SPYware!

[bozoo]

Tachchen,

stimmt es, dass es Software gibt, die bei der Installation (oder halt später) die DLL's des jeweiligen Browsers (vorzugsweise MSIE) so ändern, dass User-Daten über das HTTP-Protokoll rausgehen können (merkt ja keine FW) und man somit ausspioniert wird?

Wo gibt es ein Tool, dass Alarm schlägt, sobald eine DLL des MSIE irgendwie verändert wird?

[TschiTschi]

Davon habe ich noch nichts gehört - zumindest nicht so wie Du es schilderst! Es gibt Programme (z.B. ActiceX-Applets), die (theoretisch) einen HTTP-Tunnel aufzubauen können (durch den dan alle Daten geschleust werden). Dazu benötigt man dann aber als Ziel aber einen dedizierten, nicht veränderbaren Server (da die IP-Adresse ja im Client und im "Angreiferprogramm" bekannt sein muss). Und die Daten die rausgeschickt werden sollen, müssen auch schon vordefiniert sein (weil man den Client-Rechner ja nicht von außen steuern kann). Damit ist der Angreifer aber sehr leicht erkennbar und die Variabilität extrem eingeschränkt!

Solche Horrorszenarien werden zwar oft von Sicherheits-Consulting-Unternehmen verbreitet, spielen aber in der Praxis praktisch keine Rolle!

[bozoo]

hmm, stimmt eigentlich.

würde man ja sofort merken, wenn man zB. seinen Port 80

snifft und dann da Traffic wäre, obwohl man gerade gar keinen Traffic verursachen sollte, weil man nicht surft, oder so...

puh*steinvomherzenfall*

sch**ss paranoia...

[@@@]

Original geschrieben von pinkpanther

hmm, stimmt eigentlich.

würde man ja sofort merken, wenn man zB. seinen Port 80

snifft und dann da Traffic wäre, obwohl man gerade gar keinen Traffic verursachen sollte, weil man nicht surft, oder so...

puh*steinvomherzenfall*

sch**ss paranoia...

Soviel ich weiss Geht aber eine HTTP Verbindung gar nicht über Port 80 Raus. Sondern nur rein. Bei der TCP/IP übertragung müsste das eigentlich ein Port über 1024 sein. Da der Source und Destination Port nicht gleich sein können.

[nic_power]

Original geschrieben von @@@

Soviel ich weiss Geht aber eine HTTP Verbindung gar nicht über Port 80 Raus. Sondern nur rein. Bei der TCP/IP übertragung müsste das eigentlich ein Port über 1024 sein.

Der Bereich 0-1023 ist reserviert, 1024 ist der erste freie Port. Soweit ich mich entsinnen kann, ist der Bereich 1024-5000 fuer dynamische Portvergabe vorgesehen, ab 5001 stehen die Ports dann den Applikationen als feste Ports zu Verfuegung. Ein sniffen des eigenen Port 80 ist aber in der Tat wenig sinnvoll. Ich wuerde entweder nach dem Zielport sniffen (das muss aber nicht unbedingt Port 80 sein) oder nach ausgehenden http-requests.

Nic

[TschiTschi]

Original geschrieben von @@@

Soviel ich weiss Geht aber eine HTTP Verbindung gar nicht über Port 80 Raus. Sondern nur rein.

FALSCH!

Die Well-Known-Ports werden immer in Richtung SERVER verwendet - und der (HTTP-)Server steht nun 'mal im Internet. Also geht der Port 80 nach draußen!

GG

[nic_power]

Original geschrieben von TschiTschi

FALSCH!

Die Well-Known-Ports werden immer in Richtung SERVER verwendet - und der (HTTP-)Server steht nun 'mal im Internet. Also geht der Port 80 nach draußen!

GG

Naja, er hatte geschrieben "über Port 80" und das ist natürlich nicht der Fall (wobei ich davon ausgehe, dass "über" hier einen lokalen Port beschreibt == Absendeport, so hatte ich das der Beschreibung nach zumindest verstanden). Der Request geht zwar an den Zielport 80 auf die Maschine im Netz, der lokale Port über den die Verbindung aufgebaut wird ist jedoch ein dynamisch vergebener Port > 1023.

Nic

[TschiTschi]

Er hatte von 'ner Firewall gesprochen (im ersten Beitrag: "Das merkt ja keine Firewall") - und da ist der Port 80 (ausgehend) freigeschaltet.

GG