Menü

Kanadischer Geheimdienst veröffentlicht erstmals Sicherheitssoftware

CSE gilt als besonders schweigsam. Nun überraschen die Spione mit der Herausgabe eines Dateiformats sowie eines Frameworks. Es soll helfen, in vielen Dateien gleichzeitig Malware aufzuspüren.

Von
vorlesen Drucken Kommentare lesen 76 Beiträge
3D-Schriftzug "Canada 150", auf dem Leute sitzen

Kanada feiert 2017 seinen 150. Geburtstag.

(Bild: davebloggs007 CC BY 2.0 )

Der kanadische Geheimdienst CSE (ehemals CSEC) hat erstmals Software veröffentlicht. Die Eigenentwicklung heißt Assemblyline 3.1 und hilft dabei, Malware aufzuspüren. Es handelt sich um ein verteilt einsetzbares Framework zur Analyse vieler Dateien gleichzeitig. Assemblyline kann aber auch auf einem einzelnen System installiert werden. Die Software wurde in Python programmiert und unter der flexiblen Open-Source-Lizenz des MIT veröffentlicht.

Der Assemblyline-Core teilte den parallel scannenden Workern die Dateien zu. Riak dient als Datenspeicher.

(Bild: Crown Copyright, Gov. of Canada (Communications Security Establishment))

CSE (Communications Security Establishment) galt bisher als besonders verschlossen. Abgesehen von Edward Snowdens Enthüllungen drang kaum etwas über die Tätigkeit des Dienstes an die Öffentlichkeit. Das soll sich nun in Teilbereichen ändern. Ein Grund könnte sein, dass die kanadische Regierung die CSE-Spionage auf eine neue gesetzliche Grundlage stellen möchte. Da käme positivere öffentliche Meinung nicht ungelegen.

Mit der Veröffentlichung von Assemblyline wollen die kanadischen Spione anderen Organisationen sowie Unternehmen bei der Verteidigung gegen digitale Angriffe helfen. Jedermann ist dazu eingeladen, die Software an eigene Bedürfnisse anzupassen und/oder zusätzliche Scan-Module einzubauen. Etwa 30 solche Module sind in bereits mit dabei. Sie erfordern aber meist kommerzielle Lizenzen, etwa für Virenscanner.

Außerdem hat der Geheimdienst ein Dateiformat namens CaRT vorgestellt, das der Speicherung und Übertragung von Malware dient. CaRT steht für Compressed and RC4 Transport. Die Inhalte eines CaRT-Archivs werden mit zlib komprimiert und mit RC4 verschlüsselt. Das soll vermeiden, dass Virenscanner und ähnliche Wächter Alarm schlagen.

Gleichzeitig soll die Malware aber unschädlich sein, solange sie nicht entpackt und entschlüsselt wurde. In einem CaRT-Archiv können mehrere Dateien und Metadaten gespeichert sein. Die Metadaten können ausgelesen werden, ohne auf die eigentliche Datei zugreifen zu müssen. (ds)

Anzeige
Anzeige