Transparency International verleiht Snowden Whistleblower-Preis


 

Lesen Sie hier den neuesten Angriff (Aug.2014): Spyware 2.0

 

NSA infiziert zehntausende von Rechnern mit Trojanern

Jetzt ist es also offiziell und die Katze endlich aus dem Sack: wie die 'Washington Post' unter Berufung auf Snowden-Papiere und geheime Haushaltspläne am 31.8.13 berichtet, hat die NSA über Jahre Rechner mit Trojanern infiziert, um diese nach Belieben manipulieren zu können und Daten kopieren und löschen zu können. Angeblich nur in Iran, Russland und China. Wer ist so naiv, das zu glauben?

Falls sie sich also in der Vergangenheit gewundert haben, dass ein Link zu einem brisanten Inhalt partout nicht zu speichern war, eine wichtige Datei mysteriös verschwunden war, auf einer Internetseite, die Sie gerade hochgeladen hatten, merkwürdige, von Ihnen nicht veranlasste Veränderungen auftraten, als Programmierer von sicherheitsrelevanter Software (Firewall z.B.) die wunderlichsten Dinge erlebten, spätestens jetzt wissen Sie, warum. Falls Sie sich selbst ein Bild machen wollen: Stichworte "Stuxnet", "Duqu","Flame", "Gauss", "Citadel","Genie" und "Tao". Da Stuxnet und Nachfolger vielfach in Deutschland gesichtet wurden, hier einige Links[4]. Hier ein Duqu-Test, der Ihnen sagt, ob Sie sich Sorgen machen sollten.  Desweiteren sollten Sie überaus hellhörig sein, wenn sich ein Java-Update installieren will oder wenn sich bei der manuellen Installierung/Update von Java über java.com irgendwelche Probleme ergeben! Näheres siehe weiter unten.

Tausend mal schlimmer und gefährlicher ist jedoch, wie man nicht nur anlässlich des "TV-Kanzlerduells" vom 1.9.13 erleben durfte, dass unsere Kanzlerin die Dimension des hier verursachten Schadens noch immer nicht begriffen hat und nun in 2014 mit dem Freihandelsabkommen mit den USA gefährliche US-Standards auch bei uns etablieren will. Und: Unsere bundesrepublikanischen Journalisten leben ganz offensichtlich zu einem großen Teil noch im 18. Jahrhundert, können bis heute mit der Realität des Webs und Computern  noch immer nichts anfangen, wissen die Bedeutung solcher grundsätzlichen Bedrohungen der bürgerlichen Freiheit nicht einzuschätzen. Dies trotz aller verbalen gegensätzlichen Behauptungen.

In den USA wird die Sache in gewohnter Weise abgehandelt. Es wird ein Pulitzer-Preis vergeben und dann herrscht wieder Ruhe im Karton.

 

 

 

Google's Geschäftsmodell: big brother

Es ist schon lustig, betrachtet man die derzeitige Aufgeregtheit die NSA und Google's Spionagetätigkeit betreffend in den deutschen Medien. Der deutsche Michel ist einmal mehr plötzlich aus dem Schlaf gerissen worden und noch halb im Schlaf mit der grausamen Wirklichkeit konfrontiert worden: die NSA und die schlechteste Suchmaschine aller Zeiten kundschaften ihn nach Strich und Faden aus! Mein Gott, wer hätte so etwas Garstiges von den lustigen bunten Buchstaben gedacht!  Diese freundliche nette Suchmaschine will allen Ernstes wissen und für alle Zeiten festhalten, ob ich Sex-Seiten besuche, ob ich illegal Musik herunterlade, ob ich ominöse Warez-Seiten besuche, welche Leserbrief-Kommentare ich abgebe, welche Auto-Marke ich bevorzuge, ob ich Steuerparadies-Gelüste hege, ob ich Vegetarier bin, ob ich zu den Grünen tendiere, ob ich inkontinent bin, eine Allergie habe.....

Lieber Schlafmützen-Michel, sie weiß es! Sie weiß alles über dich. Es ist das Geschäftsmodell von Google alles über dich zu wissen. Big Brother als Geschäftsmodell. Zum ersten Mal ist hier die Suchmaschine in der kapitalistischen Warenwelt zu Ende gedacht. Letztere braucht notwendig den gläsernen Bürger, schließlich muss man wissen, was du kaufen wirst.  Sicher, es gab schon andere Suchmaschinen vor Google. Sicher, es waren wesentlich bessere Suchmaschinen. Man wurde nicht zugemüllt mit hunderttausend unzutreffenden Suchergebnissen. Aber sie waren nicht zu Ende gedacht. Sie hatten Skrupel, ihre Besucher und deren Anfragen in Gänze  auszuschlachten.

 

Google ist zu Ende gedacht.

Google hat diese Skrupel nicht. Google will alles über Dich wissen, Deine Vorlieben, Deine Abneigungen, Deine allzu menschlichen und Deine perversen Gelüste. Damit lässt sich sehr viel Geld machen in der kapitalistischen Warenwelt - ja, es ist das eigentliche A und O der kapitalistischen Warenwelt dies zu wissen.

Sicher - normalerweise bist Du - Otto Mustermann in Musterstadt - nicht gemeint. Aber manchmal kann es auch ganz nützlich sein, über Deine speziellen Gelüste und Abneigungen, Deine finanzielle Ausstattung etc Bescheid zu wissen. Etwa, wenn Du eine Versicherung haben willst (und dabei verschwiegen hast, dass Du einen schlimmen Husten hast), als Grüner (oder noch viel schlimmer: Sozialist oder gar Kommunist) in die USA einreisen willst, in der schon Demokraten als hoffnungslose linke Spinner angesehen werden, Dich auf einen bestimmten Job bewirbst...

Nur ein Beispiel für Menschen, die nichts zu verbergen haben

Für Versicherungen kann es von großem Interesse sein, ob Du Autobastler bist, wirklich eine Garage Dein eigen nennst....

 

Dein Eigentum ist nicht Dein Eigentum, du Dummerle

Wie sehr die NSA und Google  Deinen Computer als ihr Eigentum betrachten mit dem man tun und lassen kann was einem beliebt, zeigt der Googleupdater: Google benutzt hier übelste Spyware-Techniken um immer auf Deinem Computer präsent zu sein: Da die normalen Autorun/Autostart/Systemstart-Lokationen in der Registry und Dateisystem nur allzu bekannt sind, leicht zu bereinigen sind, und von Antispyware-Programmen gescannt werden, installiert sich der Googleupdater (googleupdate.exe) als Service, der nur im Taskmanager zu sehen ist, um dann timergesteuert in Sekundenbruchteilen zu bestimmten Zeiten nach Hause zu telefonieren. Dadurch ist er z.B. in der Betriebssystem-eigenen Msconfig Systemstart-Auflistung nicht zu finden(in der normalerweise sämtliche legalen Systemstart-Dateien auftauchen, d.h. Programme, die die vom Betriebssystem vorgesehenen Mechanismen für Autostart benutzen.) Windige und unredliche Softwarehersteller finden aber immer neue, den Viren- , Spyware- und Malwarescannern noch nicht bekannte Lücken im Betriebssystem, um sich heimlich als Systemstart-Datei zu installieren. Für redliche Programme gibt es absolut keinen Grund nicht die vom Betriebssystem vorgesehenen vielfältigen Autostart-Möglichkeiten zu nutzen (und sich damit natürlich dem Risiko auszusetzen, dass der Benutzer ein solches Programm deaktiviert.) Auch hier findet also das bekannte Hase und Igel Spiel zwischen Viren- und Antivirenprogrammierern statt[1].  Ein Registry-Scan findet ihn nicht. Nur namentliches Nachschauen (dazu muss natürlich der Name des Schädlings bekannt sein und den kann man leicht ändern) in der Serviceliste deckt ihn auf. Der unbedarfte Benutzer ist heillos überfordert. Was bitte sehr ist ein Service? Kann man einen Service entfernen? Wie deaktiviert man einen Service? Ist das Betriebssystem danach nicht instabil? Selbstverständlich ist dies alles beabsichtigt. Bezeichnend ist, dass man nicht gefragt wird bei der Installation des Programms, man könnte ja womöglich ablehnen. Es wird einfach über deinen Computer verfügt.

Google als Vorreiter einer neuen Generation von Viren und Malware

Google setzt mit diesem Missbrauch der Service-Funktion des Betriebssystems die Marschrichtung für Millionen von Softwareproduzenten dieser Welt es genauso zu handhaben, aber auch für Virus- und Malware-Produzenten. Eine neue Dimension der Viren, Trojaner und sonstigen Malware mit zur Zeit noch unübersehbaren Folgen ist damit eingeläutet. Tausende von Programmen, die sich als Service tarnen, werden dann sämtliche Computer dieser Welt lahm legen. Und da Intel die Ideen ausgegangen sind, wie CPU's schneller zu machen sind, wird auch der Neukauf einer 24- oder 48-Core CPU daran nichts ändern. Von Google's Tracking Cookies und anderen garstigen Dingen gar nicht zu reden...(Auch mit dem unten downloadbaren WebTraffic zu sehen: Sobald sie Google's Tracking Cookies eleminiert haben, bekommen Sie es womöglich mit noch garstigeren Trackern zu tun: etwa track-a01.blue.similarnet.com).

Es war klar, dass dies viele ebenso amoralische Nachahmer finden wird. Mittlerweile gehen manche Firmen mit Trojaner-Methoden vor, um sich auf den Computern unschuldiger Nutzer festzusetzen. Spadecast von SuperWeb LLC ist eine solche Anwendung, noch relativ einfach zu entfernen. Trovi.com (benutzt z.Z. Google als Suchmaschiene! Fragen Sie Google, wie dies mit "don't be evil" zu vereinbaren ist! Vorher Bing.) dagegen ist selbst von erfahrenen Benutzern nur schwer zu entfernen (änderte mehrfach seine Installationsweise, einfache Deinstallation nicht mehr möglich) , selbst gute Malware-Erkennungsprogramme zeigen sich z.Z. machtlos. Hinter Trovi.com versteckt sich Conduit Ltd, hinter dem sich wiederum ClientConnect Ltd (Ness Ziona, Israel[6], weiteres hier) versteckt. Und dies alles ist nur die Spitze des Eisbergs. 

Google ist auch die erste Suchmaschine, die von Webseitenbetreibern verlangt, dass sie sich an ihre Normen anpasst (und nicht umgekehrt, wie es jahrzehntelang der Fall war und wie man dies von einem Dienstleister erwarten sollte). Bleibt abzuwarten, wann sie dies in welchem Umfang von ihren Benutzern erwartet.

 

Gmail (aka Googlemail) war nur der Anfang...

Wie skrupellos, dumm und absolut unsensibel in Punkto Privatsphäre und Datenschutz Larry Page und Sergey Brin Google planten und bis heute betreiben zeigte sich zuerst ganz offen anhand von Gmail. Google las vollkommen ungeniert die Email seiner Benutzer. Wenn man mit Gmail seinen Verwandten eine zukünftige Hüftoperation ankündigte, erhielt man gleich die passende Werbung für Krücken und preiswerte Rollstühle eingeblendet. Eine Mail an die Versicherung über einen Hagelschaden blendete unzählige Links von Dachdeckern ein. Selbst weitergehende Nutzung zu Marketingzwecken wird von Google nicht ausgeschlossen. Das war selbst für die in diesem Punkt nicht zimperlichen US-Amerikaner zuviel. Ein Sturm der Entrüstung brach los. Seitdem operiert Google versteckter und vorsichtiger. Aber keineswegs mit mehr Skrupel oder Rücksicht auf Privatsphäre, Datenschutz ...

 

Nur am Rande, Facebook ist der Versuch, das Ganze noch zu toppen...

Und noch ein übriges: Ändern wird sich daran nichts. Fast 60 Prozent der US-Amerikaner finden die Ausforschung und Überwachung durch Google und die NSA gut (bei nach einer wohlwollenden Studie 13 Prozent Analphabeten in den USA kein Wunder). Die New York Times mokierte sich etliche Zeit nach Aufdeckung des Skandals durch Snowden versteckt auf Seite 9 darüber wie sich die Europäer künstlich aufregen über solche Kinkerlitzchen. Und dass es dabei nicht um Terrorbekämpfung, sondern um Ausforschung und Industriespionage geht, belegen 9/11 und Boston (und in Deutschland die 10-jährige Tradition der NSU) drastisch.

All die Aufgeregtheiten, die heute durch die Presselandschaften jagen, waren auf meinen Seiten schon vor mehr als zehn Jahren zu lesen. Auch die Notwendigkeit einer europäischen Suchmaschine und eines europäischen Betriebssystems. Am 24.8.13 bestätigte der Guardian auch, was jedem klar war, der nur eine gelinde Ahnung von Ökonomie hat und den fabulösen Start von Google aus dem Nichts heraus beobachtet hatte: die NSA hat nicht nur hier gewaltig nachgeholfen. Und da so etwas nicht ohne Gegenleistung erfolgt, ist zu hoffen, dass Snowden auch in Punkto Microsoft noch nachlegt (Mit einem Gesamtetat der US-Geheimdienste von mehr als 50 Milliarden US-Dollar lässt sich schon einiges bewegen. Und es sollte auch klar sein, dass sich dies wirtschaftlich rechnen muss.).

 Natürlich hat Google die entsprechenden Seiten immer gut (nicht nur) vor dem deutschen Publikum versteckt. Google manipuliert das Web in einem Ausmaß, dass jedem freiheitlich denkenden Menschen Hören und Sehen vergehen müsste. Google drosselt ad libitum die Besucher zu bestimmten (missliebigen) Sites und bevorzugt (höheres Ranking etc) andere ihm nahe stehende Sites. Aber grundsätzlich kann Google selbstverständlich als Marktteilnehmer nicht neutral sein. Dumm nur, dass unseren Wettbewerbshütern so etwas partout nicht auffallen will.

Übrigens: Am 22.8.13 meldeten sich endlich auch - viel zu spät - Enzensberger und Frank Schirrmacher zu Wort ( Kulturjournal am 22.8.13 ).

Aber auch heute wäre für unsere bundesrepublikanischen 'Experten' noch genügend auf diesen Seiten zu lesen, was ihre vollmundigen Empfehlungen wie PGP oder VPN etc vielleicht nicht ganz so vollmundig klingen lassen würde, etwa was vor VPN und nach VPN oder PGP mit den Daten geschieht, siehe  Keylogger, Systemhooks, Videoaufzeichnung des Desktops.... 

 

 

 

 

 

 

Besuch von der NSA?

 

Über manchen Besuch freut man sich bekanntlich und mancher Besuch ist unerfreulich, unerwünscht oder sogar bedrohlich.  Aber man kann sich schützen. Mit einer Firewall, die diesen Namen verdient (und einem Betriebssystem ohne Löcher). Sofern Sie keine Industriespionage fürchten müssen, kann dies ausreichend sein. Und ob die Firewall Sie auch wirklich schützt, kann man überprüfen. Mit WebShield (z.Z. kein Download) oder dem kostenlosen Programm Webtraffic, kann in beliebigen Ordner kopiert werden, es empfiehlt sich danach WebTraffic mit gedrückter Strg-Taste in den AutoStart-Ordner des Startmenüs zu ziehen. Setup-Version installiert sich in der Registry unter CurrentVersion\Run. Dies garantiert, dass auch Verbindungen angezeigt werden, die vor dem Browser-Start etc, stattfinden. Falls dies nicht gewünscht ist in MsConfig unter SystemStart Häkchen entfernen.).

Beobachten Sie mit Webtraffic Ihre Beobachter!

Sehen Sie, wer Ihnen wann über die Schulter schaut. Lernen Sie verstehen, warum man Ihnen wann über die Schulter schaut. Mit Webtraffic können Sie sehen, wie Google, Twitter, Amazon, Akamai  etc. Ihnen beim Surfen zuschauen, ohne dass Sie irgendeine Verbindung zu Ihnen aufgebaut hätten (gehen Sie auf Seiten ohne Werbung, etwa meine Seiten http://sunorbit.net. Sie werden auf meinen Seiten absolut keinen Link auf Google, Amazon, Twitter, Akamai usw finden, trotzdem werden Sie irgendwann eine von diesen oder eine andere US-Firma in Webtraffic sehen. Vorher sollten Sie sämtliche Cookies gelöscht haben[5].). Google erkennt man gut am -in-, 2.16.203.120 ist eine akamai-Adresse in der Schweiz,2.23.178.127 dito. Aber seit dieses Programm im Netz ist, versteckt sich Google auch hinter ganz normalen numerischen Addressen.

WebTraffic/WhosConnected zeigt die Internet-Verbindungen die z.Z. mit Ihrem Computer bestehen. Die Anzeige wird automatisch angepasst an die aktuellen Verbindungsdaten. Kommunikation zwischen Ihrem Computer und Ihrem Router/Modem werden unterdrückt im Sinne einer kurzen und übersichtlichen Anzeige (mit wenigen Ausnahmen). Normalerweise werden nur bestehende Verbindungen angezeigt (siehe Optionen). Ip-Adressen und Port Adressen werden normalerweise in Textform (als Domainname) angezeigt. Hierzu wird eine Internetseite aufgerufen, die diese Übersetzung vornimmt, falls eine lokale Übersetzung aus dem Cache nicht erfolgen kann. Dieses Feature kann abgeschaltet werden, die Anzeige erfolgt dann rein numerisch. Wenn eine Siten-Adresse nicht übersetzt werden kann, wird die numerische Adresse in Webnotation angezeigt. Dies kann für sich schon einen Hinweis darstellen, dass hier etwas verheimlicht werden soll.

WebTraffic/WhosConnected überprüft nicht ein- und ausgehende Pakete wie dies eine Firewall wie zum Beispiel WebShield oder andere bekannte Firewalls macht.

Einfach-Klicken auf eine solche Zeile kopiert die Adresse ins Clipboard. Von dort können Sie die Adresse in das Suchfeld einer Suchmaschine zB Google eingeben (mit strg-v). Es gibt hunderte Siten im Netz die diese Rückübersetzung in Text-Form vornehmen. Falls diese Adresse auf vielen Sites als 'reverse DNS not available' oder 'Adresse nicht vergeben' gelistet ist, können Sie annehmen, dass diese Adresse etwas Spezielles darstellt. Sie können den gefundenen Domainnamen für spätere Anzeige in der 'notresolved'-Datei speichern. Diese Datei wird automatisch durchsucht bei späterer Benutzung von WebTraffic. Im Netz existieren Domains mit hunderten oder tausenden Adressen. Falls Sie sicher wissen, dass ein ganzer Adressenbereich für eine Domain/Gesellschaft reserviert ist, können Sie einen Stern verwenden z.B. 11.22.33.* oder 11.22.*.* Alternativ können Sie hinter der Adresse eine Subnetzmaske angeben z.B. 255.255.255.0[2]. Eintragungen in der Datei sind jeweils mit Kommas zu trennen. Die Datei muss nach einer Eintragung explizit gespeichert werden, ansonsten gehen Einträge verloren. Auch sollte darauf geachtet werden, dass in dieser Datei sich keine unnötigen Einträge finden, da sie geschwindigkeitsbestimmend ist. Eine automatische Bereinigung (Überprüfung von Bereichsüberlappungen, Entfernung ungültiger Adressen etc) der Datei findet bei jedem Neu-Einlesen der Datei statt.

Die Anzeige von WebTraffic ist übrigens so gehalten, dass bei einer Positionierung des Programms ganz links der Browser das sonstige Anzeigenfeld ganz überdecken kann, nur der Domain-Name bleibt dann sichtbar.

Doppelklicken auf einen Eintrag schließt diese Verbindung. Soll diese Domain permanent daran gehindert werden, Verbindung mit Ihrem Computer aufzunehmen, so ist ein Häkchen in der Checkbox 'Close connection permanent' zu setzen. Falls Sie nicht absolut sicher sind, sollten Sie von dieser Möglichkeit keinen Gebrauch machen. Diese Option funktioniert nicht unter Windows Vista und später falls die nötigen  administrativen Privilegien (oder RunAs Administrator) nicht gegeben sind. Diese Option sollte äußerst sparsam verwendet werden, da sie die Reaktionzeiten des Programms stark vermindern kann. Auch kann WebTraffic im Gegensatz zu WebShield nur die gegebene numerische Adresse sperren, nicht etwa eine ganze Domain. In der entsprechenden Datei (Close-Ip-Datei) darf nicht editiert werden, allerhöchstens ganze Zeilen gelöscht werden. Übrigens: Falls durch nicht-resolutes Doppelclicken die Adresse in der 'Notresolved-Datei' landet, ist dies nicht tragisch. Der Eintrag wird automatisch entfernt bei der nächsten Save-Aktion der Notresolved-Datei. (Es existieren auch andere, teils wesentlich bessere Möglichkeiten ungewollte Besucher auszusperren, in diesem Zusammenhang z.B. Router-ACL und Blackholing einmal durchlesen)

Falls Sie keine Ausgabe erhalten: Es muss mindestens 1 State-Selektion und 1 Protokoll-Selektion gegeben sein!

Falls in anderen Programmen Verbindungen erscheinen, die in WebTraffic nicht angezeigt werden: Normalerweise sind die heutigen DSL-Geschwindigkeiten so groß, dass selbst größere Datenmengen in Millisekunden durch die Leitungen rauschen, das Laden einer nur aus Text bestehenden Internet-Seite praktisch keine visuelle Ausgabe produziert. WebTraffic manipuliert die Anzeige in keiner Weise, etwa durch längeres Anzeigen einer nur Sekundenbruchteile bestehenden Verbindung.

Zur Dokumentation kann WebTraffic Logfiles schreiben. Als Optionen können in den Log-Files entweder nur nicht-aufgelöste Adressen gelistet werden oder nur Adressen, die einem Suchkriterium entsprechen(Port und/oder IP-Nummer). Zu beachten ist hierbei, dass selbstverständlich textuelle Domainnamen nur gefunden werden, wenn sie erfolgreich übersetzt werden konnten, sicherer ist daher die numerische Suche. Logfiles werden automatisch geschlossen, wenn sie größer 10MB werden und mit einem um 1 erhöhten Dateinamen wiedereröffnet. Dies erleichtert die Suche nach Datum/Zeit wesentlich. Da Logfiles einen nicht unerheblichen Speicherbedarf haben, können sie bei Bedarf in WebTraffic komplett gelöscht werden.

WebTraffic unterhält übrigens einen eigenen extrem schnellen Cash, der garantiert, dass nach einiger Zeit der Benutzung von WebTraffic fast sämtliche Adressen aus dem Cash aufgelöst werden. Dies bedeutet im Klartext, dass die CPU- und Netzbelastung durch WebTraffic nach einiger Zeit minimal ist, da nur noch ein äußerst geringer Prozentsatz durch Netzanfragen aufgelöst werden müssen.

Diese Adressbereiche werden automatisch von der Anzeige ausgeschlossen:

10.0.0.0-10.255.255.255                   lokale Netze

172.16.0.0-172.31.255.255                lokale Netze

192.168.0.0-192.168.255.255             lokale Netze

169.254.0.0/16                                lokale Netze

WebTraffic ist zZ in Version 1.00.01. Kleinere Bugs können daher noch enthalten sein. Rückmeldung in diesem Fall erbeten. Die Anzeige erfolgt immer in IPV4. Nur am Rande: die Anzeigen von WebTraffic und ShowTraffic (siehe Ende der Seite) zeigen zwei sehr unterschiedliche Ansichten der nämlichen Aktionen und können daher nicht unmittelbar miteinander verglichen werden.

Schlussbemerkung: die Dateien von WebTraffic/WhosConnected werden im Gegensatz zu WebShield nicht geschützt. Denkbar wäre daher eine Manipulation dieser Dateien, was selbstverständlich zu falscher Anzeige führte. WebTraffic/WhosConnected ist daher für Sicherheitsrelevate Bereiche ungeeignet. Sollten Sie diesen Verdacht hegen, können sowohl die Cache-Datei, als auch die NotResolved-Datei einfach gelöscht werden. Die Cache-Datei baut sich danach selbsttätig wieder auf. Die Notresolved-Datei muss manuell wieder gefüllt werden. Die Cache-Datei erneuert sich übrigens sowieso von Zeit zu Zeit, da das Netz einer gewissen Änderung unterliegt.

Der sinnvollste Betrieb von WebTraffic / WhosConnected ist der Start direkt mit dem Betriebssystem. Daher trägt sich WebTraffic in der Registry unter SOFTWARE\Microsoft\Windows\CurrentVersion\Run oder in 64bit Version unter SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run (echte 64 bit Version später) ein. Dies garantiert einen sehr frühen Start, sodass Sie auch beobachten können, ob sich irgendjemand per UDP (oder TCP) informieren lässt, wann Sie Online sind. Sollte Sie dieser automatische Start stören, nehmen Sie einfach das Häckchen bei WebTraffic in MSConfig/SystemStart weg (Komplette Deinstallation in Systemsteuerung/Software wie gewohnt.). In WebShield kann man übrigens zusätzlich sehen, wer sich per UDP informieren lässt, dass Sie jetzt Online sind. Vielleicht baue ich diese Funktionalität später auch in WebTraffic / WhosConnected  ein.

Ganz am Rande: Die Funktionalität von Webtraffic war schon 1998 in meinem Programm AAICW, einem Dial-in Programm zu Zeiten von Modem-Verbindungen enthalten (falls sich noch jemand an die Steinzeit des Webs erinnert). Damals erforderte die Implementierung dieser Funktionen noch ein gehöriges Know-How, welches Microsoft dann nach und nach milderte, um auch anderen Programmierern diese Funktionalität zur Verfügung zu stellen. Heute ist das, was früher ein richtig dickes Programm darstellte, mit wenigen Funktionsaufrufen zu erledigen und praktisch direkt aus den Hilfedateien zu implementieren.

Wenn Sie sich die Google Toolbar aufschwätzen ließen, sollten Sie diese zuerst unter Add-Ons deinstallieren. Auch können Sie Google im Suchfenster Ihres Browsers deaktivieren.

Anschließend sollte man sich etwas schlau machen, wer wer ist. Google erkennt man zum Beispiel gut am "-in-" (aber nicht nur!):

Allzu paranoid sollten Sie allerdings nicht werden: Namen wie ..genericreverse.. oder rev.opentransfer.com....in-addr.arpa sind Übersetzungsdienste, die die Rückwärtsübersetzung vornehmen.

Eine gute Adresse um sich schlau zu machen, wer sich da so alles (ungefragt) auf Ihrem Computer tummelt, ist zum Beispiel: http://cryptome.org/ oder iblocklist.com und falls nur eine kryptische Nummernadresse erscheint, diese einfach in Google eingeben (bei ShowTraffic ins Clipboard kopieren, bei WebTraffic einfach darauf klicken und anschliessend mit strg-v in das Suchfeld einer Suchmaschine kopieren). Es gibt hunderte Seiten (whois), die diese Nummernadressen rückübersetzen. Nicht verzweifeln, wenn dies zuerst alles etwas kryptisch erscheint! Mit der Zeit kennt man seine Pappenheimer. Ein guter Start sind auch die torrent-Blacklists von Bluetack oder hier (diese Listen enthalten zwar - wie in diesem Bereich nicht unüblich - viel Unsinn aber auch viel Brauchbares).

Als Beispiel hier (ein leider nicht aktuelles und in allen Punkten zutreffendes) "NSA-Affiliated IP Resources" http://cryptome.org/0001/nsa-ip-update13.htm (Auch 14, 15... mal anschauen.) (lokale Kopie hier.  Nur falls durch irgendein Unglück das Original verloren gehen sollte.) Der 'Normalmensch' ist übrigens nicht so wichtig, als dass er Besuch von einer ns4.. oder ns1... Adresse erhält. Da muss schon besonderes vorliegen etwa eine besonders nervige Anfragen bei Google ... Die scheinen dann allerdings direkt durchgereicht zu werden. Dies ist unbedingt ein Versuch wert! Schon alleine damit die Herrschaften auch etwas zu tun bekommen für das viele Geld, das sie nach Hause tragen...

Übrigens: wenn Ihre Festplatte ohne irgendein Zutun Ihrerseits zu rödeln beginnt (bei abgeschalteter Indizierung etc..) sollten Sie einen Blick auf WebTraffic werfen und schauen, wer so sehr an Ihren Daten interessiert ist. Auch wenn sich irgendjemand für das Einstecken Ihres USB-Sticks interessiert (und Sie ansonsten keine Aktivität veranlasst haben.).

Und noch ein Übrigens: Immer wieder erstaunlich ist, welche 'Experten' in den Medien anlässlich solcher Aufgeregtheiten aus den verstaubtesten Ecken hervorgespült werden. Bei solchen deutschen 'Experten' ist es natürlich kein Wunder, dass man glaubt im Internet mit den schlimmsten Hackermethoden durchzukommen und selbst vor SSL nicht halt macht (beim Hochladen obiger Datei brach die SSL-Verbindung zu meinem Provider zusammen. Soweit ich mich erinnern kann, ist dies erst 2 mal in vielen Jahren geschehen. Seltsam ist, dass es sich jedes Mal um Dokumente handelte, die die Akamai-NSA Relation behandelten. Akamai ist eine der wenigen Domains, die  (neben anderen in obiger Liste) viele ihrer Adressen verheimlicht, wie man mit WebTraffic einfach feststellen kann und taucht übrigens auch immer wieder im Zusammenhang mit einem äußerst dubiosen Netsession_win in Trojanerboards auf und in Chip. Und: Selbstverständlich versuchen solche Sites sich unabdingbar zu machen durch Hosten bestimmten Inhalts,z.B.Java.).  Kein Wunder in einem Land in dem Fußballer mit Millionen-Salär bedacht werden und wirkliche Computerexperten arbeitslos auf der Straße herumlungern (dank einer Kanzlerin für die dies alles 'Neuland' ist. Wenn der Know-how Diebstahl im großen Umfang zum Tragen kommt, ist sie ja schon lange nicht mehr Kanzlerin.). 

Eine gute Ergänzug zu WebTraffic/Showtraffic ist übrigens  Mark Russinovichs FileMon und Process Explorer(beide ebenfalls kostenlos, FileMon nur 32 bit, ProcMon f.64 bit, beide von Microsoft aufgekauft und dort herunterzuladen). Dies ist allerdings nur Fachleuten zu empfehlen und die kennen diese sowieso. WebShield hat hierfür eingebaute Funktionen.

Dass sie sich allerdings auf die von Taskmanager, Filemon und Procmon angezeigten Daten unter Windows nicht verlassen können, zeigt unter anderem dieser Artikel. Hier das Pendant unter Unix (betrifft nur Dateien). (Dies ist auch der Grund weshalb man bestimmte Programme nicht ausliefern kann und nur für den privaten Gebrauch vorhalten kann, da jede erkannte Sicherheitslücke von professionellen Spyware-Programmen vermieden wird. Das bekannte Hase-Igel-Problem lässt sich nur lösen, indem man die Spyware-Produzenten im Unklaren lässt, welche ihrer Tricks durchschaubar sind. Ich habe bessere und wichtigere Dinge zu tun, als permanent hinter immer neuen Tricks der Spyware-Produzenten herzuhecheln. Man könnte wirklich manchmal den Eindruck haben, man solle von wichtigeren Dingen abgehalten werden.)

 

Und zum Schluss noch einige weitere Adressen zum Schmökern (und natürlich Spiegel 27/28 2013, letzteres auch auf cryptome.org nachzulesen. In Spiegel 31/2013 konnte man lesen wie wenig Otto Schily von Politik verstanden hat.):

http://mybroadband.co.za/vb/archive/index.php/t-92398.html

http://www.denyfromall.com/scripts/NSAIPLIST.txt

http://blogoscoped.com/forum/113514.html

http://blogs.securiteam.com/index.php/archives/982

Einige brisante Neuigkeiten vom 30.7.2013 und 31.7.2013:

http://www.heute.de/Spionage-Offiziell-erlaubt-29086038.html Hier ist unter anderem zu lesen, dass dies alles lange vor 9/11 datiert (Zum Beispiel Verbalnote des Auswärtigen Amtes vom 29. Juni 2001).

Wer folgendes liest und interpretieren kann  und damit versteht was hier zwischen den Zeilen zu lesen ist, weiß, dass diese Affäre gewaltige Brisanz besitzt und noch lange nicht ausgestanden ist. Eine Kanzlerin, die glaubt, dies in gewohnter Manier aussitzen zu können, ist überaus schlecht beraten. 

Die USA sollten sich vielleicht einmal vor Augen führen, was es für ihre internationale Reputation bedeutet, wenn sie Snowden anbieten müssen, ihn nicht zu foltern und auch nicht der Todesstrafe auszusetzen.  Wo bitte sehr ist der Unterschied zu Putin's Russland (Todesstrafe gerade noch rechtzeitig im letzten Jahrhundert abgeschafft), China oder Nordkorea ???

http://www.theguardian.com/world/2013/jul/31/nsa-top-secret-program-online-data

 

Die Benutzung eines Programms wie  WebTraffic / WhosConnected  kann sehr große Vorteile mit sich bringen: Tracker lieben es gar nicht, wenn man sie bei ihrem Tun beobachtet, bestimmte Dienste oder Webdienste operieren lieber im Verborgenen. Der geringste Bonus von  WebTraffic / WhosConnected  ist daher alleine schon eine höhere DSL-Geschwindigkeit. Eine Ansicht von WebTraffic / WhosConnected mit etwas höherer Frequenz:

 

 

Wenn Sie wirklich sicher sein wollen...

Dann vertrauen Sie besser nicht auf Firewalls, unbekannte Proxies (die oft Honig-Töpfe bekannter Geheimdienste sind), Download-Sites, die Ihnen Software anderer Hersteller anbieten. Benutzen Sie Tor um ins Internet zu gehen und benutzen Sie den Tor-Browser um im Internet zu surfen. Selbstverständlich sollten Sie Google in diesem Fall meiden! Hier können Sie sich über Tor informieren (deutsch) und englisch. Weitere Informationen hier. Falls übrigens die Tor-Installation bei Ihnen scheitern sollte oder immer mal wieder von Ihrem Rechner verschwinden sollte, sollten bei Ihnen sämtliche Warnlampen angehen. Das gleiche gilt, falls Sie Java zur Abwechslung mal vom Hersteller, vom Oracle-Server installieren und seltsame Meldungen erhalten, dass mit Ihren Sicherheitseinstellungen einiges im Argen liegt.....

Es gäbe natürlich noch so viel mehr zu beachten, so demnächst mehr.

 


 

1)Und selbst in Mark Russinovichs(Sysinternals) Maßstäbe setzenden Autoruns taucht es nur verschämt und neutral als gupdate auf. Autoruns ist  allerdings mittlerweile dermaßen aufgebläht, dass auch absolut unsinnige Einträge zu finden sind. Womit man ein solches Utility natürlich auch wieder ad absurdum führen kann.

2)Subnet-Masken werden undiert, d.h. 255.255.0.0 setzt die niederen beiden Oktets zu 0, sie werden also nicht miteinander verglichen=sämtliche Adressen in diesem Bereich sind gültig. Die Notation 192.168.1.0/24 besagt, dass das letzte Oktet reserviert ist für interne Host-Adressierung. Dies alles in IPV4. Eine IPV4-Adresse ist in Wirklichkeit nichts anderes als eine 32-bit Adresse. Die Oktet-Notation dient nur der Lesbarkeit.

3) Vielfach ist Google keine Suchmaschine sondern eine Such- und Wissensverhinderungsmaschine. Mehrfach konnte ich beobachten, dass der Google-Algorithmus Seiten bestraft, die weltweit als einzige bestimmte Informationen bieten. Alleinstellungsmerkmale werden so in ihr Gegenteil verkehrt, werden zu Ausschlusskriterien. Erst wenn andere Seiten den nämlichen Inhalt - sozusagen in 'Raubkopie' - hatten, wurden diese Seiten allmählich in Google berücksichtigt. Dann aber auch nur unter 'ferner liefen'. Auf die Zeitungsbranche angewandt, könnte Google mit diesem Algorithmus eine Revolution bewirken: nicht mehr die recherchierenden Top-Blätter haben die besten Verkaufszahlen, sondern die abschreibenden Hinterhof-Gazetten.

4) Nur eine kleine Auswahl zu Stuxnet, Duqu(mcd9x86.sys)  und Flame, weitere können gefunden werden unter Stuxnet Nachfolger:

http://blogs.technet.com/b/markrussinovich/archive/2011/05/10/3422212.aspx

http://blogs.technet.com/b/markrussinovich/archive/2011/03/30/3416253.aspx

http://blogs.technet.com/b/markrussinovich/archive/2011/04/20/3422035.aspx Bitte beachten Sie, dass mrxcls.sys und mrxnet.sys selbstverständlich heute 'verbrannt' sind.

http://www.codeproject.com/Articles/246545/Stuxnet-Malware-Analysis-Paper

http://www.codeproject.com/Articles/237277/Security-It-s-geting-worse     Jaja, die bösen Chinesen sind schuld am NSA Skandal....

http://www.codeproject.com/Articles/375153/A-Look-At-The-Growing-Need-For-Anti-virus-Software

http://www.focus.de/digital/internet/tid-25952/stuxnet-nachfolger-die-fuenf-wichtigsten-fragen-zum-supervirus-flame-was-hat-der-supervirus-mit-stuxnet-zu-tun_aid_759556.html Focus kann noch nicht einmal den Namen von Kaspersky richtig schreiben.

http://www.silicon.de/41556697/stuxnet-nachfolger-duqu-ein-staatlicher-trojaner/   Hinter der Schadsoftware DuQu vermutet das Bundesamt für Sicherheit in der Informationstechnik (BSI) staatliche Institutionen.

http://forum.golem.de/kommentare/politik-recht/nsa-skandal-deutsche-firmen-fuerchten-cyber-attacken-aus-den-usa/nsa-nachfolger-von-stuxnet-infiziert-rechner-ueber-die-windows-updates-funktion/75199,3449800,3449800,read.html

http://www.techhive.com/article/256862/flame_malware_spreading_itself_via_bogus_windows_updates.html

http://www.tagesschau.de/multimedia/video/video1332486.html  Warum sendet die ARD brisante Nachrichten immer nur zu nachtschlafener Zeit (31.8.13 23:38), wenn die Zahl der Zuschauer unter 1 Prozent gesunken ist?

Weitere vermutliche Abkömmlinge : Mahdi, Wiper, Shamoon....

5) Viele freie Programme im Netz erlauben das Löschen von Cookies, aber auch die Browser selbst. Z.B. in FireFox unter Einstellungen, Datenschutz, Cookies anzeigen, Alle Cookies entfernen

Wer sich übrigens über Content Delivery Networks (CDN's) und/oder vermeintliche CDN's (Akamai, Edgecast, LimeLight....) informieren möchte, kann hier beginnen.

6) Diese Angabe ergibt sich aus der VeriSign Inc. Signatur vergeben an ClientConnect LTD  4. Februar 2014 mit der Seriennummer '454c936fbc51da40868fe2ab4727b946'

7) Wie dumm-naiv jegliche Privatsphäre missachtend und positivistisch  angebliche `law enforcement' fördernde Software in den USA beworben wird - die jedoch in Wirklichkeit nichts anderes als schlimmste Spyware dastellt -  kann man hier nachlesen. Dies ist nur ein Beispiel für solche Spyware. Es gibt schlimmere.

weitere links zu duqu und dergl.:

http://www.crysys.hu/skywiper-statement.html

http://www.crysys.hu/duqudetector.html

http://blog.crysys.hu/

http://www.securelist.com/en/downloads/vlpdfs/kaspersky-lab-gauss.pdf

http://www.livehacking.com/tag/duqu/

http://www.securelist.com/en/analysis/204792332/IT_threat_evolution_Q1_2014

http://www.mdpi.com/1999-5903/4/4/971

https://www.virustotal.com/de/file/6a258d85aa76fa2bd5e5b065cfe1f2edb06542bec9bed69fd46c718729c6ff33/analysis/

 

 



ShowTraffic

 Showtraffic ist umständlicher zu handhaben und die Anzeige kann einen manchmal erschlagen, da auch Banalitäten wie die Kommunikation mit dem Router/Modem angezeigt wird. Ansonsten ist Showtraffic für Windows Versionen unter Win 7 (Vista nicht getestet) durchaus zu empfehlen.  Zwar kann man mit ShowTraffic keine unliebsamen Besucher abklemmen, die Anzeige genügt jedoch zum Überprüfen, WER auf Ihrem Computer WANN ist (es gibt einige weitere Handicaps, die für den 'Normalnutzer' aber nicht ins Gewicht fallen). Showtraffic benötigt WinPcap und dies ist leider dafür bekannt, nicht sicher gegen Manipulation zu sein.

Bedienung von Showtraffic : Leider merkt sich das Programm die Einstellungen, die Sie getätigt haben, nicht. Sie müssen also jedes Mal wieder vorgenommen werden. Dazu muss als erstes der Adapter selektiert werden. In den meisten Fällen genügt es, den in der Combo-Box gezeigten einfach zu übernehmen durch Klicken auf den grünen Pfeil.

  Auf diesen grünen Pfeil klicken (Scheinbar hat Showtraffic Probleme mit Windows 7(Vista nicht getestet). Falls in Windows 7 hier nichts erscheint.

 

Dann noch "Resolve Addresses" oder F11  wählen:

 


In Windows 7 & 8 genügt es nicht, nur versteckte Dateien anzeigen zu clicken. In Windows 7 & 8 versteckte Dateien anzeigen:

Unter Ordneroptionen: Häckchen bei "Geschützte SystemDateien ausblenden" entfernen