FUKZ.DE

Am Freitag auf dem FFG der GUUG ging es in einem Vortrag von Ralf Spenneberg um USB Devices, die einen Microcontroller enthalten, sich beim Anschließen an den Rechner als Tastatur (oder Maus) melden und dann Kommandos ausführen, die per Tastatur/Maus möglich sind. Damit umgeht man vermutlich die meisten Endpoint Security Systeme, da Maus/Tastatur in der Regel nicht gesperrt sind. Außerdem kann man so einen Autostart durchführen, auch wenn das vom Betriebssystem gesperrt ist. Nach dem Vortrag sind natürlich interessante Ideen aufgekommen, die so ein Device ermöglicht.

Wie der Zufall es nun will, bekam ich heute einen Werbeflyer in die Hand, mit einem kleinen USB Device aus Papier, etwa in der Größe einer EC Karte. Die Aufschrifft leitet dazu an, das Teil in den heimischen PC zu stecken und man wird sofort auf eine Webseite geleitet. Das ist natürlich Grund genug das Teil mal in einer sicheren Umgebung zu testen.

Die erste Analyse zeigt, das es sich um eine Tastatur handet, na sowas.

Bus 004 Device 003: ID 05ac:020b Apple, Inc. Pro Keyboard [Mitsumi, A1048/US layout]

Gut, testen wir das ganze in einer virtuellen Umgebung und schauen mal, was passiert. Wie erwartet werden Tastatureingaben gemacht. Es geht der “Ausführen” Dialog auf und wie von Geisterhand wird eine URL eingetippt. Anschließend startet der Standardbrowser. Die URL selbst zeigt auf einen URL Dienst, der von Marketingfirmen benutzt wird. Dabei wird aber neben der ID zur Seite auch eine ID an die Zielseite übertragen. Im Klartext: es ist möglich, dass der Anbieter so feststellen kann, welche der Karten benutzt werden und somit in der Lage ist, den Besucher eindeutig zu identifizieren. Damit wirbt der Anbieter sogar. Das sowas in Deutschland rechtlich überhaupt zulässig ist, halte ich für fragwürdig.

Die zweite Gefahr ist, dass diese Devices anscheinend bereits so billig sind, dass man damit auch einen groß angelegten Angriff fahren kann. Statt der URL zu einer Werbeseite könnte man auch Software nachladen und installieren. Ich denke, dass uns diese Teile in der Zukunft noch viel “Freude” bereiten werden. Nur das die Gefahr so nahe ist, damit hatte ich nicht gerechnet.

Erste unschuldige und ahnungslose Mitbürger haben die kleinen possierlichen Bundestrojaner entdeckt und sofort für uns alle einen Beweis gesichert:

Quelle: http://img59.imageshack.us/img59/8157/20070722bundestrojanerkll1.jpg

Wikipedia 2100:

Rechtsstaat, m, Plural: Rechtsstaa·ten
Aussprache:
[rɛçtsʃtaːt], Plural: [ˈrɛçtsʃtaːtən]

Bedeutungen:
Historische Staatsform in Europa, wurde Anfang des 21 Jh. durch die Form des Überwachungsstaates ersetzt.
So, oder so ähnlich könnte es in der Zukunft in einem Lexikon stehen. Wer meint, die DDR war ein Überwachungsstaat, der sollte sich mal folgende Links ansehen. Tut mir leid, dass ich euch enttäuschen muss, aber das ist die bittere Wahrheit.

http://www.heise.de/newsticker/meldung/67358
http://www.heise.de/newsticker/meldung/69881
http://www.heise.de/newsticker/meldung/74633
http://www.heise.de/newsticker/meldung/80901
http://www.heise.de/newsticker/meldung/81223
http://www.heise.de/newsticker/meldung/82154
http://www.heise.de/newsticker/meldung/76126
http://www.heise.de/newsticker/meldung/80147
http://www.heise.de/newsticker/meldung/78893
http://www.heise.de/newsticker/meldung/80337

Jetzt ist es amtlich. Die Mittel für die Entwicklung des Bundestrojaners sind da und wir dürfen uns alle freuen, dass nun bald immer all unsere Schritte und Klicks im Internet von behördlicher Seite überwacht und unsere Dateien im Bundesgoogle indiziert werden. Das die Vorhaben klar gegen das Grundgesetzt verstoßen scheint dabei keine Rolle zu spielen. Und falls jemand dagegen vorgeht, wäre es auch durchaus denkbar, das Grundgesetzt entsprechend anzupassen.

Aber betrachten wir mal die positiven Aspekte dieses Vorgehens, sehen wir unsere Vorteile. Neben der Behütung vor „schlechtem“ Umgang bieten sich doch mannigfaltige Möglichkeiten die tägliche Arbeit zu verbessern. Wie oft haben wir im Internet eine Seite gesehen und finden diese zwei Tage später nicht wieder? Ein Anruf bei der Polizei und schon wissen wir es wieder, die Favoriten werden damit überflüssig. Oder wer hat nicht schon mal versehendlich ein wichtiges Dokument gelöscht? Kein Problem, Kopien der Texte sind ja sicher auf diversen behördlichen Servern zu finden. Wann es Formulare zum Anfordern der Daten gibt, oder ob ein genereller FTP Zugang eingerichtet wird ist noch unklar. Wenn wir es jetzt noch schaffen das ganze mit der Schülerdatenbank zu koppeln, dann bieten sich weitere Möglichkeiten. Wir bekommen ein nie da gewesenes Bildungswesen. Bei Problemen in Mathe wird einfach vor der Anfrage an die Suchmaschine eine Aufgabe gestellt, die zuerst richtig gelöst werden muss. Oder wenn gefährdete Jugendliche versuchen Counterstrike zu starten, wird mal eben schnell im Hintergrund das Spiel gegen „Zaubern mit Zwergen“ ausgetauscht. Da schlägt doch so manches Politikerherz höher. Und überlegen wir mal, wie einfach wir auch in anderen Ländern an unsere Daten kommen. Keine Probleme mehr, wenn wir mal im Urlaub eine Adresse brauchen, die wir zu Hause in einer Datei vergessen haben oder wenn wir bei der Neuinstallation die Seriennummer nicht mehr finden.

Vielleicht sollte man aber auch mal über dieses Zitat von Gerhard Seyfried nachdenken und uns einige Jahre zurück erinnern.

“In jeder Nation, in der es nur irgendeine Art von Geheimpolizei gibt, lernen die Leute schnell, diejenigen zu verdächtigen, die *sie* verdächtigen. /../ Je allgegenwärtiger die ‘Kontrolle’ der Regierung ist, desto misstrauischer und vorsichtiger werden die Leute. Und je mehr Leute zeigen, dass ihnen das Vertrauen in die Regierung fehlt, desto mehr wird sich die Regierung genötigt sehen, sie zu bespitzeln, um ganz sicher zu gehen, dass sie sich nicht so weit entfernt haben, um eine Rebellion auszubrüten oder noch mehr hausgemachte Bomben von der Oklahoma-City-Art zu legen. Die Regierung wird also immer mehr schnüffeln und spionieren, und die Leute werden immer ‘vorsichtiger’ werden.”

www.heise.de/newsticker/meldung/83669
www.heise.de/newsticker/meldung/83538
www.heise.de/newsticker/meldung/83486
www.heise.de/newsticker/meldung/78893
www.heise.de/newsticker/meldung/83870