Viele verschiedene techn. Geräte kommunizieren mittlerweile über das Internet. (Stichwort Internet of things). Auch an meinem Computer findet Datenverkehr statt, selbst wenn ich ihn nicht ausgelöst habe. Leider kann ich nicht erkennen, welche Daten herausgehen. Dieses ist für mich sehr befremdlich, denn ich habe keinerlei Information, geschweige denn Kontrolle mehr, welche Daten das sind. Da meine Fritz.Box bei diesem Datenverkehr die zentrale Rolle einnimmt, wäre es beruhigend, diesen Datenverkehr sowohl qualitativ wie quantitativ für mich sichtbar zu machen. Gibt es für dieses Problem bereits eine technische Lösung?
Quantitativ: deine Frirzbox hat irgendwo eine Statistik, die dir das übertragene Darenvolumen im Monat ausweist. Qualitativ: schwierig. Heute läuft das meiste ja über HTTPS. Auch wenn es deine Daten sind, kannst du die Payloads nicht ohne weiteres entschlüsseln, weil du den privaten Schlüssel nicht kennst. Da kann man mit MITM-Proxies was basteln, um in die Datenströme reinzuschauen, ist aber aufwändig und immer Bastelkram. Außerdem müsste man erstmal überlegen, wie man das triviale Zeug vom Interessanten trennt, aggregiert, visualisiert. Eher nicht zu stemmen, denk ich.
Na dann installiere Dir doch erstmal einen Wireshark. Damit solltest Du sehen was an Daten von deinem PC hin und her geht. Viel Spaß beim Analysieren! Achja, selbst wenn es Windows schafft am Wireshark vorbei weitere Daten zu übertragen, bin ich mir ziemlich sicher, dass Du alleine mit dem, was angezeigt wird, schon genug beschäftigt sein wirst. Ansonsten bieten aktuelle Fritz-Boxen die Möglichkeit den Netzwerkverkehr zu überwachen/aufzuzeichnen. Kleiner Tipp: Einfach so wenig wie möglich Geräte benutzen die mit dem Internet verbunden sind und bei denen niemand außer dem Hersteller weiß was sie tun.
Genau, das hatte ich mir gedacht. Mit Wireshark kann ich die Rohdaten einsehen, die ja nicht einmal verschlüsselt sind. Können das andere dann auch? Die wichtigen Informationen gehen dabei ja leider in der Vielfalt der Daten unter.
Andreas M. schrieb: > selbst wenn es Windows schafft am Wireshark vorbei > weitere Daten zu übertragen wie soll denn das zugehen?
> wie soll denn das zugehen?
z.B. mit DNS over HTTPS und dann noch einen DNS-Tunnel davor.
Christian F. schrieb: > Genau, das hatte ich mir gedacht. Mit Wireshark kann ich die Rohdaten > einsehen, die ja nicht einmal verschlüsselt sind. Nein. Mit Wireshark siehts Du das was an die Netzwerkkarte übergeben wird. Und das sind natürlich die bereits verschlüsselten Daten insofern eine verschlüsselte Verbindung genutzt wurde. Christian F. schrieb: > Können das andere dann auch? > Die wichtigen Informationen gehen dabei ja leider in der Vielfalt der > Daten unter. Wer sind "andere" und was sollten die können? Wann genau ist denn eine Informatin wichtig und warum soll da was "untergehen"? Markus F. schrieb: > Andreas M. schrieb: >> selbst wenn es Windows schafft am Wireshark vorbei >> weitere Daten zu übertragen > > wie soll denn das zugehen? Indem Windows dem Wireshark was anderes zukommen lässt als der Netzwerkkarte! Der Wireshark installiert auch nur einen zusätzlichen Zugang zu dem Netzwerkdatenpfad, niemand zwingt aber das Windows auch alles brav dem Wireshark zu melden. Die Intel ME kann sogar Daten über die Netzwerkkarte versenden, ohne dass überhaupt irgendwer im System das mitbekommt. Das sieht man nur wenn man mit extra Hardware den Netzwerkverkehr am Kabel aufzeichnet. (Nennt sich Fernwartung :-)
Christian F. schrieb: > diesen Datenverkehr sowohl qualitativ wie > quantitativ für mich sichtbar zu machen. Besorge Dir die c't 4/2020 vom 1.2.2020, die hat sich zum Thema ausgiebig ergossen. Die setzen dabei auf einen Switch mit Mirrorport oder zusätzliche Hardware und zeigen auch auf, dass Wireshark gewisse Risiken unvollständiger Ergebnisse beinhaltet. Es ist anstrengend zu lesen, aber ich fand es sehr interessant.
Wenn man die Datenübertragungen mit den Tools eine Weile beobachtet, kommen erstaunliche Dinge zutage. Diese beiden Tools (kostenlos, portabel) sind mittlerweile ein absolutes Muss für mich. TCPView oder CPorts (=Curr Ports) Download-Link für alles: http://www.afug-info.de/Verschiedenes/Virenscanner/ LastActivityView ist auch eine Empfehlung.
W. schrieb: > TCPView oder CPorts (=Curr Ports) > > Download-Link für alles: > xttp://www.unfug-info.de/... > LastActivityView ist auch eine Empfehlung. Anstatt alte Versionen von unklaren Drittseiten zu holen, geht man besser zur echten Quelle: http://www.nirsoft.net/utils/cports.html http://www.nirsoft.net/utils/computer_activity_view.html https://docs.microsoft.com/de-de/sysinternals/downloads/tcpview
W. schrieb: > Wenn man die Datenübertragungen mit den Tools eine Weile beobachtet, > kommen erstaunliche Dinge zutage. > Diese beiden Tools (kostenlos, portabel) sind mittlerweile ein absolutes > Muss für mich. > > TCPView oder CPorts (=Curr Ports) > > Download-Link für alles: > > http://www.afug-info.de/Verschiedenes/Virenscanner/ > > LastActivityView ist auch eine Empfehlung. Da soll man sich also auf die Empfehlung eines Namenlosen ein Tool von einer Webseite, wo ich auf den ersten Blick kein Impressum finden kann und die es mit "https" scheinbar auch nicht so hat, ein Tool downloaden, dessen Quellen ich (soweit ich das in der kütze der Zeit sehe) nicht einsehen und dann z.B. selbst kompilieren könnte. Dümmer geht's wohl kaum, denn dann hat man so ziemlich alles falsch gemacht, was man falsch machen kann, wenn man vertrauenswürdige Ergenisse haben will. MfG
M.M.M schrieb: > Dümmer geht's wohl kaum, als meinen Beitrag von 06.02.2020 23:49 abzumalen :-( Die Tools sind langjährig bekannt, die Originalquellen habe ich genannt! Der Aluhut ist natürlich ein Problem, der stört beim Betreten des Bunkers: nirsoft.net ist aus Israel, da hat sicher der Mossad Hintertüren eingebaut. Tcpview ist von Sysinternals, den sich Microsoft gekauft hat - also Hintertüren der NSA eingebaut?
Wenn Du es möglichst einfach haben willst, guck Dir Mal Fiddler an. Das hat einen HTTPS Proxy integriert. Damit kannst Du dann ohne grossen Aufwand auch verschlüsselte Pakete analysieren.
Naja, runterscrollen und zweimal klicken um zum Impressum zu kommen ist halt auch echt zu viel verlangt...
Das BSI wollte für Windows 10 klären, welche Daten wohin übertragen werden. Nach mehrere Jahren und Ausgaben in Millionenhöhe ist es ihnen trotz Zuarbeit von Microsoft nicht vollständig gelungen. Immerhin konnten sie herausfinden, wie man diese Kommunikation von Windows komplett unterbinden kann (für Privatleute nicht machbar).
Christian F. schrieb: > Mit Wireshark kann ich die Rohdaten > einsehen, die ja nicht einmal verschlüsselt sind. > Können das andere dann auch? Ja, wenn sie in der Lage sind, das Kabel anzuzapfen oder deinen Computer so zu manipulieren, dass er mit den Anlagen des Hackers anstatt den eigentlichen Zielen kommuniziert. Deswegen wird inzwischen einiges verschlüsselt, aber auch das ist kein 100% Schutz.
Auweia schrieb: >> wie soll denn das zugehen? > > z.B. mit DNS over HTTPS und dann noch einen DNS-Tunnel davor. Dann fängt Wireshark den Traffic immer noch auf. Ja, Du kannst ihn nicht (mehr so einfach) lesen, aber er muss noch immer durch das pcap Interface. Auch https-Traffic lässt sich (mit einem entsprechenden Proxy) aufbrechen. Das Server-Zertifikat wird dabei durch ein eigenes ersetzt, dessen Private Key bekannt ist (natürlich muss das auch vertrauenswürdig, also eine entsprechende trusted Certificate Chain vorhanden) sein.
Markus F. schrieb: > Auweia schrieb: >>> wie soll denn das zugehen? >> >> z.B. mit DNS over HTTPS und dann noch einen DNS-Tunnel davor. > > Dann fängt Wireshark den Traffic immer noch auf. Ja, Du kannst ihn nicht > (mehr so einfach) lesen, aber er muss noch immer durch das pcap > Interface. > > Auch https-Traffic lässt sich (mit einem entsprechenden Proxy) Es braucht nicht mal unbedingt einen Proxy. Für Browser genügt auch SSLKEYLOGFILE. https://ask.wireshark.org/question/1088/step-by-step-ssl-decrypt-with-wireshark/?answer=1089#post-id-1089 https://jimshaver.net/2015/02/11/decrypting-tls-browser-traffic-with-wireshark-the-easy-way/
Markus F. schrieb: > Auweia schrieb: >>> wie soll denn das zugehen? >> >> z.B. mit DNS over HTTPS und dann noch einen DNS-Tunnel davor. > > Dann fängt Wireshark den Traffic immer noch auf. Ja, Du kannst ihn nicht > (mehr so einfach) lesen, aber er muss noch immer durch das pcap > Interface. Was allerdings tatsächlich geht: seit Intel ihre tolle, undokumentierte, Closed Source Management Engine erfunden hat, sitzt auf deinem Mainboard noch ein Prozessor mit eigenem OS (btw. ein Linux, genaugenommen MINIX 3), welcher direkten Zugriff auf die Netzwerkkarte hat und über diese Daten versenden kann. Theoretisch könnte auch Windows oder ein Schadprogramm eine möglicherweise existierende (kann ja keiner nachvollziehen, was die da implementiert haben), undokumentierte API nutzen, um mithilfe der ME Daten am Treiber und damit jeglichem Monitoring vorbeizutunneln. https://www.techrepublic.com/article/is-the-intel-management-engine-a-backdoor/ Brave new world.
Moin, Franz schrieb: > Es braucht nicht mal unbedingt einen Proxy. Für Browser genügt auch > SSLKEYLOGFILE. Hat das mal jemand hier tatsaechlich ausprobiert? Und zwar mit eher momentan gaengigen Browsern, nicht mit einer ganz bestimmten (derzeit sicher veralteten) Version? Gruss WK
Christian F. schrieb: > sind. Da meine Fritz.Box bei diesem Datenverkehr die zentrale Rolle > einnimmt, wäre es beruhigend, diesen Datenverkehr sowohl qualitativ wie > quantitativ für mich sichtbar zu machen. Gibt es für dieses Problem > bereits eine technische Lösung? Was soll bitte "beruhigend" sein'? Der Datenverkehr wird ohnehin größtenteils verschlüsselt - das machen alle, also nicht nur "$böses Programm". Du kannst also nicht erkennen, was "raus" geht. Du kannst freilich sehen, mit welchen IPs da draussen dein Router kommuniziert - und: nur über den findest du raus, welches IOT-gerät in die weite Welt raus telefoniert, der lokale PC bekommt ohne der aktiven Mithilfe des Routers von diesem Datenverkehr nichts mit. Wie das mit der Fritzbox geht, findest du auf https://praxistipps.chip.de/fritzbox-datenverkehr-mitschneiden_9989 Sollte auch mit aktuellen Boxen und aktueller Firmware gehen. Oder gleich die Fritzbox mit http://fritz.box/html/capture.html aufrufen. Zu Risiken und Nebenwirkungen findet man einiges im Netz.
Das klassische "du siehst den Wald vor lauter Bäumen nicht" Phänomen wird dir eine sinnvolle Auswertung, egal mit welchem tool, verhindern. It makes no sense.
Bei den fritzboxen gibt es eine "geheime" Funktion, du kannst dir an einem Port den Livetraffic ausgeben.. den kann man dann mit Wireshark oder so parsen. https://www.2weg.de/wireshark-live-caputure-mit-der-fritzbox/
Andreas M. schrieb: > Indem Windows dem Wireshark was anderes zukommen lässt als der > Netzwerkkarte! Der Wireshark installiert auch nur einen zusätzlichen > Zugang zu dem Netzwerkdatenpfad, niemand zwingt aber das Windows auch > alles brav dem Wireshark zu melden. Drum installiert man Wireshark ja auch nicht auf dem zu untersuchenden System sondern auf einem (möglichst nicht windows) System und macht einen auf MitM ... Am einfachsten dürfte sowas mit einem Router mit OpenWRT zu bewerkstelligen sein. Die Wireshark GUI kann auch über SSH capturen...
M.M.M schrieb: >> Download-Link für alles: >> >> http://www.afug-info.de/Verschiedenes/Virenscanner/ Die Aufregung finde ich übertrieben. Von der Seite waren bei mir immer alle Downloads sauber. Auf Originalquelle wird auch verwiesen. Wer die Seite u. den Youtube Kanal kennt, weiß auch, dass da viel hieb- und stichfeste Aufklärung betrieben wird. Von Chip & Co. lädt sich merkwürdigerweise jeder gedankenlos den Installer, der das Herunterladen für einen übernimmt. Da meckert niemand, obwohl ich da große Bedenken haben, warum ich ein Programm laden soll für etwas, das ich selbst kann. Naja, das Gehirn ist halt nicht bei allen gleich entwickelt. W. = Werner
Manfred schrieb: > Tcpview ist von Sysinternals, den sich Microsoft gekauft hat - also > Hintertüren der NSA eingebaut? Darum sollte man auf eine Version vor der Übernahme durch MS verwenden.
Bitte melde dich an um einen Beitrag zu schreiben. Anmeldung ist kostenlos und dauert nur eine Minute.
Bestehender Account
Schon ein Account bei Google/GoogleMail? Keine Anmeldung erforderlich!
Mit Google-Account einloggen
Mit Google-Account einloggen
Noch kein Account? Hier anmelden.