Privacy-Handbuch

Der in den Medien bekannteste Staatstrojaner ist derzeit die Pegasus Suite der israelischen NSO Group. Mehr als 50.000 Opfer wurden mit diesem Trojaner ausspioniert (Stand: Sommer 2021). Dazu gehörten Menschrechtsaktivisten, Journalisten (auch in europäischen Ländern wie Griechenland, Polen, Ungarn), aufsässige Politiker (Katalonien), EU Politiker, US State Department, die Kryptohandys des spanischen Regierungschef und seiner Verteidigungsministerin…

Das BKA nutzt eine angepasste Version von Pegasus und auch der BND steht auf der Kundenliste von NSO. Die NSO Spionagesoftware Pegasus ist in mehreren Preisstufen verfügbar:

• Die Einsteigerversion bietet nur preiswerte 1-Klick-Exploits zur Infektionen von Smartphones. Das Target muss auf einen Link klicken um das Phone zu komprimitieren.
• Die Advanced Version bietet nicht-persistente 0-Klick-Remote-Exploits, die man mit einem Reboot des Smartphones wieder rauswerfen kann.
• Nur die teuerste High End Version bietet persistente 0-Klick-Remote-Exploits.

Eine Alternative zu Pegasus ist der Trojaner Predator der griechischen Firma Intellexa mit ähnlichen Fähigkeiten. Der Trojaner spielte im griechischen Abhörskandal 2022 eine wesentliche Rolle und wurde auf den Smartphones von hochrangigen Politikern und Journalisten nachgewiesen. BKA und Zitis interessieren sich für den Kauf der Spionagesoftware Predator.

Neben staatlich organisierten Hackern gibt es auch Freiberufler, die man im anheuern kann ("Hire a Hacker"). Diese Subjekte möchten anonym bleiben und bieten deshalb ihre Dienste meist im Darknet auf Tor Onion Sites an. Es kostet zwischen $500 - $2.000 ein Smartphone hacken zu lassen.

Man sendet dem anonymen Hacker via Kontaktformular die Telefonnummer der Zielperson (keine hochrangigen Politiker), überweist das Geld als Bitcoins oder in Monero und bekommt innerhalb 24-72h ein Archiv mit dem Inhalt aller Daten des Zielphones oder einen Remotezugriff auf Phone wie mit der Pegasus oder Predator Spyware, um das Opfer zu belauchen und sich Kontakte, Fotos, Chats usw. selbst herunterzuladen. Ein Screenshot von einem Angebot:

ABER Vorsicht: nicht alle Angebote sind seriös, manche werden als Honeypots vom FBI betrieben.

Tipps zum Schutz gegen Trojaner

Es gibt keinen 100% Schutz gegen einen Angreifer, der nahezu unbgrenzte finanzielle Mittel zur Verfügung hat. Aber man kann Angriffe deutlich erschweren und die Angriffsfläche verringern.

Die Sicherheitsfirma Kaspersky hat einige Tipps zum Schutz gegen Pegasus und andere Trojaner veröffentlicht und die Teams von GrapheneOS und dem PrHdb haben noch kleine Ergänzungen: 

• Allgemein (für alle Smartphones)
  • Immer die aktuellen Updates zeitnah einspielen (System und Apps).
  • Nicht auf Links in Nachrichten klicken - egal welche Quelle. (Nicht alle Kunden von Pegasus kaufen die teuren Versionen, die 0-Klick-Remote-Infektionen bieten.)

  • Immer ein vertrauenswürdiges VPN nutzen, da TK-Provider seit 2020 gem. TKÜV staatliche Behörden beim Rollout von Staatstrojanern bestmöglich unterstützen müssen. Man sollte dabei einen VPN Provider wählen, der keine persönlichen Informationen abfragt.

  • Das Smartphone häufig rebooten, da persistente Exploits teurer sind und selten genutzt werden. Ein persistenter 0-Click Exploit für Android kostet bis zu 2,5 Mio. Dollar. Das nutzt man vorsichtig und spart es für wichtige Ziele auf.

    Gelegentlich sollte man den Akku Smartphone auch vollständig entladen lassen ("phone dies the natural death") um es von NoReboot Trojanern zu reinigen. Ein solcher NoReboot Trojaner wurde beispw. im Juni 2022 für iPhones nachgewiesen.

  • Man kann die "Zielerkennung" erschweren, indem man nie Telefonnummern weitergibt und Messenger verwendet, die nicht an Telefonnummern gebunden sind (Threema, Session).

    Hinweis: Man kann mit Threema oder Session Messenger auch telefonieren - kein Problem.

  • Nicht den mitgelieferten Standardbrowser verwenden sondern z.B. Firefox Focus (sagt Kaspersky). Dieser Browser sollte nicht nur standardmäßig zum Surfen genutzt werden sondern zum Öffnen von Links aus anderen Apps konfiguriert werden.

  • Auch ein standardmäßig mitgeliefertes E-Mail Programm sollte man meiden und statt dessen Alternativen nutzen, um Angriffe ins Leere laufen zu lassen.

    (Über einen 0-Click Exploit in Apple Mail wurden beispw. die iPhones von Journalisten und Promis kompromittiert. Dieser Bug in Apple Mail existierte von iOS 3.1.3 - 13.4.1 über einen Zeitraum von 10 Jahren.)

    Alternativen sind FairEmail bzw. K9Mail für Android oder Canary Mail für iPhones. Die E-Mail Apps sollte man so konfigurieren, dass Anhäge und Bilder nicht automatisch angezeigt werden und keine externen Elemente automatisch geladen und angezeigt werden.

  • Ein gehärtetes Smartphone OS verwenden (GrapheneOS legt die Latte deutlich höher).
• Andoid
  • Die standardmäßig für SMS/MMS genutzte Google Messages App sollte man schon aus Datenschutzgründen durch Silence oder Simple SMS Messenger ersetzen.
  • Das Smartphone nicht rooten und eine Sicherheitssuite installieren, die bei Jailbreaks warnt.
• GrapheneOS

  • Um die Angriffsfläche auf das Hidden OS zu verringern, kann man LTE only für mobile Daten aktivieren und die veralteten Protokolle 2G + 3G sowie das neue 5G deaktivieren.

    "LTE only" kann man in GrapheneOS in den Einstellungen unter "Netzwerk & Internet → SIM Karten → Bevorzugter Netzwerktyp" aktivieren.

  • Wenn man den "HTTPS-only Mode" im Standardbrowser Vanadium ativiert, erschwert man das Einschleusen von bösartigem Zeugs in Webseiten. Außerdem kann man den JIT Compiler für Javascript abschalten, um die Angriffsfläche zu verringern.

    Diese beiden Optionen kann man in den Einstellungen vom Browser Vanadium in der Sektion "Datenschutz und Sicherheit" aktivieren. 

• iPhones
  • iOS security is fucked (sagte der CEO von Zerodium, 2020). Bereits seit 2019 hat Apple ein paar signifikante Sicherheitsprobleme und es kursieren viele Exploits für iPhones:

    In den letzten Monaten haben wir einen Anstieg der Zahl der iOS-Exploits beobachtet, vor allem von Safari und iMessage-Ketten, die von Forschern aus der ganzen Welt entwickelt und verkauft werden. Der Zero-Day-Markt ist so überflutet von iOS-Exploits, dass wir kürzlich begonnen haben, einige von ihnen abzulehnen.

  • Apple hat die Zeichen der Zeit erkannt in iOS 16 einen Blockiermodus (engl: lock down mode) implementiert, der in iMessages keine Dateien außer Bilder darstellt, Facetime Anrufe von Unbekannten blockiert, den JIT Compiler in Browsern deaktiviert, die USB-Schnittstelle abschaltet, Installation von Profilen blockiert u.a.m.

    

    Den "Blockiermodus" kann man in den Einstellungen unter "Datenschutz & Sicherheit" aktivieren. Man wird mehrfach darauf hingewiesen, dass man es wirklich nur in ganz besonderen Ausnahmefällen braucht, nur wenn wirklich ein Risiko besteht, dass man zu einer Zielgruppe für Hackerangriffe gehört… aber wer weiß das schon, bevor man gehackt wurde?

  • Kaspersky empfiehlt, iMessages und Facetime deaktivieren, da diese häufig angegriffen werden. Da es keine Alternative für SMS gibt, muss man dann auf SMS verzichten. 

  Es gibt mehrere Open Source Tools, die eine Trojanerinfektion in iPhone Backups erkennen können. Mit dem MVT Toolkit kann man Pegasus und Predator Trojaner erkennen und Kaspersky hat das triangle_check-utility veröffentlicht, das den CIA(?) Trojaner erkennt, der seit 2019 großflächig in Russland, Israel und China eingesetzt wird ("Operation Triangulation").

  Eine kleine Minimal-Anleitung, wie man diese Tools verwenden könnte:

  1. Es ist keine gute Idee, ein möglicherweise infiziertes Smartphone (diese Möglichkeit muss man einkalkulieren, sonst würde man es ja nicht testen) mit seiner Arbeitsumgebung auf dem PC oder Laptop zu verbinden. Man braucht also erstmal eine Testumgebung, mindestens eine eigene VM in QubesOS oder besser eine extra Hardware.

     Es gibt Trojaner, die sich aggressiv weiterverbreiten wollen. Ich habe einen solchen Trojaner schon einmal in Aktion gesehen. Im Auto sitzend sagte meine Beifahrerin, dass sich ihr iPhone seit zwei Tagen ständig rasant entleert und sie mit dem Laden garnicht hinterher kommt. Bevor ich reagieren konnte, hatte sie das USB Ladekabel in die passende Buchse gesteckt, der Navi machte nochmal kurz "Nöff" und war dann erstmal tot.

  2. Das iPhone Backup kann man unter MacOS im Finder erstellen, unter Windwos benötigt man iTunes und Linuxer können die Toolsammlung "libimobiledevice" verwenden.

     Unter Linux könnte man am einfachsten die Pakete aus den Repositories probieren:

     Ubuntu: > sudo apt install libimobiledevice-utils
     Fedora: > sudo dnf install libimobiledevice-utils

     Da das iPhone (hoffentlich) auf dem aktuellen Stand ist, sind die Pakete aus den Linux Repositories oft zu alt und man muss die aktuelle Version von Github selbst kompilieren.

     Wenn alles vorbereitet ist, schließt man das iPhone via USB an die Testumgebung an und erstellt ein verschlüsseltes(!) Backup. Das verschlüsselte Backup enthält mehr Daten und erleichtert somit die Analyse. Unter Linux setzt man zuerst ein Passwort:

     > idevicebackup2 -i encryption on

     (Wenn bereits ein Passwort für das iPhone Backup gesetzt wurde, kann dieser Schritt entfallen.)

     ... und erstellt dann das verschlüsselte Backup vom iPhone:

     > idevicebackup2 backup --full /path/to/backup/

  3. Das MVT Toolkit holt man sich von Github und Linuxer komplilieren es selbst:

     > sudo apt install git python3 python3-pip sqlite3
     > git clone https://github.com/mvt-project/mvt.git
     > cd mvt
     > pip3 install .

     Ähnlich wie bei Virenscannern gibt es Listen mit Indikatoren, die auf eine Infektion hinweisen. Es gibt Indikatoren für Pegasus, Predator u.a.m. Die Listen aktualisiert man mit: > mvt-ios download-iocs

     Das iPhone Backup ist für die Analyse mit dem MVT Toolkit erstmal zu entschlüsseln:

     > mvt-ios decrypt-backup --destination /path/to/decrypted /path/to/backup

     Dann startet man die Untersuchung des Backups mit folgendem Komando:

     > mvt-ios check-backup --output /path/to/output/ /path/to/decrypted

     Im Outputverzeichnis findet man die Ergebnisse der Analyse, die man abschließend mit den Listen der Indikatoren zur Erkennung von Infektionen abgleichen kann:

     > mvt-ios check-iocs --iocs ~/iocs/pegasus.stix2 /path/to/output/
     > mvt-ios check-iocs --iocs ~/iocs/cytrox.stix2 /path/to/output/
     > mvt-ios check-iocs --iocs ~/iocs/malware.stix2 /path/to/output/
     > mvt-ios check-iocs --iocs ~/iocs/operation_triangulation.stix2 /path/to/output/
     ...

     Der Parameter --iocs kann mehrfach in einem Kommando verwendet werden, so dass man das alles auch in ein Kommando packen könnte.

  4. Das triangle_check-utility ist auf die Erkennung des Trojaners "Operation Triangulation" spezialisiert. Seit 01.06.2023 gibt es für MVT Toolkit passende Indikatoren, so dass ein extra Tool eigentlich nicht nötig wäre. Aber es ist einfacher einsetzbar.

     Linuxer installieren das triangle_check-utility via pip:

     > python -m pip install triangle_check

     Die Analyse des (verschlüsselten) Backups kann man mit folgendem Komando starten:

     python -m triangle_check /path/to/backup [password]

     Der Test kann drei unterschiedliche Ergebnisse liefern. Wenn das iPhone sauber ist, ist alles gut. Wenn das Ergebnis eindeutig "DETECTED" lautet, weiß man auch Bescheid.

     Aber wenn das Ergebnis "irgendwie suspekt" lautet, dann ist man beunruhigt und versteht, warum diese Tools Spezialwissen erfordern könnten.

Hilfe für Journalisten

Nachdem bekannt wurde, dass mehr als 200 Journalisten mit dem Pegasus Trojaner angegriffen wurden, hat "Reporter ohne Grenzen" im Juli 2022 das Digital Security Lab in Berlin eröffnet, wo sich IT-Spezialisten die Smartphones und Computer von Journalisten anschauen, die die Vermutung haben, dass sie gehackt wurden. Kontaktadressen des Lab findet man auf der Webseite.

• Datensammler (OS)
• Android Alternativen
• Datensammler (Apps)
• Überwachung
• In der Familie
• WLAN off!
• Push oder Poll
• Tracking
  blockieren
• Standortdaten
  einschränken
• Dummy Tel.-Nr.
• OpenPGP E-Mail
• Kill Switch
• Juice Jacking
• Staatstrojaner
• IMSI-Catcher-C.
• Das Hidden OS