Unter Staatstrojanern (m/f/d)
Online-Durchsuchung und Chatkontrolle in Secondlife (2007)
Da ist sie wieder, die gute, alte Online-Durchsuchung, von der immer noch niemand zu sagen weiß, wie sie denn funktionieren soll. Jetzt hat sie sich das Kostüm „Chatkontrolle“ umgehängt und geistert geheimnisvoll raunend durch die Medien.
Durch das „Gesetz zur effektiveren und praxistauglicheren Ausgestaltung des Strafverfahrens“ durften Behörden versteckte Schadsoftware auf Computern, Laptops und Smartphones platzieren.
Soso, lieber Kollege Jakob Schirrmacher, der nach eigenen Angaben „1987 noch nicht gelebt“ hat und, ebenfalls nach eigenen Angaben, freier Journalist, Autor, Dozent für Medien und Digitalisierung ist, also so etwas wie ich, nur ohne Zweitberuf, und, ebenfalls nach eigenen Angaben, jemand ohne PGP-Schlüssel auf der Website. Die dürfen „versteckte Schadsoftware“ auf meine Linux-Rechner beamen, womöglich von fern, wenn ich gerade nicht hingucke, warum es verdächtig ruckelt?
Ich habe da mal eine Frage: Wie machen „die“ das? Vielleicht darf man das gar nicht fragen, weil es supergeheim ist? Und hatte das Bundesverfassungsgericht die so genannte TKÜ (Quellen-Telekommunikationsüberwachung) nicht 2008 verboten? Da warst du doch schon geboren, lieber Kollege?!
Mir ist eine „drohende“ Chatkontrolle übrigens völlig schnurzpiepegal. Ich mache das so, wenn ich nicht ohnehin das quelloffene Signal benutze: Ich rufe irgendein IRC-Programm auf. Vorher habe ich mich per verschlüsselter E-Mail mit meinen Mitverschworenen (m/f/d) verabredet, dass wir uns auf irc.brasirc.com.br treffen und dort einen passwortgeschützten Kanal eröffnen. Und dann chatten wir und tauschen Daten aus.
Nein, ich habe eine bessere Idee. Wir loggen uns mit halbnackten Avataren in Secondlife ein und treffen uns in einem Adult-Segment (irgendwas mit Porn) oder treffen uns auf meiner Sim, umbraust von virtuellen Sandstürmen und die virtuellen Waffen immer griffbereit, um Chatkontrolleure virtuell abzumurksen.
Ich finde ein Gesetz zur Chatkontrolle gut und richtig. Dann befassen sich die, die jetzt noch zum Thema ahnungslos herumfaseln, endlich mit Sicherheit und Datenschutz. Oder halten die Kresse, was auch nicht schlecht wäre.
Kommentare
30 Kommentare zu “Unter Staatstrojanern (m/f/d)”
Schreibe einen Kommentar
„Ich habe da mal eine Frage: Wie machen „die“ das? “
Na, z.B. so: Hackers Can Break Into an iPhone Just by Sending a Text
„clicking a link“ – das sagt doch schon alles.
Da steht: „you probably imagine it would start with clicking a malicious link in a text, downloading a fraudulent app, or some other way you accidentally let them in. It turns out that’s not necessarily so—not even on the iPhone, where simply receiving an iMessage could be enough to get yourself hacked.“
Egal. Probier’s hier: Report: active zero-click iMessage exploit in the wild targeting iPhones running the latest software, used against activists and journalists
Warum sollte ich auf einen Link klicken, wenn ich nicht weiß, wo der hin führt? Das sind doch die Basics.
Was ich dir damit sagen wollte: Du verbreitest seit Jahren fake news. Die Zeit, in der man etwas tun müsste, damit Abschnorchelsoftware auf deinem Gerät landet, sind lange vorbei.
Dann versuch es mal.
„„clicking a link“ – das sagt doch schon alles.“
ooohgottogottogottogott – jetzt hab ichs mir eingefangen. Man soll immer ersta lle Kommentare lesen und nicht gleich die Wundertüte aufreißen wie ein Konsumgeschädigter.
Aber irgendwie gönne ich denen das jetzt – all die JEVER-Rechnungen. Die müssen die erstmal entschlüsseln, wobei „Zisch“ und „Plopp“ ja noch einfach ist…hx.
https://www.youtube.com/watch?v=WYlrTvocmQY
Die Gefahr liegt doch darin, daß „das Gesetz“ die Aufzeichnung meiner Kommunikation in unverschlüsselter Form präferiert („insbesondere“), also jedem, der bei der Behörde einbricht, ermöglicht, die dort über meine Kommunikation vorliegenden Aufzeichnungen zu lesen.
„Dann versuch es mal.“
Habe ich bereits. Auf der verlinkten Seite geht’s zu einer forensischen Analyse bei amnesty.
Aber Links klicken ist ja so gefährlich und bei seiner Meinung zu bleiben mitunter beruhigend.
Da kann ich leider nix machen.
…und noch einer: Leider geil: NSOs Pegasus-Exploit für iPhone-Spyware enthüllt
Ohne aktives Tun oder sträfliches Unterlassen der Nutzer geht gar nichts.
@admin
Was könnte denn ein sträfliches Unterlassen in diesem Zusammenhang sein – Offline(untätig im Keller) bleiben?
Im Heise-Artikel ist sogar ein Link auf ‚A deep dive into an NSO zero-click iMessage exploit: Remote Code Execution‘.
Noch detaillierter geht kaum.
Mein Fazit: Dein diesbezügliches Wissen braucht mal ein Update.
Das netzwerkfähige (End)gerät ist nur so blöd, wie der Nutzer, der es bedient.
Sich um nichts kümmern, zum Beispiel.
R@iner: https://googleprojectzero.blogspot.com/2021/12/a-deep-dive-into-nso-zero-click.html Man muss auf einen Link klicken, sonst passiert gar nichts… Und man muss das Betriebssystem des Angegriffen kennen. Nichts Neues.
Du solltest weiter als bis zu den oberen Bildern lesen.
Haste das folgenden echt nicht mitbekommen?
https://catalonia.citizenlab.ca/#whatif
Und noch der hier: https://www.kaspersky.com/resource-center/definitions/what-is-zero-click-malware
Und weil alles so kam, wie es kam, hatte Apple mal schnell den ‚Blockierungsmodus‘ in ios 16 reingebastelt.
https://support.apple.com/de-de/guide/iphone/iph049680987/ios
Und das ist ganz aktuell:
https://www.scmagazine.com/news/application-security/nso-group-iphone-zero-click-exploit
So, damit lasse ich es gut sein.
Ist ja auch nicht schwer, die Suchmaschine des Vertrauens nach ‚pegasus zero click‘ zu melken.
Wer iPhones nutzt, kann auch nackt mit gelb-roter Fahne übern Alex Lapaloma tanzen.
Doch eher so: welche Ports sind offen und welche API lauscht und wartet auf welche Eingänge.
Routine führt zur Suche nach automatisiertem Komfort führt zu Fahrlässigkeit.
Andererseits wer alles verramnelt lässt auch nix rein oder raus, egal was.
Hinzu kommt die Grösse, ein aktuelles A13 frisst 4262755040 Bytes RAM. Wer liesst da schon den ganzen Quellcode?
Wo ich dem Admin allerdings zustimmen muss, was nach hause telefoniert, muss dieses Zuhause auch erreichen. iplisten und ähnliches jönnen das unterbinden. Ist nur arbeitsintensiv und muss recht oft aktualisiert werden.
@dev/null: „Mit Linux/MacOS/BlaBlaOS wäre das nicht passiert“ ist auch keine Lösung.
Wenn ich an die Geschichte mit den verseuchten apk-Libs denke, dann sehe ich, dass dort gerade mal gar nichts besser ist:
https://www.com-magazin.de/news/malware/android-malware-250-millionen-downloads-1691136.html
Die Geschichte mit den Ports stimmt auch nicht (mehr).
„Wrench #1: NSO instituted „port-knocking“ on their C&C servers. Originally, it looked like this (really freeking bizarre, right?), but then they switched to a much smarter scheme that only uses 80 and 443. This means C&Cs had no open ports to scan.“
schrieb Bill Marczak (citizenlab) im Juli ’21.
Es ist ja nicht so, dass es nicht schon in den Neuzigern kleine Programme gab, die den traffic über Port 80 hätten tunneln können, damit ich in beschränkten Zonen über den zuhause installierten Proxy trotzdem machen konnte, was ich wollte.
p.s.: Link vergessen: https://nitter.adminforge.de/billmarczak/status/1416856018307272705#m
Was man tun kann, um herauszufinden, ob man ein kompromittiertes Gerät hat:
Mobile Verification Toolkit
https://github.com/mvt-project/mvt
Aber ob das alles findet?
Keine Ahnung.
@Rainer
Huuch. Ich dachte, Git kümmert sich nur um die ihm zugeordneten Verzeichnisse und Repositories.
Was ist da los? Erzähl dochmal…
@Rainer
Haach.Jetzt hat ers verstanden(nach nur einem Zisch!).
Github ist nur die Plattform zum Downloaden.
Ich hatte für einen Freund m/w/d/hx gefragt, der nur helfen wollte…
https://tinyurl.com/ysuhjxy2
@Rainer
Ich meinte nicht „mit blabla wäre das nicht passiert“, nur das zb quelloffener Code eher mal untersucht wird. Aber wie auch gesagt, aktuelles OS belegt mehrere GB, da sind also genügend Zeilen, um was zu übersehen.
Port 80 und 443 mögen offen sein, trotzdem braucht es einen erwartenden Empfänger. Allerdings sind Browser nun schon selber OS und damit gebe ich dir recht.
Kann man natürlich mit Routerfirlefanz erschweren.
Der einfachste und sicherste Angriff ist aber nun mal immer noch mitm. Also irgendeine Aktion des Users, der „klickt“.
Das beste Schloss ist immer noch das, für das es keinen Schlüssel gibt. Lässt sich dann aber auch nicht mehr aufschliessen.
Und dann ist da noch Altlast. zb Angriff übers Faxgerät ….
My 2 Cent.
Das mit der Online Durchsuchung ist Schwachsinn. Aber irgendwie muss das den Leuten erklärt werden. In einfachen Worten, das der Letzte begreift, das da eventuell was komplizierter sein könnte und ES besser nicht darüber nach denkt.
Wenn das so daher kommt:
Wie das Da. Die anderen Spieler auch Ihren Teil dazu beitragen. https://thestack.technology/analysis-of-cves-in-2022-software-vulnerabilities-cwes-most-dangerous/
Das interessiert Keinen. reine Zeitverschwendung.
Aber die EU kommt zur Rettung, mit der Cybersecurity.
<8*) Wir verbieten einfach das ganze Gehackse, Gecode und zertifizieren den „Scheiss“. Dann sind Wir alle sicher.
@dev/null: „Also irgendeine Aktion des Users, der „klickt“.“
Okay, ich sehe, Du hast nichts gelesen und daher auch nichts kapiert.
Ich frage mich gerade, wozu ich seit 50 Jahren Elektronik mache, studiert habe, und seit über 40 Jahren programmiere.
Ihr interessiert euch mehr für eure Vorurteile.
Viel Spaß damit.
Over and out.
Jedes EDV-System ist vakant.
Da die BWL-Knaller auf Rendite achten, wird die meiste Software in indischen Sweatshops geschrieben, Hauptsache das Proggi läuft.
Für die Security haben wir ja Snakeoil(Fefe).
Selbst schuld.