Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Wie ist es möglich bei einem Programm unerlaubte Datentransfers zu überprüfen

Frage Sicherheit Sicherheitsgrundlagen

Mitglied: StefanKittel

StefanKittel (Level 4) - Jetzt verbinden

23.02.2010, aktualisiert 17.03.2010, 4599 Aufrufe, 15 Kommentare

Hallo,

ein Kunde von uns ist Arzt und hat seine Software im Verdacht unerlaubte Nutzungsdaten von ihm aufzuzeichnen und an den Hersteller zu schicken.
Der streitet ab, dass sowas passieren würde.

Die Software verwendet verschiedene DB2 Datenbanken welche alle offen sind.
Es gibt aber eine kleine welche geschützt ist. Dies wird aber in unregelmäßigen Abständer kleiner. An den täglichen Datensicherung konnte man folgendes sehen (1,1.2,1.6,2.4,3,4,4.2,1). Das ganze zieht sich also über ungefähr zwei Wochen hin. Es ist nur ein PC mit einem NAT-Router. Eine personal Firewall hat nichts aufgezeichnet.

Es kann aber natürlich sein, dass da nix ist.

Mir fallen nur zwei Möglichkeiten ein.
Eine richtige Firewall oder WireShark.

Gibt es noch eine einfache möglichkeit um z.B. im internen DNS Puffer oder ähnlichem eine IP-Adresse oder Hostnamen zu finden.
Z.b. durch eine Batchdatei die im Minutentakt läuft?

Ich vermute, dass das Programm nur kurz eine seine hunderten exe-Dateien aufruft und die Daten verschlüsselt per HTTP verschickt und dann löscht.

Hat da Jemand einen Tipp?

Stefan
Mitglied: 2hard4you
23.02.2010 um 20:58 Uhr
Moin

schau Dir einfach mal netstat an

Gruß

24
Bitte warten ..
Mitglied: StefanKittel
23.02.2010 um 21:07 Uhr
Zitat von 2hard4you:
schau Dir einfach mal netstat an
Das zeigt mir den aktuellen Status und nur eine Process ID (PID). Leider nur den aktuellen Status. Wenn der Transfer nur wenige Sekunden dauert, bekomme ich das ja gar nicht mit.
Und die PID ist nutzlos wenn das programm sich schon beendet hat.
Ich hoffe auf sowas wie "arp -a" was ein paar Minuten speichert.

Danke

Stefan
Bitte warten ..
Mitglied: mrtux
23.02.2010 um 21:08 Uhr
Hi !

Mal die App im Process Explorer angeschaut welche Ports angesprochen werden?

mrtux
Bitte warten ..
Mitglied: 76109
23.02.2010 um 21:10 Uhr
Hallo Stefan!

Alternativ zu Wireshark eventuell das hier (einfach klein): http://technet.microsoft.com/de-de/sysinternals/bb897437.aspx

Gruß Dieter
Bitte warten ..
Mitglied: StefanKittel
23.02.2010 um 21:22 Uhr
Zitat von mrtux:
Mal die App im Process Explorer angeschaut welche Ports angesprochen werden?
Das ganze passiert ja nur alle 2 Wochen, dauert nur Sekunden und ist nicht ersichtlich. Ich muss also ein Log führen mit dem ich nachweisen kann dass etwas und wie es passiert. Das was kommt später.
Stefan
Bitte warten ..
Mitglied: StefanKittel
23.02.2010 um 21:24 Uhr
Zitat von 76109:
Alternativ zu Wireshark eventuell das hier (einfach klein): http://technet.microsoft.com/de-de/sysinternals/bb897437.aspx
Hallo,
da hab ich ja schonmal den Exe-Namen. Das könnte passen.
Stefan
Bitte warten ..
Mitglied: mrtux
23.02.2010 um 21:26 Uhr
Hi !

Zitat von StefanKittel:
Das ganze passiert ja nur alle 2 Wochen, dauert nur Sekunden und ist nicht ersichtlich. Ich muss also ein Log führen mit

Ups, sorry habe die zwei Wochen doch glatt überlesen...TCPView musst Du dann aber auch immer mitlaufen lassen...Ob der Kunde da mitspielt?

mrtux
Bitte warten ..
Mitglied: dog
23.02.2010 um 21:58 Uhr
Wenn die Software nach Hause telefoniert dann wahrscheinlich zu einem Host oder einer IP Adresse.
In dem Fall kannst du dir mit dem strings Tool von sysinternals einfach mal alle Strings auflisten und gucken ob du was passendes findest.
Danach kann man sich dann mit Wireshark auf die Lauer legen.
Bitte warten ..
Mitglied: mrtux
23.02.2010 um 22:16 Uhr
Hi !

Zitat von dog:
In dem Fall kannst du dir mit dem strings Tool von sysinternals einfach mal alle Strings auflisten und gucken ob du was

Jep! Gute Idee aber nur wenn kein Exe-Packer eingesetzt wurde und wenn die Firma wirklich was zu verbergen hat, dann fliegt der Wireshark Prozess schneller aus dem Speicher als Du gucken kannst...Alles schon gehabt, die Firma nannte das damals Lizenzschutz... Darum Wireshark besser auf einen anderen Rechner und den Port spiegeln oder einen alten Hub einsetzen.

mrtux
Bitte warten ..
Mitglied: filippg
23.02.2010 um 22:24 Uhr
Hallo,

Tools, die die Netzwerkverbindungen nach Prozess/Exe auflisten sind zwar praktisch, in dem Fall aber nicht zuverlässig. Eine Exe muss nicht direkt in's Internet gehen, sondern kann dazu sehr einfach andere Komponenten Verwenden. Z.B. die svchost.exe - auf die Art bekommst du es nie raus.
Wozu benötigt denn ein Rechner in einer Arztpraxis Internet? Das ist doch eher ein unnötiges Sicherheitsloch, denke ich. Personal Firewalls sind zwar gelgentlich als "unsicher" verschrien, aber i.A. kann man hier schon zuverlässig nur bestimmten Programmen den Internetzugang erlauben, sprich: ein Whitelisting umsetzen. Gegen besonders geschickte Tarntechniken hilft auch das nicht, aber okay... Wenn auf dem Rechner nicht gerade im Internet gesurft wird kann man auch mal eine Woche einen Sniffer mitlaufen lassen, mit einem Caputre-Filter auf DNS-Traffic - das halte ich für relativ zuverlässig (natürlich auch nicht unbedingt einfach auszuwerten) (vielleicht kann hier sogar der DNS-Server des Routers ein Log erstellen, dass ist dann deutlich einfacher zu handhaben).

Aber daneben: Daraus, dass in einer DB (scheinbar) weniger Daten abgelegt zu werden zu schließen, dass die Software diese heimlich in DBs verschiebt, wo sie einfacher abzuziehen sind halte ich für _sehr_ gewagt. Die Verteilung von Daten auf Datenbanken ist meist ziemlich tief im Programmcode... Und alleine schon zu ermitteln, dass eine DB leichter auszuspionieren ist als eine andere ist kaum als automatische Funktion implementiert, sondern würde Personaleinsatz erfordern. Welche Motiviation könnte es für den Hersteller geben, hier so viel Aufwand reinzustecken? Das durch Maintenance-Tasks auch mal Datensätze gelöscht werden ist eher üblich. Warum sind die anderen DBs eigentlich "offen" (was auch immer das eigentlich heißen soll)?

Gruß

Filipp
Bitte warten ..
Mitglied: StefanKittel
23.02.2010 um 22:45 Uhr
Hallo Flipp,

die Datenbank stammt von einem nachträglich scheinbar sinnlosen Addon, dass für den Anwender quasi keinen Nutzen hat.
Es ist, im gegensatz zur Software, sehr gut und sauber programmiert. Der Programmieraufwand liegt geschätzte jenseits der 200 Stunden. Das macht man nicht mal eben so.

Die normale Software und deren Dateien ist sehr gut dokumentiert. Nur zu diesem Programm ist gar nichts erhältlich. Auch nicht für die ServicePartner.

Es geht ja hier auch um die Frage ob das Programm nach Hause telefoniert.

Man könnte sich ein massives illegales Interesse vorstellen an den Informationen in welchen Situationen Ärzte welche Medikamente verschreiben.

Stefan
Bitte warten ..
Mitglied: StefanKittel
23.02.2010 um 22:46 Uhr
Hallo,

nö. Hatte schon gesucht. Nirgendwo ist was zu finden und die besagte Datenbank enthält nur unlesbares. vermutlich verschlüsselt.

Stefan
Bitte warten ..
Mitglied: maretz
24.02.2010 um 07:08 Uhr
[quote]
Mir fallen nur zwei Möglichkeiten ein.
Eine richtige Firewall oder WireShark.
[/quote]

Also bei einem Arzt wäre eine RICHTIGE Firewall schonmal generell kein schlechter Schritt! Was passiert denn wenn der Doc nicht nur Daten an den Hersteller schickt - sondern auch seine Patientendaten an nem Server im Web?

Nen Arzt-PC hat imo. NIEMALS etwas ohne Firewall am Netz zu suchen - und nichtmal dann ohne Proxy der da ganz rigoros alles schädliche (soweit möglich) blockt! Die Jungs gehen mit zimlich vertraulichen Daten um - und wenn die meinen die müssen da die Arbeits-PCs am Web haben dann bitte auch richtig!
Bitte warten ..
Mitglied: StefanKittel
24.02.2010 um 08:43 Uhr
Zitat von maretz:
Also bei einem Arzt wäre eine RICHTIGE Firewall schonmal generell kein schlechter Schritt! Was passiert denn wenn der Doc
nicht nur Daten an den Hersteller schickt - sondern auch seine Patientendaten an nem Server im Web?
Nen Arzt-PC hat imo. NIEMALS etwas ohne Firewall am Netz zu suchen - und nichtmal dann ohne Proxy der da ganz rigoros alles
schädliche (soweit möglich) blockt! Die Jungs gehen mit zimlich vertraulichen Daten um - und wenn die meinen die
müssen da die Arbeits-PCs am Web haben dann bitte auch richtig!
Moin,

[OT]
ja, aber das ist aber der Standard bei Ärzten in Deutschland.

Stefan
Bitte warten ..
Mitglied: Ralf-Schubert
01.03.2010 um 16:30 Uhr
Na,

und das unterscheidet einen Consultant vom PC-Dienstleister.
Der Consultant weißt den Arzt beim Bekanntwerden des Sicherheitsrisikos auf die damit verbundenen Risiken und ggf. FOlgen hin und läßt sich das
auch abzeichnen. So umgeht man die Situation:

Als mein EDV-Vertrauter hätten Sie das aber wisen müssen.

Mit freundlichen Grüßen

Ralf
Bitte warten ..
Neuester Wissensbeitrag
Internet

Unbemerkt - Telekom Netzumschaltung! - BNG - Broadband Network Gateway

(3)

Erfahrungsbericht von ashnod zum Thema Internet ...

Ähnliche Inhalte
Windows Netzwerk
Kein RDP über VPN per MS-TSC möglich (9)

Frage von survial555 zum Thema Windows Netzwerk ...

Microsoft
Keine Anmeldung mehr möglich (Server 2012 R2) (4)

Frage von Shnuuu zum Thema Microsoft ...

Heiß diskutierte Inhalte
Windows Server
Outlook Verbindungsversuch mit Exchange (15)

Frage von xbast1x zum Thema Windows Server ...

Grafikkarten & Monitore
Tonprobleme bei Fernseher mit angeschlossenem Laptop über HDMI (11)

Frage von Y3shix zum Thema Grafikkarten & Monitore ...

Microsoft Office
Keine Updates für Office 2016 (11)

Frage von Motte990 zum Thema Microsoft Office ...