News Spionage-Software: BKA soll „Pe­gasus“-Trojaner erworben haben

[CyrionX]

@CyrionX Da es relativ wenige Telefonnummern gibt, dauert ein brute-force Ansatz nicht lange genug. Wenn man weiss, aus welchem Land die Nummer stammt, wird es nochmals leichter.

Wenn du den Hash-Algorythmus und/oder den Schlüssel kennst. Sonst kommt sowieso nur Binärmatsch heraus.
Aber ja stimmt, es ist wirklich zuwenig darüber bekannt und technische Details wird es dazu wohl auch nicht geben um zu überprüfen wie "konform" das ganze ist.

@Darkseth88 Gern doch

 

[plami]

Du kannst so ziemlich jeden Hash mit Brute-Force rausbekommen.
Ob unsere Sonne dann noch brennt ist ne andere Frage

Das Problem ist, dass es nur relativ wenige Telefonnummern gibt. Es gibt rund 30 verschiedene Vorwahlen für Handynummern und sagen wir danach kommen 7 Ziffern, dann sind das 30*10^7 Möglichkeiten. Angenommen die Berechnung eines Hashes dauert auf einem handelsüblichen Desktop-PC 10ms (ich schätze, das geht noch um Größenordnungen schneller), dann hätten wir in gut einem Monat alles gebruteforced.

 

[chr1zZo]

Da kann man nur Aufrüsten in Punkto Sicherheit Damit sowas funktioniert, muss man sich eben auch damit beschäftigen was die aktuellen Programme so können und sie funktionieren könnten. Dafür gibts Insider ^^

 

[Bigfoot29]

Ob unsere Sonne dann noch brennt ist ne andere Frage

So lange wirds nicht dauern, denn die Zahl möglicher Telefonnummern ist stark endlich und arbeitet nach einem Schema. Und seien wir mal ehrlich... Selbst eine Milliarde Telefonnummern rechnet man recht einfach zurück auf Hashes. - Zumindest, wenn kein "Salz" verwendet wurde. Und ob unser BKA an etwas derart triviales gedacht hat...?

Regards, Bigfoot29

 

[SNSPD]

Wenn du den Hash-Algorythmus und/oder den Schlüssel kennst.

Wenn die NSO Group das ganze programmiert hat, kennen sie auch den Algorithmus. Und selbst wenn nicht: So viele Varianten gibt es nicht und "security through obscurity" ist nie ein gutes Konzept.

Angenommen die Berechnung eines Hashes dauert auf einem handelsüblichen Desktop-PC 10ms (ich schätze, das geht noch um Größenordnungen schneller), dann hätten wir in gut einem Monat alles gebruteforced.

Man kann ja beliebig viele Hashes parallel berechnen, es geht also definitiv um Grössenordnungen schneller.

 

[Cey123]

Da kauft die Bundesregierung endlich mal etwas funktionierendes ein und dann wird auch nir gemeckert ;-)

 

[Miuwa]

nichts als eine ungeheuerliche Steuer Verschwendung...

Wieso? Funktioniert er etwa nicht?

 

[nervenjere]

Jeder schwerkriminelle weiß wie man sich schüzt.
was soll sowas dann?

sowas lass ich mir einreden:
https://www.computerbase.de/2021-06...l-und-fbi-locken-800-kriminelle-in-chatfalle/

 

[CyrionX]

Wenn die NSO Group das ganze programmiert hat, kennen sie auch den Algorithmus. Und selbst wenn nicht: So viele Varianten gibt es nicht und "security through obscurity" ist nie ein gutes Konzept.

"Wenn", Ist das aber auch so?
CB: Zudem soll das BKA sichergestellt haben, dass keine sensiblen Informationen zur NSO Group abfließen, indem etwa Telefonnummern von Verdächtigen mit Hashwerten verschlüsselt werden.

Süddeutsche: "Es seien außerdem Sicherheitsvorkehrungen getroffen worden, so würden die überwachten Telefonnummern durch Hashwerte verschleiert, sodass die Herstellerfirma die Zielpersonen nicht identifizieren könne."

Wie ist das nun gemeint? Das BKA hat es selbst direkt oder indirekt über NSO Group sichergestellt?

Für das BKA fühle ich kein Rechtfertigungsbedürfnis. Gleichzeitig lässt sich aus den Texten nicht ableiten, dass die NSO Group automatisch (oder zumindest relativ einfach) auf alle Daten Zugriff hätte. Da fehlt es einfach an Infos. Und wenn doch, Touché, Oh weh!..
Trauen tu ich dem Laden trotzdem nicht. Eventuell schickt das nächste Trojaner Opfer sein Phone/Image rechtzeitig an einen Anti-Viren Hersteller/ Apple/ Google etc und die Millionsumme war für Umme.

 

[Cool Master]

Für alle die glauben der Datenschutz sei vorhanden: Lebt weiter in eurer bunten Seifenblase... plop

Wenn ein staatlicher Geheimdienst (egal ob CIA, BKA, NSA und co.) Infos von dir will bekommt er diese... Das hat nichts mit Datenschutz zu tun. Der Datenschutz ist durchaus vorhanden aber hier geht es um einen Geheimdienst der Geheimdienstliche-Aktivitäten durchführt dem ist wenn es Hart auf Hart kommt das Gesetz egal. Außer der Bundestag bekommt wieder davon Wind dann wird wieder empört getan und der Chef abgesetzt.

 

[Zanza]

Schlimm ist an der ganzen Sache, wenn andere Staaten das Gleiche machen. Wird es von der Deutschen Regierung als negative aufgefasst, aber wenn es eigene Dienste machen dann ist alles gut.

 

[borizb]

Was hätte sich die Stasi gefreut. Bin ich froh das ich aus diesem Land weg bin :-)

Richtig, denn in anderen Ländern gibts keine (öffentlich bekannte oder unbekannte) Überwachung du Pro

 

[SNSPD]

@CyrionX Im Artikel steht: "Die NSO Group entwickelte daher eine Version, die diese Vorgaben einhält. Überprüft wurde diese vom BKA, das sich in diesem Kontext allerdings auch dem für IT-Sicherheit zuständigen BSI abstimmte." Die Formulierung schliesst nicht aus, dass das BKA noch selbst etwas hinzugefügt hat. Für wahrscheinlich halte ich es aber nicht. Und selbst wenn, haben sie wohl auf einen bekannten Algorithmus gesetzt, d.h. ein Angreifer muss nur eine kleine Zahl an zusätzlichen Möglichkeiten durchprobieren.

Wenn ein staatlicher Geheimdienst (egal ob CIA, BKA, NSA und co.) Infos von dir will bekommt er diese... Das hat nichts mit Datenschutz zu tun.

Wenn die Gefahr besteht, dass die Daten auch bei einem (ausländischen) Privatunternehmen landen, hat es schon mit Datenschutz zu tun. Ist für mich ähnlich wie Teslas als Polizeifahrzeuge, die sämtliche Einsatzorte nach Hause melden.

 

[CyrionX]

d.h. ein Angreifer muss nur eine kleine Zahl an zusätzlichen Möglichkeiten durchprobieren.

Hm..wieso?
Schlüsselabhängige Hashfunktionen.
Das hatte ich vorher aber auch schon geschrieben. Selbst wenn der Algorythmus selbst bekannt ist aber der Schlüssel nicht, wars das schon mit dem simplen Bruteforce Abgleich.
Das es so umgesetzt wurde, sage ich nicht. Dass es nicht so umgesetzt werde, kann genausowenig gesagt werden. Details leute, wir brauchen Details...und die wirds wohl nicht so schnell geben.

 

[SNSPD]

Hm..wieso?
Schlüsselabhängige Hashfunktionen.

Im verlinkten Artikel geht es darum, "Gewissheit über den Ursprung von Daten oder Nachrichten zu erhalten und ihre Integrität zu überprüfen." Relevanter wären wohl Salt und Pepper. Soweit ich das verstehe, hilft Salt nur gegen vorher erstellte Hash-Tabellen und das Geheimhalten des Peppers ist schwierig. Muss aber ehrlich sagen, dass ich nicht wirklich den Durchblick habe.

Details leute, wir brauchen Details...und die wirds wohl nicht so schnell geben.

Leider wahr. Hoffen wir darauf, dass wir zur Abwechslung mal positiv überrascht werden.

 

[Galde]

nichts als eine ungeheuerliche Steuer Verschwendung...

Nein. Software zu kaufen das laut Grundgesetz illegal ist, ist keine Verschwendung... es ist viel schlimmer!

 

[FatalFury]

Jetzt wird das BKA überwacht, während die andere Überwachen.

 

[w33werner]

Versteh nicht was euer Problem ist?
Solang das Ganze nur bei schwerstkriminelen eingesetzt wird, sollte soetwas legitim sein
Das es auch an autoritäre Staaten verkauft wurde ist natürlich ein Skandal aber eigentlich nicht teil der News

 

[Der Turl]

Wer braucht Pegasus wenn man sich jahrelang in den Exchange Servern fette Hintertürchen gehalten hat. Wirtschaftsspionage war damit Tür und Tor geöffnet. Ach ja...dann muss Pegasus für die kleinen Leute her :-)

 

[Schokolade]

Versteh nicht was euer Problem ist?

Also mMn. am bedenklichsten - neben moralischen Aspekten - ist einfach die Tatsache, dass ein Schwarzmarkt von Sicherheitslücken mit solchen Produkten massiv staatlich subventioniert wird. Der Anreiz Sicherheitslücken zu finden UND zu schließen sinkt damit. Dabei sollte es im Interesse aller liegen, dass unsere digitale Infrastruktur vor jeder/jedem geschützt ist. Denn selbst wenn man Geheimdiensten oder der NSO Group wohlwollen attestiert, heißt das nicht, dass nicht andere die selben Lücken finden und ebenfalls nutzen oder gar direkt an deren schon fertige Programme zum ausnutzen dieser kommen.