Gefährliche Trojaner

15. Oktober 2011 10:39; Akt: 15.10.2011 12:18 Print

«Wenige Sekunden genügen»

von Daniel Schurter - Der Computer-Experte Marc Ruef bezeichnet die umstrittene deutsche Schnüffel-Software als idiotisch. Im Interview lässt sich der ehemalige Hacker tief in die Karten blicken.

storybild

Computer-Systeme sind nur so gut, wie ihre schwächste Stelle. Marc Ruef sucht als professioneller «Penetrations-Tester» nach Lücken - und setzt dabei auch Trojaner ein. (Bild: Colourbox)

Zum Thema
Fehler gesehen?

Herr Ruef, Sie decken im Auftrag von Dritten heikle Sicherheitslücken auf. Haben Sie auch schon einen Staatstrojaner entwickelt?
Marc Ruef: Dazu möchte ich nichts sagen. Ich äussere mich nicht öffentlich über allfällige Kundenbeziehungen.

Wer sind denn – allgemein gefragt - Ihre Kunden?
Wir beraten Schweizer Banken, Versicherungskonzerne und andere private Unternehmen, aber auch Staatsanwaltschaften.

Was wünschen die Kunden?
Wir bieten elektronische «Aufklärung» an. Es geht beispielsweise darum, im Auftrag einer Versicherung einen IV-Betrüger zu überführen.

Wie machen Sie das?
Etwa indem wir verräterische Bilder der fraglichen Person bei Facebook aufspüren.

Sie dringen in fremde Computer ein. Wo sind die Grenzen?
Rein technisch betrachtet, könnten wir praktisch alle Dinge herausholen. Aber rechtlich geht das natürlich nicht. Damit würden wir gegen das Gesetz verstossen. Ich kann aber gut verstehen, dass sich die Strafverfolgungsbehörden ein solches Instrument wünschen.

Zurzeit wird heftig über staatliche Schnüffel-Programmen diskutiert. Wie ist Ihre persönliche Meinung?
Ich finde die öffentliche Diskussion sehr wichtig. Den Älteren ist die Fichen-Affäre in Erinnerung. Es scheint aber, dass sich die heutige Facebook-Generation nicht dafür interessiert. Aber eigentlich dürfte so etwas in einem Rechtsstaat nicht passieren.

Was ist daran problematisch?
Wenn ein Trojaner auf einem Rechner installiert wird, ist das ein invasiver Eingriff. Das heisst, Sie müssen etwas im Computer-System verändern, um es zu kontrollieren. In der Forensik (Spurensicherung, Anmerk. d. Red.) ist aber gerade entscheidend, dass die Beweismittel nicht verändert, also manipuliert wurden. Ausserdem ist nicht klar, was durch den Trojaner alles erfasst wird.

Wie meinen Sie das?
Wir entwickeln ja selber Trojaner, um die Sicherheitssysteme unserer Auftraggeber zu überprüfen. Bei solchen Backdoor-Tests dürfen wir aber keine privaten Dinge herausholen. Es dürfen verständlicherweise keine persönlichen Mails der Mitarbeiter mitgelesen werden – obwohl auch solche Informationen vom Trojaner erfasst werden.

Wie schaffen Sie es, in ein fremdes System einzudringen?
Es gibt unzählige Möglichkeiten. Der einfachste und unkomplizierteste Weg ist aber nicht zwingend der sinnvollste. Wenn Sie der Zielperson eine manipulierte E-Mail senden und der Trojaner wird entdeckt, dann wird es schwierig. Gerade bei Leuten mit einer berufsbedingten Paranoia empfiehlt sich ein anderes Angriffszenario.

Verraten Sie uns einen entsprechenden Trick?
Wir verschicken zum Beispiel eine CD-ROM, die ein harmloses Gewinnspiel enthält. Die Zielperson macht dann bei einem Wettbewerb mit und beantwortet am Computer drei Quiz-Fragen. Im Hintergrund wird derweil ein Späh-Programm installiert.

Das klingt nach viel Aufwand.
Ein solches Vorgehen lohnt sich in der Regel nur bei mehreren Zielpersonen. Der Aufwand steigt exponentiell an – das Gewinnspiel muss ja absolut professionell wirken. Diese Angriffsmethode hat aber auch ihre Tücken.

In welcher Hinsicht?
Stellen Sie sich vor, die Zielperson gibt die CD mit dem Wettbewerb ahnungslos an einen Kollegen weiter. Dann wird der Trojaner ungewollt auf einem weiteren Rechner installiert.

Was können Sie dagegen tun?
Wir programmieren entsprechende Schutzmechanismen. So prüft der Trojaner beispielsweise anhand des Benutzernamens, ob es sich wirklich um einen Mitarbeiter des Unternehmens handelt, das wir ausspionieren sollen.

Können Sie in jedes System eindringen?
Grundsätzlich ist jedes System angreifbar. Das ist eine Frage des Aufwands – und damit der Kosten. Im Prinzip lässt sich auch eine Dreambox oder ein Smartphone ausspionieren.

Auch das iPhone?
Auch ein iPhone kann mit einem Trojaner infiziert werden – das ist allerdings sehr aufwändig und komplex. Es braucht schätzungsweise 40 Manntage, bis eine solche Software reibungslos funktioniert. Das heisst, wenn man eine Lösung von Null auf programmieren würde. Mit unseren bestehenden Produkten sind Anpassungen in ein paar Stunden oder Tagen möglich.

Was halten Sie vom deutschen «Bundestrojaner», der auch in die Schweiz verkauft wurde?
Schon der Chaos Computer Club hat das Produkt ja als sehr bedenklich beurteilt bezüglich Funktionsweise und Sicherheit. So etwas würde bei uns nie zum Einsatz kommen.

Warum?
Offenbar wurden die Daten, die bei den Opfern herausgeholt wurden, unverschlüsselt übers Internet gesendet. Das ist absolut fahrlässig, ja idiotisch.

Der Computer eines Betroffenen wurde am Flughafen während einer angeblichen Routinekontrolle infiziert. Was halten Sie davon?
Der physische Zugriff auf ein Gerät erleichtert die Sache natürlich. Um einen Trojaner zu platzieren, braucht es im Idealfall wenige Sekunden. Wenn die Festplatte nicht verschlüsselt ist und keine Login-Abfrage vorhanden ist, genügt eine Exe-Datei, die blitzschnell via USB-Port installiert wird.

Wie schützen Sie sich – und Ihre Geräte?
Ich halte mich an die bekannten Vorsichtsmassnahmen. Was ich nicht brauche und nicht kenne, klicke ich nicht an. Meinen Laptop lasse ich unterwegs nicht aus den Augen – sobald jemand unbemerkt darauf zugreifen kann, ist er kompromittiert.

Müssen Sie nicht befürchten, dass früher oder später alles ans Licht kommt?
Unsere Firma bietet seit 2004 die sogenannten Backdoor-Tests an. Bislang ist noch kein einziges Schnüffel-Tool an Dritte weitergegeben worden. Wir wissen uns zu schützen.

Wie häufig werden solche Schnüffel-Aufträge erteilt?
Sehr regelmässig. Wir haben ungefähr ein neues Projekt pro Woche.

Sind Sie auch im Ausland tätig?
Ja. Wir konzentrieren uns aber auf den Schweizer Markt.

Warum werden die Trojaner eigentlich nicht von gängiger Antivirus-Software erkannt?
Klassische Antiviren-Lösungen erkennen bösartigen Programmcode anhand konkreter Muster. Damit ein Muster erkannt werden kann, muss es dem Antiviren-Hersteller bekannt sein. Solange ein trojanisches Pferd also nicht einem Antiviren-Hersteller zur Analyse bereitgestellt wurde, kann er es auch nicht erkennen.

Diesen Einschränkung werden heuristische Mechanismen entgegengehalten. Hierbei wird das Verhalten einer Anwendung auf verdächtige Aktionen hin untersucht. Dieser Mechanismus ist jedoch sehr komplex, erfordert ein Mehr an Ressourcen und neigt zu Falschmeldungen. Deshalb wird er gerne aussen vor gelassen.

Kommentarfunktion geschlossen
Die Kommentarfunktion für diese Story wurde automatisch deaktiviert. Der Grund ist die hohe Zahl eingehender Meinungsbeiträge zu aktuellen Themen. Uns ist wichtig, diese möglichst schnell zu sichten und freizuschalten. Wir bitten um Verständnis.

Die beliebtesten Leser-Kommentare

  • Hans Tschudin am 15.10.2011 10:58 Report Diesen Beitrag melden

    Kein Problem

    Ist ja eigentlich alles kein Problem mit dem Schnüffeln, wenn man wie ich etwa zwei Mal pro Woche den Computer auswechselt!

    einklappen einklappen
  • Kaspersky User am 17.10.2011 09:02 Report Diesen Beitrag melden

    heuritische Analyse

    Vielleicht wiege ich mich auch zu sehr in Sicherheit, aber ich gehe mal davon aus, dass wenn ich so einen Trojaner erhalten würde, die Alarmglocken meines Sicherheitssystems dank der heuristischen Analyse rot aufleuchten würden. Zudem muss ich meinem Vorposter "Alex" (7:42) vollkommen zustimmen. Man öffnet nicht einfach so E-Mails oder CDs, und ein PC ohne Login ist einfach fahrlässig. Ich glaube auch nicht dass die Regierungstrojaner sooooo gut sein sollten, dass sie professionelle Schutzsoftware hintergehen könnten.

    einklappen einklappen
  • Virenol am 15.10.2011 12:19 Report Diesen Beitrag melden

    Sehr gute Arbeit

    Endlich werden die PC-User stärker dazu animiert sein, ihre Festplatte zu verschlüsseln und ihre Computer abzusichern. Wer Angst vor dem Bundestrojaner hat, ignorierte oder hat verschlafen, dass die wahre Gefahr irgendwo da draussen von echten Hackern lauert. Also ran an die Klötze, PC einschalten und absichern. Dann ist wieder Ruhe im Kaninchenbau. Alle anderen sind selber schuld, bestes Beispiel ist der Flughafenfall. Laptop unverschlüsselt über den Zoll schmuggeln LOL. Konnte vor lachen kaum sitzen bleiben. Ihm geschieht die Strafe zurecht, jetzt lernt er was draus: Schütz dich vor Bundesschädlingen

    einklappen einklappen

Die neusten Leser-Kommentare

  • Tinu am 01.01.2012 09:41 Report Diesen Beitrag melden

    Wie bei echten Viren!

    Die heutigen Viren und auch teilweise Trojaner, haben wie ihre echten Namensgeber meistens einen "Stamm". Ist dieser mal ermittelt, fällt es relativ einfach, Viren und Trojaner zu finden. Für Ottonormalverbraucher reichen heutige Scanner durchaus, eine Firewall und fertig. Grundsätzlich kann man alles hacken und infizieren, es gibt keinen 100 Prozent Schutz, schliesslich kommuniziert der Computer mit dem Netz usw. Es bleibt ein gewisses Risiko vorhanden.

  • Kevin am 17.10.2011 15:35 Report Diesen Beitrag melden

    Sicher

    Einfach alles Fragwürdige in einer VM öffnen und gut is ;) Wenn es ein Virus entählt kann man den suchen und herausfinden was dieser genau macht. Und wenn man dass nicht möchte einfach die VM löschen und eine Neue Starten.

    • Sandro Marti am 17.10.2011 17:59 Report Diesen Beitrag melden

      Bin kein Profi.

      Was ist ein VW?

    • Normalo am 17.10.2011 19:41 via via Mobile Report Diesen Beitrag melden

      VM nicht VW

      VM ist eine virtuelle Maschine, die in einem eigenen Bereich läuft und nicht auf die anderen Bereiche des Computers zugreifen kann

    • Jones-Man am 18.10.2011 07:57 Report Diesen Beitrag melden

      Na klar

      Hey normalo, Dies kann man wirklich von den heutigen Usern erwarten? Ich denke nicht! Schonmal ne VM auf nem Netbook ausprobiert? Tjaja, die Leistung sollte schon stimmen.

    • Marc Ruef am 18.10.2011 08:50 Report Diesen Beitrag melden

      Schwachsinn.

      Doch kann sie. Wie willst du den Virus auf die VM bringen ohne den HW-Computer zu infizieren? Viel Spass..

    • ano nymous am 20.10.2011 12:39 Report Diesen Beitrag melden

      Nix Schwachsinn

      Marc Ruef, natürlich klappt das wunderbar ohne lokalen PC zu infizieren.

    • Souffleur am 21.10.2011 14:30 Report Diesen Beitrag melden

      Sicherheitsexperte?

      @mark ruef: ich hoffe nicht, dass du der sicherheitsexperte bist von oben sonst gut nacht. Du weisst nicht wie man einen Virus/trojaner vom Hauptclient auf die VM Machine bekommt? Sorry aber wenn du der von oben bist hast du keine Ahnung wenn du sowas schreibst.

    einklappen einklappen
  • alternativen am 17.10.2011 10:57 Report Diesen Beitrag melden

    es geht besser

    Die CD geschichte ist herzergreifend. Aber natürlich gibt es einfacheres. 3 Beispiele die mir alle so zur verfügung stehen: stichwort konvertieren von binary code in base64 und das ganze dann via applet oder macro oder javascript im PDF beim endbenutzer (ohne notwendige schwachstelle) zur ausführung bringen und die daten entweder via http oder dns tunneling raus senden. Funktioniert ganz prächtig auch mit FW/AV/letzten updates und nicht nur bei DAU.

    • Hans Hässig am 18.10.2011 21:47 Report Diesen Beitrag melden

      Die Schwachstelle ...

      heisst in dem Fall Adobe Reader. Schwachsinnig, darin auführbaren Code zu erlauben.

    einklappen einklappen
  • guru am 17.10.2011 09:44 Report Diesen Beitrag melden

    sicherheit gibt es nur ohne internet

    es braucht ja gar keine trojaner, denn die d.u. (dumme user) veröffentlichen ihre daten ja selber im internet wie facebook etc. am einfachsten ist es aber über wifi hat man einmal einen code kommt man fast unbegrenzt an informationen ran. den wifi code zu knacken ist ein kinderspiel. firmen haben es noch schwerer denn die mitarbeiter sind das grösste datenleck. es wird in zukunft nur eine wirklich sichere lösung geben, das internet total vom privaten oder betrieblichen datenverkehr zu trennen z.b. durch zus. hardware wie ein pc im pc. gab es schon früher.

    • Janny am 18.10.2011 08:47 Report Diesen Beitrag melden

      PCimPC?

      Wie meinst Du das, PC im PC?

    • Anonym am 18.10.2011 16:33 Report Diesen Beitrag melden

      Titell

      WPA2 zu knacken ist also ein kinderpsiel? Da wäre ich mir nicht so sicher...

    • Souffleur am 21.10.2011 14:32 Report Diesen Beitrag melden

      Backtrack 15 Minuten WPA 2 geknackt

      @anonym: backtrack installieren 10 Minuten später ist der WPA Schlüssel mein. Du glaubst das nicht? google mal. WPA2 knacken backtrack.

    • Hans am 04.11.2011 08:16 Report Diesen Beitrag melden

      @Souffleur

      Ohne mich jetzt mit backtrack auseinandergesetzt zu haben: dass es WPA in dieser zeit knackt ist klar, aber WPA2? Wenn man ein leichtes, kurzes passwort hat funktioniert das mit rainbowtables, wörterbuchangriffen und ähnlichem. Aber bei einem 62-stelligen psw welches gross-klein schreibung mit Zahlen und Sonderzeichen einsetzt? Sie werden wohl kaum eine moderneTuringbombe mit x GPUs zuhause stehen haben? ;)

    einklappen einklappen
  • Jones-Man am 17.10.2011 09:38 Report Diesen Beitrag melden

    Trojaner ich warte...

    Ein Danke an Alex! Ich sehe es auch so... naja weist du es ist halt keine "technische Zeitschrift" da darf man gerne den DAU-Fall erläutern! Ich auf meiner Seite freue mich schon sehr einen Bundestrojaner zu finden.. Es gibt 1tens viele... sehr viele tracking/tracing Tools und 2tens kann man die Datei, einmal gefunden IMMER de-entschlüssln. Was man da wohl für Infos findet... :P Tipp hierzu: heise.de -> Tatort Internet ;)