Wie FBI-Spyware einen 15-jährigen Schüler überführte

Allgemein

Die Polizei schickte das PC-Schnüffelprogramm an den Inhaber eines anonymen MySpace-Profils. Die 18 Seiten lange Begründung eines FBI-Agenten für den gerichtlich beantragten Durchsuchungsbefehl enthüllt Details über die behördliche Spyware-Praxis.

Der Schüler wurde mittels Spyware erwischt, nachdem er per E-Mail Bombendrohungen an eine Schule geschickt hatte. Er war jedoch kein Bombenleger und hatte sich nur aufgespielt. Tatsächlich ausgeführt hatte er nur eine Denial-of-Service-Attacke. Er wurde zu 90 Tagen Jugendhaft verurteilt – plus zwei Jahre Bewährung mit eingeschränkter Computer- und Internetnutzung.

Das Programm war durch das Messaging-System von MySpace übermittelt worden, das HTML und Bilddateien zulässt. Das FBI könnte also eine der bekannten Sicherheitslücken oder auch eine unbekannte genutzt haben. Oder aber den Schüler-Scherzkeks zum Download und der Ausführung einer ausführbaren Datei verleitet haben.

In diesem Zusammenhang gelangte ein Dokument an die Öffentlichkeit, das ein FBI-Mann zur Erlangung eines Durchsuchungsbefehls verfasste. Durch seine Erklärung wurden schon lange vermutete Spyware-Praktiken des FBI bekannt, wie Ex-Hacker Kevin Poulsen in Wired berichtet. Das schnüffelnde Programm wird von FBI-Agent Norman Sanders als „computer and internet protocol address verifier“ (CIPAV) beschrieben.

Es schickt die ermittelten Daten direkt an einen zentralen FBI-Server. Dazu gehören die IP-Adresse, MAC-Adresse, offene Ports, eine Liste der laufenden Programme, die Art des Betriebssystems mit Version und Seriennummer, der bevorzugte Web-Browser und seine Version, der registrierte Benutzer und Firmenname, der Name des gegenwärtig eingeloggten Computers und die zuletzt aufgerufene URL.

Nach dem ersten Datensammeln zieht sich das Programm auf dem Zielrechner in einen stillen Schnüffelmodus zurück und verfolgt die weitere Internet-Nutzung. Es speichert die IP-Adressen eines jeden mit dem Rechner verbundenen Computers über einen Zeitraum von bis zu 60 Tagen.

Diese Form von Überwachung – ohne die Kommunikationsinhalte selbst zu erfassen – ist nach einem aktuellen amerikanischen Gerichtsurteil sogar ohne richterliche Abhörerlaubnis zulässig, da das Gericht Internet-Nutzern keine „begründete Erwartung auf Privatsphäre“ zubilligte.

Die Erklärung des FBI-Agenten verrät nicht, ob CIPAV außerdem Tastatureingaben aufzeichnen kann oder dem FBI einen Echtzeit-Zugriff auf die Festplatte des Rechners ermöglicht, wie bei den für kriminelle Zwecke eingesetzten Trojanern üblich.

Fest steht, dass das FBI schon länger Keylogger-Programme einsetzt. Sie wurden allerdings vermutlich überwiegend direkt am Computer installiert. Eine Umfrage von News.com unter Sicherheitsfirmen lässt aufgrund der teilweise ausweichenden Antworten offen, ob ihre Anti-Spyware-Programme behördlich sanktionierte Schadsoftware meldet oder sie aufgrund einer Whitelist gewähren lässt.

(bk)

Inquirer UK

Wired

FBI-Antrag für einen Durchsuchungsbefehl (PDF)

News.com