Interne Gamma-FolienDie Fin-Familie staatlicher Überwachungstechnologien als „komplettes IT Intrusion Portfolio“

Die Firmen-Gruppe Gamma verkauft mit der FinFisher-Familie eine Reihe an Überwachungstechnologien, die sie selbst als „komplettes Portfolio“ des Hackens beschreibt. Das geht aus geleakten Dokumenten hervor, die aus einem Verkaufsgespräch mit einem Landeskriminalamt stammen sollen. Wir wollen den Vertrag der Firma mit dem BKA sehen und haben Widerspruch auf eine Ablehnung eingereicht.

slide
FinFisher: Das komplette Portfolio für IT-Intrusion – Alle Rechte vorbehalten Gamma Group

Die Staatstrojaner-Suite FinFisher und die dahinter stehende Firmen-Gruppe Gamma suchen nicht gerade das Licht der Öffentlichkeit. Zwei neue Dokumente geben jetzt ein paar weitere Einblicke in das Firmengeflecht und die Überwachungstechnik.

Ein anonymes Posting auf Pastebin.com (lokale Kopie) verlinkt auf zwei Dateien, die als „eingescannte Originaldokumente aus Verkaufsgesprächen zwischen Gamma-Vertrieb und Mitarbeitern eines Landeskriminalamts aus dem Jahr 2011“ bezeichnet werden:

Die Echtheit der Dokumente können wir leider nicht bestätigen, Anfragen von netzpolitik.org an die Münchener Firma Gamma International GmbH blieben bisher leider unbeantwortet. Das Corporate Design ist aber ziemlich authentisch, zudem findet sich in den WikiLeaks Spy Files ein weiteres Dokument mit dem selben Titel und weitestgehend deckungsgleichen Inhalten wie das aktuelle Papier über FinFisher.

Die Folien bestätigen, was fleißige Freiwillige auf Buggedplanet.info zusammen getragen haben. Demnach hat die Gamma Group, die sich in mehrere Unterfirmen mit eigenen Spezialgebieten gliedert, 78 Angestellte und neun Büros auf vier Kontinenten. Die Folien werben damit, dass der Staatstrojaner FinFisher seine Ursprünge in der Linux-Linve-CD BackTrack hat, das „von Regierungen weltweit am meisten genutzte Werkzeug für IT-Intrusion“. Seit Jahren hacken Staaten fremde Rechner und immer mehr Gesetze erlauben dies. Für diese Zielgruppe bietet Gamma die Fin*-Produktpallette an:

Tactical IT-Intrusion

FinUSB Suite

finusb-suite-usageDie FinUSB Suite ist ein USB-Stick, den man in ein „Zielsystem“ steckt, um dieses zu infizieren und die Kontrolle zu übernehmen. Geht überall, wo man physikalischen Zugriff auf die Hardware hat, als Beispiel wird Reinigungspersonal angegeben. Schon in der Vergangenheit ist das LKA Bayern in Firmen-Büros eingebrochen, um Trojaner-Software auf Rechnern zu installieren.

FinIntrusion Kit

finintrusion-kit-featuresDas FinIntrusion Kit ist ein tragbares „IT Intrusion Kit“. Damit können „rote Teams“ vor Ort WLANs knacken, Traffic mitschneiden, Login-Daten abschnorcheln sowie Dienste wie Webserver aufbrechen und Passwörter brute-forcen. „Das Operation Center bietet einfach zu bedienende Point-and-Click Angriffe“. Vom Scriptkiddie zum Scriptcop. (An dieser Stelle ist als Einziges ein von Hand gemaltes Kreuz auf den ausgedruckten und wiedereingescannten Folien.)

FinFireWire

finfirewire-featuresFinFireWire ist ein weiterer Hacking-Koffer, mit Laptop und Firewire-Anschlüssen. Damit können Rechner im laufenden Betrieb infiziert werden, ohne mit einem Reboot Informationen zu verlieren. Auf allen großen Betriebssystemen (Windows, Linux und Mac OS X) sollen Passwort-Abfragen umgangen werden können. Auch der Arbeitsspeicher kann ausgelesen werden, um damit Daten wie Crypto-Schlüssel und -Passwörter zu extrahieren.

Remote Monitoring & Infection

FinSpy

finspy-featuresFinSpy ist ein „ausgefeiltes Intrusion-System“, dass „vollen Zugriff“ auf infizierten Systeme gibt. Danach gibt es „vollen Zugriff auf jegliche Kommunikation, inklusive Skype“ und andere (SSL-)verschlüsselte Kommunikation. Voller Zugriff auf alle Dateien, Keylogger und „Überwachung durch Webcam und Mikrofon“ sind natürlich auch wieder dabei. Die Software läuft ebenfalls auf allen großen Betriebssystemen (Windows, Linux und Mac OS X) und bleibt von den 40 großen Antiviren-Programmen unentdeckt.

FinFly

Die FinFly Tools sind Infektionswege für die Trojaner-Suite FinFisher. Die Infektion kann über verschiedene Wege passieren.

FinFly USB

finfly-usb-featuresFinFly USB ermöglicht die Infektion per USB-Stick. Das geht sowohl bei an- als auch ausgeschalteten Systemen. Pikantes Detail: „Kann ausgeschaltete Zielsysteme infizieren, selbst wenn die Festplatte mit TrueCrypt vollverschlüsselt ist.“

FinFly Web

finfly-web-integrationMit FinFly Web lässt sich „konfigurierbare Software“ heimlich auf Zielsysteme einspeisen, indem sie „in Webseiten integriert“ wird. Die einfachste Übung hier ist die Erstellung spezieller Webseiten, die ausgewählte User infiziert, die mittels Spear Phishing auf die Seite geleitet werden. Gamma hat demnach Exploits für alle gängigen Browser und verschiedene Module zur Infektion. (Ein Screenshot hat die Beispiele: Firefox Addon und Java Applet)

FinFly LAN

finfly-wlan-workflowFinFly LAN ermöglicht die Infektion in lokalen Netzwerken. Oder über das „Injizieren“ falscher Software-Updates. Das Tool scannt alle Rechner, die mit einem Netzwerk verbunden sind, kabelgebunden oder drahtlos. Dann kann man Schadsoftware in den Downloads oder Webseiten-Aufrufen der Zielsysteme „verstecken“. Ebenfalls lassen sich falsche Software-Updates injizieren, wie Firmen-eigenes Video mit einem iTunes-Update als Beispiel zeigt.

FinFly ISP

finfly-isp-workflowFinFly ISP macht ähnliche Sachen wie FinFly LAN, nur eben auf der Ebene eines Anschluss-Providers. Nach der Installation im Backbone-Netz eines koopierierenden Providers können zu infizierende Systeme einfach ausgewählt werden (beispielsweise anhand des RADIUS-Benutzernamens, der MAC-Adresse oder der Telefonnummer). Oder man installiert es gleich in einem ganzen Netzwerk, wie in einem Hotel oder einem Firmennetz. Auch hier lassen sich Infektionen über Downloads, Webseiten und Software-Updates einschleusen.

FinSpy Mobile

finspy-mobile-featuresFinSpy Mobile ist Tool, um mobile Geräte mit dem Staatstrojaner zu infizieren. Das geschieht beispielsweise über Bookmark SMS, WAP Push, Kabel/Bluetooth oder die Synchronisation mit einem infiziertem Rechner. Auch hier werden alle gängigen Betriebssysteme unterstützt: BlackBerry, iOS (iPhone), Android und Windows Mobile/Windows Phone.

Einmal infiziert, hat der Angreifer Zugriff auf sämtliche Kommunikation wie Telefongespräche, SMS, MMS und E-Mails. Sogar verschlüsselte BlackBerry Messenger Nachrichten werden abgeschnorchelt. Dazu kommt eine „live“ Ortsüberwachung per GPS, Funkzellen und WLAN-Routern. Schließlich kann auch das Mikrofon von remote eingeschaltet werden.

IT Intrusion Training Programm

fintraining-usageSchließlich bietet Gamma noch Schulungen an, wie Behörden offensiv Hacken können. Als Beispiele werden der „Zugriff auf einen Webserver“ und die „Evaluierung der Sicherheit kritischer Infrastrukturen“ genannt. Zwei bis vier Beamte lernen „vollständig praktisch“ in Europa oder vor Ort „Techniken, die sofort für echte Operationen genutzt werden können“. Auf dem Lehrplan stehen IT Intrusion, Software Exploitation, Web Application Intrusion und Wireless IT Intrusion. Anwendungsbeispiele sind das Zurückverfolgen anonymer Mails, Zugriff auf Mail-Accounts, Sicherheitsanalysen von Servern und das Überwachen von Hotspots, Internetcafés und Hotel-Netzwerken.

Deutschland als Kunde

Der Leaker der Dokumente behauptet, „bei mindestens einem Verkaufsgespräch waren BKA-Mitarbeiter anwesend, die mit FinFisher bereits vertraut waren und beratend teilnahmen.“ Leider haben wir keine Möglichkeit, das zu überprüfen. Die Gamma International GmbH hat netzpolitik.org seit heute morgen nicht geantwortet.

Dass das BKA ein Produkt der FinFisher-Familie für knapp 150.000 Euro gekauft hat, haben wir wiederholt berichtet. Nachdem unsere Informationsfreiheits-Anfrage über den Vertrag abgelehnt wurde, haben wir jetzt offiziell Widerspruch eingericht. Die Begründung von BKA und Beschaffungsamt halten wir für fehlerhaft. Die Öffentlichkeit hat ein Recht, zu erfahren, mit welchen Mitteln unsere Behörden arbeiten wollen. Erst recht, wenn sie so invasiv sind.

18 Ergänzungen

  1. Irgendwie riecht das ganze doch so, als stecke hinter FinFisher ein unathorisierter Fork einer Uralt-Version von Backtrack Linux. Die Einteilug der Produkte erinnert jedenfalls stark an die BT-Menüleiste…

    1. Steht doch direkt so im Text:
      „Die Folien werben damit, dass der Staatstrojaner FinFisher seine Ursprünge in der Linux-Linve-CD BackTrack hat, das “von Regierungen weltweit am meisten genutzte Werkzeug für IT-Intrusion”.“

      1. Dann darf man wohl davon ausgehen, dass die OpenSource-Lizenzen (GPL?) weiterhin gelten und Gamma den darauf basierenden Quellcode wenigstens auf Anfrage herausgeben muss. Oder sehe ich das falsch? Könnte netzpolitik das mal anfragen?

      2. Aus der GPL Lizenz:
        „For example, if you distribute copies of such a program, whether gratis or for a fee, you must give the recipients all the rights that you have. You must make sure that they, too, receive or can get the source code.“
        Gamma muss den Code nicht öffentlich machen, weil nur der ‚recipient‘ (also jemand der die Software erhalten hat) ein Recht dazu hat auch den Code zu bekommen.

        Google z.B. benutzt auf seinen internen Servern auch ein modifiziertes Linux, muss den Code aber nicht öffentlich machen, weil die Binaries nicht öffentlich zugänglich sind.

        D.h. das nur die Kunden von Gamma auch ein Recht haben den Code zu erhalten, falls die Software GPL code verwendet.

      3. Wenn man an die Binaries kommt (egal wie), dann hat man Anspruch auf die Quelltexte. Aber wie gesagt, nur für GPL oder ähnlich lizenzierte Software. Wenn die ihre eigene Software entwickelt haben, die nicht direkt von GPL-Software abgeleitet ist, können die auch ihre eigene Lizenz wählen.

        GPL, Version 3, §5:A compilation of a covered work with other separate and independent works, which are not by their nature extensions of the covered work, and which are not combined with it such as to form a larger program, in or on a volume of a storage or distribution medium, is called an “aggregate” if the compilation and its resulting copyright are not used to limit the access or legal rights of the compilation’s users beyond what the individual works permit. Inclusion of a covered work in an aggregate does not cause this License to apply to the other parts of the aggregate.

    2. Der Chef von Gamma hat auch an Backtrack mitgearbeitet oder es sogar mitgegründet.

      Danach ging es ab in die Schmuddelecke!

  2. “Kann ausgeschaltete Zielsysteme infizieren, selbst wenn die Festplatte mit TrueCrypt vollverschlüsselt ist.”

    Wie soll das funktionieren? Hab ich da eine Wissenslücke oder ist das nur eine Werbespruch?

    1. Vermutlich das „evil maid“-Szenario, also zweistufiger Angriff mittels manipuliertem Bootloader? Natürlich findet die Infektion des Betriebssystems dann erst statt, wenn der Benutzer wieder am System sitzt und das Passwort eingetippt hat, aber diese Erklärung ist doch viel zu lang für PowerPoint :P

  3. Das Piraten-Wahlprogramm gegen kommerzielle Überwachungssoftware (wie z.B. Gamma’s Fin Serie):

    Gegen Überwachungssoftware: Transparenz und Quellcode-Offenlegung:

    Die Piratenpartei Deutschland spricht sich deutlich gegen die Herstellung, Wartung, Betreuung und Erhaltung von Überwachungssoftware aus. Sie verurteilt den kommerziellen Handel mit Überwachungssoftware, einschließlich Dienstleistungen für Überwachungssoftware. Überwachungssoftware ist jede Software, die Dritten Zugang zu nicht-öffentlichen Daten, Kommunikationen und Aktivitäten eines Rechensystems verschaffen kann, ohne dass die eigentlichen Nutzer des Rechensystems darüber Kenntnis haben. Der Grund für diese Position ist, dass Überwachungssoftware sowohl im Inland wie weltweit eingesetzt wird, um Menschenrechte wie das Recht auf Privatsphäre auszuhebeln. Häufig werden die so erhaltenen privaten Daten genutzt, um Regimegegner zu verfolgen und sogar zu foltern, und um Bewegungen für mehr Demokratie zu bekämpfen.

    Um aktiv gegen Überwachungssoftware vorzugehen, fordert die Piratenpartei eine gesetzliche Pflicht bei Herstellern und Dienstleistern von Überwachungssoftware, volle Transparenz über alle Produkte, und über alle Vertragspartner und Kunden, die Überwachungssoftware und Dienstleistungen nutzen, herzustellen. Desweiteren fordert die Piratenpartei die gesetzliche Pflicht zur Offenlegung des vollständigen Quellcodes von Überwachungssoftware. Die Offenlegung all dieser Informationen hat an die Öffentlichkeit zu geschehen, das bedeutet: nicht nur an ein parlamentarisches Kontrollgremium.

  4. Das Dokument über FinFisher gibt es auch auf Wikileaks zum Download.

    Das Limit bei box.com ist wohl überschritten.

  5. „und bleibt von den 40 großen Antiviren-Programmen unentdeckt“

    Oh- ich hätte dann gerne eine Liste von Programmen, die den Scheiß erkennen können :D

  6. Schön zu sehen, dass sie nun doch keine unüblichen Zaubermittel haben. Wenn man also vorsichtig ist (was man im Netz immer sein sollte), wird einem auch nur recht schwer etwas passieren, solang kein direkter Zugriff auf die Hardware besteht.

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.