Spionage ????????

tellme · 03.01.2002, 13:32

Am heutigen Tag ist mir in der Firma folgendes aufgefallen:

Bei einigen PCs im Bereich meiner Abteilung, welche nur ein kleiner Teil eines großen Netzwerkes sind (gesamt ~30.000) werden die Anhänge von e-mails im Temp Ordner der Festplatte C: als reine Dateien gespeichert. Damit ist gemeint, das alle Word bzw. Excel Dateien als komplette Dateien im Word bzw. Excel Format vorhanden sind und nicht etwa als *.temp Dateien.

Dazu ist zu bemerken, das der gewöhnliche Workstation User auf Grund seiner Berechtigungen keinen Zugriff auf das jeweilige C: Laufwerk hat, sodaß ein beabsichtigtes oder unbeabsichtigtes Speichern in dieses Laufwerk nicht möglich ist.

Mir ist aufgefallen, das auf den betroffenen Wokstations beim Start ein Programm aufgerufen wird, welches kurz ein Windows Fester mit dem Text
epo-Agent wird aktualisiert öffnet, jedoch sofort wieder geschlossen wird.

Unser Netz sollte nach außen hin vollkommen dicht sein, sodaß es sich, wenn es sich um einen Spionagevorgang handelt theoretisch nur um einen Vorgang von innen handeln könnte.

Das bringt mich zu meinen Fragen:

1) Unter welchen Umständen ist es möglich, daß Outlook automatisch Kopien der Anhänge im temp-Verzeichnis speichert. Soweit mir bekannt ist, handelt es sich bei temp-Dateien um kein vollständigen ausführbare Dateien.

2) Sagt jemanden das Programm "epo-Agent" irgendetwas?

3) Gibt es ein Programm, welches solche Kopien erstellt?

Da es sich bei unserem Abteilungsbereich um einen teilweise sicherheitsrelevanten Bereich handelt und diese Dateien nicht unbedingt öffentlich sein sollten, ersuche ich um rasche Antworten.

Danke im voraus
Tellme

smichael · 03.01.2002, 13:50

epo-Agent ist ein Virenscanner!

Ich Glaube er kommt von McAfee und ist für NetWare Netzwerke....

Goldeneye · 03.01.2002, 13:54

das briefgeheimnis gilt auch für e-mails.
wenn das dein arbeitgeber macht ist er/sie eher fies.
ab zum betriebsrat.

Deep_Thought · 03.01.2002, 14:44

den epo-Agent kenn ich nicht aber das mit den Temp Dateien kommt vom System. Wenn ein Anhang gelöst bzw. direkt aus dem Mail gestartet wird (zB. doppelklick auf Word dokument) muß Windows diese Datei irgendwo speicher und dazu ist das Tmp Verzeichnis da.

D_T

callas · 03.01.2002, 15:29

Zitat:

Original geschrieben von smichael
epo-Agent ist ein Virenscanner!
Ich Glaube er kommt von McAfee und ist für NetWare Netzwerke....

Volltreffer !

http://www.mcafeeb2b.com/beta/produc...gent-intro.asp

tellme · 03.01.2002, 18:19

Nach längeren Versuchen ist das Problem jetzt reproduzierbar und zwar auf folgendem Weg:

Wenn ein Anhang im Outlook direkt geöffnet wird, sprich durch Doppelklick auf das Icon des Anhanges, öffnet sich das entsprechende Anwendungsprogramm. Dabei werden im Temp Verzeichnis zwei Dateien mit der Endung *.temp angelegt und eine Kopie des betreffenden Anhanges im jeweiligen Dateiformat.

Werden die Anwendungen als z.B. Word ordnungsgemäß beendet, verschwinden die beiden *.temp Dateien, während die Kopie vorhanden bleibt. Beim ordnungsgemäßen Schliessen von Outlook verschwindet auch diese. Sollte Outlook jedoch nicht ordnungsgemäß beendet werden (reproduzierbar durch Beenden mittels Taskmanager), dann bleibt dieses "Originalfile" bestehen. Es genügt dazu auch schon, wenn Outlook auf Grund von Netzwerkproblemen (Verbindungstrennung) aussteigt.

Dieses Verhalten zeigt sich jedoch nur unter Windows NT SP6 und Outlook bzw. Office 97.

Unter Win2k oder XP und Office 2000/XP werden diese Files auch bei Zwangsbeendung von Outlook gelöscht.

Daher meine Frage: Gibt es jemand, der NT/office97/Outlook verwendet und dieses Verhalten nachvollziehen kann?

Wie sieht es mit der Kombination NT/Office2000/XP aus oder unter Win 2k/XP unter Office/Outlook97?

Oder ist es überhaupt nur bei unserer Konfiguration so, das "Vollversionen" der Dateien abgelegt werden. Kann das vielleicht durch ein "Sonderprogramm" durchgeführt werden? Oder können veränderte Exchange-Server-Einstellungen das Problem lössen, da es meiner Meinung doch ein "Sicherheitsloch" ist.

Besten Dank an die "Spezialisten"

Tellme

mig · 04.01.2002, 08:50

Ich kenne das Verhalten durchaus, ich hab zwar die Unterschiede der einzelnen Officeversionen nicht untersucht, das "Problem" ist aber immer wieder auf anderen Computern aufgetaucht (auf dem meiner Freundin z.B.).

An sich ist es ja kein Problem, wer sollte denn auf ein für User geschütztes temporäres Verzeichnis zugreifen können, wenn nicht ein Admin, und der sieht sowieso alles. Außerdem kannst Du Dir sicher sein, daß Spionage da entdeckt würde, da müßte man ja immer wieder riesiege Pakete an eine immergleiche IP Adresse schicken, das fällt auf.

Und dann wäre jemand ja dumm, würde er solche Spuren beim Datenklau hinterlassen. IMHO ist das also ganz normal.

lG, mig

03.01.2002, 13:32	#1
tellme Master Registriert seit: 06.03.2000 Alter: 65 Beiträge: 683	Spionage ???????? Am heutigen Tag ist mir in der Firma folgendes aufgefallen: Bei einigen PCs im Bereich meiner Abteilung, welche nur ein kleiner Teil eines großen Netzwerkes sind (gesamt ~30.000) werden die Anhänge von e-mails im Temp Ordner der Festplatte C: als reine Dateien gespeichert. Damit ist gemeint, das alle Word bzw. Excel Dateien als komplette Dateien im Word bzw. Excel Format vorhanden sind und nicht etwa als *.temp Dateien. Dazu ist zu bemerken, das der gewöhnliche Workstation User auf Grund seiner Berechtigungen keinen Zugriff auf das jeweilige C: Laufwerk hat, sodaß ein beabsichtigtes oder unbeabsichtigtes Speichern in dieses Laufwerk nicht möglich ist. Mir ist aufgefallen, das auf den betroffenen Wokstations beim Start ein Programm aufgerufen wird, welches kurz ein Windows Fester mit dem Text epo-Agent wird aktualisiert öffnet, jedoch sofort wieder geschlossen wird. Unser Netz sollte nach außen hin vollkommen dicht sein, sodaß es sich, wenn es sich um einen Spionagevorgang handelt theoretisch nur um einen Vorgang von innen handeln könnte. Das bringt mich zu meinen Fragen: 1) Unter welchen Umständen ist es möglich, daß Outlook automatisch Kopien der Anhänge im temp-Verzeichnis speichert. Soweit mir bekannt ist, handelt es sich bei temp-Dateien um kein vollständigen ausführbare Dateien. 2) Sagt jemanden das Programm "epo-Agent" irgendetwas? 3) Gibt es ein Programm, welches solche Kopien erstellt? Da es sich bei unserem Abteilungsbereich um einen teilweise sicherheitsrelevanten Bereich handelt und diese Dateien nicht unbedingt öffentlich sein sollten, ersuche ich um rasche Antworten. Danke im voraus Tellme

03.01.2002, 13:54	#3
Goldeneye Elite Registriert seit: 12.09.2000 Beiträge: 1.145	beitrag das briefgeheimnis gilt auch für e-mails. wenn das dein arbeitgeber macht ist er/sie eher fies. ab zum betriebsrat. ____________________________________ Windows-Leitsatz: Gates oder Gates nicht!

03.01.2002, 14:44	#4
Deep_Thought Veteran Registriert seit: 31.07.2000 Alter: 52 Beiträge: 436	den epo-Agent kenn ich nicht aber das mit den Temp Dateien kommt vom System. Wenn ein Anhang gelöst bzw. direkt aus dem Mail gestartet wird (zB. doppelklick auf Word dokument) muß Windows diese Datei irgendwo speicher und dazu ist das Tmp Verzeichnis da. D_T ____________________________________ Wenn du das Unmögliche eliminiert hast, dann muß das, was übrig bleibt, und sei es noch so unwahrscheinlich, die Wahrheit sein.

03.01.2002, 18:19	#6
tellme Master Registriert seit: 06.03.2000 Alter: 65 Beiträge: 683	Problem reproduziert, aber es bleiben Fragen offen Nach längeren Versuchen ist das Problem jetzt reproduzierbar und zwar auf folgendem Weg: Wenn ein Anhang im Outlook direkt geöffnet wird, sprich durch Doppelklick auf das Icon des Anhanges, öffnet sich das entsprechende Anwendungsprogramm. Dabei werden im Temp Verzeichnis zwei Dateien mit der Endung .temp angelegt und eine Kopie des betreffenden Anhanges im jeweiligen Dateiformat. Werden die Anwendungen als z.B. Word ordnungsgemäß beendet, verschwinden die beiden .temp Dateien, während die Kopie vorhanden bleibt. Beim ordnungsgemäßen Schliessen von Outlook verschwindet auch diese. Sollte Outlook jedoch nicht ordnungsgemäß beendet werden (reproduzierbar durch Beenden mittels Taskmanager), dann bleibt dieses "Originalfile" bestehen. Es genügt dazu auch schon, wenn Outlook auf Grund von Netzwerkproblemen (Verbindungstrennung) aussteigt. Dieses Verhalten zeigt sich jedoch nur unter Windows NT SP6 und Outlook bzw. Office 97. Unter Win2k oder XP und Office 2000/XP werden diese Files auch bei Zwangsbeendung von Outlook gelöscht. Daher meine Frage: Gibt es jemand, der NT/office97/Outlook verwendet und dieses Verhalten nachvollziehen kann? Wie sieht es mit der Kombination NT/Office2000/XP aus oder unter Win 2k/XP unter Office/Outlook97? Oder ist es überhaupt nur bei unserer Konfiguration so, das "Vollversionen" der Dateien abgelegt werden. Kann das vielleicht durch ein "Sonderprogramm" durchgeführt werden? Oder können veränderte Exchange-Server-Einstellungen das Problem lössen, da es meiner Meinung doch ein "Sicherheitsloch" ist. Besten Dank an die "Spezialisten" Tellme

04.01.2002, 08:50	#7
mig Elite Registriert seit: 04.05.2000 Alter: 48 Beiträge: 1.308	Ich kenne das Verhalten durchaus, ich hab zwar die Unterschiede der einzelnen Officeversionen nicht untersucht, das "Problem" ist aber immer wieder auf anderen Computern aufgetaucht (auf dem meiner Freundin z.B.). An sich ist es ja kein Problem, wer sollte denn auf ein für User geschütztes temporäres Verzeichnis zugreifen können, wenn nicht ein Admin, und der sieht sowieso alles. Außerdem kannst Du Dir sicher sein, daß Spionage da entdeckt würde, da müßte man ja immer wieder riesiege Pakete an eine immergleiche IP Adresse schicken, das fällt auf. Und dann wäre jemand ja dumm, würde er solche Spuren beim Datenklau hinterlassen. IMHO ist das also ganz normal. lG, mig ____________________________________ -- Hi! I\'m a signature virus! Copy me into your signature file to help me spread.

03.01.2002, 13:50	#2
smichael Newbie Registriert seit: 03.01.2002 Beiträge: 9	epo-Agent ist ein Virenscanner! Ich Glaube er kommt von McAfee und ist für NetWare Netzwerke....

Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, Gäste: 1)