uname hat geschrieben: 14.07.2020 08:02:41
Ich glaube viel mehr, dass FinFisher und Co. nur möglich sind, wenn
a.) der Client z. B. maniupuliert wird (E-Mail-Anhang, physischer Zugriff, Sicherheitslücke, ...)
b.) der Provider (z. B. Microsoft, Apple) unterstützt
Ich glaube, dass es das einfachste ist, entweder die Software-Quelle selber zu kompromittieren oder alternativ einfach eigene Quellen mit attraktivem und aktuellem (aber infizierten) Angebot über PR oder SEO in den entsprechenden Foren zu etablieren. Die Leute schreien doch alle völlig ahnungslos nach immer den neuesten Versionen und bedienen sich dann an solchen Quellen, weil Linux eben manchmal nicht hinterher kommt. Gerade solcherart subversiv ambitionierte und oft auch hinsichtlich der Verantwortlichkeit anonyme ppa's, spiegel, update-pools, was-auch-immer, sind doch perfekt geeignet, um Programme wie den Staatstrojaner zu verteilen. Über die eigentlichen Ziele eines ppa's mit anonymen Verantwortlichen an anonymen Standorten und ob das wirklich nur Enthusiasmus und Idealismus ist, wissen wir doch gar nichts, wir können's doch nur glauben.
Außerdem, welcher Entwickler einer privat betriebenen Project-Community will sich denn gegen etwas staatlichen Druck wehren...?... geht doch gar nicht... vor allem, wenn doch die Art der verlangten Dienstleistung ...
... so wenig Aufwand bedeutet. Man erinnere sich dabei mal an truecrypt, wo meiner Erinnerung nach eine Hintertür verlangt wurde, oder bei Apple, die die Geräte-Verschlüsselung preisgeben sollten, oder die EU mit ihrem ETSI/eTLS. Was die Staaten wollen und mit welchen Mitteln... daran besteht doch kein Zweifel. Dann erinnere ich mich auch noch an Waterfox, wo völlig im Stillen (von der Masse der normalen User vermutlich unbemerkt) die vorherigen Ziele des Browser auf einmal durch unternehmerische Ziele ausgetauscht wurden.... durch ein Unternehmen, was sich aufgrund seiner Größe eben wieder genau im Fokus der nationalen staatlichen Organe für solcherart erwünschte Überwachungs- Zugänge befindet. Da wird es vermutlich noch viel mehr solcher Beispiele geben.
Darüber hinaus liegen doch die Quellen selber meistens auf öffentlichen Servern, wo die ISP (soweit ich das verstanden habe) teilweise unter dem nationalen Recht von zum Beispiel "Patriot Act" in USA oder in GB dem "Investigatory Powers Bill" Zugänge zu Benutzerspeichern öffnen müssen. Genau davon sind wir als private deutsche PC- und Internet-Benutzer über das Bandenspiel der UKUSA-Vereinbarung doch auch unmittelbar betroffen.
Ich bin davon überzeugt, dass man sich bei der Verwendung von Programmen aus Drittquellen (egal ob Windows oder Linux) nicht gegen eine Kompromittierung seiner Hardware/Software schützen kann. Das kann gut gehen, oder auch nicht... eine Kontrolle hat man unter solchen Umständen m.M.n. jedenfalls nicht... losgelöst davon, ob da auf dem Client-Gerät subversive Mails ausgeführt werden oder andere Exploits bestehen. Pure Debian Stable ist im Moment für mich die beste (und vermutlich auch die einzige) Möglichkeit dem entgegen zu wirken.