Ein weiterer Anbieter von Spyware für Söldner gerät ins Visier
Von Bill Marczak, John Scott-Railton, Kristin Berdan, Bahr Abdul Razzak und Ron Deibert
Candiru ist ein geheimnisvolles Unternehmen mit Sitz in Israel, das Spyware ausschließlich an Regierungen verkauft. Berichten zufolge kann ihre Spyware iPhones, Androiden, Macs, PCs und Cloud-Konten infizieren und überwachen.
Durch Internet-Scans haben wir mehr als 750 Websites identifiziert, die mit der Spyware-Infrastruktur von Candiru verbunden sind. Wir fanden viele Domains, die sich als Interessenvertretungsorganisationen wie Amnesty International, die Black-Lives-Matter-Bewegung sowie Medienunternehmen und andere zivilgesellschaftliche Organisationen ausgaben.
Wir identifizierten ein politisch aktives Opfer in Westeuropa und stellten eine Kopie der Windows-Spionagesoftware von Candiru sicher.
In Zusammenarbeit mit dem Microsoft Threat Intelligence Center (MSTIC) analysierten wir die Spyware, was zur Entdeckung von CVE-2021-31979 und CVE-2021-33771 durch Microsoft führte, zwei Schwachstellen zur Privilegienerweiterung, die von Candiru ausgenutzt wurden. Microsoft hat beide Sicherheitslücken am 13. Juli 2021 gepatcht.
Im Rahmen der Untersuchung beobachtete Microsoft mindestens 100 Opfer in Palästina, Israel, Iran, Libanon, Jemen, Spanien, Großbritannien, Türkei, Armenien und Singapur. Zu den Opfern gehören Menschenrechtsverteidiger, Dissidenten, Journalisten, Aktivisten und Politiker.
Wir geben einen kurzen technischen Überblick über den Persistenz-Mechanismus der Candiru-Spyware und einige Details über die Funktionalität der Spyware.
Candiru hat sich bemüht, seine Eigentümerstruktur, Personalausstattung und Investitionspartner zu verschleiern. Dennoch konnten wir in diesem Bericht etwas Licht in diese Bereiche bringen.
Wer ist Candiru?
Das als “Candiru” bekannte Unternehmen mit Sitz in Tel Aviv, Israel, ist eine Söldner-Spyware-Firma, die “unauffindbare” Spyware an Regierungskunden vertreibt. Ihr Produktangebot umfasst Lösungen zum Ausspionieren von Computern, mobilen Geräten und Cloud-Konten.
Eine bewusst undurchsichtige Unternehmensstruktur
Candiru ist bestrebt, seinen Betrieb, seine Infrastruktur und die Identität seiner Mitarbeiter für die Öffentlichkeit undurchsichtig zu halten. Candiru Ltd. wurde im Jahr 2014 gegründet und hat mehrere Namensänderungen durchlaufen (siehe: Tabelle 1). Wie viele andere Söldner-Spionageunternehmen rekrutiert sich das Unternehmen Berichten zufolge aus den Reihen der Einheit 8200, der Signalaufklärungseinheit der israelischen Verteidigungsstreitkräfte.
Obwohl der aktuelle Name der Firma Saito Tech Ltd lautet, werden wir sie als “Candiru” bezeichnen, da sie unter diesem Namen am bekanntesten ist. Das Firmenlogo scheint eine Silhouette des angeblich furchterregenden Candiru-Fisches in Form des Buchstabens “C” zu sein.
Gemeldete Umsätze und Investitionen
Laut einer Klage eines ehemaligen Mitarbeiters hatte Candiru innerhalb von zwei Jahren nach der Gründung einen Umsatz von “fast 30 Millionen Dollar”. Die angeblichen Kunden der Firma befinden sich in “Europa, der ehemaligen Sowjetunion, dem Persischen Golf, Asien und Lateinamerika”. Zusätzlich wurden Berichte über mögliche Geschäfte mit mehreren Ländern veröffentlicht:
Usbekistan: In einer Präsentation auf der Sicherheitskonferenz Virus Bulletin im Jahr 2019 erklärte ein Kaspersky Lab-Forscher, dass Candiru seine Spyware wahrscheinlich an den Nationalen Sicherheitsdienst Usbekistans verkauft hat.
Saudi-Arabien und die Vereinigten Arabischen Emirate: In derselben Präsentation wurden auch Saudi-Arabien und die VAE als wahrscheinliche Candiru-Kunden genannt.
Singapur: In einem Bericht von Intelligence Online aus dem Jahr 2019 wird erwähnt, dass Candiru aktiv um Aufträge von Singapurs Geheimdiensten warb.
Katar: Ein Bericht von Intelligence Online aus dem Jahr 2020 stellt fest, dass Candiru “näher an Katar herangerückt ist.” Ein Unternehmen, das mit dem Staatsfonds von Katar verbunden ist, hat in Candiru investiert. Es sind noch keine Informationen über in Katar ansässige Kunden aufgetaucht,
Candirus Spyware-Angebote
Ein durchgesickerter Projektvorschlag von Candiru, der von TheMarker veröffentlicht wurde, zeigt, dass die Spyware von Candiru über eine Reihe verschiedener Vektoren installiert werden kann, darunter bösartige Links, Man-in-the-Middle-Angriffe und physische Angriffe. Es wird auch ein Vektor namens “Sherlock” angeboten, der angeblich unter Windows, iOS und Android funktioniert. Dabei handelt es sich möglicherweise um einen browserbasierten Zero-Click-Vektor.
Der 16-Millionen-Euro-Projektvorschlag erlaubt eine unbegrenzte Anzahl von Spyware-Infektionsversuchen, aber die Überwachung von nur 10 Geräten gleichzeitig. Für zusätzliche 1,5 Millionen Euro kann der Kunde die Fähigkeit erwerben, 15 zusätzliche Geräte gleichzeitig zu überwachen und Geräte in einem einzigen zusätzlichen Land zu infizieren. Für weitere 5,5 Mio. € kann der Kunde 25 zusätzliche Geräte gleichzeitig überwachen und in fünf weiteren Ländern Spionage betreiben.
Der Vorschlag besagt, dass die Spyware private Daten aus einer Reihe von Apps und Konten exfiltrieren kann, darunter Gmail, Skype, Telegram und Facebook. Die Spyware kann auch den Browserverlauf und Passwörter erfassen, die Webcam und das Mikrofon des Ziels einschalten und Bilder vom Bildschirm machen. Das Erfassen von Daten aus zusätzlichen Apps, wie Signal Private Messenger, wird als Add-on verkauft.
Für eine weitere Zusatzgebühr von 1,5 Mio. € können Kunden eine Remote-Shell-Fähigkeit erwerben, die ihnen vollen Zugriff auf die Ausführung beliebiger Befehle oder Programme auf dem Computer der Zielperson ermöglicht. Diese Art von Fähigkeit ist besonders besorgniserregend, da sie auch zum Herunterladen von Dateien, z. B. zum Einpflanzen von belastendem Material, auf ein infiziertes Gerät verwendet werden könnte.
Schlussfolgerung
Die offensichtlich weit verbreitete Präsenz von Candiru und der Einsatz seiner Überwachungstechnologie gegen die globale Zivilgesellschaft ist eine eindringliche Erinnerung daran, dass es in der Branche der Söldner-Spionageprogramme viele Akteure gibt und dass sie für weit verbreiteten Missbrauch anfällig ist. Dieser Fall zeigt einmal mehr, dass Spyware-Anbieter in Ermangelung internationaler Sicherheitsvorkehrungen oder strenger staatlicher Exportkontrollen an Regierungskunden verkaufen werden, die ihre Dienste routinemäßig missbrauchen. Vielen Regierungen, die begierig darauf sind, ausgefeilte Überwachungstechnologien zu erwerben, fehlt es an robusten Schutzmaßnahmen für ihre in- und ausländischen Sicherheitsbehörden. Viele zeichnen sich durch eine schlechte Menschenrechtsbilanz aus. Es ist nicht verwunderlich, dass diese Art von Regierungskunden in Ermangelung strenger gesetzlicher Beschränkungen Spionagedienste missbrauchen, um Journalisten, politische Oppositionelle, Menschenrechtsverteidiger und andere Mitglieder der globalen Zivilgesellschaft zu überwachen.
Die Zivilgesellschaft im Fadenkreuz…wieder
Das offensichtliche Anvisieren einer Person aufgrund ihrer politischen Überzeugungen und Aktivitäten, die weder terroristischer noch krimineller Natur sind, ist ein beunruhigendes Beispiel für diese gefährliche Situation. Beunruhigend ist auch die unabhängige Analyse von Microsoft, die mindestens 100 Opfer von Candirus Malware-Operationen feststellt, darunter “Politiker, Menschenrechtsaktivisten, Journalisten, Akademiker, Botschaftsmitarbeiter und politische Dissidenten.”
Ebenso beunruhigend ist in diesem Zusammenhang die Registrierung von Domains durch Candiru, die sich als Menschenrechts-NGOs (Amnesty International), legitime soziale Bewegungen (Black Lives Matter), internationale Gesundheitsorganisationen (WHO), Frauenrechtsthemen und Nachrichtenorganisationen ausgeben. Obwohl uns der Kontext zu den spezifischen Anwendungsfällen im Zusammenhang mit diesen Domains fehlt, ist ihr bloßes Vorhandensein als Teil der Candiru-Infrastruktur – angesichts der weit verbreiteten Schäden gegen die Zivilgesellschaft im Zusammenhang mit der globalen Spyware-Industrie – höchst besorgniserregend und ein Bereich, der eine weitere Untersuchung verdient.
Behebung von Schäden im Zusammenhang mit dem kommerziellen Spyware-Markt
Letztendlich erfordert die Bekämpfung der Missbräuche der Spyware-Industrie einen robusten, umfassenden Ansatz, der über die Bemühungen hinausgeht, die sich auf ein einzelnes hochrangiges Unternehmen oder Land konzentrieren. Leider hat sich das israelische Verteidigungsministerium – von dem in Israel ansässige Unternehmen wie Candiru eine Exportlizenz erhalten müssen, bevor sie ins Ausland verkaufen dürfen – bisher als nicht gewillt erwiesen, Überwachungsunternehmen der Art von strenger Prüfung zu unterziehen, die erforderlich wäre, um Missbräuche der Art zu verhindern, die wir und andere Organisationen festgestellt haben. Der Exportlizenzierungsprozess in diesem Land ist fast völlig undurchsichtig und lässt selbst die grundlegendsten Maßnahmen der öffentlichen Rechenschaftspflicht oder Transparenz vermissen. Wir hoffen, dass Berichte wie dieser die politischen Entscheidungsträger und Gesetzgeber in Israel und anderswo anspornen werden, mehr zu tun, um die zunehmenden Schäden zu verhindern, die mit einem unregulierten Spyware-Markt verbunden sind.
Es lohnt sich, auf die wachsenden Risiken hinzuweisen, denen Spyware-Anbieter und ihre Eigentümergruppen selbst als Folge ihrer eigenen rücksichtslosen Verkäufe ausgesetzt sind. Söldnerische Spyware-Anbieter wie Candiru vermarkten ihre Dienste gegenüber ihren Regierungskunden als “unauffindbare” Tools, die sich der Entdeckung entziehen und so verhindern, dass die Aktivitäten ihrer Kunden aufgedeckt werden. Unsere Untersuchungen zeigen jedoch einmal mehr, wie fadenscheinig diese Behauptungen sind. Obwohl es manchmal schwierig ist, ist es für Forscher möglich, gezielte Spionage mit einer Vielzahl von Netzwerküberwachungs- und anderen Untersuchungstechniken zu erkennen und aufzudecken, wie wir in diesem Bericht (und anderen ähnlichen Berichten) gezeigt haben. Selbst die bestausgestatteten Überwachungsfirmen machen Bedienungsfehler und hinterlassen digitale Spuren, was ihre Marketingaussagen, sie seien heimlich und unauffindbar, höchst fragwürdig macht. In dem Maße, in dem ihre Produkte in erhebliche Schäden oder Fälle von unrechtmäßigem Targeting verwickelt sind, kann die negative Enthüllung, die aus der Untersuchung des öffentlichen Interesses resultiert, zu erheblichen Haftungen für Eigentümer, Aktionäre und andere Personen führen, die mit diesen Spyware-Unternehmen verbunden sind.
Schließlich zeigt dieser Fall den Wert eines gemeinschaftsweiten Ansatzes bei Untersuchungen zu gezielter Spionage. Um die von dieser Industrie verursachten Schäden für unschuldige Mitglieder der globalen Zivilgesellschaft zu beheben, ist die Zusammenarbeit zwischen akademischen Forschern, Netzwerkverteidigern, Bedrohungsaufklärungsteams und Technologieplattformen entscheidend. Unsere Forschung stützte sich auf mehrere Datenquellen, die von anderen Gruppen und Einrichtungen, mit denen wir zusammenarbeiteten, kuratiert wurden, und trug letztendlich dazu bei, Software-Schwachstellen in einem weit verbreiteten Produkt zu identifizieren, die dem Hersteller gemeldet und dann von ihm gepatcht wurden.
Diese Seite und ihre Inhalte sind unter einer Creative Commons Attribution 2.5 Canada Lizenz lizenziert.
Munk School of Global Affairs & Public Policy | Universität von Toronto
Noch was zu Browsern. Damit endlich jeder sieht, es braucht gar keine Extra Software zum Schnüffeln. Das sind oft nur Nebelkerzen.
Jeder heutige Browser schnüffelt. Das hat Google durchgesetzt, durch kriminellen Missbrauch seiner Marktmacht. JEDE kommerzielle Internetseite beinhaltet die (kostenlosen) Google-Tools. Und daher fragt JEDE kommerzielle Internetseite als erstes im Hause Google nach, wenn jemand diese Website aufruft. Und wenn Google der Browser nicht passt, wird der Aufrufer blockiert; d.h. die aufgerufene Website reagiert dann nicht mehr. Doch es ist nicht die Website, sondern Google, das blockiert.
Der Operabrowser war einer ser schnellsten Browser, die es je gab. 100x schneller als Firefox, bei gleichzeitig 100x niedrigerem Ressourcenverbrauch. Opera hat sich bis zuletzt gegen den von Google geforderten Chromium-Kernel gewehrt. Und genau aus diesem Grund wurde Opera (die alte Technologie) von Google vernichtet.
Der Chromebrowser bzw. jeder Browser mit Chromium-Kernel (andere gibt’s kaum noch) hat eine „Fahrgestellnummer“, an der man jeden Benutzer erkennt, und zwar durch alle Proxies und Anonymisierer hindurch. Aus demselben Hause wie der YouTube Schnüffelverein. Wer mit Chrome Technologie ins Netz geht, publiziert damit all seine Daten, incl. der privaten Wohnanschrift.
Überall wird Firefox empfohlen. Und damit der Teufel persönlich ins Haus geholt. Jedesmal werde ich angegriffen, wenn ich vor dem Lügenbold warne. Daher noch ein paar techn. Details zum „Guten Firefox“, dem liebsten Freund der Internetgemeinde.
FF war noch nie ein Freund. Höchsten ein falscher, ein Betrüger! FF hat die Daten nicht nur gesammelt, sondern automatisch versendet.
Die Beschreibung stammt bewusst noch aus einer älteren Version. Damit niemand auf die Idee kommt zu glauben, das seien Erscheinungen der aktuellen Zeit. Nö, Firefox war immer schon so. Schlimmer als der IE je war (und der war schon heftig).
Obwohl es im Setup abgestellt ist, sendet FF die Daten weiter nach außen.
Wer es nicht glauben mag, dem fällt es bei vielleicht Aufräumen auf. Der Firefox-Profilordner ist riesig. Je nach Version, gibt es – man gönnt sich ja sonst nichts – zwei Profilordner. Einer größer als der andere.
Anwendungsdaten\Mozilla
Lokale Einstellungen\Anwendungsdaten\Mozilla
Drunter findet man diverse Subfolder, die allein schon vom Namen auffallen
storage
datareporting
saved-telemetry
Was Telemetrie heißt, muss man nicht erklären. Troja lässt grüßen ^^
Weniger technisch, in einem Satz: In den Profilen gibt’s eine SQL-Datenbank, wo ALLE jemals aufgerufenen Links drin stehen: Die IndexedDB
Auch die zugehörigen Passworte werden gespeichert
Und diese Datenbank, die man nicht einfach so löschen kann, wird regelmäßig per Telemetrie versendet.
Wer’s nicht glauben will, findet about:config-Keys, deren Benamsung ziemlich unzweideutig ist:
toolkit.telemetry.enabled
toolkit.telemetry.archive.enabled
toolkit.telemetry.unified
Alles stehen „per Default“ auf TRUE
Mozilla-Firefox besteht zwar aus einem Browser. Doch die überwiegende Technologie ist auf Tracking ausgelegt: Wo surft der User, welche Seiten ruft er auf und wie lange ist er wo. All diese Daten werden per sogenannter „Telemetrie“ regelmäßig an irgendwohin übertragen. Ohne den User zu informieren und sogar dann, wenn der User dem ausdrücklich widersprochen hat. Siehe dazu die *.sqlite, *.sqlite-shm, *.sqlite-wal Files, allesamt Bestandteile der SQL-Light-DB, wo die Daten sammelt.
Firefox sammelt weiter, selbst wenn man das in den Einstellungen deaktiviert …
Open Source ne Datenkrake – wer hätte das gedacht !
Wer mir nicht glaubt, mag Telepolis (Heise) mehr Glauben schenken.
“Für eine weitere Zusatzgebühr von 1,5 Mio. € können Kunden eine Remote-Shell-Fähigkeit erwerben”
Wow! So kann man Geld machen (das ist in knapp 10 Minuten programmiert)
Die richtigen Trojaner werden doch gar nicht genannt. Habe ich jedenfalls noch nirgendwo gesehen. Aktiviertes Java Script im Browser reicht für das meiste schon aus. Java Script ist immer aktiviert.
Adobe ist ein Kandidat für Schnüffeleien aller Art. Ja, der gute “Acrobat Reader” ist vielleicht gar keiner von den Guten. Bei Streamings aller Art geht die Post aber erst richtig ab. Flashplayer im Browser – ohne kann kein Video angesehen werden. Das Gute daran ist, dass Flashplayer einen enormen Datenstrom auslösen. Innerhalb dieses Datenstroms wird ein Tunnel eingerichtet – merkt keine S@u (und auch kein Scanner). Durch die Firewall läufst ohnehin glatt durch, weil die keinen Deepscan macht. Innerhalb eines Videos können riesige Datenmengen rückwärts laufen – vom PC nach irgendwohin – merkt niemand. Durch das IP Protokoll laufen sowieso Daten rückwärts, technisch bedingt, da fallen die zusätzlichen Datenpakete nicht auf. Der Firewall sowieso nicht, weil der Transfer ja vom PC angefordert worden ist – und damit legitimiert wurde – durch das Starten (Ansehen) eines Videos. Und alle Welt fürchtet sich vor dem Bundestrojaner , ich lach mich gleich schlapp.
Wie werden denn heute riesige Online-Präsenzen gehackt? Man flutet zuerst die Website. Tausende und Abertausende Verbindungen gleichzeitig, allesamt mit unzulässigem Code, müssen von der Firewall abgewehrt werden. Das ruft die Administration auf den Plan, Großalarm in der ITSec. alle versuchen, der Angriffe Herr zu werden und merken nicht das Wesentliche. Innerhalb der nutzlosen Angriffe (alle werden durch die Firewall abgewiesen) besteht ein ganz winzig kleiner Tunnel. In diesem Tunnel operieren die Profis und versuchen, das Schloss zu knacken. Die wenigen zusätzlichen ZUTREFFENENDEN Meldungen gehen in der Fülle der Fake-Alarm-Meldungen völlig unter.
Für einen Laien ausgedrückt als Beispiel: Die Bank, die man überfallen will, wird in Brand gesetzt. Wenn alles lichterloh in Flammen steht, mischt man sich mit entsprechenden Equipment unter die Feuerwehr, trägt dessen Uniform und kämpft ganz vorne. Gegen die Flammen? Nein, man nutzt Flammen und Rauch als Verbündete. Man dringt im Chaos in den Tresorraum vor, öffnet die Tresore, sahnt ab und geht ganz normal wieder durch die Tür zurück – und verschwindet. alles in Feuerwehruniform, fällt gar nicht auf. So läuft das heute.
Sehr Gut. Ich habe FlashPlayer rausgeschmissen u kann immer noch Video’s sehen. Kaspersky hat das vor Jahren empfohlen. Mit Adobe, dass ist Schrecklich. Wir wissen dass Microsoft -back doors- in seinem OS, was ich benutze weil Apple mir zu teuer ist. Vielleicht hilft VPN. Aber nicht die Freien, die haben auch wie Erwähnt, ihre eigenen Tunnel. Ich nenne diese Nudeln. DNS wenn man zu Berühmt ist. Ich bin ein Niemand u will so Bleiben. Kein Social Media. Kommentiere nicht bei wirklichen Erforschern die uns echte Information geben. Und keine email Addressen da. Immer alle cookies auslöschen usw. dank für dieses.
Noch was zu Browsern. Damit endlich jeder sieht, es braucht gar keine Extra Software zum Schnüffeln. Das sind oft nur Nebelkerzen.
Jeder heutige Browser schnüffelt. Das hat Google durchgesetzt, durch kriminellen Missbrauch seiner Marktmacht. JEDE kommerzielle Internetseite beinhaltet die (kostenlosen) Google-Tools. Und daher fragt JEDE kommerzielle Internetseite als erstes im Hause Google nach, wenn jemand diese Website aufruft. Und wenn Google der Browser nicht passt, wird der Aufrufer blockiert; d.h. die aufgerufene Website reagiert dann nicht mehr. Doch es ist nicht die Website, sondern Google, das blockiert.
Der Operabrowser war einer ser schnellsten Browser, die es je gab. 100x schneller als Firefox, bei gleichzeitig 100x niedrigerem Ressourcenverbrauch. Opera hat sich bis zuletzt gegen den von Google geforderten Chromium-Kernel gewehrt. Und genau aus diesem Grund wurde Opera (die alte Technologie) von Google vernichtet.
Der Chromebrowser bzw. jeder Browser mit Chromium-Kernel (andere gibt’s kaum noch) hat eine „Fahrgestellnummer“, an der man jeden Benutzer erkennt, und zwar durch alle Proxies und Anonymisierer hindurch. Aus demselben Hause wie der YouTube Schnüffelverein. Wer mit Chrome Technologie ins Netz geht, publiziert damit all seine Daten, incl. der privaten Wohnanschrift.
Überall wird Firefox empfohlen. Und damit der Teufel persönlich ins Haus geholt. Jedesmal werde ich angegriffen, wenn ich vor dem Lügenbold warne. Daher noch ein paar techn. Details zum „Guten Firefox“, dem liebsten Freund der Internetgemeinde.
FF war noch nie ein Freund. Höchsten ein falscher, ein Betrüger! FF hat die Daten nicht nur gesammelt, sondern automatisch versendet.
Die Beschreibung stammt bewusst noch aus einer älteren Version. Damit niemand auf die Idee kommt zu glauben, das seien Erscheinungen der aktuellen Zeit. Nö, Firefox war immer schon so. Schlimmer als der IE je war (und der war schon heftig).
Obwohl es im Setup abgestellt ist, sendet FF die Daten weiter nach außen.
Wer es nicht glauben mag, dem fällt es bei vielleicht Aufräumen auf. Der Firefox-Profilordner ist riesig. Je nach Version, gibt es – man gönnt sich ja sonst nichts – zwei Profilordner. Einer größer als der andere.
Anwendungsdaten\Mozilla
Lokale Einstellungen\Anwendungsdaten\Mozilla
Drunter findet man diverse Subfolder, die allein schon vom Namen auffallen
storage
datareporting
saved-telemetry
Was Telemetrie heißt, muss man nicht erklären. Troja lässt grüßen ^^
Weniger technisch, in einem Satz: In den Profilen gibt’s eine SQL-Datenbank, wo ALLE jemals aufgerufenen Links drin stehen: Die IndexedDB
Auch die zugehörigen Passworte werden gespeichert
Und diese Datenbank, die man nicht einfach so löschen kann, wird regelmäßig per Telemetrie versendet.
Wer’s nicht glauben will, findet about:config-Keys, deren Benamsung ziemlich unzweideutig ist:
toolkit.telemetry.enabled
toolkit.telemetry.archive.enabled
toolkit.telemetry.unified
Alles stehen „per Default“ auf TRUE
Mozilla-Firefox besteht zwar aus einem Browser. Doch die überwiegende Technologie ist auf Tracking ausgelegt: Wo surft der User, welche Seiten ruft er auf und wie lange ist er wo. All diese Daten werden per sogenannter „Telemetrie“ regelmäßig an irgendwohin übertragen. Ohne den User zu informieren und sogar dann, wenn der User dem ausdrücklich widersprochen hat. Siehe dazu die *.sqlite, *.sqlite-shm, *.sqlite-wal Files, allesamt Bestandteile der SQL-Light-DB, wo die Daten sammelt.
Firefox sammelt weiter, selbst wenn man das in den Einstellungen deaktiviert …
Open Source ne Datenkrake – wer hätte das gedacht !
Wer mir nicht glaubt, mag Telepolis (Heise) mehr Glauben schenken.
https://www.heise.de/newsticker/meldung/Gefaehrdeter-Datenschutz-Firefox-loescht-lokale-Datenbanken-nicht-3835084.html
https://xcomputer.website/2016/11/23/so-deaktivieren-sie-den-firefox-gespeicherte-telemetrie-pings-und-archiv-ordner/
https://www.computerbase.de/forum/threads/firefox-datareporting-deaktivieren-limitieren-loeschen.1712154/
“Für eine weitere Zusatzgebühr von 1,5 Mio. € können Kunden eine Remote-Shell-Fähigkeit erwerben”
Wow! So kann man Geld machen (das ist in knapp 10 Minuten programmiert)
Die richtigen Trojaner werden doch gar nicht genannt. Habe ich jedenfalls noch nirgendwo gesehen. Aktiviertes Java Script im Browser reicht für das meiste schon aus. Java Script ist immer aktiviert.
Adobe ist ein Kandidat für Schnüffeleien aller Art. Ja, der gute “Acrobat Reader” ist vielleicht gar keiner von den Guten. Bei Streamings aller Art geht die Post aber erst richtig ab. Flashplayer im Browser – ohne kann kein Video angesehen werden. Das Gute daran ist, dass Flashplayer einen enormen Datenstrom auslösen. Innerhalb dieses Datenstroms wird ein Tunnel eingerichtet – merkt keine S@u (und auch kein Scanner). Durch die Firewall läufst ohnehin glatt durch, weil die keinen Deepscan macht. Innerhalb eines Videos können riesige Datenmengen rückwärts laufen – vom PC nach irgendwohin – merkt niemand. Durch das IP Protokoll laufen sowieso Daten rückwärts, technisch bedingt, da fallen die zusätzlichen Datenpakete nicht auf. Der Firewall sowieso nicht, weil der Transfer ja vom PC angefordert worden ist – und damit legitimiert wurde – durch das Starten (Ansehen) eines Videos. Und alle Welt fürchtet sich vor dem Bundestrojaner , ich lach mich gleich schlapp.
Wie werden denn heute riesige Online-Präsenzen gehackt? Man flutet zuerst die Website. Tausende und Abertausende Verbindungen gleichzeitig, allesamt mit unzulässigem Code, müssen von der Firewall abgewehrt werden. Das ruft die Administration auf den Plan, Großalarm in der ITSec. alle versuchen, der Angriffe Herr zu werden und merken nicht das Wesentliche. Innerhalb der nutzlosen Angriffe (alle werden durch die Firewall abgewiesen) besteht ein ganz winzig kleiner Tunnel. In diesem Tunnel operieren die Profis und versuchen, das Schloss zu knacken. Die wenigen zusätzlichen ZUTREFFENENDEN Meldungen gehen in der Fülle der Fake-Alarm-Meldungen völlig unter.
Für einen Laien ausgedrückt als Beispiel: Die Bank, die man überfallen will, wird in Brand gesetzt. Wenn alles lichterloh in Flammen steht, mischt man sich mit entsprechenden Equipment unter die Feuerwehr, trägt dessen Uniform und kämpft ganz vorne. Gegen die Flammen? Nein, man nutzt Flammen und Rauch als Verbündete. Man dringt im Chaos in den Tresorraum vor, öffnet die Tresore, sahnt ab und geht ganz normal wieder durch die Tür zurück – und verschwindet. alles in Feuerwehruniform, fällt gar nicht auf. So läuft das heute.
Sehr Gut. Ich habe FlashPlayer rausgeschmissen u kann immer noch Video’s sehen. Kaspersky hat das vor Jahren empfohlen. Mit Adobe, dass ist Schrecklich. Wir wissen dass Microsoft -back doors- in seinem OS, was ich benutze weil Apple mir zu teuer ist. Vielleicht hilft VPN. Aber nicht die Freien, die haben auch wie Erwähnt, ihre eigenen Tunnel. Ich nenne diese Nudeln. DNS wenn man zu Berühmt ist. Ich bin ein Niemand u will so Bleiben. Kein Social Media. Kommentiere nicht bei wirklichen Erforschern die uns echte Information geben. Und keine email Addressen da. Immer alle cookies auslöschen usw. dank für dieses.
An Analysis of Indonesia and the Philippines’ Government-launched COVID-19 Apps
https://citizenlab.ca/2020/12/unmasked-ii-an-analysis-of-indonesia-and-the-philippines-government-launched-covid-19-apps/