Bundestrojaner enttarnt

Teil 6: Bundestrojaner - was technisch möglich ist

Über den Einsatz von Spionage-Tools im polizeilichen Umfeld ist wenig bekannt. Ein dokumentierter Fall betrifft die US-amerikanische Bundespolizei FBI. Für besondere Fälle nutzt die Behörde das Tool CIPAV (Computer and Internet Anzeige Protocol Address Verifier). Dabei geht es darum, nachzuweisen, dass ein PC zu einem definierten Zeitpunkt mit einer bekannten IP-Adresse im Internet unterwegs war. Die eidesstattliche Erklärung eines FBI-Agenten mit Details zu CIPAV gibt es hier im Original zu lesen: www.politechbot.com/docs/fbi.cipav.sanders.affidavit.071607.pdf Im konkreten Fall hat ein ehemaliger Schüler der Timberline High School im Bundesstaat Washington der Schule mehrmals mit Bombendrohungen per E-Mail zukommen lassen. Dazu benutzte er fünf unterschiedliche Google-Mail-Adressen und richtete das Myspace-Konto timberlinebombinfo ein. Dort sollten "Sympathisanten" ihre Kommentare hinterlassen und die Bombenaktion so unterstützen. Zudem startete er einen Denial- of-Service-Angriff auf den Mail-Server der Schule.

Bundestrojaner - was technisch möglich ist

© Archiv

Nichts gewusst: Auf der offiziellen FBI-Homepage will man von CIPAV nichts wissen.

Das Problem für das FBI: Der Schüler nutzte drei mit Malware manipulierte PCs in Italien als Zwischenstation, um sich bei Google und Myspace einzuloggen. So hatten die Ermittler zwar die entsprechenden IP-Adressen von Google und Myspace, konnten daraus aber keine Rückschlüsse auf den Absender ziehen.

Und hier kam CIPAV ins Spiel. Die Software installiert sich auf dem Windows-PC des Verdächtigen und protokolliert verschiedenste Daten. Diese sendet es in regelmäßigen Abständen an das FBI. Konkret sind das laut Erklärung folgende Details:

  • IP-Adressen, mit denen der PC Kontakt hatte
  • Die zuletzt besuchte Webadresse
  • Liste aller IP-Adressen, mit denen Kontakt bestand
  • MAC-Adresse der Netzwerkkarte
  • Liste aller laufenden Programme
  • Browser-Informationen wie Typ und Version
  • Betriebssystemversion samt Seriennummer
  • Benutzerinformationen aus der Registry
  • Liste offener TCP- und UDP-Ports
  • Name des eingeloggten Benutzers

Im Gegensatz zum geplanten Bundestrojaner schneidet CIPAV nicht Inhalte der Kommunikation oder der Festplatte mit. Dies betont der FBI-Agent in seiner Erklärung mehrmals ausdrücklich. Ob das eine technische Einschränkung der Software ist oder im konkreten Fall durch den richterlichen Beschluss nicht abgedeckt war, ist unklar. Auch gehen die veröffentlichten Dokumente nicht darauf ein, wie CIPAV auf den PC des Schülers gelangte. Nur so viel ist klar: Beim Abholen von E-Mails bei Google Mail oder nach dem Einloggen in Myspace wurde der PC des Täters infiziert. Einen direkten Zugriff auf den PC hatte das FBI nicht - sonst hätte man sich den Software-Einsatz gleich sparen können. Der Schüler wurde im Juni 2007 verhaftet und vom Gericht zu 90 Tagen Jugendhaft verurteilt.

Mehr zum Thema

festplatte, hardware, pc, hdd
Gelöschte Dateien wiederherstellen

Wir zeigen Ihnen, wie Sie verloren geglaubte Daten retten können - etwa mit dem kostenlosen Tool Recuva.
Windows 10 Sicherheit: Symbolbild
Computer ohne Werbung

Wir zeigen, wie Sie Adware vermeiden, damit Sie sich im Anschluss an die Installation nicht mühsam entfernen müssen.
Sicherheit im Urlaub
Diebstahlschutz, offene WLANs und Co.

Diebstahlschutz für Smartphones, Schutz in offenen WLANs und Co: Worauf Sie beim Reisen achten sollten, um böse Überraschungen zu vermeiden.
Facebook-Betrug mit Fake-Profilen
Gefälschte Facebook-Konten

Betrüger nutzen gefälschte Facebook-Profile, um Geld zu ergaunern. Wir zeigen, wie Sie sich und auch Ihre Facebook-Kontakte gegen die Betrugsmasche…
Festplatte Verschlüsselung
Windows

Wir vergleichen den mittlerweile eingestellten Marktführer TrueCrypt mit dem Nachfolger Veracrypt und der Alternative Bitlocker.