(MICROSOFT, WIR LIEBEN DICH) MS-Spionage...
Santa
gibt es außer dem noch andere rahmenstyles???
Ausser none, hidden, dotted, dashed, solid, double, groove, ridge, inset und outset gibts via CSS nix anderes.
Hallo Santa!
Ich hätte deinen Text gelesen, kann es aber nicht, da deine Formatierung es mir unmöglich macht.
Grüße
Thomas
Hi Santa,
Respekt. So einen Blödsinn habe ich bisher nicht mal im Forum vom heise Newsticker gelesen.
Gruß,
Martin
Hi Martin,
was für einen Blödsinn meinst Du? Ich dachte, es wäre allgemein bekannt, daß ALLE
Versionen der beiden großen Browser Angaben über installierte Programme und
Einstellungen des Systems in unregelmäßigen Abständen weiterleiten und somit rein
theoretisch Microsoft genaustens Bescheid weiß, wer welche Programme auf seinem
Rechner hat und ob diese registriert sind --- rein theoretisch natürlich, denn bei so einer
großen Anzahl von Usern ist die Überprüfung im einzelnen wohl schwer machbar.
Ich hab davon jedenfalls schon vor weit mehr als einem Jahr gelesen.
Wenn die Leute vom Realplayer schon checken, welche Musik du hörst, wenn in deiner
Windows-Registry JEDE einzelne URL steht, die Du aufrufst......glaubst Du dann nicht,
daß Microsoft sich entgehen lassen würde zu überprüfen, ob deine Programme
registriert sind?!
Big Brother ist watching us, aber solange es keine Registrierungspflicht gibt, kann er
uns alle mal am Ar......., oder?
"The worst thing about censorship is [deleted by censorship bureau]."
Gruß, Dirk.
Hi Dirk,
was für einen Blödsinn meinst Du?
Alles, angefangen von den temporären Dateien bis zum Schluss. Ich habe die Programme drauf, von denen die Rede ist. Die einzigen temporären Dateien mit GUIDs als Dateinamen sind die von der Software, die ich mitentwickle. Nein, die werden auch nicht übertragen, die sind für eine Vorschau im Browser.
Ich dachte, es wäre allgemein bekannt, daß ALLE
Versionen der beiden großen Browser Angaben über installierte Programme und
Einstellungen des Systems in unregelmäßigen Abständen weiterleiten
Es war zwar mal möglich, aber das Loch ist schon lange gestopft. Von Netscape habe ich das ehrlich gesagt nie gehört.
Wenn die Leute vom Realplayer schon checken, welche Musik du hörst,
Deswegen habe ich den RealPlayer deinstalliert. CometCursor kommt mir aus dem gleichen Grund nicht auf den Rechner.
wenn in deiner
Windows-Registry JEDE einzelne URL steht, die Du aufrufst......glaubst Du dann nicht,
daß Microsoft sich entgehen lassen würde zu überprüfen, ob deine Programme registriert sind?!
Doch, das glaube ich tatsächlich. Weil es einen schweren Schaden für MS bedeuten würde, wenn es rauskommt. Und das würde es. Ausserdem interessiert MS die Registrierung nicht so sehr, wie die Benutzung lizenzierter Programme.
Gruß,
Martin
Moin allerseits,
was für einen Blödsinn meinst Du?
Alles, angefangen von den temporären Dateien bis zum Schluss.
also, ich habe von diesen Dateien auch ein paar hundert, alle mit 0 Bytes. Und nu?
(Übrigens haben die alle 0000 statt 0049.)
Cheatah
also, ich habe von diesen Dateien auch ein paar hundert, alle mit 0 Bytes. Und nu?
Hi Cheatah,
löschen. Schaden tut das jedenfalls nicht.
Gruss,
Carsten
Hi,
Und nu?
löschen. Schaden tut das jedenfalls nicht.
*g* so meinte ich das eigentlich nicht... ich wollte mehr von Martin wissen, ob er seine Argumentenkette daraufhin immer noch aufrechterhalten will ;-)
Cheatah
Hi Cheatah,
*g* so meinte ich das eigentlich nicht... ich wollte mehr von Martin wissen, ob er seine Argumentenkette daraufhin immer noch aufrechterhalten will ;-)
achso. Ja klar.
Gruß,
Martin
Hi,
ich wollte mehr von Martin wissen, ob er seine Argumentenkette daraufhin immer noch aufrechterhalten will ;-)
achso. Ja klar.
im Ursprungsartikel steht etwas davon, daß das Phänomen bei Intel-Rechnern nicht sichtbar ist. Hast Du einen solchen?
Cheatah
Hi,
ich finde es bedenklich, wie selbstverständlich für die meisten dieses threads es ist, dass MS sowas nie und nimmer machen würde.
Wie auch immer, das ursprungs-posting hat seinen ursprung nicht in diesem forum, es wurde am 25. juni schon in einem anderen forum gepostet. dort steht auch der "teil 2" drin. nachzulesen unter http://62.26.211.140/fp/kommentare.shtml#961912631
ciao,
rob.
Hi Rob,
ich finde es bedenklich, wie selbstverständlich für die meisten dieses threads es ist, dass MS sowas nie und nimmer machen würde.
und ich finde es bedenklich, wieviele Verschwörungstheorien über MS ausgebrütet werden. Von Intel, AOL, Oracle und anderen redet aber kein Mensch.
Gruß,
Martin
Hi Cheatah,
im Ursprungsartikel steht etwas davon, daß das Phänomen bei Intel-Rechnern nicht sichtbar ist. Hast Du einen solchen?
daheim einen AMD K6-2, im Geschäft einen Pentium-II (Deschutes).
Gruß,
Martin
Hi Martin,
Ich dachte, es wäre allgemein bekannt, daß ALLE
Versionen der beiden großen Browser Angaben über installierte Programme und
Einstellungen des Systems in unregelmäßigen Abständen weiterleitenEs war zwar mal möglich, aber das Loch ist schon lange gestopft. Von Netscape habe ich das ehrlich gesagt nie gehört.
Ich hab's so gehört. Die Uni Münster hat sich wohl mal ne zeitlang damit beschäftigt oder hatte
dort irgendjemanden, der Ahnung davon hat. Inzwischen steht's aber leider nicht mehr auf deren
Website. Dafür andere interessante Dinge, die aber fast alle zu Heise online linken.
Falls es dich interessiert : http://www.uni-muenster.de/WWW/Sicherheit.html
wenn in deiner
Windows-Registry JEDE einzelne URL steht, die Du aufrufst......glaubst Du dann nicht,
daß Microsoft sich entgehen lassen würde zu überprüfen, ob deine Programme registriert sind?!Doch, das glaube ich tatsächlich. Weil es einen schweren Schaden für MS bedeuten würde, wenn es rauskommt. Und das würde es. Ausserdem interessiert MS die Registrierung nicht so sehr, wie die Benutzung lizenzierter Programme.
WENN es rauskäme, unter aktuellen Bedingungen, dann ja. Wenn sich allerdings mal die Gesetzes-
lage ändert und Programme registrierungspflichtig werden, dann wird MS damit nicht mehr lange
fackeln. Aber so wird's wohl nicht kommen, deshalb ist's mir ja auch wiegesagt sch...egal, wer alles
weiß, welche Programme ich drauf hab.
Aber zusammengefaßt : MS HAT die Möglichkeit, dich zu überprüfen, MACHT es sicherlich auch
stichprobenartig, aber kann dies leider nicht verwenden.
Gruß, Dirk
Hallo Leute,
nachdem mir am Freitag morgen mein 19-Zoll Monitor abgefackelt ist, habe ich eigentlich
gar keine Lust mehr dieses Script über Micisaft zu schreiben, aber.....ich versuche es mal.
Nun gut.
Wer hat Visual Studio 98, oder Frontpage 98/2000, Office 2000, Win2000Pro, IE5.x auf
seinem Rechner installiert ?? Sehr schön..., oder Pech gehabt ?
Fangen wir bei.....egal was an und picken uns MDM.EXE, das immer in
das System - Verzeichnis von Windows bzw. System32 - Verzeichnis von NT installiert
wird.
Ein Eintrag in der Registry erfolgt unter HKEY_USER_LOCAL_MACHINE/Software/Microsoft/
CurrentVersion/RUN mit Namen ---- Machine Debug Manager ! Gefolgt von dem Pfad !
Im Windows Verzeichnis gibt es dann noch sinnigerweise eine .ini Datei (mdm.ini)
mit einem recht pfiffigen Eintag: Dynamic Debugging. Übersetzung vorweg ins Deutsche:
Dynamisches Auspionieren eines Users.
Der Haupttäter ist MDM nicht, wohl aber ein "Beschleuniger" in Sachen Lesen und Schreiben,
und ein Erster schneller Initiator.
Also, Mdm.exe gibt über Fensterbotschaften den "Befehl" an Frontpage vX.x in die Registry zu
gehen und dort installierte Programm zu "finden", auszulesen und zwar Username und Lizenz,
bzw, Seriennummer ! So geschehen schreibt MDM (falls nicht vorhanden macht das Frontpage
selber) zwei Schlüssel als .tmp Datei in das Windows Verzeichnis. Beispiel:
F200BBE1-DCC3-12F3-CC43-0049245E1AW9.tmp
F100BBB3-DGH5-13F6-GA43-0049245H1AX9.tmp
Die Größe der Dateien ist gleich NULL. Es wird immer immer Zweiertakt ins Windows Verzeichnis
geschrieben.
Jetzt ist da aber kein Programm, daß sofort diesen Schlüssel überträgt, nein...nichts.
Es wird kein Server oder was auch immer angesteuert.... es passiert erst mal gar nichts !
Dieses beiden Dateien stehen da solange bis Du im IE eine neue URL eingibst, oder einen
Link anklickst, dann aber passiert folgendes:
Die beiden Schlüssel werden eingetütet und "reiten" auf der IE Engine als fragmentierte
Packete, vielleicht sogar mit reverse Bit, ins Netz !
Nachdem die Schlüssel raus sind, werden sie auch gleich wieder gelöscht !!!
Tja, wenn‚s funktioniert..., bei mir funktionierte das auch nicht, und so hatte ich nach
einer Weile ne ganze Menge Registry - Schlüssel in meinem Windows Verzeichnis
stehen. Ich wußte nur nicht woher, warum....hmm keine Ahnung ?!
Das was jetzt folgt ist leider Spekulation, da bisher kein Provider bereit war mit mir
zusammenzuarbeiten...zuviel Arbeit und Nerv, und Andere waren einfach in ihrer Fantasie
dermaßen beschränkt....kann ich mir einfach nicht vorstellen, was nicht sein darf,
kann nicht sein....und Tschüss !
Die fragmentierten Packete werden im Router(Provider) entschlüsselt unter dem Motto:
Na ihr Kleinen, ihr gehört aber woanders hin, wollen doch sehen WOHIN ??
Zwei Schlüssel von der Länge her gleich NULL, mit Ziel IP versehen, werden dann
von dem Router an die "Richtige" Adresse verschickt !!, und drin steht Usernamen
inklusive Seriennr. bzw, Lizenz !
Schaut Euch die Schlüssel mal richtig an...genau... so ziemlich am Ende kommt
0049....das ist in jedem der Schlüssel, die ich abgefangen habe enthalten. 0049 =
Deutschland !
Ich habe das alles per Zufall mitbekommen, da ich kein Intel Prozessor habe. Auf Intel
Prozessoren, wie ich das bei Freunden und Bekannten gecheckt habe...ist absolute nichts
zu sehen, geschweige denn zu bemerken ! ABER....es passiert !!
Ich hatte dann vor einiger Zeit ESAFE v2.0 ( nehmt das bloß nicht, ist letzlich Müll, erst recht Esafe
Protect v2.2 ) installiert, nur um herauszufinden, wie das Proggie arbeitet (beschissen).
Er fragte mich jedoch urplötzlich, ob ich es zulassen möchte das Frontpage an der Winzip
Adresse XX Usernamen und Seriennummer lesen und schreiben darf ?
Ich war echt baff ? Wie bitte ?
Ich klickte natürlich auf NEIN ! Beim nächsten Klick ins WWW, poppte das Teil schon wieder auf
und fragte mich ob ich es gestatten würde, das Frontpage an der Staroffice Adresse xx den User-
namen und die Serial lesen darf ? Nein verdammt nochmal, was ist hier denn los ?
Beim übernächsten Klick fragt mich Esafe schon wieder, ob Frontpage Norten Utilities Adresse xx
lesen darf... und so ging das weiter und weiter und weiter.
Ich war völlig von der Rolle und dacht erst an einen Trojaner, aber nein es sollte doch viel besser werden !
(Hab 4 verschieden Virenscanner und drei Troja Scanner durchlaufen lassen ?! - ......nix, absolute Fehlanzeige)
Im übrigen, bei Esafe v2.2 haben die doch tatsächlich den "Fehler", die Lesearien aufzudecken
beseitigt ! Wenn man mal sieht woher und wie nah Esafe Microsoft steht, dann ist das kein Wunder !
Also, nehmt das Teil nicht, denn es hilft nicht, weder als Firewall noch als Viruskiller !
Wer Esafe v2.0 haben sollte, der kann sich doch durchaus den Spaß machen und selbst
herausfinden wie und was da so passiert ! Voraussetzung ist natürlich die Installation der oben
angegebenen Programme.
Ein guter Firewall der immerhin alles in dieser Beziehung mitbekommt ist Secure4u v4.2 !
Ein Firewall der aber erst gelesen und verstanden werden will, bevor man ihn installiert,
denn der schützt gleich die Registry, und wenn ihr Progs installieren wollt, dann gibt schon derbe
Probleme. Aber....er verhindert das Lesen und das Schreiben der Schlüssel und das ist un-
bestritten ein Vorteil. Wenn ihr Secure4u nicht installieren wollt, weil zu kompliziert, dann gibt
es noch eine ganz andere Abhilfe ! Folderguard v4.10, jedenfalls bei mir, der 4.11 stürzt immer ab.
Ihr konfiguriert FG v4.10 einfach so, das keine Lese und Schreibzugriff auf Verzeichnisse wie
Visual Studio 98, Microsoft Frontpage möglich sind. In der Tat, das Ganze hört dann auf, zwar versucht
rpcss.exe immer noch Auswege, zuletzt muß sogar der WindowsKernel ran, aber es läuft nichts mehr in
Punkto Schlüssel lesen...schreiben !!
Der Tat dringend verdächtige und erwischte Dateien und Funktionen sind:
rpcss.ex
mdm.exe
fp98win.exe
fpexplorer.exe (ich glaub so heißt der Frontpage 98, benutze ihn lange nicht mehr)
windows Explorer.exe
DCOM Service (IE5 Internet Explorer)
DCOM Service (Service himself....Achtung Port 135) Sperren mit Atguard !
Mdm.ex ist unter Windows2000Pro im übrigen als DCOM SERVER deklariert.
ActiveX Technologie von Micisaft setzt hier auf, na ja auch unter Win9x.....natürlich.
Also, Ihr könnt ohne Probleme, erst den Task beenden, dann aus der Registry den Eintrag
löschen, MDM.EXE aus dem Windows/System Verzeichnis löschen ! Kein Problem,
denn alles bleibt stabil und läuft ohne Macken weiter ! Bei Win2000Pro gibt es nur ne kleine
Fehlermeldung, daß der DCOM Server/Service nicht gestartet werden konnte. Na ja nun, einfach
unter Dienste das Ding auf manuell setzen, gell !
Allerdings und ohne daß Ihr es verhindern könnt, gehen DISTRIBUTED COM SERVICES unter
Win200Pro doch ins Netz und es findet auch einiges an Übertragung statt. Man kann das Ganze
zwar mit Zonealarm verhindern, dann gibt es aber auch keinen Traffic mehr unter WinNT.
Einzige Abhilfe unter Win2000Pro ist SECURE4U !!
Micisaft ist mit dem neuen Betriebssystem doch etwas "genauer" und brutaler, wenn es um Users
Identität und was er so alles auf dem Rechner hat geht.
Hmm, es ist 7.00 Uhr und ich tue mich schwer weiter zu schreiben. Außerdem habe ich das Gefühl,
daß mein Script nicht die Sprache findet, wie ich eigentlich will.
Alles ein bißchen durcheinander, entschuldigt bitte.
Also, bevor ich in diesem miserablen Stil weitermache, möchte ich das für heute erst einmal beenden,
und sage halt einfach, daß das hier TEIL 1 ist. Okay ?!!
Teil 2 folgt dann die Tage......ein bißchen geordneter und klarer !
Eines noch zum Schluß des Teil 1: Ich fahre Conseal Firewall, Atguard und Internet Guard Dog von Mcafee,
und ein paar "Teile", die ich hier nicht nennen will.
Internet Guard Dog ist ein sehr guter Apps Firewall und unterbindet jegliche Kommunikation von
Programmen, die einfach ungefragt ins WWW wollen(rpcss.exe, mdm.exe, explorer.exe gehören auch dazu).
IGD erkennt sehr viel mehr Programme, die ins Netz wollen, als Atguard. Blackice zum Beispiel.
Während Atguar sich nicht rührte, fragte mich IGD ob es OK ist das das Proggie nach Hause
telefonieren will ?!! Nein, natürlich nicht und ich konnte den ganzen IP Adressraum, den Blackice
ansteuern wollte sperren ! Ihr habt also die Möglichkeit sogar direkt von Programmen angesteuerte
IP Adressen per Namen oder IP zu sperren. Einmal gesperrt gibt es keine 2! Meinungen !
Bei Internet Guard Dog könnt ihr sogar die 0190 Nummer sperren, den IGD paßt sogar auf, wenn
ein Proggie mal eben so jemanden anwählen will !
Das heißt also, das IGD sogar auf Hardware Ebene aufsetzt und aufpasst (mchook.dll)
Tja.., letztlich habe ich einen Rat an uns ALLE. Ich glaube schon, daß ich einen Rat geben kann,
denn ich habe seit 1994 mit dem Internet zu tun. Ich hab mich noch unter DOS bei Compuserve
eingewählt. Die "Welt" war zwar etwas kleiner, aber die "Luft" dafür noch "reiner", nicht Ecommerce
verpestet und Micisaft konnte Internet noch nicht mal buchstabieren !
Der Rat: Einen extra PC, der nur für das Internet da ist.
"Sauber und ordentlich", auf dem NICHTS, außer ein kleiner Proxy und Firewall‚s installiert sind.
(Windows95/98 ohne IE; mit Jana, Atguard, Conseal, IGD !...noch besser: LINUX !)
Sollte es troztdem jemand schaffen Infos zu bekommen, RechnerNamen, Usernamen..etc., mit einem
User PC der da heiß: IDIOT.....; und der Username: LITTLE IDIOT....was kann man damit anfangen.....?
Genau.....gar nichts !
Hallo,
ich würde empfehlen, deine Vermutungen auf eine kleine Homepage hochzuladen und eine Kontaktadresse anzugeben (kann ja über einen Freemailer sein z.B.). Darüberhinaus müßten sich Experten auch einmal genau den Weg anschauen, den du gegangen bist, um das alles reproduzieren zu können. Denn so ist es erst einmal nur unverifizierbares Gelaber. ;-)
Grüße,
Besim
hallo
hört sich ja alles interessant an obwohl nicht bestätigt und außerdem kenne ich mich in solchen sachen sowie so nicht aus.
aber warum betreibst du solchen aufwand um dein win system zu
schützten wenn du doch einfach auf linux umsteigen könntest?
grüße FICHTL
Hallihallo,
also so einen Schwachfug habe ich hier schon sehr, sehr lange nicht mehr gelesen!
Jeder normale Programmierer weiß, was "Debug" bzw "Debugging" heißt. Nämlich das Überprüfen von Programmteilen auf Fehler und nichts anderes.
Ein Auszug aus dem Langenscheidt:
de·bug [di:'bug] Den Defekt oder Fehler beheben; Einen Raum entwanzen
Das ist genau das Gegenteil von dem, was du hier schreibst :)
Wenn eine Datei 0 Bytes groß ist, kann sie weder Bits, noch Datenfragmente, noch Seriennummer oder Lizenz enthalten. Das einzige, was übertragen werden kann, ist die Datei mit 0 Bytes. Und was hat das zu bedeuten? Genau, nix!
Übrigens darfst du die "Schlüssel-Dateien" auch löschen! Da passiert nämlich genauso wenig, wie wenn sie drin sind.
BTW, jedes Programm, das was mit der WinAPI zu tun hat, kann als DCOM Server dienen und ist auch als solcher deklariert.
Wie gesagt, so einen Schwachsinn von Dummfug hat's hier schon lange nicht mehr gehabt.
Deinen zweiten Teil kannst du dir wirklich sparen!
Grüße,
Florian Auer
P.S: Irgendwie klingt das ganze hier nach Werbung für McAfee