Anmerkungen zur Online-Durchsuchung

I wrote the following text in February 2007. It's still up to date, so here you have it.

Einleitung

Die Bundesregierung (allen voran der Bundesinnenminister) bemüht sich derzeit, verdeckte Online-Durchsuchungen von an das Internet angeschlossene Computer durch die Strafverfolgungsbehörden zu ermöglichen. Nachdem der Bundesgerichtshof diese Maßnahme für unzulässig erklärte, da ihr die Ermächtigungsgrundlage fehle, laufen nun Bestrebungen, eine solche (wie in Nordrhein-Westfalen bereits geschehen) gesetzlich zu verankern. Die dadurch erforderlichen Maßnahmen schließen, so erklärte der Bundesinnenminister, Änderungen im Grundgesetz nicht aus, sondern erfordern diese sogar, denn schließlich dürften keine Daten als privat gelten, wenn Strafverfolgungsbehörden "auf Augenhöhe" mit den Verdächtigen agieren sollen.

Ungeachtet der politischen Dimension dieser Vorgänge interessiert es viele Nutzer, wie eine solche Online-Durchsuchung technisch vonstatten gehen soll. Konkrete Informationen hierzu existieren nicht, denn die Strafverfolgungsbehörden haben verständlicherweise kein Interesse daran, ihre Methoden zu veröffentlichen, da diese dann wirkungslos blieben. Das Spektrum der Meinungen jedenfalls reicht von blauäugigem Achselzucken bis hin zur schieren Paranoia. Im folgenden soll dieses Meinungspektrum durch drei exemplarische Szenarien abgebildet und diskutiert werden. Insbesondere interessiert hier die technische Umsetzbarkeit sowie die erforderlichen Schutzmaßnahmen, um die jeweilige Bedrohung abzuwenden.

Eskalationsstufe I

Dieses Szenario wird von sämtlichen Medien als "Bundestrojaner" kolportiert. Der Bundestrojaner soll, glaubt man diversen Berichten, den Traditionen der klassischen Malware folgen und schlicht per E-Mail verschickt (z.B. "als interessant erscheinendes Word-Dokument") oder über eine entsprechend präparierte Webseite verbreitet werden. Ob dieses Szenario der Phantasie- und Kenntnislosigkeit der Medien entspringt, oder der Realität entspricht, läßt sich momentan nicht beantworten.

Pro:

Für den Bundestrojaner sprechen die Zahlen, die für dessen Finanzierung genannt werden (200.000 € für zwei Programmierer). Ob diese Zahlen der Wirklichkeit entsprechen, ist allerdings zumindest zu bezweifeln. Die leichte Verbreitbarkeit sowie sein potentiell hoher Verbreitungsgrad sind dagegen ebenfalls Argumente, die die Hypothese eines Bundestrojaners stützen.

Contra:

Der Bundestrojaner erreicht offensichtlich nur völlig unbedarfte, und wahrscheinlich größtenteils unbescholtene Bürger. Seine eigentliche Klientel — Schwerverbrecher und Terroristen — verfehlt er, wenn diese nicht völlig kenntnislos sein sollte. Diese Tatsache verleitet viele dazu, die Argumentation umzudrehen, und zu behaupten, es ginge bei diesen Aktivitäten gerade nicht um schwere Straftaten, sondern um die generelle Überwachung des normalen, unbescholteten Bürgers. Das ist natürlich möglich, aber interessiert nur aus politischer, nicht aber technischer Sicht.

Schutzmaßnahmen:

Keine erforderlich, die über normale Sicherheitsmaßnahmen hinausgehen. Eine hohe Verbreitung vorausgesetzt, werden nach einer gewissen Anlaufzeit vermutlich auch alle Malwarescanner in der Lage sein, den Bundestrojaner zu erkennen.

Eskalationsstufe II

Die Strafverfolgungsbehörden haben bereits zwei Schnittstellen (SINA, G-10) zum Abhören des Internetverkehrs bei den Providern eingerichtet. Die technischen Spezifikationen dieser Schnittstellen liegen nicht offen, und man kann bezüglich ihrer Funktionalität nur spekulieren.

Es liegt allerdings die Vermutung nahe, daß sich die Abhör- leicht in Manipulationsschnittstellen verwandeln lassen. Falls dem so wäre, ließen sich diese Schnittstellen für eine Man-in-the-Middle-Attacke (MMA) ausnutzen. Durch eine MMA wäre es z.B. prinzipiell möglich, einem Benutzer beim Update seines Systems (egal welcher Couleur, obwohl unixoide Systeme hierbei zumindest noch mit Prüfsummen bzw. signierten Paketen arbeiten) eine entsprechend präparierte Datei unterzuschieben, die dann auch noch mit Administrator- bzw. Rootrechten installiert wird. Diese Datei könnte ein Kernel-Rootkit, eine Backdoor, und einen Keylogger enthalten, und wegen ersterem entsprechend schwer auffindbar sein.

Pro:

Eine MMA ließe sich vermutlich recht einfach implementieren, massenhaft einsetzen, und könnte daher potentiell auch zu Nutzern durchdringen, die gegen einen per E-mail versandten Bundestrojaner immun sind. Tatsächlich reicht zur Abwehr eines solchen Angriffs ein normal abgesichertes System nicht mehr aus.

Contra:

Die erforderlichen Maßnahmen scheinen finanziell die oben genannten 200.000 € deutlich überschreiten. Die für die "Internet Monitoring und Analysestelle" angeforderten 86 Millionen € erscheinen realistischer, dienen aber vorgeblich anderen Zwecken. Allerdings gilt es dabei zu berücksichtigen, daß die Kosten für Überwachungsmaßnahmen gerne an die Provider und damit an die Kunden abgewälzt werden. Die Installation der SINA-Box war hinsichtlich der Regierung aufkommensneutral.

Bei einem hohen Verbreitungsgrad würden aber über kurz oder lang auch hier Malwarescanner Alarm schlagen, sofern diese nicht durch staatliche Zensur in ihrer Funktionsweise gehindert werden. Davon abgesehen läuft dieses Szenario so oder so ins Leere, da man (ob Terrorist oder nicht) sich diesem mit einfachen Mitteln entziehen kann, wie im folgenden geschildert wird.

Schutzmaßnahmen:

Betrachten wir zunächst den Normalfall. Ein Windows-Rechner wäre sofort kompromittiert, denn keiner der üblichen Ratschläge zur Systemsicherheit würden in einem solchen Szenario noch greifen. Bei unixoiden Betriebssystemen wäre das wegen der Signierung der Pakete schwieriger zu erreichen, aber es wäre ja auch im Normalbetrieb möglich, daß der jeweilige Distributor seine Schlüssel austauscht (weil sie abgelaufen sind, oder man auf eine höhere Verschlüsselungsstärke wechseln möchte). Die oft genannte Verschlüsselung des Datenverkehrs und der Datenpartitionen bietet ebenfalls keinen Schutz vor einer MMA, da man die Daten ja schließlich im Klartext eingibt, bzw. verschlüsselte Partitionen mounten muß, um mit ihnen zu arbeiten (natürlich bietet eine solche Verschlüsselung aber Schutz vor dem reinen Abhören des Datenverkehrs, bzw. bei einem physischen Zugriff auf den Rechner).

Um sich vor diesem Szenario zu schützen, bedürfte es also recht einschneidender Maßnahmen. Einer dieser Maßnahmen sieht wie folgt aus: man arbeitet mit zwei Rechnern, und beachtet eine strikte Trennung von Online- und Datenrechner.

Ersterer verbindet zu einem Router mit Open-Source-Firmware und aktiviertem Paketfilter, enthält keine Festplatte, und bootet von einer beliebigen Linux- oder BSD-basierten Live-CD (natürlich sollte diese die vom Nutzer bevorzugten Anwendungen enthalten). Updates sind auf diesem Rechner also weder möglich noch notwendig. Die Clients für den Internetzugang (Browser, E-mail, IRC, Instant Messaging) sollten möglichst aktuell sein, und so konfiguriert werden, daß Sicherheitslücken nicht ausgenutzt werden können. Um ein reines Abhören zu erschweren, sollte sämtliche Kommunikation verschlüsselt erfolgen (das hilft natürlich nichts, wenn ein Keylogger im Hintergrund jeden Tastendruck aufzeichnet, sondern stellt nur eine Zusatzmaßnahme dar). Es versteht sich von selbst, daß die Nutzung all dieser Programme nur von einem eingeschränkten Account erfolgt. Die Konfiguration des Systems sowie anfallende Daten werden auf einem USB-Stick gespeichert. Keinesfalls werden dort ausführbare Dateien gespeichert — Programme werden als Quelltext geladen, und auf dem Zielrechner kompiliert.

Die Daten werden mittels des USB-Sticks zum Datenrechner übertragen, der sie archiviert, und seinerseits Daten verschlüsselt (um sie z.B. per E-mail zu verschicken, oder per ssh an einen anderen Rechner zu übertragen), auf den USB-Stick kopiert und sie daraufhin wieder an den Onlinerechner übergibt. Da der Datenrechner nicht an das Netz angeschlossen ist, entfallen auch hier ansonsten notwendige Updates. Sollten diese wegen einer erweiterten Funktionalität doch einmal notwendig sein, oder soll ein neues Programm installiert werden, muß das aus den Quellen heraus geschehen. Für den Datenrechner eignet sich daher besonders ein Betriebssystem, dessen Paketmanagement eine solche Lösung explizit vorsieht, wie z.B. Gentoo oder die diversen BSD-Varianten. Zur zusätzlichen Sicherheit gegen physischen Zugriff sind die Datenpartitionen des Datenrechners verschlüsselt.

Eine (fast) analoge Lösung dieses Problems läßt sich auch mit einer virtuellen Maschine als Onlinerechner erreichen, wobei zu beachten ist, daß der Hostrechner (im diesem Fall der Datenrechner) immer eine Internetverbindung aufbauen muß, wenn es sein Gast (in diesem Fall der Onlinerechner) will. Diese Tatsache erfordert ein hohes Vertrauen in das Hostsystem. Zudem muß sichergestellt werden, daß es tatsächlich keinerlei Verbindung zwischen Host und Gast während der Internetverbindung gibt.

Eskalationsstufe III

Natürlich gibt es wie immer Meinungen, nach denen das oben geschilderte Szenario noch nicht weit genug geht. Einige der genannten Einwände sind überdenkenswert, andere grenzen an verschwörungtheoretische Konstrukte. Einige Bespiele: Woher soll man eigentlich wissen, daß das soeben heruntergeladene Live-CD-Image nicht per se den Bundestrojaner enthält? Könnte es außerdem nicht sein, daß nicht nur Updates beim Provider manipuliert werden, sondern vielmehr der gesamte Datenverkehr, direkt am Austauschpunkt DE-CIX? Woher soll man ferner wissen, ob der gcc, der gerade zur Kompilation diente, nicht schon kompromittiert ist? Wird die Bundesregierung nicht alle Hersteller von Sicherheitssoftware dazu zwingen, den Bundestrojaner zu übersehen? Wird den Herstellern von Betriebssystemen nicht einfach vorgeschrieben werden, eine Spionageschnittstelle in ihr System einzubauen? Und ist der Freund im Chat wirklich mein Freund, oder vielmehr ein Mitarbeiter des BND odes des BKA, der meinen Freund nur geschickt simuliert?

Pro:

Die Strafverfolgungsbehörden wären sicherlich entzückt. Zudem ist dieses Szenario das einzige, bei dem die angeblich angesprochene Klientel (Schwerverbrecher und Terroristen) auch wirklich in Bedrängis käme. Bei der zu erwartenden geringen Verbreitung würden sich wahrscheinlich auch sämtliche Malwarescanner schwer tun, die Software auf den Rechnern der Betroffenen zu erkennen.

Contra:

Unter anderem die gigantischen finanziellen, personellen, und logistischen Aufwendungen, sowie die Tatsache, daß wir noch nicht die Weltherrschaft übernommen haben.

Schutzmaßnahmen:

Auf das Internet verzichten oder auswandern. Obwohl: woher soll man eigentlich wissen, daß man wirklich ausgewandert ist?

Einige ausgewählte Referenzen:

Rundumschlag dank anhängender Linksammlung
Als Beispiel der Bundestrojaner-Fraktion
Blauäugig und kurzsichtig
Erheiternd und sehr wahr (leider nicht mehr online)

Cobra, 11.2.07
Korrekturen und Updates am 04.03.07