15
Wie ist es möglich bei einem Programm unerlaubte Datentransfers zu überprüfen
Hallo,
ein Kunde von uns ist Arzt und hat seine Software im Verdacht unerlaubte Nutzungsdaten von ihm aufzuzeichnen und an den Hersteller zu schicken.
Der streitet ab, dass sowas passieren würde.
Die Software verwendet verschiedene DB2 Datenbanken welche alle offen sind.
Es gibt aber eine kleine welche geschützt ist. Dies wird aber in unregelmäßigen Abständer kleiner. An den täglichen Datensicherung konnte man folgendes sehen (1,1.2,1.6,2.4,3,4,4.2,1). Das ganze zieht sich also über ungefähr zwei Wochen hin. Es ist nur ein PC mit einem NAT-Router. Eine personal Firewall hat nichts aufgezeichnet.
Es kann aber natürlich sein, dass da nix ist.
Mir fallen nur zwei Möglichkeiten ein.
Eine richtige Firewall oder WireShark.
Gibt es noch eine einfache möglichkeit um z.B. im internen DNS Puffer oder ähnlichem eine IP-Adresse oder Hostnamen zu finden.
Z.b. durch eine Batchdatei die im Minutentakt läuft?
Ich vermute, dass das Programm nur kurz eine seine hunderten exe-Dateien aufruft und die Daten verschlüsselt per HTTP verschickt und dann löscht.
Hat da Jemand einen Tipp?
Stefan
ein Kunde von uns ist Arzt und hat seine Software im Verdacht unerlaubte Nutzungsdaten von ihm aufzuzeichnen und an den Hersteller zu schicken.
Der streitet ab, dass sowas passieren würde.
Die Software verwendet verschiedene DB2 Datenbanken welche alle offen sind.
Es gibt aber eine kleine welche geschützt ist. Dies wird aber in unregelmäßigen Abständer kleiner. An den täglichen Datensicherung konnte man folgendes sehen (1,1.2,1.6,2.4,3,4,4.2,1). Das ganze zieht sich also über ungefähr zwei Wochen hin. Es ist nur ein PC mit einem NAT-Router. Eine personal Firewall hat nichts aufgezeichnet.
Es kann aber natürlich sein, dass da nix ist.
Mir fallen nur zwei Möglichkeiten ein.
Eine richtige Firewall oder WireShark.
Gibt es noch eine einfache möglichkeit um z.B. im internen DNS Puffer oder ähnlichem eine IP-Adresse oder Hostnamen zu finden.
Z.b. durch eine Batchdatei die im Minutentakt läuft?
Ich vermute, dass das Programm nur kurz eine seine hunderten exe-Dateien aufruft und die Daten verschlüsselt per HTTP verschickt und dann löscht.
Hat da Jemand einen Tipp?
Stefan
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 136690
Url: https://administrator.de/contentid/136690
Printed on: April 25, 2024 at 19:04 o'clock
15 Comments
Latest comment
Moin
schau Dir einfach mal netstat an
Gruß
24
schau Dir einfach mal netstat an
Gruß
24
Das zeigt mir den aktuellen Status und nur eine Process ID (PID). Leider nur den aktuellen Status. Wenn der Transfer nur wenige Sekunden dauert, bekomme ich das ja gar nicht mit.
Und die PID ist nutzlos wenn das programm sich schon beendet hat.
Ich hoffe auf sowas wie "arp -a" was ein paar Minuten speichert.
Danke
Stefan
Und die PID ist nutzlos wenn das programm sich schon beendet hat.
Ich hoffe auf sowas wie "arp -a" was ein paar Minuten speichert.
Danke
Stefan
Hi !
Mal die App im Process Explorer angeschaut welche Ports angesprochen werden?
mrtux
Mal die App im Process Explorer angeschaut welche Ports angesprochen werden?
mrtux
Hallo Stefan!
Alternativ zu Wireshark eventuell das hier (einfach klein): http://technet.microsoft.com/de-de/sysinternals/bb897437.aspx
Gruß Dieter
Alternativ zu Wireshark eventuell das hier (einfach klein): http://technet.microsoft.com/de-de/sysinternals/bb897437.aspx
Gruß Dieter
Das ganze passiert ja nur alle 2 Wochen, dauert nur Sekunden und ist nicht ersichtlich. Ich muss also ein Log führen mit dem ich nachweisen kann dass etwas und wie es passiert. Das was kommt später.
Stefan
Stefan
Zitat von @76109:
Alternativ zu Wireshark eventuell das hier (einfach klein): http://technet.microsoft.com/de-de/sysinternals/bb897437.aspx
Hallo,Alternativ zu Wireshark eventuell das hier (einfach klein): http://technet.microsoft.com/de-de/sysinternals/bb897437.aspx
da hab ich ja schonmal den Exe-Namen. Das könnte passen.
Stefan
Hi !
Ups, sorry habe die zwei Wochen doch glatt überlesen...TCPView musst Du dann aber auch immer mitlaufen lassen...Ob der Kunde da mitspielt?
mrtux
Zitat von @StefanKittel:
Das ganze passiert ja nur alle 2 Wochen, dauert nur Sekunden und ist nicht ersichtlich. Ich muss also ein Log führen mit
Das ganze passiert ja nur alle 2 Wochen, dauert nur Sekunden und ist nicht ersichtlich. Ich muss also ein Log führen mit
Ups, sorry habe die zwei Wochen doch glatt überlesen...TCPView musst Du dann aber auch immer mitlaufen lassen...Ob der Kunde da mitspielt?
mrtux
Wenn die Software nach Hause telefoniert dann wahrscheinlich zu einem Host oder einer IP Adresse.
In dem Fall kannst du dir mit dem
Danach kann man sich dann mit Wireshark auf die Lauer legen.
In dem Fall kannst du dir mit dem
strings Tool von sysinternals einfach mal alle Strings auflisten und gucken ob du was passendes findest.Danach kann man sich dann mit Wireshark auf die Lauer legen.
Hi !
Jep! Gute Idee aber nur wenn kein Exe-Packer eingesetzt wurde und wenn die Firma wirklich was zu verbergen hat, dann fliegt der Wireshark Prozess schneller aus dem Speicher als Du gucken kannst...Alles schon gehabt, die Firma nannte das damals Lizenzschutz...
Darum Wireshark besser auf einen anderen Rechner und den Port spiegeln oder einen alten Hub einsetzen.
mrtux
Zitat von @dog:
In dem Fall kannst du dir mit dem
In dem Fall kannst du dir mit dem
strings Tool von sysinternals einfach mal alle Strings auflisten und gucken ob du wasJep! Gute Idee aber nur wenn kein Exe-Packer eingesetzt wurde und wenn die Firma wirklich was zu verbergen hat, dann fliegt der Wireshark Prozess schneller aus dem Speicher als Du gucken kannst...Alles schon gehabt, die Firma nannte das damals Lizenzschutz...
Darum Wireshark besser auf einen anderen Rechner und den Port spiegeln oder einen alten Hub einsetzen.mrtux
Hallo,
Tools, die die Netzwerkverbindungen nach Prozess/Exe auflisten sind zwar praktisch, in dem Fall aber nicht zuverlässig. Eine Exe muss nicht direkt in's Internet gehen, sondern kann dazu sehr einfach andere Komponenten Verwenden. Z.B. die svchost.exe - auf die Art bekommst du es nie raus.
Wozu benötigt denn ein Rechner in einer Arztpraxis Internet? Das ist doch eher ein unnötiges Sicherheitsloch, denke ich. Personal Firewalls sind zwar gelgentlich als "unsicher" verschrien, aber i.A. kann man hier schon zuverlässig nur bestimmten Programmen den Internetzugang erlauben, sprich: ein Whitelisting umsetzen. Gegen besonders geschickte Tarntechniken hilft auch das nicht, aber okay... Wenn auf dem Rechner nicht gerade im Internet gesurft wird kann man auch mal eine Woche einen Sniffer mitlaufen lassen, mit einem Caputre-Filter auf DNS-Traffic - das halte ich für relativ zuverlässig (natürlich auch nicht unbedingt einfach auszuwerten) (vielleicht kann hier sogar der DNS-Server des Routers ein Log erstellen, dass ist dann deutlich einfacher zu handhaben).
Aber daneben: Daraus, dass in einer DB (scheinbar) weniger Daten abgelegt zu werden zu schließen, dass die Software diese heimlich in DBs verschiebt, wo sie einfacher abzuziehen sind halte ich für _sehr_ gewagt. Die Verteilung von Daten auf Datenbanken ist meist ziemlich tief im Programmcode... Und alleine schon zu ermitteln, dass eine DB leichter auszuspionieren ist als eine andere ist kaum als automatische Funktion implementiert, sondern würde Personaleinsatz erfordern. Welche Motiviation könnte es für den Hersteller geben, hier so viel Aufwand reinzustecken? Das durch Maintenance-Tasks auch mal Datensätze gelöscht werden ist eher üblich. Warum sind die anderen DBs eigentlich "offen" (was auch immer das eigentlich heißen soll)?
Gruß
Filipp
Tools, die die Netzwerkverbindungen nach Prozess/Exe auflisten sind zwar praktisch, in dem Fall aber nicht zuverlässig. Eine Exe muss nicht direkt in's Internet gehen, sondern kann dazu sehr einfach andere Komponenten Verwenden. Z.B. die svchost.exe - auf die Art bekommst du es nie raus.
Wozu benötigt denn ein Rechner in einer Arztpraxis Internet? Das ist doch eher ein unnötiges Sicherheitsloch, denke ich. Personal Firewalls sind zwar gelgentlich als "unsicher" verschrien, aber i.A. kann man hier schon zuverlässig nur bestimmten Programmen den Internetzugang erlauben, sprich: ein Whitelisting umsetzen. Gegen besonders geschickte Tarntechniken hilft auch das nicht, aber okay... Wenn auf dem Rechner nicht gerade im Internet gesurft wird kann man auch mal eine Woche einen Sniffer mitlaufen lassen, mit einem Caputre-Filter auf DNS-Traffic - das halte ich für relativ zuverlässig (natürlich auch nicht unbedingt einfach auszuwerten) (vielleicht kann hier sogar der DNS-Server des Routers ein Log erstellen, dass ist dann deutlich einfacher zu handhaben).
Aber daneben: Daraus, dass in einer DB (scheinbar) weniger Daten abgelegt zu werden zu schließen, dass die Software diese heimlich in DBs verschiebt, wo sie einfacher abzuziehen sind halte ich für _sehr_ gewagt. Die Verteilung von Daten auf Datenbanken ist meist ziemlich tief im Programmcode... Und alleine schon zu ermitteln, dass eine DB leichter auszuspionieren ist als eine andere ist kaum als automatische Funktion implementiert, sondern würde Personaleinsatz erfordern. Welche Motiviation könnte es für den Hersteller geben, hier so viel Aufwand reinzustecken? Das durch Maintenance-Tasks auch mal Datensätze gelöscht werden ist eher üblich. Warum sind die anderen DBs eigentlich "offen" (was auch immer das eigentlich heißen soll)?
Gruß
Filipp
Hallo Flipp,
die Datenbank stammt von einem nachträglich scheinbar sinnlosen Addon, dass für den Anwender quasi keinen Nutzen hat.
Es ist, im gegensatz zur Software, sehr gut und sauber programmiert. Der Programmieraufwand liegt geschätzte jenseits der 200 Stunden. Das macht man nicht mal eben so.
Die normale Software und deren Dateien ist sehr gut dokumentiert. Nur zu diesem Programm ist gar nichts erhältlich. Auch nicht für die ServicePartner.
Es geht ja hier auch um die Frage ob das Programm nach Hause telefoniert.
Man könnte sich ein massives illegales Interesse vorstellen an den Informationen in welchen Situationen Ärzte welche Medikamente verschreiben.
Stefan
die Datenbank stammt von einem nachträglich scheinbar sinnlosen Addon, dass für den Anwender quasi keinen Nutzen hat.
Es ist, im gegensatz zur Software, sehr gut und sauber programmiert. Der Programmieraufwand liegt geschätzte jenseits der 200 Stunden. Das macht man nicht mal eben so.
Die normale Software und deren Dateien ist sehr gut dokumentiert. Nur zu diesem Programm ist gar nichts erhältlich. Auch nicht für die ServicePartner.
Es geht ja hier auch um die Frage ob das Programm nach Hause telefoniert.
Man könnte sich ein massives illegales Interesse vorstellen an den Informationen in welchen Situationen Ärzte welche Medikamente verschreiben.
Stefan
Hallo,
nö. Hatte schon gesucht. Nirgendwo ist was zu finden und die besagte Datenbank enthält nur unlesbares. vermutlich verschlüsselt.
Stefan
nö. Hatte schon gesucht. Nirgendwo ist was zu finden und die besagte Datenbank enthält nur unlesbares. vermutlich verschlüsselt.
Stefan
[quote]
Mir fallen nur zwei Möglichkeiten ein.
Eine richtige Firewall oder WireShark.
[/quote]
Also bei einem Arzt wäre eine RICHTIGE Firewall schonmal generell kein schlechter Schritt! Was passiert denn wenn der Doc nicht nur Daten an den Hersteller schickt - sondern auch seine Patientendaten an nem Server im Web?
Nen Arzt-PC hat imo. NIEMALS etwas ohne Firewall am Netz zu suchen - und nichtmal dann ohne Proxy der da ganz rigoros alles schädliche (soweit möglich) blockt! Die Jungs gehen mit zimlich vertraulichen Daten um - und wenn die meinen die müssen da die Arbeits-PCs am Web haben dann bitte auch richtig!
Mir fallen nur zwei Möglichkeiten ein.
Eine richtige Firewall oder WireShark.
[/quote]
Also bei einem Arzt wäre eine RICHTIGE Firewall schonmal generell kein schlechter Schritt! Was passiert denn wenn der Doc nicht nur Daten an den Hersteller schickt - sondern auch seine Patientendaten an nem Server im Web?
Nen Arzt-PC hat imo. NIEMALS etwas ohne Firewall am Netz zu suchen - und nichtmal dann ohne Proxy der da ganz rigoros alles schädliche (soweit möglich) blockt! Die Jungs gehen mit zimlich vertraulichen Daten um - und wenn die meinen die müssen da die Arbeits-PCs am Web haben dann bitte auch richtig!
Zitat von @maretz:
Also bei einem Arzt wäre eine RICHTIGE Firewall schonmal generell kein schlechter Schritt! Was passiert denn wenn der Doc
nicht nur Daten an den Hersteller schickt - sondern auch seine Patientendaten an nem Server im Web?
Nen Arzt-PC hat imo. NIEMALS etwas ohne Firewall am Netz zu suchen - und nichtmal dann ohne Proxy der da ganz rigoros alles
schädliche (soweit möglich) blockt! Die Jungs gehen mit zimlich vertraulichen Daten um - und wenn die meinen die
müssen da die Arbeits-PCs am Web haben dann bitte auch richtig!
Moin,Also bei einem Arzt wäre eine RICHTIGE Firewall schonmal generell kein schlechter Schritt! Was passiert denn wenn der Doc
nicht nur Daten an den Hersteller schickt - sondern auch seine Patientendaten an nem Server im Web?
Nen Arzt-PC hat imo. NIEMALS etwas ohne Firewall am Netz zu suchen - und nichtmal dann ohne Proxy der da ganz rigoros alles
schädliche (soweit möglich) blockt! Die Jungs gehen mit zimlich vertraulichen Daten um - und wenn die meinen die
müssen da die Arbeits-PCs am Web haben dann bitte auch richtig!
[OT]
ja, aber das ist aber der Standard bei Ärzten in Deutschland.
Stefan
Na,
und das unterscheidet einen Consultant vom PC-Dienstleister.
Der Consultant weißt den Arzt beim Bekanntwerden des Sicherheitsrisikos auf die damit verbundenen Risiken und ggf. FOlgen hin und läßt sich das
auch abzeichnen. So umgeht man die Situation:
Als mein EDV-Vertrauter hätten Sie das aber wisen müssen.
MfG
Ralf
und das unterscheidet einen Consultant vom PC-Dienstleister.
Der Consultant weißt den Arzt beim Bekanntwerden des Sicherheitsrisikos auf die damit verbundenen Risiken und ggf. FOlgen hin und läßt sich das
auch abzeichnen. So umgeht man die Situation:
Als mein EDV-Vertrauter hätten Sie das aber wisen müssen.
MfG
Ralf
