Infoseite // Spionage Software in Windows abschalten !

Frage von MLJ:


@All
"Pegasus" der Firma NSO Group befällt Smartphones und "Devils Toungue" der Firma Candiru, ebenfalls aus Israel, befällt Windows. Wie ihr feststellen könnt ob euer Windows davon betroffen ist und wie ihr diese wieder loswerdet könnt ihr im Link unten nachlesen. Meine Rechner sind nicht betroffen.

Borns IT Blog vom 19.7.2021

Cheers und bleibt gesund

Mickey



Antwort von roki100:

In Windows abschalten, während auf Smartphones, SmartTVs und wer weiß alles wo was genau läuft...
Sanktionen gegen NSO Group bzw. gegen Israel und derer Verbündete/Kunden (Länder wie USA und manche EU Staaten) können wir aber vergessen, denn die alle nennen sich "Demokraten" und dürfen das. pf... darf man wahrscheinlich nicht Kritisiere, weil Antisemitismus...
Während PEGASUS public ist, laufen/fliegen bestimmt zig andere trojanische no public Pferde... Ja ja, Vertrauen ist gut, Kontrolle aber besser...Globale DDR v2.



Antwort von Bluboy:

So ist das Leben, hunderte MITarbeiter treiben in D ihr Unwesen, da ist Kontrolle angesagt.
Jeder sollte sich also mit den Handbuch von George Orwell vertraut machen.

Warum wohl hat MS den Network Indicator entfernt ?

genau, damit Di nicht siehst wenn Du Besuch hast



Antwort von vaio:

Bluboy hat geschrieben:
So ist das Leben, hunderte MITarbeiter treiben in D ihr Unwesen, da ist Kontrolle angesagt.
Jeder sollte sich also mit den Handbuch von George Orwell vertraut machen.

Warum wohl hat MS den Network Indicator entfernt ?

genau, damit Di nicht siehst wenn Du Besuch hast Der „Network Connectivity Status Indicator“ zeigt nur an, ob eine Internetverbindung besteht und hat mit Erkennung von „Besuch“ gar nichts zu tun. Nicht mehr, aber auch nicht weniger. Zum Thema Datenschutz ist die Option eher umstritten und das Gegenteil ist der Fall.

Siehe:
https://www.der-windows-papst.de/2020/0 ... indicator/
https://www.tecchannel.de/a/ungewollte- ... en,3202196
https://de.wikipedia.org/wiki/Network_C ... _Indicator

Das Netz ist voll damit und mit den vergangenen Updates hat der NCSI teilweise wohl auch nicht mehr zuverlässig angezeigt (z.B. bei VPN-Verbindungen).



Antwort von Bluboy:

vaio hat geschrieben:
Der „Network Connectivity Status Indicator“ zeigt nur an, ob eine Internetverbindung besteht und hat mit Erkennung von „Besuch“ gar nichts zu tun. Nicht mehr, aber auch nicht weniger. Zum Thema Datenschutz ist die Option eher umstritten und das Gegenteil ist der Fall.
Der Netzwerk Activity Indikator (wie er bis Win XP vorhanden war zeigt an ob eine IN oder OUT Übertragung stattfindet - mehr nicht

Das reicht aber um verdächtige Bewegungen zu sehen.



Antwort von Frank Glencairn:

Is ja nicht so, daß es keine alternative Software gibt, die anzeigt was raus und rein geht,
allerdings halte ich die Chance, daß einer von uns hier Opfer eine israelischen Geheimdienst Angriffes wird, für eher überschaubar.



Antwort von dienstag_01:

"Frank Glencairn" hat geschrieben:
Is ja nicht so, daß es keine alternative Software gibt, die anzeigt was raus und rein geht,
allerdings halte ich die Chance, daß einer von uns hier Opfer eine israelischen Geheimdienst Angriffes wird, für eher überschaubar. Vom israelischen nicht, darum gehts nicht.

Aber richtig ist, man sollte seine eigene Wichtigkeit nicht überschätzen.



Antwort von TomStg:

dienstag_01 hat geschrieben:
Aber richtig ist, man sollte seine eigene Wichtigkeit nicht überschätzen. Sehr richtig!
Leider ist hier bei so manchem Windows-Angstgestörten das Gegenteil der Fall.



Antwort von roki100:

https://www.youtube.com/watch?v=ABAfH1pOQVU

Man stelle sich vor, Russen oder Chinesen, Nordkorea.... hätten so gehandelt, einfach eine Spionage Software entwickeln, angeblich für den guten Zweck, verkaufen die Software dann aber an jeden, ohne Kontrolle. Außerdem muss die Software Zugang zu Netzanbieter erhalten haben, das heißt, Zugriff auf Satelliten und andere Netzquellen...oder vll. irgendwelche Chiphersteller... Da sind sicherlich mehr daran beteiligt, als nur irgendeine Privatfirma.






Antwort von Bluboy:

Man stelle sich vor, die anderen, hat man nicht erwischt
Russland, China, Iran, Gaza, an vordester Stelle

https://threatmap.checkpoint.com/



Antwort von Frank Glencairn:

Halt einfach nicht auf unbekannte Links, die per SMS oder sonstwas kommen klicken.



Antwort von roki100:

"Frank Glencairn" hat geschrieben:
Halt einfach nicht auf unbekannte Links, die per SMS oder sonstwas kommen klicken. Bei PEGASUS muss auf nichts geklickt werden.

Die Firma NSO hat jedoch noch einen anderen, beängstigenden Weg gefunden, wie "Pegasus" unbemerkt auf ein Mobiltelefon installiert werden kann - einen Weg, gegen den die Opfer komplett wehrlos sind. Es ist kein Klick mehr nötig. Das Handy muss nur angeschaltet und mit dem Netz verbunden sein. Der Angreifer verschickt eine Nachricht, die nicht auf dem Handy angezeigt wird. Sie bringt das Gerät dazu, die Spionagesoftware zu laden und zu installieren....Die NSO-Kunden müssen dafür nur die Telefonnummer der Zielperson eingeben. Das Smartphone empfängt dann automatisch Daten, die aus dem Internet heruntergeladen werden. In diesem Fall ist es der Trojaner "Pegasus".
https://www.tagesschau.de/investigativ/ ... e-101.html



Antwort von Bluboy:

Die letzten CyberGangster haben sie erwischt, weil das FBI den Ganstern präparierte Handys verkauft hat

;-))

Die unseren probierens auch

https://netzpolitik.org/2018/geheime-do ... einsetzen/



Antwort von roki100:

Für NSA und NSO, fotografiere ich extra mein PO.



Antwort von Funless:

roki100 hat geschrieben:
Bei PEGASUS muss auf nichts geklickt werden.

Die Firma NSO hat jedoch noch einen anderen, beängstigenden Weg gefunden, wie "Pegasus" unbemerkt auf ein Mobiltelefon installiert werden kann - einen Weg, gegen den die Opfer komplett wehrlos sind. Es ist kein Klick mehr nötig. Das Handy muss nur angeschaltet und mit dem Netz verbunden sein. Der Angreifer verschickt eine Nachricht, die nicht auf dem Handy angezeigt wird. Sie bringt das Gerät dazu, die Spionagesoftware zu laden und zu installieren....Die NSO-Kunden müssen dafür nur die Telefonnummer der Zielperson eingeben. Das Smartphone empfängt dann automatisch Daten, die aus dem Internet heruntergeladen werden. In diesem Fall ist es der Trojaner "Pegasus".
https://www.tagesschau.de/investigativ/ ... e-101.html Hmmm ... also ich hab mich mit dieser Pegasus Angelegenheit jetzt nicht so intensiv befasst, eher nur beiläufig. Allerdings sollte man zumindest bei iOS Geräten unter "Einstellungen" --> "Info" --> "Zertifikatseinstellungen" sehen können ob und falls ja welche Anwendungen unbeschränkten Zugriff auf das Gerät haben. Denn der Sandbox Aufbau von iOS erlaubt keinen Zugriff ohne Zertifikat.

Aber wie gesagt, da ich mich mit dieser Pegasus Geschichte jetzt nicht so beschäftigt habe, keine Ahnung ob die da einen Weg gefunden haben das bei iOS ohne Zertifikat umgehen zu können. Wäre mir zwar neu aber vollständig ausschließen will ich es nicht. Müsste man sich das API mal anschauen.



Antwort von roki100:

Pegasus umgeht scheinbar alles. Es muss da eine andere uns unbekannten höchstwahrscheinlich vorprogrammierte (bestimmte Chiphersteller oder was auch immer) Hintertür geben und zwar unabhängig von Zertifikate oder verschlüsselte/geschützte Bereiche (wie z.B. root bei Unix Systeme usw.). Also eine Art implementierte Socket - speziell für den Zweck. Anders lässt sich das nicht erklären.

Es wird aber behauptet das Apple Geräte davon nicht betroffen seien, kann sein, glaube ich aber nicht... siehe:

In this Forensic Methodology Report, Amnesty International is sharing its methodology and publishing an open-source mobile forensics tool and detailed technical indicators, in order to assist information security researchers and civil society with detecting and responding to these serious threats.

This report documents the forensic traces left on iOS and Android devices following targeting with the Pegasus spyware. This includes forensic records linking recent Pegasus infections back to the 2016 Pegasus payload used to target the HRD Ahmed Mansoor.

The Pegasus attacks detailed in this report and accompanying appendices are from 2014 up to as recently as July 2021. These also include so-called “zero-click” attacks which do not require any interaction from the target. Zero-click attacks have been observed since May 2018 and continue until now. Most recently, a successful “zero-click” attack has been observed exploiting multiple zero-days to attack a fully patched iPhone 12 running iOS 14.6 in July 2021. https://www.amnesty.org/en/latest/resea ... s-pegasus/



Antwort von Frank Glencairn:

Soweit ich weiß, funktionierte Pegasus ursprünglich nur auf iOS (unter Ausnutzung irgendeine Lücke), und erst später auf Android.



Antwort von vaio:

Bluboy hat geschrieben:
vaio hat geschrieben:
Der „Network Connectivity Status Indicator“ zeigt nur an, ob eine Internetverbindung besteht und hat mit Erkennung von „Besuch“ gar nichts zu tun. Nicht mehr, aber auch nicht weniger. Zum Thema Datenschutz ist die Option eher umstritten und das Gegenteil ist der Fall.
Der Netzwerk Activity Indikator (wie er bis Win XP vorhanden war zeigt an ob eine IN oder OUT Übertragung stattfindet - mehr nicht

Das reicht aber um verdächtige Bewegungen zu sehen. Sorry, auch das ist vollkommen realitätsfremd. Mittlerweile sind die Verbindungen sehr komplex, da erkennst du mit dem „Indikator“ gar nichts. Gerade bei Windows, wo jeder jedes kostenlose Tool installiert… :-) Das verhält sich ähnlich, wenn du bei einer Fritz!box den Datenverkehr überprüfst. Nur das du dort wenigstens das übertragende Gesamtdatenvolumen erkennst. Nein, um eine nachhaltiges Aussage zu treffen gibt es andere Tools des BS.






Antwort von Frank Glencairn:

Wer's genau wissen will - Wireshark sieht alles.



Antwort von dosaris:

- Wireshark sieht alles. sagt aber leider nicht, mit welchem Prozess die Packete assoziiert sind.
TCPview ist in diesem Punkt etwas auskunftfreudiger.