Phonehome bei KPF

#0
16.04.2002, 15:33
Member

Beiträge: 137
#1 Moins!

Laut Ken http://www.rokopsecurity.de/forum/msg.php?th=2&start=15&S=93c7683a63fcd9b87b55c278b481e640
hat auch die Kerio Wall den Drang nach Hause zu telefonieren. Ich konnte das bisher noch nicht nachvollziehen. Auch eine Rule mit TCP-Block persfw.exe zündet nicht.

Was denkt Ihr?
Dieser Beitrag wurde am 16.04.2002 um 15:44 Uhr von Toska editiert.
Seitenanfang Seitenende
16.04.2002, 19:15
Moderator
Avatar joschi

Beiträge: 6466
#2 Hab noch nix dergleichen nachvollziehen können
Proxomitron sitzt auf 8080, hatte noch nie Anfragen der "Persfw.exe" bezgl einer Verbindung.
Zur Kontrolle des Netwerverkehrs muss Kerio auch auf 127.0.0.1 "lauschen".
Hier zu ein Screenshot auf http://joschs.virtualave.net/images/fff.jpg
Die zu sehenden Verbindungen der Persf.exe/Pfwadmin.exe bestehen auch,
wenn der PC nicht online ist. Auch werden stets Byte gesendet und empfangen, unabhängig vom Onlinestatus.

Um Phonehome-Aktivitäten letztendlich zu klären, müsste man nen Sniffer mitlaufen lassen.
Ich glaube nicht an Phonehome von Kerio, aber mal sehen ;)
Grüsse Josch
__________
Durchsuchen --> Aussuchen --> Untersuchen
Seitenanfang Seitenende
16.04.2002, 20:58
zu Gast
#3 Hi Toska,

war selber Kerio gegenüber mißtrauisch.Mein Beitrag "Merkwürdig" war aber
voreilig.Übrigens würde Kerio UDP:53 zum plaudern schon reichen.Ein
Registrierungsversuch macht es deutlich.Solange aber sich die FW selber
zuverlässig blocken läßt und das Popup-Fenster den Verbindungsversuch
anzeigt scheint alles i.O. zu sein.So dumm wären die von Kerio auch nicht.
Ein guter Sniffer der alles aufzeichnet wäre natürlich der bessere Beweis.
Eine andere Möglichkeit(leider nicht so Aufschlussreich),wäre für KPF.exe
eine erlaube TCP/UDP-Regel zu erstellen und Allert aktivieren.

Gruß,
Ajax
Seitenanfang Seitenende
16.04.2002, 22:08
Member

Beiträge: 67
#4 Moin ihr,

die Kpf telefoniert meines Wissens definitiv nicht nach Hause:


kommt zu Stande, da die Firewall mit der Administrationsebene kommunizieren muss; (ist eigentlich schon seit der ersten Version der Tiny so ;) )

Die Firewall selbst sitzt als Low Level Treiber vor dem Windows TCP / IP Stack im System und könnte folglich Phonehome sehr viel geschickter realisieren - macht sie aber nicht ;)

Gruß
Ando
Seitenanfang Seitenende
17.04.2002, 01:48
Moderator
Avatar joschi

Beiträge: 6466
#5 Danke für die schön in Worte gefasste Erhellung der Sachlage ;)
War auch mein Gedanke, dass falls ein Phonehome gewünscht wäre es
sicherlich so gemacht wäre, dass der Anwender nichts merkt.
(Gähhn)...Josch
__________
Durchsuchen --> Aussuchen --> Untersuchen
Seitenanfang Seitenende
19.04.2002, 23:24
zu Gast
#6 -- edit Bild entfernt ;) - sorry --

sowie ich das sehe ist das doch insgesamt nur eine lokale Verbindung, oder; von Phonehome kann hier gar keine Rede sein.

Wäre auch ziemlich schlecht fürs Image von Kerio ;)

Grüsschen
Knolle
Dieser Beitrag wurde am 20.04.2002 um 16:19 Uhr von Lukas editiert.
Seitenanfang Seitenende
20.04.2002, 03:48
zu Gast
#7 Hallo Ihr Experten,
Vielleicht solltet Ihr Euch mal den Beitrag erst einmal durchlesen. Tosca hat doch sogar einen link dorthin gesetzt. Denn anscheinend habt ihr keinen blassen Schimmer von dem was ich dort geschrieben habe. Und Knolle wüßte jetzt auch was auf dem Port 65535 bei mir auf dem rechner auf listening steht. Aber wenn man sich nicht einmal die Mühe macht zu recherchieren, dann kann natürlich kein brauchbares Ergebnis rauskommen.

Ken
(rokop-security)
Seitenanfang Seitenende
20.04.2002, 04:42
zu Gast
#8 ...und hier noch die Zustatzinformation, welche bei der "Diskussion" unterschlagen wurde. Ich zitiere mich selber (ist auch auf der Originalseite von welcher der Screenshot verlinkt wurde):

"Hit0kiri ist der Name meines Rechners. Auf localhost port 65535 hört Proxomitron Verbindungen ab, dieser ist auch als Standardproxy in der Systemsteuerung eingetragen"

Ich glaube, dem brauche ich nichts mehr hinzuzufügen.

Ken
Seitenanfang Seitenende
20.04.2002, 11:26
zu Gast
#9 Hi Ken,

Okay, ich bin trotzdem immer noch davon überzeugt, das Kpf nicht nach Hause telefoniert.

Ich weiss, das die Autoupdates über Port 80 gemacht werden, was bei Dir aber anscheinend deaktiviert war; Bug in Kerio?

Wenn du nicht das meinst, was Ando oben beschrieben hat, wäre es toll, wenn du es schaffst diese Meldung noch einmal zu reproduzieren; der Admin in unserem Netzwerk könnte das nämlich mitloggen.

Grüsschen
Knolle

Übrigens, die Rokop Seite ist wirklich schön geworden, und einer meiner Favouriten Viren Seiten.
Seitenanfang Seitenende
20.04.2002, 13:51
zu Gast
#10 ich hab nen packetsniffer drangehängt.
folgendes ergebnis:

Code


[b]I. wenn autoupdatefuntkion: on[/b]

Udpà dns(53):
0.0.0.0.in-addr.arpa wird an dns gesendet und kommt zurück
diese adresse wird gefragt: updates.tinysw.cz

tcpàhttp(80):

POST http://updates.tinysw.cz:80/check.php HTTP/1.0
Content-Type: application/x-www-form-urlencoded
Host: updates.tinysw.cz
Content-Length: 156
Connection: Close
Cache-Control: no-cache

product=PF&maj=2&min=1&rev=4&beta=F&os=Windows+98+++&ReminderId=46613&ReminderAuth=963339606& [color="red"]=>[/color]
locationid=0x0807&syslangid=0x0807&timezone=%2B0100&want_beta=0HTTP/1.1 200 OK
Date: Sat, 20 Apr 2002 11:31:36 GMT
Server: Apache/1.3.22 (Unix)  (Red-Hat/Linux) mod_ssl/2.8.5 OpenSSL/0.9.6b DAV/1.0.2 PHP/4.0.6 mod_perl/1.26
X-Powered-By: PHP/4.0.6
Connection: close
Content-Type: text/html

ReminderId='46613'<BR>
ReminderAuth='963339606'<BR>
NewVersion='no'<BR>

[b]II. diese funktion: off:[/b]
Udp --> dns(53):
0.0.0.0.in-addr.arpa wird an dns gesendet und kommt zurück


im fall I werden daten über das betriebsystem+zeitzone gesenden, was man auf den ersten blick sieht. dies wurde aber von dem user gewünscht, da autoupdate fkt. on ist.
im 2. fall, wo diese fkt. nicht gewünscht wird, werden auch keine daten übertragen, sondern nur der dns gecheckt.

ich denke also, dass keine homephone situation vorliegt. und wenn die programmierer eine solche funktion wollten, könnten sie diese so implentieren, dass sie sicherlich schwehrer du detektieren ist.

einschränkend muss gesagt werden, dass hier nur der networktraffic über eine kurze zeit, während start und schliessen der firewall erfolgte.

benutzte version: KerioPersonalFirewall 2.1.4 (15.04.02); driver version 3.0.0 (15.04.02)
unter windows 98. keine hinweise auf fehlerhafter betrieb der firewall

mfg
error
Seitenanfang Seitenende
20.04.2002, 13:56
...neu hier

Beiträge: 5
#11 btw: habmich jetze registriert :D

Seitenanfang Seitenende
20.04.2002, 15:39
Moderator
Avatar joschi

Beiträge: 6466
#12 bin hier zwar nicht der "Hausherr", aber: Wilkommen >Error< ;) .

Ein paar Worte an Ken: Nach deinen Worten (im Rokop-Forum) scheint es für Dich ziemlich festzustehen, dass KPF nach Hause telefoniert.
Vielleicht bist Du trotzdem daran interessiert, den Sachverhalt weiter aufzuklären. Es wäre sehr interessant, welche Einstellungen für Proxomitron in deinem Ruleset festgelegt sind. Jede Einzelne wäre dienlich. (Hast Du evtl auch Rules für die Persfw.exe vorgenommen...etc.)
Das von Dir abgebildete Fenster sagt für sich allein genommen recht wenig. Es kann auf Grund verschiedenster Systemparameter zustandekommen.
Ich verwende selbst Proxomitron und hatte noch nie irgendwelche "listenings"
wie Du sie beschreibst, desweiteren dieselben Ergebnisse wie >Error< bezgl Paketsniffer, auch über längere Zeiträume.
Grüsse, "Experte"-Josch ;)
__________
Durchsuchen --> Aussuchen --> Untersuchen
Seitenanfang Seitenende
20.04.2002, 21:26
zu Gast
#13 Hi,

Ken's Screenshot ist eindeutig (klare Erklärung warum dieser Port!!).Gute Frage.Warum wollte sich KPF verbinden?War es ein/e Ausnahme?-Fehler? Konnte selber nichts feststellen und scheinbar lässt sich die Wall auch problemlos blocken.Haben auch andere ähnliche Erfahrungen gemacht? So lange kein geheimer Datenaustausch nachgewiesen werden kann, wird es bei
Vermutungen bleiben.(Wenn schon Homephone dann bitte an die FW vorbei damit man's nicht gleich merkt und dann sich selber noch gleich auch anzuzeigen, eine Frechheit) So lange Windows selber der netteste und meistbenutzteTrojaner ist, werden uns solche oder ähnliche Themen auch in die Zukunft immer wieder beschäftigen(lach).

In diesem Sinne,
Ajax
Seitenanfang Seitenende
21.04.2002, 00:43
...neu hier

Beiträge: 5
#14

Zitat

´Ajax postete

Ken's Screenshot ist eindeutig (klare Erklärung warum dieser Port!!)

lol?
eindeutig?
der screen zeig rein gar nichts
wenn man tiny schon länger benutzt sollte man wissen, das dies firewall sich selber connect, das hat mit der engine zu tun und sicher nichts mit phonhome oder ähnlichem.
klare erklärung warum dieser port ??
....??

nur nochn denkanstoss:
eine neue software, die sich abgespalten hat von ner alten und sich neu etablieren muss, die zudem noch mit security zu tun hat, tut sicher NICHT eine phonehome-funktion impletieren, weil sie davon ausgehen muss, dass ein jemand das mittels packetsnifffer rausbekommt und dann is das immage der neuen software relativ schnell im ar***.
darum sind alle entwickler so blöd und integrieren spyware in ihre securitysoft

my 2 cents

error
Dieser Beitrag wurde am 21.04.2002 um 12:10 Uhr von error editiert.
Seitenanfang Seitenende
21.04.2002, 01:46
Member

Beiträge: 67
#15 mh, ich habe das Gefühl, Ken und Error vergreifen sich hier ein wenig im Ton ;) - wär schön wenn ihr eure Meinung ein wenig freundlicher und mit etwas weniger Kampfgeist einbringen könntet.

*Moderatorenstatus zu Kopf steig ;)*

Gruß Ando
Dieser Beitrag wurde am 21.04.2002 um 01:52 Uhr von Ando editiert.
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: