain setzt bei Überwachung (und Folter) auf deutsche Wertarbeit

Der Menschenrechtsaktivist und Schulleiter Abdul Ghani Al Khanjar wurde in Bahrain in einem fensterlosen Kellerraum von Sicherheitsbeamten gefoltert, die von ihm gerne Ausschnitte aus seiner Mobilfunk-Kommunikation erklärt haben wollten: Sie hatten seine SMS-Kurzmitteilungen und Aufzeichnungen von seinen Telefongesprächen vorliegen.

Dass Inlandsgeheimdienste Menschen abhören ist ja nichts neues. Was in Deutschland aber immer wieder gerne vergessen wird, ist dass wir die dazu notwendige Technik herstellen und liefern. Das ist spätestens seit den Vorfällen im Iran, die vor 2 Jahren große Wellen schlugen, auch allgemein bekannt. Nokia Siemens Networks brach damals zu einer großen PR-Offensive auf und erklärte, wie und warum man zwar Überwachungstechnik an den Iran liefern, dann aber trotzdem seine Hände in Unschuld waschen und sich darüber echauffieren kann, wenn rauskommt dass sie dann auch benutzt wird.

Zu der PR-Offensive gehörte auch die Ausgliederung der Mobilfunk-Überwachungssparte und die Gründung eines Subunternehmens * mit Sitz in München und dem Namen Trovicor, um ein bisschen akustischen Abstand zwischen Überwachungstechnik und die beiden wohlklingenden Namen Siemens und Nokia zu bringen, auf dass die Öffentlichkeit nicht wieder auf so unliebsame Ideen wie einen Boykott käme.

Proteste im Februar 2011

Proteste im Februar 2011

Zu diesem Zeitpunkt hatte man die Überwachungstechnik schon munter allein an 12 Länder im mittleren Osten und Nordafrika verkauft, unter anderem an Ägypten (dürfte noch in Erinnerung sein), Syrien (wo die UN gerade Menschenrechtsverletzungen untersuchen), Yemen (seit 30 Jahren von diesem freundlichen Herrn regiert) und Bahrain. Vor 4 Jahren brüstete man sich noch mit dem Verkauf in 60 Länder unserer Erde. Dort leistet das System seither gute Dienste. Dass wohl auch Deutschland dazu gehört, ist ein No-Brainer. Da die Systeme schon seit Jahren im Einsatz sind, und im Übrigen auch offiziell nicht mehr durch NSN, sondern durch Trovicor vertrieben werden, kann NSN übrigens auch heute so scheinheilige Pressemitteilungen wie diese hier veröffentlichen, in der selbstverständlich alle Schuld von sich gewiesen wird.

Und vielfältig ist Das Trovicor Communication Monitoring System auch: Man kann damit nicht nur Telefon- und VoIP-Anrufe, Emails und SMS abhören, sondern auch Textinhalte verändern. Automatisierte Stimm- und Worterkennung gibt es nur gegen Aufpreis, ebenso wie die Möglichkeit zur geheimen Aktivierung von Laptop-Webcams und Mobiltelefon-Mikrophonen. Von welchen Herstellern die unterstützten Geräte wohl stammen werden?

Da die NSN-Mitarbeiter strengen non-disclosure-agreements unterliegen, muss leider meist erst bis zum offensichtlichen Missbrauchsfall gewartet werden, bis klar wird wo die Technik überall im Einsatz ist. Dass die Geräte auch nach Bahrain verkauft wurden, haben aber inzwischen 2 anonyme Mitarbeiter und NSN-Sprecher Ben Roome bestätigt. Letzterer erklärte auch:

Uns ist sehr bewusst, dass Kommunikationsrechnologie für gute und böse Zwecke verwendet werden kann. Letztlich sind abet die Menschen, die sie einsetzten, verantwortlich für ihr handeln. [Kleiner Denkfehler am Rande: NSN stellt keine Kommunikations-, sondern Überwachungstechnologie her.]

“Gute Zwecke?” Ja klar, der Kampf gegen Terrorismus, Kinderpornographie und Drogenschmuggel. Diese ganz neuen Argumente in der Überwachungs-Debatte stehen bekanntermaßen auf der politischen Top-Agenda in Iran, Bahrain und Syrien. Komisch nur, dass so selten von den großen Erfolgen berichtet wird, die in diesem Bereich mit Hilfe der deutschen Top-Technologie gefeiert werden.

* Die Unternehmensgeschichte von Trovicor beginnt 1993 als Perusa Partners Fund, einem Siemens-Subunternehmen. Im Jahr 2007 wurde der Laden Teil von Nokia Siemens Networks, und 2009 dann aus besagten Gründen eine “eigene” Firma (ha ha).

Older posts are this way If this message doesn't go away, click anywhere on the page to continue loading posts.
Could not load more posts
Maybe Soup is currently being updated? I'll try again automatically in a few seconds...
Just a second, loading more posts...
You've reached the end.

Don't be the product, buy the product!

Schweinderl