Das Bundesinnnenministerium hat ja die eingegangenen Fragenkataloge zur Onlinedurchsuchung beantwortet. Ich bin jetzt mal die ersten paar Antworten durchgegangen, und was soll ich sagen? Da stellen sich einem die Haare auf:
„Sollte der Kommunikationsport während eines laufenden Einsatzes geschlossen werden und keine Kommunikation mit dem Steuerungssystem möglich sein, deinstalliert sich die Software selbständig.“
prima. Wenn ich jetzt Terrorist bin, und böse Dinge [tm] plane, nehme ich mein System nur noch für das Nötigste ans Netz. So häufig können die ja gar nicht nachinstallieren…
„Vor einem Einsatz wird die Systemumgebung des Zielsystems erkundet, insbe-sondere die darauf installierten Sicherheitsvorkehrungen.“
err… sozusagen eine Onlinedurchsuchung *vor* der Onlinedurchsuchung? Oder fährt ein BKAler hin und schaut sich das System erstmal in Ruhe vor Ort an? Warum macht er dann nicht einfach gleich ein hd-Image?
„Die obige Annahme, es bestehe ein Interesse an einem „unsicheren“ Netz ist daher unzutreffend.“
Einer meiner Lieblingssätze. Soso, die BKA-Ermittler hoffen also auf einen absolut sicheren Rechner beim Verdächtigen… Ja nee, is klar. Natürlich haben die ein Interesse daran, einen Rechner mit bekannten Schwachstellen vorzufinden, ansonsten kommen sie ja nicht hinein!
„Die entwickelte Software soll grundsätzlich nur einmal zum Einsatz kommen.“
Auch schön. Für jeden „Gefährder“ wird ein eigener Trojan.. errr.. RFS-Agent komplett neu entwickelt. Wow.
„Bei der hier in Rede stehenden RFS handelt es sich nicht um eine „Spionage-software“, sondern um ein technisches Mittel zur Datenerhebung.“
Mein absoluter Lieblingssatz. Und das hier sind nämlich keine Raubkopien, sondern ausgelagerte Sicherungsdatensätze.
„Die Beurteilung des Aussagehaltes (der Beweiswert spielt im Rahmen der Gefahrenabwehr zunächst keine Rolle) dürfte sich generell an anderen Maßnahmen der IuK-Forensik orientieren.“
Ich wiederhole nochmal die Sache in der Klammer:
„der Beweiswert spielt im Rahmen der Gefahrenabwehr zunächst keine Rolle“
Vulgo: „Solange wir irgendeine vermeintliche Gefahr abwehren wollen, müssen wir gar nix beweisen können. Das muss man einfach machen!„
„Durch die Hinterlegung des Quellcodes der RFS bei Gericht könnte zudem etwa belegt werden, dass die Software keine Daten frei im Zielsystem platzieren kann.“
Und wie wird belegt, daß die (ja mittlerweile gelöschte) Software auf meinem Rechner mit dem Quellcode im Gerichtsarchiv identisch ist?
Der hier ist etwas länger:
„Durch verschiedene Maßnahmen wird sichergestellt, dass eine Rückverfolgbar-keit nahezu unmöglich ist. Die Zielperson könnte nur feststellen, dass sich auf dem System eine für ihn unerwünschte Software installiert hat. Bevor Gegen-maßnahmen durch den Betroffenen getätigt werden könnten, müsste dieser zu-nächst das entdeckte Programm analysieren. Diese Analyse der RFS (Disas-sembling) wird jedoch durch die Verwendung kryptographischer Methoden na-hezu unmöglich gemacht.“
Von Traffic-Analyse haben die noch nichts gehört, oder? Ich meine, irgendwie müssen die Daten ja vom Zielrechner zur Polizei kommen. Dabei entsteht (nachverfolgbarer) Netzwerkverkehr. Ein interessierter Gefährder muss da dann nur einen zweiten PC mit Netzwerksniffer anhängen, und schon weiß er zumindest die IP des empfangenden Systems…
„Die gewonnenen Ergebnisse werden so lange verschlüsselt auf dem Zielrechner zwischengelagert, bis eine Internetverbindung durch den Betroffenen hergestellt wird.“
Moment! Ich dachte „Sollte der Kommunikationsport während eines laufenden Einsatzes geschlossen werden und keine Kommunikation mit dem Steuerungssystem möglich sein, deinstalliert sich die Software selbständig“? Was denn nun? Deutlicher kann die Inkompetenz bzw. die Verarsche ja gar nicht sein!
Und das sind die Sachen die ich nur bei grober Durchsicht mit mäßigen Security-Sachverstand gesehen habe.…
Keine Kommentare