HamburgVor drei, vier Jahren, als der damals noch sogenannte Bundestrojaner in der Öffentlichkeit debattiert wurde, war die Angst vor ihm groß. Niemand wusste, was er wirklich kann, wie gut er ist, ob man sich davor schützen kann. Nun ist ein solcher Trojaner bekannt. Und es sieht so aus, als sei die Angst vor ihm eher unbegründet gewesen. Bei Experten zumindest führt die Software eher zu Gelächter.
Der Chaos Computer Club schrieb in seiner Analyse des von mehreren Bundesländern eingesetzten Trojaners von „Anfängerfehlern“ und urteilte: „Wir sind hocherfreut, dass sich für die moralisch fragwürdige Tätigkeit der Programmierung der Computerwanze kein fähiger Experte gewinnen ließ und die Aufgabe am Ende bei studentischen Hilfskräften mit noch nicht entwickeltem festen Moralfundament hängenblieb.“
Die Hacker sind nicht allein mit ihrer Einschätzung. Das würde ein ambitionierter Informatikstudent im zweiten Semester besser hinbekommen, ist die einhellige Meinung jener, die sich mit Trojanern und Verschlüsselung befassen.
Nicht, dass die Software nicht funktioniert hätte. Das tat sie offensichtlich. Die Qualität der Programmierung aber ist offensichtlich nicht sehr hoch.
Da ist beispielsweise die von der Spähsoftware benutzte Verschlüsselung, beziehungsweise der Versuch, eine Verschlüsselung zu nutzen. Das verwendete Verfahren namens AES ist zwar an sich sicher, wurde hier aber so eingesetzt, dass die Entwickler es auch gleich hätten lassen können.
AES benutzt einen festen Schlüssel, der beiden Seiten bekannt ist. Das an sich gilt heutzutage schon als Problem. Wird nämlich eine Seite geknackt, ist die andere schutzlos. Daher nutzen aktuelle Verfahren Schlüssel, die einen privaten und einen öffentlichen Teil haben. Sie tauschen nur den öffentlichen Teil. Den privaten Teil kennt die Gegenseite nicht. Ein Einbruch bei einer Seite öffnet damit nicht automatisch beide Türen.
Noch dazu wurde dieser eine vorhandene AES-Schlüssel fest in das Programm installiert, also nicht bei jeder Sitzung neu erzeugt – was das Knacken enorm erschweren würde. Der fest installierte und immer gleiche Schlüssel aber führt dazu, dass ein Angreifer mit dem Programm reden und schauen kann, wie es antwortet. Dabei sieht er, dass bei gleicher „Frage“ immer die gleiche „Antwort“ erfolgt – da die Verschlüsselung immer gleich ist. Das genügt, um durch Ausprobieren die Verschlüsselung knacken zu können. Feste Schlüssel halten nur Anfänger auf, so die Einschätzung von Kryptografie-Experten.
Und vielleicht sollte alles genau so sein, wie der Artikel es jetzt beklagt. Ein Trojaner öffnet einen Computer, wie ein Einbrecher die Kellertür. Die wenigsten werden es für nötig erachten, nach dem Einbruch wieder sorgsam abzuschließen. Im Gegenteil hinterläßt ein zweiter Einbrecher Spuren, gibt man vielleicht ihm die Schuld.
Ist das Herstellen von Schadcode für den Privatsektor nicht generell verboten? Wie kann es sein, dass Behörde bei Privat einkauft, wo Privat doch so etwas garnicht herstellen dürfte!
1 Kommentar
Alle Kommentare lesen