Rokop Security

Willkommen, Gast ( Anmelden | Registrierung )

 
Closed TopicStart new topic
> spioniert O&O Defrag ?, in den Zeiten der Datenkralle
Sasser
Beitrag 27.11.2008, 08:17
Beitrag #1



Gehört zum Inventar
******

Gruppe: Mitglieder
Beiträge: 1.764
Mitglied seit: 31.07.2006
Wohnort: Hamburg
Mitglieds-Nr.: 5.175

Betriebssystem:
W7 Prof. /Linux div.
Virenscanner:
F-Secure / Eset
Firewall:
Router



confused.gif Vorweg genommen es handelt sich um eine Frage: Spioniert O&O Defrag ?

Zur Errinnerung, dem Chef der Microsoft-Abteilung wurde bezüglich der Defrag-Bordmittel einiges nachgesagt....

Aber bei O&O zeige ich mal ein paar Ungereimtheiten auf, die mich zumindest aufhorchen lassen:

1. Die Software öffnet einen eigenen Port "oodag.exe" Port 50300 siehe Bild....nun denn das tut Tune up 2009 auch: OneClick.exe Port 135, auch wenn dies
kein eigener sondern ein Systemport ist der mitgenutzt werden will.

2. Nun wird noch der Port 443 mitgenutzt....OODCNT.EXE

3. Threat aus dem Jahre 2004 unter Chip-online..... http://forum.chip.de/firewall-sicherheit/v...rag-758114.html

4. Kann man diesen Verdacht bestätigen ? Ja das kann man zb. bei der aktuellen Software Defrag11, die nicht bloß zu Registrierungszwecken
oder Update-Zwecken eine Internet-Verbindung benötigt sondern als einzige Defrag Software die ich kenne, eine konstante Datenverbindung nach
Außen benötigt, um nicht sofort blaß in der Systemleiste zu werden und/oder beim Suchvorgang sofort auf Warteschleife zu stellen und beim
Defrag-Vorgang sofort zu STOPPEN !!!


>> Mein Resume lässt nichts Gutes vermuten und ich mach mich nun ans Werk die Software wieder runter zu pulen.

Aber vieleicht kann hier Jemand aufklären warum MST-Defrag keine Datenverbindung benötigt, auch wenn Port 7100 eingerichtet wird.
Im Defrag Betrieb ist dieser sogenannte Service-Port nicht notwendiger Weise offen zu halten um defragmentieren zu können.

PS. Die hier gemachten Äußerungen beziehen sich auf die Testversion der aktuellsten Software von Defrag O&O Version 11.
Nun probiere ich gerade mit JetDrive von der bekannten Schmiede Abelsoft, die auch schon mit StartupStar geglänzt haben und stelle fest, die brauchen gar keinen Port.
Es geht also auch privat und grafisch trotzdem sehr ansprechend.
Zur Performance, hier einstellbar im Automodus welcher Intervall zur Prüfung gewählt werden soll....momentan erscheint mir MST-Defrag jedoch System-schonender.

Der Beitrag wurde von Sasser bearbeitet: 27.11.2008, 10:18
Angehängte Datei(en)
Angehängte Datei  Unbenannt.gif ( 91.6KB ) Anzahl der Downloads: 25
 


--------------------
Sicherheit ist kein Zustand sondern ein stetiger Prozess.

Das Leben ist ein Stirb und Werde.










Go to the top of the page
 
+Quote Post
Gast_regenschauer_*
Beitrag 27.11.2008, 12:26
Beitrag #2






Gäste






ZITAT(Sasser @ 27.11.2008, 08:16) *
2. Nun wird noch der Port 443 mitgenutzt....OODCNT.EXE
imho nur beim update-check -> Internet Protocol, Src: 94.216.203.16 (94.216.203.16), Dst: 81.3.27.6 (81.3.27.6) Auszug wireshark

ZITAT
4. Kann man diesen Verdacht bestätigen ?
Ich nicht. Die Verbindungen bleiben lokal, wenn auch unschön ist, dass oodag.exe umfassend lauscht.
Go to the top of the page
 
+Quote Post
Sasser
Beitrag 27.11.2008, 12:54
Beitrag #3



Gehört zum Inventar
******

Gruppe: Mitglieder
Beiträge: 1.764
Mitglied seit: 31.07.2006
Wohnort: Hamburg
Mitglieds-Nr.: 5.175

Betriebssystem:
W7 Prof. /Linux div.
Virenscanner:
F-Secure / Eset
Firewall:
Router



whistling.gif Die Verbindung bleibt Lokal...
Lokal zwischen Mir und O&O rolleyes.gif
Und bei gekappter Verbindung beendet sich das Programm...Trojaner tun das auch lmfao.gif
Immerhin werden bei einem Defrag Vorgang alle Dateien sortiert zugeordnet, verschoben und analysiert...es gibt eigendlich keinen interressanteren Vorgang für einen Außenstehenden
als hier die sorgende Hand drüber zu legen und schnell mal ein paar Daten zu kopieren....

Kann jemand ähnliche Handhabe von O&O bei dem Eraser oder anderen Tools berichten ? Oder beschränkt sich dies auf den Defragmentierer ?

Der Beitrag wurde von Sasser bearbeitet: 27.11.2008, 13:03


--------------------
Sicherheit ist kein Zustand sondern ein stetiger Prozess.

Das Leben ist ein Stirb und Werde.










Go to the top of the page
 
+Quote Post
Voyager
Beitrag 27.11.2008, 13:01
Beitrag #4



Ist unverzichtbar
*******

Gruppe: Mitglieder
Beiträge: 14.840
Mitglied seit: 05.07.2004
Mitglieds-Nr.: 1.143

Betriebssystem:
Windows 7 SP1 (x64)
Virenscanner:
NIS2013
Firewall:
NIS2013



das ist nur interne Kommunikation über den Localhost , mit Spionage hat das garnichts zu tun. Deine Firewall gibt einfach zu wenig Information aus.


--------------------
Der Beitrag wurde von Unbekannt bearbeitet: Morgen, 06:00
System:
Intel C2Q9550 , Gigabyte GA-P35-DS3L , 8GB Mushkin , XFX HD6670 , Samsung SATA2 (750GB, 500GB, 2x 1TB) , ATAPI & NEC DVDRAM , TFT Samsung T260 26" , Case Lian Li PC-7FNW , Corsair Accelerator SSD 60GB

"Irgendwelche Politiker mögen irgendwann mal einen cleveren Gedanken haben, aber in der Regel plappern sie nur die Agenda der Lobbyisten nach."
Lobbyismus für Dummies : http://www.youtube.com/watch?v=P_QVyOGnIrI
Einschätzung zur Wikileaks Lage : http://www.youtube.com/watch?v=HVJAUECLdo8 , http://www.youtube.com/watch?v=gWR4VAyva6s
Go to the top of the page
 
+Quote Post
Sasser
Beitrag 27.11.2008, 13:10
Beitrag #5



Gehört zum Inventar
******

Gruppe: Mitglieder
Beiträge: 1.764
Mitglied seit: 31.07.2006
Wohnort: Hamburg
Mitglieds-Nr.: 5.175

Betriebssystem:
W7 Prof. /Linux div.
Virenscanner:
F-Secure / Eset
Firewall:
Router



unsure.gif Also benötigt O&O eine ständige Internetverbindung wofür ? wenn nicht zum Ausstausch...
Ich denke nicht, denn dann wäre so manche Software plötzlich im Stillstand wenn man das Kabel zieht....
Und vorallem woran erkennt bzw. warum stoppt die Software, wenn die Internetverbindung gekappt ist... wenn das
nicht an einer Gegenstelle liegen soll was für einen Sinn macht das denn ??


Hier ein Auszug aus einem Threat bei dem ein User eine Stellungnahme von O&O erhalten hat.

O&O schreibt:

"Die Kommunikation der einzelnen Programmteile von O&O Defrag (z.B. Agent und GUI) basiert auf TCP/IP. Diese Kommunikation läuft ausschließlich intern, also ohne jeglichen Internetzugriff ab. Da die meisten Firewalls jedoch auch die interne IP-Kommunikation überwachen, bekommen Sie eine entsprechende Meldung.
Sie brauchen Ihre Firewall nicht abzuschalten! Bitte geben Sie einfach den Port 50300 frei. Da O&O Defrag die Zugriffsberechtigungen automatisch überprüft, kann selbst bei bestehender Internetverbindung kein externer Zugriff auf diesen Port erfolgen."

-----------------------

Unter externem Zugriff kann man nun auch zweierlei verstehen und das stellt mein Vertrauen auch nicht wiederher...
denn dann wäre bei aktivem Router eine interne Kommunikation möglich zu meinem Lokalhost, die aber keine Netzverbindung drüberher braucht,
also bei gezogenem Stecker trotzdem funzen sollte oder wie darf man das verstehen...
Denkfehler sind dazu da gemacht zu werden....wer löst den Knoten lmfao.gif

Der Beitrag wurde von Sasser bearbeitet: 27.11.2008, 13:30


--------------------
Sicherheit ist kein Zustand sondern ein stetiger Prozess.

Das Leben ist ein Stirb und Werde.










Go to the top of the page
 
+Quote Post
Gast_regenschauer_*
Beitrag 27.11.2008, 13:15
Beitrag #6






Gäste






ZITAT(Sasser @ 27.11.2008, 12:53) *
Lokal zwischen Mir und O&O rolleyes.gif
Und bei gekappter Verbindung beendet sich das Programm...Trojaner tun das auch lmfao.gif
Quatsch. Trenne die Internetverbindung und oo defrag läuft weiter. Dass OO defrag(home) per TCP/IP intern kommuniziert ist ein alter Hut. -> NUR LOKAL
Anderenfalls würde mich die wan-Verbindung brennend interessieren, d.h. Adresse+Port. Nach einer Stunde packet capture habe ich nichts dergleichen festgestellt.

Der Beitrag wurde von regenschauer bearbeitet: 27.11.2008, 13:17
Go to the top of the page
 
+Quote Post
Gast_regenschauer_*
Beitrag 27.11.2008, 13:52
Beitrag #7






Gäste






ZITAT(Sasser @ 27.11.2008, 13:09) *
Unter externem Zugriff kann man nun auch zweierlei verstehen und das stellt mein Vertrauen auch nicht wiederher...
denn dann wäre bei aktivem Router eine interne Kommunikation möglich zu meinem Lokalhost, die aber keine Netzverbindung drüberher braucht,
Ich *vermute* einen weitgehend identischen code mit der Serverversion. Ist nicht besonders schön gelöst, Exploits sind mir allerdings keine bekannt. Du traust dem Programm nicht, dann nutze es nicht. "Spionage"-vorwürfe an OO gehen dann aber doch ein bisserl weit, soweit du nichts Handfestes hast. Grüße
Go to the top of the page
 
+Quote Post
Sasser
Beitrag 27.11.2008, 13:54
Beitrag #8



Gehört zum Inventar
******

Gruppe: Mitglieder
Beiträge: 1.764
Mitglied seit: 31.07.2006
Wohnort: Hamburg
Mitglieds-Nr.: 5.175

Betriebssystem:
W7 Prof. /Linux div.
Virenscanner:
F-Secure / Eset
Firewall:
Router



whistling.gif Nun bei der 11Version heißt es Professional ist aber die einfache nicht Servergebundene Version für Privat, die auch Chip.de anbietet.
Bei Trennung des Internetkabels steht die Software im eben noch laufenden Betrieb unter Vista augenblicklich still wie ich gesagt habe.
Siehe Bild. D/Lokal Space " in Warteschlange "
Das ist wie bei einem Auto und der Bremse, exakt genauso.
Also nix mit Quatsch. notworthy.gif

Der Beitrag wurde von Sasser bearbeitet: 27.11.2008, 13:55
Angehängte Datei(en)
Angehängte Datei  Unbenannt.gif ( 103.55KB ) Anzahl der Downloads: 25
 


--------------------
Sicherheit ist kein Zustand sondern ein stetiger Prozess.

Das Leben ist ein Stirb und Werde.










Go to the top of the page
 
+Quote Post
Gast_regenschauer_*
Beitrag 27.11.2008, 14:10
Beitrag #9






Gäste






Kann ich auch unter vista nicht reproduzieren. Und was hat das mit der Warteschlange zu tun? confused.gif Auf einer physikalischen Festplatte werden die Partitionen nacheinander defragmentiert. c:\ steht bei dir bei 84% wink.gif
Go to the top of the page
 
+Quote Post
Voyager
Beitrag 27.11.2008, 14:15
Beitrag #10



Ist unverzichtbar
*******

Gruppe: Mitglieder
Beiträge: 14.840
Mitglied seit: 05.07.2004
Mitglieds-Nr.: 1.143

Betriebssystem:
Windows 7 SP1 (x64)
Virenscanner:
NIS2013
Firewall:
NIS2013



@Sasser

Die Defragmentierung läuft auf C: aber weiter laut deinem Bild , nach deiner Aussage sollte die auf C: beendet sein. Wie Regenschauer schon sagt, die beiden Partitionen / Platten werden von der Software in der Regel nicht gleichzeitig sondern nacheinander defragmentiert.
Ich denke du siehst da einfach nicht durch .


--------------------
Der Beitrag wurde von Unbekannt bearbeitet: Morgen, 06:00
System:
Intel C2Q9550 , Gigabyte GA-P35-DS3L , 8GB Mushkin , XFX HD6670 , Samsung SATA2 (750GB, 500GB, 2x 1TB) , ATAPI & NEC DVDRAM , TFT Samsung T260 26" , Case Lian Li PC-7FNW , Corsair Accelerator SSD 60GB

"Irgendwelche Politiker mögen irgendwann mal einen cleveren Gedanken haben, aber in der Regel plappern sie nur die Agenda der Lobbyisten nach."
Lobbyismus für Dummies : http://www.youtube.com/watch?v=P_QVyOGnIrI
Einschätzung zur Wikileaks Lage : http://www.youtube.com/watch?v=HVJAUECLdo8 , http://www.youtube.com/watch?v=gWR4VAyva6s
Go to the top of the page
 
+Quote Post
Sasser
Beitrag 27.11.2008, 14:32
Beitrag #11



Gehört zum Inventar
******

Gruppe: Mitglieder
Beiträge: 1.764
Mitglied seit: 31.07.2006
Wohnort: Hamburg
Mitglieds-Nr.: 5.175

Betriebssystem:
W7 Prof. /Linux div.
Virenscanner:
F-Secure / Eset
Firewall:
Router



rolleyes.gif Ja Bond ich versuch das auch gerne neutral zu verstehen, aber wie gesagt und das hat nichts mit den Partitionen zu tun, denn die werden parallel
bearbeitet...also stell dir einen Fön vor, der mit Strom läuft..du ziehst den Stecker...in meinem Fall den Internetstecker und die Bremse kommt.
Innerhalb von 2Sek. ist ein bewegtes Bild mit Cluster-Farb-Spiel ein Programm plötzlich grau und tot.

Möglicherweise ist aufgrund der Testversion ein verschärftes Eingreifen hier programiert....schließlich gibt es ja auch Programme die 30Tage Trial einfrieren
indem Sie die Systemzeit vorgaukeln..aber wie dem sei ich habe das Teil demnächst als Original und sehe dann weiter....
Von der Performance ist es besser als die Version von Abelsoft und auch sonst macht O&O einen flotten Eindruck....nur aufgrund dieses
Sicherheitslochs kann sich bei mir keine Freude einstellen...
Aber ich lasse das gerne hier widerlegen, denn auch ich würde lieber mit O&O arbeiten..... ranting.gif

Der Beitrag wurde von Sasser bearbeitet: 27.11.2008, 14:33


--------------------
Sicherheit ist kein Zustand sondern ein stetiger Prozess.

Das Leben ist ein Stirb und Werde.










Go to the top of the page
 
+Quote Post
Gast_peks_*
Beitrag 27.11.2008, 14:39
Beitrag #12






Gäste






Vielleicht guckste nur endlich einfach mal nach ob O&O den Port auf dem loopback device öffnet oder sonstwo, weil, wenn auf lo, dann ist das schnuppe ob du das Kabel ziehst oder nicht..also bzgl. Sicherheit. du bist doch schon lange genug hier um solche Dinge a) zu verstehen und b) zu testen. Weil ich verstehe nicht wie du weiterhin von einem Sicherheitsloch sprechen kannst (zumindestens unter den Bedingungen die du bis jetzt hier angegeben hast)...vielleicht hat dein System einfach nur ne Macke und deswegen friert O&O ein..wobei das ja wie bond7 schon sagte auf deinem Screenshot nicht so aussieht..
Go to the top of the page
 
+Quote Post
dragonmale
Beitrag 27.11.2008, 15:44
Beitrag #13



Wohnt schon fast hier
*****

Gruppe: Mitglieder
Beiträge: 1.413
Mitglied seit: 17.11.2003
Mitglieds-Nr.: 4.706



ZITAT(regenschauer @ 27.11.2008, 13:14) *
Dass OO defrag(home) per TCP/IP intern kommuniziert ist ein alter Hut. -> NUR LOKAL

Stimmt -> ich zitiere mich mal selbst:
ZITAT(dragonmale @ 07.11.03 16:53 Uhr)
Im Übrigen, braucht man sich keine Sorgen zu machen, denn dieses Programm will nicht auf das Internet zugreifen, sondern braucht diese Kommunikation intern. Siehe FAQ: FAQ zu O&O Defrag V6 Professional Edition 2. Beim Starten von O&O Defrag meldet meine Firewall einen Zugriffsversuch. Wieso? Und was kann ich dagegen tun? Die Kommunikation der einzelnen Programmteile von O&O Defrag (z.B. Agent und GUI) basiert auf TCP/IP. Diese Kommunikation läuft ausschließlich intern, also ohne jeglichen Internetzugriff ab. Da die meisten Firewalls jedoch auch die interne IP-Kommunikation überwachen, bekommen Sie eine entsprechende Meldung. Sie brauchen Ihre Firewall nicht abzuschalten! Bitte geben Sie einfach den Port 50300 frei. Da O&O Defrag die Zugriffsberechtigungen automatisch überprüft, kann selbst bei bestehender Internetverbindung kein externer Zugriff auf diesen Port erfolgen.

Quelle: Winfuture

Dies bezog sich damals zwar auf die V6, bzw. V8, aber geändert hat sich hier im Prinzip nicht all' zu viel -> hier die V11:




Angehängte Datei(en)
Angehängte Datei  oo.jpg ( 154.6KB ) Anzahl der Downloads: 15
 


--------------------
"Alle Menschen werden als Original geboren,
doch die meisten sterben als Kopie"

(Ernst Niebergall)

Go to the top of the page
 
+Quote Post
Gast_regenschauer_*
Beitrag 27.11.2008, 16:48
Beitrag #14






Gäste






Ja, so auch in der aktuellen Hilfe bei Defrag 11.

mk:@MSITStore:%programfiles%\oo software\Defrag\oodpe.chm::/oodefragundfirewalls4.htm

Für Abweichungen von dieser Aussage sehe ich *derzeit* keine Hinweise, lasse mich aber gern aufklären.
Go to the top of the page
 
+Quote Post
olli
Beitrag 27.11.2008, 21:00
Beitrag #15



Ist unverzichtbar
Gruppensymbol

Gruppe: Freunde
Beiträge: 5.267
Mitglied seit: 30.11.2003
Wohnort: Dortmund
Mitglieds-Nr.: 242

Betriebssystem:
Windows 10 Prof 64Bit
Virenscanner:
GData/ MS Defender
Firewall:
Router/ Windows 10



Moin zusammen!

O&O lauscht nicht, das wurde ja nun oft genug gesagt. Deakivier doch einfach mal deinen AV-Scanner und versuche nochmal eine Defragmentierung. Vielleicht hängt sich einfach der Virenscanner an einr Datei auf. Beispielsweise läuft O&O mit Kis nur mit einigen Tricks (und auch dann nicht immer...)

Bis denne
Olli


--------------------
...und sonst bin ich mit einem VW T3 oder einer V-Strom unterwegs...
Go to the top of the page
 
+Quote Post
Sasser
Beitrag 27.11.2008, 21:50
Beitrag #16



Gehört zum Inventar
******

Gruppe: Mitglieder
Beiträge: 1.764
Mitglied seit: 31.07.2006
Wohnort: Hamburg
Mitglieds-Nr.: 5.175

Betriebssystem:
W7 Prof. /Linux div.
Virenscanner:
F-Secure / Eset
Firewall:
Router



rolleyes.gif So vielen Dank erstmal an die Erfahrungen mit O&O.
Nachdem ich die Version 11 sowohl unter XP als auch unter Vista entsprechend laufen hatte, nehme ich an das bei der Installation doch die Serverbasierte Auswahl von mir unbewußt getroffen wurde oder ich einen Bug in der Version habe...
whatever ich habe mir mal schnell die 10er Version runtergeladen und die auf beiden Systemen nun instaliert...
Netzstecker, kein Problem läuft weiter und in der Tat hier ist auch kein Traffic nach Außen.

Vermutlich war es also Hausgemacht und ich habe auf Serverbasiert eingestellt, klar das dann der Kontakt nach Außen losgeht... unsure.gif


--------------------
Sicherheit ist kein Zustand sondern ein stetiger Prozess.

Das Leben ist ein Stirb und Werde.










Go to the top of the page
 
+Quote Post
olli
Beitrag 27.11.2008, 22:01
Beitrag #17



Ist unverzichtbar
Gruppensymbol

Gruppe: Freunde
Beiträge: 5.267
Mitglied seit: 30.11.2003
Wohnort: Dortmund
Mitglieds-Nr.: 242

Betriebssystem:
Windows 10 Prof 64Bit
Virenscanner:
GData/ MS Defender
Firewall:
Router/ Windows 10



Na siehste!

Dann berichte mal ,was du von OO hälst. Ich habe hier ja auch no mst liegen...
Bis denne
Olli


--------------------
...und sonst bin ich mit einem VW T3 oder einer V-Strom unterwegs...
Go to the top of the page
 
+Quote Post
citro
Beitrag 27.11.2008, 22:23
Beitrag #18



Gehört zum Inventar
******

Gruppe: Mitglieder
Beiträge: 2.829
Mitglied seit: 06.10.2005
Mitglieds-Nr.: 3.709

Betriebssystem:
Win 10 Home (1909)
Virenscanner:
Avira free
Firewall:
Comodo



Wer jegliche Firewall abschaltet und einen Portscan durchführen läßt, sieht, 50300 ist offen.
Soll aber trotzdem nur interne Kommunikation sein.

Wer sich unsicher ist, kann den Dienst von O&O Defrag bei Nichtgebrauch beenden.
Go to the top of the page
 
+Quote Post

Closed TopicStart new topic
1 Besucher lesen dieses Thema (Gäste: 1 | Anonyme Besucher: 0)
0 Mitglieder:

 



Vereinfachte Darstellung Aktuelles Datum: 15.06.2024, 21:52
Impressum