Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Wie ist es möglich bei einem Programm unerlaubte Datentransfers zu überprüfen

Mitglied: StefanKittel

StefanKittel (Level 4) - Jetzt verbinden

23.02.2010, aktualisiert 17.03.2010, 4689 Aufrufe, 15 Kommentare

Hallo,

ein Kunde von uns ist Arzt und hat seine Software im Verdacht unerlaubte Nutzungsdaten von ihm aufzuzeichnen und an den Hersteller zu schicken.
Der streitet ab, dass sowas passieren würde.

Die Software verwendet verschiedene DB2 Datenbanken welche alle offen sind.
Es gibt aber eine kleine welche geschützt ist. Dies wird aber in unregelmäßigen Abständer kleiner. An den täglichen Datensicherung konnte man folgendes sehen (1,1.2,1.6,2.4,3,4,4.2,1). Das ganze zieht sich also über ungefähr zwei Wochen hin. Es ist nur ein PC mit einem NAT-Router. Eine personal Firewall hat nichts aufgezeichnet.

Es kann aber natürlich sein, dass da nix ist.

Mir fallen nur zwei Möglichkeiten ein.
Eine richtige Firewall oder WireShark.

Gibt es noch eine einfache möglichkeit um z.B. im internen DNS Puffer oder ähnlichem eine IP-Adresse oder Hostnamen zu finden.
Z.b. durch eine Batchdatei die im Minutentakt läuft?

Ich vermute, dass das Programm nur kurz eine seine hunderten exe-Dateien aufruft und die Daten verschlüsselt per HTTP verschickt und dann löscht.

Hat da Jemand einen Tipp?

Stefan
Mitglied: 2hard4you
23.02.2010 um 20:58 Uhr
Moin

schau Dir einfach mal netstat an

Gruß

24
Bitte warten ..
Mitglied: StefanKittel
23.02.2010 um 21:07 Uhr
Zitat von 2hard4you:
schau Dir einfach mal netstat an
Das zeigt mir den aktuellen Status und nur eine Process ID (PID). Leider nur den aktuellen Status. Wenn der Transfer nur wenige Sekunden dauert, bekomme ich das ja gar nicht mit.
Und die PID ist nutzlos wenn das programm sich schon beendet hat.
Ich hoffe auf sowas wie "arp -a" was ein paar Minuten speichert.

Danke

Stefan
Bitte warten ..
Mitglied: mrtux
23.02.2010 um 21:08 Uhr
Hi !

Mal die App im Process Explorer angeschaut welche Ports angesprochen werden?

mrtux
Bitte warten ..
Mitglied: 76109
23.02.2010 um 21:10 Uhr
Hallo Stefan!

Alternativ zu Wireshark eventuell das hier (einfach klein): http://technet.microsoft.com/de-de/sysinternals/bb897437.aspx

Gruß Dieter
Bitte warten ..
Mitglied: StefanKittel
23.02.2010 um 21:22 Uhr
Zitat von mrtux:
Mal die App im Process Explorer angeschaut welche Ports angesprochen werden?
Das ganze passiert ja nur alle 2 Wochen, dauert nur Sekunden und ist nicht ersichtlich. Ich muss also ein Log führen mit dem ich nachweisen kann dass etwas und wie es passiert. Das was kommt später.
Stefan
Bitte warten ..
Mitglied: StefanKittel
23.02.2010 um 21:24 Uhr
Zitat von 76109:
Alternativ zu Wireshark eventuell das hier (einfach klein): http://technet.microsoft.com/de-de/sysinternals/bb897437.aspx
Hallo,
da hab ich ja schonmal den Exe-Namen. Das könnte passen.
Stefan
Bitte warten ..
Mitglied: mrtux
23.02.2010 um 21:26 Uhr
Hi !

Zitat von StefanKittel:
Das ganze passiert ja nur alle 2 Wochen, dauert nur Sekunden und ist nicht ersichtlich. Ich muss also ein Log führen mit

Ups, sorry habe die zwei Wochen doch glatt überlesen...TCPView musst Du dann aber auch immer mitlaufen lassen...Ob der Kunde da mitspielt?

mrtux
Bitte warten ..
Mitglied: dog
23.02.2010 um 21:58 Uhr
Wenn die Software nach Hause telefoniert dann wahrscheinlich zu einem Host oder einer IP Adresse.
In dem Fall kannst du dir mit dem strings Tool von sysinternals einfach mal alle Strings auflisten und gucken ob du was passendes findest.
Danach kann man sich dann mit Wireshark auf die Lauer legen.
Bitte warten ..
Mitglied: mrtux
23.02.2010 um 22:16 Uhr
Hi !

Zitat von dog:
In dem Fall kannst du dir mit dem strings Tool von sysinternals einfach mal alle Strings auflisten und gucken ob du was

Jep! Gute Idee aber nur wenn kein Exe-Packer eingesetzt wurde und wenn die Firma wirklich was zu verbergen hat, dann fliegt der Wireshark Prozess schneller aus dem Speicher als Du gucken kannst...Alles schon gehabt, die Firma nannte das damals Lizenzschutz... Darum Wireshark besser auf einen anderen Rechner und den Port spiegeln oder einen alten Hub einsetzen.

mrtux
Bitte warten ..
Mitglied: filippg
23.02.2010 um 22:24 Uhr
Hallo,

Tools, die die Netzwerkverbindungen nach Prozess/Exe auflisten sind zwar praktisch, in dem Fall aber nicht zuverlässig. Eine Exe muss nicht direkt in's Internet gehen, sondern kann dazu sehr einfach andere Komponenten Verwenden. Z.B. die svchost.exe - auf die Art bekommst du es nie raus.
Wozu benötigt denn ein Rechner in einer Arztpraxis Internet? Das ist doch eher ein unnötiges Sicherheitsloch, denke ich. Personal Firewalls sind zwar gelgentlich als "unsicher" verschrien, aber i.A. kann man hier schon zuverlässig nur bestimmten Programmen den Internetzugang erlauben, sprich: ein Whitelisting umsetzen. Gegen besonders geschickte Tarntechniken hilft auch das nicht, aber okay... Wenn auf dem Rechner nicht gerade im Internet gesurft wird kann man auch mal eine Woche einen Sniffer mitlaufen lassen, mit einem Caputre-Filter auf DNS-Traffic - das halte ich für relativ zuverlässig (natürlich auch nicht unbedingt einfach auszuwerten) (vielleicht kann hier sogar der DNS-Server des Routers ein Log erstellen, dass ist dann deutlich einfacher zu handhaben).

Aber daneben: Daraus, dass in einer DB (scheinbar) weniger Daten abgelegt zu werden zu schließen, dass die Software diese heimlich in DBs verschiebt, wo sie einfacher abzuziehen sind halte ich für _sehr_ gewagt. Die Verteilung von Daten auf Datenbanken ist meist ziemlich tief im Programmcode... Und alleine schon zu ermitteln, dass eine DB leichter auszuspionieren ist als eine andere ist kaum als automatische Funktion implementiert, sondern würde Personaleinsatz erfordern. Welche Motiviation könnte es für den Hersteller geben, hier so viel Aufwand reinzustecken? Das durch Maintenance-Tasks auch mal Datensätze gelöscht werden ist eher üblich. Warum sind die anderen DBs eigentlich "offen" (was auch immer das eigentlich heißen soll)?

Gruß

Filipp
Bitte warten ..
Mitglied: StefanKittel
23.02.2010 um 22:45 Uhr
Hallo Flipp,

die Datenbank stammt von einem nachträglich scheinbar sinnlosen Addon, dass für den Anwender quasi keinen Nutzen hat.
Es ist, im gegensatz zur Software, sehr gut und sauber programmiert. Der Programmieraufwand liegt geschätzte jenseits der 200 Stunden. Das macht man nicht mal eben so.

Die normale Software und deren Dateien ist sehr gut dokumentiert. Nur zu diesem Programm ist gar nichts erhältlich. Auch nicht für die ServicePartner.

Es geht ja hier auch um die Frage ob das Programm nach Hause telefoniert.

Man könnte sich ein massives illegales Interesse vorstellen an den Informationen in welchen Situationen Ärzte welche Medikamente verschreiben.

Stefan
Bitte warten ..
Mitglied: StefanKittel
23.02.2010 um 22:46 Uhr
Hallo,

nö. Hatte schon gesucht. Nirgendwo ist was zu finden und die besagte Datenbank enthält nur unlesbares. vermutlich verschlüsselt.

Stefan
Bitte warten ..
Mitglied: maretz
24.02.2010 um 07:08 Uhr
[quote]
Mir fallen nur zwei Möglichkeiten ein.
Eine richtige Firewall oder WireShark.
[/quote]

Also bei einem Arzt wäre eine RICHTIGE Firewall schonmal generell kein schlechter Schritt! Was passiert denn wenn der Doc nicht nur Daten an den Hersteller schickt - sondern auch seine Patientendaten an nem Server im Web?

Nen Arzt-PC hat imo. NIEMALS etwas ohne Firewall am Netz zu suchen - und nichtmal dann ohne Proxy der da ganz rigoros alles schädliche (soweit möglich) blockt! Die Jungs gehen mit zimlich vertraulichen Daten um - und wenn die meinen die müssen da die Arbeits-PCs am Web haben dann bitte auch richtig!
Bitte warten ..
Mitglied: StefanKittel
24.02.2010 um 08:43 Uhr
Zitat von maretz:
Also bei einem Arzt wäre eine RICHTIGE Firewall schonmal generell kein schlechter Schritt! Was passiert denn wenn der Doc
nicht nur Daten an den Hersteller schickt - sondern auch seine Patientendaten an nem Server im Web?
Nen Arzt-PC hat imo. NIEMALS etwas ohne Firewall am Netz zu suchen - und nichtmal dann ohne Proxy der da ganz rigoros alles
schädliche (soweit möglich) blockt! Die Jungs gehen mit zimlich vertraulichen Daten um - und wenn die meinen die
müssen da die Arbeits-PCs am Web haben dann bitte auch richtig!
Moin,

[OT]
ja, aber das ist aber der Standard bei Ärzten in Deutschland.

Stefan
Bitte warten ..
Mitglied: Ralf-Schubert
01.03.2010 um 16:30 Uhr
Na,

und das unterscheidet einen Consultant vom PC-Dienstleister.
Der Consultant weißt den Arzt beim Bekanntwerden des Sicherheitsrisikos auf die damit verbundenen Risiken und ggf. FOlgen hin und läßt sich das
auch abzeichnen. So umgeht man die Situation:

Als mein EDV-Vertrauter hätten Sie das aber wisen müssen.

MfG

Ralf
Bitte warten ..
Ähnliche Inhalte
Netzwerkgrundlagen

Grundlagen des zuverlässigen Datentransfers

gelöst Frage von How-ToNetzwerkgrundlagen2 Kommentare

hallo zusammen, kann mir jemand erklären, wie go-back-n und selective repeat funktinoieren, bzw. was der unterschied ist? irgendwie ist ...

Windows Server

Zugriff unerlaubt auf Vserver Windows

Frage von houdapWindows Server5 Kommentare

Moin meine lieben Ich möchte gerne von einem Profi wissen, Wenn wir uns zB bei einem der Anbieter wie ...

Multimedia

Diashow Programm

gelöst Frage von 77282Multimedia6 Kommentare

Hallo, ich suche eine Software zum Diashow erstellen. Möchte gerne Videoclips und Bilder hinzufügen können und das Ganze mit ...

Windows 10

Filter Programm

Frage von AKillerInHellWindows 103 Kommentare

Hallo liebe Admins, ich benötige ein Programm, womit ich beispielsweise alle .DOC, JPG, PNG Dateitypen von der gesamten Festplatte ...

Neue Wissensbeiträge
Windows 7
Updategängelung auf Windows 10, die zweite
Information von Penny.Cilin vor 4 TagenWindows 72 Kommentare

Hallo, da Windows 7 im kommenden Jahr nicht mehr supportet wird, werden Nutzer von Window 7 home premium wieder ...

Internet
EU-Urheberrechtsreform: Zusammenfassung
Information von Frank vor 6 TagenInternet1 Kommentar

Auf golem.de gibt es eine Analyse von Friedhelm Greis, der das Thema EU-Urheberrechtsreform gut und strukturiert zusammenfasst. Zwar haben ...

Microsoft Office

Office365 Schwachstellen bei Sicherheit und Datenschutz

Information von Penny.Cilin vor 7 TagenMicrosoft Office9 Kommentare

Auf Heise+ gibt es einen Artikel bzgl. Office365 Schwachstellen. Das ist noch ein Grund mehr seine Daten nicht in ...

Sicherheit
Schwachstellen in VPN Clients
Tipp von transocean vor 9 TagenSicherheit2 Kommentare

Moin, es gibt Sicherheitslücken bei VPN Clients namhafter Hersteller, wie man hier lesen kann. Gruß Uwe

Heiß diskutierte Inhalte
LAN, WAN, Wireless
Notebooks in Firmenwlan authentifizieren
gelöst Frage von EarthShakerLAN, WAN, Wireless17 Kommentare

Guten Tag, unsere Firma möchte gerne flächendeckend WLAN einführen und hat zu diesem Zweck einen Dienstleister beauftragt. Wir benötigen ...

Peripheriegeräte
PS2 Y-Kabel für Maus+Tastatur an PS2 Combo-Anschluss ASUS Prime X370-A
gelöst Frage von Windows10GegnerPeripheriegeräte13 Kommentare

Hallo, ich bin am Überlegen das o.g. Motherboard anzuschaffen. Da ich aber noch PS/2 für Maus+Tastatur benötige (bei optischen ...

Windows 10
Netzlaufwerk verschwindet (aber nur bestimmter Laufwerksbuchstabe)
gelöst Frage von survial555Windows 1010 Kommentare

Hallo, ich habe ein ganz seltsames Problem. Systemumgebung: Server 2012 R2 als DC und Windows 10 Pro als Clients ...

Netzwerkmanagement
Netzwerk vorübergehend weg
Frage von ahstaxNetzwerkmanagement10 Kommentare

Hallo, folgendes Szenario stellt sich dar: Im Netzwerk mit Win7-PCs wurden Switche ausgetauscht. Grundsätzlich funktioniert alles mindestens so gut ...