Deutsch (Active: English)

Calendar

Addendum Staatstrojaner

2011-10-09 19:18:00, 46halbe

Der Chaos Computer Club (CCC) nimmt den Quellenschutz und die Hackerethik ernst. Dieses Addendum beschreibt die Positionen in der veröffentlichten Version von einem der uns zugespielten Staatstrojaner, an denen Daten modifiziert wurden, um die genaue Herkunft der Programme zu verschleiern.

Wir gehen nach der vergleichenden Analyse der uns vorliegenden Versionen davon aus, daß die Behörden anhand von Ermittlungsfall-spezifischen Bezeichnern (also Trojaner-Binary-interne "Aktenzeichen") die Herkunft des veröffentlichten Programmes nachvollziehen können. Dem wollten wir entgegenwirken, um unsere Informanten zu schützen. Um sicherzugehen, wurden in wenigen Zweifelsfällen einige Byte modifiziert. Sollte sich aber später herausstellen, daß das "Schwärzen" einzelner Passagen unnötig war oder wird, werden wir eine aktualisierte Version des Trojaners zur Verfügung stellen und dies dokumentieren.

Der veröffentlichte Trojaner ist nicht der aktuellste, den wir besitzen. Wir haben Grund zur Annahme, daß die uns vorliegenden Versionen über einen Zeitraum von anderthalb bis zwei Jahre zusammengebaut und eingesetzt wurden. Es kann also nicht von einer "Beta-Version" gesprochen werden.

Es folgt eine Liste mit Positionen, an denen der Chaos Computer Club das originale Trojaner-Binary vor der Veröffentlichung gepatcht hat.

An Offset 4C370h beginnen Daten, die folgende Bedeutungen haben:

4C370h -> unknown_bytearray[12]         
- modifiziert, da derzeit unbekannt
4C37Ch -> unsigned short tcp_port = 6666 
- Der TCP-Port, zu Testzwecken modifiziert (Original: 443)
4C37Eh -> unsigned char unk_index = 0    
- unmodifiziert
4C37Fh -> unsigned long ip_address = 172.16.98.1  
- Die IP-Adresse des Weiterleitungsservers, zu Testzwecken modifiziert (Original: 207.158.22.134)
4C383h -> unsigned char case_identifier[13] = "23CCC23\0"
- ASCII-Zeichenkette mit eindeutigem Aktenzeichen. Modifiziert zum Quellenschutz
4C390h -> unsigned char trojan_version[16] = "3.4.26\0"
- Version des Trojaners wurde modifiziert