Skype again

Ein Dokument beim CCC über den Vorgang beim Abhören von Skype Gesprächen in Deutschland http://www.ccc.de/updates/2008/bayerntrojaner-wg-skype

Zusammenfassend, man installiert wohl einen versteckten Service, der Texteingaben und Voiceaufnahmen abgreift, ich tipp mal direkt an den Geräte Treibern. Der schickt das ganze "stark" (LOL) komprimiert an einen Proxy der das wiederum als Stream auf einen Medienclient ausgibt, bzw. abspeichert. Mit diesem Bandbreitenbedarf von 30Kbyte/s bin ich schon überrascht, da von starker Kompression zu sprechen ist schon dezent lächerlich. Lässt aber auf Know How der Firma und Implementierung der Software eventuell schließen.


Wenn ich spekulieren darf (was aufgrund nur diesen Dokumentes sehr gewagt eigentlich ist):

Skype
Vermutlich wurden viele Standardtools verwendet bei der Programmierung dieser Software (lächerlich schwache Kompression -> eingekaufte oder freeware tools, d.h. ggf. würde es sich lohnen Stream Codecs wie z.B. RealMedia aus dem System zu kicken um schon das ganze System völlig aus der Bahn zu werfen), ausgehend von dem angenommenen Niveau, dürfte dann auch der Prozess / Dienst nur oberflächlich versteckt sein. Ich wette darauf Tools wie Process Explorer zeigen ihn trotzdem an (wenn er überhaupt versteckt wurde). Abgreifen der Eingabedaten? Direkt am Gerätetreiber? Da würde wohl die Masse der Virenscanner Alarm schlagen. Wohl eher über die Skype COM API, oder die legen wirklich bei der Installation den Virenscanner lahm (LOL).

Findet da eine echte Man in the Middle Attacke statt beim Angriff auf SSL?
Was mich schwer irritiert sind Aussagen im Bericht, die sich für mich nicht wirklich in einen logischen Zusammenhang bringen lassen. Einerseits MITM nur für Firefox und IE verfügbar? Was ist denn das für eine MITM Attacke? Also nicht mal Cain&Abel Niveau (Cain würde sowieso erkannt werden von einem Virenscannern... normalerweise), das eine echte MITM Attacke durchführt. Andererseits werden angeblich die Keys übertragen mit denen der Stream dann beim Proxy dekodiert wird... Hört sich insgesamt unglaubwürdig an für mich. Ich spekuliere mal das ein Manager mit einem Marketing Schlagwort sein Produkt verkauft, und der versierte Beamte mittels Wikipedia die professionelle Definition wiederzugeben versucht (so meine Rekonstruktion).
Ich würde daher eher auf ein billiges IE/Firefox Plugin mit einer Extension Erweiterung getippt, das den Stream abgreift bevor es zum SSL Codieren geht. Sowas hab ich jedenfalls vor einiger Zeit als Debug Hilfe für mich gecoded und wäre vom zeitlichen Aufwand her super billig.

Im Großen und Ganzen dürfte der Rechner jedenfalls eine spürbare Mehrbelastung in der Prozessorlast haben, allein schon durch den synchronen zweiten Komprimiervorgang. Auch muss wohl bei der "Installation" vor Ort die Personal Firewall gezielt für den Prozess freigeschaltet worden sein, da durch übliche Tunneling Verfahren, wie sie z.B. Skype selber einsetzt, man keine 30kb/s rüber kriegt. Ggf. wäre noch eine Manipulation am Rechner in der Form denkbar, dass diverese Schnittstellen aufgemacht werden, die ansonsten geschlossen wären. Dann dürfte aber nach kurzer Zeit der Virenscanner heftig blöken, da über bekannte Schnittstellen nachwievor massig Viren verbreitet werden (jeder der ein altes XP vor SP2 installiert und dann sofort ins Internet connected, weiß was ich meine). Daher glaub ich nicht so recht an diese Variante. Man müßte wahrscheinlich auch diverese Maßstäbe an Anforderungen von Behördenseite voraussetzen, so dürfte wohl eine Notfallsicherung vorsehen, nicht sendbare Streams lokal, temporär abzulegen (in letzter Zeit seltsam große Files bemerkt auf dem System ;))

Aber auch gibt das ganze Verfahren Aufschluß wie Bundes & Bayern Trojaner in Zukunft funktionieren, bzw. entwickelt werden und wie diese "Installiert" werden. Ich behaupte mal ausreichend gegenüber den Durchschnittsbürger, der nicht so recht weiß wie man sein System rundimentär analysiert. Aber handelbar für den Versierten Benutzer.

Ansonsten würde ich mal dem Paranoiker vorschlagen: Stream Codecs checken und ggf. deinstallieren (ich würde mich ja vor Lachen am Boden wälzen, wenn es so einfach ist diesen "Trojaner" lahm zu legen), Firewallregeln überprüfen (zur Not desinstallieren (alle filterregeln vernichten) neu installieren und nur das "rauslassen" was man kennt), Prozesse checken, installierte Services die mitgestartet werden (Verwaltung -> Dienste) und Firefox und IE nach Plugins abklopfen (IE->Extras->AddOns verwalten), Zur Identifizierung von unbekannten Diensten und Plugins helfen unzählige Process Libraries im Internet weiter, einfach Namen googlen lassen sollte in der Regel schon reichen informationen zu beschaffen.

Ich denke man muss nicht mal schwere Geschütze auffahren um den ausgehenden Stream abzuklopfen mit z.B. dsniff oder Wireshark, der Zeitaufwand lohnt sich nicht, solange mutmaßlich Amateuere diese "Trojaner" entwickeln, zumal mit erheblichen Analyse Problemen für den Unbedarften verbunden.