Jun 27: CryptoWall 3.0 Datenrettung und Entschlüsselung
CryptoWall 3.0 Datenrettung Entschlüsselung
Ich habe mich in diesem Blog schon vor einiger Zeit mit den damals verbreiteten Crypto-Trojanern auseinandergesetzt. Da ich in letzter Zeit erneut häufiger Anfragen zu den Möglichkeiten einer Entschlüsselung der neueren Cryptowall-Trojaner bekomme, hier ein kleines Update.
Die als Crypto-Ransomware bezeichneten Trojaner haben technisch im Vergleich mit den äleren Versionen mit neuen Routinen noch einmal ordentlich nachgelegt, wobei neuere Varianten oft in Kombination mit Spyware vorkommt, die zusätzlich zu den Lösegeldforderungen die Daten der Betroffenen ausspioniert. Prinzipiell sind die Cryptotrojaner in meinen Augen so ziemlich das fieseste, was man sich als Computernutzer einfangen kann und die neuen Varianten mit dem schönen Namen Cryptowall 3.0 oder TeslaCrypt lassen alle Hoffnung auf eine Wiederherstellung der Daten schwinden.
CryptoWall 3.0
CryptoWall als Nachfolger der letzten Verschlüsselungstrojaner wurde im letzten Jahr als Payload in Spam-Nachrichten zum ersten Mal gefunden. Die neueste Version von CryptoWall nutzt als Verschleierungstaktik nicht mehr das Anonymisierungstool Tor, sondern verwendet im Quelltext hart codierte URLs. Diese sind stark verschleiert, was die Malware-Analyse um einiges erschwert.
Das allgemeine Prinzip der Trojaner ist dennoch das selbe wie früher: Zunächst findet der Austausch eines eindeutigen Schlüssels mit den C&C-Servern statt. Sobald diese Kommunikation erfolgreich beendet wurde fängt der Trojaner mit der Verschlüsselung von Dateien mit bestimmten Extensions an. Hierzu gehören Dokumente, Datenbanken, E-Mails, Bilder, Audio-, Video-Dateien sowie Quellcode-Dateien. Sobald die Verschlüsselung beendet wurde wird eine "HELP_DECRYPT"-Dateien in den betroffenen Verzeichnisen erzeugt. Diese Datei enthält dann die Erpressernachricht für die Opfer, die eine Lösegeldzahlung von oft mehreren hundert Euro per UCash erwartet.
Datenrettung bei CryptoWall Befall
Ich hatte hier schon diverse Computer zur Bearbeitung auf denen die verschiedensten Varianten von Crypto-Trojanern zu finden waren. In der Vergangenheit war eine Datenrettung von den Festplatten häufig möglich. Hierzu wurde zunächst ein 1:1 Festplatten-Abbild erzeugt. Dieses Abbild wurde in einem zweiten Schritt in eine VHD-Datei konvertiert um sie dann als virtuelles Laufwerk im Windows einbinden zu können. Dabei war darauf zu achten, dass das Festplatten-Abbild als read-only eingebunden wird. Danach konnten mit vssadmin die Schattenkopien des Systemlaufwerks analysiert werden und mit etwas Glück die verschlüsselten Daten in entschlüsselter Form zurückgewonnen werden. Es gibt zwar auch die Möglichkeit, das mittels Shadow-Explorer zu probieren, nachdem der CryptoLocker-Virus entfernt wurde. Hierbei besteht aber die Gefahr, dass die Schattenkopien durch mehrfaches Neustarten und die Virus-Bereinigung verloren gehen. Also besser zunächst eine Festplatten-Sicherung anlegen und dann nur damit arbeiten.
Bei den aktuellen Versionen des CryptoLocker-Virus ist eine Datenrettung oder Wiederherstellung der betroffenen Festplatten nicht mehr möglich, da der Virus perfider Weise diesen Sicherheitsmechanismus, der Veränderungen an Dateien protokolliert als erstes ausschaltet. Er nutzt dafür die einfachen Windows-Befehle "vssadmin.exe Delete Shadows /All /Quiet" womit alle Schattenkopien und damit jede Chance auf Datenrettung zunichte macht.
Eine Wiederherstellung von verschlüsselten Dateien ist also nur dann möglich, wenn es sich um keinen aktuellen Crypto-Trojaner handelt. Die Datenrettung von externen Festplatten und Nicht-Systempartitionen ist über die beschriebene Herangehensweise ebenfalls nicht möglich, da der Schattenkopiedienst per Default-Einstellung nur auf der System-Partition zur Verfügung steht.
Um sich vor den aktuellen Crypto-Trojanern zu schützen hilft leider nur eins: Regelmäßige Backups - nach Möglichkeit auf mindestens zwei verschiedene Festplatten. Prinzipiell sollten Anwender nie Anhänge aus unbekannten oder nicht verifizierten Quellen öffnen: Schreiben von Anwälten, Mahnungen und ähnliche Schreiben kommen nach wie vor auf analogem Wege und gedruckt auf Papier.
Links:
Analyse zu TeslaCrypt
Analyse CryptoWall 3.0
Kleine Datenfiebel
Datenrettung - Anbieter Vergleich
Ich habe mich in diesem Blog schon vor einiger Zeit mit den damals verbreiteten Crypto-Trojanern auseinandergesetzt. Da ich in letzter Zeit erneut häufiger Anfragen zu den Möglichkeiten einer Entschlüsselung der neueren Cryptowall-Trojaner bekomme, hier ein kleines Update.
Die als Crypto-Ransomware bezeichneten Trojaner haben technisch im Vergleich mit den äleren Versionen mit neuen Routinen noch einmal ordentlich nachgelegt, wobei neuere Varianten oft in Kombination mit Spyware vorkommt, die zusätzlich zu den Lösegeldforderungen die Daten der Betroffenen ausspioniert. Prinzipiell sind die Cryptotrojaner in meinen Augen so ziemlich das fieseste, was man sich als Computernutzer einfangen kann und die neuen Varianten mit dem schönen Namen Cryptowall 3.0 oder TeslaCrypt lassen alle Hoffnung auf eine Wiederherstellung der Daten schwinden.
CryptoWall 3.0
CryptoWall als Nachfolger der letzten Verschlüsselungstrojaner wurde im letzten Jahr als Payload in Spam-Nachrichten zum ersten Mal gefunden. Die neueste Version von CryptoWall nutzt als Verschleierungstaktik nicht mehr das Anonymisierungstool Tor, sondern verwendet im Quelltext hart codierte URLs. Diese sind stark verschleiert, was die Malware-Analyse um einiges erschwert.
Das allgemeine Prinzip der Trojaner ist dennoch das selbe wie früher: Zunächst findet der Austausch eines eindeutigen Schlüssels mit den C&C-Servern statt. Sobald diese Kommunikation erfolgreich beendet wurde fängt der Trojaner mit der Verschlüsselung von Dateien mit bestimmten Extensions an. Hierzu gehören Dokumente, Datenbanken, E-Mails, Bilder, Audio-, Video-Dateien sowie Quellcode-Dateien. Sobald die Verschlüsselung beendet wurde wird eine "HELP_DECRYPT"-Dateien in den betroffenen Verzeichnisen erzeugt. Diese Datei enthält dann die Erpressernachricht für die Opfer, die eine Lösegeldzahlung von oft mehreren hundert Euro per UCash erwartet.
Datenrettung bei CryptoWall Befall
Ich hatte hier schon diverse Computer zur Bearbeitung auf denen die verschiedensten Varianten von Crypto-Trojanern zu finden waren. In der Vergangenheit war eine Datenrettung von den Festplatten häufig möglich. Hierzu wurde zunächst ein 1:1 Festplatten-Abbild erzeugt. Dieses Abbild wurde in einem zweiten Schritt in eine VHD-Datei konvertiert um sie dann als virtuelles Laufwerk im Windows einbinden zu können. Dabei war darauf zu achten, dass das Festplatten-Abbild als read-only eingebunden wird. Danach konnten mit vssadmin die Schattenkopien des Systemlaufwerks analysiert werden und mit etwas Glück die verschlüsselten Daten in entschlüsselter Form zurückgewonnen werden. Es gibt zwar auch die Möglichkeit, das mittels Shadow-Explorer zu probieren, nachdem der CryptoLocker-Virus entfernt wurde. Hierbei besteht aber die Gefahr, dass die Schattenkopien durch mehrfaches Neustarten und die Virus-Bereinigung verloren gehen. Also besser zunächst eine Festplatten-Sicherung anlegen und dann nur damit arbeiten.
Bei den aktuellen Versionen des CryptoLocker-Virus ist eine Datenrettung oder Wiederherstellung der betroffenen Festplatten nicht mehr möglich, da der Virus perfider Weise diesen Sicherheitsmechanismus, der Veränderungen an Dateien protokolliert als erstes ausschaltet. Er nutzt dafür die einfachen Windows-Befehle "vssadmin.exe Delete Shadows /All /Quiet" womit alle Schattenkopien und damit jede Chance auf Datenrettung zunichte macht.
Eine Wiederherstellung von verschlüsselten Dateien ist also nur dann möglich, wenn es sich um keinen aktuellen Crypto-Trojaner handelt. Die Datenrettung von externen Festplatten und Nicht-Systempartitionen ist über die beschriebene Herangehensweise ebenfalls nicht möglich, da der Schattenkopiedienst per Default-Einstellung nur auf der System-Partition zur Verfügung steht.
Um sich vor den aktuellen Crypto-Trojanern zu schützen hilft leider nur eins: Regelmäßige Backups - nach Möglichkeit auf mindestens zwei verschiedene Festplatten. Prinzipiell sollten Anwender nie Anhänge aus unbekannten oder nicht verifizierten Quellen öffnen: Schreiben von Anwälten, Mahnungen und ähnliche Schreiben kommen nach wie vor auf analogem Wege und gedruckt auf Papier.
Links:
Analyse zu TeslaCrypt
Analyse CryptoWall 3.0
Kleine Datenfiebel
Datenrettung - Anbieter Vergleich
Aug 31: Neuer Verschlüsselungstrojaner
Mittlerweile sind die Viren-Programmierer bei Version 5002 angelangt und es gibt auch einen neuen Sperrbildschirm. Also: Keine Mails mit Zip-Anhang öffnen, es geht weiter.
IPs / Malware Domains: seneesamj.com 203.91.113.6 A 92.50.171.166 A 123.101.2.10 A 195.198.124.60
Screen:

Mehr Infos, wenn die Zeit es zuläßt
IPs / Malware Domains: seneesamj.com 203.91.113.6 A 92.50.171.166 A 123.101.2.10 A 195.198.124.60
Screen:

Mehr Infos, wenn die Zeit es zuläßt

Jun 3: Update: Windows Verschlüsselungstrojaner neue Version
Update [03.04.2012]:
Ich gehe inzwischen davon aus, dass die Verschlüsselung des Trojaners als sicher angesehen werden kann und nicht zu knacken sein wird. Alle bisherigen Analysen gehen in diese Richtung, auch wenn es sich um keine klassische asymmetrische Verschlüsselung handelt. Siehe hierzu die Updates vom 03.04. ganz unten im Blogpost.
Seit etwa zwei Wochen ist ein besonders perfider Computervirus im Umlauf, der derzeit nur über E-Mails verteilt wird. In den entsprechenden E-Mails wird dem Empfänger mitgeteilt, es werde ein bestimmter Rechnungsbetrag von seinem Konto abgebucht und er möge die angehängte Rechnung überprüfen. Als Absender werden gefälschte E-Mail Adressen namenhafter Versandhäuser, Elektonikhändler und anderer Online-Shows verwendet.
Bei allen E-Mails ist ein zip Anhang (Rechnung.zip, Abmahnung.zip, Buchung.zip, u.ä.) zu finden. Wenn das Opfer diesen Anhang öffnet, so werden alle Dateien auf der Festplatte verschlüsselt, der Rechner gesperrt und eine Aufforderung zur Zahlung von 100 € per Ucash oder Paysafecard angezeigt:

Es gab vor etlichen Wochen schon eine andere Variante des Trojaners, der die verschlüsselten Dateien nach dem Schema "locked-[Alter Dateiname].[Alte Extension].[zufällige Zeichenfolge] umbenannt hat. Dieser Trojaner nutze eine relativ einfache Verschlüsselung (RC4), die relativ schnell geknackt wurde. So gab es bald Entschlüsselungsprogramme von verschiedenen Antivirus-Herstellern (Dr. Web, Avira, Kaspersky), sowie von verschiedenen unabhängigen IT-Experten (DecryptHelper, ScareUnencrypt).
Bei der neuen Variante des Virus sieht es hingegen bisher recht schlecht aus: Nach über zwei Wochen ist noch immer nicht klar, wie Betroffene wieder an ihre Dateien kommen. Und das, obwohl davon auszugehen ist, dass die AV-Hersteller, wie auch die IT-Experten diverser Foren (trojaner-board.de, botfrei.de, delphipraxis.net) und viele andere (z.B. Xylitol) an einer Lösung des Problems arbeiten.
Auch ich habe mir bereits die ein oder andere Nacht um die Ohren geschlagen, um dem Geheimnis des Trojaners auf die Schliche zu kommen. Meine bisherigen Ergebnisse trage ich hier nun unter Verweis auf weitere Erkenntnisse von anderer Seite zusammen und stelle zur Diskussion, dass es sich bei der neuen Variante um ein public-private Key Verfahren handelt, dass auf absehbare Zeit nicht zu knacken sein wird. Ich möchte in der Hoffnung mit meiner Vermutung unrecht zu haben mit diesem Post dazu aufrufen, mehr Informationen zu diesem Trojaner zu veröffentlichen, den bisher erreichten Wissensstand offener als bisher zu kommunizieren (Trojaner-board) und hoffe, dass sich so noch mehr Leute finden, die Willens und in der Lage sind, diesen Virus zu analysieren. Dieser Virus ist in meinen Augen einfach zu gefährlich, als dass man sich über seinen Wissensstand ausschweigen könnte: Wer also Kenntnisse, Ergänzungen und Anregungen hat, der möge diese bitte öffentlich machen.
Ich werde diesen Post in den nächsten Tagen noch um weitere Informationen ergänzen und diesen Beitrag weiter aktualisieren, wenn ich neue Informationen zu diesem Trojaner finde.
Tools used: OllyDbg, WinDbg, Hexeditor, PEiD, DeDe, IDA Free, Wireshark, Virtualbox, Ubuntu Linux
Grob-Analyse
1) Ablauf der Infektion
Mit Öffnen des Anhangs wird der Trojaner aktiviert. Es erscheint zunächst eine Fehlermeldung, dass es sich nicht um ein Word-Dokument handelt:

Der Trojaner installiert sich daraufhin im Windows Verzeichnis (C:\Windows\system32\[Zufällige Hex-Werte].exe) und im Benutzerverzeichnis (%temp%\[Zufällige Buchstaben]\[Zufällige Hex-Werte].exe). Die Ausgangsdatei wird gelöscht, der Trojaner hängt sich per Codeinjection in "ctfmon.exe" bei 0x7FF94D59 ein:

Weiterhin werden diverse Einträge für den Autostart in der Registry vorgenommen, so dass der Trojaner beim Starten von Windows aktiv ist.
2) Netzwerk-Kommunikation
Sobald der Trojaner aktiv ist, versucht er mehrmals über verschiedene Domains mit dem C&C-Server zu verbinden:
a)
hxxp://ogutors-free.com/a.php?id=8C20AF3F4B435546464F&cmd=img&win=Windows_XP_&loc=0x0407&ver=1.170.1
b)
hxxp://ogutors-free.com/a.php?id=8C20AF3F4B435546464F&cmd=msg&ver=1.170.1
c)hxxp://ogutors-free.com/a.php?id=8C20AF3F4B435546464F&cmd=lfk&ldn=35&stat=CRA&ver=1.170.1&data=MON1xEF944FhyhIF7GcaNYG29T6Zf lvjVTFc2zKPPP8VnTIA
d) Bei Eingabe Paysafe-Code:
hxxp://ogutors-free.com/a.php?id=8C20AF3F4B435546464F&cmd=key&ver=1.170.1&data=1:1:NTU1NTU1NTU1NTU1NTU1NTU1NTUA
Zu den Daten:
ID = vermutlich Installationskennung o.ä.
CMD = Kommando an den Server // CMD=IMG Anfordern der Bilder, die bei gesperrtem Computer angezeigt werden
win = Windows Version
loc = Länderkennung
ver = Version des Trojaners
ldn = ??
stat = Könnte ID des Affiliate (Vertriebspartners) sein
data = ???
Bei allen drei Aufrufen bekommt er Daten vom CC-Server zurück, deren Größe sich unterscheidet:
1. Aufruf: 243,8 kbyte (Bilder)
2. Aufruf: 704 bytes (Vermutung: public Key)
3. Aufruf: 4 bytes (ACK?)
Weitere mögliche Domains sind: SPATBE-WEB.COM, HORAD-FORUM.COM, QUA-A.COM, SPATBE-W.COM, polskamaskas.com, horad-fo.com
Erst nach dem Kontakt mit dem Server beginnt die Verschlüsselung. Die Domains weisen mehrere A-Record-Einträge (verschiedene IP-Adressen) auf. Bei den Servern handelt es sich um shared Server (auf denen viele Domains liegen) mit aktuellem Softwarestand (u.a. linux, nginx, php). Mit dabei sind auch Cluster. Abuse Mails werden nichts bringen (Server-Standorte: China, Russland, ...), zumal es sich bei den gehosteten PHP-Scripten vermutlich eher um Proxys handeln wird, die die Informationen nur weiterleiten, so dass man an dieser Stelle sicher nicht zum Ziel kommen wird.
3) Verschlüsselung:
Der Trojaner verschlüsselt immer nur die ersten 3000 Byte und benutzt dabei die Windows Crypto API (CAPI). Das Ding ist deshalb so schnell, weil es in jede Datei nur 3kb schreibt und er zusätzlich nach Dateitypen filtert. Das bedeutet, dass er bei z.B. angenommenen 30.000 Dateien gerade mal knapp 90 Megabyte (!) schreiben muss. Dass das schnell geht und zwar auch bei starker Verschlüsselung - ist klar.
Er legt dabei keine Sicherheitskopien an, sondern liest die Bytes aus der Datei und schreibt Sie direkt verschlüsselt zurück.
Fein-Analyse / Debugging
Vorweg: Ich denke inzwischen, dass es schlecht aussieht, was die Möglichkeiten einer Entschlüsselung der Daten angeht. Es gibt meiner Ansicht nach einige Indizien, die dafür sprechen, dass es sich hier um ein Public-Key Verfahren mit ausreichend starker Verschlüsselung / Schlüssellänge handelt. Zu den theoretischen Indizien:
- Der Trojaner ist gegenüber einer Analyse nur schlecht geschützt: Kein Anti-Debugging, kein Exepacker (UPX = upx -d Trojaner *haha*), kein Crypter - der Entwickler ist sich seiner Sache scheinbar recht sicher
- Diesen Trojaner scheint es bisher nur in Deutschland zu geben, es könnte sich also um einen Versuchsballon für das Rollout von Drive-By-Downloads handeln.
- Der Programmierer grüßt den französischen Hacker Xylitol, der in letzter Zeit viele Malware-Samples analysiert hat und sich damit bei den Malware-Entwicklern unbeliebt gemacht hat:

Auch das spricht dafür, dass der Entwickler der Malware sich sicher fühlt.
- Es werden drei Verbindungen zum C&C-Server aufgemacht. Dabei finden wahrscheinlich folgende Schritte statt: a) Es wird eine Installationskennung/ID übermittelt. b) Es werden die Bilddateien heruntergeladen c) Es wird ein kleines Datenpaket heruntergeladen, das meiner Ansicht nach ein public Key sein könnte.
- Nicht zuletzt ist das Public-Key Verfahren das für diese "Geschäftsidee" einzig sinnvolle Verfahren, da es von Außen nicht angreifbar ist.
- Es wäre nicht erstaunlich, wenn das Public-Key Verfahren bei diesem Virus ohne Logik-Fehler eingesetzt wird, denn schließlich ist dieses Anfriffsszenario schon länger denkbar und ich habe ein in dieser Hinsicht sehr erhellendes Paper gefunden, bei dessen Lektüre mir bewußt wurde, mit was wir es hier sehr wahrscheinlich zu tun haben: Einer 1zu1-Implementation dieses Angriffes!
Die Autoren gehen nicht auf die Möglichkeit einer Entschlüsselung ein (da es diese nicht gibt!), die einzige Möglichkeit, sich zu schützen ist Vorbeugung:
Update [31.05.2012]: Ganz so schlecht sieht es doch nicht aus. Ich habe in den letzten Tagen einige Memory-Dumps angeschaut und da sind zumindest keine Public-Keys zu finden. Ich denke, das hier Marcu wohl mit seiner Aussage "Die Hoffnung nicht aufgeben" recht hat
und es sich noch immer um eine symmetrische Verschlüsselung handelt. Wie und wo die Schlüssel berechnet werden, muss herausgefunden werden.
1) CTFMON will ins Internet (soso ...)

2) CAPI imports, also breakpoints auf ADVAPI32 setzen (CryptAcquireContext, CryptGenKey, CryptEncrypt, CryptDecrypt ...) vgl.: M$

3) Wenn man den Trojaner nun laufen läßt, versucht er wie oben beschrieben, eine Verbindung mit dem C&C-Server aufzubauen und sobald er von diesem Daten erhalten hat, fängt er mit der Verschlüsselungsroutine an.
Ich vermute dabei, dass er zunächst die "Bilddateien" entschlüsselt, eventuell mit diesem Schlüssel hier: "732jjdnbYYSUUW7kjksk***ndhhssh".

Update: Den Schlüssel findet man auch im Memdump eines infizierten Rechners, der ab Infektion keine Internetverbindung hatte. Dieser Schlüssel oder was es auch sein mag, ist somit sicher statisch und hart im Trojaner eincodiert:

Update [31.05.2012]: Der statische Teilschlüssel wird offenbar mit einem weiteren dynamischen Teil kombiniert:

Dann legt er im %temp% Verzeichnis eine 2 KByte Datei an (Vermutung: Diese Datei ist auch im Bildpaket enthalten):

Später kommen hier noch mehrere weiter Dateien dazu, die unter Umständen die alten Dateinamen referenzieren. Was aber in der 2KByte-Datei steht, ist mir bisher unklar. Wenn es sich hierbei um einen Schlüssel für symmetrische Verschlüsselung handelt, hätten wir noch mal Glück gehabt. Denkbar wäre aber auch, dass hier nur ein Schlüssel für die Verschlüsselung der Referenzdateien (Dateinamen) handelt, der dann statisch wäre. Das würde dann für die Entschlüsselung beim PP-Key Verfahren nicht helfen. Diese Datei bedarf aber noch genauerer Analyse.
Dann gehts los und der Trojaner verbindet sich abermals mit dem CC-Server, z.B.:
hxxp://ogutors-free.com/a.php?id=8C20AF3F4B435546464F&cmd=lfk&ldn=35&stat=CRA&ver=1.170.1&data=MON1xEF944FhyhIF7GcaNYG29T6Zf lvjVTFc2zKPPP8VnTIA
Und bekommt hier meiner Ansicht nach einen public Key übergeben, wobei das Kommando "lfk" für "load full key" stehen könnte. Dann beginnt die eigentliche Verschlüsselung, 3000 Bytes in 3000 Bytes out.
Beim debuggen sind mir Referenzen zum Enhanced Cryptographic Provider ins Auge gefallen, auch das spricht leider für keine schnelle Lösung:

- Weitere Analysen / Screenshots usw folgen.
Updates [31.05.2012]:
Definition 3000byte / %temp%-Dateien / möglicher Beginn der Verschlüsselung

Verschlüsselte Daten in Datei schreiben:

Dateiliste für Verschlüsselung:

Loop durch die Datei / Schlüssel-Liste (wichtig: Vermutlich existieren alle dynamischen & statischen Schlüssel hier schon und sind im Memory-Dump zu finden):

Hier ein kleiner Ausschnitt eines Memdumps. Es läßt sich eine Zuordnung erkennen (vermute, es sind): Dateiname inkl. Pfad / neuer Dateiname inkl. Pfad / dynamischer Schlüssel:

Updates [03.04.2012]:
Wenn die bisherigen Analysen stimmen, sieht es so aus, als ob ich mit meiner Vermutung leider zum Teil Recht hatte und die Verschlüsselten Daten nicht ohne Weiteres entschlüsselt werden können. Der Trojaner nutzt demnach zwar keine asymmetrische Verschlüsselung, was prinzipiell die sicherste Variante wäre, aber er überträgt einen Teil des zur Verschlüsselung genutzten Keys (Basiskey) an den CC-Server. Wenn der Schlüssel nicht auf dem Computer des Opfers zwischengespeichert wird und der Schlüssel mit Zufallsdaten erzeugt wird (wovon sicherlich auszugehen ist), gibt es keine Möglichkeit mehr, den Schlüssel zu errechnen. Die Einzige Möglichkeit wäre somit, darauf zu hoffen, dass die Strafverfolgungsbehörden zugriff auf die Datenbank der CC-Server bekommen: Sehr unwahrscheinlich!

Hier wird der Basekey erzeugt:

Dieser wird dann an den CC-Server übermittelt:

Dann beginnt die Verschlüsselung auf Grundlage des Basekeys. McAfee hat das Vorgehen des Trojaners ebenfalls analysiert und in einer anschaulischen Grafik dargestellt:

Hier heißt es:
Quelle: Ransomware holds up victims
Nicht auf ein PP-Verfahren zu setzen hat in meinen Augen vor allem den Vorteil, dass bei den CC-Servern keine Rechnerressourcen "verschwendet" werden. Auch ist die Vorhaltung von PP-Key Kombinationen minimal aufwändiger als eine Datenbank mit der Installationskennung->Basekey. Man sieht also, die Malware-Programmierer sind keine Skript-Kiddies, das Konzept von diesem Trojaner ist gut durchdacht.
Das Einzige, was mir bisher noch nicht ganz klar ist, was in der 1kb-Datei im %temp%-Verzeichnis steht. Da diese aber vor Generierung des Basekeys erstellt wird, dürfte sich auch hier kein Schlüssel mehr finden.

Zusammenfassend läßt sich wohl sagen, dass wir es nun mit einer neuen Eskalationsstufe in Sachen Malware zu tun haben. Die einzige Möglichkeit sich hiergegen zu schützen heißt von nun an auch für Privatpersonen tägliche Backups aller wichtigen Datenbestände auf verschiedene Medien!
Referenzen/Links:
- Entschlüsselungsroutine, die Marcu gefunden hat, für den Fall, dass es doch symmetrisch ist
- Using Symmetric Encryption with Microsoft's CryptoAPI
- CryptoAPI Tracer script
- Cryptography Functions
- Microsoft Enhanced Cryptographic Provider
- Delphi-Praxis: Verschlüsselungs-Trojaner, Hilfe benötigt
- Trojaner-Board: Neue Verschlüsselungs-Trojaner Variante im Umlauf
- Asymmetrisches Kryptosystem
- Cryptovirology Labs
- An Implementation of Cryptoviral Extortion Using Microsoft’s Crypto API? Adam L. Young and Moti M. Yung
- Von kleinen, fiesen Windowsrechnerkrabbeltierchen
- Ransomware holds up victims
Ich gehe inzwischen davon aus, dass die Verschlüsselung des Trojaners als sicher angesehen werden kann und nicht zu knacken sein wird. Alle bisherigen Analysen gehen in diese Richtung, auch wenn es sich um keine klassische asymmetrische Verschlüsselung handelt. Siehe hierzu die Updates vom 03.04. ganz unten im Blogpost.
Seit etwa zwei Wochen ist ein besonders perfider Computervirus im Umlauf, der derzeit nur über E-Mails verteilt wird. In den entsprechenden E-Mails wird dem Empfänger mitgeteilt, es werde ein bestimmter Rechnungsbetrag von seinem Konto abgebucht und er möge die angehängte Rechnung überprüfen. Als Absender werden gefälschte E-Mail Adressen namenhafter Versandhäuser, Elektonikhändler und anderer Online-Shows verwendet.
Bei allen E-Mails ist ein zip Anhang (Rechnung.zip, Abmahnung.zip, Buchung.zip, u.ä.) zu finden. Wenn das Opfer diesen Anhang öffnet, so werden alle Dateien auf der Festplatte verschlüsselt, der Rechner gesperrt und eine Aufforderung zur Zahlung von 100 € per Ucash oder Paysafecard angezeigt:

Es gab vor etlichen Wochen schon eine andere Variante des Trojaners, der die verschlüsselten Dateien nach dem Schema "locked-[Alter Dateiname].[Alte Extension].[zufällige Zeichenfolge] umbenannt hat. Dieser Trojaner nutze eine relativ einfache Verschlüsselung (RC4), die relativ schnell geknackt wurde. So gab es bald Entschlüsselungsprogramme von verschiedenen Antivirus-Herstellern (Dr. Web, Avira, Kaspersky), sowie von verschiedenen unabhängigen IT-Experten (DecryptHelper, ScareUnencrypt).
Bei der neuen Variante des Virus sieht es hingegen bisher recht schlecht aus: Nach über zwei Wochen ist noch immer nicht klar, wie Betroffene wieder an ihre Dateien kommen. Und das, obwohl davon auszugehen ist, dass die AV-Hersteller, wie auch die IT-Experten diverser Foren (trojaner-board.de, botfrei.de, delphipraxis.net) und viele andere (z.B. Xylitol) an einer Lösung des Problems arbeiten.
Auch ich habe mir bereits die ein oder andere Nacht um die Ohren geschlagen, um dem Geheimnis des Trojaners auf die Schliche zu kommen. Meine bisherigen Ergebnisse trage ich hier nun unter Verweis auf weitere Erkenntnisse von anderer Seite zusammen und stelle zur Diskussion, dass es sich bei der neuen Variante um ein public-private Key Verfahren handelt, dass auf absehbare Zeit nicht zu knacken sein wird. Ich möchte in der Hoffnung mit meiner Vermutung unrecht zu haben mit diesem Post dazu aufrufen, mehr Informationen zu diesem Trojaner zu veröffentlichen, den bisher erreichten Wissensstand offener als bisher zu kommunizieren (Trojaner-board) und hoffe, dass sich so noch mehr Leute finden, die Willens und in der Lage sind, diesen Virus zu analysieren. Dieser Virus ist in meinen Augen einfach zu gefährlich, als dass man sich über seinen Wissensstand ausschweigen könnte: Wer also Kenntnisse, Ergänzungen und Anregungen hat, der möge diese bitte öffentlich machen.
Ich werde diesen Post in den nächsten Tagen noch um weitere Informationen ergänzen und diesen Beitrag weiter aktualisieren, wenn ich neue Informationen zu diesem Trojaner finde.
Tools used: OllyDbg, WinDbg, Hexeditor, PEiD, DeDe, IDA Free, Wireshark, Virtualbox, Ubuntu Linux

Grob-Analyse
1) Ablauf der Infektion
Mit Öffnen des Anhangs wird der Trojaner aktiviert. Es erscheint zunächst eine Fehlermeldung, dass es sich nicht um ein Word-Dokument handelt:

Der Trojaner installiert sich daraufhin im Windows Verzeichnis (C:\Windows\system32\[Zufällige Hex-Werte].exe) und im Benutzerverzeichnis (%temp%\[Zufällige Buchstaben]\[Zufällige Hex-Werte].exe). Die Ausgangsdatei wird gelöscht, der Trojaner hängt sich per Codeinjection in "ctfmon.exe" bei 0x7FF94D59 ein:

Weiterhin werden diverse Einträge für den Autostart in der Registry vorgenommen, so dass der Trojaner beim Starten von Windows aktiv ist.
2) Netzwerk-Kommunikation
Sobald der Trojaner aktiv ist, versucht er mehrmals über verschiedene Domains mit dem C&C-Server zu verbinden:
a)
hxxp://ogutors-free.com/a.php?id=8C20AF3F4B435546464F&cmd=img&win=Windows_XP_&loc=0x0407&ver=1.170.1
b)
hxxp://ogutors-free.com/a.php?id=8C20AF3F4B435546464F&cmd=msg&ver=1.170.1
c)hxxp://ogutors-free.com/a.php?id=8C20AF3F4B435546464F&cmd=lfk&ldn=35&stat=CRA&ver=1.170.1&data=MON1xEF944FhyhIF7GcaNYG29T6Zf lvjVTFc2zKPPP8VnTIA
d) Bei Eingabe Paysafe-Code:
hxxp://ogutors-free.com/a.php?id=8C20AF3F4B435546464F&cmd=key&ver=1.170.1&data=1:1:NTU1NTU1NTU1NTU1NTU1NTU1NTUA
Zu den Daten:
ID = vermutlich Installationskennung o.ä.
CMD = Kommando an den Server // CMD=IMG Anfordern der Bilder, die bei gesperrtem Computer angezeigt werden
win = Windows Version
loc = Länderkennung
ver = Version des Trojaners
ldn = ??
stat = Könnte ID des Affiliate (Vertriebspartners) sein
data = ???
Bei allen drei Aufrufen bekommt er Daten vom CC-Server zurück, deren Größe sich unterscheidet:
1. Aufruf: 243,8 kbyte (Bilder)
2. Aufruf: 704 bytes (Vermutung: public Key)
3. Aufruf: 4 bytes (ACK?)
Weitere mögliche Domains sind: SPATBE-WEB.COM, HORAD-FORUM.COM, QUA-A.COM, SPATBE-W.COM, polskamaskas.com, horad-fo.com
Erst nach dem Kontakt mit dem Server beginnt die Verschlüsselung. Die Domains weisen mehrere A-Record-Einträge (verschiedene IP-Adressen) auf. Bei den Servern handelt es sich um shared Server (auf denen viele Domains liegen) mit aktuellem Softwarestand (u.a. linux, nginx, php). Mit dabei sind auch Cluster. Abuse Mails werden nichts bringen (Server-Standorte: China, Russland, ...), zumal es sich bei den gehosteten PHP-Scripten vermutlich eher um Proxys handeln wird, die die Informationen nur weiterleiten, so dass man an dieser Stelle sicher nicht zum Ziel kommen wird.
3) Verschlüsselung:
Der Trojaner verschlüsselt immer nur die ersten 3000 Byte und benutzt dabei die Windows Crypto API (CAPI). Das Ding ist deshalb so schnell, weil es in jede Datei nur 3kb schreibt und er zusätzlich nach Dateitypen filtert. Das bedeutet, dass er bei z.B. angenommenen 30.000 Dateien gerade mal knapp 90 Megabyte (!) schreiben muss. Dass das schnell geht und zwar auch bei starker Verschlüsselung - ist klar.
Er legt dabei keine Sicherheitskopien an, sondern liest die Bytes aus der Datei und schreibt Sie direkt verschlüsselt zurück.
Fein-Analyse / Debugging
Vorweg: Ich denke inzwischen, dass es schlecht aussieht, was die Möglichkeiten einer Entschlüsselung der Daten angeht. Es gibt meiner Ansicht nach einige Indizien, die dafür sprechen, dass es sich hier um ein Public-Key Verfahren mit ausreichend starker Verschlüsselung / Schlüssellänge handelt. Zu den theoretischen Indizien:
- Der Trojaner ist gegenüber einer Analyse nur schlecht geschützt: Kein Anti-Debugging, kein Exepacker (UPX = upx -d Trojaner *haha*), kein Crypter - der Entwickler ist sich seiner Sache scheinbar recht sicher
- Diesen Trojaner scheint es bisher nur in Deutschland zu geben, es könnte sich also um einen Versuchsballon für das Rollout von Drive-By-Downloads handeln.
- Der Programmierer grüßt den französischen Hacker Xylitol, der in letzter Zeit viele Malware-Samples analysiert hat und sich damit bei den Malware-Entwicklern unbeliebt gemacht hat:

Auch das spricht dafür, dass der Entwickler der Malware sich sicher fühlt.
- Es werden drei Verbindungen zum C&C-Server aufgemacht. Dabei finden wahrscheinlich folgende Schritte statt: a) Es wird eine Installationskennung/ID übermittelt. b) Es werden die Bilddateien heruntergeladen c) Es wird ein kleines Datenpaket heruntergeladen, das meiner Ansicht nach ein public Key sein könnte.
- Nicht zuletzt ist das Public-Key Verfahren das für diese "Geschäftsidee" einzig sinnvolle Verfahren, da es von Außen nicht angreifbar ist.
- Es wäre nicht erstaunlich, wenn das Public-Key Verfahren bei diesem Virus ohne Logik-Fehler eingesetzt wird, denn schließlich ist dieses Anfriffsszenario schon länger denkbar und ich habe ein in dieser Hinsicht sehr erhellendes Paper gefunden, bei dessen Lektüre mir bewußt wurde, mit was wir es hier sehr wahrscheinlich zu tun haben: Einer 1zu1-Implementation dieses Angriffes!
Die Autoren gehen nicht auf die Möglichkeit einer Entschlüsselung ein (da es diese nicht gibt!), die einzige Möglichkeit, sich zu schützen ist Vorbeugung:
A solid defense against a cryptoviral extortion attack is to have backups of the plaintext that could potentially be attacked. Regular backups that are periodically verified should be considered. Other countermeasures include having a strong defense against malicious software. This includes but is not limited to: a firewall, a resident antiviral program, and an intrusion detection service. Antivirus updates should be obtained regularly and full malware scans should be conducted routinely. Executable software should only be obtained from reliable sources. It should be noted that by storing user files in encrypted form, protection against cryptoviral extortion is not necessarily achieved. The encryption of an encryption will serve the user no good when the outer layer annot be deciphered.
Update [31.05.2012]: Ganz so schlecht sieht es doch nicht aus. Ich habe in den letzten Tagen einige Memory-Dumps angeschaut und da sind zumindest keine Public-Keys zu finden. Ich denke, das hier Marcu wohl mit seiner Aussage "Die Hoffnung nicht aufgeben" recht hat

1) CTFMON will ins Internet (soso ...)

2) CAPI imports, also breakpoints auf ADVAPI32 setzen (CryptAcquireContext, CryptGenKey, CryptEncrypt, CryptDecrypt ...) vgl.: M$

3) Wenn man den Trojaner nun laufen läßt, versucht er wie oben beschrieben, eine Verbindung mit dem C&C-Server aufzubauen und sobald er von diesem Daten erhalten hat, fängt er mit der Verschlüsselungsroutine an.
Ich vermute dabei, dass er zunächst die "Bilddateien" entschlüsselt, eventuell mit diesem Schlüssel hier: "732jjdnbYYSUUW7kjksk***ndhhssh".

Update: Den Schlüssel findet man auch im Memdump eines infizierten Rechners, der ab Infektion keine Internetverbindung hatte. Dieser Schlüssel oder was es auch sein mag, ist somit sicher statisch und hart im Trojaner eincodiert:

Update [31.05.2012]: Der statische Teilschlüssel wird offenbar mit einem weiteren dynamischen Teil kombiniert:

Dann legt er im %temp% Verzeichnis eine 2 KByte Datei an (Vermutung: Diese Datei ist auch im Bildpaket enthalten):

Später kommen hier noch mehrere weiter Dateien dazu, die unter Umständen die alten Dateinamen referenzieren. Was aber in der 2KByte-Datei steht, ist mir bisher unklar. Wenn es sich hierbei um einen Schlüssel für symmetrische Verschlüsselung handelt, hätten wir noch mal Glück gehabt. Denkbar wäre aber auch, dass hier nur ein Schlüssel für die Verschlüsselung der Referenzdateien (Dateinamen) handelt, der dann statisch wäre. Das würde dann für die Entschlüsselung beim PP-Key Verfahren nicht helfen. Diese Datei bedarf aber noch genauerer Analyse.
Dann gehts los und der Trojaner verbindet sich abermals mit dem CC-Server, z.B.:
hxxp://ogutors-free.com/a.php?id=8C20AF3F4B435546464F&cmd=lfk&ldn=35&stat=CRA&ver=1.170.1&data=MON1xEF944FhyhIF7GcaNYG29T6Zf lvjVTFc2zKPPP8VnTIA
Und bekommt hier meiner Ansicht nach einen public Key übergeben, wobei das Kommando "lfk" für "load full key" stehen könnte. Dann beginnt die eigentliche Verschlüsselung, 3000 Bytes in 3000 Bytes out.
Beim debuggen sind mir Referenzen zum Enhanced Cryptographic Provider ins Auge gefallen, auch das spricht leider für keine schnelle Lösung:

- Weitere Analysen / Screenshots usw folgen.
Updates [31.05.2012]:
Definition 3000byte / %temp%-Dateien / möglicher Beginn der Verschlüsselung

Verschlüsselte Daten in Datei schreiben:

Dateiliste für Verschlüsselung:

Loop durch die Datei / Schlüssel-Liste (wichtig: Vermutlich existieren alle dynamischen & statischen Schlüssel hier schon und sind im Memory-Dump zu finden):

Hier ein kleiner Ausschnitt eines Memdumps. Es läßt sich eine Zuordnung erkennen (vermute, es sind): Dateiname inkl. Pfad / neuer Dateiname inkl. Pfad / dynamischer Schlüssel:

Updates [03.04.2012]:
Wenn die bisherigen Analysen stimmen, sieht es so aus, als ob ich mit meiner Vermutung leider zum Teil Recht hatte und die Verschlüsselten Daten nicht ohne Weiteres entschlüsselt werden können. Der Trojaner nutzt demnach zwar keine asymmetrische Verschlüsselung, was prinzipiell die sicherste Variante wäre, aber er überträgt einen Teil des zur Verschlüsselung genutzten Keys (Basiskey) an den CC-Server. Wenn der Schlüssel nicht auf dem Computer des Opfers zwischengespeichert wird und der Schlüssel mit Zufallsdaten erzeugt wird (wovon sicherlich auszugehen ist), gibt es keine Möglichkeit mehr, den Schlüssel zu errechnen. Die Einzige Möglichkeit wäre somit, darauf zu hoffen, dass die Strafverfolgungsbehörden zugriff auf die Datenbank der CC-Server bekommen: Sehr unwahrscheinlich!

Hier wird der Basekey erzeugt:

Dieser wird dann an den CC-Server übermittelt:

Dann beginnt die Verschlüsselung auf Grundlage des Basekeys. McAfee hat das Vorgehen des Trojaners ebenfalls analysiert und in einer anschaulischen Grafik dargestellt:

Hier heißt es:
The random base key is encrypted using RC4 and the key used is an MD5 checksum of the data, consisting of the serial number of boot drive volume concatenated with the first six characters of the computer name and another hard-coded string. The ciphered data is passed to another encryption routine and the returned value of this routine along with the volume’s serial number followed by the computer name are passed in the query string of the HTTP request as “data” and “id,” respectively.
Quelle: Ransomware holds up victims
Nicht auf ein PP-Verfahren zu setzen hat in meinen Augen vor allem den Vorteil, dass bei den CC-Servern keine Rechnerressourcen "verschwendet" werden. Auch ist die Vorhaltung von PP-Key Kombinationen minimal aufwändiger als eine Datenbank mit der Installationskennung->Basekey. Man sieht also, die Malware-Programmierer sind keine Skript-Kiddies, das Konzept von diesem Trojaner ist gut durchdacht.
Das Einzige, was mir bisher noch nicht ganz klar ist, was in der 1kb-Datei im %temp%-Verzeichnis steht. Da diese aber vor Generierung des Basekeys erstellt wird, dürfte sich auch hier kein Schlüssel mehr finden.

Zusammenfassend läßt sich wohl sagen, dass wir es nun mit einer neuen Eskalationsstufe in Sachen Malware zu tun haben. Die einzige Möglichkeit sich hiergegen zu schützen heißt von nun an auch für Privatpersonen tägliche Backups aller wichtigen Datenbestände auf verschiedene Medien!
Referenzen/Links:
- Entschlüsselungsroutine, die Marcu gefunden hat, für den Fall, dass es doch symmetrisch ist
- Using Symmetric Encryption with Microsoft's CryptoAPI
- CryptoAPI Tracer script
- Cryptography Functions
- Microsoft Enhanced Cryptographic Provider
- Delphi-Praxis: Verschlüsselungs-Trojaner, Hilfe benötigt
- Trojaner-Board: Neue Verschlüsselungs-Trojaner Variante im Umlauf
- Asymmetrisches Kryptosystem
- Cryptovirology Labs
- An Implementation of Cryptoviral Extortion Using Microsoft’s Crypto API? Adam L. Young and Moti M. Yung
- Von kleinen, fiesen Windowsrechnerkrabbeltierchen
- Ransomware holds up victims
Jun 28: Diplomarbeit: Bürgerrechte im Politikfeld der Inneren Sicherheit - zum Zustand einer sozialen Bewegung
Gerade weil es derzeit abgesehen von einigen Datenschutzskandälchen (u.a. Dresden) um die Bürgerrechtsthematik scheinbar etwas ruhiger geworden ist, veröffentliche ich hier jetzt meine Diplomarbeit aus dem Jahre 2009 als Gedankenanstoß für all jene, die von einer nachhaltigen auch digital getragenen Bürgerrechtsbewegung träumen, einem Gegenpol zum etablierten Politikbetrieb.
„... Bürgerrechtsgruppen [gleichen] einem kleinen Köter, der an einer wachsenden sichtbaren und unsichtbaren Wand innenpolitischer und transnationaler Sicherheit einigermaßen effektlos emporkläfft. Dennoch oder gerade deswegen kommt alles darauf an, den Köter zu kräftigen und ihn trefflicher bellen zu lassen.“
Mit dieser recht pessimistischen Zusammenfassung schließt ein Artikel, der zurück blickt auf die Entstehung und den Werdegang von Bürgerrechtsgruppen im Nachkriegsdeutschland bis zum Fall der Mauer. Dieser ernüchternde Blick hat seit seiner Veröffentlichung vor rund 15 Jahren nicht an Bedeutung verloren, vielmehr hat er nach seinem Erscheinen noch an Relevanz gewonnen: Bürgerrechtsorganisationen haben einen schweren Stand, ihre Anliegen und Forderungen in politischen Einfluss zu transformieren.
[...]
Auch wenn die Bürgerrechtsbewegung und ihre Organisationen aus ihrer Sicht seit Jahrzehnten das „Salz in der Suppe“ des demokratischen Rechtsstaates darstellen, bleiben sowohl die Mechanismen, die Reichweite, als auch die Wirkungen ihres Handelns bisher weitgehend im Dunkeln. Abgesehen von einigen historisch angelegten Betrachtungen der Bürgerrechtsbewegung in Deutschland sowie Selbst- und Fremddarstellungen einzelner relevanter Organisationen erscheint dieser politische Sektor als blinder Fleck des wissenschaftlichen Interesses. So finden sich – im Gegensatz zu anderen Bereichen, die in den letzten Jahren geradezu von neuen Publikationen überschwemmt wurden, wie etwa die Umwelt- und Friedensbewegung - weder in der politik- noch der sozialwissenschaftlichen Literatur qualitative oder gar quantitative Studien, die sich der Bürgerrechtsbewegung widmen.
[...]
Aus einer sich anschließenden strukturellen Untersuchung des Politikfeldes der Inneren Sicherheit, in der die im Fallbeispiel gemachten Beobachtungen systematisiert zusammengefasst werden, können erste Hypothesen bezüglich der Durchsetzungsfähigkeit von Bürgerrechtsinteressen gebildet werden, die es im weiteren Verlauf der Arbeit zu vertiefen gilt. Insbesondere geht es um die Begründung einer strukturellen Unterlegenheit, die maßgeblich durch vier Faktoren begünstigt wird: Die thematische Unbegrenztheit des Politikfeldes, das der Sicherheitspolitik immanente Versprechen des Guten, die Mobilisierungspotentiale immaterieller Werte und das Vorhandensein materieller Ressourcen.
[...]
Die komplette Arbeit zum Download
„... Bürgerrechtsgruppen [gleichen] einem kleinen Köter, der an einer wachsenden sichtbaren und unsichtbaren Wand innenpolitischer und transnationaler Sicherheit einigermaßen effektlos emporkläfft. Dennoch oder gerade deswegen kommt alles darauf an, den Köter zu kräftigen und ihn trefflicher bellen zu lassen.“
Mit dieser recht pessimistischen Zusammenfassung schließt ein Artikel, der zurück blickt auf die Entstehung und den Werdegang von Bürgerrechtsgruppen im Nachkriegsdeutschland bis zum Fall der Mauer. Dieser ernüchternde Blick hat seit seiner Veröffentlichung vor rund 15 Jahren nicht an Bedeutung verloren, vielmehr hat er nach seinem Erscheinen noch an Relevanz gewonnen: Bürgerrechtsorganisationen haben einen schweren Stand, ihre Anliegen und Forderungen in politischen Einfluss zu transformieren.
[...]
Auch wenn die Bürgerrechtsbewegung und ihre Organisationen aus ihrer Sicht seit Jahrzehnten das „Salz in der Suppe“ des demokratischen Rechtsstaates darstellen, bleiben sowohl die Mechanismen, die Reichweite, als auch die Wirkungen ihres Handelns bisher weitgehend im Dunkeln. Abgesehen von einigen historisch angelegten Betrachtungen der Bürgerrechtsbewegung in Deutschland sowie Selbst- und Fremddarstellungen einzelner relevanter Organisationen erscheint dieser politische Sektor als blinder Fleck des wissenschaftlichen Interesses. So finden sich – im Gegensatz zu anderen Bereichen, die in den letzten Jahren geradezu von neuen Publikationen überschwemmt wurden, wie etwa die Umwelt- und Friedensbewegung - weder in der politik- noch der sozialwissenschaftlichen Literatur qualitative oder gar quantitative Studien, die sich der Bürgerrechtsbewegung widmen.
[...]
Aus einer sich anschließenden strukturellen Untersuchung des Politikfeldes der Inneren Sicherheit, in der die im Fallbeispiel gemachten Beobachtungen systematisiert zusammengefasst werden, können erste Hypothesen bezüglich der Durchsetzungsfähigkeit von Bürgerrechtsinteressen gebildet werden, die es im weiteren Verlauf der Arbeit zu vertiefen gilt. Insbesondere geht es um die Begründung einer strukturellen Unterlegenheit, die maßgeblich durch vier Faktoren begünstigt wird: Die thematische Unbegrenztheit des Politikfeldes, das der Sicherheitspolitik immanente Versprechen des Guten, die Mobilisierungspotentiale immaterieller Werte und das Vorhandensein materieller Ressourcen.
[...]
Die komplette Arbeit zum Download
Mär 2: Auf dem Weg zu einer wegweisenden Entscheidung
Heute ist es also so weit und das BVerG wird über die Klage gegen die Vorratsdatenspeicherung entscheiden. Dieses Urteil wird aber nicht nur wegweisend für die in den letzten Jahren geschundenen Bürgerrechte sein, wie etwa bei netzpolitik zu lesen ist:
Aus politikwissenschaftlicher Sicht ist vor allem interessant, wie sich die Entscheidung auf die "digitale Bürgerrechtsbewegung", also all jene Gruppierungen, die sich im Kampf um Datenschutz und das Recht auf informationelle Selbstbestimmung in den letzten Jahren gebildet haben, auswirken wird. Das Urteil wird den Bestand, die Zielsetzung und die Vernetzung dieser Gruppierungen für die Zukunft maßgeblich bestimmen.
Welche Optionen ergeben sich also aus den vier möglichen Entscheidungen:
Fangen wir beim mit Blick auf die Bürgerrechte wünschenswertesten Punkt 4 an. Sollte das BVerfG die Vorratsdatenspeicherung kippen, was bedeutet dies für die digitale Bewegung? In diesem Fall ist davon auszugehen, dass die digitale Bürgerrechtsbewegung ideell gestärkt aus dem Verfahren herausgeht. Es erscheint jedoch in meinen Augen fraglich, ob dies auch strukturell der Fall sein wird und dies aus einem einfachen Grund: Die Bestandsvoraussetzung, namentlich die Vorratsdatenspeicherung hätte ihre identitätsstiftende Wirkung verloren. Zwar gibt es eine Vielzahl ähnlicher gesetzgeberischer Initiativen - man denke nur an das Elena-Verfahren. Dennoch ist in meinen Augen bei einer Entscheidung gegen die VDS mit einer Identitätskrise der Bewegung und in der Folge mit Zerfallserscheinungen zu rechnen.
Geht man von einer Entscheidung im Sinne von Punkt 3 aus, so hätte dies in meinen Augen vor allem eine die digitale Bewegung lähmende Wirkung. Die Aktionsbereitschaft in Bezug auf die Vorratsdatenspeicherung, sowie das Mobilisierungspotential dürften sinken. Nachdem das Gesetz nun schon zwei Jahre in Kraft ist, würde eine weitere Aufschiebung einer Entscheidung somit auf die Bewegung in zweifacher Hinsicht negative Wirkung entfalten: Einerseits läßt das Mobilisierungspotential der VDS und damit verbunden die Bindungskraft auf Aktivisten nach, andererseits bleiben viele Ressourcen der Bewegung weiterhin gebunden, so dass auf neuere Entwicklungen (Elena, Gesundheitskarte, ...) erst spät und vergleichsweise schwach reagiert werden kann.
Bei einer Entscheidung nach Punkt 1 Treffen sind ähnliche Wirkungen wie bei einer etwaigen Entscheidung nach Punkt 3 zu erwarten. Allerdings mit noch stärker lähmender Wirkung, da hierbei noch eine weitere Instanz bis zur Entscheidung eingeführt wird.
Bei einer Entscheidung nach Punkt zwei gingen die Gruppierungen ideell geschwächt aus dem Verfahren, was sich nachhaltig negativ auf die Durchsetzungsfähigkeit ihrer Argumente, die Mobilisierungsfähigkeit der Bewegung als solche und die Bindungsfähigkeit gegenüber Aktivisten auswirken dürfte. In einem solchen Fall wäre sicher mit Zerfallstendenzen der Bewegung zu rechnen, nach dem Motto "bringt doch nichts".
In meinen Augen birgt somit die heutige Entscheidung des Bundesverfassungsgerichts zur Vorratsdatenspeicherung für die digitale Bürgerrechtsbewegungen neben bürgerrechtlichen Chancen auch eine Vielzahl von Risiken in sich. Es wird spannend sein, wie sich die Gruppierungen nach dieser wichtigen Entscheidung entwickeln werden.
Es gibt wohl kein anderes Gesetz, was wir seit Gründung dieses Blogs so intensiv begleitet haben, wie die Vorratsdatenspeicherung. Insofern ist natürlich die große Hoffnung da, dass das Bundesverfassungsgericht die Protokollierung unserer Verbindungsdaten Morgen beerdigt.
Aus politikwissenschaftlicher Sicht ist vor allem interessant, wie sich die Entscheidung auf die "digitale Bürgerrechtsbewegung", also all jene Gruppierungen, die sich im Kampf um Datenschutz und das Recht auf informationelle Selbstbestimmung in den letzten Jahren gebildet haben, auswirken wird. Das Urteil wird den Bestand, die Zielsetzung und die Vernetzung dieser Gruppierungen für die Zukunft maßgeblich bestimmen.
Welche Optionen ergeben sich also aus den vier möglichen Entscheidungen:
1. Das Bundesverfassungsgericht erklärt die Beschwerde gegen die Vorratsdatenspeicherung selbst für unzulässig (”nur die Instanzgerichte können den Europäischen Gerichtshof befassen”) und beschränkt lediglich die Datennutzung auf schwere Straftaten, stellt höhere Datensicherheitsanforderungen usw.
2. Das Bundesverfassungsgericht erklärt die Beschwerde gegen die Vorratsdatenspeicherung selbst als unbegründet (”die Vorratsdatenspeicherung ist unter hohen Voraussetzungen verhältnismäßig”) und beschränkt nur die Datennutzung auf schwere Straftaten, stellt höhere Datensicherheitsanforderungen usw.
3. Das Bundesverfassungsgericht legt die Frage, ob die Vorratsdatenspeicherung zulässig ist, dem Europäischen Gerichtshof zur Entscheidung vor und beschränkt bis zur Entscheidung die Datennutzung auf schwere Straftaten, stellt höhere Datensicherheitsanforderungen usw.
4. Das Bundesverfassungsgericht erklärt die Vorratsdatenspeicherung selbst für verfassungswidrig.
Fangen wir beim mit Blick auf die Bürgerrechte wünschenswertesten Punkt 4 an. Sollte das BVerfG die Vorratsdatenspeicherung kippen, was bedeutet dies für die digitale Bewegung? In diesem Fall ist davon auszugehen, dass die digitale Bürgerrechtsbewegung ideell gestärkt aus dem Verfahren herausgeht. Es erscheint jedoch in meinen Augen fraglich, ob dies auch strukturell der Fall sein wird und dies aus einem einfachen Grund: Die Bestandsvoraussetzung, namentlich die Vorratsdatenspeicherung hätte ihre identitätsstiftende Wirkung verloren. Zwar gibt es eine Vielzahl ähnlicher gesetzgeberischer Initiativen - man denke nur an das Elena-Verfahren. Dennoch ist in meinen Augen bei einer Entscheidung gegen die VDS mit einer Identitätskrise der Bewegung und in der Folge mit Zerfallserscheinungen zu rechnen.
Geht man von einer Entscheidung im Sinne von Punkt 3 aus, so hätte dies in meinen Augen vor allem eine die digitale Bewegung lähmende Wirkung. Die Aktionsbereitschaft in Bezug auf die Vorratsdatenspeicherung, sowie das Mobilisierungspotential dürften sinken. Nachdem das Gesetz nun schon zwei Jahre in Kraft ist, würde eine weitere Aufschiebung einer Entscheidung somit auf die Bewegung in zweifacher Hinsicht negative Wirkung entfalten: Einerseits läßt das Mobilisierungspotential der VDS und damit verbunden die Bindungskraft auf Aktivisten nach, andererseits bleiben viele Ressourcen der Bewegung weiterhin gebunden, so dass auf neuere Entwicklungen (Elena, Gesundheitskarte, ...) erst spät und vergleichsweise schwach reagiert werden kann.
Bei einer Entscheidung nach Punkt 1 Treffen sind ähnliche Wirkungen wie bei einer etwaigen Entscheidung nach Punkt 3 zu erwarten. Allerdings mit noch stärker lähmender Wirkung, da hierbei noch eine weitere Instanz bis zur Entscheidung eingeführt wird.
Bei einer Entscheidung nach Punkt zwei gingen die Gruppierungen ideell geschwächt aus dem Verfahren, was sich nachhaltig negativ auf die Durchsetzungsfähigkeit ihrer Argumente, die Mobilisierungsfähigkeit der Bewegung als solche und die Bindungsfähigkeit gegenüber Aktivisten auswirken dürfte. In einem solchen Fall wäre sicher mit Zerfallstendenzen der Bewegung zu rechnen, nach dem Motto "bringt doch nichts".
In meinen Augen birgt somit die heutige Entscheidung des Bundesverfassungsgerichts zur Vorratsdatenspeicherung für die digitale Bürgerrechtsbewegungen neben bürgerrechtlichen Chancen auch eine Vielzahl von Risiken in sich. Es wird spannend sein, wie sich die Gruppierungen nach dieser wichtigen Entscheidung entwickeln werden.
Okt 15: DNS-Filter reloaded: Das ZugErschwG beim Deutschen Forschungsnetz
Das nun auch in Deutschland das Internet gefiltert werden soll, sollte mittlerweile bekannt sein. Was ich jedoch nicht gedacht hätte ist, dass wohl davon auszugehen ist,dass die Internet-Service Provider von der technik-neutralen Formulierung des Zugangserschwerungsgesetzes auch tatsächlich Gebrauch machen werden. Ich war eher davon ausgegangen, dass es die ISP's bei der Manipulation ihrer Nameserver belassen, da dies den geringsten Aufwand bedeutet. Die gestern vom DFN-Verein online gestellten Dokumente zur Betriebstagung lassen aber für die Informationsfreiheit in Deutschland nichts gutes erahnen.
Der zweigeteilte TOP zum neuen Gesetz enthält eine rechtliche Einschätzung von Hannes Obex, in der die Motivation, die Anforderungen und mögliche Ausnahmetatbestände behandelt. So werden als „geeignete und zumutbare technische Maßnahmen“ die Sperrung von vollqualifizierten Domainnamen (DNS-Sperre), von Internetprotokoll-Adressen (IP-Sperre) und von Zieladressen (URL-Sperre) angesehen, als Mindestanforderung wird die DNS-Sperre angesehen.

Verpflichtet zur Umsetzung der Sperren sind TK-Anbieter i.S.d. § 8 TMG mit mindestens 10.000 Nutzern. Die Anbieter sind weiterhin dazu verpflichtet, für eine unverzügliche Umsetzung der vom BKA bereitgestellte Sperrliste innerhalb von 6 Stunden zu sorgen, die Kunden auf eine vom Provider gehostete Stoppmeldung umzuleiten, die Sperrliste geheim zu halten, sowie eine anonyme Zugriffstatistik zu erstellen und weiterzuleiten. Bei schuldhaftem Verstoß gegen Sperr- oder
Geheimhaltungspflicht droht ein Bußgeld wegen Ordnungswidrigkeit von 50.000€. Soweit enthält der erste Teil nichts wesentlich neues und gibt den aktuellen Stand der Dinge wieder.
Interessanter, vor allem mit Bezug auf den zukünftigen Charakter der zu erwartenden Netzsperren und die Wirkung auf die Informationsfreiheit sind die Folien zur technischen Umsetzung von Holger Wirtz. Wie nicht anders zu erwarten, wird das Deutsche Forschungsnetz die Sperren vermutlich auf DNS-Ebene betreiben, und damit die Mindestanforderungen des Gesetzes erfüllen. Dabei wird ein DNS-Proxy fragliche Internetseiten blockieren, für die Umleitung auf die Sperrseite sorgen und die Statistik mit Daten beliefern:

In meinen Augen bemerkenswert und überaus bedenklich ist jedoch die Seite neun:

Mit dem Sperren oder der Weiterleitung ausgehenden Traffics auf Port 53 kann die Websperre vom "Durchschnittsuser" nicht mehr sol leicht umgangen werden, wie es in zahlreichen Anleitungen im Netz beschrieben ist. Das Einrichten von frei zugänglichen Nameservern wie etwa OpenDNS wäre dann nicht mehr möglich, da jegliche Namensauflösung auf die Server des DFN umgeleitet werden. Dies stellt einen weitaus tieferen Eingriff in die Kommunikations- und Informationsfreiheit dar, als es reine DNS-Manipulationen tun würden und ist in meinen Augen nicht als "Umsetzung von Mindestanforderungen" anzusehen. Es ist in meinen Augen auch fraglich, ob eine solche Manipulation rechtlich zulässig wäre. Die Überlegungen seitens des Deutschen Forschungsnetzes, ob diese Erweiterung der Sperren auf DNS-Ebene sinnvoll wären offenbart jedenfalls, dass diese oder ähnliche Optionen auch bei anderen großen ISP's diskutiert werden. Dieser Umstand läßt somit erwarten, dass wir eine sehr viel stärkere Internetzensur bekommen werden, als einige sich das bisher vorstellen konnten. Wer also weiterhin auf der "sicheren" Seite surfen möchte, wird nicht um die Installation eines lokalen DNS-Servers herumkommen, der sich mit freien DNS-Servern verbindet, die auf anderen Ports als 53 lauschen.
Erschreckend ist weiterhin, wie wenig diese Maßnahmen die Internetprivider vermutlich kosten wird. So geht der DFN davon aus, dass ein Server mit Intel i7 Quad Server CPU, 12 GB RAM und
1 GigE Netzwerk-Anbindung ausreichend ist, um die Arbeit zu verrichten. Auch wenn man für die Ausfallsicherheit mehrere Server braucht, sind die Kosten doch durchaus überschaubar und sollten für keinen ISP ein Hindernis zur Umsetzung des Zugangserschwerungsgesetzes darstellen.

Das DFN ist für Forschung und Lehre von Zentraler Bedeutung: "Das Deutsche Forschungsnetz (DFN) ist das von der Wissenschaft selbst organisierte Kommunikationsnetz für Wissenschaft und Forschung in Deutschland. Es verbindet Hochschulen und Forschungseinrichtungen miteinander und ist nahtlos in den europäischen und weltweiten Verbund der Forschungs- und Wissenschaftsnetze integriert. Über mehrere leistungsstarke Austauschpunkte ist das DFN ebenfalls mit dem allgemeinen Internet verbunden.". Mit der angenommenen Verpflichtung der Umsetzung des Zugangserschwerungsgestzes auch für Universitäten und ihre Infrastrukturanbieter ist nicht nur die Freiheit von Forschung und Lehre in Gefahr. Es muß auch die Frage gestellt werden, wer noch unabhängig die Auswirkungen das Zugangserschwerungsgesetzes, die proklamierte "Internetszene", die mutmaßliche Milliardenindustrie oder aber - mit Blick auf zukünftige Sperrwünsche - etwa extremistische Organisationen im Netz erforschen kann? Wie soll dieses folgenschwere Gesetz unabhängig evaluiert werden können, wenn es selbst für die Wissenschaft keine Informationsfreiheit mehr gibt?
Der zweigeteilte TOP zum neuen Gesetz enthält eine rechtliche Einschätzung von Hannes Obex, in der die Motivation, die Anforderungen und mögliche Ausnahmetatbestände behandelt. So werden als „geeignete und zumutbare technische Maßnahmen“ die Sperrung von vollqualifizierten Domainnamen (DNS-Sperre), von Internetprotokoll-Adressen (IP-Sperre) und von Zieladressen (URL-Sperre) angesehen, als Mindestanforderung wird die DNS-Sperre angesehen.

Verpflichtet zur Umsetzung der Sperren sind TK-Anbieter i.S.d. § 8 TMG mit mindestens 10.000 Nutzern. Die Anbieter sind weiterhin dazu verpflichtet, für eine unverzügliche Umsetzung der vom BKA bereitgestellte Sperrliste innerhalb von 6 Stunden zu sorgen, die Kunden auf eine vom Provider gehostete Stoppmeldung umzuleiten, die Sperrliste geheim zu halten, sowie eine anonyme Zugriffstatistik zu erstellen und weiterzuleiten. Bei schuldhaftem Verstoß gegen Sperr- oder
Geheimhaltungspflicht droht ein Bußgeld wegen Ordnungswidrigkeit von 50.000€. Soweit enthält der erste Teil nichts wesentlich neues und gibt den aktuellen Stand der Dinge wieder.
Interessanter, vor allem mit Bezug auf den zukünftigen Charakter der zu erwartenden Netzsperren und die Wirkung auf die Informationsfreiheit sind die Folien zur technischen Umsetzung von Holger Wirtz. Wie nicht anders zu erwarten, wird das Deutsche Forschungsnetz die Sperren vermutlich auf DNS-Ebene betreiben, und damit die Mindestanforderungen des Gesetzes erfüllen. Dabei wird ein DNS-Proxy fragliche Internetseiten blockieren, für die Umleitung auf die Sperrseite sorgen und die Statistik mit Daten beliefern:

In meinen Augen bemerkenswert und überaus bedenklich ist jedoch die Seite neun:

Mit dem Sperren oder der Weiterleitung ausgehenden Traffics auf Port 53 kann die Websperre vom "Durchschnittsuser" nicht mehr sol leicht umgangen werden, wie es in zahlreichen Anleitungen im Netz beschrieben ist. Das Einrichten von frei zugänglichen Nameservern wie etwa OpenDNS wäre dann nicht mehr möglich, da jegliche Namensauflösung auf die Server des DFN umgeleitet werden. Dies stellt einen weitaus tieferen Eingriff in die Kommunikations- und Informationsfreiheit dar, als es reine DNS-Manipulationen tun würden und ist in meinen Augen nicht als "Umsetzung von Mindestanforderungen" anzusehen. Es ist in meinen Augen auch fraglich, ob eine solche Manipulation rechtlich zulässig wäre. Die Überlegungen seitens des Deutschen Forschungsnetzes, ob diese Erweiterung der Sperren auf DNS-Ebene sinnvoll wären offenbart jedenfalls, dass diese oder ähnliche Optionen auch bei anderen großen ISP's diskutiert werden. Dieser Umstand läßt somit erwarten, dass wir eine sehr viel stärkere Internetzensur bekommen werden, als einige sich das bisher vorstellen konnten. Wer also weiterhin auf der "sicheren" Seite surfen möchte, wird nicht um die Installation eines lokalen DNS-Servers herumkommen, der sich mit freien DNS-Servern verbindet, die auf anderen Ports als 53 lauschen.
Erschreckend ist weiterhin, wie wenig diese Maßnahmen die Internetprivider vermutlich kosten wird. So geht der DFN davon aus, dass ein Server mit Intel i7 Quad Server CPU, 12 GB RAM und
1 GigE Netzwerk-Anbindung ausreichend ist, um die Arbeit zu verrichten. Auch wenn man für die Ausfallsicherheit mehrere Server braucht, sind die Kosten doch durchaus überschaubar und sollten für keinen ISP ein Hindernis zur Umsetzung des Zugangserschwerungsgesetzes darstellen.

Das DFN ist für Forschung und Lehre von Zentraler Bedeutung: "Das Deutsche Forschungsnetz (DFN) ist das von der Wissenschaft selbst organisierte Kommunikationsnetz für Wissenschaft und Forschung in Deutschland. Es verbindet Hochschulen und Forschungseinrichtungen miteinander und ist nahtlos in den europäischen und weltweiten Verbund der Forschungs- und Wissenschaftsnetze integriert. Über mehrere leistungsstarke Austauschpunkte ist das DFN ebenfalls mit dem allgemeinen Internet verbunden.". Mit der angenommenen Verpflichtung der Umsetzung des Zugangserschwerungsgestzes auch für Universitäten und ihre Infrastrukturanbieter ist nicht nur die Freiheit von Forschung und Lehre in Gefahr. Es muß auch die Frage gestellt werden, wer noch unabhängig die Auswirkungen das Zugangserschwerungsgesetzes, die proklamierte "Internetszene", die mutmaßliche Milliardenindustrie oder aber - mit Blick auf zukünftige Sperrwünsche - etwa extremistische Organisationen im Netz erforschen kann? Wie soll dieses folgenschwere Gesetz unabhängig evaluiert werden können, wenn es selbst für die Wissenschaft keine Informationsfreiheit mehr gibt?
Jun 23: CDU-Wahlprogramm: ... und Du bist raus ...
Und wieder einmal ist es wikileaks, die Unsagbares veröffentlichen:
Die CDU setzt sich im Wahlprogrammentwurf für den Ausschluss von Internetnutzern ein, die mehrfach negativ aufgefallen sind:
In Frankreich wurde ein ähnliches Gesetz bereits vom dortigen Verfassungsgericht kassiert. Die Richter sahen durch das Gesetz sowohl das von der Verfassung garantierte Recht auf freie Meinungsäußerung als auch die Unschuldsvermutung gefährdet. Es spricht schon für die CDU, mit solchen Ideen, die den Grund- und Menschenrechte mit Bezug auf die Informations- und Meinungsfreiheit spotten, Wahlkampf machen zu wollen. Es kommen interessante Zeiten auf uns zu ...
Hier gibt es das Dokument zum Download / Mirror
Das PDF enthaelt das aktuelle Programm der CDU zur Bundestagswahl 2009.Es enthaelt unter anderem den Vorschlag einer "3-Strike-Out" regelung, aehnlich wie sie gerade in Frankreich eingefueht wurde. Diese sieht eine Sperrung des Internetanschlusses vor, sollte ein Teilnehmer drei mal fuer Verletzungen von Urheberrechtsinteressen bekannt werden. Im franzoesischen Modell wird hier der Vertrag nicht gekuendigt, ein Nutzer zahlt weiter fuer seinen Anschluss, bekommt aber keinen Zugriff auf das Internet mehr.
Dieses Vorhaben stellt einen weiteren Aspekt des Internet-Crackdowns durch die CDU dar, ist im Kontext von Zensurgesetz und Vorratsdatenspeicherung zu verstehen und beweisst das Interesse der CDU zur Durchsetzung von Lobbyinteressen im Internet.
Die CDU setzt sich im Wahlprogrammentwurf für den Ausschluss von Internetnutzern ein, die mehrfach negativ aufgefallen sind:
Das Internet ist kein rechtsfreier Raum. Wo es angesichts der geringen Schwere von Straftaten vertretbar ist, soll eine Selbstregulierung greifen. Wir möchten nach britischem und französischem Vorbild Rechtsverletzungen effektiv unterbinden, indem die Vermittler von Internetzugängen Rechtsverletzer verwarnen und nötigenfalls ihre Zugänge sperren. Wir werden
auf den Ausbau der internationalen Zusammenarbeit gegen Internet-Kriminalität drängen. In Deutschland treten wir für eine stärkere Bündelung der Aktivitäten im Kampf gegen Internet-Kriminalität ein. Bundeskriminalamt, Bundesamt für Sicherheit in der Informationstechnik und die entsprechenden Einrichtungen der Länder sind hierfür personell und technisch weiter zu stärken.
In Frankreich wurde ein ähnliches Gesetz bereits vom dortigen Verfassungsgericht kassiert. Die Richter sahen durch das Gesetz sowohl das von der Verfassung garantierte Recht auf freie Meinungsäußerung als auch die Unschuldsvermutung gefährdet. Es spricht schon für die CDU, mit solchen Ideen, die den Grund- und Menschenrechte mit Bezug auf die Informations- und Meinungsfreiheit spotten, Wahlkampf machen zu wollen. Es kommen interessante Zeiten auf uns zu ...
Hier gibt es das Dokument zum Download / Mirror
Jun 22: Buchempfehlung: Access Denied. The Practice and Policy of Global Internet Filtering
Da will man mal ein paar Bücher zum Thema zusammensuchen und entdeckt, dass es da was ganz Feines jetzt als eBook zum download gibt, was prima zur aktuellen politischen Lage passt. Hier also meine Leseempfehlung:
Access Denied: The Practice and Policy of Global Internet Filtering

Book Description
Many countries around the world block or filter Internet content, denying access to information--often about politics, but also relating to sexuality, culture, or religion--that they deem too sensitive for ordinary citizens. Access Denied documents and analyzes Internet filtering practices in over three dozen countries, offering the first rigorously conducted study of this accelerating trend. lesen Sie mehr
Access Denied: The Practice and Policy of Global Internet Filtering

Book Description
Many countries around the world block or filter Internet content, denying access to information--often about politics, but also relating to sexuality, culture, or religion--that they deem too sensitive for ordinary citizens. Access Denied documents and analyzes Internet filtering practices in over three dozen countries, offering the first rigorously conducted study of this accelerating trend. lesen Sie mehr
« vorherige Seite
(Seite 1 von 7, insgesamt 51 Einträge)
nächste Seite »