Hundertzwanzig

Heute vormittag waren ein paar Einkäufe und Erledigungen in der Stadt fällig.

Zum Mittagessen hatte ich mich mit Carsten verabredet. Wir trafen uns direkt in einem einfachen Restaurant, das von mehreren Unternehmen in der Umgebung als Kantine genutzt wird.

Anschließend wollten wir in seinem Büro noch einen Kaffee trinken.
Carsten erwähnte, dass sein Computer sich in letzter Zeit manchmal seltsam benähme, und bat mich, ihn mir mal anzusehen: „Wenn du schon hier bist, kannst du gleich meine Investitionen in dich ein bisschen abarbeiten, und einen Blick auf meinen Rechner werfen.“

Ich wollte ihm schon eine gesalzene Retourkutsche geben, besann mich aber anders.
„Na gut, weil du’s bist. Ich kann ja mal schauen, ob mir was auffällt.
Und was heißt ‚benimmt sich seltsam‘? Hängt? Crasht? Bluescreen?“

Nachdem Carsten sich eingeloggt hatte, überließ er mir seinen Stuhl.
Ich wies ihn an, die Stecker und Kabel zu überprüfen. Er ließ sich tatsächlich auf Hände und Knie nieder, um alle äußeren Anschlüsse zu überprüfen. Eine völlig neue Perspektive!

„Der Rechner ist häufig sehr zäh.“
„Bei bestimmten Anwendungen?“
„Nein. Ohne erkennbares Muster, sporadisch.“
„Ist dein Virenscanner aktuell?“
„Ja, natürlich.“

Ich hatte mittlerweile den Devicemanager und Eventviewer gecheckt. Aber da schien alles in Ordnung. Auch freier Festplattenspeicher war reichlich vorhanden. Dann öffnete ich den Taskmanager.

„Du hast ziemlich viel Netzwerktraffic. Tauscht du regelmäßig Daten mit anderen Rechnern aus?“
Carsten war blass geworden: „Nein. Meinst du, ein Trojaner?“
Ich zuckte die Schultern: „Möglich. Hier ist auch ein Service, den ich nicht kenne, und der anscheinend nicht regulär installiert wurde. Hast du in letzter Zeit etwas neues installiert?“
„Ich installiere hier nie selbst etwas. Der Account hat gar keine Administratorrechte.“
„Um mehr herauszufinden, musst du mir aber die nötigen Rechte geben.“
„Das kann ich nicht. Ich kenne das Administratorpasswort nicht. Es wird alle sechs Wochen geändert. Meine eigene Direktive.“
Er überlegte kurz und fügte dann hinzu: „Ich lasse einen Admin kommen, der den Account einrichtet.“

„Kriege ich solange noch einen Kaffee?“
„Soviel du willst.“
Über die Sprechanlage wies Carsten seine Sekretärin an, einen Admin sofort herzuzitieren, sämtliche Termine für den Nachmittag abzusagen, und uns eine Thermoskanne mit Kaffee zu bringen.

Ein paar Minuten später war der Admin da. Der Auftrag war ihm sichtlich unangenehm, seinem obersten Chef jedoch konnte er sich schlecht widersetzen. Kaum hatte er sich eingeloggt, schickte Carsten ihn sofort wieder weg.

Ich legte zunächst einen neuen lokalen Administratoraccount an und loggte mich dort ein. Dann installierte ich die aktuelle Wireshark-Version und startete sie danach.

Da sahen wir beide sofort, dass Dateien auf Carsten’s Rechner an eine lokale IP-Adresse gesendet wurden, und zwar unverschlüsselt. Der Täter musste sich also sehr sicher fühlen.

Ich rief tracert auf und gleich sahen wir den Rechnernamen im Klartext.
Carsten war noch eine Spur blasser geworden: „Ich weiß, wem dieser Rechner gehört.“

„Theoretisch könnte der Rechner auch infiziert sein und nur als Proxy dienen,“ warf ich ein.
„Kannst du das rauskriegen?“
„Da bräuchte ich vollen Zugriff auf den Rechner.“
„Von hier aus geht es nicht?“
Ich schüttelte den Kopf: „Ich bin kein Hacker.“

Carsten atmete tief durch: „OK. Dann übernehme ich jetzt wieder. Du gehst am besten nach Hause. Und warte nicht auf mich. Vielleicht wird es spät.“

Ich speicherte das Wireshark-Protokoll für alle Fälle noch ab und verabschiedete mich dann.

Advertisements

Über breakpoint AKA Anne Nühm

Die Programmierschlampe.
Dieser Beitrag wurde unter Uncategorized abgelegt und mit , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Eine Antwort zu Hundertzwanzig

  1. Pingback: breakpoint’s Wayback Archive #09 //1598 | breakpoint

Kommentar verfassen

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden / Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden / Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden / Ändern )

Google+ Foto

Du kommentierst mit Deinem Google+-Konto. Abmelden / Ändern )

Verbinde mit %s