8. Online Sicherheitstests, Security Check Software
Die Gibson Research Corporation bot seit 18.3.2000 das OptOut Spyware Removal Tool für 32-bit-Windows gratis zum Download an.
1. März 2001, Update: Das Produkt OptOut ist ausgelaufen und wird nicht erneuert. Existierende Installationen funktionieren nicht mehr (expired). Diesbezügliche Informationen auf GRC.com. GRC arbeitet an einer ähnlichen Anwendung mit dem Namen NetFilter. Als Ersatz für die Software sei Ad-aware von Lavasoft empfohlen, das hier weiter unten beschrieben wird.
Steve Gibsons englische Dokumentation auf der Website zum Thema Spyware (spionierende Software) ist umfassend. Es findet sich auch eine Liste von Programmen, die dieses »Aureate Baggage« mitbringen und installieren, darunter so populäre wie CuteFTP, EZ-Forms, FileSplit, GetRight, Go!Zilla und Copernic, meistens die Demoversionen. Nur wenige davon informieren die User bei der Installation über die Spionage-Programmteile, die sie ohne zu fragen einschleusen, und wenn, dann nur irgendwo versteckt in den Lizenzbedingungen (EULA), die ohnehin kein Mensch jedesmal liest.
OptOut durchsuchte die Registry nach verdächtigen Einträgen und löschte diese. Der »Deep Scan« suchte verschiedene einschlägige Programmbibliotheken auf den Festplatten. Es sei darauf hingewiesen, daß die mit den Spyware-DLLs verknüpften Programme nach der Entfernung der Programmteile durch OptOut mitunter nicht mehr funktionierten.
Die Internet-Community wurde von Gerüchten aufgerüttelt, ein verbreitetes System, das gleichzeitig mit »advertiser-supported software« installiert werde, sei in Wirklichkeit eine Art »Trojanisches Pferd des Internet«. Es wird gemunkelt, der Computer des ahnungslosen Anwenders werde ohne zu fragen »inventarisiert«, die Registry gescannt und alle möglichen persönlichen, privaten und vertraulichen Informationen würden über das Internet zur Aureate Media Corporation gesendet, um deren Datensammlung zu »bereichern« und zu ermöglichen, Persönlichkeitsprofile zu erstellen. Unerhörte Datenmengen seien dadurch in Umlauf gekommen, auf mehr als zwanzig Millionen PCs sei Aureate bereits unabsichtlich installiert worden, vermelden gut unterrichtete Kreise, die Technik erlaube es Aureate, die Computer von außen zu kontrollieren. Doch damit noch nicht genug – der besondere Clou: Selbst nach einer Deinstallation der Software, welche dieses »Gepäck« mitbrachte, werden angeblich weiterhin Daten übertragen! Schier unglaublich: Es stellt sich heraus, berichtet Steve Gibson, daß Aureates »browser parasite«-Technologie tatsächlich für eine Reihe von bisher unerklärlichen Browser-Abstürzen und -Problemen verantwortlich ist!
Zahlreiche Leser von Sicherheit im Kabelnetzwerk berichten, daß auch sie keine Ahnung von der Existenz dieser spionierenden Software-Komponenten auf ihren Festplatten hatten, Ähnliches ist auch in anderen Foren und Newsgruppen zu erfahren. »Schweinerei« ist eine der milderen Bezeichnungen, die für diese Aktivitäten verwendet werden. Die meisten fühlen sich mehr als unwohl, wenn hinter ihrem Rücken unkontrolliert persönliche Daten verschickt werden.
Auch Symantec/Norton beschäftigt sich seit kurzem mit diesem Thema, gibt eine »unabhängige Stellungnahme« dazu ab und erklärt, wie man ihr Produkt Norton Internet Security 2000 justiert, um diesen unerwünschten Datenverkehr zu unterbinden, die fragwürdigen Komponenten werden jedoch nicht entfernt wie mit OptOut. (5. Juli MM, Anmerkung: Der Link ist leider down, obwohl er auch auf der Symantec-Seite aufscheint, offenbar gibt es bei dieser nicht unheiklen Angelegenheit Kommunikationsschwierigkeiten.)
Update: Die eben angeführten WWW-Hyperlinks zeigen alle nicht mehr die Texte, die dort einmal zu finden waren. Schlimmer noch: In einschlägigen Usenet-Newsgruppen ist zu erfahren, daß (frühere) Versionen von Norton Personal Firewall (Bestandteil von Norton Internet Security) als Default-Regel absichtlich eine Hintertür zu Aureate/Radiate offengehalten haben, ohne daß der User etwas davon bemerkte! Originalton Symantec, 30. Oktober 2000: »By default, Norton Internet Security and Norton Personal Firewall automatically create rules to allow Radiate activity.«
Auf seiner Web-Seite schreibt Steve Gibson: »Die aktuelle Version enthält einen Eintrag, der es der ›AllAdvantage‹-Spyware (Browser-Viewbar) erlaubt, geradewegs durch die Firewall zu passieren, ohne seine User davor zu warnen oder auch nur danach zu fragen! Somit hat Symantec nicht nur Trojaner, Viren und Spyware nicht davon abgehalten, vorzutäuschen, irgendeines der 878 nach einer Installation per Default ›vor-genehmigten‹ Programme zu sein, sondern die Firma entscheidet sogar für den Anwender, was diese Programme darstellen – selbst wenn es sich dabei um Spielarten dieser zweifelhaften Adware und Spyware handelt; schließlich mag sich der User eine Firewall gekauft haben, um sich gerade davor zu schützen.«Weitere Infos zu OptOut und Spyware: C'NETs Summary Story Are security fears running ahead of reality? Und vom ZDNet-Verlag: I Call It Spyware. So Sue Me! und Stop 'Spyware' From Following You on the Net von Jim Louderback.
Aureate heißt jetzt übrigens Radiate... Inzwischen haben sie auch einen eigenen Remover herausgebracht, der ihre unerwünschten DLLs entfernen soll; aber wie heißt es so schön auf englisch? »Oh look, the fox is in the hen house so lets send in a weasle to get rid of the fox!« Hier ein Foto von Ehren Maedge, »President and CEO« der geschäftstüchtigen Brüder, die freilich für jeden einzelnen der Vorwürfe eine Erklärung haben und nicht zögern, gerichtlich gegen öffentliche Behauptungen, die ihnen nicht passen, vorzugehen.
Weitere Stichworte zu diesem gefährlichen Trend im Internet sind Conducent/TimeSink (PKZip und CuteFTP), Comet Cursor, Alexa/zBubbles, Adware, Doubleclick, DSSAgent, Gator, Cydoor, Webhancer, TransCom’s BeeLine, GoHip, Web3000, EverAd, Onflow, Flyswat und SurfMonkey. Interessant in diesem Zusammenhang auch die Web-Seite Phone Home – wenn Software Heimweh bekommt mit einer Liste verdächtiger Programme. Die deutschsprachige Zeitschrift HomeP@ge Magazin widmet sich ebenfalls ausführlich dem Thema und bietet einen eigenen Aureate-Killer (mit Undo-Funktion) zum Download an (nicht getestet), ebenso Lavasoft mit Ad-aware v4.5 sowie Patrick Kolla mit seinem Programm SpyBot-Search&Destroy und SpyCops Spyware Detection and Deletion Software (Registration erforderlich).
Update 22.11.2000: Lavasoft bringt – nach eigenen Angaben mit erheblicher Verspätung – die komplett neu geschriebene Version 4.01 von Ad-aware heraus. Hier ein paar der neuen Features: Kommandozeilen-Parameter, Autostart während dem Windows-Bootup, automatisches Scannen und Entfernen, Ad-watch (Echtzeit-Überwachungs-Add-on), automatische Erstellung einer Log-Datei, Aufspüren neuer Spyware und genauere Angaben dazu.
Update 3.2.2001: Ad-aware Version 4.5 (3.3.: 4.55; 6.4.: 4.6) speichert die Log-Datei – nach Belieben auch automatisch – an definierbaren Orten (Datei-Pfadangaben) auf der Festplatte, Fehler unter Windows 2000 und NT wurden behoben, das Logfile zeichnet nun auch Details zu beendeten Software-Prozessen auf, neue und verbesserte Reflist-Datei, der Registry-Scan wurde aufgeteilt in einen Regular- und einen Enhanced- (Deep)-Scan, erweiterte Spy/Adware-Erkennung. Ältere Versionen vor der Installation der neuen über die Funktion "Software-Deinstallieren" in der "Windows-Systemsteuerung" entfernen. Deutsche Bedienungsanleitung bei Trojaner-Info.de.
Web-Bugs auf die Schliche kommen