'Legale' Spyware, Keylogger,... erkennen - Wie?

Hallo zusammen!

Wie kann man, möglichst ohne Software-Installation, eventuelle „legale Schnüffelprogramme“ erkennen?

Hintergrund:
Jemand darf (und muss, da auch beruflich) von der Arbeit aus, sein privates Mailkonto abrufen - und darf dies auch lt. Arbeitgeber.
Dies geschieht via USB-Stick (Thunderbird Stickware); auf dem Rechner sind Antivir und Spybot installiert.

Aufgrund von „„zufälligen Anspielungen““, besteht allerdings der Verdacht, dass der Chef hier heimlich mit liest.
Ob legal, oder illegal sei hier mal bitte nicht das Thema!

Wie könnte man dies herausfinden?
Antivir und Spybot schlagen nach Suchläufen jedenfalls nicht an.

Danke für jeden Tipp!
idefix

Ohne etwas zu installieren ist das vermutich schwierig, ebenso, da ich ziemlich im dunklen Tappe, wie derjenige Verbindung zur Außenwelt aufnimmt, ob da evtl. ein Router mit dazischen sitzt, etc.

Was das evtl. Mitlesen sehr sicher abstellt ist ne PGP Verschlüsselung der E-Mails, aber dabei müssen die Kommunikationsparter des Betreffenden mitmachen.

Hallo,

Wie kann man, möglichst ohne Software-Installation, eventuelle
„legale Schnüffelprogramme“ erkennen?

Rechtsklick auf die Taskleiste, Taskmanager, zweite Karteikarte „Prozesse“. Und dann ausgoogeln, was jeder einzelne wohl sein mag. Alles, was sich nicht recht einfach Windows, einem Treiber oder einem Virenscanner etc. zuordnen lässt, ist verdächtig.

Im Zweifelsfalle einfach mal beenden und schauen, ob sich irgendwas am Rechner tut (Absturz o.ä.)

Aber auch dies ist kein Allheilmittel, es gibt durchaus Möglichkeiten, Tasks zu verstecken oder diesen einen unverdächtigen Namen zu geben, aber das wär dann schon eher hohe Kunst. Außerdem gibt es Keylogger auch als Hardware, also auch mal unter den Tisch krabbeln und nachsehen, ob da ein merkwürdiges Zwischensteckerchen an der Tastaturstrippe hängt.

Und natürlich kann man auch alle Autostart-Mechanismen von Windows mal auf die dortigen Einträge abklopfen und ggf. abschalten. Das meiste ist eh Blödsinn, der nur überflüssig Speicher frisst.

Aber dir sollte absolut klar sein, das du dir nie zu 120% sicher sein kannst. Ist halt die Frage, wie clever euer Chef/Administrator ist und wieviel Aufwand er betrieben hat . . .

lg, mabuse

Hallo idefix,

Wie könnte man dies herausfinden?

Gar nicht.

Bei einem vernünftigen Konzept geht der ganze Datenverkehr mit der Aussenwelt über einen speziellen Rechner. Dieser überwacht den ganzen Datenverkehr (Firewall) und enthält auch noch einen Virenscanner.
An dieser Stelle kann man alles mitlesen …

MfG Peter(TOO)

Ohne etwas zu installieren ist das vermutich schwierig,
ebenso, da ich ziemlich im dunklen Tappe, wie derjenige
Verbindung zur Außenwelt aufnimmt, ob da evtl. ein Router mit
dazischen sitzt, etc.

Ja und? Ein Router sitzt immer irgendwo dazwischen, sonst würde das Internet gar nicht funktionieren. Inwiefern sollte das verhindern, dass ein Tool nach außen kommuniziert?

Was das evtl. Mitlesen sehr sicher abstellt ist ne PGP
Verschlüsselung der E-Mails, aber dabei müssen die
Kommunikationsparter des Betreffenden mitmachen.

Eine Verschlüsselung per PGP bringt dir gegen einen Keylogger absolut gar nichts. Der Keylogger fängt den Text den du eingibst ja bereits aber, wenn du ihn eintippst und die Mail noch gar nicht verschlüsselt ist.

Bei einem vernünftigen Konzept geht der ganze Datenverkehr mit
der Aussenwelt über einen speziellen Rechner. Dieser überwacht
den ganzen Datenverkehr (Firewall) und enthält auch noch einen
Virenscanner.
An dieser Stelle kann man alles mitlesen …

Solange es nicht verschlüsselt ist. Dann weiß man aber zumindest, von wo aus nach wohin kommuniziert wurde. Wenn private Mails verboten sind und aber Mails vom Rechner XY via Web.de versendet werden und nicht über den Firmen-Mailaccount ist auch mit Verschlüsselung ziemlich klar, dass das Privat war.

Wie könnte man dies herausfinden?

Per Hand gar nicht und selbst Tools wie Antivir oder Spybot werden diese nicht finden, wenn sie mal aktiv sind.

Antivir und Spybot schlagen nach Suchläufen jedenfalls nicht
an.

Das ist nicht verwunderlich.

Professionelle Keylogger bringen fast alle Rootkit-Techniken mit um sich im Task-Manager, auf der Festplatte usw zu verstecken.
http://www.keyloggers.com/pcacme.html

Am ehesten könntest du versuchen mit Tools wie RootkitRevealer http://technet.microsoft.com/de-de/sysinternals/bb89… die Existenz von solchen Rootkit-Mechanismen zu entdecken.
Anderes Möglichkeit wäre den Rechner mal von CD mit einer bootbaren Antivirus-CD zu starten und ihn von dort zu scannen. Da das Rootkit dann nicht aktiv sein kann, kann es sich so auch nicht vor dem Virenscanner verstecken und die Chance ist wesentlich höher, dass der Scanner was findet.

P.S: Rechtlich ist die Überwachung von Arbeitnehmern mittels Keyloggern ohne ihre Kenntnis (oder die des Betriebsrats) und/oder ohne Anlass nicht legal.

Danke für Eure Antworten!!

Es handelt sich um eine kleine Firma mit insgesamt 4 Mitarbeitern.
Der Chef ist kein Computergenie, einen „richtigen“ Admin gibt es auch nicht, höchstens als solches einen Compi-Laden, der die Rechner betreut, bzw. der Sohn vom Chef (seineszeichens aber auch kein IT-Profi).
Dass für soetwas wirklich professioneller Aufwand betrieben wurde, ist also eher unwahrscheinlich.

Mir fiel allerdings noch ein, dass ein Keylogger eigentlich nichts bringen dürfte, da es sich bei den Inhalten der besagten Mails um eingehende Nachrichten gehandelt hat.
Also, Texte mit entsprechendem Inhalt habe ich gar nicht über die Tastatur geschrieben.

Vielleicht war’s auch wirklich nur sehr komischer Zufall, aber „sehr komisch“ eben.

Ich werde die Tasks jedenfalls mal durchgehen.
Kleine Frage am Rande: Werden bei Stickware (Thunderbird) irgendwelche (temporären) Dateien auf dem Rechner ausgelagert?

Vielen Dank und beste Grüße,
idefix

Kleine Frage am Rande: Werden bei Stickware (Thunderbird)
irgendwelche (temporären) Dateien auf dem Rechner ausgelagert?

Nein. Und wenn du dein Konto über eine verschlüsselte Verbindung abrufst, besteht auch keine Möglichkeit, die Daten während des Transports mitzulesen. Dann müsste der Chef entweder das Kennwort ausgespäht haben und direkt auf dein Konto zugreifen, oder er müsste den Bildschirminhalt on- oder offline mitlesen. Ein entspr. Programm zu installieren, bedarf keiner besonderen Fachkenntnis. Das sich-Verstecken erledigt das Programm selbst.

Gruß

Ja und? Ein Router sitzt immer irgendwo dazwischen, sonst
würde das Internet gar nicht funktionieren. Inwiefern sollte
das verhindern, dass ein Tool nach außen kommuniziert?

Würde ich auch denken, aber ich habe schon oft genug ‚seltsame Strukturen‘ in Büros und an Arbeitsplätzen gesehen, daß ich nicht ausschließen will, daß es in einer 5-Mann Firma soetwas nicht gibt, und der einzige internetfähige Rechner direkt an einem Modem hängt.

Eine Verschlüsselung per PGP bringt dir gegen einen Keylogger
absolut gar nichts. Der Keylogger fängt den Text den du
eingibst ja bereits aber, wenn du ihn eintippst und die Mail
noch gar nicht verschlüsselt ist.

Wenn es wirklich ein Keylogger ist schon. Wenn der Traffic mitgelesen wird, wird es allerdings helfen. Der Threadersteller wirft mit dem Wort Keylogger um sich, obwohl er bisher nicht den geringsten Hinweis hat, wie möglicherweise die E-Mail mitgelesen werden.

Ja und? Ein Router sitzt immer irgendwo dazwischen, sonst
würde das Internet gar nicht funktionieren. Inwiefern sollte
das verhindern, dass ein Tool nach außen kommuniziert?

Würde ich auch denken, aber ich habe schon oft genug ‚seltsame
Strukturen‘ in Büros und an Arbeitsplätzen gesehen, daß ich
nicht ausschließen will, daß es in einer 5-Mann Firma soetwas
nicht gibt, und der einzige internetfähige Rechner direkt an
einem Modem hängt.

Wenn der Rechner direkt an einem Modem hängt, dann gäbe es dort gar keinen Router in der Firma. Ein Router routet - wie der Name schon sagt - Pakete von einem Netz ins andere. Der verschluckt nichts und der verhindert auch keine Kommunikation.

Wenn der Rechner direkt an einem Modem hängt, dann gäbe es
dort gar keinen Router in der Firma. Ein Router routet - wie
der Name schon sagt - Pakete von einem Netz ins andere. Der
verschluckt nichts und der verhindert auch keine
Kommunikation.

Richtig. Und ob das so ist, hat der Threadersteller nicht gesagt. Sollte ein Router vorhanden sein, könnte man von dort aus eine Man in the middle Attacke versuchen. Aber das ist wie gesagt spekulativ. Meiner Ansicht, aus der Beschreibung des Threaderstellers genauso spekulativ, wie der Keylogger.

Hallo,

an deiner Stelle würde ich das Passwort für meinen privaten E-Mail Account ändern und diesen im Geschäft nicht mehr verwenden. Warum auch?

Wenn du bestimmte Mails im Geschäft lesen willst, könntest du eine Weiterleitung entsprechender Mails an deine Dienstadresse einrichten.

chris

Nein. Und wenn du dein Konto über eine verschlüsselte
Verbindung abrufst, besteht auch keine Möglichkeit, die Daten
während des Transports mitzulesen.

Das ist leider falsch, so schön es auch wäre …

Eine verschlüsselte Verbindung ist nur bedingt sicher. Sobald sich ein nicht vertrauenswürdiger Rechner zwischen dir und deinem Ziel befindet, gibt es z.B. die relativ einfach zu realisierende Möglichkeit einer so genannten „Man-in-the-middle-attack“, kurz „mitm“.

Genau so ein Szenario ist bei dir auf Arbeit gegeben, da du ja der Rechner/Router deines Chefs zwischen dir und deinem Mailserver liegt. Auch wenn ich ehrlich gesagt nicht glaube, dass dein Chef so einen Angriff gegen dich fährt, ist es doch ein Irrglaube zu denken, eine Verschlüsselung mittels ssl oder https sei nicht zu umgehen.

Programme die so etwas machen bekommt man fast überall her, man muss sich nicht auf „Hackerseiten“ herumtrieben, sogar google bietet auf seinen code-seiten einen link zu so einer software:
http://code.google.com/p/middler/

Hier der Wikipedia-Artikel:
http://de.wikipedia.org/wiki/Man-in-the-middle-Angriff

Und hier ein Artikel aus der Phrack von 2001, der erklärt wie es geht:
http://www.theparticle.com/files/txt/hacking/phrack/…

So ein Angriff würde z.B. auch dann noch funktionieren, wenn du deinen eigenen Laptop mitbringst und dich auf Arbeit verschlüsselt mit deinem Mailserver verbindest.