Sicherheitshinweise

**Usul** · 3. December 2003, 00:19

Hallo Emule-Fans,

an dieser Stelle fange ich mal aus aktuellem Anlaß einen Thread an, um Sicherheitsaspekte bei der Emulenutzung anzusprechen. Dieser Thread soll als Anlaufstelle für diese speziellen Fragen dienen, er wird nach und nach ergänzt werden.

An erster Stelle: Emule ist nicht auf Sicherheit ausgelegt, wie es vielleicht andere Tauschbörsen zum Teil sind. Die Übertragung der Daten erfolgt unverschlüsselt, die Absender und Empfänger von Daten sind relativ einfach bis trivial zu ermitteln, eine Anonymität ist, wenn überhaupt, nur oberflächlich gegeben. Einzig die große Verbreitung von Emule wirkt sich positiv aus, man geht relativ leicht in der Menge unter. Andererseits ist man über den Userhash relativ einfach eindeutig wiederzuerkennen, man ist ja auch bestrebt, diesen zu behalten, Stichwort Credits

.

Bei Emule ist der Sourcecode verfügbar und kann von jedem völlig legal modifiziert und weitergegeben werden, sofern er sich an die Spielregeln hält. Es kann also jeder (auch böse Buben) seine eigene Emule-Version entwickeln und verbreiten.

Im eigenen Interesse sollte man dabei darauf achten, das man Mods nur aus vertrauenswürdigen Quellen bezieht (was das ist, muß jeder für sich selber ausmachen, wir versuchen zu erreichen, das das Forum hier eine solche Quelle ist

). Verdächtige Anzeichen für nicht vertrauenswürdige Mods und Seiten sind nicht vorhandener Quellcode (das ist sogar illegal, da die GPL, die Lizenz, unter der der Emule-Quellcode steht, das freigeben der Quellen fordert), kein oder nur ein ungenaues Changelog (wobei das auch eine Definitionsfrage ist) sowie einige weitere Dinge. Manchmal reicht es schon, auf sein Bauchgefühl zu hören

. Emule-Mods gibts wie Sand am Meer, man braucht nichts zu riskieren wegen einem Mod.

Aktuell geht es um eMule v0.30e 1.2, den man sich bei emule-client.de/com herunterladen kann.

Zitat:

Eine ganz besondere Frechheit bietet der Mod1.2. Nach einer kurzen Zeit wird der Benutzer aufgefordert 20€ zu zahlen oder mit einer verkrüppelten Version zu leben. Für eine kostenlos entwickelte Software, welche die Mod1.2 Hersteller gestohlen haben und illegal vertreiben ein starkes Stück.

Dieses Zitat stammt von hier:

http://www.emule-project.net/faq/de_badmod.htm

Dort gibt es auch eine Anleitung zum Entfernen des Mods, der gräbt sich etwas tiefer ins System als der normale eMule Außerdem gibt es hier bei uns auf dem Board einen (von mittlerweile vielen) Threads zu diesem Machwerk:

http://www.emule-web.de/board/viewtopic.php?t=7755

Auf dem offiziellen Board gibt es ebenfalls einen Thread, dort muß man aber einen Account haben, um diesen lesen zu können:

http://forum.emule-project.net/index...c=38919&st=200

(Nicht mehr ganz so) aktueller Anlaß für diesen Thread war Powermule. Es gibt immer mehr Hinweise dafür, das in diesem Mod eine Backdoor enthalten ist, der entfernten Zugriff auf den Clientrechner bietet. Außerdem soll dieser Mod Daten sammeln und ins Internet senden. Es ist also davon abzuraten, diesen Mod zu nutzen. Es werden zwar Quellen angeboten, aber diese sind wohl die Originalquellen der Version, auf denen dieser Mod basiert. Einige Anmerkungen dazu in diesem Thread:

http://www.emule-web.de/board/viewtopic.php?t=6916

Wenn wir alle mitarbeiten und die Augen offen halten, werden solche Mods rechtzeitig entlarvt. In diesem Thread sollen keine x-beliebigen Leecher genannt werden, sondern nur solche, die wirklich sicherheitsgefährdend sind (was eigentlich potentiell alle Mods sind, von denen kein, unvollständiger oder falscher Sourcecode zur Verfügung steht). Diese sollen namentlich erwähnt werden, um die unbedarften Nutzer vor deren Nutzung zu warnen. Downloadquellen werden natürlich nicht erwähnt

.

An dieser Stelle einen Dank an Xman, der den Anstoß für diesen Thread geliefert hat.

bombes · 3. December 2003, 02:29

Dieser "Powermule-Mod" installiert auf jeden Fall eine Spyware namens SaHAgent. Versucht man diese mittels Adaware o.ä. zu löschen, sind danach sämtliche Netzwerk- wie Internetverbindungen blockiert, da die zur Spyware gehörende "lsp.dll" (die dafür sorgt, dass sämtliche Internetzugriffe über einen Winsock2 Layer gehen) gelöscht wird und somit die Winsock2 ins Nirgendwo zeigt. Dafür gibt es jedoch mittlerweile auch eine Lösung und zwar mit Hilfe des Tools HijackThis:
http://www.spywareinfo.com/~merijn/files/hijackthis.zip
Einfach dieses Tool ausführen und "Scan" klicken. Dann müsste irgendwo das hier

Zitat:

O10 - Broken Internet access because of LSP provider 'lsp.dll' missing

in der Liste stehen. Haken davor, "Fix This" klicken und alles läuft wieder.
Nur Adaware und Pestpatrol finden die Spyware, Spybot Search and Destroy erkennt sie nicht. Hoffe ich konnte damit ein paar geschädigten Usern helfen.

**Xman** · 3. December 2003, 18:08

An dieser Stelle noch ein Hinweis darauf, welche Seiten für einen emule-Download als seriös eingestuft werden können:

Grundsätzlich die offizielle Seite des "Herstellers":
http://www.emule-project.net
dann natürlich dieses Board hier, auf dem wir Mitglieder und die Moderatoren unser bestes tun nur seriös programmierte Mods zu veröffentlichen. Selbstverständlich gibt es auch noch andere Boards welche sich redlich bemühen, allerdings kann pauschal keine Aussage getroffen werden inwieweit sich welches Board um die darin veröffentlichten Mods kümmert.

Vorsichtig sollte man mit dem Download von emule-Mods von Edonkey-Link-Seiten sein! Auch wenn es dort viele seriöse Betreiber gibt, so gibt es auch schwarze Schafe, die nicht nur durch Dialer an das große Geld kommen wollen, sondern auch durch Mods wie Powermule oder emule-client dem User nichts Gutes wollen.
Es ist zwar nicht bewiesen, doch unter Insidern läuft eine Diskussion ob powermule/ emule-client evtl. Daten sammeln, diese an eine Datenbank weiterleiten und hierdruch Usern ein Abmahnverfahren wegen illegalen Downloads droht.
Auch wenn dies momentan nur eine Theorie ist, so ist diese nicht abwägig, da ausgerechnet eine sehr große Edonkey-Link-Seite, welche genannte Mods zum Download anbietet, von einer Rechtsanwaltskanzlei betrieben wird.

mr.knollo · 3. December 2003, 20:34

Die Aufklärung die Ihr hier betreibt ist wirklich nötig. Es ist nämlich wirklich erschreckend, was die Verbreitung dieses "Mods" angeht. Gleichzeitig gibt es nicht wirklich jemanden der vernünftig davor warnt, so das man es auch wirklich liest.
Und die Auswirkungen betreffen ja das ganze Netzwerk wenn ich Usul richtig verstanden habe. Desweiteren scheint das Teil ja ähnlich wie ein Trojaner sowas wie ne Backdoor zu öffnen. Stand so ähnlich auch im offiziellen Board. Kann ja auch sein, das alles ein klein wenig größer angelegt ist. Siehe USA.

soilout · 5. December 2003, 16:32

Im Fall Powermule wäre die Anticommunity wieder nützlich

Swami · 5. December 2003, 17:47

Hallo muli-gemeinde,
nach längeren zeiten des stillen mitlesens sehe ich mich veranlasst etwas zum thema powermule loszuwerden.

in meinem board (gulli), ist mittlerweile eine heftige diskusssion zum thema entbrannt, und einige haben ihren schaden davongetragen, wie von usul und bombes beschrieben.
meine bitte:
ist es nicht möglich, auf den modseiten, insbesondere der emule.mod.de ausdrücklich davor zu warnen, bevor noch mehr leute schaden nehmen?

Außerdem sollte in neuen mod versionen die möglichkeit bestehen, solche mods zu bannen.

mein mod v.04f26 morph kad 0.7, dort geht es leider nicht.

ich möchte hier meinen kommentar zum thema auf dem gulliboard einfügen:

Ich finde es schon bedenklich wenn dieser "Mod" nicht auf den regulären Mod Seiten wie www.emule-mod.de u.ä. zu finden ist.

Als runterladbare "Source" die Original 30c anzubieten ist meines Erachtens eine dummdreiste Irreführung, zumal beide Dateien unterschiedlich gross sind.

Stattdessen schnell eine blanke Seite ins Netz gestellt, um das Ding unter die Leutz zu bringen.
No Info, nur dummes Kiddy-Gewäsch.

das verstößt doch alles gegen die Grundsätze der Emule -Gemeinde und des OpenSource Prinzips.

Völlig egal, ob das Ding Spy- Ad- Mal- oder sonstigen Mist enthält und das Dfüe zerschießt, reichen diese Kriterien doch schon völlig aus um diesen Suspekten Kram zu meiden.

Ihr bewerbt euch doch auch nicht auf eine Stelle, die nicht die mindésten Info's und Transparenz über einen neuen Job enthalten.

Ich halte es für sehr angebracht, diesen Tread zu schließen, damit nicht noch mehr ahnungslose oder byte-geile User in Versuchung kommen.

Statdessen sollten die fähigen Esel-Modder dieses Teil mal untersuchen, wenn Sie zeit haben und, wenn meine Befürchtungen zutreffen auf den Mod Seiten ausdrücklich davor warnen.

swami

Saddam · 5. December 2003, 19:15

swami
Willkommen on Board.

Ich wollte mir das Teil vor einiger Zeit mal herunterladen und ausprobieren. Zum Glück war ich bei denen, die es in eMule zum Download angeboten haben, so lange in der Warteschlange, dass ich es dann abgebrochen habe.

**cyrex2001** · 14. December 2003, 01:24

deswegen sollte bzw. wird

er gebannt!

cyrex2001

Gucky · 14. December 2003, 02:01

so liegt dann dieser mod auf meiner hdd mit dem anhang (gefährlich).

für mich gilt folgende oberste direktive :
lade und starte nur mods , wo

1. der modder als solcher sich hier vertrauen geschaffen hat.
2. der name desjenigen, der einen mod publiziert, vertrauenwürdig ist
3. wenn neu, warte, bis andere ihre erkenntnisse posten
..... (ist zwar gemein, aber besser jemand anderes fliegt auf die nase)

und die gewichtig ist anhand der positionen zu sehen.

zu 1. bedenkenlos starten.
zu 2. fast bedenkenlos starten.
zu 3. wenn neu, dann warten

nochmal zu 3.

manchmal wird ein mod gepostet mit dementsprechenden downloadlinks und
es stellt sich erst später heraus, das damit etwas nicht stimmt.
leider sind unsere moderatoren auch keine supermänner. so kann es passieren,
das so ein böser mod mit seinen links erst sehr viel später wieder entfernt wird.
die entfernung der links geht manchmal schnell und manchmal dauert es so auch 1 std.
deswegen erstmal schauen, wer da was postet.
ob dieser mod und user hier schon bekannt ist.
kleiner tip : geht auf die mitgliederliste und schaut, wann sich ein user
hier angemeldet hat und ob seine beiträge (postings) grösser als 1 sind.
neuer user + 1 bis 5 post´s + downloadlink für neuen mod = ich starte diesen mod nicht

da ich schon ein paar tage hier auf dem board bin, "kenne" ich sei einige
vertrauenenswürdige publizisten (user) und modder

Sledge · 15. December 2003, 01:10

tach auch

oder man bleibt monogam,bleibt bei einem"hersteller" sozusagen

prominentes beispiel wäre Cosmic Girl mit ihrem Vorlost

wildes umhertesten führt eh nur zu probs

**cosmic girl** · 16. December 2003, 20:17

Diese PowerMule und emule-client.de clients legen sowieso sehr suspektes Verhalten an den Tag! Vorlost arbeitet derzeit an etwas und in der aktuellen beta-Test Version (interne Version) sehe ich genau, welche files von diesen clients angefragt werden. Ein sehr deutliches Muster ist erkennbar und spricht sehr für die bereits vor längerem bekanntgemachte Theorie - siehe hier z.B.

Diese clients scheinen nicht nur den Nutzer selbst auszuspionieren, sondern auch die files, die andere user haben/downloaden abzufragen - wenn diese Daten tatsächlich an eine Datenbank weitergeleitet werden, dann ist es ein leichtes, diese dann nach Wiederholungstätern oder welchem Sortierkriterium auch immer abzusuchen.

Irgendwie kann man nur noch hoffen, daß in Zukunft keiner mehr so dumm ist und sich so ein Kuckucksei ins Nest holt. Auch der Begriff Trojanisches Pferd trifft hier sogar noch mehr zu, als bei den zahlreichen Namensvettern (Trojaner), da Leute, die diese clients nutzen der ed2k-Gemeinde gleich doppelt schaden. Auf ganz hinterlistige und kaum bemerkbare Weise.

Also Leute: überlegt euch gut, von woher ihr eure Versionen bezieht! Wer euch irgendeinen Vorteil im ed2k-Netzwerk verspricht, der nur durch die Nutzung eines speziellen, von ihnen angebotenen clients möglich sei, der lügt und hat unlautere Absichten!

**cyrex2001** · 16. December 2003, 21:04

wenn ich den code 30e richtig wiedergebe, wird er da gebannt, mit grund!
cyrex2001

**cosmic girl** · 16. December 2003, 21:25

Sehr gut! *fg*

Interessant wäre nun noch die Frage, anhand welcher Daten denn die 0.30e diese Mulis bannt!?
Nur anhand des usernames? Und was ist mit denen, die den default Namen ändern (sofern das den aufdringlichen Zusatz @... entfernen kann) - oder aber was, wenn die nächste Version sich nicht mehr durch den clientname identifiziert!?
Modstring kann die offizielle Version ja nicht und selbst wenn, dann wäre es auch nur eine Frage der Zeit, bis die bösen Mulis den string leerlassen oder faken.

**cyrex2001** · 16. December 2003, 21:40

cosmic girl, nur am namen bzw. inhalt, soweit ich es verstehe! bin nicht so fit mit c++!
cyrex2001

**cosmic girl** · 16. December 2003, 21:49

cyrex2001
Die Frage war auch nicht speziell an dich gerichtet, sondern mal so allgemein in den Raum gestellt, nachdem mir das Ausmass dieser Sache (um nicht zu sagen Katastrophe) so langsam aber sicher völlig klar wird.
Vermutet habe ich es ja schon sehr lange, daß es clients gibt, die uns ausspionieren - das liegt in der Natur der Sache - aber so konkret und auch noch so dreist.. ts, ts, ts

Ähnliche Themen: Sicherheitshinweise - Aktuell: eMule v0.30e 1.2 [04.02.2004]