summaryrefslogtreecommitdiff
diff options
context:
space:
mode:
author46halbe <46halbe@berlin.ccc.de>2011-10-09 19:28:34 +0000
committer46halbe <46halbe@berlin.ccc.de>2020-05-23 13:39:07 +0000
commit26e930a84a04cb4e239f20047b647c583ac92207 (patch)
tree35396f27bf0719d5dfb26f7043ee709f59c4f487
parent3b9d13c17009cdf134a5a04e889b0f85ebfc02b3 (diff)
committing page revision 1
-rw-r--r--updates/2011/addendum-staatstrojaner.md45
1 files changed, 45 insertions, 0 deletions
diff --git a/updates/2011/addendum-staatstrojaner.md b/updates/2011/addendum-staatstrojaner.md
new file mode 100644
index 00000000..04ebfd61
--- /dev/null
+++ b/updates/2011/addendum-staatstrojaner.md
@@ -0,0 +1,45 @@
1title: Addendum Staatstrojaner
2date: 2011-10-09 19:18:00
3updated: 2011-10-09 19:28:34
4author: 46halbe
5tags: staatstrojaner
6
7Der Chaos Computer Club (CCC) nimmt den Quellenschutz und die Hackerethik ernst. Dieses Addendum beschreibt die Positionen in der veröffentlichten Version von einem der uns zugespielten Staatstrojaner, an denen Daten modifiziert wurden, um die genaue Herkunft der Programme zu verschleiern.
8
9<!-- TEASER_END -->
10
11Wir gehen nach der vergleichenden Analyse der uns vorliegenden Versionen
12davon aus, daß die Behörden anhand von Ermittlungsfall-spezifischen
13Bezeichnern (also Trojaner-Binary-interne "Aktenzeichen") die Herkunft
14des veröffentlichten Programmes nachvollziehen können. Dem wollten wir
15entgegenwirken, um unsere Informanten zu schützen. Um sicherzugehen,
16wurden in wenigen Zweifelsfällen einige Byte modifiziert. Sollte sich
17aber später herausstellen, daß das "Schwärzen" einzelner Passagen
18unnötig war oder wird, werden wir eine aktualisierte Version des
19Trojaners zur Verfügung stellen und dies dokumentieren.
20
21Der veröffentlichte Trojaner ist nicht der aktuellste, den wir besitzen.
22Wir haben Grund zur Annahme, daß die uns vorliegenden Versionen über
23einen Zeitraum von anderthalb bis zwei Jahre zusammengebaut und
24eingesetzt wurden. Es kann also nicht von einer "Beta-Version"
25gesprochen werden.
26
27Es folgt eine Liste mit Positionen, an denen der Chaos Computer Club das
28originale Trojaner-Binary vor der Veröffentlichung gepatcht hat.
29
30An Offset 4C370h beginnen Daten, die folgende Bedeutungen haben:
31
32> 4C370h -\> unknown\_bytearray\[12\]         \
33> - modifiziert, da derzeit unbekannt\
34> 4C37Ch -\> unsigned short tcp\_port = 6666 \
35> - Der TCP-Port, zu Testzwecken modifiziert (Original: 443)\
36> 4C37Eh -\> unsigned char unk\_index = 0    \
37> - unmodifiziert\
38> 4C37Fh -\> unsigned long ip\_address = 172.16.98.1  \
39> - Die IP-Adresse des Weiterleitungsservers, zu Testzwecken modifiziert
40> (Original: 207.158.22.134)\
41> 4C383h -\> unsigned char case\_identifier\[13\] = "23CCC23\\0"\
42> - ASCII-Zeichenkette mit eindeutigem Aktenzeichen. Modifiziert zum
43> Quellenschutz\
44> 4C390h -\> unsigned char trojan\_version\[16\] = "3.4.26\\0"\
45> - Version des Trojaners wurde modifiziert