Schutz von Smartphones vor Spyware und Forensischer Datenauswertung

Verwendung von Cyberwaffen gegen Bürger und Journalisten

Die aktuelle Aufregung um die von Amnesty aufgedeckte Verwendung der Überwachungs- und Trojanersoftware Pegasus der NSO Group zeigt, dass es ein Verbot zum Einsatz dieser Art Software, welcher auch der Staatstrojaner zuzurechnen ist, geben muss. Als Minimum sollte der Einsatz von Software dieser Art gegen Zivilpersonen und Journalisten mit langjährigen Haftstrafen für alle direkt und indirekt Beteiligte belegt werden. Eine “Waffe” wie Pegasus wird Menschen immer dazu verleiten, diese gegen Ihre politischen, oder wirtschaftlichen Gegner einzusetzen und damit das Anwendungsgebiet weit über die Terrorbekämpfung erweitern.

Amnesty hat eine sehr gute Veröffentlichung des Vorganges ( https://www.amnesty.org/en/latest/research/2021/07/forensic-methodology-report-how-to-catch-nso-groups-pegasus/ ) und auch ein forensiches Tool zu Hilfe für Betroffene als Open Source veröffentlicht ( https://github.com/mvt-project/mvt ). Auch im Wikipedia findet sich ein guter Eintrag dazu ( https://en.wikipedia.org/wiki/Pegasus_(spyware)#cite_note-amnesty-1 ).

Aktuell stellt sich die Situation so dar, dass Apples IPhones mit einer Zero-Click Attacke zum übernehmen waren, bzw. noch immer sind. Zero-CLick heißt, dass der Benutzer keine Aktion ausführen muss um Schadsoftware wie den Staatstrojaner, Pegasus, oder auch Software von Kriminellen zu aktivieren. Nach der Aktivierung versteckt sich die Software extrem gut und die “besten” Lösungen fallen über Jahre nicht auf. Speziell reine Anwender haben so gut wie keine Möglichkeit diesen zu finden.

Alle Analysen deuten aktuell darauf hin, dass Apples IPhones am stärksten betroffen sind und Android besser wegkommt. D.h. aber nicht, dass es bei Android Telefonen keine Zero-Day oder Zero-Click Exploits geben kann mit denen man das Telefon übernehmen kann. Es ist nur aktuell keiner bekannt.

Zusätzlich ist es extrem von den installierten Apps abhängig, denn auch in diesen können sich Hintertüren in das Telefon befinden.

Da es in Deutschland eine Gesetzesänderung zur Erlaubnis des Staatstrojaners gab (https://www.mdr.de/nachrichten/deutschland/politik/ueberwachung-messenger-staatstrojaner-geheimdienst-bundestag-100.html ) , besteht nun, auch für Staatsbürger anderer Länder das Risiko, nicht nur aus den USA, sondern auch innerhalb der EU, aus einem EU Mitgliedsstaat mit dem Staatstrojaner verseucht zu werden. Es besteht auch die Möglichkeit, dass z.B. Deutschland Pegasus als Staatstrojaner einsetzt, denn Pegasus dürfte zur Zeit im diesem Bereich führend sein. In Summe ist der Name der Software egal, die Funktionalität ist überall gleich - Unbemerktes Eindringen ins Smartphone und dann, ohne entdeckt zu werden, Daten zu sammeln und zu übermittelt - Eine End-to-End Verschlüsselung hilft hier nichts mehr, denn der Trojaner sitzt so im Smartphone, dass er vor der Verschlüsselung alle Texte, Bilder, Passwörter u.v.m mitlesen und an denjenigen, der den Trojaner kontrolliert, übermitteln kann. Zusätzlich kann über eine Hintertüre direkt auf das Gerät zugegriffen und damit die Aktionen des Anwenders live mitverfolgt werden.

Schutz vor Schadsoftware jeglicher Art

Vorab sei gesagt, es gibt, wie generell bei IT und digitalen Lösugnen, keinen 100%-igen Schutz und die Kombination Mensch der die Technik nicht versteht mit einem Smartphone als dauerhaften Begleiter in jeder Lebenssituation erhöht das Risiko extrem.

Trotzdem kann jeder, auch der technische Laie, bereits mit einfachen Aktionen das Risiko eines Schadsoftwareangriffs dramatisch reduzieren. Im KMJ.at Blog finden sich bereits viele Anleitungen für die Installation von Custom ROM’s und zur Absicherung von mobilen Endgeräten. Zusammenfassend hier eine Übersicht über einfache Möglichkeiten die Angriffsfläche massiv zu reduzieren.

Ach und wenn Sie jetzt glauben, Sie haben nicht zu verbergen, dann liegen Sie falsch. Denn im Gegensatz zu mir, der einen Offline Tan-Generator für Bankgeschäfte nutzt und die App natürlich nicht installiert hat, reicht bei Ihnen vermutlich der Zugriff auf Ihr Telefon um Ihre Konten zu leeren und diese Überweisungen auch gleich mit der APP zu signieren. Sie haben weit mehr zu verbergen, aber wenn die Konten leer sind, ist das alles nicht mehr so wichtig. Sollten Sie bereits auf richtige 2-Faktor Signatur mit einem Offline Gerät als 2. Faktor setzen, haben Sie schon vieles richtig gemacht.

Die einfachsten Regeln

Installieren Sie keine Apps und wenn, dann nur Open Source

Leider ist es in Zeiten wie diesen üblich, Apps mit teilweise dümmlich tanzenden Menschen, bei gleichzeitigem Sprechen von - Sicher, Vorteil, Erleichterung, Einfach, Hilfreich - zu bewerben. Natürlich sind die Apps kostenlos und technisch unbedarfte Anwender laden sich diese Programme, App ist nur ein schöner Name für Programm, dass auf Ihrem Gerät läuft, auf das Gerät. Danach noch Zugriff auf die Kontakte, den Kalender und die Telefonliste erlauben und alle Daten sind bereits beim Anbieter der App gelandet.

Abgesehen davon, dass es, da Sie weder von jedem Kontakt die schriftliche Erlaubnis dazu haben und Sie auch das Widerrufs- und Löschrecht nicht exekutieren können, nach DSGVO illegal ist, das Adressbuch zum Anbieter zu laden, geben Sie Daten für forensische Auswertung an Dritte, die daraus riesige Datenbanken bauen und verkaufen. Im besten Fall. Im schlechtesten Fall haben Sie alles an Kriminelle übermittelt. Eine Strafe in der Höhe mehrerer tausend Euro wegen der DSGVO Verletzung und hohe Schadensersatzforderungen, wenn Sie z.B. dadurch die Geheimnummer eines Kontakts veröffentlichen, sind die möglichen rechtlichen Folgen.

Zusätzlich löschen viele Anwender keine Apps, wobei Schadsoftware sich natürlich nicht deinstalliert, auch wenn die App, die die Schadsoftware mitgebracht hat, deinstalliert wird. Alle diese irgendwann installierten Apps laufen weiter im Hintergrund, auch wenn Sie nicht geöffnet werden und sammeln und übermitteln weiter Daten. Ein Zustand den Sie so sicher nicht gewünscht haben

Die Installation von Apps ist so, wie wenn Sie fremden den Schlüssel zu Ihrer Wohnung geben und darauf vertrauen, das danach noch alles an seinem Platz ist und nichts fehlt.Bei der Verwendung des Browsers stehen Sie in der Türe und geben nur vereinbarte Sachen an denjenigen der vor der Türe steht, ohne ihn einzulassen.

TIPPS für Standard Telefone

Generell ist, bis diese Zero-Click Einbruchsmöglichkeit bei IOS final geklärt ist, von der Verwendung von Apple IOS Telefonen abzuraten. Für alle Telefone, egal ob Android, LineageOS, oder auch IOS gilt:

  • Installieren Sie im Normalfall keine Apps, sondern verwenden Sie immer bevorzugt den Browser. Sichere Open Source Browser, wie der Tor Browser, Firefox, DuckDuckGo oder LibreWolf sind nur dafür entwickelt Sie sicher durch das Internet zu begleiten. Jeder seriöse Anbieter hat eine Webseite, die Sie mit dem Browser erreichen können und auf der Sie alles machen können, dass auch die App kann. Im Unterschied zu der App hat die Webseite keinen Zugriff auf das Telefon und kann daraus nichts, außer den Browserdaten etc. auslesen. Und wenn Sie den Browser stoppen, bzw. von der Webseite wegbewegen, läuft nichts mehr im Hintergrund zum sammeln von Daten. So ist die Angriffsfläche bereits massiv reduziert und Sie bleiben zu großen Teilen bereits Herr über Ihre Daten und vermeiden Drive-By Installation von Schadsoftware durch die Installation der App, durch die Verwendung des Browsers. Es ist verständlich, dass Anbieter von Apps die Installation gegenüber dem Browser bevorzugen, denn damit weiß man immer wo Sie sind, kann Ihr Verhalten auswerten und zusätzlich Nachrichten an Sie senden, die dann am Smartphone als Ereignisbenachrichtigung angezeigt werden. Diese Nachrichten erscheinen immer, wenn Sie die App länger nicht nutzen. Damit erzeugt der Anbieter Aktivität und kann Ihr Verhalten wieder besser auswerten. Auch das ist vermutlich bei der Mehrheit der Menschen unerwünscht.
  • Verwenden Sie den Tor Browser (https://torproject.org) als Standard Browser. Der Tor Browser schützt durch die Anonymisierung täglich viele Berufsgruppen, Journalisten und Aktivisten vor Verfolgung! Für Sie ist extrem wertvoll, dass der Tor Browser Ihre IP Adresse verschleiert und Webseiten Betreiber nur die IP Adresse des sogenannten Tor Exit Nodes, welcher in keinem Zusammenhang mit Ihnen steht, sehen. Damit können Sie, ohne dass jemand weiß, dass Sie es sind, auch kritische Seite, wie z.B. über Gesundheit und Politik besuchen. Noch nicht einmal Ihr Provider weiß dabei, dass Sie diese Seiten besuchen. Den Tor Browser gibt es für jedes Betriebssystem, außer IOS. Apple hat anscheinend etwas dagegen, dass Sie anonym surfen. Da mein letztes IOS Gerät, ein 5S, schon seit Jahren stromlos auf die endgültige Vernichtung wartet, gehe ich hier nicht weiter darauf ein. Anleitungen für mein aktuelles LineageOS Setup finden sich im Blog.
  • Wenn Sie Apps benötigen, verwenden Sie nur Open Source Apps. Bei diesen ist der Programm Code (Source) öffentlich einsehbar und da dieser bei erfolgreichen Projekten von vielen geprüft wird, sind Hintertüren und Sicherheitslücken seltener und werden meist auch viel schneller behoben. Auf meinem Smartphone sind aktuell nur Open Source Anwendungen und durch die Verwendung von F-Droid gibt es zusätzliche Prüfungen.
  • Prüfen Sie die Berechtigungen der Apps, lassen Sie nur Zugriffe zu, die nicht vermeidbar sind. Öffnen Sie nie einer App die Kontakte, den Kalender, den Datenspeicher, etc. Überlegen Sie immer, warum eine App diesen Zugriff will und im Zweifelsfall sollten Sie den Zugriff nicht gewähren.
  • Verwenden Sie offline Tan Generatoren (CardTan) für Bankgeschäfte und installieren Sie keine App der Bank. Besuchen Sie die Bank Webseite mit dem Browser und erzeugen Sie den benötigten Tan mit diesem CardTan Gerät, in das Sie die Bankomat Karte schieben um den Tan zu erzeugen. Zusätzlich muss als zusätzlicher Schutz am CardTab Gerät der EB Pin eingegeben werden. Damit ist es unmöglich, sogar wenn Smartphone und PC komplett übernommen sind, Überweisungen durchzuführen und Ihr Geld bleibt auf Ihrem Konto.
  • Öffnen Sie keine Links in dubiosen SMS oder E-Mails. Überlegen Sie immer, bevor Sie klicken! Und sogar, wenn die Neugier Ihren Finger zucken lässt, atmen Sie durch und löschen Sie das Mail oder die SMS.
  • Löschen Sie nicht mehr benutzte Apps umgehend.
  • Halten Sie Ihr Smartphone immer am letzten Softwarestand. Wenn Ihr Hersteller länger als 6 Monate kein Update mehr anbietet, wechseln Sie zu einem Custom ROM, wie z.B. LineageOS mit allen Sicherheitspatches, oder vernichten Sie das Smartphone durch physikalische Zerstörung.


Profi Tipps

Oben genannte Regeln sind natürlich für Smartphone Profis viel zu wenig und ein richtiges Setup sieht in etwa so aus:

  • Geben Sie Ihr Smartphone nie aus der Hand. Sobald jemand, auch nur für Minuten, ein Kabel oder einen USB-Stick anstecken kann, sind Sie verloren und das Handy muss vernichtet werden.
  • Kaufen Sie ein Smartphone beim dem Sie in jedem Fall die Batterie entfernen können. Solange das Gerät Strom hat, laufen gewisse Diensts auch wenn es “ausgeschalten” ist. Nur ohne Batterie ist das Gerät ohne Funktion. Das FairPhone 3+ ( https://en.wikipedia.org/wiki/Fairphone_3 ) bietet sich hier an. Lange Lebensdauer durch Reparaturmöglichkeit und einfaches Entfernen der Batterie möglich. Alternativ bietet sich auch eines der neu erscheinenden Linux Smartphones an.
  • Das Smartphone sollte, wie z.B. das Fairphone, LineageOS unterstützen. Das vereinfacht die Installation und beendet nicht die Gerätegarantie.
  • Installieren Sie am Smartphone LineageOS, ohne Gapps (Google Apps) und rooten Sie das Telefon mit Magisk. Verwenden Sie nur den F-Droid Store zum installieren von Open Source Apps. Ohne Google Apps ist der Google App Store nicht verfügbar.
  • verschlüsseln Sie das Gerät mit einem mindestens 8-stelligen Pin Code, der auch nach 2 Minuten Inaktivität eingegeben werden muss.
  • Installieren Sie AFWall+ Firewall (IPTables) aus dem F-Droid App Store. Im KMJ Blog sind viele Anleitungen für die Installation von LineageOS und der sicheren Einrichtung inklusive Custom Scripts für AFWall+ und Automatisierung mit Easer.
  • Ersetzen Sie die Standardprogramme durch Open Source Software und deaktivieren Sie die Programme der Basisinstallation. Z.B. K9 Mail als E-Mail Programm, QKSMS als SMS Programm, WebDAV basierte Kalender und Adressbücher mit DAVx5 synchronisieren. Als Tastatur bietet sich das Hackers Keyboard an.
  • Verwenden Sie Greentooth um Bluetooth wenige Minuten nach dem Disconnect des letzten Gerätes zu deaktivieren. Damit ist die Angriffsfläche Bluetooth immer abgeschalten, wenn kein Gerät verbunden ist.
  • Sichern Sie mit Titanium auf eine verschlüsselte SD Karte und übertragen Sie die Sicherung, z.B. in Ihre selbst gehostete OwnCloud.
  • Installieren Sie Orbot und routen Sie den gesamten Traffic via AFWall+ (nicht über Tor VPN) durch das Tor Netz. In der DNS Anleitung im KMJ Blog ist beschrieben, wie man auch die DNS Anfragen über Tor umleitet und damit vor DNS Man-in-the-Middle geschützt ist.
  • Verwenden Sie OpenVPN zur Verbindung nach Hause oder ins Büro.
  • Benutzen Sie xBrowserSync als verschlüsselte Ablage für Bookmarks.
  • Installieren Sie KeePass am PC und Smartphone, am besten über WebDAV für einen Zugriff von jedem Gerät, zum Speichern Ihrer Passwörter. Verwenden Sie mindestens eine 16-stellige Passphrase und legen Sie für jeden Zugang ein eigenes Passwort an. Verwenden Sie nie ein Passwort zweimal und ein Passwort sollte als Minimum so aussehen -70AFdd3321RrV5jh78203ac602b3d256 - Durch die Speicherung im KeePass DatenSafe müssen Sie sich das Passwort ja nicht merken. Übertragen erfolgt mit Copy/Paste.
  • Installieren Sie keine Apps der großen Anbieter von Sozialen Medien oder Messenger. Installieren Sie diese Apps, wenn unbedingt notwendig, auf einem virtualisiertem Android-x86 Telefon, welches unter Proxmox, VMWare oder VirtualBox läuft. Bei Proxmox können Sie sich mit Spice zur Konsole verbinden und bei Bedarf USB Kamera und Mikrofon durchreichen. Aber am besten nie auf dem eigenen Smartphone installieren.
  • Wechseln Sie zu einem dezentralen Open Source Messenger der keine Daten über Sie sammelt. Der Element Matrix Messenger (https://element.io) dürfte aktuell bereits über 35 Millionen Benutzer haben und ist meine erste Wahl. Zusätzlich verwende ich den Session Messenger, einen Signal Fork, der komplett anonym ist und für ganz spezielle Fälle Briar, der ein reiner Peer-to-Peer Messenger durch das Tor Netzwerk ist. Wenn Sie schon unbedingt einen der großen Messenger benötigen, verwenden Sie den Element Messenger mit einer Bridge (https://matrix.org/bridges/) und kommunizieren Sie über den Element Messenger mit Benutzern anderer Systeme. Dadurch natürlich mit leerem Adressbuch, damit keine Daten übertragen werden.
  • Wechseln Sie von Twitter ins dezentrale Fediverse. Alle Mastodon, Friendica und Co. Server sind über ActivityPub verbunden, jeder kann mit jedem kommunizieren, folgen und antworten. Zusätzlich kann, wie bei Matrix auch, jeder seinen eigenen Server betreiben, der dann mit allen anderen über ActivityPub verbunden ist. Micro Blogging und Social Networking wie es sein sollte. Sie können Ihren Twitter Account bei Bedarf mit einem RSS2Tweet Bot basierend auf den Postings im Fediverse, ohne Notwendigkeit einer App, bzw. ohne sich einzuloggen, weiter betreiben.


Welche Möglichkeiten habe ich noch

Zusammenfassend kann man sagen, dass bei Beachtung der obigen Regeln eine massive Reduktion der Angriffsfläche erfolgt und es eher unwahrscheinlich wird, dass ein Angriff ohne physischen Kontakt zum Smartphone erfolgreich ist.

Zero-Day und Zero-Click Sicherheitslücken werden im Darknet für viele Millionen USD gehandelt und Firmen die Software in der Art des Staatstrojaners anbieten, kaufen diese Sicherheitslücken gerne auf. Dadurch erfolgt keine Information an den Hersteller der Software und die Käufer der Sicherheitslücke werden versuchen diese möglichst lange zu nutzen und diese, in Verbindung mit der Trojaner Software, für viele Millionen an die Kunden weiter zu verkaufen.

Ziel muss es aber sein, dass Sicherheitslücken schnellst möglich geschlossen werden, auch um den Angriff durch weitere Personen, die die Sicherheitslücke auch finden, zu vermeiden. Die Vorstellung, dass jemand eine Lücke alleine findet ist eher in den Bereich der Fantasie einzuordnen, denn bei all den vielen Menschen die solche Lücken suchen, ist es sehr wahrscheinlich, dass die Lücke in relativ kurzer Zeit auch von jemand anderem gefunden und ausgenutzt wird.

Sicherheitslücken vorsätzlich und für den eigenen Profit nicht zu schließen ist nicht akzeptabel und wird irgendwann eine Katastrophe, im Sinn des Eindringens in Netzwerke von Stromanbietern, Kernkraftwerken und ähnlichen Anlagen, auslösen. Da, wie in den letzten Monaten gezeigt, es auch hier Menschen gibt, die glauben heikelste Systeme müssen eine Internetanbindung haben, können die Auswirkungen eines solchen Eindringens verheerend sein.

Politiker aller Parteien sollten für die Verwendung solcher “Waffen” wirklich einen Weg, ähnlich dem Kriegswaffengesetz , suchen um die sich abzeichnende Katastrophe zu verhindern. Der Traum des totalen Überwachungsstaates durch Ausnutzen der Sicherheitslücken und dem Einsatz von Staatstrojanern würde mit ziemlicher Sicherheit in einem Cyberkrieg ungeahnten Ausmaßes, enden. Die EU wäre in diesem Cyberkrieg ein reines Opfer, bzw. ein Kollateralschaden ohne Aussicht auf irgendwelche positiven Aspekte. Damit ist es ganz besonders für EU Politiker wichtig hier die richtigen Schritte zu setzen.

Aber wie sagt man hier in Österreich - Die Hoffnung stirbt zuletzt -

Update


Gewerbliche Kunden

Die von mir gegründete CTS IT Solutions (https://cts-solutions.at) bietet gewerblichen Kunden seit 1985 perfekte und bestens erprobte IT Lösungen! Gerne beraten wir Sie bei allen Fragen rund um die IT!


Questions? Join my public room in the Matrix

If you like this blog entry feel free to join my public room by entering /join #kmj:matrix.ctseuro.com anywhere in the Element Messenger (https://element.io) box to send a message! Or follow this Link: https://matrix.to/#/#kmj:matrix.ctseuro.com Help or answering questions ONLY in this room!

Liebe Grüße,

Ihr

Karl M. Joch

https://kmj.at/contact/