Wie funktioniert Spionage?

Ich möcht meinen Datenverkehr eine Weile manuell "analog" Überwachen. Ein bischen tiefer auch als LittleSnitch. Was gibt es da für Sniffers für den Mac. ethereal konnte ich nirgends zum Downloaden finden.
 
Hi maceis,

da krieg ich jetzt die Kurve nicht mehr:

Original geschrieben von maceis
Soll jetzt nicht heissen, dass ich LittleSnitch für unbrauchbar halte, aber ich denke man darf sich auch nicht sofort ganz sicher fühlen.
Ich glaube auch, dass man das noch feiner konfigurieren könnte.
Nachdem ich aber eine Cisco Router als Transit Router (der selbst nicht im Internet steht) verwende und darauf meine Accesslisten pflege, besteht auch für mich nicht die Notwendigkeit die config von Little Snitch zu vertiefen.

Interessant ist es allemal, das mal ne Weile mitlaufen zu lassen.
Abgesehen davon besteht höchst wahrscheinlich die Möglichkeit, bei der Installation von unseriösen (Share-/Freeware-) Programmen zu prüfen, ob Little Snitch läuft und ggf. wormholes etc. zu öffnen.
Zum Vergrößern anklicken....

Der Ansatz von LittleSnitch ist doch ein ganz anderer, als der von einer Firewall bzw. einem PaketFilter.
Für mich ist das erstmal ein Vergleich von Äpfeln mit Birnen.
Zumindest fehlt mir eine Info, um beides auf eine Linie zu bringen.
Handelt es sich bei den von Dir angesprochenen Accesslisten um Source- oder Destination-Listen?

Destination-Listen halte ich für unpraktikabel/unwirksam, weil auch bei dir sicherlich Port 80 für alles auf ist und darüber letztlich alles getunnelt werden kann, wenn man nicht ganz blöd ist.

Den Source-Adressen/Ports kann zumindest ich nicht ansehen, von welchen Programmen aus die Verbindung aufgebaut werden soll.
Aber eben das ist für mich der Sinn von LittleSnitch.

Das LittleSnitch nicht die rundum-sorglos-Lösung ist ist mir schon klar (vgl. Root-Kits, DLL-Tricks mit IE/Win, etc.).
 
Original geschrieben von A&e
D.h. irgendeine Website installiert ohne mein Wissen ein kleines Programm auf meinem Mac. Und dieses Programm sendet dann Informationen meines Computers wo auch immer hin? Das heisst, es kann jeder X-beliebige Dateien von meinem Computer runterholen, Dateien verändern, Programme öffnen nach Lust und Laune. Der sieht alles, was ich tue, Dokumente, etc... Das kann doch nicht sein, oder?
Zum Vergrößern anklicken....

@A&e:
Prinzipiell ist das möglich - nicht nur theoretisch. Trotzdem ist der Vorgang meist etwas anders. Wenn ein Software-System - sei es das Betriebssystem oder Programme die darauf laufen wie z.b. Webserver, Fileserver usw. - Fehler enthält, dann können diese Fehler dazu benutzt werden um gewisse Privilegien auf dem kompromittierten System zu erhalten. Wenn du Programme nutzt, die viele Offene Leitungen nach draußen haben, so erhöht sich dein Gefahrenpotential weil jedes dieser Programme Fehler enthalten kann (muss aber nicht). Wenn du jetzt einen gewieften Hacker hast, der sich mit solchen Sachen auskennt, dann wäre es ihm möglich dir mit diesem Wissen zu schaden indem er sich z.B. als 'superuser' anmeldet. Doch das Verhältnis zwischen Hacker und Script-Kiddie liegt bei ca. 1 Hacker zu ca. 300000 Script-Kiddies.
Die Hacker wissen was sie tun und haben eigentlich kein Interesse an deinem System, die forschen (oder wenn sie Cracker sind schaden sie) - meistens großen Unternehmen.
Script-Kiddies versuchen nur Sachen die schon bekannt sind und zu denen es möglicherweise noch idiotensichere Tools gibt. Deshalb gibt es die meisten Viren auch für MS Outlook und den IE, weil es dafür schon genug Doku und Tools gibt. Es gelingt nicht vielen Leuten die Manipulation von IP-Packages um einen Fehler in einem Router oder Firewall eines bestimmten Typs zu bestimmen.
Wenn du Programme benutzt, die Ports öffnen bzw. Anfragen entgegennehmen, dann bist du anfälliger (Chat-Programme, P2P Software, Web-Server usw.)
Ein Router hat nicht immer notwendigerweise eine Firewall und dann gibt es viele Unterschiede: Es gibt Firewalls die blockieren nur Pakete nach deinen Regeln, einige wenige (stateful firewalls) merken sich dann noch ob etwas erwartet wird. Noch eine Stufe weiter gehen die ... (der Name ist mir entfallen) ... sie überprüfen zusätzlich noch die Datenpakete selbst um zu sehen ob ein Angriff auf bekannte Sicherheitslöcher in Anwendungen versucht wird.

Kurzum: Wenn du keine Firewall hast - dann schaffe dir eine an. Lancom Systeme sind recht gut, aber Software-Firewalls tuns auch. Prinzipiell befindest du dich aber nicht in unmittelbarer Gefahr.

Gruß,

Ole
 
hallo zusammen
hallo ?=?

vielen Dank für deinen Beitrag.
Wie gesagt, habe ich mich in Little Snitch nicht so vertieft.
Mit einem hast du sicher recht: Es ist sicher ne tolle Sache, zu sehen, welches Programm einen Verbindungsversuch unternimmt.
Noch lieber würde ich erfahren, welches Programm oder welcher Prozess einen Anfrage an meinen DNS Server sendet, weil der ja dann letztendlich die Verbindung aufmcht (siehe unten ***)

Was die Listen auf meinem Router angeht, so können die Acceslisten sehr fein konfiguriert werden.
Hab ich aber länger nimmer angefasst; müsst ich mal kurz überlegen :D

also:
- neben der Angabe von Quelladressen und -ports und Zieladressen und -ports, sowie des verwendeten Protokolls (!) ist auch die Angabe der Richtung des zu kontrollierenden Datenverkehrs möglich; Wenn ich dich recht verstehe sind es also sowohl Source- als auch Destination-Listen.
- Wenn ich mich recht entsinne, ist sogar die Angabe von DNS Namen möglich, welche dann jeweils aufgelöst werden.
Das hab ich allerdings nie probiert.
- Außerdem ist es neben vielen anderen Details möglich, zu prüfen, ob das "ack-Bit" gesetzt ist.
Damit ist es möglich tcp-Verbindung nur dann zu erlauben, wenn die Kommunikation von innen initiiert wurde.
Destination-Listen halte ich für unpraktikabel/unwirksam, weil auch bei dir sicherlich Port 80 für alles auf ist und darüber letztlich alles getunnelt werden kann, wenn man nicht ganz blöd ist
Zum Vergrößern anklicken....
Nein, eben nicht für alles, sondern nur für Verbindungen mit ack-Bit (= established)
Allerdings will ich nicht unterschlagen, dass dieses auch gefälscht werden kann.
Die Wahrscheinlickeit einem solchen Angriff ausgesetzt zu werden ist bei dial-ups allerdings verschwindend gering (hoffe ich wenigstens)

- alles klar soweit ? :D
-------------------
unten ***:

Kann mir einer sagen,
- warum unter Panther (in der grafischen Oberfläche) bei jeder Benutzeranmeldung versucht wird die Adresse homepage.mac.com aufzulösen und
- warum beim Start des Programms "Mail" sehr häufig versucht wird die Adresse idisk.mac.com aufzulösen.

Weiss jemand welches Programm oder welcher Prozess das auslöst und wie man das unterbinden kann ?
 
@Alle:
Das mit dem "wenn man nicht ganz blöd ist" bezog sich auf einen theoretischen bösen gesellen, der es geschafft hat, mir auf meinem Mac Spionage-SW unterzujubeln.
Wenn er das schafft sollte er auch mit dem Tunneln klarkommen.

@maceis:
Dein Standpunkt ist mir (glaub ich) klar.
Aber was hilft dir deine Firewall, wenn die "böse" SW ganz regulär von innen eine Verbindung zu einem externen Rechner (sei es über DNS oder direkt mit der IP Adresse) über TCP / HTTP aufmacht und per HTTP POST munter Daten sendet?
So würde ich es jedenfalls machen, wenn ich in der Rolle des Angreifers wäre.
Das einzige Mittel so etwas zu bemerken wäre eine Kontrolle auf dem Source-Rechner, ob die die Verbindung aufbauende Applikation vertrauenswürdig ist.
Hier kommt dann wieder (mit allen bereits angesprochenen Schwächen) LittleSnitch ins Spiel.
Eine zusätzliche Möglichkeit, die ausgehenden Daten anzuzeigen halte ich für wenig sinnvoll: Schon eine triviale XOR-Verschlüsselung macht die Daten für Menschen unlesbar.

Nichts desto trotz ist es auf jeden Fall eine gute Idee, einen vorgeschalteten Paketfilter zu benutzen, der grundsätzlich nur ausgehende Verbindungen zulässt, so wie du es tust (und ich auch).
Allerdings wird das mit iChatAV wohl noch haarig werden ...

Deinen Einwand mit der DNS Anfrage habe ich nicht ganz verstanden: Die DNS Anfrage dürfte via UPD auf Port 53 gehen.
Dass dein DNS-Server wiederum bei deinem Provider rückfragt dürfte wohl kaum verdächtig sein.
Aber für das nachfolgende versenden ausspionierter Daten wird eine neue Verbindung verwendet (schon allein, weil sie an einen anderen Server gehen sollen). Somit sollte LittleSnitch (oder wer auch immer) zwei eigenständige Verbindungsversuche registrieren (wenn es was taugt).
Wobei man wahrscheinlich der Bequemlichkeit halber alle Verbindungen zu einem Ziel innerhalb des lokalen Netzes grundsätzlich als vertrauenswürdig einstuft und pauschal zulässt.
 
Zuletzt bearbeitet:
Original geschrieben von ?=?
AOS Cloud Services - Backup and Storage Solutions

STFW ;)
Zum Vergrößern anklicken....


STFW !!!

Spionagetools selbst Spione ?? ;)
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Zurück
Oben Unten