Tumblelog by Soup.io
Newer posts are loading.
You are at the newest post.
Click here to check if anything new just came in.

February 21 2014

July 09 2013

June 25 2013

Citizen Lab Bericht: Malware Attacken gegen die syrische Opposition

Die syrische Opposition, im nun über zwei Jahre andauernden syrischen Bürgerkrieg, sieht sich dauernden Cyberangriffen von Pro-Regierungs-Truppen ausgesetzt. Das berichtet das Citizen Lab in seinem neuesten Beitrag “A Call to Harm: New Malware Attacks Target the Syrian Opposition”. In diesem Bericht stellt das Citizen Lab zwei erst kürzlich bekannt gewordene Angriffe durch Malware vor, mit denen die Computer der Opposition abgehört werden können.citlab2

Beim ersten beschriebenen Angriff handelt es sich um Malware, welche mit Hilfe einer infizierten Kopie des Programms Freegate auf den jeweiligen Rechner installiert wird. Freegate ist eigentlich ein Programm, mit dessen Hilfe Zensurmaßnahmen im Internet umgangen werden können. Das Programm wurde ursprünglich für den chinesischen Markt entwickelt, wird mittlerweile aber auch häufig in Syrien eingesetzt. Die Angreifer infizierten den Installer des Programms und verteilten den Downloadlink zum infizierten Programm in privaten sozialen Netzwerken.

Nachdem das Programm heruntergeladen und entpackt wurde, kommt die Datei „VPN-Pro.exe“ zum Vorschein. Die Malware ist dabei in .NET geschrieben, was laut Citizen Lab bereits bei zuvor entdeckter Malware in Syrien der Fall war. Nach dem Ausführen der „VPN-Pro.exe“ wird das Opfer zunächst mit der Endnutzerlizenz (EULA) konfrontiert. Nachdem diese vom Nutzer bestätigt wurde startet sich das Programm von selbst und fordert dazu auf die Firewall zu entsperren. Kurz danach erscheint die Mitteilung, dass ein Update für Freegate verfügbar sei.

Währen dieses Vorgangs wurde im Hintergrund bereits die Malware in Form einer gefälschten svchost.exe-Datei installiert. Diese Installation findet statt, egal ob der Nutzer Freegate vollständig installiert oder die Installation vorzeitig abbricht.

citlab3

Eine Untersuchung der „svchost.exe“ förderte mehrere Verweise zu “ShadowTech Rat.” zu Tage.

citlab4

Bei Betrachtung des Netzwerksverkehrs wurde später auch eine Paketerfassung über TCP auf Port 1321 festgestellt.

“ShadowTech Rat.” ist ein Trojaner, welcher den Fernzugriff auf fremde Rechner ermöglicht. Auf YouTube sind Videos zur Funktionsweise des Tools zu sehen. Die Einsatzmöglichkeiten des Tools reichen vom Mitlesen von Passwörter über die Aktivierung der Webcam des fremden Rechners.

Auch wenn die infizierte „svchost.exe“ sowie die „VPN-Pro.exe“ bereits als Viren an VirusTotal gemeldet wurden, ist die Erkennungsrate von Virenprogrammen zur Zeit noch sehr dürftig. Die „svchost.exe“ wurde bei einem Test vom Citizen Lab von nur 4 von 47 getesteten Programmen erkannt, die „VPN-Pro.exe“ von 5 von 47 Programmen.

Der zweite Angriff den das Citizen Lab in den letzten Wochen beobachten konnte lief nach einem ganz ähnlichen Schema ab. Dabei wird anfangs eine E-Mail von einer mehr oder weniger unauffälligen Adresse an die Opfer versandt.

citlab5

Die E-Mail enthält dabei einen Text, ein Bild (welches hier nicht dargestellt wird) sowie einen Anhang. Der Text weist dabei auf ein Video von Scheich al-Arur, einem sunnitischen Religionslehrer, hin, welcher zu einem heiligen Krieg gegen Baschar al-Assad und die Hisbollah aufrufe. Dem Nutzer wird dabei suggeriert, dass die angehängte Datei im zip-Format einen Link zu diesem Video enthalte. Das Citizen Lab hat verschiedene Arten solcher E-Mails entdeckt, doch die Infizierung des Computers verläuft immer nach folgenden Schema.

Nachdem die zip-Datei entpackt wurde kommt eine Windows-Shortcut-Datei mit der Endung *.lnk zum Vorschein. In dieser Datei immer eine bestimmte URL eingebettet.

citlab6

Beim Ausführen dieser Datei wird das Opfer dementsprechend auf eine Webseite geleitet. Je nachdem welche E-Mail an das Opfer versendet wurde, bekommt dieses entweder ein Video von Scheich al-Arur auf Youtube oder ein Video von AlKalima Online zu sehen. Während der Nutzer jedoch das Video schaut wird im Hintergrund eine php-Datei ausgeführt, welche eine infizierte Datei auf den Computer lädt. Diese Datei fügt darüber hinaus einen Eintrag in der Registry hinzu, damit die Malware einen Neustart des Systems überlebt.

citlab7

Wenn die Malware installiert ist, kommuniziert diese mit einem C2 Server unter der Domain “tn5.linkpc.net”. Diese Domain leitet die Anfragen weiter zu einem Server welcher von SyriaTel betrieben wird. Von dort versucht die Malware die Datei „123.functions“ nachzuladen. Auch wenn dieser Download im Versuch vom Citizen Lab fehlschlug, handelt es sich scheinbar aber um eine bereits bekanntes Verfahren.

Diese beiden Beispiele, welche aus den ersten Juniwochen stammen, zeigen auf, wie einfach es scheinbar ist, fremde Computer mit Spionagesoftware zu infizieren. Entscheidend hierbei ist jedoch immer die Gutgläubigkeit der Nutzer. Was in diesen Fällen also am wichtigsten scheint, ist die Aufklärung der syrischen Bevölkerung.

Der vollständige Artikel mit weiteren Einsichten und Erklärungen ist beim Citizen Lab zu finden oder hier als pdf herunterzuladen.

Wir wollen netzpolitik.org weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung. Investiere in digitale Bürgerrechte.

flattr this!

May 21 2013

Black Code: Inside the Battle for Cyberspace – Neues Buch ruft dazu auf, die Freiheit im Internet zu verteidigen

black-codeDie ursprüngliche Verheißung des Internets als globaler Gemeinschaftsraum für geteiltes Wissen und Kommunikation ist in Gefahr. Das beschreibt Ronald Deibert, Direktor des Citizen Lab, in seinem neuen Buch “Black Code”. Darin legt er detailliert dar, wie Unternehmen, Regierungen, Polizei und Kriminelle gemeinsam unsere “digitale Wasserversorgung vergiften” – und dass wir uns wehren müssen.

Über das kanadische Citizen Lab und dessen Direktor Ronald Deibert haben wir hier wiederholt berichtet. Heute ist das neue Buch von Deibert erschienen: Black Code: Inside the Battle for Cyberspace

As cyberspace develops in unprecedented ways, powerful agents are scrambling for control. Predatory cyber criminal gangs such as Koobface have made social media their stalking ground. The discovery of Stuxnet, a computer worm reportedly developed by Israel and the United States and aimed at Iran’s nuclear facilities, showed that state cyberwar is now a very real possibility. Governments and corporations are in collusion and are setting the rules of the road behind closed doors.

This is not the way it was supposed to be. The Internet’s original promise of a global commons of shared knowledge and communications is now under threat.

Cory Doctorow von Boing Boing hat es schon gelesen und eine Rezension geschrieben: How to make cyberspace safe for human habitation

Ronald Deibert’s new book, Black Code, is a gripping and absolutely terrifying blow-by-blow account of the way that companies, governments, cops and crooks have entered into an accidental conspiracy to poison our collective digital water supply in ways small and large, treating the Internet as a way to make a quick and dirty buck or as a snoopy spy’s best friend. The book is so thoroughly disheartening for its first 14 chapters that I found myself growing impatient with it, worrying that it was a mere counsel of despair.

But the final chapter of Black Code is an incandescent call to arms demanding that states and their agents cease their depraved indifference to the unintended consequences of their online war games and join with civil society groups that work to make the networked society into a freer, better place than the world it has overwritten.

Sein Fazit:

Black Code is a manifesto for a 21st-century form of network stewardship, a sense of shared responsibility toward our vital electronic water supply. It’s a timely rallying cry, and sorely needed.

Das Buch ist 320 Seiten stark, bei Random House erschienen und erhältlich als Totbaum oder e-Book. Vorwort und Einführung gibt’s als Leseprobe:

Wir wollen netzpolitik.org weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung, auch um weiterhin einen Full-RSS-Feed anbieten zu können. Investiere in digitale Bürgerrechte.

flattr this!

Reposted bylydschi lydschi

April 05 2013

Netzpolitischer Wochenrückblick: KW 14

Welche netzpolitischen Themen waren diese Woche wichtig? Hier die wichtigsten Artikel der Woche in unserem Wochenrückblick:

  • Drosselung und Diskriminierung: Die Deutsche Telekom schafft die Netzneutralität auch beim Festnetz-Internet ab

Die Deutsche Telekom will die Netzneutralität auch bei DSL-Internetanschlüssen verletzen. Das berichtet jetzt auch die FAZ unter der Überschrift Drosselung und Diskriminierung. Statt nur Daten zu transportieren, will sich der Provider jetzt auch in die Inhalte einmischen. [Zum Artikel]

  • Bundesnachrichtendienst überwacht drei Millionen Telekommunikationsverkehre im Jahr, einmal täglich auch etwas Relevantes

Der Bundesnachrichtendienst hat im Jahr 2011 fast drei Millionen Telekommunikationsverkehre strategisch abgehört. Das geht aus einem Bericht des Parlamentarischen Kontrollgremiums des Deutschen Bundestages hervor. Auch Verfassungsschutz und Militärischer Abschirmdienst überwachen Verdächtige: bei Telekommunikations- und Finanzunternehmen, aber auch mit IMSI-Catchern. [Zum Artikel]

  • Gerichtsurteil: Verfassungsschutz im Saarland soll für Handy-Überwachung zahlen

Nach einem noch nicht rechtskräftigen Urteil aus Saarlouis muss der saarländische Verfassungsschutz für die Überwachung von Handys an das Mobilfunkunternehmen E-plus bezahlen. [Zum Artikel]

  • Isländische Crowdsourcing-Verfassung am Parlament vorerst gescheitert

Im Oktober noch stimmten 67% der Isländerinnen und Isländer in einem Referendum für die neue Crowdsourcing-Verfassung, die Wahlbeteiligung lag bei 50%. Das Referendum war zwar nicht bindend, jedoch war zu erwarten, dass das Parlament den Entwurf bei dieser deutlichen Zustimmung annehmen wird. Die Verfassung sollte nach der Finanzkrise 2008 einen neuen Anfang für Island markieren und war unter starker Beteiligung der Bürgerinnen und Bürger entstanden. Eine Mehrheit im Parlament entschied jedoch nun, dass vor der Parlamentswahl Ende am 27. April nicht mehr über den Verfassungstext abgestimmt wird. [Zum Artikel]

  • Internet-Zensur in Russland weitet sich aus: Politische Gegner, Mein Kampf, Glücksspiel, Bestechung und Cartoons

In Russland werden immer mehr Webseiten zensiert, wie aus einer Auflistung im Februar gesperrter Seiten hervorgeht. Das zugrundeliegende Gesetz sollte nur Kinderpornografie, Drogenkonsum und Suizid-Anleitungen sperren, doch es betrifft immer harmlosere Inhalte. Auch westliche Internet-Firmen kooperieren mit der russischen Zensurbehörde. [Zum Artikel]

  • Verhandlungsmandat geleakt – TAFTA ist auf bestem Weg ACTA 2.0 zu werden

Vor kurzem hatten 45 Organisationen gemeinsam dazu aufgerufen, im angekündigten transatlantischen Freihandelsabkommen zwischen den USA und der EU (TTIP, auch als TAFTA bekannt) aus den Fehlern bei ACTA zu lernen und Regelungen bezüglich “geistigen Eigentums” außen vor zu lassen – leider ohne Erfolg, wie das geleakte Verhandlungsmandat zeigt: [Zum Artikel]

  • Hackerspaces in arabischen Ländern: Crowdfunding für Dokumentarfilm

Die französischen Journalistinnen Sabine Blanc und Ophélie Noor wollen eine Dokumentation über Hackerspaces in arabischen Ländern produzieren: “Les hackers dans la cité arabe”. Unter der Fragestellung “Wie verändern diese Hackerspaces die Gesellschaften ihres Landes?” reisten sie bereits nach Algerien und Ägypten und bloggten darüber. Tunesien, Libanon, Irak und Marokko stehen noch auf der Liste, hierfür läuft eine Crowdfunding-Aktion bei Kisskissbankbank, die heute ausläuft. [Zum Artikel]

  • Citizen Lab Bericht: Tibetische Aktivisten erneut mit gezielten Android-Trojanern ausspioniert

Tibetische Aktivisten wurden bereits mit mehreren Android-Trojanern gezielt angegriffen und ausspioniert. In einem neuen Bericht analysiert das Citizen Lab einen Trojaner, der Kontakte, Anruflisten und SMS-Nachrichten abhört. Staatliche Trojaner existieren für alle verbreiteten Betriebssysteme, der Infektionsweg ist dabei häufig per E-Mail. [Zum Artikel]

  • Europäische Datenschutzbehörden ergreifen Maßnahmen gegen Googles Datenschutzbestimmungen

Die Artikel-29-Datenschutzgruppe, ein unabhängiges Beratungsgremium der Europäischen Kommission in Fragen des Datenschutzes, hatte von März bis Oktober 2012 Googles neue Datenschutzbestimmungen daraufhin geprüft, ob sie die Anforderungen der europäischen Datenschutz-Richtlinie (95/46/EG) erfüllen. Unter der Federführung französischen Datenschutzaufsichtsbehörde Commission nationale de l’informatique et des libertés (CNIL) erarbeiteten Vertreter der europäischen Datenschutzbehörden einen Bericht, in dem sie Google u.a. dazu auffordern, den Anwendern mehr Kontrolle über die Nutzung ihrer Daten durch die verschiedenen Google-Dienste zu gewähren. Das CNIL veröffentlichte Anfang dieser Woche eine Pressemitteilung, aus der hervorgeht, dass Google keine nennenswerten Maßnahmen unternommen hat, um dem nachzukommen. Da die Analyse der Artikel-29-Datenschutzgruppe nun abgeschlossen ist, liegt es nun an den einzelnen nationalen Datenschutzbehörden, Maßnahmen zu ergreifen. [Zum Artikel]

  • Das französische Paradox

Ein französisches Paradox gibt es nicht nur in Sachen Mittelmeer-Diät und Lebensstil. Auch im digitalen Bereich schaffen es die Franzosen, nicht immer ganz kohärent zu sein. Vor nur wenigen Tagen wurde bekannt, dass Frankreich das Prinzip der Netzneutralität gesetzlich verankern will. [Zum Artikel]

  • New York Times: Datenschutz ist paradox, aber wichtig

The New York Times hat am Wochenende lesenswert über die Arbeit des US-amerikanischen Privacy-Forschers Alessandro Acquisti berichtet. In dem Artikel werden drei Versuche zum menschlichen Umgang mit Privatsphäre näher vorgestellt. Die Ergebnisse sind zum Teil paradox, zeigen jedoch eines deutlich: Menschen wollen Privatsphäre, handeln dabei aber nicht “rational”. Da der NYT-Artikel recht lang geraten ist, hier ein tl;dr. [Zum Artikel]

  • Evaluierung der Antiterrordatei: Keine “überschießend grundrechtsintensiven Eingriffe”

“Ohne sie würde der Kampf gegen den islamistischen Terrorismus eines Werkzeugs von ganz entscheidender Wirkung beraubt”. Sie, das ist die Antiterrordatei ATD, die Ende 2006 in Kraft trat und deren Bedeutung Innenminister Friedrich hier betonte. Laut einem Evaluierungsbericht (PDF), den die Bundesregierung am Mittwoch veröffentlichte, habe die ATD die Kooperation zwischen Polizei und Geheimdiensten verbessert und sich bewährt. Konkrete Ermittlungserfolge oder Maßnahmen zur Verhinderung terroristischer Anschläge können den ATD-Abfragen zwar nicht zugeordnet werden, sie sei aber auch vorrangig als “Kontaktanbahnungsinstrument” zwischen den verschiedenen Behörden gedacht. [Zum Artikel]

  • Google-Hangout mit Angela Merkel

Wie der Vize-Regierungssprecher Georg Streiter heute ankündigte, gibt es am 19. April einen “Bürgerdialog” mit der Kanzlerin bei Google+. Im Hangout (Videokonferenz) stellt sie sich den Fragen von sechs Bürgerinnen und Bürgern (die wohl schon ausgesucht wurden), thematisiert wird Integration. Die Diskussion wird auf Google+ und auf www.bundesregierung.de, www.bundeskanzlerin.de und www.dialog-ueber-deutschland.de gestreamt. Die “Bürger”beteiligung besteht wohl darin, bis zum 15. April Fragen einzureichen, von denen der Moderator dann einige einbringt. [Zum Artikel]

  • Frank Rieger über Drohnen und Politik

Auf dem netzpolitischen Abend des Digitale Gesellschaft e.V. führte am Dienstag Abend Frank Rieger vom Chaos Computer Club in die netzpolitische Debatte über Drohnen ein. Der rund 30 Minuten lange Vortrag mit anschließender Diskussion ist bereits auf Youtube zu sehen: [Zum Artikel]

  • Cyanogenmod: Übermittlung von Daten für Nutzerstatistiken wird verpflichtend [Update]

Anwenderinnen und Anwender der Android-Distribution Cyanogenmod können wohl bald nicht mehr entscheiden, ob sie anonyme Nutzerstatistiken übermitteln wollen oder nicht. Auch jetzt werden Informationen an die Entwickler gesendet: die Version, das Smartphone- oder Tablet-Modell, der Mobilfunkprovider, das eingestellte Land und die eindeutige Geräte-ID. Daraus werden Statistiken erstellt, um u.a. herauszufinden, auf wie vielen und welchen Geräten Cyanogenmod installiert ist. Bisher wurde der Anwender beim ersten Start nach der Installation darüber informiert, welche Daten zu welchem Zweck übertragen werden und konnte diese Übermittlung verweigern. Mit der Version 10.1 wurde diese Option entfernt. [Zum Artikel]

  • Netflix startet Kampagne mit Geschwindigkeits- und Netzneutralitäts-Tests

Netflix hat eine schöne (und natürlich nicht selbstlose) Kampagne zur Netzneutralität gestartet und bietet einen Überblick über die Geschwindigkeiten der Internetanbieter. [Zum Artikel]

  • Offshore-Leaks gibt Einblicke in Steueroasen

Dem “International Consortium of Investigative Journalists” sind im letzten Jahr rund 260 GB Daten mit Informationen zu Konten von 130.000 Personen aus rund 170 Staaten in zehn Steueroasen zugespielt worden. Zusammen mit einem Netzwerk aus insgesamt 46 Medien weltweit wurden die rund 2.5 Millionen Dokumente, vor allem e-Mails, im vergangenen Jahr ausgewertet und heute Nacht gingen die Enthüllungen als Projekt “Offshore-Leaks” weltweit online. Vom “größte Datenleck in der Geschichte” spricht die Süddeutsche Zeitung, die zusammen mit dem NDR in Deutschland monatelang die Daten verifizierte. Die Daten stammen wohl von zwei ungesicherten Servern, die irgendwer gefunden und die Daten dann an ICIJ übermittelt hat. [Zum Artikel]

  • Petition: Hollyweb, W3C und Lobbyisten für “Digital Rights Management” im HTML5-Standard

Der fast fertige HTML5-Standard für Webseiten soll technische Möglichkeiten zur Inhalte-Kontrolle erhalten. Mit dem gefährlichen “Digital Rights Management” (DRM) ist aber schon die Musikindustrie gescheitert. Netzpolitische Organisationen rufen dazu auf, eine Petition dagegen zu unterzeichnen – macht mit! [Zum Artikel]

  • Offene Erstellung offener Lernunterlagen: Open Educational Development

Seit einiger Zeit betreiben die Kooperative Berlin und die Bundeszentrale für politische Bildung mit werkstatt.bpb.de ein Portal zum Thema offene Lehr- und Lernunterlagen (Open Educational Resources, OER). Nachdem bislang die Berichterstattung über Entwicklungen, Dimensionen und Herausforderungen rund um OER im Zentrum des Projekts standen, soll es jetzt auch an die Erstellung offener Lerninhalte selbst gehen. In einem Blogeintrag kündigt Projektkoordinatorin Jaana Müller den Start eines Projekts zur offenen Entwicklung offener Inhalte an: [Zum Artikel]

  • Bündnis gegen das Bestandsdatenschnüffelgesetz

Im Umfeld der Piratenpartei hat sich das “Bündnis gegen das Bestandsdatenschnüffelgesetz” gegründet. Ziel ist die Verhinderung der Bestandsdatenauskunft. Das ist momentan technisch möglich, weil der Bundesrat dem vor kurzem im Bundestag abgestimmten Gesetz noch zustimmen muss. Politisch ist eine Verhinderung aber unrealistisch, weil die SPD im Bundestag mit der Koalition gestimmt hat und sich daher sicher keine Mehrheit im Bundesrat dagegen finden wird. [Zum Artikel]

  • WDR feiert 50 Jahre TV-Berichterstattung über IT mit der Computer-Nacht

Der WDR Computerclub mit Wolfgang und Wolfgang war lange Zeit die einzige Sendung über Digitalthemen im deutschen Fernsehen. Zwischen 1981 und 2003 wurden rund 400 Folgen auf einigen dritten Programmen ausgestrahlt. Der WDR feiert heute Nacht mit der WDR-Computernacht ein Revival und zeigt vier Stunden lang alte Archivberichte und zeigt, wie sich Computertechnologie entwickelt hat und dass vielleicht nicht alle Vorhersagen auch eingetreten sind. [Zum Artikel]

Veranstaltungen

  • Dienstag in Berlin: Alles ist Zahl – Wie sozial und demokratisch ist Netz- und Technologiepolitik?

Am Dienstag den 9. April 2013 wird in Berlin-Oberschöneweide das Forschungs- und Weiterbildungszentrum Kultur und Informatik an der Hochschule für Technik und Wirtschaft Berlin eröffnet. Wissenschaftliche Projektleiterin ist Constanze Kurz, Informatikerin, Sachbuchautorin und Sprecherin des Chaos Computer Club. Ab 13 Uhr ist feierliche Eröffnung mit Grußwort, Besichtigung und Get Together, und ab 16 Uhr findet das zweite “Spreeforum Informationsgesellschaft” statt. [Zum Artikel]

  • Mittwoch in Würzburg: Vortrag über Netzpolitik

Am kommenden Mittwoch bin ich (Markus) in Würzburg, um beim Kolping-Forum einen Vortrag über Netzpolitik und Fragestellungen der digitalen Gesellschaft zu halten. Der Vortrag beginnt um 19 Uhr, der Eintritt ist frei und Veranstaltungsort ist die Kolping-Akademie am Kolpingplatz 1 in Würzburg.

Habt ein schönes Wochenende!

flattr this!

Reposted bylossoshgn

April 02 2013

Citizen Lab Bericht: Tibetische Aktivisten erneut mit gezielten Android-Trojanern ausspioniert

Android Berechtigungen der richtigen und der infizierten App.

Android Berechtigungen der richtigen und der infizierten App.

Tibetische Aktivisten wurden bereits mit mehreren Android-Trojanern gezielt angegriffen und ausspioniert. In einem neuen Bericht analysiert das Citizen Lab einen Trojaner, der Kontakte, Anruflisten und SMS-Nachrichten abhört. Staatliche Trojaner existieren für alle verbreiteten Betriebssysteme, der Infektionsweg ist dabei häufig per E-Mail.

Letzte Woche berichtete Kaspersky Lab, dass tibetische Aktivist/innen gezielt mit Trojanern für das mobile Betriebssystem Android ausspioniert wurden. Jetzt veröffentlichte das kanadische Citizen Lab einen weiteren detaillierten Bericht über gezielte Android-Trojaner gegen Tibeter.

Im zentralasiatischen Tibet gibt es oft nur einen eingeschränkten oder gar keinen Zugang zu Googles App-Store “Google Play”. Viele Tibeter installieren sich daher Android-Apps aus anderen Quellen, so werden diese z.B. gerne als APK-Dateien (Android Package) per E-Mail verschickt. Eine der gerne genutzten und versendeten Apps ist KakaoTalk, ein kostenloser Messaging-Dienst und eine Alternative zu WeChat, das mit der chinesischen Regierung kooperiert.

Im Dezember schickte ein befreundeter “IT-Security Experte” einem Abgeordneten des tibetischen Exilparlaments die richtige App und Installations-Hinweise per E-Mail. Im Januar erhielt eine “hochrangige politische Figur in der tibetischen Gemeinschaft” eine fast identische E-Mail. Diese hatte dem Anschein nach den selben Absender, kam aber in Wahrheit von einem GMX-Account. Der Text in der Mail war der selbe, aber die angehängte App war mit einem Trojaner infiziert.

Einmal installiert, sammelte die App in regelmäßigen Abständen die Kontakte des Benutzers, Anruflisten, SMS-Nachrichten und Informationen über die Konfiguration des Mobilfunk-Netzwerks. Darüber hinaus kommunizierte die App regelmäßig mit dem Command-and-Control-Server “android.uyghur.dnsd.me”, wobei versucht wurde, den Datenverkehr aussehen zu lassen wie den der chinesischen Suchmaschine Baidu. Der C&C-Server teilte dem Trojaner dann mit, wo er die abgeschnorchelten Daten hochladen soll.

Schließlich fing die Trojaner-App auch spezielle SMS-Nachrichten mit bestimmten Codes ab, woraufhin Informationen über die Funkzelle und das Mobilfunk-Netzwerk zurückgeschickt wurden, ohne dass die Anwenderin von diesen SMS etwas mitbekommt. Diese Informationen sind für einfache Online-Kriminelle wenig hilfreich, daher ist es vorstellbar, dass die Angreifer mit einem Mobilfunk-Anbieter zusammen arbeiten können. Der Citizen Lab hält sich vornehm zurück, China als staatlichen Akteur hinter den Angriffen namentlich zu benennen, angesichts der Auseinandersetzungen um die tibetische Unabhängigkeit liegt die Vermutung jedoch nahe.

Dieser Bericht zeigt erneut, dass staatliche Trojaner zur Überwachung politischer Gegner keineswegs nur ein paar unsichere Windows-Computer betreffen. Auch sie Staatstrojaner-Suite “made in Germany” FinFisher/FinSpy existiert für alle möglichen Zielsysteme: darunter Windows, Mac OS X, Linux, iOS, Android, BlackBerry, Windows Mobile und Symbian. Die aktuelle Schadsoftware wurde übrigens bis zur Veröffentlichung von keiner der drei großen Android-Antivirenprogramme erkannt.

vgwort pixel

flattr this!

March 26 2013

NPP120: Ron Deibert über die Arbeit des Citizenlab

rondeibert

Vergangene Woche war ich auf Einladung des Citizenlab in Toronto in Kanada, um an ihrem Cyberdialogue zum Thema “Governance without Government in Cyberspace?” teilzunehmen. Über Aktivitäten des Citizenlab haben wir hier bereits oft berichtet. Sehr interessant sind die vielen Reports über Zensur- und Überwachungsinfrastrukturen in repressiven Regimen und in letzter Zeit vermehrt die investigativen Recherchen zur Nutzung von (Staats-)Trojanern in verschiedenen Kontexten. Das spannende am Citizenlab ist, dass dort nicht wie in vielen anderen Netzpolitik-Forschungszentren überwiegend Juristen beschäftigt sind, sondern Politikwissenschaftler und Hacker. Ich hätte übrigens auch gerne was vergleichbares wie das Citizenlab in Deutschland. Gibts leider nicht.

Im Anschluss der Konferenz hab ich mit Ron Deibert einen rund 30 Minuten langen Netzpolitik-Podcast aufgezeichnet. Ron ist Professor für Politikwissenschaften und Direktor des Canada Centre for Global Security Studies und des Citizen Lab at the Munk School of Global Affairs an der Universität Toronto. Hier ist die MP3. Das Interview ist auf englisch.

Zur groben Orientierung sind hier die Themen aufgelistet:

0:00 Einleitung, Vorstellung des Citizenlab
3:27 Wieso arbeiten dort Politikwissenschaftler mit Hackern zusammen?
6:48 Fokus: Überwachungstechnologien
8:58 Fokus und Projekt: Netzsperren, Filter und Zensur
11:43 “Post 9/11″ – Auswirkungen des 11. Sept 2001 auf das Internet
15:00 Gibt es einen Weg zurück? Verhältnis Freiheit/ Sicherheit
17:30 Entwicklungen bzgl des Internets in westlichen Demokratien
20:29 Entwicklungen bzgl des Internets in repressiven Staaten
22:54 “Digitale Waffen” – Export von Überwachungstechnologien
26:38 Zukunft – Welche policy ist nötig, was können Bürger tun?

Auf der TEDxToronto hat Ron Deibert im vergangenen Jahr einen Vortrag über das Citizenlab, und wie man ein Hacker wird, gehalten:

flattr this!

August 29 2012

FinSpy Mobile: Deutscher Staatstrojaner FinFisher für iPhone, Android und Blackberry enttarnt

Nach der Enttarnung des Staatstrojaners FinSpy aus der Produktpalette von FinFisher sind jetzt auch Versionen für mobile Endgeräte entdeckt und analysiert wurden. Forscher des Citizen Lab haben Trojaner für iOS, Android, BlackBerry, Windows Mobile und Symbian enttarnt, die sie für Varianten von FinSpy Mobile halten. Die Software kann die Telefone komplett überwachen, inklusive Anschalten des Mikrofons und Ortung des Geräts.

Wie bereits bei der enttarnten Windows-Version nutzen auch die neuen Versionen für Smartphones und Tablets Strings wie “FinSpy” oder den Namen des Firmenchefs “Martin Muench”, Domains wie “demo-de.gamma-international.de” und Command & Control Server, die “Hallo Steffi” antworten:



Die Trojaner können die volle Kontrolle über die Smartphones übernehmen, inklusive dem Aufzeichnen aller Kommunikation wie Telefonaten, SMS und Blackberry Messenger, dem Download aller Dateien, dem heimlichen Anschalten des Mikrofons und die Überwachung des Aufenthaltsortes des Mobilgeräts in Echtzeit.

Überwachungs-Geräte in der Tasche

Über den Infektionsweg sagt das Team um Morgan Marquis-Boire wenig. Nur: Falls die Trojaner die mobilen Betriebssysteme nicht direkt angreifen, benötigen alle untersuchten Exemplare eine Interaktion des Nutzers, wie dem Klicken auf einen Mail-Anhang oder eine Webseite.

Neben den neuen Versionen haben die Forscher des Citizen Lab auch weitere Kommando-Server in Äthiopien, Bahrain, Brunei, Indonesien, Mongolei, Niederlande, Singapur, Tschechische Republik, Turkmenistan und den Vereinigten Arabischen Emiraten gefunden. Damit bestätigen sie weitgehend die Analyse von Rapid 7. Nicht alle diese Staaten setzen jedoch automatisch den Trojaner ein, mindestens der Amazon-Cloud Server in den USA war wohl nur ein Proxy.

Vernon Silver berichtet auch über die neueste Analyse auf Bloomberg News. Ihm gegenüber bestätigte Firmenchef Martin J. Muench, dass Gamma mit FinSpy Mobile auch einen Trojaner für mobile Endgeräte verkauft. Wie, und auf welchen Plattformen, dazu will er keine Auskunft geben.

Gegenüber netzpolitik.org bestätigte Muench, dass die bisher analysierten Samples “von den Funktionalitäten her definitiv Ähnlichkeiten” zu FinFisher haben, aber für eine endgültige Bestätigung mehr Zeit für die Analyse notwendig ist. “Sofern es sich tatsächlich um FinSpy handelt, so muss es hier eine Version sein die temporär z.B. für Produktdemonstrationen verwendet wurde”, so Muench. Auch Bloomberg zitiert eine Pressemitteilung von Gamma, dass eine Demo-Version der Software gestohlen worden sei:

“The information that was stolen has been used to identify the software Gamma used for demonstration purposes,” the release said. “No operations or clients were compromised by the theft.” The Gamma statement said that while its demo products contain the word “FinSpy” — a marker the researchers used to help identify samples — its more sophisticated operational products don’t.

Gamma hält sich laut eigenen Aussagen beim Export seiner Überwachungs-Software an die “Exportbestimmungen in Großbritannien, den Vereinigten Staaten und Deutschland”. Dumm nur, dass die in Deutschland gar nicht kontrolliert werden.

flattr this!

Reposted bymondkroetemynniabrightbytesofias02mydafsoup-01renanalolufo

August 09 2012

Gamma FinFisher: Neue Analyse des Staatstrojaners deutet auf weitere Kunden hin

Der Spionage-Software FinFisher wird möglicherweise auch in Dubai, Katar, Mongolei und Indonesien eingesetzt. Das geht aus weiteren Analysen des vor zwei Wochen enttarnten Staatstrojaners hervor. Auch in Europa wurden Server entdeckt, die möglicherweise als Kommandozentralen für die Software der deutsch-britischen Firma Gamma International dienen.

Vor zwei Wochen haben Aktivisten vom Citizen Lab die Analyse eines Trojaners veröffentlicht, den sie für das Produkt FinFisher der Firma Gamma International halten. Die Computerwanze sollte weltweit Computer bahrainischer Aktivisten infizieren und ausspähen.

Ursprüngliche Analyse bestätigt

Jetzt hat ein zweites Forscher-Team eine Analyse der Software veröffentlicht. Als Grundlage dienten ihnen vier infizierte Dateien, die auch netzpolitik.org vorliegen. Die Gruppe um Claudio Guarnieri und Jacob Appelbaum bestätigt in weiten Teilen die Ergebnisse des Citizen Lab, wie die Malware den Zielrechner infiziert und sich einnistet. Wird die vermeintliche Bild-Datei auf dem Zielrechner geöffnet, kopiert sich der Trojaner in einen System-Ordner und injiziert nach einem Neustart seinen Schadcode direkt in Systemprozesse. So kann sich die Netzwerk-Kommunikation des Trojaners in einem Prozess des Internet Explorers verstecken, der oft leicht durch Firewalls kommt.

Das Team ist sich ziemlich sicher, dass es sich tatsächlich um FinFisher handelt. Neben dem bekannten String “finspyv4.01″ in einem Ordner-Namen hat man die Strings “finfisher” und “finfisher.lnk” entdeckt. Im Vergleich mit der offiziellen Demo-Version von FinFisher sind viele Gemeinsamkeiten im Ablauf des Programms: die aggressive Präsenz auf dem System, die Prozesskette und der Netzwerk-Verkehr. Anhand der Kommunikationsmuster stellt das Team zwei Regeln für das Angrifferkennungssystem Snort zur Verfügung, um die bekannten FinFisher Infektionen im eigenen Netz zu erkennen.

Server auf fünf Kontinenten

Auch Guarnieri und Co. ist aufgefallen, dass der vom Citizen Lab enttarnte Kommando-Server in Bahrain auf HTTP-Anfragen mit dem String “Hallo Steffi” antwortet. Eine Abfrage diese Musters in der Datenbank des Projekts Critical.IO offenbarte elf weitere Server, die dieses Verhalten zeigten. Diese befinden sich in Äthiopien, Australien, Estland, Indonesien, Katar, Lettland, Mongolei, Tschechien (zwei mal), USA und den Vereinigten Arabischen Emiraten. Die Standorte auf einer Google Karte visualisiert:

Ob diese Server tatsächlich von staatlichen Behörden in diesen Ländern verwendet werden, kann derzeit nicht abschließend bewertet werden. Zunächst haben sie nur alle den ominösen String “Hallo Steffi” geantwortet (Update: Und auf ähnlichen Port-Kombinationen gelauscht). Mittlerweile tun sie das nicht mehr, was auf ein Update nach dem Bekanntwerden hindeuten könnte. Der Chef der Gamma International GmbH in München, Martin J. Münch behauptet gegenüber dem Bloomberg-Journalisten Vernon Silver, dass Dritte die FinSpy-Server nicht durch Netzwerk-Scans erkennen könnten, weil sie “mit Firewalls geschützt sind”.

Auf Nachfrage von Bloomberg haben Institutionen der meisten Staaten geantwortet, dass man von einer FinFisher-Nutzung im eigenen Land nichts wisse. Das indonesische Kommunikations- und IT-Ministerium meinte, dass der Einsatz solcher Software Datenschutzgesetze und Menschenrechte des Inselstaates verletzen würde. Andere Länder haben nicht geantwortet, beim amerikanischen FBI hieß es: “kein Kommentar”.

Gamma streitet ab – unglaubwürdig

Auf Anfrage von netzpolitik.org wollte auch Gamma keine Stellung beziehen, der versprochene Rückruf von Martin J. Münch blieb aus. Stattdessen verweist man auf die Firmen-Policy, keine Auskunft über seine Kunden zu geben. Eine Ausnahme machte man für Bloomberg, als Geschäfte mit Bahrain bestritten wurden. Auch sei der untersuchte Trojaner wahrscheinlich keine der aktuell verkauften Versionen von FinSpy. Viel wahrscheinlicher sei es, dass jemand die Demo-Version der Software entwendet und modifiziert hat, so Münch weiter.

Ein von netzpolitik.org befragter IT-Security-Forscher hält das für eine Ausrede:

Da hat Gamma jemand diese Malware geklaut, und – obwohl sie gegen Debugging und Analyse geschützt ist – den angeblichen Call-Home raus gepatcht, dann in zig Ländern selbstentwickelte Command-and-Control Server aufgebaut, die sich mit ‘Hallo Steffi’ melden? Das ist bestimmt nicht so.

Die genaue Rolle dieser elf Server wird Gegenstand weiterer Untersuchungen sein. Zwar haben die infizierten Rechner der bahrainischen FinSpy-Versionen die Überwachungsdaten an den ursprünglichen “Hallo Steffi”-Server in Bahrain geschickt. Das könnte jedoch auch nur ein Proxy-Server sein, wie ihn auch deutsche Behörden bei ihrem Einsatz des DigiTask-Trojaners eingesetzt haben. Die eigentlichen Empfänger könnten überall sitzen. Fragt sich nur wie wahrscheinlich ein Proxy in Äthopien ist, ein Land mit sehr langsamen und zensiertem Internet.

Jede Art von Malware bekämpfen

Die neue Analyse beunruhigt die Forscher. Obwohl sie die Infektionskette als schwach bezeichnen, ist die Spionage-Software insgesamt ziemlich komplex und gut geschützt bzw. verschleiert. Zwar werden die bekannten Exemplare mittlerweile von Antiviren-Programmen erkannt, aber natürlich reagieren die Hersteller auch darauf mit Anpassungen.

Keine Malware kann langfristig unter Kontrolle gehalten werden, früher oder später wird jede Schadsoftware für bösartige Zwecke genutzt, so die Forscher. Verbreitung, Produktion und Erwerb von Malware müssen verhindert und bekämpft werden. Wenn Gamma behauptet, sich an die Exportrichtlinien von Deutschland, Großbritannien und den USA zu halten, dann sind diese Teil des Problems.

Stattdessen testet auch das Bundeskriminalamt FinFisher als neuen Staatstrojaner für Deutschland.

flattr this!

July 26 2012

Gamma FinFisher: Weltweit gegen Aktivisten eingesetzter Staatstrojaner enttarnt und veröffentlicht

finspyDie kommerzielle Spionage-Software FinFisher der deutsch-britischen Firma Gamma International ist offenbar enttarnt und im Internet veröffentlicht. Aktivisten vom Citizen Lab haben Exemplare des Trojaners analysiert, den sie für FinSpy halten. Vor wenigen Monaten wurden damit die Geräte bahrainischer Demokratie-Aktivisten infiziert und deren Kommunikation dann nach Bahrain übermittelt.

Über die Firma Gamma und ihr Produkt FinFisher hat netzpolitik.org schon wiederholt berichtet. Von der Trojaner-Produktfamilie, die man an Staaten verkauft, gibt es auch ein Werbe-Video. Nicht nur Ägypten und Bahrain kauften die Überwachungs-Software, auch das Bundeskriminalamt testet ihn als neuen Staatstrojaner für Deutschland.

Der Bloomberg-Journalist Vernon Silver hat nun gleich mehrere live eingesetzte Trojaner-Exemplare erhalten, die ein Teil von FinFisher sein sollen. Damit sollten die Geräte von Demokratie-Aktivisten in Washington, London und Manama, der Hauptstadt Bahrains infiziert werden. Mittlerweile sind die Samples auch als Download verfügbar.

Das Citizen Lab hat die Dateien auseinander genommen und eine technische Analyse veröffentlicht (PDF). Die Software verwendet die Strings “Finspy4.01″ und “Finspyv2″ und kommuniziert mit den Domains tiger.gamma-international.de und ff-demo.blogdns.org. Die Funktionen ähneln Gammas Datenblättern über FinFisher. Daher kommt das Analyse-Team zu dem Fazit, wahrscheinlich ein Finspy-Produkt der Gamma-Produktpallette FinFisher gefunden und analysiert zu haben.

Der analysierte Trojaner wurde per E-Mail an ausgewählte Aktivisten verschickt, die sich mit Bahrain beschäftigen. In harmlos aussehenden E-Mail-Anhängen versteckten sich ausführbare Dateien. Das Öffnen der Bilder war zwar möglich, gleichzeitig installierte sich der Trojaner jedoch auf der Festplatte und nistete sich ins System ein. Der Analyse nach tat der Trojaner einiges zur Verschleierung, er umging Viren-Scanner und crashte Debugger.

Einmal infiziert, sammelte die Software eine Reihe von Daten auf den Zielrechner, darunter Screenshots, die getippten Tasten via Keylogger, Passwörter, Aufzeichnungen von Skype-Gesprächen und gesendete Dateien. Diese wurden verschlüsselt gespeichert und an den Server mit der IP-Adresse 77.69.140.194 geschickt, die dem wichtigsten Telekommunikationsunternehmen in Bahrain gehört. Dieser “Command and Control”-Server ist noch aktiv und antwortet auf HTTP-Anfragen mit “Hallo Steffi”.

Gamma selbst wollte sich gegenüber netzpolitik.org und Bloomberg nicht äußern. Das britische Büro von Gamma International verweigerte eine Stellungnahme und verwies uns auf die Mail-Adresse von Firmenchef Martin J. Muench. Dieser hat leider noch nicht geantwortet. Die Webseite vom Münchener Büro von Gamma ist derzeit down, an der Telefonnummer aus dem Whois geht jemand anderes ran, eine funktionierende Nummer war auf Anhieb nicht zu finden. Im Buggedplanet.info Wiki stehen weitere Informationen, aber leider auch keine deutsche Telefonnummer. Die Botschaft von Bahrain konnte ebenfalls nichts dazu sagen und will unsere E-Mail weitergeben.

Neben einer Verifizierung der Echtheit hätte netzpolitik.org Gamma auch gerne gefragt, wie man dort zu diesen Einsätzen der eigenen Software steht. Man redet sich gerne aus der Verantwortung, dass man nur an Regierungen verkauft und diese damit nur Kriminelle verfolgen. Im aktuellen Beispiel wurden gezielt politische Aktivisten überwacht, die teilweise noch nicht einmal in Bahrain leben oder bahrainische Staatsbürger sind. Keiner der Betroffenen weiß von polizeilichen Ermittlungen oder gar Anklagen gegen sich.

Seit Jahren werden wirksame Export-Verbote für solche Überwachungstechnologien gefordert. Die britische Menschenrechtsorganisation Privacy International will deswegen jetzt die britische Regierung verklagen. Die deutsche Bundesregierung unterstützt solche Exporte sogar noch mit Hermes-Bürgschaften.

flattr this!

Reposted byL337hiumShingomur02mydafsoup-01makrosphytx
Older posts are this way If this message doesn't go away, click anywhere on the page to continue loading posts.
Could not load more posts
Maybe Soup is currently being updated? I'll try again automatically in a few seconds...
Just a second, loading more posts...
You've reached the end.

Don't be the product, buy the product!

Schweinderl