Fin’s Fisher fischt frische Fishe

all-seeing-eyeTypische Reaktion, wenn jemand mein Laptop sieht und bemerkt, dass die Kamera zugeklebt ist: Gekicher. Oder ein salopper Spruch, der suggeriert, dass das jetzt aber doch ein wenig übertrieben ist..?

Weniger denn je.

Zur OECD-Beschwerde gegen Gamma & Trovicor hatte ich letzte Woche schon was geschrieben – die Firmen also, die Überwachungssoftware herstellen und vermutlich an alle verticken, die sie haben wollen. In der Süddeutschen ist gestern dazu noch ein guter Bericht über Martin Münch erschienen, mit dem harmlosen Titel “Spam vom Staat”.

Martin Münch (manchmal auch Muench) ist deutscher Geschäftsführer von Gamma International in München und entwickelt Software:

Sie infiziert das digitale Gedächtnis, sie schnüffelt in der virtuellen Intimsphäre. Polizei und Geheimdienst können dank ihr sehen, welche Krankheitssymptome der Überwachte im Web googelt. Sie hören, was er mit der Mutter über das Internet-Telefon-Programm Skype bespricht. Sie lesen seinen Einkaufszettel auf dem Smartphone. Der Trojaner, der das alles kann, heißt Finfisher.

Konkret:

Zuerst wählt der Nutzer das Betriebssystem aus, das er angreifen will: ein iPhone von Apple, ein Handy mit Googles Betriebssystem Android oder einen PC mit Windows oder dem kostenlosen System Linux? Der Ermittler kann eingeben, über wie viele Server in verschiedenen Ländern der Trojaner Haken schlägt, bis auch technisch versierte Opfer nicht mehr nachvollziehen können, wer sie da eigentlich überwacht. (…)

Dann darf der Ermittler auswählen, wie fies der Trojaner werden soll, was er können darf: das Mikrofon als Wanze benutzen. Gespeicherte Dateien sichten und sichern, wenn sie gelöscht oder geändert werden. Mitlesen, welche Buchstaben der Nutzer auf der Tastatur drückt. Den Bildschirm abfilmen. Skype-Telefonate mitschneiden. Die Kamera des Rechners anschalten und sehen, wo das Gerät steht. Handys über die GPS-Ortungsfunktion zum Peilsender machen. Finspy präsentiert die überwachten Geräte als Liste. Flaggen zeigen, in welchem Land sich das Ziel befindet. (Süddeutsche.de)

Dieses Zeug also fand sich auf Rechnern in Bahrain. International spielt sich derzeit ein Krimi ab, der für die, die ihn verfolgen, spannender ist als das gesamte Sonntagabend-Fernsehprogramm. AktivistInnen etwa von Privacy International besuchen Waffen-Messen, um herauszukriegen, was an wen verkauft wird. Andere sammeln und analysieren gefundene Trojaner (also FinFisher), tragen Informationen zusammen und fordern schließlich von Regierungen, den Verkauf dieser Sofware mindestens durch ähnliche Exportkontrollen einzuschrängen, wie sie auch für Waffen gelten. Oder die Produktion ganz zu verbieten.

Die deutsche Regierung präsentiert sich gern als ausgesprochen menschenrechtsfreundlich, ist de facto aber mit dafür verantwortlich, wenn Software wie FinFisher in Regimes wie Bahrain und anderen gegen Bewegungen wie den arabischen Frühling eingesetzt wird. Und deswegen Menschen gefoltert und ermordet werden. Dies ist inzwischen nachgewiesen – daher die Beschwerde bei der OECD. Was aktuell fehlt: eine Bewegung, die laut fordert, dass das aufhören muss.

Not in My Name verdient Deutschland Geld damit, dass anderswo legitime Proteste und Bewegungen unterdrückt, und AktivistInnen inhaftiert, gefoltert, ermordert werden.

Das Sahnehäppchen ist aktuell übrigens, dass Deutschland den Trojaner FinFisher auch für den Einsatz in Deutschland gekauft hat.

 

Foto: un untrained eye / Flickr, BY-NC-Lizenz

flattr this!

9 thoughts on “Fin’s Fisher fischt frische Fishe

  1. Der Herr sprach von seinem Gerichtsfesten USB Stick. Wer eine Hausdurchsuchung mitgemacht hat weiß sich auch zu helfen.

    Ein UBS Zugang und dort ist die verschlüsselte Platte dran.
    Bei jedem Besuch am Morgen ist der Rechner wohl aus.
    Eine LAN Router zeigt nicht unbedingt an ob ein Rechner an ist, Pech für Kabel benutzer oder Stick.
    Frische Lust schnappen gehen und dabei die Hauptsicherung sichern.
    Bei jedem Klingel den Rechner gleich sperren.
    Kaffee kochen wollen wobei die Sicherung rausfliegt.
    usw.
    Für einen der nichts zu verbergen hat ist das alles unverständlich bis der Zoll kommt wegen der ungenauen Steuererklärung.

    Ich selbst benutze Ubuntu und die Platten mit den Daten sind verschlüsselt. Ist der Rechner aus oder ich bin nicht angemeldet ist Schluss mit Lustig bei der Polizei und auch bei diesem Herren Münch.
    Ich möchte hier betonen das ich keine illegale Musik, Filme und Kinderpornos besitze.

    Wenn Du das Auge zuhängst ist das eine gute Idee. Mikrofon nicht vergessen, Kaugummi geht nur im Film.

  2. Hallo,

    die Spötteleien kenne ich auch – bei Eltern ist es aber schnell mit dem Gekicher vorbei, wenn man ihnen den Fall hier mit Link zu einem MSM gibt:

    (Hm, es hieß “incorrect response” – ich nehme an, es lag am Link zu einem Focus-Artikel über Spanner im Kinderzimmer, der hier vorher stand.)

    Bloß keine nerdigen Blogs, die wären ihnen meistens zu suspekt…

    Aber mal eine andere Frage zum Mikro: Normalerweise ist es ja so, dass das eingebaute Mikro aus ist, wenn man ein externes reinsteckt. Ich habe mir dann so geholfen, dass ich einen Stecker ohne Mikro in die Buchse getan habe. Nützt das überhaupt was oder kann man das auch per Software umgehen? Wenn ja: wie kann man dann das Mikro kaltstellen? Ich brauche das nie und hätte es am liebsten, wenn gar keins im Rechner ist, aber an einen Ausbau habe ich mich bisher nicht rangewagt. Das Öffnen meines alten Acer lief bei meinem letzten Versuch nicht so gut, weil die Schrauben so blöde positioniert waren und ich irgendwann zu brutal vorgegangen bin. Für Infos wäre ich dankbar.

  3. @Kati
    Mit einem “Blindstecker” in der Mikrofonbuchse müsste man auf der sicheren Seite sein, da es sich dabei idR um Schaltbuchsen handelt, die wenn du Glück hast wirklich das interne Mikro abklemmt. Ohne Stromlaufplan des Geräts kann man das aber nie ganz sicher sagen.

  4. Pingback: Sammelmappe » Blog Archive » Ein blödes Gefühl bleibt

  5. @Kati

    Wenn du ein Laptop hast, kannst du das eingebaute Mikrofon mit einer spitzen Metallnadel physisch zerstören.

    Laptop ausschalten. Akku ausbauen. Stromkabel abziehen. Körper an einem Heizkörper elektrostatisch entladen. Spitze Nadel kräftig in die Mikrofonöffnung stechen.

    Wichtig: Vorher (!) und hinterher eine Testaufnahme machen, um die Wirksamkeit zu testen.

  6. Pingback: Wie trojaner finden ? - Seite 2

  7. Super, vielen Dank euch beiden für die Infos – nachdem ich mich mit dreckigem Lachen auslachen lassen musste, weil ich den Stecker da drin hatte, komme ich mir nicht mehr ganz so blöd vor… Mit Stromlaufplänen hab’ ich’s zwar nicht so, aber so langsam muss man ja fast überlegen, ob man nicht wieder zum Selberschrauben übergeht, damit man seinen Rechner nicht ständig misstrauisch beäugt, ob der sich jetzt in’ne Wanze verwandelt hat.

    Das mit der dauerhaften Zerstörung habe ich noch nicht probiert, mache ich mal in ‘ner ruhigen Minute. Erst mal reicht mir der Stecker, aber es ist gut zu wissen, wie es geht. Dann kann ich der Pappnase mit dem dreckigen Lachen auch Bescheid sagen. Grmpf. ;)

    Danke jedenfalls nochmal, ihr habt mir sehr geholfen.

  8. Also Stecker einstecken reicht hundertprozentig nicht gegen Angriffe.
    Allerhöchsten als Sicherung für die eigene Schusseligkeit oder gegen Spielereien seiner Freunde.

    Die Funktion das bei eingestöpselten Stecker das interne Mikro bzw bei den Lautsprechern und der kopfhöhrerbuchse ist es ja genauso. das eine Abgeschaltet wird.
    Ist rein Software basiert, eine professioneller Angreifer kann dies also mit links ausschalten.
    Leider gilt dies auch für die Wlan Taste an Notebooks und den Kontrollleuchten in den Notebooks, Wlansticks und Webcams.

    Deren Funktion ist alles rein in Software gehandhabt.
    (Wer will kann ja mal in den treibern schauen in den *.inf dateien findet sich oft die Konfiguration für die LED welches blinken und Farbspiel bei welchem Signal stattfindet.

    Im Endeffekt kann man sich also nie sicher sein das nicht gerade das Gerät als Wanze für den Verfassungsschutz (oder anderen Recht schaffenden*hust* Behörden) Arbeitet.

    Der Tip mit der Zerstörung durch Nadel funktioniert , auch wenns nicht die Eleganteste Lösung ist.

    Wer den Aufwand nicht scheut kann natürlich sein Notebook Öffnen und den Stecker dafür Suchen.
    Da kann man gut nen echten Einschalter dranbauen.
    Oft sind die Webcam und Mikro im Bildschirm in wirklichkeit eine USB Webcam die halt nur eben in den Bildschirm Montiert ist und nicht extra daneben steht.
    Erkennbar ist das an der Tatsache das für Mikro und Webcam nur ein Kabel mit 4 Kontakten abgeht wenn man da die 5 Volt auftrennt und nen kleinen Schalter anbaut hat man sein Ziel erreicht.

    Wer allerdings als Reporter(Blogger) Bürgerrechtler oder Anwalt unterwegs ist.
    Sollte diesen Weg nicht gehen denn so warnt man ja seinen kleinen Schatten vor.
    Besser ist dann die Elektronik so zu Manipulieren das beim Einschalten der Webcam eine kleine Leuchtdiode am Gehäuse blinkt.
    So ist man Gewarnt das nun was vor sich geht und der Angreifer tappt zu dem Zeitpunkt vorausgesetzt man kann seine Körpersprache Kontrollieren noch im Dunkeln.

    Das Signal dafür lässt sich auf 2 facherweise gewinnen. Zum einen kann bei vielen Modellen eine Signal für das Einschalten des Bildsensors abzweigen.
    zum anderen kann man auch einfach aus dem Datensalat zum Rechner ein Signal abzweigen denn eine Webcam die aus ist sendet auch keine Bilddaten.

Comments are closed.