Open Source im professionellen Einsatz
Linux-Magazin 12/2011

Geschichte vom Pferd

564

Nachdem der Chaos Computer Club einen Trojaner vom Laptop eines Bodybuilders gekratzt hat, auf den vor Jahren bayerische LKA-Ermittler ein Auge geworfen hatten, werden weitere Details der Überwachungspraxis bekannt. Die schon etwas veraltete CCC-Version der Bayern-Backdoor läuft nur auf PCs mit 32-Bit-Windows. Kaspersky Lab fiel dieser Tage eine neuere Version in die Hände, die einen 64-Bit-Kerneltreiber für Windows beinhaltet und 15 typische Kommunikationsprogramme infiziert.

Windows hier, »*.exe« da. Ich fordere einen Bundestrojaner, der auch auf Linux- und Mac-OS-Geräten sowie sämtlichen BSD-Abkömmlingen läuft! Verdächtige, die Nischensysteme nutzen, haben im Sinne des Gleichbehandlungsgrundsatzes doch ein Anrecht auf Bespitzelung, oder nicht?! Es kann doch nicht angehen, dass beispielsweise ein des Handels mit Dopingmitteln verdächtiger Bodybuilder in den Genuss eines öffentlich finanzierten automatischen Screenshot-Systems kommt, während sein Muckibude-Trainingspartner auf diesen staatlichen Service verzichten muss – und das nur, weil der eine Windows- und der andere Linux-Benutzer ist. Der von Polizeibehörden verantwortungsvoll regierte Bürger darf doch erwarten, dass der Staat seinen PC diskriminierungsfrei und umfassend kompromittiert.

Es beschädigt das Image der Alltagstauglichkeit von Linux, wenn der Anwender nicht mehr darauf vertrauen darf, nach einem Push-Update besorgter Fahnder alle neuen Remotefunktionen inklusive Tastaturumleitung und Cloudbackup privater Daten zur Verfügung gestellt zu bekommen. Auch für die heimischen Linux-Dienstleister stellt es einen massiver Standortnachteil dar, die Zuschauerbank zu drücken, während die Betriebssysteme eines Herstellers aus Übersee den vollen infiltratorischen Support durch Polizei, Geheimdienste, Zollverwaltung und Gott weiß durch wen noch alles genießen.

Ähnlich sorglos wie an die Plattformfrage sind die Trojanischen Pferdezüchter an das Softwaredesign des staatlichen Rappen gegangen: So behauptet BKA-Chef Ziercke vor dem Innenausschuss im Deutschen Bundestag, dass sich Software und Einsatzserver authentisieren würden. Tatsächlich findet die Anmeldung aber über eine symmetrische Verschlüsselung mit einer gemeinsamen Chiffre statt. Deren Vertraulichkeit sinkt im Zuge des Trojaner-Deployments auf das Niveau einer knieenden Ameise.

Hier hätten die Programmierer vielleicht auf ein Zwei-Faktor-System setzen sollen. Die Hardwaretoken könnten die staatlichen Stellen über Post-Ident ausliefern: Der Verdächtig müsste nur zur nächsten Post gehen, seinen Personalausweis vorlegen und bekäme seinen PIN-Generator ausgehändigt. Wenn die Kämpfer für das Gute in der Welt nun ein ungutes Gefühl bekommen und darum den Trojaner aktivieren wollen, beispielsweise um 50 000 Screenshots anzufertigen, dann würde auf dem PC des Verdächtigen ein Popup-Fenster aufgehen, der ihn auffordert, die PIN einzugeben, die das Token als nächste liefert.

Wären die Quelltexte alle Bundes- und Landestrojaner von Anfang an öffentlich gewesen, dann hätte ein interessiertes Fachpublikum diese Designschwäche zweifellos früher gefunden, genau wie andere Unzulänglichkeiten. Daraus kann sich nur eine Forderung ableiten: Stellt das hohle Holzpferd unter die GPL! Neben der Verifikation durch tatsächlich Kompetenten bildete sich schnell eine Community heraus, die für eine breitere Plattformunterstützung sorgen würde. Klar, Linux wäre eines der ersten Systeme. Ich denke aber auch ans Cloud Computing und eine Ajax-Version, die jeden modernen Browser nach Linkklick zur Wanze aufwerten kann.

Auch ein breiter Nutzerkreis verbessert die Codequalität. Ich denke einerseits an Privatleute, die ihre Nachbarn besser kennen lernen wollen, andererseits an die Industrie, die unter der Verschwiegenheit ihrer Mitbewerber leidet. Und in Zeiten der Globalisierung freuen sich auch die Behörden befreundeter Staaten wie Nordkorea über Fortschritte in der Softwaretechnik. Also: Wohin mit den jungen Pferden?

Diesen Artikel als PDF kaufen

Express-Kauf als PDF

Umfang: 1 Heftseiten

Preis € 0,99
(inkl. 19% MwSt.)

Linux-Magazin kaufen

Einzelne Ausgabe
 
Abonnements
 
TABLET & SMARTPHONE APPS
Bald erhältlich
Get it on Google Play

Deutschland

Ähnliche Artikel

comments powered by Disqus

Ausgabe 10/2017

Digitale Ausgabe: Preis € 6,40
(inkl. 19% MwSt.)

Artikelserien und interessante Workshops aus dem Magazin können Sie hier als Bundle erwerben.