Update (via SSL) feature van ZA?

Nee...

check dit:
over zonealarm als spyware

http://www.a1-electronics.net/General_Interest/2005/Security_Nov.shtml

ik zeg niet dat je moet geloven wat er op de website staat,
maar je kan het zelf controleren of het waar is.

Meer legitime software doet dit. Windows besturingsysteem (met
verborgen bestanden) die informatie naar de servers van Microsoft verstuurde. Niemand is er nog achter wat er precies wordt verstuurd en ook deze data is versleuteld. Microsoft heeft tot op de dag van vandaag niet willen zeggen wat die informatie precies inhoudt.
Adobe Reader geeft via Java (daarom uitvinken) informatie door naar de producenten van deze Reader. Er wordt informatie doorgegeven welke documenten/sites zijn bezocht of bekeken.

Toevallig kom ik enkele jaren geleden er achter dat er een geheim DBX-
bestand op mijn Laptop stond (dat ik niet zelf had aangemaakt!), waarin alle handgetypte URL's in zaten, welke websites ik had bezocht en welke MS-software was geconfigureerd, hoe vaak ik de software had gebruikt en nog meer van dit soort informatie. Let wel, een DBX-bestand (van de e-mail client).

Ik denk dat elk bedrijf wel stiekem zijn oor te luistren legt in andersmans
computers. ZoneLabs zal daar ook geen uitzondering van maken vrees ik.

Bij een update wordt de connectie opgebouwd van jou naar
ZA.. De data gaat van ZA naar jou.. Jouw machine is diegene
die initieert.. Op een zelfde manier als websurfen.. Je
browser maakt een connectie naar de site.. De site levert de
data.. Dus wat zie je precies?

ok, er wordt connectie gemaakt van beide kanten bij een
update, maar nog steeds is zonealarm een firewall die zelf
phone home doet.

eigenlijk is het de ultieme vermomming: een programma dat
gebruikt wordt om de pc te beschermen en privacy te hebben.

Wat ik zeg: mijn ZoneAlarm initieert een ssl-verbinding:
ik <--------------> 208.185.174.65
syn --->
<---- syn ack
ack --->
Client Helo --->
( <--- ack, ik laat de ack'jes even weg)
<--- server helo
client key -->
<--- change cipher
[ vanaf hier een ssl connectie, nu gaat er data van mij,
naar hun:]
application data ---->
application data --->
ssl alert - -->
rst --->

Even snel een ssl opzetten, data versturen en meteen
afbreken (ook door mijn zonealarm). Hele sessie
duurde 0.8 sec. In totaal 1720 encrypted bytes. Niet veel,
maar ik weet niet hoe lang en vaak dit gebeurt. Ik zag het
toevallig deze keer. Nadat ik dit gezien had, heb ik het
ip-adres dus 'geblokkeerd'. BTW, helemaal geen data
van ZA naar mij.
Als het van mij naar zonelabs gaat over ssl dan is dat wel
heel veilig, maar ik kan zelf niet zien wat ik verstuur !
Heel geheimzinnig, en wat Leopard zegt:
dit zou juist moeten beschermen; het is geen search
bar of een of ander msn ding.
Heeft er niet iemand ZA en Ethereal (effe downloaden...)
draaien om eens te vergelijken ?

Gr SF

Wat een paranoia.... sjonge... Iedereen roept maar wat... En
niemand die het weet of het kan bewijzen...

Als je denkt dat ZA "phone home" doet waarom installeer je
dat spul dan?
Ik zou het maar heel rap verwijderen.....

Persoonlijk vind ik het onzin.. Het is gewoon de update
feature.. Meer niet..

als er niet geupdatet wordt en er wordt nog steeds connectie
gemaakt met ZA en andere rare dingen dan is er iets toch
niet pluis. Als je zegt dat anoniem liegt, dan kan je ook
naar de website hieronder bekijken:
http://www.a1-electronics.net/Gener...urity_Nov.shtml
als je de website ook niet vertrouwt, kan je zelf proberen,
want dat blijft als enige optie over.


mischien wist hij in het begin niet dat ie phone home deed??


anoniem zegt zelf dat er niet geupdatet wordt.

of hij liegt, of er wordt stiekem wel geupdatet (dan is er nog steeds iets mis) ,of phone home.

Ik begrijp niet goed waarom je hier emotioneel over doet.

De link van Leopard (met 'url /url' eromheen):
http://www.a1-electronics.net/General_Interest/2005/Security_Dec.shtml
Mocht dit ook niet goed overkomen, dan:
http://www.a1-electronics.net/
--> links beneden "General Interests", dan op ca. 1/3 v.d.
pagina: "Internet, Web, E-mail security update, 2nd December
2005."
ZA beweert op vragen van A1 dus dat ze enkel versie gegevens
e.d. ophalen, waarom dan over ssl ? Voor een product dat al
2 jaar niet meer ondersteund wordt ? Waarin ik "manual
update" ingesteld heb ? Voor een niet-geregistreerde
installatie ?
Ik heb eens gekeken: er zit idd een update-functie op. Nooit
gebruikt :-) Staat erbij:
"The product identification for your copy of ZA is ready
to be sent to ZA to see if you have the latest version."
"[Checkbox] Don't alert me next time I am about to send this
information to ZA" (zeker van MS afgekeken)
Dat klopt met hun verhaal, maar het probleem is nu juist dat
ZA, naast deze update, ook ongevraagd data
verstuurt. (Ja SirDice, ik heb hier bewijs van, 5MB full
content network logging, ik weet idd niet wat het
is, vandaar mijn post). Dan zie ik geen waarschuwing of
checkbox.

Op de site van A1 waren ze even de naam vergeten onder welke
vlag ZA nu vermarkt wordt. (). Nou, dat is dus
Checkpoint. Het product heet nu: "Checkpoint Integrity".

Ja, ik wordt hier allemaal wel een beetje paranoide van.
Ik heb de phone-home-feature onschadelijk gemaakt en verder
werkt ZA prima. Lekker makkelijke firewall. Ik heb nog meer
beveiligingen hoor: nat/pat, AVG, Hostfile, OpenSource
applicaties, ACL's, continue lopende backup's. Maar dat
alles helpt niet tegen een evt. slinkse trojan !
(mijn hypothese, totdat tegendeel bewezen is)

Maar goed, ik blijf heel erg benieuwd.
Ik zou ook niet weten hoe ik tussen de communicatie zou
kunnen komen. Een proxy werkt enkel als ik ook een
certificaat heb. Bestanden onderzoeken misschien? Iemand
betere ideen ?

S.F. (niet -Anoniem- dus)


PS: http://www.ethereal.com/download.html

uit de Help van ZA:
"The data collected is completely anonymous and is for Zone
Labs
internal use only and will not be shared with others. Of
the millions
of Zone Labs security software users, only a small
percentage of
users will have their information collected. The
frequency of data
transmission depends upon the configuration of your
computer. For
most users, data will be sent once per day. "
Ik ben dus een uitverkorene !

ok hier is het:

http://www.a1-electronics.net/General_Interest/2005/Security_Nov.shtml

De Duitse c't nr. 4 van 06-02-2006 meldt ook dat ZA "nach Hause funkt" terwijl alle mogelijke communicatie is uitgevinkt. In een screenshot plaatje is te zien dat er een GET request gestuurd wordt met een lange URL (het plaatje is rechts duidelijk afgekapt dus wie weet hoe lang die URL is):

GET /1/?A3Tm6WxvDi7KTtu396Ro8lkYs7ooxMTyI1DHx
Host: pa2.zonelabs.com
Accept-Encoding: gzip
Accept: */*
Content-Type: text/plain
User-Agent: ZoneAlarm/6.1.737.000 (oem-1079;

In een URL kan privacy-gevoelige info worden meegestuurd, maar of dat hier gebeurt weet ik niet. Ik ga de rest van het plaatje niet overtikken, maar op bovenstaande request kwam op 24-01-2006 kennelijk een binair pakketje terug van 533 bytes dat begint met de letters ZPDOCBIN.

Affijn, Checkpoint/ZoneAlarm heeft dit gedrag bevestigd (noemt het een bug), en vermeldt op de volgende pagina hoe je deze "phone home calls" desalniettemin uit zou kunnen schakelen (geen idee of dat werkt, ik draai geen ZA): http://download.zonelabs.com/bin/free/pressReleases/2005/pr_22.html

Succes,
Erik

Ach.. Ik kan hier heel kort over zijn... Als je daar
problemen mee hebt moet je het spul niet gebruiken.. Het
staat ongetwijfelt in de EULA dat het gebeurd....

He bedankt Erik !
Ze blijven vage verhaaltjes ophangen (het is vooral heel
goed voor mij e.d.)

Ik heb versie 6.1 draaien en die instellingen werken niet.
Ik heb dus het 'tooltje' gedownload. Nu na 1 dag geen
enkele poging meer gezien om kontakt te maken. Toch laat ik
mijn 'route' naar ZA voorlopig nog maar even het bos in
lopen. Het vertrouwen is geschaad...

S.F.

hmm... een bug die data zendt en ontvangt.
dan is het wel erg grote bug! ik vind het gewoon een dekmantel

als je het geen probleem vindt dat je firewall (die
eigenlijk ook tegen spyware is) zelf een privacy-gevoelige
informatie stuurt en ontvangt zonder jou toestemming
(definitie van spyware?), dan hoef je het niet te verwijderen.


idd!

Het is natuurlijk wel zo dat je er eerst achter moet komen dat zoiets aan de
gang is. Als er dan een probleem opduikt, kun je de boel deinstalleren, of,
zoals ik, het probleem onschadelijk maken :-)

BTW, professor Dice, er staat hier niets over in de EULA.

Helaas, het werkt niet :-(
..Hij funkt immer noch nach Hause !
Hij doet dat dus trouwens niet zoals in de c't-post.

Ik weet het nu ook niet meer...

Ik heb ook nog oudere versies, misschien die eens bekijken.
Of misschien dat ik ze nog eens officieel aan ga schrijven,
maar voorlopig vindt ik het wel best.
Het ZA-domein kan niet bereikt worden en ik houd mijn
netwerkverkeer in de gaten, mochten het IP adres nog eens
veranderen. Een workaround :-)

Bedankt voor de reacties,
S.F.