« Back to home

28c3

In der Zeit zwischen den Jahren war wieder ChaosCommunicationCongress in Berlin. Ich habe einige Vorträge live sehen können und bin gerade dabei, mir andere interessante Videos im Nachhinein anzuschauen. Es waren wieder eine Menge spannende Themen dabei und die Streaming-Qualität hat sich im Vergleich wirklich wesentlich verbessert. Großes Lob dafür!

Sehr eindrücklich fand ich den Talk zum Staatstrojaner, der die Geschehnisse des letzten Jahres gut zusammenfasst. Schön ist auch die Aufarbeitung der politischen Reaktionen und das Vorführen des “dreist in die Kamera lügen”. Der Vortrag ist nicht zu technisch und auch elterngeeignet :):

Read more »

C3PO-r2d2-POE

Der CCC hat einen Trojaner analysiert, der verdächtig nach Bundestrojaner aussieht und in vielen Punkten über die Bedenken, die es bereits im Vorfeld gab, hinaus geht. Neben den üblichen Verdächtigen, wie Keylogger, Bildschirmfoto und Abhören von Skype gibt es auch einige weitere sehr bedenkliche Eigenschaften:

  • Nachladen von beliebigem Code

  • Keine Authentifizierung der Gegenseite

  • Sinnlose Verschlüsselung der übertragenen Daten

  • Der steuernde Server liegt in den USA

Money quote dazu:

Der Einsatz von AES in dem gezeigten katastrophalen Gesamtumfeld – ohne Session-Keys, mit ECB, und nur in eine Richtung – deutet auf Ausschreibungen im öffentlichen Sektor hin, bei denen AES gefordert wurde, aber der Rest nicht spezifiziert war. Mehr als einen Bonuspunkt in der B-Note können wir hier lei- der nicht vergeben.

Das erklärt dann auch, wie der CCC sich scheinbar relativ sicher sein kann, dass es sich um den Bundestrojaner handelt. Eigentlich bekamen sie das Programm nach eigenen Angaben zugespielt und können (noch) nicht erklären, wie es auf Rechnern installiert wurde. Die dilettantische Implementierung (ich sage nur 32bit only…) und die falsch implementierte Verschlüsselung deuten ohne Zweifel darauf hin, dass dies Software Made in Germany aus dem Behördenumfeld ist.

Read more »