[Script Info] Title: [Events] Format: Layer, Start, End, Style, Name, MarginL, MarginR, MarginV, Effect, Text Dialogue: 0,0:00:00.00,0:00:18.58,Default,,0000,0000,0000,,{\i1}36C3 Vorspanngeräusche{\i0} Dialogue: 0,0:00:18.58,0:00:23.16,Default,,0000,0000,0000,,Herald: Heute Abend geht es in diesem Saal\Nüber Staatstrojaner, also Trojaner, also Dialogue: 0,0:00:23.16,0:00:27.09,Default,,0000,0000,0000,,Schadsoftware im engeren Sinne, bloß halt\Nnicht solche von Kriminellen, sondern Dialogue: 0,0:00:27.09,0:00:30.98,Default,,0000,0000,0000,,solche von Unternehmen, die das\Nprofessionell mehr oder weniger legal Dialogue: 0,0:00:30.98,0:00:34.81,Default,,0000,0000,0000,,machen. Staatstrojaner sollte man gar\Nnicht erst bauen, wenn man sie baut, Dialogue: 0,0:00:34.81,0:00:38.27,Default,,0000,0000,0000,,kommen sie in die falschen Hände. Wie das\Npassiert und wie man dann unser Dialogue: 0,0:00:38.27,0:00:43.07,Default,,0000,0000,0000,,Rechtssystem und unsere Gerichte nutzen\Nkann, um etwas dagegen zu tun auf dem Dialogue: 0,0:00:43.07,0:00:47.85,Default,,0000,0000,0000,,vernünftigen rechtsstaatlichen Weg, das\Nerklärt uns unser Ulf Buermeyer, der in Dialogue: 0,0:00:47.85,0:00:52.08,Default,,0000,0000,0000,,vielen anderen Fällen auch schon\NRechtsbeistand für Clubthemen geleistet Dialogue: 0,0:00:52.08,0:00:57.68,Default,,0000,0000,0000,,hat. Und Thorsten Schröder ist auch dabei.\NOldschool Hacker, 20 Jahre dabei, 30 Jahre Dialogue: 0,0:00:57.68,0:01:02.10,Default,,0000,0000,0000,,weiß ich nicht. Und hat sich das\Nangeschaut, was da in dieser Schadsoftware Dialogue: 0,0:01:02.10,0:01:06.03,Default,,0000,0000,0000,,von FinFisher eigentlich drinsteckt.\NGroßen Applaus für Ulf Buermeyer und Dialogue: 0,0:01:06.03,0:01:11.82,Default,,0000,0000,0000,,Thorsten Schröder.\N{\i1}Applaus{\i0} Dialogue: 0,0:01:11.82,0:01:18.54,Default,,0000,0000,0000,,Ulf Buermeyer: Hi, schön, dass ihr da\Nseid, herzlich willkommen! Dialogue: 0,0:01:18.54,0:01:22.23,Default,,0000,0000,0000,,Thorsten Schröder: Hallo, hallo.\NU: Ja, herzlich willkommen zu „FinFisher, Dialogue: 0,0:01:22.23,0:01:26.50,Default,,0000,0000,0000,,See You in Court!“ Falls es der eine oder\Nandere kennt, eine amerikanische Dialogue: 0,0:01:26.50,0:01:31.44,Default,,0000,0000,0000,,Bürgerrechtsorganisation hat „See you in\NCourt!“ mal zu Donald Trump gesagt, als er Dialogue: 0,0:01:31.44,0:01:35.77,Default,,0000,0000,0000,,illegal versucht hat, Immigration in die\NVereinigten Staaten zu verhindern. Und wir Dialogue: 0,0:01:35.77,0:01:40.44,Default,,0000,0000,0000,,widmen uns genau dem umgekehrten Thema,\Nnämlich der illegalen Auswanderung von Dialogue: 0,0:01:40.44,0:01:45.88,Default,,0000,0000,0000,,fieser Software. Und bevor wir dazu\Nkommen, noch ein klitzekleiner historischer Dialogue: 0,0:01:45.88,0:01:53.20,Default,,0000,0000,0000,,Rückblick. Keine Sorge, das wird kein\Nkrasser Juratalk, dafür bürgt schon Dialogue: 0,0:01:53.20,0:01:55.52,Default,,0000,0000,0000,,Thorsten.\NT: Ich versuch’s. Dialogue: 0,0:01:55.52,0:02:00.64,Default,,0000,0000,0000,,U: Aber in diesem Talk geht es um ein\Nweiteres Kapitel im Kampf gegen digitales Dialogue: 0,0:02:00.64,0:02:06.61,Default,,0000,0000,0000,,Ungeziefer, und zwar eine ganz besondere\NForm von digitalem Ungeziefer. Dialogue: 0,0:02:06.61,0:02:12.89,Default,,0000,0000,0000,,T: Staatstrojaner, die wir auch schon vor\Nein paar Jahren mal auf einem Kongress Dialogue: 0,0:02:12.89,0:02:18.74,Default,,0000,0000,0000,,bereits besprochen haben. Aber eben\NSoftware, die von Staaten eingesetzt Dialogue: 0,0:02:18.74,0:02:22.65,Default,,0000,0000,0000,,werden, gegen Kriminelle, gegen\NOppositionelle und so weiter. Dialogue: 0,0:02:22.65,0:02:26.57,Default,,0000,0000,0000,,U: Thorsten hat schon gesagt, das ist ein\NThema, das den Club und auch mich Dialogue: 0,0:02:26.57,0:02:32.40,Default,,0000,0000,0000,,persönlich schon seit Jahren beschäftigt.\NDas Foto zum Beispiel ist vom 25C3. Da gab Dialogue: 0,0:02:32.40,0:02:36.62,Default,,0000,0000,0000,,es nämlich eine gute Nachricht aus\NKarlsruhe zu feiern. Vielleicht erinnert Dialogue: 0,0:02:36.62,0:02:42.00,Default,,0000,0000,0000,,sich der eine oder andere noch daran. Das\NBundesverfassungsgericht hatte 2008 ein Dialogue: 0,0:02:42.00,0:02:47.09,Default,,0000,0000,0000,,neues Grundrecht erfunden, nämlich das\NGrundrecht, das wir heute kennen als das Dialogue: 0,0:02:47.09,0:02:53.06,Default,,0000,0000,0000,,Computer Grundrecht oder, auf schlau,\Ndas Grundrecht auf Integrität und Dialogue: 0,0:02:53.06,0:02:58.86,Default,,0000,0000,0000,,Vertraulichkeit informationstechnischer\NSysteme. Eine Bezeichnung, auf die nur Dialogue: 0,0:02:58.86,0:03:03.54,Default,,0000,0000,0000,,Menschen kommen können, die viel zu lange\NJura studiert haben. Jedenfalls hatten wir Dialogue: 0,0:03:03.54,0:03:07.66,Default,,0000,0000,0000,,damals, als Conz und ich diesen Talk\Ngemacht haben, vor dem roten Vorhang Dialogue: 0,0:03:07.66,0:03:12.38,Default,,0000,0000,0000,,gehofft, dass dieses Grundrecht etwas\Nändern würde. Aber leider müssen wir Dialogue: 0,0:03:12.38,0:03:22.27,Default,,0000,0000,0000,,sagen …\NT: Tat es nicht. Wir haben 2011 einen Dialogue: 0,0:03:22.27,0:03:26.93,Default,,0000,0000,0000,,Staatstrojaner gefunden, der genau diese\NRechte nicht eingehalten hat. Dialogue: 0,0:03:26.93,0:03:30.60,Default,,0000,0000,0000,,Möglicherweise war das zu dem Zeitpunkt\Nbei diesen Entwicklern auch noch nicht Dialogue: 0,0:03:30.60,0:03:35.96,Default,,0000,0000,0000,,angekommen. Diesen Trojaner hatten wir\Neinmal auf einer Festplatte in einem Dialogue: 0,0:03:35.96,0:03:43.60,Default,,0000,0000,0000,,braunen Umschlag zugetragen bekommen. Ja,\Nden haben wir dann analysiert und einen Dialogue: 0,0:03:43.60,0:03:51.27,Default,,0000,0000,0000,,sehr ausführlichen Bericht auch dazu\Nverfasst und einen Talk auf dem 28c3. Dialogue: 0,0:03:51.27,0:03:54.21,Default,,0000,0000,0000,,U: Hier sieht man das,\NJugendbildnisse von Thorsten und mir. Dialogue: 0,0:03:54.21,0:03:58.08,Default,,0000,0000,0000,,T: Da war ich noch richtig jung, wie man\Nsieht. Da habe ich auch das erste Mal mit Dialogue: 0,0:03:58.08,0:04:01.22,Default,,0000,0000,0000,,Ulf auf einer Bühne gestanden.\NLustigerweise stehen wir nur auf der Dialogue: 0,0:04:01.22,0:04:04.84,Default,,0000,0000,0000,,Bühne, wenn’s um Staatstrojaner geht.\NU: Das ist auch derselbe schwarze Pulli Dialogue: 0,0:04:04.84,0:04:07.55,Default,,0000,0000,0000,,bei mir, glaube ich. Ich habe den extra\Nnochmal gewaschen. Dialogue: 0,0:04:07.55,0:04:11.17,Default,,0000,0000,0000,,T: Ja, da haben wir den Staatstrojaner\Nvorgestellt und nicht nur beschrieben, Dialogue: 0,0:04:11.17,0:04:15.97,Default,,0000,0000,0000,,sondern auch demonstrieren können, wie der\Ngegen diese Grundrechte verstößt, indem er Dialogue: 0,0:04:15.97,0:04:24.96,Default,,0000,0000,0000,,einen Rechner in eine Wanze verwandelt und\Nsomit in jedem Teil der Wohnung auch Dialogue: 0,0:04:24.96,0:04:28.33,Default,,0000,0000,0000,,abhören kann und man Software\Nnachladen kann und so weiter. Dialogue: 0,0:04:28.33,0:04:31.75,Default,,0000,0000,0000,,U: Mit dem Software nachladen war\Nvielleicht der krasseste Verstoß. Dialogue: 0,0:04:31.75,0:04:34.79,Default,,0000,0000,0000,,Eigentlich hatte das\NBundesverfassungsgericht nämlich sehr Dialogue: 0,0:04:34.79,0:04:39.62,Default,,0000,0000,0000,,genau vorgeschrieben, was ein Trojaner so\Nkönnen darf und was nicht. Es hatte diese Dialogue: 0,0:04:39.62,0:04:42.89,Default,,0000,0000,0000,,Trojaner eben nicht grundsätzlich\Nverboten, aber relativ hohe Hürden Dialogue: 0,0:04:42.89,0:04:49.02,Default,,0000,0000,0000,,aufgestellt. Und diese Hürden allerdings\Nhat der Trojaner aus dem Hause DigiTask Dialogue: 0,0:04:49.02,0:04:53.70,Default,,0000,0000,0000,,damals nicht eingehalten. Thorsten und ein\Npaar andere Leute aus dem Club hatten ja Dialogue: 0,0:04:53.70,0:04:57.36,Default,,0000,0000,0000,,sogar so eine Fernsteuersoftware gebaut,\Nihr konntet den quasi fernsteuern mit Dialogue: 0,0:04:57.36,0:05:00.75,Default,,0000,0000,0000,,einer kleinen Windowssoftware.\NT: Also eigentlich sollte dieser Trojaner Dialogue: 0,0:05:00.75,0:05:04.61,Default,,0000,0000,0000,,ja nur Skype abhören und vielleicht mal so\Nein bisschen die Chatlogs mitlesen. Bei Dialogue: 0,0:05:04.61,0:05:08.38,Default,,0000,0000,0000,,der Analyse ist allerdings aufgefallen,\Ndass er weitaus mehr kann, unter anderem Dialogue: 0,0:05:08.38,0:05:12.98,Default,,0000,0000,0000,,auch Software nachladen, aber eben auch\NScreenshots anfertigen und auch Dialogue: 0,0:05:12.98,0:05:18.05,Default,,0000,0000,0000,,Screenshots von nicht abgeschickten Emails\Nund Gedanken und was auch immer man in so Dialogue: 0,0:05:18.05,0:05:22.01,Default,,0000,0000,0000,,einen Rechner auch reintippt.\NU: Im Grunde genau das Gruselszenario, Dialogue: 0,0:05:22.01,0:05:26.70,Default,,0000,0000,0000,,das wir gerade auch beim Club immer wieder\Nkritisiert hatten, weswegen Staatstrojaner Dialogue: 0,0:05:26.70,0:05:30.88,Default,,0000,0000,0000,,so gefährlich sind. Das war nun leider\Nallerdings nicht das Ende der Debatte, wie Dialogue: 0,0:05:30.88,0:05:35.03,Default,,0000,0000,0000,,es sich für so einen richtigen Zombie\Ngehört, sind Staatstrojaner einfach nicht Dialogue: 0,0:05:35.03,0:05:39.64,Default,,0000,0000,0000,,kaputt zu bekommen. Und so haben wir in\NDeutschland seit 2017 wieder eine Dialogue: 0,0:05:39.64,0:05:44.76,Default,,0000,0000,0000,,Rechtsgrundlage für Staatstrojaner, eine\Nneue sogar, nämlich dieses Mal im Dialogue: 0,0:05:44.76,0:05:49.81,Default,,0000,0000,0000,,Strafverfahren. Das Bundeskriminalamt darf\Ndie schon viel länger einsetzen seit 2009 Dialogue: 0,0:05:49.81,0:05:54.11,Default,,0000,0000,0000,,allerdings nur zur Abwehr von Terrorismus\Nund diesmal wirklich. Diesmal steht es Dialogue: 0,0:05:54.11,0:05:59.76,Default,,0000,0000,0000,,sogar im Gesetz. Aber seit 2017 gibt’s ein\Nneues Gesetz, das im Prinzip in den Dialogue: 0,0:05:59.76,0:06:04.54,Default,,0000,0000,0000,,meisten Strafverfahren erlaubt, so\NTrojaner einzusetzen. Deswegen hat die Dialogue: 0,0:06:04.54,0:06:08.77,Default,,0000,0000,0000,,Gesellschaft für Freiheitsrechte dagegen\Ngeklagt. Darüber haben wir letztes Jahr Dialogue: 0,0:06:08.77,0:06:13.25,Default,,0000,0000,0000,,schon kurz gesprochen, weil wir sagen, was\Ndieser Trojaner kann, ist wieder mal Dialogue: 0,0:06:13.25,0:06:18.51,Default,,0000,0000,0000,,verfassungswidrig. Und wir kritisieren\Naber nicht nur, dass der die Grenzen nicht Dialogue: 0,0:06:18.51,0:06:24.75,Default,,0000,0000,0000,,einhält, die das Bundesverfassungsgericht\Naufgestellt hat, sondern wir fragen uns, Dialogue: 0,0:06:24.75,0:06:30.02,Default,,0000,0000,0000,,wie kommt der Trojaner eigentlich rein ins\NSystem? Wie kommt er eigentlich rein? Bin Dialogue: 0,0:06:30.02,0:06:34.92,Default,,0000,0000,0000,,ich denn etwa schon drin? Damit geht’s uns\Num die IT-Sicherheit insgesamt, weil wir Dialogue: 0,0:06:34.92,0:06:40.25,Default,,0000,0000,0000,,uns fragen, welche Sicherheitslücken\Nwerden eigentlich freigehalten, offen Dialogue: 0,0:06:40.25,0:06:44.40,Default,,0000,0000,0000,,gehalten, ganz bewusst, damit so ein\NTrojaner ins System eingespielt werden Dialogue: 0,0:06:44.40,0:06:48.88,Default,,0000,0000,0000,,kann. Denn nur in Ausnahmefällen haben die\NBehörden direkt Zugriff auf das System. In Dialogue: 0,0:06:48.88,0:06:52.98,Default,,0000,0000,0000,,aller Regel müssen die Trojaner aus der\NFerne eingespielt werden und dazu braucht Dialogue: 0,0:06:52.98,0:06:58.12,Default,,0000,0000,0000,,man eben Sicherheitslücken. Deswegen die\NMinimalforderung der GFF in diesem Dialogue: 0,0:06:58.12,0:07:03.23,Default,,0000,0000,0000,,Verfahren: Das geht gar nicht! Wenn man\Nschon eine Rechtsgrundlage für Trojaner Dialogue: 0,0:07:03.23,0:07:07.62,Default,,0000,0000,0000,,schafft, dann muss man auch klare\NSpielregeln aufstellen, welche Dialogue: 0,0:07:07.62,0:07:11.79,Default,,0000,0000,0000,,Sicherheitslücken eigentlich ausgenutzt\Nwerden dürfen. Denn sonst gibt es einen Dialogue: 0,0:07:11.79,0:07:15.24,Default,,0000,0000,0000,,großen Anreiz 0-days oder\NSicherheitslücken, die dem Hersteller noch Dialogue: 0,0:07:15.24,0:07:18.69,Default,,0000,0000,0000,,nicht bekannt sind, geheimzuhalten.\NUnd damit werden alle Computer Dialogue: 0,0:07:18.69,0:07:23.96,Default,,0000,0000,0000,,auf der Welt die Sicherheitslücke\Nweiter aufweisen. Apropos auf der Welt: Dialogue: 0,0:07:23.96,0:07:29.54,Default,,0000,0000,0000,,nicht nur deutsche Behörden finden\NTrojaner außerordentlich sexy. Ganz im Dialogue: 0,0:07:29.54,0:07:34.79,Default,,0000,0000,0000,,Gegenteil. Die Weltkarte des Trojaner-\NEinsatzes ist bemerkenswert rot. Dialogue: 0,0:07:34.79,0:07:41.19,Default,,0000,0000,0000,,T: Zumindest was diese FinFisher Spyware\Nangeht, gibt es hier vom Citizen Lab Dialogue: 0,0:07:41.19,0:07:47.28,Default,,0000,0000,0000,,erstellt, diese Karte, wo diese\NSchadsoftware schon überall gefunden bzw. Dialogue: 0,0:07:47.28,0:07:53.24,Default,,0000,0000,0000,,eingesetzt wurde. Das ist natürlich schön,\Ndass wir uns in Deutschland darum bemühen, Dialogue: 0,0:07:53.24,0:07:57.08,Default,,0000,0000,0000,,da entsprechende Rechtsgrundlagen zu\Nschaffen. Wenn wir das hinkriegen, dass es Dialogue: 0,0:07:57.08,0:08:00.89,Default,,0000,0000,0000,,so eine Rechtsgrundlage gibt oder eben\Ndiesen Schutz der Privatsphäre, dann heißt Dialogue: 0,0:08:00.89,0:08:03.32,Default,,0000,0000,0000,,das noch lange nicht, dass\Nwir das Problem los sind. Dialogue: 0,0:08:03.32,0:08:06.96,Default,,0000,0000,0000,,U: Ganz im Gegenteil!\NT: Das Ding ist halt, dass gerade in Dialogue: 0,0:08:06.96,0:08:11.91,Default,,0000,0000,0000,,diesem Fall wir davon ausgehen können,\Ndass diese Software, die hier weltweit Dialogue: 0,0:08:11.91,0:08:17.41,Default,,0000,0000,0000,,eingesetzt wird, um Leute\Nauszuspionieren, Made in Germany ist. Dialogue: 0,0:08:17.41,0:08:21.65,Default,,0000,0000,0000,,U: Das ist genau das Problem. Made in\NGermany, aber eben nicht nur eingesetzt in Dialogue: 0,0:08:21.65,0:08:26.08,Default,,0000,0000,0000,,Deutschland, sondern auch in Staaten, wo\Nes mit der Rechtsstaatlichkeit vielleicht Dialogue: 0,0:08:26.08,0:08:30.64,Default,,0000,0000,0000,,nicht ganz so entspannt zugeht. Denn\Nbesonders spannend sind Trojaner natürlich Dialogue: 0,0:08:30.64,0:08:35.43,Default,,0000,0000,0000,,für Menschen, die aus guten Gründen Stress\Nhaben mit ihrer Opposition. Zum Beispiel Dialogue: 0,0:08:35.43,0:08:42.17,Default,,0000,0000,0000,,hier Präsident José Eduardo dos Santos aus\NAngola. Der, jedenfalls nach Berichten, Dialogue: 0,0:08:42.17,0:08:49.87,Default,,0000,0000,0000,,auf der Kundenliste von FinFisher steht.\NOder Hamad bin Isa Al Chalifa, der sich Dialogue: 0,0:08:49.87,0:08:55.53,Default,,0000,0000,0000,,selbst im Jahr 2002 zum König von Bahrain\Nausrief. Und bei der Rangliste der Dialogue: 0,0:08:55.53,0:09:00.32,Default,,0000,0000,0000,,Pressefreiheit aus dem Jahr 2017,\Nherausgegeben von Reporter ohne Grenzen, Dialogue: 0,0:09:00.32,0:09:07.18,Default,,0000,0000,0000,,belegt Bahrain den stolzen Platz 164 von\N180. Mit anderen Worten: Pressefreiheit Dialogue: 0,0:09:07.18,0:09:10.95,Default,,0000,0000,0000,,bedeutet in diesem Land, zu schreiben, was\Nder Chef will. Die Presse in Bahrain Dialogue: 0,0:09:10.95,0:09:15.37,Default,,0000,0000,0000,,gehört zu den unfreiesten der Welt. Zensur\Nund repressive Gesetzgebung verhindern Dialogue: 0,0:09:15.37,0:09:20.09,Default,,0000,0000,0000,,freien Journalismus. Sechs Blogger und\NBürgerjournalisten sitzen in Haft, und das Dialogue: 0,0:09:20.09,0:09:24.77,Default,,0000,0000,0000,,alles wird unter anderem ermöglicht\Ndadurch, dass gezielt versucht wird, Dialogue: 0,0:09:24.77,0:09:32.12,Default,,0000,0000,0000,,Menschen zu hacken, die sich kritisch\Näußern. Aber, die Probleme beginnen direkt Dialogue: 0,0:09:32.12,0:09:41.70,Default,,0000,0000,0000,,vor unserer Haustür.\NT: Ja, wir haben auch in Europa, bzw. den Dialogue: 0,0:09:41.70,0:09:48.37,Default,,0000,0000,0000,,Anwärtern für die Europäische Union,\NStaatslenker, die auch ein Problem haben Dialogue: 0,0:09:48.37,0:09:55.88,Default,,0000,0000,0000,,mit ihrer eigenen Bevölkerung und mit der\NOpposition. Und nun gab es da halt diverse Dialogue: 0,0:09:55.88,0:10:01.16,Default,,0000,0000,0000,,Unruhen. Es gab einen Putschversuch. Im\NSommer 2016 gab es einen Putschversuch in Dialogue: 0,0:10:01.16,0:10:07.79,Default,,0000,0000,0000,,der Türkei. Die Türkei wandelte sich\Ndanach zunehmend in ein eher repressives Dialogue: 0,0:10:07.79,0:10:11.72,Default,,0000,0000,0000,,Regime.\NU: Und nach dem gescheiterten Dialogue: 0,0:10:11.72,0:10:17.78,Default,,0000,0000,0000,,Putschversuch wurden insgesamt mehr als\N50 000 Menschen verhaftet. Mehr als 140 000 Dialogue: 0,0:10:17.78,0:10:21.55,Default,,0000,0000,0000,,Menschen wurden aus ihren Berufen\Nentfernt. Die Türkei ist inzwischen das Dialogue: 0,0:10:21.55,0:10:27.05,Default,,0000,0000,0000,,Land geworden, in dem im Verhältnis zur\NBevölkerungszahl weltweit die meisten Dialogue: 0,0:10:27.05,0:10:31.07,Default,,0000,0000,0000,,Journalisten und Journalistinnen\Ninhaftiert sind. Eine lupenreine Dialogue: 0,0:10:31.07,0:10:35.50,Default,,0000,0000,0000,,Demokratie? Zurzeit befinden sich\Nmindestens 34 Journalisten in politischer Dialogue: 0,0:10:35.50,0:10:40.36,Default,,0000,0000,0000,,Gefangenschaft. Hunderte Zeitungen und\Nandere Medienorgane wurden geschlossen. Dialogue: 0,0:10:40.36,0:10:45.36,Default,,0000,0000,0000,,T: Es ist auch sehr, sehr auffällig, wie\Ndringend immer darauf hingewiesen wird, Dialogue: 0,0:10:45.36,0:10:50.99,Default,,0000,0000,0000,,dass die Leute, die dort inhaftiert sind,\Nunter Terrorverdacht stehen. Jeder, der Dialogue: 0,0:10:50.99,0:10:54.41,Default,,0000,0000,0000,,gerade zur falschen Zeit am falschen\NOrt ist, wird dann auch mit diesem Dialogue: 0,0:10:54.41,0:10:56.85,Default,,0000,0000,0000,,Terrorismusverdacht erst\Neinmal weggesperrt. Dialogue: 0,0:10:56.85,0:11:01.22,Default,,0000,0000,0000,,U: Erfreulicherweise allerdings gibt es\Ntrotz aller Repressalien auch in der Dialogue: 0,0:11:01.22,0:11:05.04,Default,,0000,0000,0000,,Türkei noch eine Oppositionsbewegung.\NBeispielsweise, das sieht man auf diesem Dialogue: 0,0:11:05.04,0:11:12.31,Default,,0000,0000,0000,,Bild im Sommer 2017, als Oppositionelle in\Nder Türkei unter dem Motto adalet auf die Dialogue: 0,0:11:12.31,0:11:17.68,Default,,0000,0000,0000,,Straße gingen, um gegen das Regime zu\Nprotestieren. Daraufhin allerdings hatte Dialogue: 0,0:11:17.68,0:11:23.17,Default,,0000,0000,0000,,der türkische Geheimdienst eine besonders\Nperfide Idee. Denn Demonstrationen gegen Dialogue: 0,0:11:23.17,0:11:28.61,Default,,0000,0000,0000,,den großen Meister gehen natürlich gar\Nnicht. Deswegen stellte der Geheimdienst Dialogue: 0,0:11:28.61,0:11:34.38,Default,,0000,0000,0000,,eine Website ins Netz, die – das seht ihr\Nauf dem Bild – auf den ersten Blick so Dialogue: 0,0:11:34.38,0:11:38.52,Default,,0000,0000,0000,,aussieht, als könnte das eine\NOrganisations-Website der Dialogue: 0,0:11:38.52,0:11:43.17,Default,,0000,0000,0000,,Oppositionsbewegung sein. Das sieht ja so\Naus mit dem Logo und dem Bild, als wenn Dialogue: 0,0:11:43.17,0:11:48.38,Default,,0000,0000,0000,,das Menschen wären, die hinter diesen\NProtesten stünden. Und auf dieser Seite, Dialogue: 0,0:11:48.38,0:11:52.05,Default,,0000,0000,0000,,von der man denken könnte, es sei eine\NProtestwebsite, gab es dann diesen Dialogue: 0,0:11:52.05,0:11:57.16,Default,,0000,0000,0000,,schönen Button unten rechts, der so\Naussieht, als ginge es dort in den Google Dialogue: 0,0:11:57.16,0:12:02.69,Default,,0000,0000,0000,,Play Store. Dort wurde eine Android-\NSoftware, so eine APK-Datei, also eine Dialogue: 0,0:12:02.69,0:12:08.91,Default,,0000,0000,0000,,Android-Installationsdatei, zum Download\Nbereitgehalten für einige Wochen. Das Dialogue: 0,0:12:08.91,0:12:12.84,Default,,0000,0000,0000,,Problem ist nur, ihr ahnt es schon: es\Nhandelte sich nicht etwa um einen Dialogue: 0,0:12:12.84,0:12:17.41,Default,,0000,0000,0000,,Messenger oder eine Kalender-App, mit der\Ndie Oppositionellen sich hätten Dialogue: 0,0:12:17.41,0:12:23.09,Default,,0000,0000,0000,,organisieren können. In Wirklichkeit\Nhandelte es sich dabei um einen Android- Dialogue: 0,0:12:23.09,0:12:30.76,Default,,0000,0000,0000,,Trojaner, den wir im weiteren als den\Nadalet-Trojaner bezeichnen. Die Frage ist Dialogue: 0,0:12:30.76,0:12:37.57,Default,,0000,0000,0000,,nur …\NT: Woher kommt der Trojaner? Wir sind der Dialogue: 0,0:12:37.57,0:12:42.38,Default,,0000,0000,0000,,Meinung, nach aktuellem Stand, dass dieser\NTrojaner, der in der Türkei gegen diese Dialogue: 0,0:12:42.38,0:12:47.73,Default,,0000,0000,0000,,Bewegung eingesetzt wurde, dass er aus\NDeutschland stammt. Und wir haben einiges Dialogue: 0,0:12:47.73,0:12:54.67,Default,,0000,0000,0000,,an Arbeit investiert, um das auch mit\Nvielen Belegen begründen zu können, diesen Dialogue: 0,0:12:54.67,0:12:57.76,Default,,0000,0000,0000,,Verdacht.\NU: Denn: Man kann sich das vorstellen, Dialogue: 0,0:12:57.76,0:13:01.78,Default,,0000,0000,0000,,Anna Biselli hat das so schön gesagt vor\Nzwei Tagen, wenn irgendwo ein Trog ist, Dialogue: 0,0:13:01.78,0:13:06.00,Default,,0000,0000,0000,,dann sind die Schweine nicht weit. Und\Nebenso ist es bei Cyberwaffen. Wenn ein Dialogue: 0,0:13:06.00,0:13:11.12,Default,,0000,0000,0000,,Diktator mit Dollarbündeln wedelt, dann\Nfinden sich immer wieder zwielichtige Dialogue: 0,0:13:11.12,0:13:15.04,Default,,0000,0000,0000,,Software-Unternehmen, die mit solchen\NTrojanern Geld verdienen wollen. Dialogue: 0,0:13:15.04,0:13:19.17,Default,,0000,0000,0000,,Menschenrechte hin oder her.\NBeispielsweise die Unternehmensgruppe Dialogue: 0,0:13:19.17,0:13:26.34,Default,,0000,0000,0000,,FinFisher aus München. Selbstbeschreibung:\NExcellence in Cyber Investigation. Gegen Dialogue: 0,0:13:26.34,0:13:31.90,Default,,0000,0000,0000,,solche Trojaner-Hersteller vorzugehen ist\Nrechtlich schwierig. Das Problem dabei ist Dialogue: 0,0:13:31.90,0:13:36.28,Default,,0000,0000,0000,,nämlich, dass solche Trojaner unter\Nbestimmten Voraussetzungen ja legal Dialogue: 0,0:13:36.28,0:13:41.05,Default,,0000,0000,0000,,eingesetzt werden können. Das heißt\Neinfach nur Trojaner zu bauen ist nicht Dialogue: 0,0:13:41.05,0:13:45.58,Default,,0000,0000,0000,,illegal. Das gilt ganz besonders, wenn\Nauch deutsche Behörden zur dankbaren Dialogue: 0,0:13:45.58,0:13:50.54,Default,,0000,0000,0000,,Kundschaft gehören, beispielsweise nach\NPresseberichten von Netzpolitik.org, das Dialogue: 0,0:13:50.54,0:13:55.16,Default,,0000,0000,0000,,Bundeskriminalamt, aber auch das Berliner\NLandeskriminalamt. Mit anderen Worten: Dialogue: 0,0:13:55.16,0:14:01.11,Default,,0000,0000,0000,,FinFisher hat beste Beziehungen zu\Ndeutschen Behörden. Aber man darf diese Dialogue: 0,0:14:01.11,0:14:09.63,Default,,0000,0000,0000,,Trojaner nicht einfach so exportieren,\Ndenn sie gelten als Cyberwaffen. Der Dialogue: 0,0:14:09.63,0:14:14.53,Default,,0000,0000,0000,,Export von Trojanern ist zwar nicht\Ngenerell verboten, aber sie stehen auf der Dialogue: 0,0:14:14.53,0:14:19.77,Default,,0000,0000,0000,,sogenannten Ausfuhrliste. Das bedeutet,\Nman braucht vor dem Export von Trojanern Dialogue: 0,0:14:19.77,0:14:24.17,Default,,0000,0000,0000,,normalerweise eine Genehmigung der\NBundesregierung. Nur die EU-Staaten und Dialogue: 0,0:14:24.17,0:14:28.66,Default,,0000,0000,0000,,einige weitere Länder sind von dieser\NErfordernis, eine Genehmigung einzuholen, Dialogue: 0,0:14:28.66,0:14:34.26,Default,,0000,0000,0000,,ausgenommen. Und nun hatten wir in dem\Nadalet-Fall einen sehr, sehr schönen Fall. Dialogue: 0,0:14:34.26,0:14:38.62,Default,,0000,0000,0000,,Die türkische Regierung setzt einen\NTrojaner gegen ihre Opposition ein. Mit Dialogue: 0,0:14:38.62,0:14:42.50,Default,,0000,0000,0000,,der türkischen Regierung gab es ohnehin\Nschon Stress genug. Und dieser Trojaner Dialogue: 0,0:14:42.50,0:14:48.79,Default,,0000,0000,0000,,stammt nun auch noch mutmaßlich aus\NDeutschland. Und der Export war auch noch Dialogue: 0,0:14:48.79,0:14:52.53,Default,,0000,0000,0000,,illegal, weil es dafür keine Genehmigung\Ngab. Jedenfalls sagt das die Dialogue: 0,0:14:52.53,0:14:57.99,Default,,0000,0000,0000,,Bundesregierung. Und daher war für uns,\Ndas heißt in diesem Fall Netzpolitik.org Dialogue: 0,0:14:57.99,0:15:02.53,Default,,0000,0000,0000,,zum Beispiel und die Gesellschaft für\NFreiheitsrechte, ganz schnell klar, das Dialogue: 0,0:15:02.53,0:15:05.49,Default,,0000,0000,0000,,muss ein Fall für die\NStaatsanwaltschaft werden. Wir haben Dialogue: 0,0:15:05.49,0:15:11.22,Default,,0000,0000,0000,,deswegen eine Koalition geschmiedet gegen\Nden illegalen Export von Staatstrojanern Dialogue: 0,0:15:11.22,0:15:15.28,Default,,0000,0000,0000,,unter Koordination der Gesellschaft für\NFreiheitsrechte. Das hat da meine Kollegin Dialogue: 0,0:15:15.28,0:15:21.20,Default,,0000,0000,0000,,Sarah Lincoln gemacht. Reporter ohne\NGrenzen, Netzpolitik.org und das ECCHR aus Dialogue: 0,0:15:21.20,0:15:24.89,Default,,0000,0000,0000,,Berlin – das European Center for\NConstitutional and Human Rights – ihre Dialogue: 0,0:15:24.89,0:15:28.87,Default,,0000,0000,0000,,Kompetenz gebündelt, und wir haben\Ngemeinsam eine Strafanzeige geschrieben Dialogue: 0,0:15:28.87,0:15:33.90,Default,,0000,0000,0000,,und sie hier in diesem Sommer eingereicht,\Num zu erreichen, dass die Verantwortlichen Dialogue: 0,0:15:33.90,0:15:38.12,Default,,0000,0000,0000,,bei der Firma FinFisher zur Rechenschaft\Ngezogen werden. Weil wir finden, genauso Dialogue: 0,0:15:38.12,0:15:42.50,Default,,0000,0000,0000,,wie deutsche Waffen nicht auf der ganzen\NWelt mitmorden dürfen, genauso dürfen auch Dialogue: 0,0:15:42.50,0:15:46.46,Default,,0000,0000,0000,,nicht mit deutschen Trojanern\NMenschenrechte weltweit oder in diesem Dialogue: 0,0:15:46.46,0:15:58.06,Default,,0000,0000,0000,,Fall in der Türkei verletzt werden.\N{\i1}Applaus{\i0} Dialogue: 0,0:15:58.06,0:16:01.93,Default,,0000,0000,0000,,U: Hier haben wir nochmal\Nden Ablauf zusammengestellt. Dialogue: 0,0:16:01.93,0:16:12.01,Default,,0000,0000,0000,,T: Das ist jetzt die Timeline der Anzeige\Nbzw. wann das Sample, wir reden hier von Dialogue: 0,0:16:12.01,0:16:15.91,Default,,0000,0000,0000,,einem Sample, wenn wir jetzt von so einem\NAPK, so einer Schadsoftwareinstallation Dialogue: 0,0:16:15.91,0:16:22.14,Default,,0000,0000,0000,,reden, wann das verbreitet wurde, das war\Ndann im Juni 2017. Das ist definitiv nach Dialogue: 0,0:16:22.14,0:16:27.14,Default,,0000,0000,0000,,Einführung der Export-Richtlinien. Man\Nkann hier mit Gewissheit sagen, dass die Dialogue: 0,0:16:27.14,0:16:30.82,Default,,0000,0000,0000,,Zielgruppe die Oppositionellen in der\NTürkei waren. Das ergibt sich aus dem Dialogue: 0,0:16:30.82,0:16:38.99,Default,,0000,0000,0000,,Kontext dieser Website und allem\Ndrumherum. Und ja, es gab eine Anfrage an Dialogue: 0,0:16:38.99,0:16:43.43,Default,,0000,0000,0000,,die Bundesregierung, die letztlich\Nbestätigte, dass es in diesem Zeitraum Dialogue: 0,0:16:43.43,0:16:48.72,Default,,0000,0000,0000,,zwischen 2015 und 2017 keinerlei\NGenehmigungen in dieser Richtung gab. Dialogue: 0,0:16:48.72,0:16:53.32,Default,,0000,0000,0000,,U: Damit war für uns klar, das reicht\Njedenfalls für eine Strafanzeige. Dialogue: 0,0:16:53.32,0:16:57.46,Default,,0000,0000,0000,,Natürlich müssen noch ein paar Fakten\Nermittelt werden. Aber jedenfalls reicht Dialogue: 0,0:16:57.46,0:17:01.88,Default,,0000,0000,0000,,es, um die Staatsanwaltschaft auf diesen\NFall aufmerksam zu machen. Und wir haben Dialogue: 0,0:17:01.88,0:17:05.81,Default,,0000,0000,0000,,auch eine ganze Reihe von Indizien, dass\Nder Fall sehr ernst genommen wird. Im Dialogue: 0,0:17:05.81,0:17:11.01,Default,,0000,0000,0000,,September 2019 haben wir diese\NStrafanzeige dann veröffentlicht, unter Dialogue: 0,0:17:11.01,0:17:15.97,Default,,0000,0000,0000,,anderem auch auf Netzpolitik.org. Und wir\Nkönnen mit Sicherheit davon ausgehen, dass Dialogue: 0,0:17:15.97,0:17:20.55,Default,,0000,0000,0000,,das die Herrschaften hinter FinFisher\Nnicht begeistert hat. Denn sie haben Dialogue: 0,0:17:20.55,0:17:26.05,Default,,0000,0000,0000,,Netzpolitik.org abgemahnt und dazu\Ngezwungen, den Artikel vorzeitig vom Netz Dialogue: 0,0:17:26.05,0:17:30.07,Default,,0000,0000,0000,,zu nehmen. Erfreulicherweise allerdings\Nhatte die Spendenkampagne von Netzpolitik Dialogue: 0,0:17:30.07,0:17:33.83,Default,,0000,0000,0000,,einigen Erfolg. Ich hoffe jedenfalls,\Nfinanziell wird sich das nicht lohnen für Dialogue: 0,0:17:33.83,0:17:37.74,Default,,0000,0000,0000,,die Abmahner, aber klar, der Artikel ist\Nzurzeit nicht verfügbar, jedenfalls nicht Dialogue: 0,0:17:37.74,0:17:42.20,Default,,0000,0000,0000,,bei Netzpolitik. Es soll ja in diesem\NInternet auch Archivseiten geben. Und dort Dialogue: 0,0:17:42.20,0:17:47.28,Default,,0000,0000,0000,,könnt ihr ihn nach wie vor lesen in seiner\Nvollen Schönheit. FinFisher und Kohl Dialogue: 0,0:17:47.28,0:17:54.14,Default,,0000,0000,0000,,schlagen zurück. Wir denken, getroffene\NHunde bellen. Und außerdem lassen wir uns Dialogue: 0,0:17:54.14,0:17:58.30,Default,,0000,0000,0000,,davon natürlich nicht einschüchtern. Wir\Nhaben – Wir heißt in diesem Fall die Dialogue: 0,0:17:58.30,0:18:02.82,Default,,0000,0000,0000,,Gesellschaft für Freiheitsrechte – den Club\Ngebeten, sich die bisherigen Beweismittel Dialogue: 0,0:18:02.82,0:18:06.68,Default,,0000,0000,0000,,gegen FinFisher nochmal ganz genau\Nanzusehen und zu überlegen, ob es nicht Dialogue: 0,0:18:06.68,0:18:12.85,Default,,0000,0000,0000,,noch weitere Beweise geben könnte. Und das\NZiel dieser Mission war, noch genauer Dialogue: 0,0:18:12.85,0:18:16.74,Default,,0000,0000,0000,,nachzuweisen, dass tatsächlich die\NVoraussetzungen vorliegen für den Dialogue: 0,0:18:16.74,0:18:20.76,Default,,0000,0000,0000,,Straftatbestand aus dem\NAußenwirtschaftsgesetz. Ja, das ist die Dialogue: 0,0:18:20.76,0:18:25.69,Default,,0000,0000,0000,,Norm des deutschen Rechts, die\Nungenehmigte Exporte unter Strafe stellt, Dialogue: 0,0:18:25.69,0:18:30.61,Default,,0000,0000,0000,,genaugenommen §18, Absatz 2, Nr. 1\Nund Absatz 5 Nr. 1 dieses Dialogue: 0,0:18:30.61,0:18:34.75,Default,,0000,0000,0000,,Außenwirtschaftsgesetzes. Ich erspare euch\Ndie juristischen Details. Es ist im Dialogue: 0,0:18:34.75,0:18:37.43,Default,,0000,0000,0000,,Einzelnen ziemlich komplex.\NDiese Norm verweist auf die Dialogue: 0,0:18:37.43,0:18:41.66,Default,,0000,0000,0000,,Außenwirtschaftsverordnung und die\Nwiederum auf einen langen Anhang, wo dann Dialogue: 0,0:18:41.66,0:18:47.02,Default,,0000,0000,0000,,quasi einzelne Kategorien von Gütern\Naufgeführt sind, vom Kampfpanzer bis zum Dialogue: 0,0:18:47.02,0:18:49.72,Default,,0000,0000,0000,,Staatstrojaner kann man\Ndann nachlesen, was man Dialogue: 0,0:18:49.72,0:18:54.70,Default,,0000,0000,0000,,alles nur mit Genehmigung ausführen darf.\NUnd wir sind der Auffassung, dagegen wurde Dialogue: 0,0:18:54.70,0:19:00.54,Default,,0000,0000,0000,,verstoßen. Zwei rechtliche Fragen standen\Nim Mittelpunkt unserer Bitte an den Chaos Dialogue: 0,0:19:00.54,0:19:04.89,Default,,0000,0000,0000,,Computer Club, doch noch einmal ganz\Ngenau, sich diese Trojaner anzuschauen. Dialogue: 0,0:19:04.89,0:19:09.68,Default,,0000,0000,0000,,Zwei rechtliche Fragen, oder, wie soll ich\Nsagen, zwei Tatsachenfragen, zwei Fakten- Dialogue: 0,0:19:09.68,0:19:13.87,Default,,0000,0000,0000,,Fragen, die aber eine große rechtliche\NBedeutung haben. Und zwar zum einen … Dialogue: 0,0:19:13.87,0:19:20.34,Default,,0000,0000,0000,,T: Zum einen der Herstellungszeitpunkt,\Nwas wichtig ist und relevant ist, wenn es Dialogue: 0,0:19:20.34,0:19:27.24,Default,,0000,0000,0000,,darum geht herauszufinden: wurde diese\NSoftware nach dem Stichtag Mitte 2015 Dialogue: 0,0:19:27.24,0:19:30.68,Default,,0000,0000,0000,,hergestellt?\NU: Ja, genau. Dialogue: 0,0:19:30.68,0:19:35.25,Default,,0000,0000,0000,,T: Wenn wir nachweisen können, dass eine\NSoftware erst zu einem bestimmten Dialogue: 0,0:19:35.25,0:19:38.97,Default,,0000,0000,0000,,Zeitpunkt hergestellt wurde, dann können\Nwir auch davon ausgehen, dass sie erst Dialogue: 0,0:19:38.97,0:19:44.80,Default,,0000,0000,0000,,anschließend exportiert oder verkauft oder\Neingesetzt wird. Und die zweite wichtige Dialogue: 0,0:19:44.80,0:19:49.40,Default,,0000,0000,0000,,Frage, wenn wir da jetzt mal ganz neutral\Nan die Sache rangehen. Wer hat dieses Dialogue: 0,0:19:49.40,0:19:52.83,Default,,0000,0000,0000,,Sample hergestellt? Es gibt den\NAnfangsverdacht, dass es sich hierbei um Dialogue: 0,0:19:52.83,0:19:57.50,Default,,0000,0000,0000,,FinSpy von FinFischer handelt. Aber das\Nist eben die Frage, die geklärt werden Dialogue: 0,0:19:57.50,0:20:02.47,Default,,0000,0000,0000,,sollte. Und das haben wir als Chaos\NComputer Club dann einfach mal getan. Dialogue: 0,0:20:02.47,0:20:07.02,Default,,0000,0000,0000,,U: Und dazu gab es ja schon bisherige\NAnalysen. Andere Leute haben sich auch Dialogue: 0,0:20:07.02,0:20:12.57,Default,,0000,0000,0000,,schon mal FinFischer-Samples oder FinSpy-\NSamples angeschaut. Diese Analysen waren Dialogue: 0,0:20:12.57,0:20:16.55,Default,,0000,0000,0000,,auch für euch der Ausgangspunkt.\NT: Genau, so ganz am Anfang hieß es ja Dialogue: 0,0:20:16.55,0:20:20.31,Default,,0000,0000,0000,,auch, vor allen Dingen könnt ihr euch\Nnicht mal diese ganzen Analysen anschauen, Dialogue: 0,0:20:20.31,0:20:24.14,Default,,0000,0000,0000,,die da bisher veröffentlicht wurden, unter\Nanderem sehr viel von Citizen Lab. Die Dialogue: 0,0:20:24.14,0:20:28.39,Default,,0000,0000,0000,,haben sehr viel in diese Richtung gemacht,\Nnicht nur FinFischer Produkte werden da Dialogue: 0,0:20:28.39,0:20:33.70,Default,,0000,0000,0000,,von denen analysiert, sondern auch noch\Nandere. Dann ging es eben darum, zu prüfen, Dialogue: 0,0:20:33.70,0:20:37.55,Default,,0000,0000,0000,,ob das alles plausibel ist, was da drin\Nist, ob man das alles reproduzieren kann, Dialogue: 0,0:20:37.55,0:20:41.36,Default,,0000,0000,0000,,ob man das Ganze dann auch nochmal als\NBericht so zusammenfassen kann, dass es Dialogue: 0,0:20:41.36,0:20:46.25,Default,,0000,0000,0000,,für deutsche Ermittlungsbehörden und ein\Ndeutsches Gericht auch verwertbar ist. Dialogue: 0,0:20:46.25,0:20:50.60,Default,,0000,0000,0000,,Dazu haben wir uns dann auch noch ein\NGutachten von anderen Dritten angeschaut, Dialogue: 0,0:20:50.60,0:20:54.37,Default,,0000,0000,0000,,die so etwas ähnliches auch schon getan\Nhaben. Da gibt es schon einen Dialogue: 0,0:20:54.37,0:21:02.90,Default,,0000,0000,0000,,Plausibilitätscheck aus 2018 von einer\NFirma. Und 2018 hat Access Now auch noch Dialogue: 0,0:21:02.90,0:21:08.99,Default,,0000,0000,0000,,einmal einen Bericht, eine Zusammenfassung\Nall dessen veröffentlicht. Und jetzt für Dialogue: 0,0:21:08.99,0:21:15.03,Default,,0000,0000,0000,,die Klage gab es dann auch nochmal eine\Ntechnische Analyse. Ganz speziell dieses Dialogue: 0,0:21:15.03,0:21:21.15,Default,,0000,0000,0000,,adalet-Samples. Also dem eigentlichen\NGegenstand der ganzen Klage. Und wir haben Dialogue: 0,0:21:21.15,0:21:26.93,Default,,0000,0000,0000,,uns natürlich diese ganzen Dokumente\Nangeguckt, haben halt geschaut, sind da Dialogue: 0,0:21:26.93,0:21:30.59,Default,,0000,0000,0000,,irgendwo vielleicht noch Lücken, die wir\Nfüllen können? Gibt es Dinge, die wir Dialogue: 0,0:21:30.59,0:21:34.07,Default,,0000,0000,0000,,ausführlicher beschreiben können,\Ntransparenter machen können? Und das war Dialogue: 0,0:21:34.07,0:21:38.29,Default,,0000,0000,0000,,dann letztlich die Hauptarbeit, die wir\Ndabei geleistet haben. Wer jetzt erwartet, Dialogue: 0,0:21:38.29,0:21:42.06,Default,,0000,0000,0000,,dass es irgendwie total bahnbrechende\NNeuigkeiten gibt über irgendwelche FinSpy- Dialogue: 0,0:21:42.06,0:21:47.37,Default,,0000,0000,0000,,oder FinFisher Trojaner, die Leute muss\Nich leider enttäuschen. Wir haben halt Dialogue: 0,0:21:47.37,0:21:51.47,Default,,0000,0000,0000,,sehr viel der Arbeit anderer Leute\Nverifiziert. Wir haben aber auch noch ein Dialogue: 0,0:21:51.47,0:21:56.89,Default,,0000,0000,0000,,paar andere Indizien gefunden, die sehr\Nviel schwerer wiegen als manche andere Dialogue: 0,0:21:56.89,0:21:59.53,Default,,0000,0000,0000,,Punkte, die in den Reports vorher genannt\Nwerden. Dialogue: 0,0:21:59.53,0:22:03.30,Default,,0000,0000,0000,,U: Und ihr habt schon, finde ich, einige\Nsehr, sehr spannende technische Details Dialogue: 0,0:22:03.30,0:22:07.16,Default,,0000,0000,0000,,noch rausgekramt, zu denen wir gleich noch\Nkommen. Z. B diese Provisionierung, wie Dialogue: 0,0:22:07.16,0:22:10.69,Default,,0000,0000,0000,,werden die Trojaner eigentlich angepasst?\NDas fand ich schon ein sehr, sehr Dialogue: 0,0:22:10.69,0:22:14.86,Default,,0000,0000,0000,,spannendes technisches Detail. Ihr habt\Ndann vorgestern war es, ne, gestern war Dialogue: 0,0:22:14.86,0:22:19.00,Default,,0000,0000,0000,,es, die Analyse des CCC veröffentlicht.\NT: Genau das haben wir gestern schon Dialogue: 0,0:22:19.00,0:22:22.95,Default,,0000,0000,0000,,veröffentlicht, damit man ein bisschen\NMaterial hat. Ich hoffe auch, dass es, Dialogue: 0,0:22:22.95,0:22:27.23,Default,,0000,0000,0000,,wenn es die Zeit erlaubt, im Anschluss an\Ndiesen Talk noch ein bisschen Q&A gibt. Dialogue: 0,0:22:27.23,0:22:31.86,Default,,0000,0000,0000,,Ja, wir haben einen sehr ausführlichen\NBericht darüber geschrieben, wie wir das Dialogue: 0,0:22:31.86,0:22:35.94,Default,,0000,0000,0000,,Ganze bewerten und wie wir die einzelnen\NIndizien gewichten und zu was für einem Dialogue: 0,0:22:35.94,0:22:43.58,Default,,0000,0000,0000,,Schluss wir da gekommen sind. Was uns halt\Nsehr wichtig war an der Arbeit: Wir haben Dialogue: 0,0:22:43.58,0:22:47.84,Default,,0000,0000,0000,,am Ende auch alles veröffentlicht, im\NGegensatz zu all den anderen Dialogue: 0,0:22:47.84,0:22:51.94,Default,,0000,0000,0000,,Organisationen, die diese Arbeit auch\Nschon und auch sehr viel Arbeit investiert Dialogue: 0,0:22:51.94,0:22:57.39,Default,,0000,0000,0000,,haben. Wir haben sämtliche Samples, diese\NSchadsoftware-Samples haben wir auf GitHub Dialogue: 0,0:22:57.39,0:23:01.58,Default,,0000,0000,0000,,veröffentlicht. Gibt’s nachher\Nnoch einen Link. Dialogue: 0,0:23:01.58,0:23:09.17,Default,,0000,0000,0000,,{\i1}Applaus{\i0}\NT: Es gibt auch in diesem GitHub Dialogue: 0,0:23:09.17,0:23:14.100,Default,,0000,0000,0000,,Repository gibt es auch sämtliche\NWerkzeuge und Zwischenergebnisse, die wir Dialogue: 0,0:23:14.100,0:23:21.02,Default,,0000,0000,0000,,in unseren Analysen erlangt haben und\Nentwickelt haben. Mit dem Ziel, dass jeder Dialogue: 0,0:23:21.02,0:23:26.50,Default,,0000,0000,0000,,in der Lage ist, unsere Ergebnisse zu\Nreproduzieren. Das heißt, ihr habt die Dialogue: 0,0:23:26.50,0:23:30.78,Default,,0000,0000,0000,,Samples, ihr habt die Werkzeuge und die\NVorgehensweise, die wir ausführlich in Dialogue: 0,0:23:30.78,0:23:36.13,Default,,0000,0000,0000,,diesen 60 Seiten Bericht beschrieben\Nhaben. Und ihr könnt das alles Dialogue: 0,0:23:36.13,0:23:41.78,Default,,0000,0000,0000,,nachvollziehen. Transparenz von unserer\NSeite. Wir haben eine lückenfüllende Dialogue: 0,0:23:41.78,0:23:47.82,Default,,0000,0000,0000,,Zusammenfassung geschrieben.\NU: Und nochmal ganz kurz der „Auftrag“ Dialogue: 0,0:23:47.82,0:23:51.28,Default,,0000,0000,0000,,Selbstverständlich kann man\Ndem CCC keinen Auftrag geben. Dialogue: 0,0:23:51.28,0:23:54.60,Default,,0000,0000,0000,,Insbesondere hat die GFF den CCC\Nnatürlich nicht bezahlt. Ja, das ist Dialogue: 0,0:23:54.60,0:23:58.20,Default,,0000,0000,0000,,ganz wichtig zu sagen. Es ist nicht\Nirgendwie eine gekaufte Stellungnahme, Dialogue: 0,0:23:58.20,0:24:01.93,Default,,0000,0000,0000,,sondern wir haben einfach nur gebeten,\Nwenn ihr euch dafür interessiert, schaut Dialogue: 0,0:24:01.93,0:24:05.64,Default,,0000,0000,0000,,euch das doch mal an. Das wäre wahnsinnig\Nhilfreich. Und ich finde in der Tat Dialogue: 0,0:24:05.64,0:24:09.48,Default,,0000,0000,0000,,großartig, dass der Club jetzt in der\NPerson von Thorsten insbesondere sich die Dialogue: 0,0:24:09.48,0:24:13.81,Default,,0000,0000,0000,,Zeit genommen hat. Ja, das ist nochmal\Nganz kurz zusammenfassend der Auftrag. Dialogue: 0,0:24:13.81,0:24:17.72,Default,,0000,0000,0000,,Analysen verifizieren, die es schon gibt,\NLücken schließen in der Indizienkette und Dialogue: 0,0:24:17.72,0:24:21.58,Default,,0000,0000,0000,,natürlich weitere Samples gezielt\Nanalysieren und die beiden zentralen Dialogue: 0,0:24:21.58,0:24:26.67,Default,,0000,0000,0000,,Fragestellungen aus rechtlicher\NPerspektive: Wann ist dieser adalet- Dialogue: 0,0:24:26.67,0:24:30.71,Default,,0000,0000,0000,,Trojaner aus der Türkei oder der in der\NTürkei eingesetzt wurde, hergestellt Dialogue: 0,0:24:30.71,0:24:36.26,Default,,0000,0000,0000,,worden und wo kommt er tatsächlich her?\NJa, und das sind jetzt eine ganze Reihe Dialogue: 0,0:24:36.26,0:24:40.00,Default,,0000,0000,0000,,von Samples, die hier auf GitHub.\NT: Genau das. Hier sehen wir jetzt kurz Dialogue: 0,0:24:40.00,0:24:45.12,Default,,0000,0000,0000,,mal so ein Listing der Samples, die wir\Nanalysiert haben. Das sind auch die Dialogue: 0,0:24:45.12,0:24:51.77,Default,,0000,0000,0000,,Original Schadsoftwaredateien. Da ist also\Ndieser Trojaner drinne, das befindet sich Dialogue: 0,0:24:51.77,0:24:55.82,Default,,0000,0000,0000,,gerade alles in dem GitHub Repository von\NLinus Neumann, mit dem ich diese ganze Dialogue: 0,0:24:55.82,0:25:00.99,Default,,0000,0000,0000,,Analyse durchgeführt habe. Vielen\NDank auch nochmal an Linus. Dialogue: 0,0:25:00.99,0:25:09.01,Default,,0000,0000,0000,,{\i1}Applaus{\i0}\NTS: Wir haben einige Nächte verbracht mit Dialogue: 0,0:25:09.01,0:25:13.93,Default,,0000,0000,0000,,diesen tollen Trojanern.\NU: Eingesetzt wurden diese Samples eben Dialogue: 0,0:25:13.93,0:25:17.87,Default,,0000,0000,0000,,in Türkei, sagst du, in Vietnam und in\NMyanmar. Das sind so die Länder, wo wir es Dialogue: 0,0:25:17.87,0:25:20.31,Default,,0000,0000,0000,,wissen.\NT: Ja, was heißt Wissen, oder eben sehr Dialogue: 0,0:25:20.31,0:25:24.64,Default,,0000,0000,0000,,stark annehmen. Es ist nicht so leicht zu\Nsagen, wo sie eingesetzt wurden, wer sie Dialogue: 0,0:25:24.64,0:25:30.25,Default,,0000,0000,0000,,gekauft hat. Man kann das schlussfolgern\Naus verschiedenen Indizien. Bei der Türkei Dialogue: 0,0:25:30.25,0:25:36.89,Default,,0000,0000,0000,,ist es relativ leicht, sag ich mal im\NKontext gesehen, weil wir ja auch diese Dialogue: 0,0:25:36.89,0:25:41.37,Default,,0000,0000,0000,,Website hatten, die sich dann auch gezielt\Ngegen die Zielgruppe richtete. Es gibt Dialogue: 0,0:25:41.37,0:25:46.92,Default,,0000,0000,0000,,auch Samples, wo man relativ sicher sagen\Nkann, dass sie z. B. in Myanmar eingesetzt Dialogue: 0,0:25:46.92,0:25:55.15,Default,,0000,0000,0000,,wurden, weil da eine sehr bekannte,\Nburmesische Social Platform genutzt wurde. Dialogue: 0,0:25:55.15,0:25:59.83,Default,,0000,0000,0000,,Also, dieser Name wurde genutzt, um dieses\NSample zu verbreiten. Das ist ein klares Dialogue: 0,0:25:59.83,0:26:04.35,Default,,0000,0000,0000,,Indiz, dass das gegen diese\NBevölkerungsgruppe ging. Bei Vietnam weiß Dialogue: 0,0:26:04.35,0:26:09.37,Default,,0000,0000,0000,,ich nicht genau. Diese Atrribution ist\Nhalt eh schon ein schwieriges Thema. Dialogue: 0,0:26:09.37,0:26:13.11,Default,,0000,0000,0000,,Genauso schwierig ist es eben\Nherauszufinden, wo es eingesetzt wurde, Dialogue: 0,0:26:13.11,0:26:17.09,Default,,0000,0000,0000,,weil die ganzen Metadaten, die man dann in\Nden Samples findet, IP-Adressen, Dialogue: 0,0:26:17.09,0:26:20.35,Default,,0000,0000,0000,,Telefonnummern und so weiter. Die\Nsagen am Ende nicht viel aus. Dialogue: 0,0:26:20.35,0:26:23.60,Default,,0000,0000,0000,,U: Dazu sehen wir gleich noch ein\Nbisschen mehr. Aber fangen wir doch Dialogue: 0,0:26:23.60,0:26:27.24,Default,,0000,0000,0000,,vielleicht an mit der ersten zentralen\NFrage, nämlich der Feststellung des Dialogue: 0,0:26:27.24,0:26:31.12,Default,,0000,0000,0000,,Herstellungszeitpunktes. Dazu habt ihr\Neuch eine ganze Reihe Gedanken gemacht, Dialogue: 0,0:26:31.12,0:26:35.02,Default,,0000,0000,0000,,wie man darauf kommen könnte.\NT: Die zentralen Fragen waren, wann wurde Dialogue: 0,0:26:35.02,0:26:38.80,Default,,0000,0000,0000,,das hergestellt? Also haben wir uns all\Ndiese ganzen Samples angesehen und haben Dialogue: 0,0:26:38.80,0:26:45.80,Default,,0000,0000,0000,,geguckt, ob wir da Indizien finden, dass\Ndiese Software möglicherweise nach 2015 Dialogue: 0,0:26:45.80,0:26:50.82,Default,,0000,0000,0000,,hergestellt wurde. Da gibt es verschiedene\NMöglichkeiten. Grundsätzlich alles, was Dialogue: 0,0:26:50.82,0:26:57.19,Default,,0000,0000,0000,,wir jetzt in den Binaries und in diesen\NSchadsoftware-Samples finden. Das ist dann Dialogue: 0,0:26:57.19,0:27:01.49,Default,,0000,0000,0000,,so der frühestmögliche Zeitpunkt. Wenn ich\Nbeweisen kann, dass zum Beispiel eine Dialogue: 0,0:27:01.49,0:27:06.47,Default,,0000,0000,0000,,Komponente dieser Schadsoftware erst im\NMai 2016 überhaupt hergestellt oder Dialogue: 0,0:27:06.47,0:27:10.64,Default,,0000,0000,0000,,veröffentlicht wurde, dann bedeutet das\Nnatürlich auch, dass das ganze Dialogue: 0,0:27:10.64,0:27:15.27,Default,,0000,0000,0000,,Schadsoftware-Sample erst nach diesem\NZeitpunkt hergestellt werden kann. Das ist Dialogue: 0,0:27:15.27,0:27:19.14,Default,,0000,0000,0000,,der frühestmöglichen Zeitpunkt. Das kann\Nalso auch durchaus sein, dass es 2017 Dialogue: 0,0:27:19.14,0:27:23.04,Default,,0000,0000,0000,,zusammengebaut und verschickt und verkauft\Nwurde. Das wissen wir nicht so genau. Dialogue: 0,0:27:23.04,0:27:26.75,Default,,0000,0000,0000,,U: Aber jedenfalls, eine Library, die\Nnoch nicht veröffentlicht war, kann nicht Dialogue: 0,0:27:26.75,0:27:29.75,Default,,0000,0000,0000,,eingebaut werden, ne?\NT: Genau deswegen haben wir sehr gezielt, Dialogue: 0,0:27:29.75,0:27:34.28,Default,,0000,0000,0000,,geh nochmal zurück, sehr gezielt nach\Nsolchen Artefakten von Compilern gesucht Dialogue: 0,0:27:34.28,0:27:38.57,Default,,0000,0000,0000,,oder irgendwelche Zeichenketten aus\Nirgendwelchen Open-Source Produkten. Es Dialogue: 0,0:27:38.57,0:27:43.77,Default,,0000,0000,0000,,gibt aber auch in diesen APK-Dateien. Das\Nsind halt so die Android-Apps, liegen als Dialogue: 0,0:27:43.77,0:27:48.42,Default,,0000,0000,0000,,APK vor, das ist technisch gesehen nichts\Nweiter als ein ZIP-Archiv, was Dialogue: 0,0:27:48.42,0:27:53.33,Default,,0000,0000,0000,,wahrscheinlich alle von euch kennen\Ndürften. Und in diesen Archiven liegen Dialogue: 0,0:27:53.33,0:27:57.57,Default,,0000,0000,0000,,dann auch Zertifikate der Entwickler, die\Ndieses Paket veröffentlichen. Und anhand Dialogue: 0,0:27:57.57,0:28:03.25,Default,,0000,0000,0000,,dieser Zertifikate kann man z. B. auch\Neinen Zeitstempel einsehen, wann dieses Dialogue: 0,0:28:03.25,0:28:10.23,Default,,0000,0000,0000,,Zertifikat erstellt wurde. Das sagt jetzt\Nfür unsere juristische Sichtweise nicht Dialogue: 0,0:28:10.23,0:28:13.64,Default,,0000,0000,0000,,besonders viel aus, weil man kann\Nja ein Zertifikat mit einem beliebigen Dialogue: 0,0:28:13.64,0:28:18.99,Default,,0000,0000,0000,,Zeitstempel herstellen. Ich kann ja sagen,\Nich gehe zurück in die Vergangenheit, oder Dialogue: 0,0:28:18.99,0:28:21.75,Default,,0000,0000,0000,,ich erstelle das in der Zukunft.\NDas kann man alles machen. Dialogue: 0,0:28:21.75,0:28:25.15,Default,,0000,0000,0000,,U: Nur warum sollte man das tun?\NT: Warum sollte man das tun? Vielleicht Dialogue: 0,0:28:25.15,0:28:28.93,Default,,0000,0000,0000,,gibt’s einen guten Grund dafür. Aber wir\Nhaben uns ja auch aus diesem Grund und Dialogue: 0,0:28:28.93,0:28:33.90,Default,,0000,0000,0000,,genau deshalb Samples angeschaut, die bis\Nins Jahr 2012 zurückreichen. Also wir Dialogue: 0,0:28:33.90,0:28:43.74,Default,,0000,0000,0000,,haben uns diese Trojaner-APKs angesehen,\Ndie 2012 bis 2019 in die Öffentlichkeit Dialogue: 0,0:28:43.74,0:28:49.91,Default,,0000,0000,0000,,gelangten. Und wir können zumindest sagen,\Nwenn wir jetzt im Jahr 2019 sehen oder ein Dialogue: 0,0:28:49.91,0:28:53.34,Default,,0000,0000,0000,,Muster erkennen können, dass bestimmte\NZertifikate vielleicht auch in der Dialogue: 0,0:28:53.34,0:28:56.88,Default,,0000,0000,0000,,Vergangenheit genutzt wurden, dann kann\Nman sich schon fragen, ob das jetzt Dialogue: 0,0:28:56.88,0:29:02.40,Default,,0000,0000,0000,,plausibel ist oder nicht. Ansonsten gibt\Nes noch öffentliche Dokumentation. Dazu Dialogue: 0,0:29:02.40,0:29:06.81,Default,,0000,0000,0000,,gehörte das Sample selber. Das haben wir\Nauch nur aus dem Internet aus Dialogue: 0,0:29:06.81,0:29:12.79,Default,,0000,0000,0000,,verschiedenen Quellen, aber gegeben.\NDeswegen ist es wichtig, sämtliche 28 Dialogue: 0,0:29:12.79,0:29:16.56,Default,,0000,0000,0000,,Samples, die wir da hatten, anzuschauen:\NWann wurden die eigentlich im Einzelnen Dialogue: 0,0:29:16.56,0:29:20.47,Default,,0000,0000,0000,,hergestellt?\NU: Ein Ansatzpunkt war der Dialogue: 0,0:29:20.47,0:29:26.43,Default,,0000,0000,0000,,Herstellungszeitpunkt von Bibliotheken.\NT: Genau, hier sehen wir ein disassembly Dialogue: 0,0:29:26.43,0:29:31.68,Default,,0000,0000,0000,,von einem Shared Object, was da\Nmitgeliefert wurde, das bedeutet, diese Dialogue: 0,0:29:31.68,0:29:38.81,Default,,0000,0000,0000,,Android-Anwendungen sind ja eigentlich nur\NJava-Anwendungen. Das heißt, da liegt Java Dialogue: 0,0:29:38.81,0:29:44.76,Default,,0000,0000,0000,,Bytecode drin und in Java hat man auch die\NMöglichkeit, über das Java Native Dialogue: 0,0:29:44.76,0:29:50.39,Default,,0000,0000,0000,,Interface auch anderen Code aufzurufen,\Nder zum Beispiel vom Betriebssystem Dialogue: 0,0:29:50.39,0:29:55.76,Default,,0000,0000,0000,,bereitgestellt wird, oder eben in C, also\Nmit anderen Programmiersprachen Dialogue: 0,0:29:55.76,0:29:59.94,Default,,0000,0000,0000,,entwickelte Libraries, die mitgeliefert\Nwerden und in dem Fall war; in diesem Dialogue: 0,0:29:59.94,0:30:05.47,Default,,0000,0000,0000,,Sample gab’s noch so Shared Object Files.\NDas ist halt unter Linux-Betriebssysten haben Dialogue: 0,0:30:05.47,0:30:09.59,Default,,0000,0000,0000,,sie die Endung .so, unter Windows gibt's\Nein ähnliches Konzept. Das sind dann Dialogue: 0,0:30:09.59,0:30:13.36,Default,,0000,0000,0000,,dynamische Bibliotheken, die als DLL\Nmitgeliefert werden. Und in dem Fall gab Dialogue: 0,0:30:13.36,0:30:19.66,Default,,0000,0000,0000,,es eine Bibliothek, in der wir bestimmte\NZeichenketten gefunden haben, die darauf Dialogue: 0,0:30:19.66,0:30:26.43,Default,,0000,0000,0000,,hindeuten, dass das definitiv erst 2016\Nhergestellt worden sein kann. Das sieht Dialogue: 0,0:30:26.43,0:30:30.40,Default,,0000,0000,0000,,man hier daran, das ist SQLite das ist ein\NOpen-Source-Projekt, so eine Open-Source Dialogue: 0,0:30:30.40,0:30:35.93,Default,,0000,0000,0000,,Datenbank. Und die hinterlässt dann in\Ndiesem Kompilat diesen String. Das ist ein Dialogue: 0,0:30:35.93,0:30:41.30,Default,,0000,0000,0000,,Datum und irgendein Hash. Und wenn wir\Nuns dann mal anschauen, okay, wann taucht Dialogue: 0,0:30:41.30,0:30:45.37,Default,,0000,0000,0000,,denn dieser String eigentlich auf? Dann\Nkönnen wir uns auf der Open-Source-Projekt- Dialogue: 0,0:30:45.37,0:30:52.73,Default,,0000,0000,0000,,Webseite anschauen, dass da tatsächlich\Ndie SQLite Version 3.13 im Mai 2016 Dialogue: 0,0:30:52.73,0:30:57.83,Default,,0000,0000,0000,,veröffentlicht wurde. Und lustigerweise\Nsehen wir hier genau diese Checksumme mit Dialogue: 0,0:30:57.83,0:31:03.73,Default,,0000,0000,0000,,genau dem gleichen String und somit können\Nwir eigentlich 100% davon ausgehen, dass Dialogue: 0,0:31:03.73,0:31:07.16,Default,,0000,0000,0000,,das hier sich sicherlich niemand\Nausgedacht hat im Jahr 2012. Dialogue: 0,0:31:07.16,0:31:10.11,Default,,0000,0000,0000,,{\i1}Ulf lacht{\i0}\NTS: Es ist ziemlich unwahrscheinlich. Dialogue: 0,0:31:10.11,0:31:17.10,Default,,0000,0000,0000,,{\i1}Applaus{\i0}\NT: Ich hoffe ich laser dir nicht die Augen. Dialogue: 0,0:31:17.10,0:31:20.31,Default,,0000,0000,0000,,UB: Passt schon, ich schrei dann.\NUnd dann habt ihr euch die Dialogue: 0,0:31:20.31,0:31:23.97,Default,,0000,0000,0000,,Zertifikate angeschaut,\Nmit denen die Software signiert worden Dialogue: 0,0:31:23.97,0:31:27.80,Default,,0000,0000,0000,,ist, ne, die einzelnen Zertifizierungen?\NT: Das haben wir auch gemacht, das haben Dialogue: 0,0:31:27.80,0:31:31.75,Default,,0000,0000,0000,,aber auch die anderen Researcher gemacht,\Ndie sich das vor uns angeschaut haben. Die Dialogue: 0,0:31:31.75,0:31:35.40,Default,,0000,0000,0000,,haben das natürlich genauso analysiert.\NAber wir wollten ja auch die Analysen Dialogue: 0,0:31:35.40,0:31:38.97,Default,,0000,0000,0000,,analysieren, und das haben wir getan.\NDeswegen der Vollständigkeit halber in Dialogue: 0,0:31:38.97,0:31:42.74,Default,,0000,0000,0000,,unserem Report natürlich auch nochmal ein\NZeitstrahl. Wir haben später noch eine Dialogue: 0,0:31:42.74,0:31:48.63,Default,,0000,0000,0000,,schöne Tabelle, wo man das gut sehen kann.\NHier sehen wir den Output, wenn man sich Dialogue: 0,0:31:48.63,0:31:52.90,Default,,0000,0000,0000,,dieses Zertifikat mal anschaut, was der\NEntwickler genutzt hat, um dieses Paket zu Dialogue: 0,0:31:52.90,0:32:00.09,Default,,0000,0000,0000,,signieren. Hier sehen wir, dass es erzeugt\Nwurde im Oktober 2016. Passt also Dialogue: 0,0:32:00.09,0:32:04.13,Default,,0000,0000,0000,,zeitlich, wenn wir davon ausgehen, dass\Ndas Zertifikat erstellt wurde, als dieses Dialogue: 0,0:32:04.13,0:32:10.40,Default,,0000,0000,0000,,Sample zusammengebaut wurde. Liegt halt\Nauch nach Mai 2016. Bis wann das gültig Dialogue: 0,0:32:10.40,0:32:16.23,Default,,0000,0000,0000,,ist, ist eigentlich völlig egal. Ja, das\NSchöne wäre jetzt eigentlich, was hätten Dialogue: 0,0:32:16.23,0:32:20.01,Default,,0000,0000,0000,,wir jetzt hier, wenn wir da jetzt\Nirgendwelche Werte manipulieren, wenn wir Dialogue: 0,0:32:20.01,0:32:27.22,Default,,0000,0000,0000,,es zurück datieren? Schön. Dann könnten\Nwir Researcher in die Irre führen, wenn Dialogue: 0,0:32:27.22,0:32:31.46,Default,,0000,0000,0000,,jetzt hier zum Beispiel stehen würde, das\NZertifikat wurde 2012 erstellt. Dann Dialogue: 0,0:32:31.46,0:32:35.74,Default,,0000,0000,0000,,könnten wir überhaupt gar nichts darüber\Naussagen. So vielleicht schon eher, was Dialogue: 0,0:32:35.74,0:32:39.36,Default,,0000,0000,0000,,hier noch auffällig ist, das wird später\Nnoch relevant, es gibt auch diese Dialogue: 0,0:32:39.36,0:32:44.79,Default,,0000,0000,0000,,Fingerprints für diese Zertifikate. Das\Nsind diese langen SHA-Werte hier. Das ist Dialogue: 0,0:32:44.79,0:32:51.71,Default,,0000,0000,0000,,ein kryptographischer Hash über dieses\NZertifikat, über den key und der ist Dialogue: 0,0:32:51.71,0:32:59.02,Default,,0000,0000,0000,,einmalig. Also, wenn wir uns jetzt in den\N28 Samples alle Zertifikate angucken, dann Dialogue: 0,0:32:59.02,0:33:03.83,Default,,0000,0000,0000,,vergleichen wir natürlich auch diesen\NSHA-Wert, weil das ist der Fingerprint, Dialogue: 0,0:33:03.83,0:33:07.83,Default,,0000,0000,0000,,das drückt das schon ganz gut aus. Das ist\Nein Fingerabdruck, wenn wir genau diesen Dialogue: 0,0:33:07.83,0:33:12.08,Default,,0000,0000,0000,,Fingerabdruck in einem anderem Sample\Nfinden, dann können wir zumindest auch Dialogue: 0,0:33:12.08,0:33:16.28,Default,,0000,0000,0000,,eine Aussage darüber treffen, dass beide\NSamples, unabhängig davon, wann sie Dialogue: 0,0:33:16.28,0:33:20.14,Default,,0000,0000,0000,,jeweils veröffentlicht wurden, dass beide\Nvom gleichen Hersteller stammen. Und das Dialogue: 0,0:33:20.14,0:33:23.89,Default,,0000,0000,0000,,ist auch ein wichtiger Punkt für diese\Nganze Schlussfolgerung am Ende. Dialogue: 0,0:33:23.89,0:33:28.45,Default,,0000,0000,0000,,U: Zunächst mal aber können diese beiden\NAspekte, die du genannt hast, die Dialogue: 0,0:33:28.45,0:33:34.74,Default,,0000,0000,0000,,Bibliotheken und die Zertifikate im Grunde\Nden Schluss tragen, dass dieses adalet- Dialogue: 0,0:33:34.74,0:33:39.80,Default,,0000,0000,0000,,Sample jedenfalls nicht vor dem 18. Mai\N2016 erstellt worden sein kann. Einfach Dialogue: 0,0:33:39.80,0:33:42.72,Default,,0000,0000,0000,,weil es da diese SQlite-Bibliothek\Nnoch nicht gab. Dialogue: 0,0:33:42.72,0:33:47.46,Default,,0000,0000,0000,,T: Genau, das ist ein so schweres Indiz,\Ndass ich definitiv sagen kann, dass es Dialogue: 0,0:33:47.46,0:33:51.31,Default,,0000,0000,0000,,nicht vor Mai 2016 hergestellt worden ist.\NUB: Damit liegt dieses Datum jedenfalls Dialogue: 0,0:33:51.31,0:33:55.09,Default,,0000,0000,0000,,nach dem Inkrafttreten der Verbote, von\Ndenen ich anfangs gesprochen habe. Das Dialogue: 0,0:33:55.09,0:33:58.93,Default,,0000,0000,0000,,heißt also, dieses Sample wäre dann, wenn\Nes tatsächlich in die Türkei exportiert Dialogue: 0,0:33:58.93,0:34:04.47,Default,,0000,0000,0000,,worden ist, unter Verstoß dagegen\Nexportiert worden. Zweiter Aspekt Dialogue: 0,0:34:04.47,0:34:09.12,Default,,0000,0000,0000,,vielleicht noch wichtiger, die\NFeststellung der Herkunft. Was für ein Dialogue: 0,0:34:09.12,0:34:13.26,Default,,0000,0000,0000,,Vieh war denn jetzt eigentlich dieses\Nadalet-Trojanerchen? Dialogue: 0,0:34:13.26,0:34:20.65,Default,,0000,0000,0000,,T: Dafür haben wir, wie ich sagte,\NSamples aus dem Zeitraum von sieben Jahren Dialogue: 0,0:34:20.65,0:34:25.37,Default,,0000,0000,0000,,uns angeschaut und geguckt. Was haben die\Nfür Gemeinsamkeiten? Was lässt darauf Dialogue: 0,0:34:25.37,0:34:29.29,Default,,0000,0000,0000,,schließen, dass die aus einem Hause\Nstammen? Da braucht uns in dem Moment noch Dialogue: 0,0:34:29.29,0:34:34.18,Default,,0000,0000,0000,,gar nicht interessieren, wie dieses Haus\Nüberhaupt heißt. Uns ist nur wichtig Dialogue: 0,0:34:34.18,0:34:37.85,Default,,0000,0000,0000,,gewesen herauszufinden, ob die einen\NZusammenhang haben. Dafür haben wir diese Dialogue: 0,0:34:37.85,0:34:41.52,Default,,0000,0000,0000,,Code-Signing-Zertifikate miteinander\Nverglichen, wie ich eben schon sagte. Es Dialogue: 0,0:34:41.52,0:34:45.04,Default,,0000,0000,0000,,gibt noch ein paar andere Indizien\Nübrigens, für diese Zeitgeschichte. Aber Dialogue: 0,0:34:45.04,0:34:48.61,Default,,0000,0000,0000,,die spielt jetzt hier keine besonders\Ngroße Rolle. Der Coding-Style ist auch Dialogue: 0,0:34:48.61,0:34:52.22,Default,,0000,0000,0000,,eine wichtige Rolle. Wie ich schon sagte,\Ndiese APKs, diese Anwendungen, sind Dialogue: 0,0:34:52.22,0:34:57.51,Default,,0000,0000,0000,,eigentlich in Java programmiert. Man kann\Nauch noch Shared-Object-Bibliotheken Dialogue: 0,0:34:57.51,0:35:01.25,Default,,0000,0000,0000,,daneben legen, die vielleicht in anderen\NProgrammiersprachen entwickelt wurden. Dialogue: 0,0:35:01.25,0:35:07.55,Default,,0000,0000,0000,,Aber man kann sowohl im Dekompilat des\NJava-Codes als auch im Disassembly dieser Dialogue: 0,0:35:07.55,0:35:13.51,Default,,0000,0000,0000,,Bibliotheken einen gewissen Coding-Style\Nablesen. Man kann verschiedene Dialogue: 0,0:35:13.51,0:35:17.47,Default,,0000,0000,0000,,Variablennamen miteinander vergleichen,\Nwenn keine Obfuscation am Start war. Also Dialogue: 0,0:35:17.47,0:35:24.21,Default,,0000,0000,0000,,Mittel, um Code-Herkunft und Code-Struktur\Nzu verschleiern. Wir können die Code-Basis Dialogue: 0,0:35:24.21,0:35:27.99,Default,,0000,0000,0000,,miteinander vergleichen, also auf einer\Nrein funktionellen Ebene. Wir können uns Dialogue: 0,0:35:27.99,0:35:31.72,Default,,0000,0000,0000,,anschauen. Sind die Funktionen in der\Neinen Anwendung vorhanden, die aus dem Dialogue: 0,0:35:31.72,0:35:35.19,Default,,0000,0000,0000,,Jahr 2012 stammt, und sind die gleichen\NFunktionen auch vorhanden in der Dialogue: 0,0:35:35.19,0:35:40.50,Default,,0000,0000,0000,,Anwendung, die aus 2014 stammt und 2017\Nund so weiter? Das können wir schon Dialogue: 0,0:35:40.50,0:35:45.07,Default,,0000,0000,0000,,miteinander vergleichen und auch Diffs\Nfeststellen, also Unterschiede zwischen Dialogue: 0,0:35:45.07,0:35:49.44,Default,,0000,0000,0000,,den Versionen. So können wir von einer\NEvolution sprechen oder eine Beobachtung Dialogue: 0,0:35:49.44,0:35:55.50,Default,,0000,0000,0000,,dieser Evolution einer bestimmten\NSchadsoftware. Wir haben sehr stark darauf Dialogue: 0,0:35:55.50,0:36:01.55,Default,,0000,0000,0000,,geachtet, ob wir zum Beispiel sehen\Nkönnen, welche Sprache, welche Dialogue: 0,0:36:01.55,0:36:07.64,Default,,0000,0000,0000,,Muttersprache die Entwickler sprechen. Das\Nsehen wir an manchen Stellen sehr Dialogue: 0,0:36:07.64,0:36:11.62,Default,,0000,0000,0000,,deutlich. Komme ich nachher noch mit\NBeispielen zu. Dann schauen wir uns auch Dialogue: 0,0:36:11.62,0:36:14.76,Default,,0000,0000,0000,,an, wann und wie die\Nprovisioniert wurden und ob es Dialogue: 0,0:36:14.76,0:36:18.49,Default,,0000,0000,0000,,da irgendwelche Ähnlichkeiten gibt.\NU: Provisionierung bedeutet quasi, dass Dialogue: 0,0:36:18.49,0:36:22.27,Default,,0000,0000,0000,,dieser Trojaner jeweils angepasst wurde\Nfür den spezifischen Einsatzzweck. Das Dialogue: 0,0:36:22.27,0:36:26.17,Default,,0000,0000,0000,,heißt, dieser Trojaner ist im Prinzip eine\NMassenware oder jedenfalls eine vielfach Dialogue: 0,0:36:26.17,0:36:29.77,Default,,0000,0000,0000,,eingesetzte Software. Aber für das\Njeweilige Land wurden dann Dialogue: 0,0:36:29.77,0:36:33.85,Default,,0000,0000,0000,,unterschiedliche Parameter gesetzt. Dazu\Nkommen wir auch gleich noch. Das Spannende Dialogue: 0,0:36:33.85,0:36:37.62,Default,,0000,0000,0000,,dabei ist, was Thorsten gerade beschrieben\Nhat. Das sind zunächst mal vor allem Dialogue: 0,0:36:37.62,0:36:41.21,Default,,0000,0000,0000,,Parallelen zwischen unterschiedlichen\NSamples. Das heißt, da kann man sagen, Dialogue: 0,0:36:41.21,0:36:44.88,Default,,0000,0000,0000,,diese Samples kommen wohl mehr oder\Nweniger aus derselben Küche. Aber das sagt Dialogue: 0,0:36:44.88,0:36:48.74,Default,,0000,0000,0000,,ja zunächst mal noch nicht, welche Küche\Ndas ist. Um das sagen zu können, braucht Dialogue: 0,0:36:48.74,0:36:53.65,Default,,0000,0000,0000,,es noch einen zweiten Schritt, nämlich das\NFinden von Samples bestätigter Herkunft. Dialogue: 0,0:36:53.65,0:36:57.35,Default,,0000,0000,0000,,Das heißt, wenn man weiß, bestimmte\NSamples gehören zusammen, kommen aus Dialogue: 0,0:36:57.35,0:37:01.45,Default,,0000,0000,0000,,demselben Haus, und man kann dann\Nwenigstens ein Sample oder zwei Samples Dialogue: 0,0:37:01.45,0:37:05.49,Default,,0000,0000,0000,,einem ganz konkreten Hersteller zuweisen.\NDann gilt es, jedenfalls mit sehr hoher Dialogue: 0,0:37:05.49,0:37:10.78,Default,,0000,0000,0000,,Wahrscheinlichkeit, auch für alle anderen\NSamples aus dieser Herstellungslinie. Und Dialogue: 0,0:37:10.78,0:37:14.38,Default,,0000,0000,0000,,da muss man ganz ehrlich sagen, sind wir\Nzu großer Dankbarkeit verpflichtet. Dialogue: 0,0:37:14.38,0:37:21.87,Default,,0000,0000,0000,,T: Ja, Phineas Fisher hatte einen\Ngrößeren Batzen Daten aus dem Hause Dialogue: 0,0:37:21.87,0:37:24.72,Default,,0000,0000,0000,,FinFisher getragen und veröffentlicht.\NU: Tipp! Dialogue: 0,0:37:24.72,0:37:29.66,Default,,0000,0000,0000,,T: Es gibt da ein 41 Gigabyte großes\NFile, wo sehr viele Samples drinne sind, Dialogue: 0,0:37:29.66,0:37:32.20,Default,,0000,0000,0000,,die wir auch analysiert haben.\NU: Hier sieht man das. Dialogue: 0,0:37:32.20,0:37:37.09,Default,,0000,0000,0000,,T: Vielen Dank nochmal Phineas Fisher!\N{\i1}Applaus{\i0} Dialogue: 0,0:37:37.09,0:37:43.44,Default,,0000,0000,0000,,U: Mit anderen Worten, es ist für diese\NAnalyse ein großer Vorteil, dass es Dialogue: 0,0:37:43.44,0:37:48.90,Default,,0000,0000,0000,,bestimmte Samples gibt, die aus diesem\NPhineas Fisher Hack stammen und die man Dialogue: 0,0:37:48.90,0:37:52.43,Default,,0000,0000,0000,,mit sehr großer Wahrscheinlichkeit\Naufgrund vieler Indizien dieser Dialogue: 0,0:37:52.43,0:37:57.14,Default,,0000,0000,0000,,Firmengruppe FinFisher zuordnen kann. Das\Nheißt, man hat 2 Anker, oder wieviele Dialogue: 0,0:37:57.14,0:37:59.33,Default,,0000,0000,0000,,Samples sind da drin? 2?\NT: Jaja. Dialogue: 0,0:37:59.33,0:38:03.58,Default,,0000,0000,0000,,U: Das heißt, man hat quasi 2 Ankerpunkte\Nund kann sich dann von diesen Ankerpunkten Dialogue: 0,0:38:03.58,0:38:08.22,Default,,0000,0000,0000,,über den Vergleich von Samples weiter\Nvorhangeln. Aber das ändert natürlich Dialogue: 0,0:38:08.22,0:38:13.78,Default,,0000,0000,0000,,nichts daran: Attribution is hard.\NT: Sehr hart. Wir suchen also natürlich Dialogue: 0,0:38:13.78,0:38:18.36,Default,,0000,0000,0000,,noch weiter nach Indizien, die auf den\NUrheber schließen lassen. Die Dialogue: 0,0:38:18.36,0:38:22.42,Default,,0000,0000,0000,,Attributierung von Schadsoftware, wenn mal\Nirgendwie wieder der Bundestag gehackt Dialogue: 0,0:38:22.42,0:38:26.37,Default,,0000,0000,0000,,wurde oder irgendjemand anders, da kommen\Ndann immer ganz schnell Leute, die sagen, Dialogue: 0,0:38:26.37,0:38:30.13,Default,,0000,0000,0000,,die Russen waren es, die Chinesen waren es\Nund so weiter. Das ist alles nicht so Dialogue: 0,0:38:30.13,0:38:34.02,Default,,0000,0000,0000,,leicht. Wir müssen diese Attributierung\Nallerdings auch ein Stück weit durchführen Dialogue: 0,0:38:34.02,0:38:39.11,Default,,0000,0000,0000,,und hangeln uns dann aber auch entlang an\Ndem jeweiligen Kontext, zum Beispiel, wo Dialogue: 0,0:38:39.11,0:38:47.52,Default,,0000,0000,0000,,so ein Sample eingesetzt wurde. Wie dieses\Nadalet-Sample zum Beispiel. Es gibt ja Dialogue: 0,0:38:47.52,0:38:52.12,Default,,0000,0000,0000,,grundsätzlich die Möglichkeit, das auch zu\Nfaken. Wenn ich sage, ich bin jetzt Dialogue: 0,0:38:52.12,0:38:57.02,Default,,0000,0000,0000,,irgendwie irgendeine Hackergruppe oder ein\NKonkurrent von FinFisher, dann will ich Dialogue: 0,0:38:57.02,0:39:01.62,Default,,0000,0000,0000,,die vielleicht in einem schlechteren Licht\Ndastehen lassen. Und fake jetzt vielleicht Dialogue: 0,0:39:01.62,0:39:05.88,Default,,0000,0000,0000,,mal irgendwie Malware von denen und mache\Ndann so False-FlagGeschichten. Das ist Dialogue: 0,0:39:05.88,0:39:10.47,Default,,0000,0000,0000,,natürlich alles möglich, aber in diesen\Neinzelnen Fällen relativ unwahrscheinlich. Dialogue: 0,0:39:10.47,0:39:12.67,Default,,0000,0000,0000,,U: Auch sowas könnte\Nman theoretisch faken. Dialogue: 0,0:39:12.67,0:39:18.24,Default,,0000,0000,0000,,T: Das kann man definitiv faken. Das ist\Njetzt, was wir jetzt hier sehen, die Dialogue: 0,0:39:18.24,0:39:21.29,Default,,0000,0000,0000,,verarbeitete Ausgabe von so einer\NKonfiguration, von so einer Dialogue: 0,0:39:21.29,0:39:25.26,Default,,0000,0000,0000,,Provisionierung. wie Ulf schon sagte,\Ndiese einzelnen Samples werden ja nicht Dialogue: 0,0:39:25.26,0:39:28.80,Default,,0000,0000,0000,,jedes Mal neu kompiliert und neu\Nentwickelt. Da gibt es dann einfach Dialogue: 0,0:39:28.80,0:39:33.39,Default,,0000,0000,0000,,verschiedene Parameter, die für den Case\Ndes jeweiligen Einsatzes notwendig sind. Dialogue: 0,0:39:33.39,0:39:38.18,Default,,0000,0000,0000,,Und das wäre dann so eine Konfiguration.\NDa steht dann jetzt zum Beispiel, ja der Dialogue: 0,0:39:38.18,0:39:42.68,Default,,0000,0000,0000,,Proxy fürs nach-Hause-Telefonieren hat die\NIP-Adresse oder den Hostnamen. Dann sieht Dialogue: 0,0:39:42.68,0:39:49.40,Default,,0000,0000,0000,,man hier auch noch eine TargetID, in dem\NFall adalet. Das hat, wer auch immer Dialogue: 0,0:39:49.40,0:39:53.00,Default,,0000,0000,0000,,diesen Trojaner zusammengebaut hat, sich\Nausgedacht. Dann gibt es noch Dialogue: 0,0:39:53.00,0:39:58.14,Default,,0000,0000,0000,,Telefonnummern, wo SMS hingeschickt werden\Noder wo angerufen werden kann. Und in dem Dialogue: 0,0:39:58.14,0:40:03.07,Default,,0000,0000,0000,,Fall kann man ganz gut sehen, dass diese\NAttributierung schlecht, hard ist. Denn Dialogue: 0,0:40:03.07,0:40:07.45,Default,,0000,0000,0000,,die IP-Adresse stammt aus Deutschland. Die\NTelefonnummer ist eine israelische, und Dialogue: 0,0:40:07.45,0:40:12.98,Default,,0000,0000,0000,,die andere Telefonnummer ist eine\Ninternationale Mehrwert-Rufnummer. Da Dialogue: 0,0:40:12.98,0:40:18.30,Default,,0000,0000,0000,,lässt sich jetzt noch nicht so stark\Ndarauf schließen, dass das tatsächlich von Dialogue: 0,0:40:18.30,0:40:21.88,Default,,0000,0000,0000,,türkischen Behörden eingesetzt wurde.\NU: Etwas anders sieht es aus bei der Dialogue: 0,0:40:21.88,0:40:26.26,Default,,0000,0000,0000,,Familie der Samples, die ihr analysiert\Nhabt. Denn da hilft euch ja das Dialogue: 0,0:40:26.26,0:40:28.49,Default,,0000,0000,0000,,Zertifikat, das zum Signieren verwendet\Nwurde. Dialogue: 0,0:40:28.49,0:40:32.30,Default,,0000,0000,0000,,T: Genau das sind ein paar Indizien, die\Nwir da herausgepickt haben, anhand derer Dialogue: 0,0:40:32.30,0:40:36.11,Default,,0000,0000,0000,,wir irgendwie bestimmte Gruppen\Nzusammenfassen können. Also was gehört Dialogue: 0,0:40:36.11,0:40:42.64,Default,,0000,0000,0000,,definitiv zusammen, was nicht? Diese Liste\Nsieht jetzt sehr wirr aus. Was hier grün Dialogue: 0,0:40:42.64,0:40:46.61,Default,,0000,0000,0000,,markiert ist, ist das adalet-Sample, von\Ndem wir quasi so ausgehen. Wir wollen also Dialogue: 0,0:40:46.61,0:40:53.56,Default,,0000,0000,0000,,Parallelen finden zu diesem adalet-Sample.\NAlles, was hier rot markiert ist, hat eine Dialogue: 0,0:40:53.56,0:40:57.67,Default,,0000,0000,0000,,Parallele. Das stammt nämlich alles aus\Ndem Leak von Phineas Fischer. Alles was da Dialogue: 0,0:40:57.67,0:41:04.96,Default,,0000,0000,0000,,oben gelb markiert ist, wurde 2012\Nschon mal veröffentlicht und es gibt Dialogue: 0,0:41:04.96,0:41:09.12,Default,,0000,0000,0000,,entsprechende Analysen und verschiedene\NIndizien, die darauf hinweisen, dass es Dialogue: 0,0:41:09.12,0:41:13.96,Default,,0000,0000,0000,,auch aus dem Hause FinFischer stammt. Wenn\Nwir jetzt mal davon ausgehen, dass das Dialogue: 0,0:41:13.96,0:41:17.78,Default,,0000,0000,0000,,hier aus dem Hause FinFisher stammt, weil\Nes in dem Leak war, dann haben wir hier Dialogue: 0,0:41:17.78,0:41:23.56,Default,,0000,0000,0000,,ein Sample, das nennt sich „421and“. „421“\Nscheint die Versionsnummer zu sein, „and“ Dialogue: 0,0:41:23.56,0:41:30.74,Default,,0000,0000,0000,,heißt Android. Wir sehen hier, das ist\Ndieser Fingerprint von diesem Zertifikat, Dialogue: 0,0:41:30.74,0:41:34.82,Default,,0000,0000,0000,,was ich vorhin noch erklärt habe. Diesen\NFingerprint finden wir hier oben wieder. Dialogue: 0,0:41:34.82,0:41:40.55,Default,,0000,0000,0000,,Zwei Jahre vorher sind da oben schon\NSamples in die Öffentlichkeit gelangt, die Dialogue: 0,0:41:40.55,0:41:45.02,Default,,0000,0000,0000,,genau den gleichen Fingerprint haben. Und\Ndann haben wir hier oben dieses „Andriod“. Dialogue: 0,0:41:45.02,0:41:49.07,Default,,0000,0000,0000,,Das ist ein Tippfehler, aber der stammt\Nhalt so von denen. Das muss ein Demo- Dialogue: 0,0:41:49.07,0:41:56.28,Default,,0000,0000,0000,,Sample sein. Da hat diese Firma offenbar\Nmal gezeigt, was dieser Trojaner so kann. Dialogue: 0,0:41:56.28,0:42:01.22,Default,,0000,0000,0000,,Und dann haben sie den halt so\Nprovisioniert, mit Zeichenketten, also Dialogue: 0,0:42:01.22,0:42:07.71,Default,,0000,0000,0000,,Webserver-URLs, die auf Gamma\NInternational schließen lassen. Und es Dialogue: 0,0:42:07.71,0:42:11.87,Default,,0000,0000,0000,,wurde aber auch noch ein in-the-wild-\NSample damit signiert, mit dem gleichen Dialogue: 0,0:42:11.87,0:42:17.63,Default,,0000,0000,0000,,Zertifikat. Dieses „derise“ ist das, was\Nin Vietnam identifiziert wurde und auch Dialogue: 0,0:42:17.63,0:42:23.94,Default,,0000,0000,0000,,vietnamesische IP-Adressen, Telefonnummern\Nund so weiter drinne hat. Wie gesagt Dialogue: 0,0:42:23.94,0:42:28.23,Default,,0000,0000,0000,,Attributierung ist schwierig, aber an dem\NFall kann man auf jeden Fall sagen, dass Dialogue: 0,0:42:28.23,0:42:34.87,Default,,0000,0000,0000,,hier Demo-Samples und in-the-wild-Samples\Ndefinitiv aus einem Hause stammen, anhand Dialogue: 0,0:42:34.87,0:42:41.15,Default,,0000,0000,0000,,dieser Zertifikats-Fingerprints.\NU: Der nächste Schritt, den ihr gemacht Dialogue: 0,0:42:41.15,0:42:45.42,Default,,0000,0000,0000,,habt, ist tatsächlich euch mal die Struktur\Nder einzelnen Samples anzuschauen, also Dialogue: 0,0:42:45.42,0:42:49.85,Default,,0000,0000,0000,,insbesondere wie diese Software von ihrem\Nlogischen Ablauf her funktioniert. Dialogue: 0,0:42:49.85,0:42:53.66,Default,,0000,0000,0000,,T: Genau. Wir haben uns dann verschiedene\NFunktionen angeguckt und haben halt mal Dialogue: 0,0:42:53.66,0:42:56.94,Default,,0000,0000,0000,,geguckt „Was sehen wir so an den\NFunktionen?“. Ich habe ja gesagt, wir Dialogue: 0,0:42:56.94,0:43:00.76,Default,,0000,0000,0000,,schauen uns auch so ein bisschen diesen\NCoding-Style an, was für Variablen werden Dialogue: 0,0:43:00.76,0:43:04.42,Default,,0000,0000,0000,,da genommen, wenn wir uns Java-Code\Nangucken können, der nicht obfuskiert ist. Dialogue: 0,0:43:04.42,0:43:10.64,Default,,0000,0000,0000,,Hier sehen wir zwei Samples und zwar das,\Nwas aus dem Leak stammt von 2014. Das ist Dialogue: 0,0:43:10.64,0:43:17.46,Default,,0000,0000,0000,,auch irgendwie so eine Art Demo. Und 2016\N– also, ich sage jetzt mal 2016, weil das Dialogue: 0,0:43:17.46,0:43:23.67,Default,,0000,0000,0000,,definitiv noch 2016 hergestellt wurde – \Ndas adalet-Sample. Sie hatten hier so ein Dialogue: 0,0:43:23.67,0:43:26.94,Default,,0000,0000,0000,,Refactoring durchgeführt. Also eine\NUmbenennung aller Variablen und Dialogue: 0,0:43:26.94,0:43:33.29,Default,,0000,0000,0000,,Funktionsnamen und so weiter. Das ist ein\Nund dieselbe Funktion, das kann man sehen, Dialogue: 0,0:43:33.29,0:43:37.20,Default,,0000,0000,0000,,wenn man sich den Code durchliest. Jetzt\Nwollte ich hier aber keinen Source Code an Dialogue: 0,0:43:37.20,0:43:42.74,Default,,0000,0000,0000,,die Wand werfen. Deswegen habe ich hier so\Neinen Call Flow, abgeleitet aus dem Source Dialogue: 0,0:43:42.74,0:43:49.44,Default,,0000,0000,0000,,Code. Das ist eine Funktion namens Run. In\Ndem Sample von 2014 liegt das in einer Dialogue: 0,0:43:49.44,0:43:55.31,Default,,0000,0000,0000,,Klasse namens SMS. In dem Sample adalet\Nlegt es in einer Klasse namens s1ms, was Dialogue: 0,0:43:55.31,0:44:01.65,Default,,0000,0000,0000,,in Leetspeak hin geschrieben wurde. Und\Nwir sehen hier ganz klar, dass in dieser Dialogue: 0,0:44:01.65,0:44:05.56,Default,,0000,0000,0000,,Funktion effektiv der gleiche Code\Nausgeführt wird mit ganz marginalen Dialogue: 0,0:44:05.56,0:44:11.25,Default,,0000,0000,0000,,Abweichungen. Das kann, zumindest nach\Nunserer Einschätzung, definitiv kein Dialogue: 0,0:44:11.25,0:44:16.51,Default,,0000,0000,0000,,Zufall sein. Das heißt, das ist eine\NWeiterentwicklung der ganzen Samples aus Dialogue: 0,0:44:16.51,0:44:22.48,Default,,0000,0000,0000,,dem Jahr 2012, 2014 und jetzt auch in\N2016. Das ist die Information, was wir da Dialogue: 0,0:44:22.48,0:44:27.29,Default,,0000,0000,0000,,rausziehen konnten.\NU: Und zugleich kann man ja auch Schlüsse Dialogue: 0,0:44:27.29,0:44:32.28,Default,,0000,0000,0000,,ziehen aus diesem Leetspeak. Denn wenn man\Nsich überlegt: der Begriff SMS ist etwas Dialogue: 0,0:44:32.28,0:44:35.81,Default,,0000,0000,0000,,typisch Deutsches. Man versteht es\Nvielleicht noch in anderen Ländern, aber Dialogue: 0,0:44:35.81,0:44:40.78,Default,,0000,0000,0000,,man spricht normalerweise nicht von SMS.\NJedenfalls nicht im englischen Sprachraum Dialogue: 0,0:44:40.78,0:44:45.26,Default,,0000,0000,0000,,und insbesondere, wenn man dann noch das\NVerb „simsen“ sich überlegt. Also in Dialogue: 0,0:44:45.26,0:44:51.17,Default,,0000,0000,0000,,Leetspeak dann „S 1 M S“ wie simsen. Das\Nist was ganz typisch deutsches. Und ich Dialogue: 0,0:44:51.17,0:44:54.37,Default,,0000,0000,0000,,jedenfalls kann mir nicht so richtig\Nvorstellen, dass ein türkischer Dialogue: 0,0:44:54.37,0:44:56.65,Default,,0000,0000,0000,,Programmierer mit einem Mal von "simsen"\Nspricht. Dialogue: 0,0:44:56.65,0:45:00.09,Default,,0000,0000,0000,,T: Genauso wenig kann ich mir vorstellen,\Ndass das ein englischsprachiger Dialogue: 0,0:45:00.09,0:45:05.03,Default,,0000,0000,0000,,Programmierer tut. Dieses Wort „simsen“\Nwurde irgendwann mal modern und jeder hat Dialogue: 0,0:45:05.03,0:45:09.38,Default,,0000,0000,0000,,es benutzt sodass es sogar in den Duden\Naufgenommen wurde. Und das Wort simsen Dialogue: 0,0:45:09.38,0:45:12.92,Default,,0000,0000,0000,,findet man halt wirklich nur im deutschen\NSprachgebrauch, und es ist schwer Dialogue: 0,0:45:12.92,0:45:16.91,Default,,0000,0000,0000,,vorstellbar, dass jemand, der nicht\NDeutsch-Muttersprachler ist, dieses Wort Dialogue: 0,0:45:16.91,0:45:23.26,Default,,0000,0000,0000,,in einem Code verwenden würde, wenn es im\NKontext um SMS abfangen geht und das Ganze Dialogue: 0,0:45:23.26,0:45:27.10,Default,,0000,0000,0000,,auch noch mit Leetspeak verschleiert wird.\NU: Aber ihr habt ja noch eine andere Dialogue: 0,0:45:27.10,0:45:31.02,Default,,0000,0000,0000,,Technologie, Stichwort Verschleierung,\Ngefunden, die außerordentlich pfiffig ist, Dialogue: 0,0:45:31.02,0:45:34.89,Default,,0000,0000,0000,,muss man sagen. Jedenfalls ich war sehr\Nbeeindruckt, als ich diese Analyse gelesen Dialogue: 0,0:45:34.89,0:45:38.76,Default,,0000,0000,0000,,habe, nämlich wie eigentlich diese Daten,\Ndiese Parameter, die wir eben schon kurz Dialogue: 0,0:45:38.76,0:45:42.90,Default,,0000,0000,0000,,gesehen haben zur Provisionierung\Neigentlich in den Viren-Samples abgelegt Dialogue: 0,0:45:42.90,0:45:47.60,Default,,0000,0000,0000,,oder eigentlich versteckt worden.\NT: Da hat sich der Entwickler ein Dialogue: 0,0:45:47.60,0:45:51.32,Default,,0000,0000,0000,,Verfahren ausgedacht, das ist so eine Art\NCovered Channel, also ein versteckter Dialogue: 0,0:45:51.32,0:45:54.79,Default,,0000,0000,0000,,Kanal, so ein bisschen ähnlich wie\NSteganografie, wenn man das kennt. Ich Dialogue: 0,0:45:54.79,0:45:58.20,Default,,0000,0000,0000,,verstecke Informationen in\NDateistrukturen, sodass man das Dialogue: 0,0:45:58.20,0:46:03.01,Default,,0000,0000,0000,,automatisiert oder mit bloßem Auge nicht\Nbesonders leicht erkennen kann. Was für Dialogue: 0,0:46:03.01,0:46:06.94,Default,,0000,0000,0000,,Konfigurationen muss man hier verstecken?\NWie ich schon sagte, es gibt halt so die Dialogue: 0,0:46:06.94,0:46:10.86,Default,,0000,0000,0000,,Telefonnummern, die angerufen werden oder\Nwo SMS hin geschickt werden. Es gibt IP- Dialogue: 0,0:46:10.86,0:46:15.13,Default,,0000,0000,0000,,Adressen, zu denen sich die Schadsoftware\Nverbindet, damit ein Command-and-Control- Dialogue: 0,0:46:15.13,0:46:20.10,Default,,0000,0000,0000,,Server da übernehmen und lenken kann. Und\Nwie lange die Maßnahme dauert et cetera. Dialogue: 0,0:46:20.10,0:46:24.77,Default,,0000,0000,0000,,Das alles ist in einer Konfiguration\Nabgespeichert, die irgendwie in dieses APK Dialogue: 0,0:46:24.77,0:46:28.51,Default,,0000,0000,0000,,rein gedrückt werden muss.\NU: Und dabei ist euch aufgefallen, als Dialogue: 0,0:46:28.51,0:46:32.58,Default,,0000,0000,0000,,ihr euch die Samples angesehen habt, dass\Nalle ein identisches Verfahren einsetzen. Dialogue: 0,0:46:32.58,0:46:36.20,Default,,0000,0000,0000,,T: Die benutzen alle das identische\NVerfahren. Also, wir haben das jetzt auch Dialogue: 0,0:46:36.20,0:46:40.10,Default,,0000,0000,0000,,nicht entdeckt. Dieses Verfahren haben\Nandere, Josh Grunzweig beispielsweise Dialogue: 0,0:46:40.10,0:46:44.86,Default,,0000,0000,0000,,2012, auch schon in einem Blog-Beitrag\Nveröffentlicht, als er FinSpy-Samples Dialogue: 0,0:46:44.86,0:46:49.88,Default,,0000,0000,0000,,analysiert hat. Das ist nichts\Nbahnbrechendes Neues, aber wir konnten Dialogue: 0,0:46:49.88,0:46:56.39,Default,,0000,0000,0000,,zumindest jetzt einfach mal über die\N7 Jahre hinweg beobachten, dass dieses Dialogue: 0,0:46:56.39,0:46:59.91,Default,,0000,0000,0000,,Verfahren in allen Samples eingesetzt\Nwird. Und damit, da es eben auch kein Dialogue: 0,0:46:59.91,0:47:03.76,Default,,0000,0000,0000,,Standardverfahren ist, um in irgendwelchen\NAPKs Schadsoftware zu verstecken oder Dialogue: 0,0:47:03.76,0:47:08.36,Default,,0000,0000,0000,,überhaupt Daten zu verstecken, können wir\Nim Grunde genommen davon ausgehen, dass Dialogue: 0,0:47:08.36,0:47:13.07,Default,,0000,0000,0000,,diese Technologie wirklich von einem\NHersteller stammt. Das heißt, dass all Dialogue: 0,0:47:13.07,0:47:17.03,Default,,0000,0000,0000,,diese Samples, diese 28 Stück, die wir uns\Nangeguckt haben, dass die aus einem Hause Dialogue: 0,0:47:17.03,0:47:19.37,Default,,0000,0000,0000,,stammen.\NU: Und wie sieht das jetzt genau aus? Das Dialogue: 0,0:47:19.37,0:47:22.61,Default,,0000,0000,0000,,hier ist der Datei-Kopf. Nee, das ist\Nnicht der Datei-Kopf sondern … Dialogue: 0,0:47:22.61,0:47:26.42,Default,,0000,0000,0000,,T: Das sind Teile eines … Also ein APK\Nist, wie ich schon sagte, technisch Dialogue: 0,0:47:26.42,0:47:30.85,Default,,0000,0000,0000,,gesehen nur ein ZIP-Archiv. Und in diesem\NZIP-Archiv stecken Metainformationen über Dialogue: 0,0:47:30.85,0:47:37.18,Default,,0000,0000,0000,,die im Archiv enthaltenen Dateien. Und\Ndafür gibt es dann diese Central Directory Dialogue: 0,0:47:37.18,0:47:42.81,Default,,0000,0000,0000,,Structure und verschiedene Felder. Das ist\Ndann so ein Header. Da sind verschiedene Dialogue: 0,0:47:42.81,0:47:49.43,Default,,0000,0000,0000,,Bytes und Bitfelder festgelegt, die die\NEigenschaften dieser im Archiv enthaltenen Dialogue: 0,0:47:49.43,0:47:56.30,Default,,0000,0000,0000,,Datei beschreiben. Eine wichtige\NMetainformation, die genutzt werden kann, Dialogue: 0,0:47:56.30,0:48:00.67,Default,,0000,0000,0000,,um Daten zu transportieren, ohne dass man\Nes leicht sieht, sind diese Dialogue: 0,0:48:00.67,0:48:08.29,Default,,0000,0000,0000,,Dateisystemattribute. Die ZIP-\NSpezifikation sieht vor, dass es 2 Byte Dialogue: 0,0:48:08.29,0:48:14.38,Default,,0000,0000,0000,,oder 16 Bit für interne File-Attribute\Ngibt. Und sie sieht vor, dass es 32 Bit Dialogue: 0,0:48:14.38,0:48:20.00,Default,,0000,0000,0000,,für die Dateisystemattribute auf dem Ziel-\NBetriebssystem gibt. Somit haben wir hier Dialogue: 0,0:48:20.00,0:48:26.70,Default,,0000,0000,0000,,6 Byte pro Central Directory Structure zur\NVerfügung, um Daten zu verstecken, denn Dialogue: 0,0:48:26.70,0:48:30.71,Default,,0000,0000,0000,,wir können da ja beliebig idiotische File-\NAttribute setzen. Und das ist das, was sie Dialogue: 0,0:48:30.71,0:48:34.71,Default,,0000,0000,0000,,gemacht haben. Die ergeben dann zwar, wenn\Nman die Dateien entpackt, auf dem Ziel- Dialogue: 0,0:48:34.71,0:48:38.53,Default,,0000,0000,0000,,Betriebssystem keinen Sinn mehr, müssen\Nsie aber auch nicht, weil die Daten gar Dialogue: 0,0:48:38.53,0:48:42.38,Default,,0000,0000,0000,,nicht genutzt werden. Das sind einfach\Nirgendwelche Dummy-Dateien. Das sieht man Dialogue: 0,0:48:42.38,0:48:48.38,Default,,0000,0000,0000,,hier. Hier sehen wir im Hex-Editor so ein\NAPK und diese Strukturen. Wir haben diese Dialogue: 0,0:48:48.38,0:48:53.55,Default,,0000,0000,0000,,Signatur, diese PKZIP-Signatur ganz am\NAnfang, die ist hier gelb markiert, und Dialogue: 0,0:48:53.55,0:49:00.50,Default,,0000,0000,0000,,ein Offset von 36 Byte später, kommen dann\Ndiese 6 Byte Dateisystemattribute. Und wer Dialogue: 0,0:49:00.50,0:49:05.05,Default,,0000,0000,0000,,sich so ein bisschen mit Unix oder\NDateisystemen auskennt, sieht auch, dass Dialogue: 0,0:49:05.05,0:49:11.25,Default,,0000,0000,0000,,das jetzt hier keine Bitfelder sind für\NAttribute, die Sinn ergeben. Nein, was wir Dialogue: 0,0:49:11.25,0:49:19.14,Default,,0000,0000,0000,,hier sehen, sind BASE64 codierte Daten.\NUnd wenn man jetzt dieses ZIP-File einmal Dialogue: 0,0:49:19.14,0:49:25.51,Default,,0000,0000,0000,,parst und sich alle diese CDS-Signaturen\Nherauspickt und dann diese Dateisystem … Dialogue: 0,0:49:25.51,0:49:32.81,Default,,0000,0000,0000,,diese Dateiattribute aneinander hängt,\Nanschließend diesen ganzen String, der Dialogue: 0,0:49:32.81,0:49:39.92,Default,,0000,0000,0000,,dabei herausfällt BASE64-dekodiert, dann\Nfällt daraus später eine Binärdatei, die Dialogue: 0,0:49:39.92,0:49:44.47,Default,,0000,0000,0000,,genau die Konfiguration dieser\NSchadsoftware beinhaltet. Das wurde, Dialogue: 0,0:49:44.47,0:49:47.91,Default,,0000,0000,0000,,wie gesagt, alles schon mal\Ndokumentiert, wir haben das jetzt einfach Dialogue: 0,0:49:47.91,0:49:51.86,Default,,0000,0000,0000,,alles noch einmal nachvollzogen und auf\Nalle Samples angewendet und geguckt, was Dialogue: 0,0:49:51.86,0:49:55.30,Default,,0000,0000,0000,,dabei rausfällt. Das heißt dann im ersten\NSchritt: Wir müssen die Dateien Dialogue: 0,0:49:55.30,0:49:58.51,Default,,0000,0000,0000,,extrahieren. In einem zweiten Schritt\Nmüssen wir die Dateien parsen. Dialogue: 0,0:49:58.51,0:50:02.36,Default,,0000,0000,0000,,U: Und das Tool dazu findet sich jetzt\Nwieder auf der Website. Das heißt, das Dialogue: 0,0:50:02.36,0:50:06.18,Default,,0000,0000,0000,,müsst ihr uns oder vorallem Thorsten und\NLinus nicht glauben. Das könnt ihr alles Dialogue: 0,0:50:06.18,0:50:09.90,Default,,0000,0000,0000,,selber nachprüfen, wenn ihr eines der\NSamples runterladet und die Tools darüber Dialogue: 0,0:50:09.90,0:50:13.63,Default,,0000,0000,0000,,laufen lasst. Und wir hoffen, dass auf\Ndiese Art und Weise noch weitere Samples Dialogue: 0,0:50:13.63,0:50:17.46,Default,,0000,0000,0000,,analysiert werden können. Das ist jetzt\Nnoch mal ein Überblick, wie sowas dann in Dialogue: 0,0:50:17.46,0:50:21.41,Default,,0000,0000,0000,,der Gesamtheit aussehen kann. Wir müssen\Nein ganz bisschen springen an der Stelle Dialogue: 0,0:50:21.41,0:50:25.43,Default,,0000,0000,0000,,und schauen, wo wir dann weitermachen.\NGenau das ist dann so eine Konfiguration, Dialogue: 0,0:50:25.43,0:50:28.95,Default,,0000,0000,0000,,wie sie in der Summe aussieht.\NT: Genau, das ist jetzt dieses „Andriod“ Dialogue: 0,0:50:28.95,0:50:34.29,Default,,0000,0000,0000,,Beispiel, was 2012 schon auf VirusTotal\Ngelandet ist. Hier sehen wir, wie ich Dialogue: 0,0:50:34.29,0:50:38.64,Default,,0000,0000,0000,,schon angedeutet habe, es gibt dann so\NHostnamen, die schon den Namen beinhalten. Dialogue: 0,0:50:38.64,0:50:42.02,Default,,0000,0000,0000,,Ich muss aber auch nochmal dazusagen: Es\Nhat jetzt keine besonders große Dialogue: 0,0:50:42.02,0:50:45.83,Default,,0000,0000,0000,,Aussagekraft, wenn man ein Sample für sich\Nbetrachtet und solche Zeichenketten da Dialogue: 0,0:50:45.83,0:50:50.03,Default,,0000,0000,0000,,drin findet. Denn Josh Grunzweig, der das\Nschon 2012 in seinem Blog dokumentiert Dialogue: 0,0:50:50.03,0:50:53.49,Default,,0000,0000,0000,,hat, hat auch schon ein Tool\Nveröffentlicht auf GitHub, womit man genau Dialogue: 0,0:50:53.49,0:50:59.67,Default,,0000,0000,0000,,so eine Konfiguration herstellen kann und\Nin so ein APK reindrücken kann. Das heißt, Dialogue: 0,0:50:59.67,0:51:02.55,Default,,0000,0000,0000,,man könnte im Grunde\Ngenommen sowas auch faken. Dialogue: 0,0:51:02.55,0:51:07.03,Default,,0000,0000,0000,,U: Das heißt, die Aussage ist tatsächlich\Nweniger „Was steht drin in diesen Dialogue: 0,0:51:07.03,0:51:11.70,Default,,0000,0000,0000,,versteckten Konfigurationsinformationen?“\NSondern die Aussage ist: Alle Samples Dialogue: 0,0:51:11.70,0:51:15.82,Default,,0000,0000,0000,,verwenden die gleiche Technik, die gleiche\Nproprietäre und auch ziemlich ausgefuchste Dialogue: 0,0:51:15.82,0:51:20.54,Default,,0000,0000,0000,,Technik, um diese Daten zu verstecken in\Nder APK-Datei. Und diese Gleichheit ist Dialogue: 0,0:51:20.54,0:51:24.99,Default,,0000,0000,0000,,die eigentliche Aussage dieser Analyse.\NAlle untersuchten Samples nutzen eben Dialogue: 0,0:51:24.99,0:51:28.26,Default,,0000,0000,0000,,diesen proprietären Mechanismus. Und du\Nsagst, das Format wurde aber Dialogue: 0,0:51:28.26,0:51:32.76,Default,,0000,0000,0000,,weiterentwickelt?\NT: Es sieht ganz danach aus, wenn man, Dialogue: 0,0:51:32.76,0:51:36.98,Default,,0000,0000,0000,,sich den Inhalt dieser Binärdatei anguckt.\NSie benutzen dann so eine Art Directory, Dialogue: 0,0:51:36.98,0:51:42.66,Default,,0000,0000,0000,,um Nummern bestimmten Funktionen oder\NVariablennamen zuzuweisen. Das ist auch Dialogue: 0,0:51:42.66,0:51:47.08,Default,,0000,0000,0000,,der Punkt, was es einfach macht, diese\NKonfiguration zu parsen, zu verarbeiten Dialogue: 0,0:51:47.08,0:51:50.30,Default,,0000,0000,0000,,und herauszufinden, welche\NWerte bedeuten was. Dialogue: 0,0:51:50.30,0:51:53.07,Default,,0000,0000,0000,,U: Diese Werte sind zum\NBeispiel diese hier. Dialogue: 0,0:51:53.07,0:51:56.71,Default,,0000,0000,0000,,T: Beispielsweise das. Im adalet-Sample\Ngibt es, wie ich vorhin schon gezeigt Dialogue: 0,0:51:56.71,0:52:00.60,Default,,0000,0000,0000,,habe, verschiedene Werte, die jetzt auch\Nnicht unbedingt auf die Türkei hindeuten. Dialogue: 0,0:52:00.60,0:52:04.72,Default,,0000,0000,0000,,Dann gibt es auch aus dem gleichen\NZeitraum noch einen flash28-Sample, was Dialogue: 0,0:52:04.72,0:52:08.77,Default,,0000,0000,0000,,große Ähnlichkeiten und Parallelen mit dem\Nadalet-Sampel aufweist. Da wird z. B. ein Dialogue: 0,0:52:08.77,0:52:14.17,Default,,0000,0000,0000,,Proxy aus Neuseeland genommen, ansonsten\Ndie gleiche Telefonnummer und dieses Dialogue: 0,0:52:14.17,0:52:19.64,Default,,0000,0000,0000,,derise-Sample hat, wie ich auch schon\Nangedeutet habe, sämtliche Werte, die Dialogue: 0,0:52:19.64,0:52:23.86,Default,,0000,0000,0000,,davon relevant sind, zeigen Richtung\NVietnam. Ob das etwas aussagt? Keine Dialogue: 0,0:52:23.86,0:52:27.92,Default,,0000,0000,0000,,Ahnung. In jedem Fall haben wir auch all\Ndas, diese ganzen Configs, die wir daraus Dialogue: 0,0:52:27.92,0:52:35.40,Default,,0000,0000,0000,,extrahiert haben, haben wir auch auf\NGitHub veröffentlicht. Das findet ihr bei Dialogue: 0,0:52:35.40,0:52:39.11,Default,,0000,0000,0000,,Linus in der FinSpy-Dokumentation, wo\Nauch der Bericht und alle anderen Samples Dialogue: 0,0:52:39.11,0:52:41.31,Default,,0000,0000,0000,,liegen.\NU: Genau und vielleicht mag sich ja mal Dialogue: 0,0:52:41.31,0:52:44.75,Default,,0000,0000,0000,,jemand diese Telefonnummern anschauen,\Nvielleicht kennt die ja jemand aus Dialogue: 0,0:52:44.75,0:52:48.13,Default,,0000,0000,0000,,irgendwelchen anderen Zusammenhängen. Das\Nkönnten noch ganz interessante Dialogue: 0,0:52:48.13,0:52:51.90,Default,,0000,0000,0000,,Rückschlüsse werden. Da würden wir uns\Nüber Hinweise freuen. Und insgesamt sieht Dialogue: 0,0:52:51.90,0:52:58.97,Default,,0000,0000,0000,,man dabei – das ist die Übersicht über die\NSamples, die ihr analysiert habt. Aber man Dialogue: 0,0:52:58.97,0:53:03.01,Default,,0000,0000,0000,,sieht, denke ich, ganz gut, dass es da so\Netwas wie eine Familienstruktur gibt. Dialogue: 0,0:53:03.01,0:53:06.82,Default,,0000,0000,0000,,T: Genau. Der einzige, der hier so ein\Nbisschen aus der Reihe fällt, ist das Ding Dialogue: 0,0:53:06.82,0:53:10.64,Default,,0000,0000,0000,,hier. Das Ding, hab ich jetzt einfach mal\NContainer genannt, weil es sonst keinen Dialogue: 0,0:53:10.64,0:53:14.17,Default,,0000,0000,0000,,Namen hatte. Das ist ein APK, was\Nüberhaupt keine Parallelen zu den anderen Dialogue: 0,0:53:14.17,0:53:18.03,Default,,0000,0000,0000,,aufweist. Aber dieses eine Sample hebt\Nsich insofern von den anderen ab, als dass Dialogue: 0,0:53:18.03,0:53:21.98,Default,,0000,0000,0000,,wir das jetzt hier noch mit aufgenommen\Nhaben, das dropped, also legt, quasi eine Dialogue: 0,0:53:21.98,0:53:26.70,Default,,0000,0000,0000,,Schadsoftware APK überhaupt erst ab. In\Ndiesem grau markierten Sample gibt es Dialogue: 0,0:53:26.70,0:53:32.38,Default,,0000,0000,0000,,einen lokalen Root Kernel Exploit gegen\Nden Linux-Kernel auf Android-Devices. Die Dialogue: 0,0:53:32.38,0:53:38.11,Default,,0000,0000,0000,,nutzen da die als „Dirty COW“ bekannte\NSchwachstelle aus, um Root auf dem Telefon Dialogue: 0,0:53:38.11,0:53:42.17,Default,,0000,0000,0000,,zu werden. Da liegen dann noch Werkzeuge,\Num persistent Root zu bleiben. Und dann Dialogue: 0,0:53:42.17,0:53:47.80,Default,,0000,0000,0000,,liegt da halt auch noch ein Sample,\Nnämlich dieses hier, dieses PyawApp. Ich Dialogue: 0,0:53:47.80,0:53:52.86,Default,,0000,0000,0000,,weiß nicht, wie man das ausspricht. Das\Nist das Ding, wo wir davon ausgehen, dass Dialogue: 0,0:53:52.86,0:53:58.12,Default,,0000,0000,0000,,es in diesem Kontext Myanmar zugeschrieben\Nwird. Weil Pyaw ein sehr bekanntes Dialogue: 0,0:53:58.12,0:54:03.49,Default,,0000,0000,0000,,soziales Netzwerk in der Region ist.\NU: Und die Antwort aus technischer Dialogue: 0,0:54:03.49,0:54:08.28,Default,,0000,0000,0000,,Perspektive. Vieles davon haben wir im\NGrunde schon gesagt. Aber in der Dialogue: 0,0:54:08.28,0:54:12.43,Default,,0000,0000,0000,,Zusammenfassung …\NT: Wie gesagt, sämtliche Samples, die wir Dialogue: 0,0:54:12.43,0:54:15.44,Default,,0000,0000,0000,,hier analysiert haben, benutzen den\Ngleichen Mechanismus für die Dialogue: 0,0:54:15.44,0:54:19.53,Default,,0000,0000,0000,,Provisionierung. Diese ganzen\NKonfigurationen liegen in einem sehr Dialogue: 0,0:54:19.53,0:54:25.55,Default,,0000,0000,0000,,speziellen, Binärformat vor. Das ist kein\Nallgemeingültiges Format, muss also Dialogue: 0,0:54:25.55,0:54:29.30,Default,,0000,0000,0000,,definitiv aus einem Hause stammen. Wir\Nhaben große Ähnlichkeiten auch unterhalb Dialogue: 0,0:54:29.30,0:54:34.60,Default,,0000,0000,0000,,des Java-Codes, wo es auch Hinweise darauf\Ngibt, dass es aus deutschem Hause stammt. Dialogue: 0,0:54:34.60,0:54:42.98,Default,,0000,0000,0000,,Wir können ganz genau sagen, dass das\Nadalet-Sample frühestens im Jahr 2016 Dialogue: 0,0:54:42.98,0:54:49.16,Default,,0000,0000,0000,,hergestellt wurde. Und die Samples\Nzwischen 2012 und 2014 können auch ganz Dialogue: 0,0:54:49.16,0:54:53.51,Default,,0000,0000,0000,,eindeutig der Firma FinFisher zugeordnet\Nwerden, weswegen da eigentlich in der Dialogue: 0,0:54:53.51,0:54:57.42,Default,,0000,0000,0000,,Schlussfolgerung auch klar gesagt werden\Nkann, dass all diese Samples, die wir uns Dialogue: 0,0:54:57.42,0:55:02.30,Default,,0000,0000,0000,,zwischen 2012 und 2019 angeguckt haben,\Nder Firma oder der Firmengruppe FinFisher Dialogue: 0,0:55:02.30,0:55:04.76,Default,,0000,0000,0000,,zuzuordnen ist.\NU: Und all das könnt ihr nochmal im Dialogue: 0,0:55:04.76,0:55:09.31,Default,,0000,0000,0000,,Detail nachlesen in der Studie des CCC,\Ndie schon veröffentlicht wurde gestern und Dialogue: 0,0:55:09.31,0:55:13.66,Default,,0000,0000,0000,,wie gesagt, ganz wichtig, wir möchten die\Neigentlich gerne noch auf Englisch Dialogue: 0,0:55:13.66,0:55:17.33,Default,,0000,0000,0000,,publizieren. Wir haben deswegen schon mal\Neine URL für ein Pad auf die Folie Dialogue: 0,0:55:17.33,0:55:20.78,Default,,0000,0000,0000,,geworfen. Das Pad gibt’s da nicht, das\Nfüllen wir noch aus mit einer Roh- Dialogue: 0,0:55:20.78,0:55:24.44,Default,,0000,0000,0000,,Übersetzung aus Google Translate. Oder\Nvielleicht mag das auch jemand von euch Dialogue: 0,0:55:24.44,0:55:26.73,Default,,0000,0000,0000,,machen.\NT: Wir würden das gerne crowdsourcen. Dialogue: 0,0:55:26.73,0:55:30.46,Default,,0000,0000,0000,,U: Das ist ein bisschen die Idee dabei,\Nweil das schon ein bisschen Arbeit ist, Dialogue: 0,0:55:30.46,0:55:34.21,Default,,0000,0000,0000,,und wir schaffen das einfach schnell,\Njetzt, während des Kongresses nicht. Aber Dialogue: 0,0:55:34.21,0:55:37.88,Default,,0000,0000,0000,,vielleicht hat jemand Lust uns zu helfen.\NDas wird die URL. Und vor allem ganz Dialogue: 0,0:55:37.88,0:55:41.74,Default,,0000,0000,0000,,wichtig: Check the facts! Das werden wir\Nnatürlich aus GFF-Perspektive machen. Wir Dialogue: 0,0:55:41.74,0:55:45.24,Default,,0000,0000,0000,,gehen davon aus, dass es auch die\NStaatsanwaltschaft machen wird. Aber ich Dialogue: 0,0:55:45.24,0:55:49.04,Default,,0000,0000,0000,,persönlich finde es großartig, dass der\NCCC die Tools und die ganzen Unterlagen, Dialogue: 0,0:55:49.04,0:55:52.86,Default,,0000,0000,0000,,die zur Analyse vorlagen, ins Netz\Ngestellt hat. Einfach, damit man das nicht Dialogue: 0,0:55:52.86,0:55:56.39,Default,,0000,0000,0000,,unbedingt glauben muss, sondern dass man\Nselber sich davon überzeugen kann. Dialogue: 0,0:55:56.39,0:56:00.40,Default,,0000,0000,0000,,T: Transparenz ist uns sehr wichtig. Und\Nhier auch noch ein kleiner Gruß ans BKA Dialogue: 0,0:56:00.40,0:56:07.10,Default,,0000,0000,0000,,und LKA. Ihr habt diese Samples ja auch in\Neiner ganz neuen Version. Vielleicht könnt Dialogue: 0,0:56:07.10,0:56:10.71,Default,,0000,0000,0000,,ihr euch das ja mal angucken, und wir sind\Noffen für Pull-Requests. Dialogue: 0,0:56:10.71,0:56:21.67,Default,,0000,0000,0000,,{\i1}Applaus{\i0}\NU: Ein Pull-Request aus Wiesbaden? Das Dialogue: 0,0:56:21.67,0:56:24.34,Default,,0000,0000,0000,,wäre doch mal eine gute Idee oder eben\Nauch aus Berlin. Dialogue: 0,0:56:24.34,0:56:26.45,Default,,0000,0000,0000,,T: Ihr könnt auch Tor benutzen, das ist\Negal. Dialogue: 0,0:56:26.45,0:56:30.02,Default,,0000,0000,0000,,U: Kein Problem, da sind wir ganz offen.\NUnd das Berliner LKA könnte da auch Dialogue: 0,0:56:30.02,0:56:33.65,Default,,0000,0000,0000,,mitmachen. Die haben ja auch mal ein\NSample gekauft, das aber nie eingesetzt. Dialogue: 0,0:56:33.65,0:56:37.37,Default,,0000,0000,0000,,Sie brauchen das eh nicht mehr. Insofern,\Ndas hätten sie über. Was bedeutet das Dialogue: 0,0:56:37.37,0:56:41.04,Default,,0000,0000,0000,,jetzt alles für das Strafverfahren? Aus\Nunserer Perspektive als GFF: Wir haben Dialogue: 0,0:56:41.04,0:56:44.89,Default,,0000,0000,0000,,keine Zweifel und natürlich auch aus der\NPerspektive des Clubs, dass der deutsche Dialogue: 0,0:56:44.89,0:56:48.74,Default,,0000,0000,0000,,Trojaner FinFisher gegen die türkische\NOpposition eingesetzt wurde, davon sind Dialogue: 0,0:56:48.74,0:56:52.88,Default,,0000,0000,0000,,wir fest überzeugt. Irgendwie muss dieser\NTrojaner aus München in die Hände Dialogue: 0,0:56:52.88,0:56:56.66,Default,,0000,0000,0000,,türkischer Behörden gelangt sein oder\Nsonst aus den Händen der Firmengruppe Dialogue: 0,0:56:56.66,0:57:00.80,Default,,0000,0000,0000,,FinFisher. Und diese Verstoße gegen die\NExportkontrollvorschriften wären auch noch Dialogue: 0,0:57:00.80,0:57:04.55,Default,,0000,0000,0000,,nicht verjährt. Und deswegen liegt der\NBall jetzt bei der Staatsanwaltschaft Dialogue: 0,0:57:04.55,0:57:09.74,Default,,0000,0000,0000,,München 1. Denn eine Frage ist noch offen:\NWie genau ist eigentlich der Trojaner in Dialogue: 0,0:57:09.74,0:57:14.23,Default,,0000,0000,0000,,die Türkei gelangt? Wir können jetzt quasi\Nnicht irgendwie nachweisen, da ist der Dialogue: 0,0:57:14.23,0:57:18.71,Default,,0000,0000,0000,,Agent mit dem schwarzen Aktentäschchen\Nnach Istanbul gereist, oder da ist der Dialogue: 0,0:57:18.71,0:57:24.08,Default,,0000,0000,0000,,USB-Stick geflogen, sondern das müssten\Ndie Strafverfolger noch aufklären. Aber Dialogue: 0,0:57:24.08,0:57:27.30,Default,,0000,0000,0000,,wie gesagt, dafür haben wir die\NStrafanzeige gestellt. Dazu hat die Dialogue: 0,0:57:27.30,0:57:31.08,Default,,0000,0000,0000,,Staatsanwaltschaft alle Mittel. Und wir\Nhoffen, dass sie das sehr konsequent tun Dialogue: 0,0:57:31.08,0:57:34.71,Default,,0000,0000,0000,,wird. Denn eins ist klar: Menschenrechte\Nkann man nicht nur mit Kalaschnikows Dialogue: 0,0:57:34.71,0:57:39.25,Default,,0000,0000,0000,,verletzen, sondern selbstverständlich auch\Nmit Staatstrojanern. Und dem muss ein Ende Dialogue: 0,0:57:39.25,0:57:40.84,Default,,0000,0000,0000,,gemacht werden. Vielen Dank! Dialogue: 0,0:57:40.84,0:57:43.60,Default,,0000,0000,0000,,{\i1}Applaus{\i0} Dialogue: 0,0:57:43.60,0:57:53.83,Default,,0000,0000,0000,,U: Herzlichen Dank, wir haben noch ganz\Nein wenig Zeit, oder? Dialogue: 0,0:57:53.83,0:57:56.77,Default,,0000,0000,0000,,T: Naja, eine Minute.\NHerald: Euer Applaus. Wunderschön! Dialogue: 0,0:57:56.77,0:58:00.29,Default,,0000,0000,0000,,U: Dankeschön!\NHerald: Wir haben leider keine Zeit mehr Dialogue: 0,0:58:00.29,0:58:05.64,Default,,0000,0000,0000,,für Fragen. Ich habe ganz zu Anfang vor\Ndiesem Talk erwähnt, dass es die C3 Post Dialogue: 0,0:58:05.64,0:58:11.85,Default,,0000,0000,0000,,gibt. Und die beiden Speaker haben\Nerwähnt, dass sie am 28C3 einen Dialogue: 0,0:58:11.85,0:58:16.55,Default,,0000,0000,0000,,Datenträger bekommen haben. Damals\Nbestimmt anders zugestellt, es gab noch Dialogue: 0,0:58:16.55,0:58:20.91,Default,,0000,0000,0000,,keine C3 Post. Heute bin ich Postbote, und\Nich darf zustellen. Ein Paket. Dialogue: 0,0:58:20.91,0:58:26.11,Default,,0000,0000,0000,,U: Herzlichen Dank, ach so, das ist deins.\NErst nach dem Talk öffnen, machen wir, Dialogue: 0,0:58:26.11,0:58:30.33,Default,,0000,0000,0000,,ganz herzlichen Dank.\NT: Dankeschön. Dialogue: 0,0:58:30.33,0:58:33.57,Default,,0000,0000,0000,,{\i1}Applaus{\i0} Dialogue: 0,0:58:33.57,0:58:39.77,Default,,0000,0000,0000,,Herald: Und wenn ihr für einen Malware-\NHersteller arbeitet, ich hoffe, dieses Dialogue: 0,0:58:39.77,0:58:45.58,Default,,0000,0000,0000,,Paket enthält euren Albtraum für heute\NNacht. Großen Applaus für Thorsten Dialogue: 0,0:58:45.58,0:58:47.93,Default,,0000,0000,0000,,Schröder und Ulf Buermeyer! Dialogue: 0,0:58:47.93,0:58:49.99,Default,,0000,0000,0000,,{\i1}Applaus{\i0} Dialogue: 0,0:58:49.99,0:58:53.34,Default,,0000,0000,0000,,{\i1}Abspannmusik{\i0} Dialogue: 0,0:58:53.34,0:59:05.73,Default,,0000,0000,0000,,Untertitel erstellt von c3subtitles.de\Nim Jahr 2020. Mach mit und hilf uns!