Microsofts Schnüffel-Stick für jedermann
Von Christian Stöcker
USB-Stick: Spezialsoftware zur polizeilichen Datensicherung ins Netz entschlüpft
Ein USB-Stick, der blitzschnell und automatisch Daten von einem Rechner abzieht: Für so manchen Computer-Besitzer ist das ein Alptraum. Microsoft verschenkt an Polizisten in aller Welt eine Software, die genau das tut - nun hat jemand das Programm übers Netz in Umlauf gebracht.
Die Geschichte klingt so abenteuerlich, als habe sie sich ein Thriller-Autor ausgedacht: Ein internationaler IT-Konzern entwickelt ein Spezialwerkzeug für Strafverfolger, um Beweise auf den Rechnern Verdächtiger zu finden. Dieses Werkzeug verschenkt er an Behörden in aller Welt. Hacker und Möchtegern-Hacker lechzen gierig nach der streng geheimen Schnüffel-Software, loben Belohnungen für denjenigen aus, der sie beschafft. Und eines Tages passiert es dann wirklich: Die Software mit dem Spitznamen Cofee taucht in einer Datentauschbörse auf, über die normalerweise Musik oder Software verschoben wird.
Tatsächlich ist genau das geschehen: Eine Gruppe von Fachleuten bei Microsoft hat die Software namens Computer Online Forensic Evidence Extractor (Cofee) entwickelt, um Polizisten und anderen Strafverfolgern die Arbeit zu erleichtern. Jetzt kann sie sich nahezu jeder mit ein paar Klicks verschaffen. Microsoft ermittelt, um die undichte Stelle zu finden - die aber könnte fast überall auf der Welt sein.
Cofee funktioniert über einen USB-Stick: Installiert man die Software darauf und steckt den Stick dann in einen Rechner (mit dem richtigen Betriebssystem, aber dazu später), laufen eine Reihe von Programmen ab, die eine Menge Daten aus dem Computer extrahieren. Welche Programme und Prozesse gerade laufen beispielsweise, was das überhaupt für ein Rechner ist (Prozessortyp, Arbeitsspeicher etc.), wie die Netzwerkeinstellungen aussehen, welche Netzwerkadressen das Gerät hat und welcher Nutzer gerade darauf angemeldet ist.
Tauschbörsen-Administrator gerät ins Schwitzen
Der Zweck des Ganzen sei, erklärt Microsoft-Sprecher Thomas Baumgärtner, "die Lücke zwischen den Kenntnissen krimineller Anwender und denen ermittelnder Beamter vor Ort zu schließen". Wenn Computer beschlagnahmt werden, müssen sie dazu üblicherweise ausgeschaltet werden, dabei aber wird oftmals bereits wertvolles Beweismaterial vernichtet. Cofee solle es auch Ermittlern ohne IT-Fachwissen ermöglichen, diese Beweise direkt vor Ort zu sichern.
Kostenlos verteilt wurde das Werkzeug über Interpol und eine US-Organisation namens National White Collar Crime Center (NW3C) - und zwar ausschließlich an Strafverfolger in "weltweit 187 Ländern", wie Microsoft auf seiner Cofee-Website mitteilt. US-Zeitungen zufolge bekamen auch deutsche Polizisten Cofee - Anfragen bei entsprechenden Stellen, etwa dem Bundeskriminalamt, blieben bislang unbeantwortet.
Nun ist dieses Werkzeug also in der freien Wildbahn angekommen - was sogar die in der Regel hartgesottenen Betreiber von Filesharing-Plattformen ein bisschen ins Schwitzen brachte. Mit einer Mischung aus Ehrfurcht und Angst schrieb ein Administrator einer Tauschbörsen-Website ins eigene Forum: "Einer unserer Nutzer hat es tatsächlich getan. Er hat sich eine Kopie von Cofee verschafft und sie hier hochgeladen. Der Erfindungsreichtum unserer Nutzer verblüfft uns stets aufs Neue." Man habe sich, so der Administrator weiter, "das Programm, seine Quelle und die potentiellen Konsequenzen für unsere Seite und die Nutzer genau angesehen" und habe sich dann entschieden, die entsprechende Bittorrent-Datei zu löschen. Mit jedem erneuten Upload werde das gleiche geschehen.
Angst vor dem USB-Stick des Reinigungspersonals?
Wohlgemerkt: Auf dieser Plattform sind Tausende von Bittorrent-Dateien zu finden, die allesamt zu illegalen Kopien urheberrechtlich geschützter Dateien (vor allem Musikdateien) führen. Angst vor dem kriminellen Akt an sich hatten die Betreiber also nicht. Das wurde auch in dem entsprechenden Beitrag betont: "Dies ist eine einmalige Entscheidung in einer einzigartigen Situation. So etwas werden wir mit anderen Torrents oder Anfragen nie tun." Aber mit Strafverfolgungsbehörden und womöglich Geheimdiensten wollte man sich dann offenbar doch nicht anlegen.
Doch da war es längst zu spät. Kopien von Cofee sind auf verschiedensten Bittorrent-Seiten zu finden und einfach herunterzuladen. Eigentlich ein Schreckensszenario: Kann sich nun jeder die Möglichkeit verschaffen, mit Hilfe eines simplen USB-Sticks für ein paar Euro in Windeseile Geheimnisse aus fremden Computern zu extrahieren? Muss künftig jeder seinen PC vor Reinigungskräften, Handwerkern und Babysittern wegschließen, damit die nicht blitzschnell private Daten heraussaugen und in der Hosentasche nach Hause tragen können?
IT-Sicherheitspublikationen haben die Software mittlerweile getestet und sind zu einem verblüffenden Schluss gekommen: Eigentlich ist Cofee geradezu harmlos. Die Sicherheitsexperten des Heise-Verlages, der auch das Fachblatt "ct" herausgibt, kommen beispielsweise zu dem Schluss, Cofee halte "für Computer-Profis wenig Überraschendes bereit". " Heise Security" weiter: "Raffinierte Tools, um etwa gelöschte Dateien oder anderweitig versteckte Informationen wiederherzustellen fanden sich nicht in der Sammlung. Der eigentliche Mehrwert liegt in der einfachen Bedienbarkeit und dem Schwerpunkt darauf, Beweise zu erheben, die auch vor Gericht stand halten." Cofee kopiert - in der Ursprungsversion - keine Dateien, liest keine Passwörter aus und hinterlässt keine Spuren.
Ausbau der Software mit Add-ons aus dunklen Quellen?
Auch Microsoft-Sprecher Baumgärtner versichert, die Tatsache, dass Cofee nun nahezu frei zugänglich sei, stelle "keine zusätzliche Bedrohung" dar. "Spezialisierte Hacker" hätten "auch sonst Zugriff auf diese Tools".
Tatsächlich ist die Software in erster Linie eine besonders bequeme Möglichkeit, viele Analyse-Werkzeuge direkt hintereinander ablaufen zu lassen und ihre Ergebnisse gebündelt in eine Datei auf dem jeweiligen USB-Stick zu schreiben. SPIEGEL ONLINE liegt die vollständige Dokumentation zur Software vor - sie zeigt, dass in der Standardversion über 40 verschiedene Werkzeuge enthalten sind, die eine ganze Reihe von Informationen über installierte und momentan laufende Programme, über Netzwerkeinstellungen und aktive Prozesse erfassen. Wirklich Geheimes wie Passwörter oder etwa den aktuellen Inhalt des gesamten Arbeitsspeichers erfasst Cofee in dieser Basisversion wohl nicht.
Die Software lässt sich jedoch ausbauen: Bei den mehr als 40 integrierten Progrämmchen (von denen viele zum Systemumfang von Windows selbst gehören) muss es nicht bleiben. Man müsste Cofee nur um weitere, etwa aus dunklen Quellen im Netz gesammelte Schnüffel-Software erweitern, um den Rechner etwa automatisch nach unverschlüsselten, beispielsweise im Web-Browser gespeicherten Passwörtern zu durchsuchen.
Die jetzt in Umlauf gebrachte Version aber kann das nicht - und sie funktioniert auch beileibe nicht bei jedem Rechner. Heise.de und der SPIEGEL ONLINE vorliegenden Dokumentation zufolge reicht Cofees Funktionsumfang nur für Windows XP - Rechner mit Windows Vista oder gar dem neuen Windows 7 ließen sich damit nicht durchsuchen, von Apple Macs oder Linux-Computern ganz zu schweigen.
Gefährlich werden könnte Cofee aber trotzdem - für diejenigen, die sich nun aus Neugier oder anderen Motiven eine Kopie davon besorgen möchten. Microsoft-Sprecher Baumgärtner zufolge kursieren in Tauschbörsen bereits modifizierte Versionen der Software - und in einer davon könnte sich irgendwann durchaus auch ein gemeines Stück Schadcode verstecken. All die vielen kleinen Progrämmchen, die vom USB-Stick aus den Rechner durchkämmen, sind .exe-Files, also ausführbare Dateien. Darunter eine bösartige zu verstecken, die im Anschluss beispielsweise Tastenanschläge des Nutzers protokolliert oder andere unerwünschte Aktivität entfaltet, wäre für einen Virenprogrammierer ein Leichtes. Es ist daher dringend zu empfehlen, von Cofee lieber die Finger zu lassen - und den Umgang mit solchen Speichersticks auch weiterhin Polizisten bei der Tatortsicherung zu überlassen.
Von Spiegel.de
Keine Kommentare:
Kommentar veröffentlichen