Diesmal aus eigenen Untersuchungen auf meinem eigenen PC mit ADSL-Festnetz der A1
Ausgangspunkt :
Firefox stürzt seit einiger Zeit immer wieder aus unerklärlichen Grunden ( vielleicht auch unnötige/fehlerhafte Addins ) ab.
Ich habe daraufhin (unter Windows 7) den Taskmanager aufgerufen und von dort den Ressourcemonitor aufgerufen.
Im Ressourcemonitor habe ich mir die Anzahl der TCP-Verbindungen und die Veränderung dieser Anzahl über die Zeit beim Aufruf verschiedener Programme angeschaut.
Im "Ruhezustand" ( bei offenem Firefox-Browser) werden beim mir ca. 5 Verbindungen angezeigt, die aber im Extremfall auf mehr als 100 Verbindungen absteigen - ein mit verdächtig erscheinendes Verhalten.
Auf der linken Seite des Ressourcenmonitors wird zu jeder TCP-Verbindung die Lokale- und die Remote-Adresse angezeigt und (zumeist) auch ein Name des Programmes, das den lokalen Endpunkt der TCP-Verbindung darstellt.
Hier erschienen mir wieder jene Einträge besonders verdächtg, die beim Namen dieses Programmes lediglich einen Binde-Strich ( nicht festellbarer Ursprung ? ) stehen hatten.
Die Remoteadresse dieser TCP-Verbindung habe ich mir näher über einen "WhoIS-IP" bzw. den dort mit angebotenen Trace näher angeschaut und zu meiner Überraschung selbst für rein östereichische Ziele (z.B. zum Standard oder zu A1) immer eine über die USA und Denver ( vermutlich Hauptsitz der NSA ! ) geroutet TCP-Verbindung (über ca. 10-15 Hopps) gefunden.
Für mich stellte sich nun die Frage, ob dieses Routing durch Malware auf meinem PC ausgelöst wurde, oder durch "andere Umstände".
Ergebnis:
Meine (nicht ganz fehlerfreien) Untersuchungen haben ergeben, dass höchstwahrscheinlich nicht Malware auf meinem eigenen Rechner die Ursache sein dürfte, sondern bereits der Zugang zu den Domain-Nameservern (zumindest von A1) diese Umleitung auslösen dürfte.
Erst gestern habe ich auf meinem lokalen Rechner einen Root-Kit Scan und ausführlichen Virenscan durchgeführt und (hoffentlich) alle Probleme behoben. Garantie, dass nun nichts Bösartiges mehr drauf ist ist das natürlich nicht.
Anschließend habe ich über ein Smartphone mit mobilem Internet von "Drei" ebenfalls die Traceroute zu einem Domainname-Servers von A1 angeschaut und bin dabei zum fast gleichen Ergebnis wie auf meinem Stand-PC gekommen auch dort war unter zahlreuichen anderen Hops in den USA auch Denver enthalten.
Allerdings habe ich für den Trace in beiden Fällen ein WEBService im Internet verwendet. Der Trace bezieht sich also auf den Standort dieses Servers des Trace-Dienstes und bedeutet lediglich, dass dieser Dienstanbieter, bzw. alle Anfragen an diesen Dienstanbieter von der NSA mitgelesen werden.
Falls auch beim Trace von der eigenen IP-Adresse ähnliche Routingergebnisse gefunden werden würden, würde das also bedeuten, dass alle Internet-User von A1 automatisch durch die NSA auspioniert werden würden.
Bitte daher alle Zugänge zu euren Domain-Name Servern eurer Provider prüfen :
ob in den Trace-Routes zu diesen Domain-Name Servern eine Umleitung nach USA/Denver oder ähnlich verdächtige Ziele enthalten sind.
Bitte aber für die Traceroute tatsächlich eure eigenen IP-Adresse als Ausgangspunkt zu nehmen und nicht die IP-Adresse eines Trace-Diensteanbieters im Internet.
Im ersten Schreck habe ich diesen Umstand zunächst auch selbst übersehen.
Wenn korrekte Ergebnisse (mit meiner eigenen IP-Adresse als Ausgangspunkt des Traces und nicht der IP-Adresse des Tracedienstanbieters) die gleichen Ergebnisse liefern sollten , dann wäre die ursprüngliche Zeitungsmeldung ( "Unbekannte haben.... ausspioniert" ) immer noch aktuell und ein Dauerzustand.
Mit dem Command "tracert" erhalte ich aber eine saubere Route zum Domain-Name Server der A1 :
1 <1 ms <1 ms <1 ms -IP meines eigenen Routers-
2 13 ms 8 ms 9 ms 194-166-239-254.adsl.highway.telekom.at [194.16.239.254]
3 8 ms 8 ms 8 ms 195.3.68.133
4 9 ms 7 ms 9 ms 195.3.118.170
5 8 ms 8 ms 8 ms ns1.aon.at [195.3.96.67] ein Domain-Name Server der A1
Alle IP-Adressen gehören der A1, es erfolgt hier keine Umleitung zu einem verdächtigen Server außerhalb der A1.
Es kann also zumindest hinsichtlich dieses Tests Entwarnung gegeben werden.
Ich hoffe, eure Tests zeigen ähnlich saubere Ergebnisse.
Ausgangspunkt :
Firefox stürzt seit einiger Zeit immer wieder aus unerklärlichen Grunden ( vielleicht auch unnötige/fehlerhafte Addins ) ab.
Ich habe daraufhin (unter Windows 7) den Taskmanager aufgerufen und von dort den Ressourcemonitor aufgerufen.
Im Ressourcemonitor habe ich mir die Anzahl der TCP-Verbindungen und die Veränderung dieser Anzahl über die Zeit beim Aufruf verschiedener Programme angeschaut.
Im "Ruhezustand" ( bei offenem Firefox-Browser) werden beim mir ca. 5 Verbindungen angezeigt, die aber im Extremfall auf mehr als 100 Verbindungen absteigen - ein mit verdächtig erscheinendes Verhalten.
Auf der linken Seite des Ressourcenmonitors wird zu jeder TCP-Verbindung die Lokale- und die Remote-Adresse angezeigt und (zumeist) auch ein Name des Programmes, das den lokalen Endpunkt der TCP-Verbindung darstellt.
Hier erschienen mir wieder jene Einträge besonders verdächtg, die beim Namen dieses Programmes lediglich einen Binde-Strich ( nicht festellbarer Ursprung ? ) stehen hatten.
Die Remoteadresse dieser TCP-Verbindung habe ich mir näher über einen "WhoIS-IP" bzw. den dort mit angebotenen Trace näher angeschaut und zu meiner Überraschung selbst für rein östereichische Ziele (z.B. zum Standard oder zu A1) immer eine über die USA und Denver ( vermutlich Hauptsitz der NSA ! ) geroutet TCP-Verbindung (über ca. 10-15 Hopps) gefunden.
Für mich stellte sich nun die Frage, ob dieses Routing durch Malware auf meinem PC ausgelöst wurde, oder durch "andere Umstände".
Ergebnis:
Meine (nicht ganz fehlerfreien) Untersuchungen haben ergeben, dass höchstwahrscheinlich nicht Malware auf meinem eigenen Rechner die Ursache sein dürfte, sondern bereits der Zugang zu den Domain-Nameservern (zumindest von A1) diese Umleitung auslösen dürfte.
Erst gestern habe ich auf meinem lokalen Rechner einen Root-Kit Scan und ausführlichen Virenscan durchgeführt und (hoffentlich) alle Probleme behoben. Garantie, dass nun nichts Bösartiges mehr drauf ist ist das natürlich nicht.
Anschließend habe ich über ein Smartphone mit mobilem Internet von "Drei" ebenfalls die Traceroute zu einem Domainname-Servers von A1 angeschaut und bin dabei zum fast gleichen Ergebnis wie auf meinem Stand-PC gekommen auch dort war unter zahlreuichen anderen Hops in den USA auch Denver enthalten.
Allerdings habe ich für den Trace in beiden Fällen ein WEBService im Internet verwendet. Der Trace bezieht sich also auf den Standort dieses Servers des Trace-Dienstes und bedeutet lediglich, dass dieser Dienstanbieter, bzw. alle Anfragen an diesen Dienstanbieter von der NSA mitgelesen werden.
Falls auch beim Trace von der eigenen IP-Adresse ähnliche Routingergebnisse gefunden werden würden, würde das also bedeuten, dass alle Internet-User von A1 automatisch durch die NSA auspioniert werden würden.
Bitte daher alle Zugänge zu euren Domain-Name Servern eurer Provider prüfen :
ob in den Trace-Routes zu diesen Domain-Name Servern eine Umleitung nach USA/Denver oder ähnlich verdächtige Ziele enthalten sind.
Bitte aber für die Traceroute tatsächlich eure eigenen IP-Adresse als Ausgangspunkt zu nehmen und nicht die IP-Adresse eines Trace-Diensteanbieters im Internet.
Im ersten Schreck habe ich diesen Umstand zunächst auch selbst übersehen.
Wenn korrekte Ergebnisse (mit meiner eigenen IP-Adresse als Ausgangspunkt des Traces und nicht der IP-Adresse des Tracedienstanbieters) die gleichen Ergebnisse liefern sollten , dann wäre die ursprüngliche Zeitungsmeldung ( "Unbekannte haben.... ausspioniert" ) immer noch aktuell und ein Dauerzustand.
Mit dem Command "tracert" erhalte ich aber eine saubere Route zum Domain-Name Server der A1 :
1 <1 ms <1 ms <1 ms -IP meines eigenen Routers-
2 13 ms 8 ms 9 ms 194-166-239-254.adsl.highway.telekom.at [194.16.239.254]
3 8 ms 8 ms 8 ms 195.3.68.133
4 9 ms 7 ms 9 ms 195.3.118.170
5 8 ms 8 ms 8 ms ns1.aon.at [195.3.96.67] ein Domain-Name Server der A1
Alle IP-Adressen gehören der A1, es erfolgt hier keine Umleitung zu einem verdächtigen Server außerhalb der A1.
Es kann also zumindest hinsichtlich dieses Tests Entwarnung gegeben werden.
Ich hoffe, eure Tests zeigen ähnlich saubere Ergebnisse.
mein Internetverkehr wird zur NSA abgezweigt ?
Aucun commentaire:
Enregistrer un commentaire