bundesfalle.de

Home

images/rfs_radar3.gif


Default Spacer-Trojaner

bundesfalle.de: Der Plan
Geschrieben von Web Master   
Dienstag, 12. Juni 2007

Als ein Team aus Systemprogrammierern, Netzwerktechnikern und Kryptoexperten haben wir uns vorgenommen, die Ersten zu sein, die den Bundestrojaner einfangen. Ideen sich gegen den Bundestrojaner zu wehren gibt es ja schon zu hauf.
Wir dagegen wollen ihn nicht ins /dev/null schicken, sondern einfangen und zwar "lebendig".

 

images/laptop_MA6.jpg

1. Der Köder

Die beste Falle ist unnütz, wenn sie leer bleibt. Daher haben wir uns einen Leckerbissen ausgedacht, dem unser Trojaner hoffentlich nicht widerstehen kann. Als Köder dient hierbei ein Netz aus Remote-Rechnern, die derart Traffic generieren, dass ihn Bundestrojaner-Versendende als verdächtig einstufen werden. In koordinierten Abständen werden von diesen Rechnern Emails entsprechenden Inhalts verschickt sowie einschlägige Webseiten und bestimmte Chats besucht. Einen Teil der Köder-Rechner haben wir im Nahen Osten bei uns nahestehenden Providern untergebracht. So verfügen wir über ein Pool von vor Manipulation relativ sicheren Rechnern. Und können mit echten IP-Adressen aus dem Nahen Osten Aufmerksamkeit quasi garantieren. Die Köder-Rechner lassen sich via IPSec-Tunnelung von Controller-Rechnern, die ebenfalls ausserhalb Deutschlands stehen, remote bedienen. So können wir die Köder-Rechner administrieren und für frischen Content sorgen. Anfangs wollten wir den Aufmerksamkeits-Traffic automatisiert gestalten. Versuche mit Datenbank gestützten Systemen brachten allerdings nur selten glaubwürdige Ergebnisse und sind aufwendig in der Aktualisierung. Ein anderer Ansatz mit einen KI-System (automatischer Nachrichten-Parser !) förderte eher das Gegenteil dessen was wir wollten hervor. Selbst die Dschihad hat im Internet ihre Gegner... So spielen die Controller-Rechner z.Zt. (wir arbeiten 'dran) eine wichtige Rolle.

bundesfalle Weltkarte
INFO Grafik: Das Netz von bundesfalle.de

 
bundesfalle Legende
Legende zur INFO Grafik

Die Idee, Netz-Abfragen der BKA-Rechner mittels eigenen Trojaner abzufangen und dann als Content-Generator zu verwenden, haben wir schmunzeld beiseite gelegt (s. Anmerkungen).
Zur Übertragung der Schlüssel unterhalten wir abgesicherte aber ansonsten gewöhnliche Direktverbindungen per Modem zu Kontaktpersonen (gänzlich am Internet vorbei ohne MAC- oder IP-Adresse).

2. Die Falle

Natürlich braucht man eine gute Falle um RFS-Software wie den Bundestrojaner einzufangen, für unseren Zweck sogar eine Lebendfalle. Hierzu wird ein System verwendet, dass mittels spezieller Browser und Email-Clients auf den Content des Köder-Netzes zugreift. Die Browser sind Varianten sogenannter Sandbox-Browser. Im Gegensatz zu den üblichen Sandbox-Browsern, denen ein Festplattenzugriff verwehrt oder nur vorgegaukelt wird, arbeiten unsere mit einen Quarantäne-Speicher. D.h. dem Browser wird es gestattet zu speichern ohne aber wirklich auf das Wirts-System Zugriff zu haben. Vom Quarantänespeicher wird nach jedem Dateizugriff eine Kopie erstellt und fortlaufend gesichert. Die Sicherungen stellen einen "frisch eingefrorenen" Zustand dar. Dies ermöglicht es, Änderungen des Bundestrojaners an sich selbst bzw. Selbstlöschungen vorzubeugen. In den Quarantänebereich können wir nach Bedarf verschiedene Pseudo-Systemumgebungen hinein mappen, sodass wir den Bundestrojaner glauben lassen können, er befinde sich auf einem bestimmten Wirts-Betriebssystem.

 

so geht der Bundestrojaner in die Falle
INFO GRAFIK: Der Weg des Trojaners auf den Fallen-Rechner.

 

legende Verbreitungsweg
Legende zur INFO GRAFIK.

 

Die fortlaufenden Sicherungskopien werden - mit Zeitstempel und Prüfsumme versehen - zur späteren Analyse in einer Datenbank aufbewahrt. An diesem Punkt gehen wir übrigens einen Schritt weiter als der Bundestrojaner selbst. Der Bundestrojaner kann per se nicht forensisch sicher arbeiten, da die Daten, die von ihm erspäht werden, sich bereits zum Zeitpunkt des Versands geändert haben könnten. Ein Ergebnis, dass als Beweis Bestand hat, kann der Bundestrojaner daher nicht liefern - wir dagegen schon.
Die ausgelegten Köder sollen natürlich nicht unentdeckt bleiben. Hierzu leiten wir den Traffic an den SINA Boxen vorbei, indem wir bei deutschen Providern Email Postfächer, Webspace etc. eingerichtet haben und sie am Verkehr teilhaben lassen. Die Mails werden zu weiteren Email-Konten bzw. Providern weitergeleitet, um möglichst vielen SINA Boxen die Chance auf den grossen Bin Laden Fang zu geben. Auch die Fallen-Rechner werden von den Controller-Rechnern durch IPSec-Tunnelung remote bedient.

 3. Anmerkungen

Selbstverständlich ist es uns bewusst, dass es auch einfachere Mittel gibt, an den Bundestrojaner zu gelangen. Das von allem Naheliegendste, einfach einen eigenen Trojaner in die BKA-Rechner zu schleusen und den Bundestrojaner quasi zu entführen, haben wir gelassen. Das ist uns zu billig und unsportlich unlauter. Wir wollen den Bundestrojaner auf legalen Weg einfangen und verwenden aussliesslich offene und frei erhältliche Software, zugegeben etwas modifiziert. Auch keine sogenannte Hacker-Software. Alles ist legal. Wir brechen in keine Systeme ein, sondern hoffen auf das Gegenteil.

Laptop

Bild: Mitarbeiter Laptop

Letzte Aktualisierung ( Samstag, 24. November 2007 )
 
Weiter >