Das waren wohl mal wieder so richtige Experten, die den »Bundestrojaner« geschrieben haben: Aufgrund von groben Design- und Implementierungsfehlern entstehen außerdem eklatante Sicherheitslücken in den infiltrierten Rechnern, die auch Dritte ausnutzen können. Finde ich übrigens toll, dass das Ding fernsteuerbar ist und nach der Installation beliebiges Zeug droppen kann. Das freut die Ermittler bestimmt. Wenn sie bei der Untersuchung und Überwachung schon nichts finden können, dann haben sie wenigstens die Möglichkeit – und gäbe es da jemanden, der das kontrollierte? – einfach ein bisschen belastendes Material auf dem untersuchten Rechner zu hinterlegen. Das sind doch großartige Möglichkeiten, um langwierige Ermittlungen ein wenig zu beschleunigen!

Nachtrag: Ich lese gerade die Dokumentation des CCC und denke mir immer wieder nur: Das kann doch nicht wahr sein! Haben die sich etwa ein Ei unterjubeln lassen? Wenn dieser Trojaner auf einem Rechner läuft, kann er von jedem anderen Rechner im Internet angesteuert werden. Es gibt kein Authentifizierungsverfahren. Auf keiner Seite der Kommunikation. (Okay, die IP-Adresse muss gespooft werden, aber das ist Kinderkacke.) Der Trojaner sendet einfach nur als eigene Identifikation C3PO-r2d2-POE zurück. Ja, C3PO und R2D2! Laserschwert, ich hör dich brummen! Und jeder Rechner im Internet, über den das geroutet wird, könnte an der bloßen Tatsache, dass dieser festgesetzte String gesendet wird, den Trojaner erkennen und alles mögliche damit machen. Zum Beispiel beliebige ausführbare Dateien auf den befallenen Rechner hochladen, die dann ausgeführt werden. Die müssen nicht einmal verschlüsselt werden. Unfassbar! So doof können die Programmierer im mutmaßlichen Auftrag des BKA doch gar nicht gewesen sein. Und wenn sie es doch waren, kann das durch keine Revision gekommen sein. Wenn das wirklich der Bundestrojaner ist, denn hat sich in Zukunft jedes Vertrauen in eine staatlich erstellte Software erübrigt. Da herrscht gnadenlose Unfähigkeit. Das ist einfach nur… m(

Nachtrag Zwei: Hallo, Zeit Online, Einschläge? »Ein besserer Schutz wäre klarere Gesetze« – das Ding ist jetzt schon klar gesetzwidrig. Das hat sich schon vor einer vollständigen Analyse gezeigt. Glaubt die Zeit da allen Ernstes, dass andere, nein: »bessere« Gesetze eher eingehalten würden? Puh, wenn das der Journalismus ist, der die Machenschaften für die Menschen in der BRD kontrolliert und erklärt, dann brauchen die Profiteure der Machenschaften aber keine Angst vor diesem Journalismus zu haben.

Nachtrag Drei (Weil ich gerade hellwach geworden bin): Die FAZ hat es wirklich gut und laientauglich erklärt, ohne sich durch staatstragende Bullshit-Erklärungen hervorzutun. Schade, dass ich niemanden kenne, der die FAS liest, sonst hätte ich etwas, worauf ich mich schon freuen würde…

Nachtrag Vier: Lesenswert ist der Kommentar und die Zusammenfassung im Lawblog.

Nachtrag Fünf: Das sehe ich ja jetzt erst. Was für eine Tomate auf den Augen! »Der Code wird morgen in ausführlicher und kommentierter Form im Feuilleton der ›Frankfurter Allgemeinen Sonntagszeitung‹ abgedruckt« – ROFL! Treffer und versenkt! Danke, CCC, Danke! Dass ich das noch einmal erleben darf, dass solche »Staatsgeheimnisse« der BRD in einer deutschsprachigen Zeitung stehen! :D

Nachtrag Sechs: Ein Video des CCC über den Bundestrojaner und seine Möglichkeiten.