In der Zeit zwischen den Jahren war wieder ChaosCommunicationCongress in Berlin. Ich habe einige Vorträge live sehen können und bin gerade dabei, mir andere interessante Videos im Nachhinein anzuschauen. Es waren wieder eine Menge spannende Themen dabei und die Streaming-Qualität hat sich im Vergleich wirklich wesentlich verbessert. Großes Lob dafür!
Sehr eindrücklich fand ich den Talk zum Staatstrojaner, der die Geschehnisse des letzten Jahres gut zusammenfasst. Schön ist auch die Aufarbeitung der politischen Reaktionen und das Vorführen des “dreist in die Kamera lügen”. Der Vortrag ist nicht zu technisch und auch elterngeeignet :):
Der CCC hat einen Trojaner analysiert, der verdächtig nach Bundestrojaner aussieht und in vielen Punkten über die Bedenken, die es bereits im Vorfeld gab, hinaus geht. Neben den üblichen Verdächtigen, wie Keylogger, Bildschirmfoto und Abhören von Skype gibt es auch einige weitere sehr bedenkliche Eigenschaften:
Nachladen von beliebigem Code
Keine Authentifizierung der Gegenseite
Sinnlose Verschlüsselung der übertragenen Daten
Der steuernde Server liegt in den USA
Money quote dazu:
Der Einsatz von AES in dem gezeigten katastrophalen Gesamtumfeld – ohne
Session-Keys, mit ECB, und nur in eine Richtung – deutet auf Ausschreibungen
im öffentlichen Sektor hin, bei denen AES gefordert wurde, aber der Rest nicht
spezifiziert war. Mehr als einen Bonuspunkt in der B-Note können wir hier lei-
der nicht vergeben.
Das erklärt dann auch, wie der CCC sich scheinbar relativ sicher sein kann, dass es sich um den Bundestrojaner handelt. Eigentlich bekamen sie das Programm nach eigenen Angaben zugespielt und können (noch) nicht erklären, wie es auf Rechnern installiert wurde.
Die dilettantische Implementierung (ich sage nur 32bit only…) und die falsch implementierte Verschlüsselung deuten ohne Zweifel darauf hin, dass dies Software Made in Germany aus dem Behördenumfeld ist.
