Security:
So haben Software-Spione keine Chance

von magnus.de

03.02.2012

In den letzten Jahren hat sich Unart ausgebreitet, dass Webseiten und Programme immer mehr über ihre Nutzer ausforschen und die Daten anschließend über das Netz versenden. Wir sagen Ihnen Schritt für Schritt, wie Sie sich vor solchen fiesen Cookies, Updatern, etc. schützen können.

Moderne Software enthält oft gleich mehrere Spionageabfragen.

Chrome, iTunes, Java oder Windows – fast alle weitverbreiteten Programme funken regelmäßig über das Internet mit ihren Herstellern. Heutzutage ist es deshalb meist weniger eine Frage, welche Tools nach Hause telefonieren, sondern vielmehr, welche es nicht tun. Denn fast jedes Programm nimmt ungefragt Kontakt mit seinem Hersteller auf, meist um auf neue Updates zu prüfen. Oder mehr. Die Inhalte der Übertragung sind meist verschlüsselt.

Bei Sicherheitsprogrammen geschieht das oft stündlich oder sogar öfter. Und fast alle Free- und Shareware-Programme rufen nach der Installation im Browser die Hompage des Herstellers auf. Auch das ist eine Form der Kontaktaufnahme, bei der der Server mindestens die IP-Adresse der Anwender aufzeichnen kann.

Es ist wohl eher eine Frage des Maßes. Wenn ich aus Sicherheitsgründen stündliche Updates meiner Virensignaturen möchte, dann muss ich in Kauf nehmen, dass das Tool sich stündlich bei Kaspersky meldet.

Für einen Updater, der nach neuen Programmversionen guckt, ist es hingegen nicht nachvollziehbar, dass er sich wie der Google Updater stündlich meldet. Wöchentlich würde reichen. Wer ein Problem mit einer Software hat, kann von Hand immer ein Update einleiten (meist unter Hilfe).

So schützen Sie sich vor spionierenden Updatern

Der Google-Updater meldet sich einmal stündlich bei seinem Hersteller. Eine stichhaltige Erklärung für diese hohe Frequenz liegt nicht vor.

Updater wie die von Google, Adobe, Apple oder Java sind eigenständige Tools, die nach Updates für alle installierten Programme eines Herstellers suchen sollen, bei Google beispielsweise für Chrome, Earth oder die Toolbar. Das klingt zwar auf den ersten Blick sinnvoll, hat für den Anwender aber gravierende Nachteile: Die Updater installieren sich eigenständig und verbleiben meist auch nach der Deinstallation aller zugehörigen Programme im System.

Google behauptet zwar in der Taskplanung: "Die Anwendung deinstalliert sich selbst, wenn sie nicht von einer Google-Software verwendet wird." Das stimmt aber nicht. Wir haben auf einem blanken System Chrome installiert und nach ein paar Tagen wieder deinstalliert. Der Updater blieb im System und das Nach-Hause-Telefonieren hörte in den folgenden Tagen nicht auf. Ebenso bei iTunes, wohingegen Java komplett aufräumte.

Ärgerlich ist ferner, dass Updater als Dienst arbeiten, mit Windows starten und so permanent aktiv sind, ob sie gerade gebraucht werden oder nicht. Die Gegenstrategie sieht wie folgt aus: blockieren in der Firewall und löschen aus dem Autostart mit Autoruns [1]. Der Anwender wird erstaunt sein, wie oft sich der Google Updater ins System gräbt.

Autoruns zeigt eine Liste aller Anwendungen und Dienste, die mit Windows starten, geordnet nach den Autostart-Orten im System: Autostart-Ordner, Registry, Dienste, Treiber oder Aufgaben. Es zeigt auch den Herausgeber der Anwendungen, sodass sich gezielt nach Google oder Apple suchen lässt.

Mit einem Klick deaktiviert der Anwender einen Eintrag, wenn er das Tool als Administrator ausführt. Dazu klickt er mit der rechten Maustaste auf das Startsymbol (zum Beispiel auf dem Desktop) und findet dann den Menüeintrag Als Administrator ausführen.

Beim Deaktivieren sollte er allerdings nicht über das Ziel hinausschießen. Viele Dienste sind für den Betrieb von Windows notwendig oder steuern als Treiber Hardware-Komponenten. Eine weitere hilfreiche Funktion von Autoruns ist das Vergleichen. Der Anwender speichert den Zustand des Systems in einer Datei, bevor er zum Beispiel Chrome installiert. Nach der Installation ruft er Autoruns erneut auf und vergleicht den neuen Zustand mit dem gespeicherten (File/Compare). Die neuen Einträge sind grün unterlegt.

Mit der Firewall stellt der Anwender fest, ob ein Updater sich noch meldet oder ob es dem Anwender gelungen ist, ihn komplett zu stoppen. Manche Updater setzen sich auch als Plug-in in den Browser, der Anwender sollte sie auch dort deaktivieren.

So schützen Sie sich vor Monster-Cookies

Autoruns findet eine Vielzahl von Updatern, die immer mit Windows starten und sich nicht anders löschen lassen.

Nicht nur Anwendungen und Updater machen lästige Spionageversuche, auch Webseiten dringen zumeist unbemerkt über Browser und deren Plug-ins in die private Sphäre des Anwenders. Besonders gefährlich ist dies für den Anwender bei Cookies, die über mehrere Seiten hinweg angelegt und ausgelesen werden, denn hier gelingt es dem Spion, ein Bewegungsprofil des Anwenders anzulegen.
Beispiele für dieses Verhalten sind Cookies von Werbebannern oder von verteilten Webanwendungen wie Google Analytics oder das soziale Plugin von Facebook. Letzteres kann sogar Surfer im Web beobachten, die nicht bei Facebook Mitglieder sind.

Hacker Samy Kamkar hat mit dem sogenannten Evercookie (samy.pl/evercookie/ [2]) nachhaltig gezeigt, wie Webseiten an ganz verschiedenen Plätzen im System Informationen verstecken, um anhand derer Besucher wiederzuerkennen. Löscht der Anwender eine Quelle, baut sich das Evercookie aus den anderen Quellen wieder zusammen.

Neben den normalen Http- oder Browser-Cookies spielen Flash-Cookies eine zentrale Rolle dabei. Sie arbeiten Browser-übergreifend, nehmen deutlich mehr Informationen als Http-Cookies auf, speichern binäre Daten und sind gerade im Werbeumfeld sehr beliebt. IE und Chrome-Anwender haben es besonders einfach, sich gegen Flash-Cookies zu schützen. Die Browser löschen sie mit der History.

Beim IE (ab Flash 10.3 und IE 8) über Extras/Internetoptionen/Allgemein/Browserverlauf beim Beenden löschen, bei Chrome über Einstellungen/Optionen/Details/Inhaltseinstellungen/Cookies und andere Website- und Plug-in-Daten beim Schließen des Browsers löschen. Das beinhaltet jeweils auch die normalen Http-Cookies. So unverantwortlich Google mit dem Updater agiert, so vorbildlich handelt die Firma beim Cookie-Management in Chrome.

Firefox-Anwender installieren das Add-on Better Privacy (addons.mozilla.org/de/firefox/addon/betterprivacy/ [3] ). Es löscht beim Ausschalten des Rechners alle Flash-Cookies und verhindert eine Reihe weiterer Spionageversuche, beispielsweise DOM-Storgae-Cookies oder Firefox-Click-Pings. Bei Letzteren bekommt der Webseitenbetreiber bei jedem Klick des Anwenders auf einen Link eine Nachricht.

Normale Http-Kekskrümel behandelt der Firefox-Anwender mit Einstellungen/Datenschutz/Die Chronik löschen, wenn Firefox geschlossen wird. Über Einstellungen legt er fest, was gelöscht werden soll, eben beispielsweise Cookies. Eine weitere wichtige Option ist: Cookies von Drittanbietern akzeptieren. Das sollte natürlich deaktiviert sein.

So schützen Sie sich vor Windows-Spionage

Das Handy-Spionage-Tool Carrier IQ lässt sich zwar aufspüren, aber nicht beseitigen, da der Anwender keinen Zugriff auf das System hat.

Windows zeigt seit jeher eine Vielzahl von Gelüsten, nach Hause zu telefonieren, aber die Tendenz ist nachlassend. Für XP gibt es das seit zehn Jahren bewährte Tool XP-Antispy (xp-antispy.org/download/). Bei Vista hat das Spionieren schon nachgelassen, aber das Betriebssystem meldet sich bei jedem Start in Redmond.

Die kleine Weltkugel in der Taskleiste zeigt, dass eine Internet-Verbindung besteht, aber auch, dass Vista Kontakt mit Microsoft hatte. Zum Beseitigen ändert der Anwender einen Schlüssel in der Registry. HKEY_LOCAL_MACHINE\SYSTEM\Current ControlSet\Services\NlaSvc\Parameters\Internet. Der Eintrag EnableActiveProbing muss auf 0 statt 1 stehen.

Bei Windows 7 kommt es beim Start nur noch zu einer DNS-Abfrage, aber Windows ruft die Adresse nicht mehr auf. Aber mit einem Sicherheits-Update, das Microsoft über das automatische Update bei allen Anwendern ungefragt installiert hat, prüft das Tool Windows Activation Technologie (WAT) die Echtheit des laufenden Betriebssystems (vormals Windows Genuine Advantage, WGA). Es deaktiviert Cracks, die die Gültigkeitsprüfung umgehen. Dazu holt es sich alle 90 Tage Informationen über neue Cracks bei Microsoft.

Wer dies abschalten will, deinstalliert das Update (KB971033) wieder. Bei neueren Windows-DVDs ist das Tool jedoch bereits enthalten. Hier muss der Anwender zu einem Tool wie RemoveWAT greifen, dessen Legalität allerdings umstritten ist. Eine weitere Möglichkeit ist, das Erwachen von WAT mit der Firewall abzufangen und zu blockieren. Ebenfalls lässt sich die Zieladresse in die Blacklist der Firewall eintragen.

Mobile Anwender ungeschützt

Ganz ungeschützt vor dem Nach-Hause-Telefonieren sind mobile Anwender. Das hat der Fall von Carrier IQ gezeigt. Hacker haben herausgefunden, dass diese Komponente in einer ganzen Reihe von Smartphones integriert ist, unter anderem dem iPhone oder HTC-Android-Smartphones.

Carrier IQ sammelt Nutzerdaten der unterschiedlichsten Art, der Hersteller musste sogar zugeben, dass Inhalte von Mails oder SMS gelesen werden können. Diese Daten verschickt die heimliche App an den jeweiligen Mobilfunk-Provider, der Carrier IQ ins System gebaut hat. Davor schützen kann sich der Anwender nicht, da er keinen Zugriff auf die Kernfunktionen des Handys hat.

Das zeigt den Nachteil geschlossener Systeme. Der Besitzer bekommt zwar vielleicht keine Hacker-Trojaner, aber er kann sich auch nicht gegen Schnüffelsoftware schützen. So etwas wie eine Firewall für Handys gibt es noch nicht und wird es in geschlossenen Systemen sobald auch nicht geben.
Für Carrier IQ und Android haben Sicherheitsfirmen inzwischen immerhin Detektoren entwickelt (z.B. Voodoo https://market.android.com/details?id=org.projectvoodoo.simplecarri eriqdetector [4] oder Lookout https://market.android.com/details?id=com.lookout. carrieriqdetector ).

Die können das Tool aber nicht beseitigen. Mobile Anwender bleiben ungeschützt.

Die richtige Einstellung der Firewall

Mit „Antwort merken“ legt der Anwender eine Regel in der Comodo-Firewall dauerhaft fest.

Die Firewall ist die allumfassende Waffe gegen Spionage von irgendwelchen Tools. Leider mit Ausnahmen: Windows Vista nimmt meistens Kontakt auf, bevor sich die Firewall komplett initialisiert hat (siehe Text). Alle anderen Spionageversuche lassen sich mit der Firewall abfangen, mal einfacher, mal schwerer.

Ein Problem ergibt sich daraus, dass viele der problematischen Updater in der Firewall von vornherein freigegeben sind, denn die Firewall-Hersteller wollen den Anwender nicht mit vielen Warnmeldungen belästigen. Der Anwender muss die Voreinstellungen also ändern und alle eingetragenen Regeln aufheben. Dann fragt die Firewall bei jedem Programm, das eine Internet-Verbindung aufnehmen möchte, ob der Anwender das zulassen will. Dieser kann dann entscheiden, ob er die Freigabe oder Sperre nur einmal oder für immer erteilen möchte.

Das gilt es nun, ein bisschen auszuprobieren. Der Anwender sperrt ein unbekanntes Programm zuerst einmal und beobachtet anschließend, ob alles funktioniert, wie es soll. Wenn ja, kann er die Regel dauerhaft anwenden. In kurzer Zeit nehmen die Warnmeldungen ab, außer wenn er neue Software installiert. Dann muss er wieder entscheiden, verliert aber nie den Überblick über die Aktivität an seiner Tür zur Welt.

Spionage in Internet-Programmen

Einen komplizierteren Spezialfall gibt es: Der Anwender muss Internet-Programme wie Browser freigeben. Mit einer Regel kann er nicht verhindern, dass die Programme gleichzeitig nach Hause telefonieren. Stoppen lässt sich das nur, wenn er mit einem Netzwerkanalyse-Tool wie Wireshark (www.wireshark.org ) herausfindet, welche Adressen das Programm aufruft. Diese trägt er dann gezielt in die Blacklist der Firewall.

Spionage vorgebeugt

Das Firefox-Plugin Better Privacy zeigt die vorhanden Flash-Cookies an und löscht sie automatisch beim Beenden des Browsers.

Antiviren-Programm: Ein aktuell gehaltenes Antiviren-Programm hilft gegen alle möglichen illegalen Trojaner und Spione. Die Updater werden hingegen durchgelassen.

Antispyware: Findet neben Würmern und Trojanern weitere Spione und Cookies, lässt Updater aber auch gewähren.

Firewall: Eine gut konfigurierte und überwachte Firewall erkennt und verhindert Spionageversuche. Achten Sie auf die richtigen Einstellungen.

Cookies: Achten Sie auf die richtigen Optionen im Browser, um Cookies kontrolliert zuzulassen.

Flash-Cookies: Chrome und der IE löschen auf Wunsch auch Flash-Cookies, Firefox-Anwender hingegen benötigen das Add-on Better Privacy. Dieses verfügt noch über weitere Anti-Spionage-Eigenschaften.

Windows: Je nach Betriebssystem sind andere, erfolgreiche Maßnahmen gegen Spionage angezeigt. Siehe den entsprechenden Abschnitt im Artikel.

Handy: Für den Netzbetreiberspion Carrier IQ gibt es inzwischen zwar einen Detektor, aber keine Abhilfe. Der Anwender ist ungeschützt, solange er eine Internet-Verbindung (auch WLAN) offen hat.

[1] http://technet.microsoft.com/de-de/sysinternals/bb963902
[2] http://samy.pl/evercookie/
[3] http://addons.mozilla.org/de/firefox/addon/betterprivacy/
[4] https://market.android.com/details?id=org.projectvoodoo.simplecarrieriqdetectoroderLookouthttps%5C://market.android.com/details?id=com.lookout.carrieriqdetector

Verwandte Artikel