Blick auf die Trojanersoftware auf dem Rechner von Dirk Engling vom CCC
Blick auf die Trojanersoftware auf dem Rechner von Dirk Engling vom CCC (Bild: Odd Andersen/AFP/Getty Images)

Quellen-TKÜ

Schlampige Software voller Anfängerfehler

Was taugt der Trojaner eigentlich, den vor allem Landesbehörden zur Quellen-TKÜ eingesetzt haben? Softwareentwickler finden, er war mangelhaft und viel zu teuer.

Anzeige

Vor drei, vier Jahren, als der damals noch sogenannte Bundestrojaner in der Öffentlichkeit debattiert wurde, war die Angst vor ihm groß. Niemand wusste, was er wirklich kann, wie gut er ist, ob man sich davor schützen kann. Nun ist ein solcher Trojaner bekannt. Und es sieht so aus, als sei die Angst vor ihm eher unbegründet gewesen. Bei Experten zumindest führt die Software eher zu Gelächter.

Der Chaos Computer Club schrieb in seiner Analyse des von mehreren Bundesländern eingesetzten Trojaners von "Anfängerfehlern" und urteilte: "Wir sind hocherfreut, dass sich für die moralisch fragwürdige Tätigkeit der Programmierung der Computerwanze kein fähiger Experte gewinnen ließ und die Aufgabe am Ende bei studentischen Hilfskräften mit noch nicht entwickeltem festen Moralfundament hängenblieb."

Die Hacker sind nicht allein mit ihrer Einschätzung. Das würde ein ambitionierter Informatikstudent im zweiten Semester besser hinbekommen, ist die einhellige Meinung jener, die sich mit Trojanern und Verschlüsselung befassen.

Nicht, dass die Software nicht funktioniert hätte. Das tat sie offensichtlich. Die Qualität der Programmierung aber ist offensichtlich nicht sehr hoch.

Da ist beispielsweise die von der Spähsoftware benutzte Verschlüsselung, beziehungsweise der Versuch, eine Verschlüsselung zu nutzen. Das verwendete Verfahren namens AES ist zwar an sich sicher, wurde hier aber so eingesetzt, dass die Entwickler es auch gleich hätten lassen können.

AES benutzt einen festen Schlüssel, der beiden Seiten bekannt ist. Das an sich gilt heutzutage schon als Problem. Wird nämlich eine Seite geknackt, ist die andere schutzlos. Daher nutzen aktuelle Verfahren Schlüssel, die einen privaten und einen öffentlichen Teil haben. Sie tauschen nur den öffentlichen Teil. Den privaten Teil kennt die Gegenseite nicht. Ein Einbruch bei einer Seite öffnet damit nicht automatisch beide Türen.

Noch dazu wurde dieser eine vorhandene AES-Schlüssel fest in das Programm installiert, also nicht bei jeder Sitzung neu erzeugt - was das Knacken enorm erschweren würde. Der fest installierte und immer gleiche Schlüssel aber führt dazu, dass ein Angreifer mit dem Programm reden und schauen kann, wie es antwortet. Dabei sieht er, dass bei gleicher "Frage" immer die gleiche "Antwort" erfolgt - da die Verschlüsselung immer gleich ist. Das genügt, um durch Ausprobieren die Verschlüsselung knacken zu können. Feste Schlüssel halten nur Anfänger auf, so die Einschätzung von Kryptographie-Experten.

Eine Aussage aus dem Bundeskriminalamt deutet darauf hin, dass auch der anders gebaute und neuere Trojaner des BKA auf solche festen Schlüssel setzt. Zumindest sagte ein hochrangiger BKA-Mitarbeiter, die Authentifizierung zwischen Trojaner und Steuerserver funktioniere über einen Schlüssel. Sicher sei das, weil dieser Schlüssel "nicht bekannt ist". Allerdings gilt in der Kryptographie das Konzept security by obscurity - also Sicherheit durch Verschleierung - als unsicher. Besser sind offene Verfahren, wie eben öffentliche Teilschlüssel.

Virenscanner hätten ihn finden können 

dehacker 17. Okt 2011

Ist das ein Hin und Her-geplänkel. Was Ihr alle nicht kapiert, ist das der Trojaner nur...

Anonymer Nutzer 14. Okt 2011

... dann wird es ganz finster bezüglich der Freiheit dieser Gesellschaft. Wo soll das...

7hyrael 14. Okt 2011

ne riesensauerei wird es tatsächlich bleiben. und genauso konsequenzlos für vermutlich...

Shadow27374 13. Okt 2011

Mag sein, dass die meisten nur nachplappern. Aber eine Aussage des CCC ist in meinen...

DeepSec 13. Okt 2011

Ich halte es für ein völlig zulässig Aussage, denn der Durchschnittsstudent im 2...

Kommentieren


Proteus News und Aktuelles / 15. Okt 2011

griechische Mythologie auf Landesebene: unsere Trojaner

Phrixos-IT SEO Hard- Software PC-Probleme Internet / 13. Okt 2011

Warum aufregen über die Qualität der Staatstrojaner Software?



Anzeige

  1. Treasury Controller/-in für Treasury Reporting & Data Management
    Daimler AG, Stuttgart
  2. Prozessmanager E-Commerce / Data Analyst (m/w)
    Home Shopping Europe GmbH, Ismaning Raum München
  3. Wissenschaftliche/-r Referent/-in im Fachbereich "Strahlenschutz und Umwelt"
    Bundesamt für Strahlenschutz | Neuherberg, Neuherberg
  4. Datenbankentwickler (m/w)
    über Jobware Personalberatung, Großraum Hannover

 

Detailsuche


Top-Angebote
  1. NUR HEUTE: SanDisk SSD Ultra II 960-GB-SSD
    319,00€ inkl. Versand
  2. VORBESTELLBAR: Jurassic Park Collection - Dino-Skin Edition (exkl. bei Amazon.de) [Blu-ray] [Limited Edition]
    29,99€ - Release 11.06.
  3. VORBESTELLBAR: Need for Speed (PC/PS4/Xbox One)
    ab 59,99€ (Vorbesteller-Preisgarantie)

 

Weitere Angebote


Folgen Sie uns
       


  1. The Elder Scrolls Online

    Zenimax sperrt mutmaßlich illegale Nutzerkonten

  2. Sony

    Xperia Z4 erscheint in Deutschland als Xperia Z3+

  3. LTE Advanced Cat 6

    Vodafone bietet 225 MBit/s im LTE-Netz

  4. Google

    Chrome für Android ist nahezu Open Source

  5. Firefox OS

    Für Mozilla ist billig nicht mehr alles

  6. Mozilla

    Beta von Firefox für iOS geplant

  7. Soziales Netzwerk Sociax

    Das Facebook mit mehr Privatsphäre

  8. Velociroach

    Der Roboter mit den schnellsten Schritten

  9. Steuertricks

    Amazon.de will Gewinne in Deutschland versteuern

  10. League of Legends

    Halbautomatische Schnellstrafen für Rassisten



Haben wir etwas übersehen?

E-Mail an news@golem.de



Macbook 12 im Test: Einsamer USB-Port sucht passende Partner
Macbook 12 im Test
Einsamer USB-Port sucht passende Partner
  1. Apple Store Apple erhöht Hardwarepreise
  2. Workaround Macbook 12 kann bei Erstinstallation hängen bleiben
  3. Hydradock Elf Ports für das Macbook 12

Surface 3 im Test: Tolles teures Teil
Surface 3 im Test
Tolles teures Teil
  1. Surface Pro 3 Microsoft erhöht Preise um bis zu 250 Euro
  2. Surface 3 im Hands on Das Surface ohne RT

BSI: Akte E, die ungelösten Fälle der elektronischen Aktenführung
BSI
Akte E, die ungelösten Fälle der elektronischen Aktenführung
  1. Kritik an Gesetzentwurf Eco hält Vorratsdatenspeicherung für nicht umsetzbar
  2. Geheimdienst-Affäre BND plante Operation ohne Wissen des Kanzleramtes
  3. IT-Sicherheitsgesetz CCC lehnt BSI als Meldestelle ab

  1. Re: Finanzierung

    sasee_bln | 15:54

  2. Re: Bargeld wird eh abgeschafft

    liberavia | 15:54

  3. Re: computergenerierte "Gegenbeschimpfung"

    Sharkuu | 15:52

  4. Re: LoL und Verwarnungen/Banns...

    Das Original | 15:52

  5. Re: Studie...

    DerGoldeneReiter | 15:51


  1. 15:22

  2. 13:57

  3. 13:45

  4. 13:13

  5. 12:54

  6. 12:31

  7. 12:07

  8. 12:05


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel