bundesfalle.de

Home arrow 2. Die Falle

2. Die Falle
Geschrieben von Kp 4/1   
Samstag, 15. September 2007

Natürlich braucht man eine gute Falle um RFS-Software wie den Bundestrojaner einzufangen, für unseren Zweck sogar eine Lebendfalle.

Hierzu wird ein System verwendet, dass mittels spezieller Browser und Email-Clients auf den Content des Köder-Netzes zugreift. Die Browser sind Varianten sogenannter Sandbox-Browser. Im Gegensatz zu den üblichen Sandbox-Browsern, denen ein Festplattenzugriff verwehrt oder nur vorgegaukelt wird, arbeiten unsere mit einen Quarantäne-Speicher. D.h. dem Browser wird es gestattet zu speichern ohne aber wirklich auf das Wirts-System Zugriff zu haben. Vom Quarantänespeicher wird nach jedem Dateizugriff eine Kopie erstellt und fortlaufend gesichert. Die Sicherungen stellen einen "frisch eingefrorenen" Zustand dar. Dies ermöglicht es, Änderungen des Bundestrojaners an sich selbst bzw. Selbstlöschungen vorzubeugen. In den Quarantänebereich können wir nach Bedarf verschiedene Pseudo-Systemumgebungen hinein mappen, sodass wir den Bundestrojaner glauben lassen können, er befinde sich auf einem bestimmten Wirts-Betriebssystem.

 

so geht der Trojaner indie Falle
INFO GRAFIK: Der Weg des Trojaners auf den Fallen-Rechner.

 

legende
Legende zur INFO GRAFIK.

 

Die fortlaufenden Sicherungskopien werden - selbstverständlich mit Zeitstempel und Prüfsumme versehen - zur späteren Analyse in einer Datenbank aufbewahrt. An diesem Punkt gehen wir übrigens einen Schritt weiter als der Bundstrojaner selbst. Der Bundestrojaner kann per se nicht forensisch sicher arbeiten, da die Daten, die von ihm erspäht werden, sich bereits zum Zeitpunkt des Versands geändert haben könnten. Ein Ergebnis, dass als Beweis Bestand hat, kann der Bundestrojaner daher nicht liefern - wir dagegen schon.
Die ausgelegeten Köder sollen natürlich nicht unentdeckt bleiben. Hierzu leiten wir den Traffic an den SINA Boxen vorbei, indem wir bei deutschen Providern Email Postfächer, Webspace etc. eingerichtet haben und sie am Verkehr teilhaben lassen. Die Mails werden zu weiteren Email-Konten bzw. Providern weitergeleitet, um möglichst vielen SINA Boxen die Chance auf den grossen Bin Laden Fang zu geben. Auch die Fallen-Rechner werden von den Controller-Rechnern durch IPSec-Tunnelung remote bedient.

 

>> Weiter mit 3. Anmerkungen

Letzte Aktualisierung ( Montag, 12. November 2007 )