• You are currently browsing the archives for the Gedachtes category.

    • VLAN im Livebetrieb ausrollen, ohne den Betrieb zu stören?

    Geht das? Ja, kommt aber darauf an, was die Switches können und wie das Netzwerk generell aufgebaut ist. Liegt kein VLAN vor, so liegt das Netzwerk im Native VLAN. Das ist das VLAN 1. Nun können freie Ports des Switches in weitere neue VLANs gelegt werden. Die Uplinks müssen etwas angepasst werden, damit über einen Trunk das VLAN auch zum anderen Switch durchgereicht wird. Das Netzwerk, welches sich gerade im Betrieb befindet wird dabei nicht angefasst. Sichergestellt werden sollte, dass die ganze Umgebung von einem Hersteller ist. Beispielsweise nur Cisco, 3COM, HP oder Alcatel. Es sollte kein Switch existieren, welches nicht managebar ist.

    Sollte die Umgebung aus einem völligen Chaos bestehen, so muss sehr vorsichtig gebastelt und ein wenig experimentiert werden, ob die Geräte sich gegenseitig verstehen. Trunk ist zwar mehr oder weniger genau im 802.1q festgelegt, aber Alcatel hat zum Beispiel auch ein eigenes Trunkprotokoll auf ihren Geräten verbaut. Manchmal gibt es in Mischumgebungen kleine oder größere Rätsel, warum etwas nicht funktioniert. Abgesehen, dass der Admin immer ein anderes Gerät vor seiner Nase hat, was sich anders konfigurieren lässt. Was meiner Erfahrung nach ganz gut ist, dass alle Switche immer die gleiche Firmwareversion drauf haben.

    Ist sich der Admin unsicher, sollte er vorher ausprobieren, welche Auswirkungen seine Änderungen haben. Eine falsche Einstellungen hat schnell zur Folge, dass plötzlich ein System nicht mehr erreichbar ist und das kann den Livebetrieb dann schonmal zum Erliegen bringen.

    Written on December 4th, 2011 , Gedachtes, Technik Tags: , , , , , , , , ,
    Verwendung von urlsnarf in Netzwerken

    Urlsnarf ist in der Lage aus Datenströmen, die beispielsweise durch WLAN-Sniffing erfasst werden, die eingegebenen URLs zu untersuchen. Dabei werden aufgerufene URL und Browser in ein Logfile ausgegeben, falls keine Datei angegeben wird, so speichert das Tool alle Ausgaben nicht ab, sondern gibt diese auf der Console aus. Hier ist, als Beispiel, ein simpler Aufruf dargestellt. Wird kein Netzwerkinterface angegeben, so nimmt urlsnarf eines an, das wäre das erste Interface des Systems. Aufgerufen wurde in unserem Beispiel der Textbrowser lynx. Anschließend wurde Google aufgerufen.

    neurodump@antilight:~# urlsnarf
    urlsnarf: listening on eth0 [tcp port 80 or port 8080 or port 3128]
    antilight.starnet.423 - - [29/Jul/2011:13:53:03 +0200] "GET http://changelogs.ubuntu.com/meta-release HTTP/1.1" - - "-" "Python-urllib/2.7"
    antilight.starnet.423 - - [29/Jul/2011:13:53:10 +0200] "GET http://lynx.isc.org/ HTTP/1.0" - - "-" "Lynx/2.8.8dev.7 libwww-FM/2.14 SSL-MM/1.4.1 GNUTLS/2.8.6"
    antilight.starnet.423 - - [29/Jul/2011:13:53:24 +0200] "GET http://google.de/ HTTP/1.0" - - "-" "Lynx/2.8.8dev.7 libwww-FM/2.14 SSL-MM/1.4.1 GNUTLS/2.8.6"
    antilight.starnet.423 - - [29/Jul/2011:13:53:27 +0200] "GET http://www.google.de/ HTTP/1.0" - - "-" "Lynx/2.8.8dev.7 libwww-FM/2.14 SSL-MM/1.4.1 GNUTLS/2.8.6"
    ^C
    neurodump@antilight:~#

    Unter Ubuntu lässt sich urlsnarf leicht installieren. Details stehen in der Manpage. Nützlich ist urlsnarf zum Prüfen, was wer auf dem Netzwerk so tut. Die meisten Aufrufe sind meist typischen Surfen, also HTTP. Werden Parameter mit der URL übertragen, so lässt sich das hier ebenfalls betrachten. Diese Daten können wiederum mit sed, awk und grep entsprechend so geformt werden, dass der Benutzer einen Trigger auf bestimmte URLs legen könnte, um schließlich eine Meldung per Mail zu senden, sollte etwas bemerkt werden. Wozu könnte das Nütze sein?

    Stelle man sich ein größeres Netzwerk vor. Viele Maschinen lassen sich per Webinterface administrieren. Das wird nur nicht jeden Tag gemacht. Zum Beispiel der DSL Router, einige Switche und was nicht alles, lässt sich leicht über HTTP konfigurieren. Finden Zugriffe, sei es ein Versuch oder ein Erfolg, auf diese Geräte zu Zeiten statt, wo kein Wartungsfenster bestand oder man simpel nicht daheim gewesen ist, so liegt doch der Gedanke nahe, dass etwas nicht stimmt. Mit diesem Tool bringt man etwas Licht ins Dunkel, weil wer alles so auf dem LAN herumgeistert, dass weiß man selbst meistens nicht.

    Written on July 29th, 2011 , Gedachtes, Technik Tags: , , , , , , , ,
    Die Reise nach Jerusalem – Router stürzt ständig ab.

    Die Reise nach Jerusalem, könnte man meinen… Diesmal handelt es sich um das Arbeitspferd von D-Link, was mich sozusagen virtuell dorthin tragen soll. Der Name des Pferdes: DSL-2543B. Es handelt sich dabei um einen handelsüblichen Standard DSL Router mit eingebautem Modem. ADSL 2+ fähig. Kann das, was ein DSL Router so können soll. Ein bissl mehr Kleinkram ist auch dabei. RIP zum Beispiel. Leider macht der Router von RIP meist in einem ungewöhnlichen Weg Gebrauch. RIP in diesem Fall der unerklärliche Absturz. Rest in Peace. Der Friede ist nur kurzweilig, da das Gerät sich schnell auf der Mitte der Dartscheibe wiederfand. Der Focus des Bösen-Blick half genau so wenig, wie das Anbringen einer Zeitschaltuhr, die den Router pünktlich einmal pro Tag einen auf das Mützchen gibt.

    Die Abhilfe lag auf der Hand. Router exekutieren oder zu Ebay ausweisen lassen. Vorerst die Verhandlung. Warum stürzt es ab? Erstmal ein neuer Router, ein SMC Barricade irgendwas. Lief…. crashed. Selbes Zeug, mhnm IPCop Linux Zeug, crashed auch. Verrückterweise frieren alle Maschinen ein. Komplett. Auch das Linux. Neues Linux, Debian, neuer Kernel, friert auch ein. Anderer Rechner, anderes Switch, andere Netzwerkkarten, crashed der Router auch. Also anderes DSL Kabel, haben davon ja genug, crasht weiter.

    Zu allem Übel, laufen zwei weitere baugleiche Router mit dem Problemanschluss tadellos. Sobald das Netzwerk nicht mehr dranhängt. Har, Netzwerklast. Also 1 Monat lang mit voller Bandbreite Zeug geladen, nööö auch das wars nicht.

    Mein Latein, vorerst am Ende, da baldig ein Cisco Router mit einer ASA sich das DSL detailliert angucken darf. Viren? Nix. Komisches Zeug, wie Angriffstools…. nix. Komische Pakete? Nein. Was überlanges? Nein. MTU Size? Überall gleich. Ein Gerät kann die MTU Size nicht? Nein, da MTU genau auf Standardwinzig. MAC Adress Table voll? Nein, unter 200 MACs nur aufm LAN. Andere Router im LAN? Nein. Nach was such ich bloß noch? Ich wart mal ab, was die Cisco Geräte auf den Syslog Rechner schreiben. Grauselig!

    Written on July 27th, 2011 , Alltag, Gedachtes, Persönliches Tags: , , , ,
    Können ICQ Passwörter aus einem PCAP File extrahiert werden?

    Der ICQ Chat ist oft unverschlüsselt. Somit kann ein Chat eines anderen beispielsweise in einem Internet-Cafe leicht mitgeschnitten werden. Hierzu muss der Angreifer lediglich den Traffic zum Gateway durch sich selbst umleiten, um den ganzen, ins Internet laufenden, Traffic sehen zu können. Ettercap kann dazu verwendet werden. Natürlich können auch einfach WLAN Pakete einfach so mitgeschnitten werden (airodump-ng). Sind sie, wie oft in Cafés oder Restaurants unverschlüsselt (oder man hat den Schlüssel), so können die Daten in Klartext als PCAP Datei abgespeichert werden. Natürlich befindet sich alles Mögliche in diesen Dateien, unter anderem vielleicht ein Chat. Jedoch ist das Aufbrechen einer SSL Verbindung nicht ganz so einfach. Ein einfach mitgeschnittener Datenstrom beinhaltet oft die Kennwörter (ICQ etc.) geschützt mit einer SSL Verbindung. Nachlaufender Traffic wird oft nicht verschlüsselt übertragen, um Performance zu sparen.

    Das Aufbrechen einer SSL Verbindung kann versucht werden, indem der Angreifer sich zwischen das Opfer und das Gateway stellt. Er erzeugt eine Art transparenter Proxy, der so tut, als wäre er das Gateway. Die Opfermaschine kann dies zuerst einmal nicht auseinanderhalten. Eine SSL Verbindung wird angenommen. An dieser Stelle wird die Opferseite eine Warnmeldung bekommen, dass etwas mit dem Zertifikat nicht stimmt. Meist baut der einfache Angreifer ein selbstsigniertes Zertifikat und hofft, dass das Opfer, wie immer, alles mit Ja bestätigt. Das klappt auch immer wieder. Wenn das Programm selbst nicht die Verbindung verweigert kann so live das Kennwort mitgelesen werden und alles andere, was über die aufgebrochende SSL Verbindung kam. Der Angreifer leitet die Daten entsprechend als transparenter Proxy über eine weitere SSL Verbindung zum eigentlichen Ziel weiter.

    Somit kann gesagt werden, dass ohne einen gewissen Aufwand das ICQ Passwort einem einfachen Angreifer verborgen bleibt, wenn SSL im Spiel ist. Sollte die ICQ App kein SSL unterstützen, vielleicht kann das ggf. durch den Benutzer abgeschaltet werden, hat man leichtes Spiel. Auch ohne Spoofing des Gateways. Natürlich kann der Angreifer versuchen simpel SSL zu blockieren, um das Opfer dazu zu bringen unverschlüsselt zu kommunizieren. Bestimmt erinnert sich der ein oder andere an die Einstellung im Outlook Mailclient, das SSL “automatisch” umgesetzt wird. Das heißt aber auch: Wenn nicht explizit verlangt durch den Benutzer, was bei “Automatisch” nicht der Fall ist, greift der Client auf eine unverschlüsselte Übertragung des Kennwortes zurück, wenn SSL nicht klappt. Blockiertes SSL führt zu unverschlüsselten Kennwörtern. Und dass kann der einfache Angreifer wiederum leicht mitlesen. Es kann gut sein, dass einige ICQ Clients ein ähnliches Verhalten zeigen. Hier gilt: Ausprobieren.

    Written on March 22nd, 2011 , Gedachtes, Interessantes, Technik Tags: , , , , , , , , , , , ,
    Der neue Internet Explorer 9 ist da

    Es gibt ihn nun: Der IE 9 ist da. Installiert und losgelegt. Erinnert mehr als deutlich an Chrome. Ist das Chrome Design so überzeugend, dass sich Microsoft so sehr daran anlegen musste? Immerhin war das IE 8 Design gar nicht schlecht. Seis drum, Microsoft wollte ein sicheren Browser auf den Markt bringen. Ich hoffe es ist ihnen gelungen. Im Vergleich läuft er durchaus fixer, als sein Vorgänger. Zumindest auf meiner Maschine. Leider bringen einige BHOs ihn bei mir aktuell oft zum Crash. Hauptsächlich bei Flash. Mal abwarten. Und vor allem mit einer anderen Konfiguration testen. Der Störfaktor ist nicht sonderlich groß, meist läuft es zufriedenstellend. Ich bin gespannt, ob sich der Marktanteil verändern wird. Ich bin auf die neuen IE9 Exploits gespannt.

    Written on March 18th, 2011 , Gedachtes, Persönliches Tags: , , , ,
    Lange Kennwörter schaffen Tippfehler, nicht immer mehr Sicherheit.

    Ein langes Kennwort ist nur die Hälfte der Sicherheit. Was passiert in der Software mit dem Kennwort? Bei einem 256Bit AES Schlüssel werden 300 Byte Kennwort genausogroß, wie ein 12 Stelliges, nämlich 256Bit. Also irgendwann ist es gut, bzw. die Länge bringt, außer ständiger Tippfehler, nichts mehr. Bei RC4 kann das schon anders sein. Also lohnt ein Blick, was eigentlich die Software mit dem Kennwort schlussendlich tut, um wie bei OpenSSL daraus den Bitschlüssel zu bilden. Bei AES wird ein 12stelliges gutes Kennwort reichen. Soll die Sicherheit erhöht werden, so müssen die Daten mit verschiedenen Schlüsseln immer wieder verschlüsselt werden. Also AES dann, Blowfish und nochmal drüber 3DES sei als ein Beispiel genannt. Dabei sollte für den Angreifer unbekannt bleiben in welcher Reihenfolge das erfolgt ist (Das muss sich der Erzeuger dennoch umbedingt merken!) und dazu sollten die drei Schlüssel an unterschiedlichen Orten aufbewahrt werden. Am Ende den Haufen Cryptodaten zur Verifizierung signieren oder per MD5 die Datenintegrität prüfbar machen. Das Kaskadieren von Verschlüsselungsalgorithmen schafft bei der Entschüsselung oft echte Kopfschmerzen.

    Written on March 15th, 2011 , Gedachtes, Interessantes, Technik Tags: , , , , , ,
    Das Kennwort: Eine Methode zur Erzeugung guter Kennwörter für sensible Datenbestände.

    Dieser Teil betrifft nicht die Public/Private Key Verfahren. Ein Kennwort sollte “sicher” gewählt werden, was bedeutet, dass es nicht leicht zu erraten sein darf. Darunter fällt auch, dass ein Brute-Force-Angriff möglichst ultimativ lange dauern muss, um schlussendlich an die Daten zu gelangen. Natürlich ist letzteres anhängig von der Rechenleistung des Angreifers und Spezialkenntnissen, die normalerweise wenig ihren Weg in die Öffentlichkeit finden. Nun welches “sicheres” Kenntwort? Zahlen, Buchstaben (Groß- und Kleinschreibung), Sonderzeichen und keine Wörter, die in Wörterbüchern vorkommen.

    Schlecht: KeksDose7178. Gut: K3k5D0se$782. Besser: 4H.7&fV$k?6ß.

    Doch wie möchte man sich soetwas einprägen? Gar nicht. Es gibt diverse Eselsbrücken, aber nach der nächsten durchzechten Nacht hilft auch das eigene von Gott geschaffene fsck.brain nicht immer weiter. Doch ja – am Ende hat man es vergessen. Vorgestellt wird eine etwas ungewöhnliche Methode: Man wähle ein gutes oder besseres Kennwort. Das wird auf einen echten Zettel mit einem echtem Stift notiert. Niemals wird es digital gespeichert oder digital transferiert (auch keine Kopierer oder anderes Hexenwerk, handgemeißelt auf Granitplatten ist zur Not auch okay (Moses-Backup)). Vielleicht wird es in eine Plastikkarte im Geldbeutel einlaminiert? Oh, erlaubt ist die Hemmingway-Notiz auf einer Pappkarte (fürs Laminieren) mit einer echten völlig analogen Schreibmaschine aus dem Antiquariat. Dabei ist allerdings darauf zu achten, dass anschließend das verwendete Farbband verfeuert wird. Gut soweit, jetzt nehme man sich ein Buch, was einem besonders gefällt. Ein cooler Spruch, ein Lebensmotto, alles ist gut geeignet, was mindestens aus fünf Wörtern mit Satzzeichen, wie “,.?” besteht. Es muss sich fehlerfrei merken lassen. Es darf nicht zu lang sein. Das Kennwort dient als eine Art Salt des Merksatzes. Jetzt besitzt man zwei Geheimnisse, die nötig sind, um die Daten entschlüsseln zu können. Der Satz ist im Buch unauffällig abgelegt und zudem im Kopf. Der Rest kann recht unauffällig woanders sicher abgelegt werden. Fertig. Pro Datei eine neue “Notiz” anlegen.

    Written on March 15th, 2011 , Gedachtes, Interessantes, Technik Tags: , , , ,
    Erfassen von Datenströmen eines Keyloggers mit Wireshark

    Die Welt der Keylogger ist groß. Alleine diese Tatsache macht es nicht leicht einen Keylogger im System so ohne weiteres zu finden. Warum nicht? Hat der Angreifer den Keylogger durch einen Crypter geschickt, lässt sich dieser mit einem normalen Anti-Virus Programm oft nicht mehr erfassen. Zusätzlich stellt sich die Frage, wie arbeitet der Keylogger?

    Es gibt Keylogger, die erst mal die erfassten Daten in eine Datei ablegen. Jetzt könnte der Suchende versuchen alle Dateien nach einem gewissen Inhalt zu durchsuchen. Findet er etwas, so stimmt etwas nicht. Jedoch sind die Programmierer recht schlau und verschlüsseln leicht oder schwer, je nach Geschmack, den erfassten Inhalt und legen diese Daten in den alternativen Datenströmen ab. Auf diese Weise fällt dem normalen Benutzer nicht auf, dass eine Datei immer größer wird und zudem noch immer offen ist. Der Suchende könnte ein Programm verwenden, welches alle offenen Dateien anzeigt, welches eine Menge sein wird. In dieser Liste sollte möglichst nichts Ungewöhnliches stehen. Also tarnen die Programmierer den Programmdateinamen etwas. Zum Beispiel: notepad.exe:29a. Nun befinden sich zwei Dateien unter dem Namen notepad.exe. Damit der Zweite wiedergefunden werden kann, trägt dieser einen Unternamen, hier 29a. Unter dem Windows Explorer wird hier nichts Verdächtiges angezeigt, da dieser die ADS nicht darstellt. Also ein ganz gutes Versteck als Zwischenpuffer für einen Keylogger.

    Der obige Gesichtspunkt mal dahingestellt. Muss der Keylogger immer Daten senden? Nicht unbedingt. Wenn nicht live mit einer RAT auf das System gelinst wird, kann er das auch Etappenweise machen. Auch hier gibt es viele Ideen, die ein Programmierer umsetzen kann. Der Keylogger liest die E-Mail Kontodaten des Systems aus und versendet mit einer eigenen Routine eine Mail, wo die Daten mit versendet werden. Im Wireshark sieht man daher oft SSL und die Domain, smtp.meinprovider.de stimmt ja auch. Wenn die Zeitstempel nicht darauf hinweisen, dass gerade der Benutzer keine Mail versendet hat, nun ja – es fällt kaum auf. Andere Ideen ist das Senden der gespeicherten Daten, wenn gewisse Sachen mit dem Rechner gemacht werden. Ruft der Benutzer eine Suchmaschine auf oder sendet eine Suchanfrage, so werden dann die Daten versendet. Das Schöne an diesem Muster ist, dass der Benutzer oft nicht große Teile von Daten mitschneidet und analysiert, sondern immer nur kurze Minutenstücke. Dabei ruft er aber selten etwas bei Google ab, während er auf dem System stöbert. Damit minimiert der Programmierer die Wahrscheinlichkeit, dass die Sendung entdeckt wird. Zusätzlich könnten die Daten auch als HTTP Traffic getarnt werden. Dazu sendet der Keylogger HTTP Aufrufe an eine Domain und überträgt die Daten als normale Parameter. Man denke noch an eine triviale Verschlüsselung und an dem Domainname: updates.ativr32.com. So ohne weiteres fällt es auf dem ersten Blick auch in Wireshark nicht auf, wenn hier und da mal ein paar KB ausgetauscht werden. Auch getarnt als DNS Traffic ist es schwer einfach so zu erkennen, dass es sich um eine Datenübertragung handelt. Hierbei werden normale DNS Aufrufe geformt, die entsprechend an einen selbst gebauten DNS Server gehen, der mit den zusätzlichen Daten etwas anfangen kann.

    Doch warum der ganze Zauber? Wegen der Firewall. DNS Pakete werden oft unkommentiert durchgelassen, wie auch HTTP. Auch eine Mail geht oft ohne weiteres raus. Sind die Daten erst mal weg, ist das Kind schon im Brunnen am Wassertreten. Damit die Firewalls möglichst nichts bemerkt, kann sich der Keylogger an Systemprozesse hängen oder an Prozesse wie Thunderbird oder Outlook. Mit dem Process Explorer lässt sich hier und da so etwas erkennen. Natürlich erkennen viele Internet Security Suites auch verdächtige Aktivitäten und blocken das, wenn gewünscht. Jedoch ein normales Anti-Virus Programm ist hierbei fast immer still.

    Somit sei etwas dargestellt, dass das Erfassen von Datenströmen von Keyloggern unter Wireshark nicht so einfach ist. Dennoch ist es eine gute Idee ein Auge auf seiner Internetverbindung zu haben. Vielleicht ist der Einsatz eines Proxyservers eine schöne Sache. Surft der Benutzer nur, so kann einmal der Proxy ein sehr genaues Log führen und zudem alles wegwerfen, was nicht in eine HTTP Verbindung gehört. Mail und FTP und was nicht alles kann entweder durchgelassen werden oder es wird auch geblockt. Den Computer noch in ein neues Subnetz, was kein Gateway bekommt und ein zweiter Rechner, der Proxy spielt für das Subnetz mit zwei Ethernet-Karten. Fertig. Die Maschine ist damit einmal aus dem Internet sehr schwer zu erreichen, da sich NAT und PAT ohne Gateway erledigt hat. Gleichzeitig kommt nur die Dinge über den Proxy raus, die der Benutzer auch erlaubt hat. Und das Log, falls gewünscht, kann riesig werden. Je nach Detailgrad. Da findet der Benutzer alles, was passiert ist. Gut, es schützt nicht vor Drive-by-Downloads und so weiter, aber dennoch würde eine RAT nicht über den Proxy nach außen kommen. Für die Malware gibt ja ein AV Programm.

    Written on January 6th, 2011 , Gedachtes, Interessantes, Technik Tags: , , , , , , , , , , , , , , , , ,
    Eine kleine Koppel für den Streichelzoo

    Es hat ein wenig gedauert. Überschattet wurde die doch sonst so einfache VM-Konfiguration durch einen sehr seltsamen Fehler im BIOS der Notebooks, die ich verwenden wollte. Sie booteten keine Datenträger mehr und ließen sich nur selten dazu bewegen das BIOS aufzurufen. Da half auch ein Reset nicht. Eine ungewöhnliche Sache, die ein durch ein wenig händisches Spielen in der Konfiguration ein Ende fand. Ja, BIOS Fehler, aber mein verblüffenster bisher. Ich denke mit der Zeit wird es ein Update geben.

    Zurück zum Streichelzoo. In einigen VMs wurde ein XP installiert und entsprechend auf den neusten Stand sprich Patchlevel gebracht. Die Datenausführungsverhinderung an und Wireshark drauf. Nun das Tierchen erzeugen und installieren. Mit DAV startet es nicht und wird aus dem Speicher geworfen. Das war schonmal ein gutes Zeichen. Zumindest zeigte mir das praktisch, dass manche Malware mit eingeschalteter Datenausführungsverhinderung nicht läuft. Ein Grund mehr, es bei Arbeitsmaschinen auch einzuschalten. Nun aus damit, schließlich sollte ja das RAT (Remote Administration Tool) getestet werden. Es lief nun mit administativen Rechten.

    Unter einem eingeschränkten Benutzer gab es auch einige Probleme. Auch wieder ein Grund mehr, den Benutzer zu bitten mit eingeschränkten Konten unter Windows zu arbeiten. Das RAT redete mit seinem Herrchen und konnte alle Funktionen erfolgreich ausführen. Unter anderem die Übertragung der Gespräche im Raum durch das angeschlossene Mikro und das Aktivieren der Webcam. Tastatureingaben gehören ja auch zu den Standardaufgaben solcher Programme.

    Die Idee das ausführlich zu testen kam aus der Richtung, dass ich vor einer Woche RATs fand, die von keinem AV Programm, auch nicht im geringsten, als verdächtig eingestuft worden sind. Gut, dass wird nicht mehr lange so bleiben. Dennoch können Crypter ausführbare Dateien völlig umstricken und letztendlich wird ein gefundenes RAT wieder unsichtbar. Mit Wireshark schaute ich mir die versendeten Pakete an und fand eine Art Signatur, bei meinem Testobjekt. Damit lassen sich leicht Pakete mit diesem Inhalt und der entsprechende Größe aus dem Datenstrom löschen. Es wird genug andere Malware geben, die sich nicht so leicht in den TCP Paketen auffinden lässt.

    Vielleicht macht es Sinn, internes Netzwerk und externes Internet zu trennen. Also keine physikalische Trennung mit unterschiedlicher Hardware, jedoch mit zwei Netzwerkkarten, die sich in zwei verschiedenen Subnetzen befinden. Das eine, um die Computer mit SMB und so weiter zu verbinden. Das Netz hat keinen Zugang zum Internet. Das zweite Subnetz ist logisch an das Internet angeschlossen. Auf diese Weise fällt wohlmöglich das Filtern der Datenpakete etwas leichter? Ich denke, dass werde ich probieren müssen. Vielleicht lassen sich auf diese Weise einige Trojaner so einsperren, dass wenn sie schon unsichtbar aktiv sind, nicht zu ihrem Herrchen telefonieren können?

    Written on July 12th, 2010 , Gedachtes, Persönliches Tags: , , , , , , , , ,
    Unsichtbare Fernadministration mobiler Geräte

    Es ist immer wieder interessant. Je komplexer und funktionaler Geräte werden, je mehr unsichtbare Funktionen schleichen sich von geisterhand in diese ein und ermöglichen dem Hersteller bzw. anderen Firmen ihre Finger tief in die persönlichen Daten ihrer Nutzer zu stecken. Ist ja auch lukrativ. Hierzu gibt es einen interessanten Artikel.

    Google kann Android-Apps aus der Ferne löschen

    Google kann Android-Apps aus der Ferne löschen, so lautet die Überschrift des Artikel zu dem der obige Link führt. Das Installieren beliebiger Software ist ebenso möglich. Also auch das Installieren beliebiger Trojaner und Spyware, die dann auch praktischerweise nach und nach wieder deinstalliert werden kann. Das mindert die Beweislage. Würde man jemanden auf offener Straße fragen, ob dieser dem Fragenden seine Wohnungsschlüssel überlässt, würde er diesen Herrn vermutlich für verrückt erklären. Logisch eigentlich, oder?

    Ob sich die Nutzer von Smartphones im Klaren sind, was Ferninstallation und Fernlöschung eigentlich bedeutet? Vermutlich eher weniger. Aus den Augen, aus dem Sinn, kann in dieser Sache auch gesagt werden. Solange der Bildschirm nichts anzeigt, ist alles gut. So glaubt der Nutzer scheinbar. Unternehmen, Google ist da nicht das einzigste, nehmen sich heraus, auf dem Produkt, dass ihre Kunden erworben haben, nach Belieben herumzufuhrwerken. Natürlich dient das nur zur eigenen Sicherheit. Klar. Wenn dies auf dem PC Markt geschehen würde, wäre die Sorgen vermutlich noch vorhanden. Beliebige Daten auf den PC schieben und ein bisschen hier installieren und dort löschen. Kein Anwender würde das gerne einfach so zu Hause zu lassen. Da wird nämlich jedes dubiose Anti-Spy Programm installiert, was irgendwo und irgendwie verfügbar zu sein scheint. ;-)

    Und beim Handy ist es plötzlich kein Problem? Richtig. Aus den Augen und so weiter. Mhnm, dann müsste ja auch jeder Anwender auf der Straße beliebige Fragen zu seinen Telefonpartnern gerne beantworten. Richtig? Nein. Komisch, oder? Schöne Frage: “Wen haben Sie heute alles angerufen?” Man gehe davon aus, dass der Fragende ebenso nicht nur verrückt erklärt werden würde, sondern auch als überaus neugierig betitelt werden wird. Fakt ist, verschwinden die Daten hinten rum und niemand sieht es direkt, ist alles okay. Das ist, wie als würde man im Schlaf bestohlen werden. Solange der Einbrecher den Anwender nicht weckt, ist alles okay. :-) Ja, manchmal sogar macht es den Eindruck, als ob der Schlaf wird bei manchen sehr beliebten Smartphonebesitzern mit Rohypnol herbeigeführt wird… zumindest wenn das Anwenderverhalten bei einigen Menschen etwas betrachtet wird. ;-)

    Hier ein Abschnitt aus dem Artikel von ZDNet: “Auch Onlinehändler Amazon kann elektronische Bücher von den Lesegeräten seiner Nutzer löschen. Diese Möglichkeit hat der Händler vergangenes Jahr einmal wahrgenommen, als sich herausstellte, dass ein Verlag gar nicht die Rechte an einem E-Book besaß. Ein Schüler verlor auf diese Weise nicht nur seinen Text, sondern auch seine Aufzeichnungen, und klagte. Der Fall sorgte für weltweites Aufsehen, Amazon musste sich entschuldigen.” Ja, jemand komme zu Ihnen nach Hause und nimmt sich ein paar Bücher aus ihren Regalen mit. Er erklärt Ihnen, dass diese ihnen nicht gehören und zieht von dannen. Der Mr. X. würde vermutlich nicht nur mit einem Besen verjagt werden. Solche Funktionen gehören in keinen E-Book Reader. Der Anwender sollte erst gar nicht auf die Idee kommen Produkte mit Funktionen dieser Art zu kaufen. Allerdings wird auch kein normaler Anwender ein Produkt auf solche Funktionen überprüfen können. Da beißt sich die Katze in den Schwanz.

    Written on June 30th, 2010 , Alltag, Gedachtes Tags: , , , , , ,
    << Older Entries

    Projekt: Neurodump is proudly powered by WordPress and the Theme Adventure by Eric Schwarz
    Entries (RSS) and Comments (RSS).

    Projekt: Neurodump

    Gedankenauszüge eines Datenreisenden