Freitag, 21. Oktober 2011

Nervtötende Toolbars in Browsern - Tipp!

Eigentlich kein Blogeintrag Wert. Jedoch möchte ich Euch gerne einen kleinen Tipp geben.

Das interessante Tool mit dem Namen "Toolbar Cleaner" mit knappe 750kb Grösse, hilft einem beim Internet Explorer, Google Chrome und Mozilla Firefox, unterwünschte Toolbars zu entfernen.

Link zur Homepage des Herstellers: Toolbar Cleaner

Nun fragt sich der eine, warum braucht man ein Tool dafür? Kann ja einfach in die Add-On Settings des IE oder Chrome Browser gehen und da das Zeugs deaktivieren.

Denkste! Genau beim Google Chrome, konnte ich das für mich nervende "winload.de" Toolbar nicht auffinden (in den Add-On's). Interessant dabei ist, dass ich es bereits, mit gutem Glauben, deinstalliert hatte in der Systemsteuerung (grins). Nix da, das Teil sass noch immer im Google Chrome und will sich einfach nicht entfernen lassen.

Gegoogelt und gefunden! Excellent. Die "winload" Toolbar bin ich nun los.

Hier ein kleiner Screenshot des netten Tools: 


Natürlich gibt es Tools von "ex." Sysinternals.com, wie zb. den Autoruns.exe wo man solches auch finden kann. Jedoch ist dieses Programm echt "Chic!".

Viel Spass beim Aufräumen! ;)

Montag, 17. Oktober 2011

3Ware SATA Controller on Ubuntu 11.04 x64 WebManagement with E-Mail Notification

Mein neuester Tripp ist, selfmade StorageSysteme! Kosten ein Tick mehr als eine Synology Box, jedoch ist man freier und hat dazu noch weniger Schnickschnack an board des OS's. Für mich ist Ubuntu (natürlich auch andere Linux Distributionen) das geniale OS für NFS Shares für die Virtualisierung! Vorallem laufen solche Systeme ziemlich stabil!

Zur Sache: Ich hab mir zwei Storage Systeme erstellt mit folgenden 3Ware Controllern:

Product Dokumentationen: 3ware9650SE-8LPML

Firmware/Drivers etc: 3ware9650SE-8LPML Downloads

Link zur Software - non Java : 3dm2-CLI-non-java-linux-9.5.3.tgz


Nun gut, wir loggen uns in der Console aufm Ubuntu System ein und loggen uns mit 'sudo -s' als Root ein. Als nächstes gehen wir ins zb. /tmp Verzeichnis rein und erstellen einen 3ware Ordner wo wir darin dann mit dem 'wget' Befehl die benötigte Software herunterladen. Hier im Screenshot die Befehle und der Link. Tipp: Wenn Ihr mit SSH auf das Linux verbindet, kann man auf die www.lsi.com Site gehen oder den obigen Link zur Software - non Java rechte Maustaste und Verknüpfung kopieren und danach im Putty nach dem Befehl 'wget' einfach einfügen. ;) Vereinfacht das Ganze ein wenig!



Sobald Ihr mit dem Befehl 'ls" den grünen Inhalt mit 'install.sh' erblickt, kanns mit der Installation losgehen. Dazu geben wir folgendes ein:

./install.sh --install

und drücken auf Enter. Danach erscheint zuerst ein Fenster mit dem "License Agreement" welches wir logischerweise mit 'Y' akzeptieren. Beim nächsten Fenster dann die gewünschte Funktion wählen. Ich wähle das 3DM2 with WEB interface.


In unserem Beispiel wählen wir die '0' (null) und drücken auf Enter.

Die Software wird nun installiert. Ein Reboot ist fällig, das WebManagement funktionierte jedoch auch schon ohne Reboot in meinem Falle. 

Wurde alles richtig installiert, gehts auf zur WebManagement Console mit dem Browser und zwar auf folgenden Link:

https://hostname.oder.ip-adresse:888  zb. https://storage1:888

Dann schauts so aus:


Nun loggen wir uns in das System ein und können bereits unsere Configs anschauen.

Jetzt fragt sich wohl der Eine, kann man das nicht auch noch Automatisieren, dass wenn ein Error auf dem Array ist ich auch ein Mail über den Exchange Server bekomme? Natürlich..! 3ware bietet solch ein geniales Feature! Seehr elegant! Echt!

Dazu klicken wir im Eingeloggtem Webinterface (als Administrator) auf 3DM 2 Settings und schon erscheint folgendes Fenster:

Gehen wir davon aus, dass der Exchange Server und die Domäne (AD) wie folgt ist:

Exchange IP: 192.168.1.5
Domain: contoso.com
E-Mail und Account: storealerts@contoso.com

So wird folgendes eingestellt am Controller (Beispiel):


Voraussetzung ist, dass der Storage Server Zugriff auf den DNS Server sprich 'contoso' auflösen kann!

Fazit: Genialer LowBudget Controller der mit RAID10 oder maximal 3-4 Harddisks im RAID5 Verbund gut läuft. Meine Empfehlung als Low Cost Storage eher 2 x RAID10 oder immer 3 HD's mit RAID5 und 1 Hotspare!

:)








Sonntag, 16. Oktober 2011

Staatstrojaner Entlarft - Workaround (gegenwärtig) inkl. 64-Bit Systeme

Wer stört sich schon nicht an diesem Privatsphäre Killer Tool! Genau, die Privacy geht flöten. . Eigentlich sollte man der Justiz einen Riegel schieben durch eine andere Institution, die regelt, was man darf und was nicht. Wunschdenken! Tja..


Zum Glück gibts ein paar Kluge Köpfe die dene zeigen wo es langgeht und auch die Software disassemblieren um dem Trojaner genauer zu inspizieren. Kompliment am CCC ! Habt Ihr sauber gemacht!


Zum Thema. 


Nun haben diverse Leute Angst, dass sie eventuell, obwohl das ganz normale Bürger sind und kein kriminellen Machenschaften ausüben oder jemals praktiziert haben Angst, dass sie eventuell diesen Staatsschnüffler auf ihrem Rechner inhaliert haben. (grins)


Was kann das Tool?


- Skype Gespräche mitschneiden 
- Bildschirm Screenshots alle 30 Sekunden den Beamten zustellen 
- Software installieren
- Daten Hochladen wie auch herunterladen
- Audiovisuelle Wanze - Webcam mit Audio kann mitgeschnitten werden
- Chat und Videoverkehr "live" weiterleiten


Jedoch läuft der gefundene Trojaner "nur" auf Windows 32-Bit Systemen. Da diese Kernelmoduldatei (siehe weiter unten) Datei unsigniert ist und somit auf 64-Bit Systemen, welches nur signierte Dateien unterstützt, nicht lauffähig ist (da unsigniert). Wie CCC sagt, bei einer Digitalen Signur der Dateien würde der Hersteller des Trojaners da drinn stehen. 


Hier ein Screenshot des Trojaners:







Verkleckern wollen uns die Beamten mit dem folgenden (obs auch wirklich eingehalten wird? Ist fraglich.. Ich traue niemanden!)


Das Bundesverfassungsgericht hatte im Februar 2008 die Onlinedurchsuchung zur Strafverfolgung und präventiven Zwecken unter strengen Auflagen für zulässig erklärt. Voraussetzung ist, dass eine konkrete Gefahr für Menschenleben oder den Bestand des Staates existiert. Außerdem muss ein Richter die Onlinedurchsuchung anordnen, und intime Daten müssen geschützt bleiben oder sofort gelöscht werden. Die Richter schränkten die Ausspähung des heimischen Computers damit ein und schrieben in ihrem Urteil zugleich ein neues Grundrecht fest, dass die Vertraulichkeit von Computerdaten garantiert.
Das Bundeskriminalamt (BKA) darf laut dem BKA-Gesetz von 2008 private Computer heimlich ausspähen, wenn eine konkrete Gefahr für Menschenleben oder den Bestand des Staates existiert. Der damalige Innenminister Wolfgang Schäuble kündigte nach dem Grundsatzurteil an, das BKA werde die Onlinedurchsuchung nur in wenigen, aber sehr gewichtigen Fällen im Kampf gegen den Terrorismus anwenden. (Source: http://www.manager-magazin.de/unternehmen/it/0,2828,790884,00.html )

Wisst Ihr was das Beste ist, der Steuerserver liegt in den "United States Of America". Ein angemieteter Server. Jenseits des Deutschen Rechts! Interessant nicht? Wenn schon illegal, dann eben richtig.. (Source: http://www.freak-search.com/de/thread/5799762/chaos_computer_club_analysiert_staatstrojaner )




Aber es gibt Lösungen! 




Dazu gibt es zwei Tools, welche auf 32-Bit Systeme laufen und "neu" auf 64-Bit Systemen. Anscheinend, da es niemand 100% genau sagen kann, ist es gegenwärtig nicht vorgesehen einen solchen Schnüffler in 64-Bit zu programmieren sprich, es gibt keinen auf 64-Bit programmierten Trojaner. Oder eben doch?


Hr. Remus von www.archycrypt.com ein 64-Bit Version erstellt, die mittels Heuristik versucht, den Trojaner auch auf 64-Bit Systemen aufzuspüren. Allerdings muss der Trojaner dann manuell entfernt werden (Stand: 17.10.2011)


Hier kurz die Links zu den Tools:

Nur 32-Bit:

32-Bit und 64-Bit:


Ich entnehme das wichtigste für eine manuelle Desinfektion vom Report der CCC und gehe auf die 32-Bit version ein. Die 64-Bit Version, falls es die tatsächlich geben sollte, empfehle ich das Tool von Archycrypt zu nehmen um einen Scan zu machen. (Source: http://www.ccc.de/system/uploads/76/original/staatstrojaner-report23.pdf )

Bei der Infektion werden folgende Einträge oder Files installiert die man wieder entfernt.

System absuchen:
  1. System absuchen nach folgendem

    - C:\windows\system32\mfc42ul.dll
    - C:\windows\system32\winsys32.sys
    - Regedit ausführen
    (in Suchen oder Ausführen beim Startmenu) und unter den Schlüssel
      HKEY_Local_Machine\.DEFAULT\Software\Microsoft\Windows NT\CurrentVersion\Windows
      darin ist der Wert AppInit_DLLs. Hier Achten was drinn steht (mcf42ul.dll). Bei mir ist dieser Eintrag
      leer (Windows 7 64-Bit System)

  2. Hammer Methode (Mein Vorschlag) -> Komplett ausgehender Verkehr von LAN zu WAN (auf der Firewall) die als Destination IP-Adresse 207.158.22.134 blockieren! Eigentlich würde ich dies als allererste Massnahme machen! Somit wird jeglicher Traffic unterbunden. TCP/UDP am besten. Port 1-65535!

  3. Optional könnte man auf den Managebaren Switches ein PortMirroring einsetzen, wo man dann alles auf ein Port den Traffic spiegelt und somit den Netzwerkverkehr mit einem PacketSniffer  wie zb. mit Wireshark den Verkehr des gesammten Netzwerkes untersucht. Neuere Firewall wie eine Fortinet kann man gleich auf der Firewall den Traffic mitschneiden. Am besten einen Filter setzen wo man nur nach Destination Address filtert und zwar mit der IP-Adresse 207.158.22.134

    Interessant ist der Punkt, dass im Packet (also die Kommunikation vom Infizierten Rechner zum Steuerserver in den USA) im 30 sekunden Takt immer wieder probiert sich mit dem Server zu verbinden und diese Packete haben ihre eigene Marke dabei dh. das Packet beginnt mit dem Klartext (aus den Hex in Alphabet und Zahlen umgewandelten) immer folgende Zeichen wie im Screenshot Auszug aus der CCC PDF:

Gemäss dem PDF Dokument sprich Analyse der CCC, fehlt eine Authentisierung des Trojaners. Das heisst, ein Dritter könnte sich als der Steuerserver ausgeben usw. (siehe CCC Bericht Seite 5 für weitere Details)

Lassen wir uns überraschen, was die Zeit noch so mit sich bringt sprich, was noch alles aufgedeckt wird in Zukunft... 

Noch zum Abschluss. Eine Software die ohne Authentisierung von der Justiz eingesetzt wird und dazu noch über 200000 Euro kostet, da hätte ich schon mehr erwartet! Peinlich.. Encryption for nothing! Bad....

..:: U P D A T E ::..

Im Post von Kaspersky LABs vom 18.11.2011, wird auch die 64-Bit Funktionalität bestätigt.