PureBoard

Hallo zusammen,

ich habe gerade eine Entdeckung gemacht, die bei mir die Frage aufwirft, wie stark der Service Virustotal.com mit den AV-Herstellern zusammenarbeitet. Zum Hintergrund, mal ein klein weniger weiter ausholen:

Eine Bekannt geht in Kur, für Email etc. nimmt sie ihr eigenes Notebook mit. Das Problem bei der Geschichte ist, dass ihr in der letzten Kur vor 2 Jahren ihr Notebook gestohlen wurde. Nun habe ich in den letzten Jahren öfters Nachrichtenmeldungen wie diese hier gelesen:
http://de.wikinews.org/wiki/Computerdie ... kl%C3%A4rt

Ok, Boinc selbst kommt zum Einsatz auf dem Notebook nicht infrage, da es nicht gerade besonder "Akku-Verträglich" ist. Aber das Prinzip selbst hat mir eigentlich gefallen und da ich im Prinzip ja nur eine etwaige IP-Adresse brauche, war mein Gedanke der, dass ich ein kleine PHP-Schreibe, welche die IP-Adresse und einen ggf. als Variable übergebenen Rechnername zusammen mit dem aktuellen Timestamp in eine Tabelle schreibt. Passend dazu ein kleine PB-Programm,welches besagtes Skript alle 10 Minuten aufruft. Letzteres habe ich mit ReceiveHTTPFile realisiert, da GetHTTPHeader die Protokollierung im Skript nicht ausgelöst hat, aber das nur als kleines Detail am Rande...

Da man ja nach diversen Beiträgen hier im Forum weiss, dass verschiedene AV-Programme nicht immer gut mit PB-Programmen können, habe ich mein fertiges Programm bei virustotal.com hochgeladen und testen lassen. Das schöne daran, Avira hat nicht angeschlagen, dafür aber Symantec, BitDefender, GData und noch eines, das ich nicht kenne. So weit so gut. Danach habe ich beim Notebook meiner bekannten getestet, wie ich das ganze am Besten ins System einbinde (soll ja automatisch gestartet werden ...), da sind mir auf einmal in der Protokoll-Tabelle der Datenbank 23 fremde Einträge, welche nicht von meinem Programm verursacht wurden, aufgefallen. Soweit wäre das ja nicht schlimm, denn auch wenn ich sowohl in den Meta-Tags wie auch in der Robots.txt den Suchmaschinen, das indizieren der Seite untersagt habe, weiss ich von anderen seite, die ich betreibe, dass es immer wieder Bots gibt, die sich nicht daran halten. Das wirklich komsiche, was jedoch meine Neugirde geweckt hat, war die tatsache, dass die Variable für den Computer-Namen jeweils gesetzt waren, d. h. der Aufrufer musst genau wissen, welchen Parameter er zu übergeben hat. Das kann er jedoch nur, wenn ihm entweder mein PHP-Skript oder mein Programm zur Verfügung stehen. Daher habe ich mal gesucht, auf wen die IP-Adresse registriert ist und Bingo, es ist eine feste IP, welche auf Sunbelt registriert ist....
Für mich sieht es also zunächst so aus, als würde Sunbelt mein kleines PB-Programm vorliegen. Sehe ich nicht als schlimm an. Frage mich jedoch, da hier öfters zu lesen dass hier doch wohl die meisten ihr eigenen Programme regelmässig mit Virustotal.com testen, warum immer wieder die AV-Programme probleme mit PB-Programmen haben.

Ausserdem würde es mich interessieren, ob andere Leute hier ähnliche Erfahrungen gemacht haben?

Und ja, bevor hier jemand wegen der IP-Speicherung auf die Idee kommen könnte, dass das gegen den Datenschutz verstösst, hier noch ein kleiner Hinweis dazu:
- Die URL ist prinzipiell nur meinem kleinen PB-Progamm bekannt
- Die Indizierung durch Suchmaschinen ist durch robotos.txt und Meta-Tags "verboten" worden
- Das PB-Programm wird nur auf einem einzigen PC mit ausdrücklichem Einverständnis der Eigentümerin betrieben (und weil es kein Virus ist, hat es natürlich auch keine Algorithmen zur Selbstreproduktion )
- Das Protokolierungs-Skript liefert keinen Inhalt, es ist daher auch unwahrscheinlich, dass sich einer zufällig auf die Seite verirrt.
- Auch im Internet gibt es das sog. "virtuelle" Hausraus, es kann daher jeder ausser meiner Bekannten die Seite als "Betreten verboten" ansehen.
- Es sind generell nur die Einträge von Interesse und entsprechend werden auch nur die aufgehoben, welche einen angegebenen Rechnernamen haben, denn im Zweifelsfall stammen nur diese von meinem Programm.

Dazu fällt mir das hier noch ein. Das ist wesentlich raffinierter.
A hacker’s marginal security helps return stolen computer

Stichwort DynDNS und SSH-Zugang zum PC. Das Video enthält einen Vortrag vom beraubten Computerinhaber und ist sehr schön anzusehen.

Na, n geklauter Computer wird doch wohl ne OS Neuinstallation bekommen, dann ist alles Essig.

Computer Klau Sicherung ?

Wenn nach Öffnen des Laptopdeckels nicht innerhalb von 10 Sekunden ein 8 Stelliger Pin eigegeben wird läuft ein Säuretank auf dem Mainboard
direkt in die CPU....

Alles andere ist unsinnig und kann umgangen werden

Naja, eine Sicherung ist es ja nicht. Diese wäre ja präventiv, der oben beschriebene Ansatz ist lediglich ein Versuch zu retten, was zu retten ist, wenn das Kind in den Brunnen gefallen und das Notebook "verschwunden" ist.

Klar gibt es keine Garantie auf Erfolg, aber wie gesagt alleine die Berichte über wieder gefunden Rechner durch Boinc zeigen aber auch, dass längst nicht jeder entwendete Rechner direkt neu installiert wird. Als aktiver Teilnehmer bei diversen BOINC-Projekten habe ich in den letzten 2 bis 3 Jahren mindestens 5 oder 6 Fälle, welche dank BOINC in diese Richtung gehen verfolgt. Ist klar, dass dies gemessen an den tatsächlich entwendeten Rechnern (wobei man hier um einen tatsächlichen Vergleich zu haben eigentlich nur die berücksichtigen dürfte, auf denen BOINC installiert war ) nur ein verschwindent geringer Teil ist. Aber auch wenn die Chance noch so gering ist, sie ist da. Und mein Ansatz dazu ist einfach ein Versuch, diese minimale Chance zu nutzen. Immerhin würde es reichen, wenn das NB ohne Neuinstallation nur mal kurz mit dem Internet verbunden wäre.

Aber ohne nun weiter über die Sinnhaftigkeit des Programmes einzugehen, lustig finde ich die ganze Angelegenheit schon. Inzwischen habe ich über 3.000 Einträge zu vermelden, wobei die IP-Adressen sich nicht immer eindeutig direkt einem AV-Hersteller wie im Falle von Sunbelt zuordnen lassen. Aber bei allen ist der Rechnername korrekt gesetzt ...

Das ganze setzt doch voraus daß das Notebook nichtmal gesichert ist, zum Beispiel
Festplattenverschlüsselung mit TrueCrypt oder sowas. Das finde ich irgendwie schon
bedenklicher, gerade bei IT Experten und IT Studenten.
Da sind doch sichere private Daten und Backups davon wichtiger als der Klotz Hardware,
oder nicht?

Ist bestimmt nicht angenehm wenn ein Dieb Zugriff auf die ganzen persönlichen
Daten hat. Fotos, Dokumente, eMails, vielleicht Zugang zu verschiedenen Accounts
wo die Passwörter gespeichert sind (z.B. im Browser oder im eMail-Programm) etc...

Danilo hat geschrieben:... gerade bei IT Experten und IT Studenten.

Wie geschrieben, das Progrämmchen war für eine Bekannte. Sie ist nichts von beidem. Das Notebook wurde nicht mal richtig installiert, sondern so wie es vorinstalliert mit allem möglichen Promo-Mist in Betrieb genommen. Und so läuft es noch heute ...
Und glaube mir, ich habe nicht das Bedürfniss, mich um das Notebook der Dame intensiver zu kümmern, dazu ist sie einfach zu schwierig

Wirklich wichtige Daten befinden sich auch nicht auf dem Notebook. Ein Dieb könnte damit nichts anfangen. Für den "ideellen Wert" der Daten habe ich ihr vor einiger Zeit ein Backup eingerichtet, das zumindest bei ihr zuhause automatisch auf eine externe Festplatte sichert, die an der Fritzbox hängt, passt also schon. Wird eben nur für die Dauer der Kur pausiert. Und ob das Stück Hardware nicht wichtig ist? Naja, ich glaube, da hat sie andere Prioritäten.

Aber egal, morgen fährt sie los, ich habe ihr das Programm eingerichtet, mal sehen was rauskommt. Aber es war ja auch gar nicht, meine Absicht über das Programm selbst zu diskutieren, ich wollte nur mal diese sehr speziellen Erfahrungen mit virustotal kommentieren und auch irgendwo dokumentieren. Prinzipiell finde ich es ja auch sehr gut, dass es da einen regen austausch zwischen diesem Service-Anbieter und den AV-Herstellern gibt. Praktisch verwundert es mich aber dann eben doch, dass es immer wieder AV-Hersteller gibt, die speziell mit PB-Programmen so ihre Problemchen haben.

Ich habe noch krassere Erfahrungen zu berichten. Habe irgendwann mal eine Remote System gecoded,womit man Rechner steuern kann (ein Remote System halt). Das ganze hatte ein paar abweichungen von einem normalen Remotesystem aber das ist fürs Beispiel egal. Hatte das Programm auch mal bei virustotal hochgeladen. Auf einmal sehe ich im Admincenter ~ 10 neue Rechner. Mitsamt IP, Rechnername, RAM, CPU MHz... Das meiste davon wurde korrekt ermittelt. Daraus konnte ich schließen das das ganze in virtuellen Maschinen läuft, die mit relativ wenig Ressourcen ausgestattet sind. Steuern konnte ich diese Programme nicht. Wäre eventuell möglich gewesen aber sie kamen nur 1x online und zu dem Zeitpunkt war ich nicht aktiv. Werde irgendwann mal etwas dazucoded das ich eine .exe habe die direkt Aktionen ausführt ohne das man etwas sendet, um das ganze ausgiebiger zu testen.

dazu müsste man wohl eine komplette systemerkennung machen, die dann an einen selbstgebauten server meldet. dann könnte man evt. erkennen, wieoft, wieviele IP's usw. Also inwieweit virustotal die exen die da zum testen hochgeladen werden verteilt.

Wäre doch eigentlich eine ziemlich illegale handlung von denen, oder hab ich da in den AGB was überlesen ? (wenn es nicht mehr ihre Testumgebungen sind)

Also für mich macht das durchaus Sinn, wenn sie das Programm starten um zu schauen, was es dann tut. Es könnte ja anfangen Spammails zu versenden oder bestimmte bekannte Server zu kontaktieren, die schon als Steuerserver entlarvt wurden. Oder sehe ich das jetzt falsch?