Vom BSI gibt es eine Live-CD, von der man eine Betriebssysteminstanz zum sicheren Surfen im Web starten kann. Dieses System fungiert als Sandbox: Schadsoftware, die man sich im Netz einfägt, kann mit so einer CD höchstens die momentan laufende Systemsitzung beeinflussen. Software auf der CD ist gegen Manipulation aus dem System heraus geschützt, ebenso Daten und Programme auf der Festplatte des verwendeten PC. Nach jedem Neustart kann man folglich ein sauberes System erwarten, egal, was in der letzten Sitzung passiert ist.
Das Antiterrorblog empfiehlt die CD als Mittel gegen den Bundestrojaner, der ja auch Schadsoftware sei. Das liest sich zunächst plausibel, ist aber zu kurz gedacht. Das Angreifermodell des Bundestrojaners unterscheidet sich nämlich in zwei wichtigen Punkten von jenem gewöhnlicher Schadsoftware.
Allerweltstrojaner verbreiten sich online und ungezielt. Es geht nicht um ein bestimmtes Opfer, sondern um eine hinreichende Opferzahl. Der Angriff erfolgt als Versuch auf eine a priori unbestimmte Menge von Nutzern. Er ist erfolgreich, wenn ein gewisser – meist recht kleiner – Anteil der Einzelversuche glückt.
Anders ein Bundestrojaner. Er wird gezielt gegen einzelne Personen und deren PC eingesetzt und die Installation muss nicht über das Netz erfolgen. Damit verändert sich offensichtlich das Erfolgskriterium, der Angriff muss bei der gewählten Zielperson glücken und lange genug unbemerkt bleiben. Weniger offensichtlich verändern sich auch die Handlungsmöglichkeiten des Angreifers und damit die Angriffsfläche. Was nämlich macht der Bundestrojanerinstallateur, wenn er es mit einem Live-CD-Benutzer zu tun bekommt?
Genau, er jubelt ihm eine gefälschte CD unter – die nicht nur selbst den Bundestrojaner enthält, sondern auch gleich sämtlichen Code, der dem Original zum Zugriff auf eingebaute Festplatten vielleicht noch fehlt. Die Zielperson wird so einen Angriff kaum bemerken. Amtshilfe vom BSI ist auch nicht erforderlich; jeder, der so eine CD in die Finger bekommt, kann daraus eine manipulierte Kopie bauen.
Wer sich wirklich mit einer Live-CD vor Bundestrojanern schützen möchte, der braucht nicht nur Disziplin, sondern er muss auch seine CD über ihren gesamten Lebenszyklus überwachen.
Sicher ist sicher? 
Einen 100% Schutz lässt sich mich dieser CD sicher nicht erreichen. Es wäre ja auch grundsätzlich möglich, das Basissystem so zu manipulieren, dass das System in einer virtuellen Maschine läuft, auch wenn diese von einer sauberen CD gestartet wird. Aber das muss auch erst einmal realisiert werden. Ein Austausch der CD wird aber ohne die Möglichkeit der heimlichen Hausdurchsuchung nur schwer zu bewältigen sein, die aber ohne Grundgesetzänderung nicht möglich ist. Für letzteres gibt es jedoch nicht die notwendige Mehrheit. Und an eine saubere CD zu kommen dürfte nicht so schwer sein, wenn man ein Internetcafe oder den Uni-Rechner dazu benutzt. Echte Terroristen werden wahrscheinlich auch ihre eigene Version haben und sind nicht auf das BSI angewiesen.
Eine Alternative wäre z.B. auch eine „Surf-CD“ auf einem USB-Stick, den man als Schlüsselanhänger stets bei sich führt. Das hängt vom Grad der persönlichen Paranoia ab. Ich wollte auch weniger eine „Empfehlung“ abgeben als vielmehr zeigen, dass diese omnipotente Wunderwaffe „Online-Durchsuchung“ in der Praxis ein ziemlicher Rohrkrepierer sein wird, für den sich die Einschränkung der Grundrechte für alle einfach nicht lohnt.
Die Frage ist, ob sich damit überhaupt ein Schutz erreichen lässt, und wenn ja, wovor genau und wovor nicht. Immerhin haben wir es mit einem gezielten Angriff zu tun. Einfach mal ein paar gern genutzte Löcher zu stopfen, genügt da nicht.
Die CD oder auch ein schreibgeschütztes Speicherstäbchen schützt exakt davor, dass innerhalb einer Betriebssystemsitzung etwas geschieht, was die Integrität der Software in einer späteren Sitzung verletzt. [Ich setze übrigens voraus, dass Firmwarekomponenten vor unkontrollierten Manipulationen geschützt sind.]
Das ist also nicht mal ein Schutz vor Schadsoftware schlechthin, sondern einzig davor, dass sich Schadsoftware auf dem System einnistet und so einen Neustart übersteht. Ob das ein Vorteil ist, muss sich jeder selbst überlegen. Ob dieser Vorteil die Nachteile wert ist, auch. Ein Nachteil ist etwa, dass Updates schwieriger werden; man müsste sich ja immer gleich eine komplette CD besorgen und das Besorgen ausreichend gegen Angriffe sichern. Wäre ich als Bundestrojanerinstallateur gesetzlich auf Online-Angriffe beschränkt, so würde ich dann eben denselben Angriff nach jedem Neustart wiederholen, sobald das Zielsystem ans Netz kommt.
Je länger ich darüber nachdenke, desto absurder erscheint mir die Idee, mit dem Booten von CD irgendeinen gezielten Angriff abzuwehren. Das Konzept leistet einfach zu wenig. Einen echten Vorteil hingegen sehe ich dort, wo es um herkömmliche Polizeiarbeit geht. Wer konsequent nur mit der CD arbeitet und keine Daten auf Dauermedien speichert, der hinterlässt keine dauerhaften Spuren im System. Wenn die Polizei ganz klassisch den PC mitnimmt, hat der Forensiker daran nicht viel zu tun.
Ausser natürlich der perfide CD-Benutzer säht ein kleines bisschen /dev/random auf der CD aus, Fügt dann hier und da noch ein paar Zeichen ein um die Gesamtentropie so weit zu senken, daß der Forensiker ganz sicher ist, etwas finden zu können. Jetzt noch ein kleines wenig Headerfragment einfügen und vielleicht die ersten drei Kilobyte mit 0en überschreiben und der Analyst ist sich ziemlich sicher hier gerade einen perfiden Verdunkellungsversuch vor der Nase zu haben.
Dann ist es eigentlich schade, daß man nicht dabei sein kann, wenn der Forensiker seinem Chef erklärt, daß er kurz vor dem Ziel steht und vielleicht nur noch einen halben Mann/Frau-Monat an Steuergeldern investieren muß um den Übeltäter zu überführen….
Die Idee mit dem Stick finde ich deutlich interessanter, weil das Update-Problem damit kontrollierbar wird sofern man zwischen sicherer und unsicherer Umgebung unterscheiden kann. Auf jeden Fall weist die ganze Überlegung darauf hin, daß sichere Systeme auch minimale Systeme in Bezug auf Softwarekomplexität sind. Das spricht dann leider entsetzlich gegen die Klickibunti-Interaktiv-Welt.
Hattet ihr hier im Blog schon Little Brother von Cory Doctorow besprochen? Da wird die gesamte Thematik auch ein wenig besprochen. Das ist keine ganz schlechte Lösung die sie dort behandeln. Vielleicht braucht der Protagonist dann noch ein kleines wenig Epoxidharz um das System wirklich sicher zu machen.
Nein, Little Brother hatten wir noch nicht. Wir müssen ja auch nicht alles selbst machen.
Hallo Sven,
danke für deinen Comment und den Hinweis. Ich denke, das geht aus deinem Beitrag auch deutlich hervor. Vielleicht habe ich ihnen aus dem Kontext heraus nicht hunderprozentig passend verlinkt – aber ich wollte den Beitrag unbedingt noch hinzunehmen, weil er insgesammt trotzdem so gut passt.