ein Programmierer erzählt
Ruben Unteregger hat rund sieben Jahre lang als Softwareentwickler beim Schweizer Unternehmen ERA IT Solutions gearbeitet.
Seine Aufgabe dort war das Erstellen von Schadprogrammen, die ein Eindringen in die Computer von Privatanwendern ermöglichen soll.
Die ERA IT Solutions soll insbesondere am Aufbau von Trojanern beteiligt sein, die dem Abhören von VoIP-Telefonaten dienen.
Will er keine Vertragsstrafe zahlen, so muss er sich über die Kunden des Unternehmens ausschweigen.
Zeitgleich zur Veröffentlichung dieses Interviews will Herr Unteregger der Öffentlichkeit den Quellcode seines Trojaners zur Verfügung stellen.
Ruben Unteregger: Mein Name ist Ruben Unteregger, 33 Jahre jung, Sysadmin, Programmierer.
Ich befinde ich mich noch in meinem Sabbatjahr.
ghandy/gulli.com: Bereits im Jahr 2006 soll laut Wikipedia die Schweizer Firma ERA IT Solutions an der Entwicklung eines Trojaners zum Abhören von VoIP-Gesprächen beteiligt gewesen sein. Stimmt das?
Ruben Unteregger: Nachdem die schweizerische "Sonntagszeitung" im Oktober 2006 einen Artikel über einen Trojaner veröffentlichte, welcher es ermöglichen soll, abhörsichere Skype-Gespräche mitzuschneiden und dass das UVEK (Departement für Umwelt, Verkehr und Kommunikation) bereits Interesse daran gezeigt habe, wollte auch die Öffentlichkeit mehr darüber erfahren. Dass der Bund sich Mitteln bedienen will, welche bis anhin nur in negativen Zusammenhang erwähnt und nur von Internetkriminellen verwendet wurden, löste Diskussionen und Erklärungsbedarf aus. ERA IT Solutions AG hat dann in einem Interview die Existenz dieser Software bestätigt.
ghandy/gulli.com: Du gibst an, dass du bei der ERA IT Solutions im Auftrag vom BKA mit der Entwicklung von Trojanern betraut warst. Wie kam es zur Mitarbeit bei dieser Firma?
Ruben Unteregger: Wenn ich das so gesagt hätte, würde das Eis unter meinen Füßen ganz schön knacksen. Ich habe mit ERA IT eine Geheimhaltung vereinbart, was die Arbeiten an der Abhörsoftware betrifft. Das ist nicht unüblich, wenn sensitive Daten und Informationen in Projekte involviert sind.
Dass eine Zusammenarbeit zwischen ERA IT und BKA bestand, habe ich so nicht erwähnt. Gemäß Presseberichten suchten das BKA Leute mit entsprechend einschlägigen Fachkenntnissen, was darauf schließen ließ, dass auch sie an ihrem eigenen Trojaner-Projekt arbeiteten.
Ich arbeitete von 2001 bis 2008 bei ERA IT und wurde primär in Kundenprojekten in der Privatwirtschaft als Entwickler und Sysadmin in IT-Contractor-Positionen eingesetzt.
Zwischen mir und ERA IT bestand ein gewöhnliches Arbeitgeber/Arbeitnehmer-Verhältnis.
ghandy/gulli.com: Offenbar gibt es nicht nur einen Trojaner, sondern mindestens einen für jedes Betriebssystem. Oder wie muss ich mir das im Detail vorstellen? Auf deiner Webseite gibt es schon alleine die Unterscheidung zwischen MiniPanzer und MegaPanzer.
Ruben Unteregger: Trojaner unterscheiden sich von gutartigen Programmen darin, dass sie nebst dem Programm selbst noch eine Schadroutine ausführen. Ansonsten sind beide "nur" Programme. Nehmen wir ein konkretes Beispiel: Ein Trojaner besteht logisch gesehen aus zwei Komponenten.
Das Basisprogramm: Das kann ein beliebiges Programm sein wie ein Notepad.exe, ein Spiel wie Moorhuhn etc.
Die Schadroutine: Der bösartige Code, welcher im Hintergrund ohne Wissen der Opferperson ausgeführt wird.
Das Basisprogramm und die Schadroutine werden zu einer einzigen Datei verschmolzen. Doppelklickt man nun die neue Datei, werden beide Komponenten ausgeführt. Das Moorhuhn-Spiel im Vordergrund und für die Opferperson ersichtlich und die Schadroutine im Hintergrund.
Ein Basisprogramm wie Notepad, eine Schadroutine und das zusammengeschweißte Produkt. Beide sind immer noch "nur" Programme.
Doppelklicken wir auf einem Windows-Rechner das Programm "Notepad.exe", öffnet sich wie erwartet der Notepad-Editor. Würden wir dieselbe "Notepad.exe" Datei auf einen Linux-Rechner kopieren und ausführen, wüsste das Linux-System nicht was es damit anfangen soll. Die binären Dateien sind auf Linux, Windows, etc. intern anders strukturiert. Es ist nicht einfach möglich, ein Programm oder einen Trojaner zu schreiben, welcher auf allen Betriebssystemen lauffähig ist. Daher muss ein Trojaner wie auch ein normales Programm wie ein Mozilla Firefox für jedes Betriebssystem neu erstellt werden.
MiniPanzer und MegaPanzer sind Trojanische Pferde, welche auf Windows XP entwickelt wurden. Die Lauffähigkeit auf Windows 2000 und Vista wurde nicht getestet. Ich gehe aber davon aus, dass sie auch dort größtenteils voll funktionsfähig sind.
MegaPanzer nistet sich in einem System ein und versucht dort unentdeckt zu bleiben. Wird das System neu gestartet, wird MegaPanzer automatisch im Hintergrund, ohne die Aufmerksamkeit auf sich zu ziehen, gestartet. Das infizierte System kann interaktiv via graphischer Schnittstelle bedient werden. Auf die schwarzen Fenster mit kryptischem Inhalt wurde bewusst verzichtet. Der Fokus bei der Entwicklung waren einerseits die Übernahme von abgesicherten Verbindungen (HTTPS) wie sie beim E-Banking verwendet werden als auch das automatische Ausführen von Befehlen auf Zielsystemen via einem Skript. Angriffe sollten voll automatisiert werden können.
MiniPanzer ist die abgespeckte Variante. Er installiert sich nicht auf dem Zielsystem, ist nicht interaktiv bedienbar und verfügt nur über einen reduzierten Funktionsumfang verglichen mit Megapanzer.
Hier der Ganze Beirciht dazu:
ein Programmierer erzählt wegen ein BudesTrolljannerWickipedia
Online-Durchsuchung
Bericht:
Online-DurchsuchungMfg
Wickinger8
