die raven homepage
"PC-Wanzen" - Spion in der Tastatur

von Kai Raven
als Artikel im SPIEGEL ONLINE 26/2000 erschienen.

Was macht ein Geheimdienst oder ein Arbeitgeber, der mitlesen möchte, was eine Zielperson an E-Mails versendet oder verfasst? Er installiert in die Hardware einen so genannten Key-Logger. Der lässt sich auch von Verschlüsselungsprogrammen nicht irritieren - protokolliert wird alles, was der User über die Tastatur eingibt.

Keyghostmodul1
Relativ leicht zu finden: "Keyghost" zwischen Tastatur und Rechner gesteckt
Key-Logger sind der Alptraum jedes Datenschützers. Sie protokollieren jede Tastatureingabe, die der Anwender vornimmt und zeichnen auf, welches Programm dabei benutzt worden ist. Key-Logger gibt es seit langem als eigenständige Softwareprogramme und als Bestandteil von Remote-Control und Trojaner-Programmen wie SubSeven oder Back Orifice.

Der Key-Logger sammelt die Tastatureingaben in einer Datei, die später über einen Fernzugang abgerufen werden kann. Der Nachteil der seit langem auf dem Markt kursierenden Schnüffel-Programme: Durch Neuinstallation des Betriebssystems kann der Software-Key-Logger überschrieben oder, Kenntnisse vorausgesetzt, vom Anwender aufgespürt werden. Auch sichere Betriebssysteme wie Linux mit ihren Schutzmechanismen hebeln softwarebasierte Key-Logger aus.

Keyghostmodul2
Kleiner Viel-zu-viel-Könner: Gegen Hardware-Schnüffler ist kein Kraut gewachsen
Anders verhält es sich mit Key-Loggern, die in die Tastatur oder zwischen Tastatur und Rechner eingebaut sind, so dass die Tastatureingaben direkt an der Quelle abgefangen werden. Gegen die Hardwarelösung ist kein Kraut gewachsen. Login-Prozeduren und verschlüsselte Dateisysteme helfen da nicht mehr. Solch ein Hardwaretool stellt das Produkt Keyghost der neuseeländischen Firma Keyghost Ltd. dar.
Keyghosttastatur
Ein ganz normales Keyboard...
Geist schreibt mit...
Keyghost wird in verschiedenen Varianten angeboten: Die Standard- und Professional-Varianten befinden sich in einem zylindrischen Gehäuse, das in einem Tastaturkabeladapter integriert ist. Das eine Ende wird mit dem Tastaturkabel der Tastatur verbunden, das andere Ende wird in den PS/2-Port des Rechners gesteckt - fertig ist die Installation von Keyghost.

Keyghost Standard zeichnet 97.000 Zeichen auf, Keyghost Professional II 500.000 Zeichen und Professional II SE zwei Millionen Zeichen. Zusätzlich werden die abgefangenen Daten in der Professional-Variante mit 128-Bit verschlüsselt. Nachteil des Systems: Der Keyghost ist leicht zu finden und zu erkennen. Im Zweifelsfall reicht es, den Keyghost einfach abzuziehen - und schon tippt es sich wieder herrlich heimlich ungeniert. Doch die zukünftige Version Keyghost Mini wird als Adapter gar nicht mehr zu erkennen sein, da sich das Modul direkt im Tastaturkabel oder einem Tastaturadapter befindet.

Keyghosttatstatur-innen1
...gewendet und geöffnet:
Da ist doch was...
Die Ähnlichkeit zu den bekannten "Wanzen", die zum Abhören von Telefonaten und Gesprächen verwendet werden, legen es nahe, bei Keyghost von "PC-Wanzen" zu sprechen.
Die dritte und unauffälligste Variante ist das Security Keyboard. Hier ist der Keyghost direkt in eine Standard-Tastatur eingebaut. Keyghost Ltd. bietet auch den nachträglichen Einbau von Keyghost in eigene Tastaturen an.

In Deutschland sind dem Einsatz solcher Schnüffel-Hardware (und entsprechender Programme) relativ enge Grenzen gesetzt. Persönlichkeitsschutzrechte und Datenschutzbestimmungen laufen dem entgegen. In Unternehmen ist eine "Überwachung" zum Beispiel des Surfverhaltens eines Mitarbeiters grundsätzlich zustimmungspflichtig und muss mit dem Betriebsrat ausgehandelt werden: "Heimlich" dürfte da gar nichts laufen. Was in keiner Weise ausschließt, dass es nicht doch passiert.
Keyghosttatstatur-innen2
Keyghost bietet solche "Schnüffler"
auch zum nachträglichen Einbau an
Zwar ließen sich über Schnüffel-Programme oder -Hardware gewonnene Informationen nicht gegen einen Arbeitnehmer nutzen - doch im Zweifelsfall ist da, wo ein Anlass gefunden wird, auch ein Weg. Verführerisch für den Arbeitgeber ist nicht zuletzt der Preis zum Beispiel der Keyghost-Hardware: Die Standardversion kostet 139 Dollar, die Professional-Version 249 Dollar. Für die Tastaturvarianten kommen noch 50 Dollar für die Standard- und 60 Dollar für die Microsoft-Tastatur hinzu.
Technik
Das Keyghost Modul selbst besteht aus einem nichtflüchtigen Atmel AT45D041A 4-Megabit Flashmemory Chip in der Professional-Variante, einem programmierbaren Microchip Technology PIC16F876 Controller und einem Fairchild Semiconductor CD4066BCM Schalter.

Keyghostchip
Das Innenleben: Alles wie gehabt - aber perfekt versteckt
Nach Installation des Moduls oder der Tastatur werden die Tastatureingaben mit bis zu 5,5 Kilobyte pro Minute in den Speicherchip geladen. Zum Abrufen der gewonnenen Daten reicht jedes herkömmliche Textbearbeitungsprogramm, vom einfachen Editor bis Word, aus.
Das Modul kann selbstverständlich auch an einen anderen Computer umgesteckt werden, um die Eingaben an einem anderen Ort auszuwerten.
Nach Eingabe des 16-Zeichen langen Passwortes wird ein Menü angezeigt, über das der Inhalt des Chips in das Textbearbeitungsprogramm geladen oder gelöscht werden kann.

Links im WWW:

KeyCatch, D.I.R.T und H.O.P.E

Key-Logger gibt es wie bei Keyghost und KeyCatch (von der US-Firma Codex Data Systems, die auch Produkte herstellt, die "nur" für Geheimdienste bestimmt sind) als Hardwareausführung oder in Form von Programmen, die auf dem Rechner der Zielperson installiert oder per Trojan Horse (wie bei D.I.R.T [Data Interception by Remote Transmission] von Codex Data Systems, die dazu eigens ihre H.O.P.E™ Server vertreiben, über die zu Clients der D.I.R.T Trojan transportiert werden soll) eingeschleust werden.
Zu D.I.R.T/H.O.P.Ehat Cryptome einige Informationen gesammelt:

BildBild
DIRT Trojanergenerator und Zielpersonmanager aus dem D.I.R.T Programm

Nach den Cryptome Informationen und Links könnte es sein, dass das seit einiger Zeit bekannte Trojanerprogramm Back Orifice von Codex Data Systems zum eigenen Trojanerprogramm D.I.R.T umgebaut und der Quellcode von D.I.R.T wiederum vom FBI bei der Programmierung des eigenen Trojanerprogramms Magic Lantern mit verwendet wurde.
Aus einem weiteren Dokument geht hervor, dass bereits 1998 auch die NSA D.I.R.T in einem Review "gewürdigt" hatte.

Magic Lantern

Am 20. November 2001 veröffentlicht MSNBC den Artikel "FBI software cracks encryption wall - 'Magic Lantern' part of new 'Enhanced Carnivore Project'" und setzt damit den Anfang der Enthüllung des geheimen FBI Programms zur Entwicklung eines Key-Logger Programms, das per Trojaner die Überwachung der PC's von Zielpersonen unterstützen soll.
Einen Monat später, am 12. Dezember bestätigt das FBI offiziell, an einem Projekt mit dem Codenamen Magic Lantern zu arbeiten, lehnte aber jede weitere, öffentliche Diskussion des Projekts ab.
Der Sprecher des FBI, Paul Bresson, äusserte sich dazu mit den Worten

"...It is a workbench project that had not yet been deployed...We can't discuss it because it's under development.."

Magic Lantern ist ein Virus, der z.B. per E-Mail in den PC einer Zielperson eingeschleust werden soll, um dann einen Trojaner zu installieren, der als Key-Logger Daten sammelt und an das FBI zurücksendet.

Angeblich wollten die Antivirenhersteller McAfee (VirusScan) und Symantec (Norton AntiVirus) aufgrund einer Vereinbarung mit dem FBI das Aufspüren des Magic Lantern in ihren Programmen unterdrücken. Dies wurde von beiden Firmen dementiert.

Die wenigen Details zu Magic Lantern erinnern an die Funktionen des D.I.R.T-H.O.P.E Systems von Codex Data System und das KLS System des FBI

siehe auch FBI bestätigt Entwicklung des Schnüffelprogramms Magic Lantern


MicroGuard Surveillance Kit
Das MicroGuard Professional Computer Surveillance Kit der britischen Firma MicroSpy Ltd.
In der Produktbeschreibung heißt es:

"The MicroGuard Professional Computer Surveillance Kit contains all the equipment you will need to start your investigation within minutes of receiving your kit.
Two MicroGuard keyboard memory devices are included as there are two types of keyboard connectors in common use. Your kit also contains an upload unit and analysis software with a clear concise User Guide supplied on disk"


Als neues Produkt kündigt MicroSpy ein Keyboard mit eingebautem Transmitter an, der die abgefangenen Daten in einem Umkreis von mehreren hundert Metern an einen anderen PC überträgt und dazu lizenzfreie Funkfrequenzen nutzt.
Key Logger System KLS

Der bekannteste Fall des Jahres 1999, wo zum ersten Mal ein Software-Keylogger (als Bestandteil eines umfassenderen Keyloggersystems) eingesetzt wurde, war die Untersuchung des FBI gegen Nicodemo Scarfo, einem Angehörigen der Gambiano Mafiafamilie. Das FBI war in das Büro von Scarfo eingebrochen und hatte die Festplatte seines Computers kopiert. Wichtige Daten hatte Scarfo aber mit PGP verschlüsselt.
Deshalb suchte das FBI, nur mit einem Durchsuchungsbefehl ausgestattet, das Büro nochmals auf und installierte im Computer das, was der Deputy Assistant Director der Investigative Technology Branch der FBI Laboratory Division, Randall S. Murch, in einer Gerichtsanhörung als "Key Logger System (KLS)" bezeichnete. Murch beschreibt das KLS so:

FBI engineers configured a hardware/software and/or firmware solution based upon previously developed techniques which would permit the FBI to obtain the defendant's key (den PGP Private Key) and key-related information (die Passphrase). These techniques, and their various components, have become to be known collectively within the FBI as the Key Logger System (KLS).
(...)
The KLS, depending upon the hardware and software configuration of a targeted computer and the use of that computer, can, and typically will, have multiple components.
(...)
A component of the KLS deployed in this case was a "keystroke capture" component that was designed to record, under certain conditions described below, each keystroke typed on the keyboard.
(...)
In conclusion, the KLS, by design, prohibited the capture of keyboard keystrokes whenever the computer modem was on; other component(s), described above, limited their capture to only the passphrase and key-related information.

Sind Software Key-Logger mit Remote Control Funktionalitäten ausgestattet, können die abgefangenen Daten vom Angreifer abgerufen oder zu ihm übertragen werden.
Der Nachteil bei Software Key-Loggern besteht darin, dass die Implementation bei abgesicherten, bzw. sicheren Betriebssystemen wie UNIX/LINUX und z. T. auch Windows NT, schwierig, wenn nicht unmöglich ist, während Hardware Key-Logger in Minuten installiert werden können.
Hinzu kommt, dass Software Key-Logger immer Spuren in Konfigurationsdateien, im Dateisystem und in Prozesskontrolllisten hinterlassen, die von einem geübten Anwender aufgespürt werden können.

Durch den Einsatz von Key-Loggern - sei es nun in Software oder Hardware - wird jede Verschlüsselung ausgehebelt, weil die Klartextdaten vor der Verschlüsselung und nach der Entschlüsselung abgefangen werden können - die einzige Voraussetzung auf Seiten des Angreifers besteht im physischen Zugriff auf den Rechner oder im Eindringen in ein ungeschütztes System.
Deshalb kommt neben der Verschlüsselung auch der physischen Absicherung und Kontrolle von Rechnersystemen und der Konfiguration einer sicheren "Software-Umgebung" eine ebenso große Bedeutung zu.

[ Inhalt | Top ]