/ Security / 33C3: Wenn Polizisten hacken

33C3: Wenn Polizisten hacken

Moritz Rosenfeld on December 29, 2016 - 1:55 am in Security

[ad_1]

Digitale Attacken im Staatsauftrag erwecken das Misstrauen von Bürgerrechtlern. Einerseits wollen staatliche Stellen Schutz durch Verschlüsselung schwächen, andererseits kaufen sie Exploits.

“Stellen Sie sich vor, Beamte des FBI kommen nach Deutschland, brechen die Tür eines Hamburger Apartments auf und beginnen es zu durchsuchen — ohne Einladung oder Information der deutschen Polizei”, forderte der Vice-Journalist Joseph Cox die Zuhörer des Chaos Communication Congresses in Hamburg auf. Was offline kaum denkbar sei, sei hingegen im digitaler Form schon gängige Praxis. So hat die amerikanische Bundespolizei in mehreren Ermittlungsverfahren wegen Verbreitung kinderpornografischer Inhalte Tausende Rechner weltweit mit Schadsoftware infiziert.

Versteckte Server

Cox hatte mit seinen Kollegen zu verschiedenen Operationen des FBI recherchiert. Dabei waren die Polizisten gegen Betreiber von Plattformen vorgegangen, die über das Anonymisierungsnetzwerk Tor Missbrauchsbilder verbreitet hatten. Ziel war unter anderem die Website “Play Pen”. Die Plattform war als hidden service betrieben worden und daher war der eingesetzte Server auf konventionellem Wege nicht zu orten. Bei den Konsumenten kinderpornografischer Bilder war sie aber gleichzeitig sehr beliebt. So zählen die Beamten insgesamt über 200.000 Nutzer der Plattform insgesamt und 11.000 unterschiedliche Besucher pro Woche.

Erst ein Konfigurationsfehler des Betreibers und ein Tipp einer ausländischen Ermittlungsbehörde gab den US-Polizisten schließlich Zugriff auf die echte IP-Adresse des Servers, der in einem Rechenzentrum in North Carolina stand. Der Betreiber war schnell gefunden: Er hatte für den Rechner per Paypal bezahlt.

Kompetenzen überschritten?

Das FBI jedoch beließ es nicht bei der Festnahme des Betreibers, sondern installierte eine Kopie der Website von einem Regierungsrechner – mit einem wichtige Unterschied: Die neue Website verbreitete eine Malware, mit dem in den folgenden 13 Tagen die Besucher der Plattform infiziert werden sollten. Ergebnis: 8700 Rechner in 120 Ländern wurden infiziert und ihre IP-Adressen an die Strafverfolger weitergegeben. Bei den meisten Durchsuchungen fanden die Beamten illegales kinderpornografisches Material.

Problem an der Aktion: Der zugrundeliegende Durchsuchungsbeschluss eines Gerichts in Virginia verstieß offensichtlich gegen die “Rule 41”, die die Durchsuchungsbefugnisse auf den Zuständigkeit des Richters beschränkt. Folge: In 21 Prozessen wurde der Durchsuchungsbeschluss als illegal erachtet, in vier Fällen deshalb gar das komplette Beweismaterial zurückgewiesen. Um solche Fälle zu vermeiden, haben die Gesetzgeber in den USA inzwischen die entsprechende Regel überarbeitet, so dass das FBI nun legal weltweite digitale Durchsuchungen starten kann. “Ich glaube, es ist per se nicht falsch, wenn Polizeibehörden Rechner hacken, aber wünsche ich mir, dass sie sich an Gesetze halten.” Dass die Praxis auf andere Deliktbereiche übernommen werde, sei zu erwarten.

Der Kampf um das iPhone

Bürgerrechtsanwalt Kurt Opsahl ist Vize-Chef der EFF. Er warnt davor, dass Regierungen auf Anbieter wie Apple und Google Druck ausüben, Hintertüren in ihre Kommunikationslösungen einzubauen.
Bürgerrechtsanwalt Kurt Opsahl ist Vize-Chef der EFF. Er warnt davor, dass Regierungen auf Anbieter wie Apple und Google Druck ausüben, Hintertüren in ihre Kommunikationslösungen einzubauen. Vergrößern
Dass der Kampf um die Computersicherheit inzwischen einen neuen Höhepunkt erreicht hat, erklärte der Vize-Vorsitzende der Electronic Frontier Foundation (EFF) Kurt Opsahl. Als gute Entwicklung bezeichnete es der Bürgerrechtsanwalt, dass immer mehr Hersteller und Dienste wirkungsvolle Verschlüsselung integrierten. Allerdings zeigten die Kämpfe um die Entschlüsselung von iPhones im Jahr 2016, wie sehr Strafverfolger dagegen kämpfen, von bestimmten Bereichen der Kommunikation ausgeschlossen zu werden.

“Wenn in einer Debatte Privatsphäre gegen Sicherheit abgewogen wird, verliert gewöhnlich die Privatsphäre”, lautet ein Fazit des Bürgerrechtsanwalts. Allerdings sei es den Gegnern der grenzenlosen Ausweitung staatlicher Befugnisse im vergangenen Jahr gelungen, die Debatte auf eine neue Ebene zu stellen. So hätten viele Parlamentarier inzwischen eingesehen, dass Verschlüsselung nicht nur Verbrecher, sondern auch alle anderen Mitglieder der Gesellschaft schütze. Auf diese Weise hätten desaströse Gesetze verhindert werden können, andere Vorhaben wurden nachträglich entschäft.

Vorratsdatenspeicherung und Hintertüren

Grund zur Entwarnung gebe es aber nicht. So habe der Europäische Gerichtshof die britische “Snoopers Charter” zwar entschärft, in Kraft blieben aber noch Vorschriften, die Anbieter von Verschlüsselungslösungen zum Einbau von Hintertüren verpflichten. Wie konkret dieses Gesetz in die Praxis umgesetzt werden soll, sei aber noch unklar. So könnten entsprechende Anordnung der britischen Regierung sogar an Unternehmen gehen, die keinen Sitz in Großbritannien haben. “Dies ist eine gefährliche Vorschrift”, meint Opsahl.

Die Behörden hätten dabei ihre Lektionen aus dem ersten “Crypto War” gezogen. Statt Anbieter auf bestimmte technische Lösungen wie den berüchtigten Clipper Chip festzulegen, sehen Gesetze immer mehr vage Verpflichtungen zur Zusammenarbeit mit Behörden vor. Opsah erwartet künftig immer neuen Druck und Einschüchterungskampagnen gegen IT-Konzerne, um sie zur Zusammenarbeit mit den Behörden zu bewegen – die Tiraden des künftigen US-Präsidenten Donald Trump gegen Apple sind hier nur ein erster Vorgeschmack.

Um weitere überbordende staatlichen Eingriffe in die Kommunikation zu verhindern, appellierte Opsahl an Entwickler und Anbieter ihre Dienste künftig komplett zu verschlüsseln – Dienste wie Let’s encrypt leisteten dabei wichtige Hilfe. Nutzer könnten sich zusätzlich auch an ihre Abgeordneten wenden: “Wir haben gesehen, dass Gesetzgeber prinzipiell ansprechbar sind”. So sorgten sich viele Abgeordnete darum, Experten in den Gesetzgebungsprozess einzubringen, weil sie sich vor den Wählern auch nicht als inkompetent blamieren wollten. (akr)

[ad_2]

Read more on: Source

Comments are disabled