Computerbeveiliging - Hoe je bad guys buiten de deur houdt

Telegraaf en poort 1935

26-08-2012, 13:23 door yobi, 6 reacties
Als ik www.telegraaf.nl open via iexplorer, dan wordt er verbinding gemaak met 77.67.28.21 of 77.67.28.118 via poort 1935. Deze verbinding blijft in stand, ook nadat er naar een andere pagina wordt gegaan (bijvoorbeeld www.security.nl). Pas na afsluiten van iexplorer verdwijnt de verbinding.

Wat doet deze verbinding? Waarom staat iexplorer deze verbinding toe? Wat is de dreiging?
Reacties (6)
26-08-2012, 13:27 door regenpijp
Lijkt een poort voor Abobe Flashplayer:
http://www.pc-library.com/ports/tcp-udp-port/1935/
http://www.speedguide.net/port.php?port=1935
26-08-2012, 14:56 door Bitwiper
Met en Wireshark aan, en met FlashPlayer disabled in MSIE, heb ik zojuist http://www.telegraaf.nl/ geopend (met MSIE natuurlijk ;). Ik zie dan geen verbindingen met genoemde IP-adressen en ook niets naar poort 1935.

Zodra ik Flash in MSIE enable voor www.telegraaf.nl verschijnt rechtsboven "Telegraaf TV" en wordt er verbinding gemaakt naar 194.25.94.103 op tcp poort 1935. Volgens Wireshark is het protocol RTMP (zie bericht van regenpijp hierboven of http://en.wikipedia.org/wiki/Real_Time_Messaging_Protocol) en ik zie meerdere keren "Audio Data".

Zowel 77.67.28.0/25 (dus .0 t/m .127) als 194.25.94.0/25 zijn van Akamai, die in heel veel computercenters servers heeft staan om streaming data zo dicht mogelijk bij de klanten te hebben.

De belangrijkste dreigingen die ik kan bedenken zijn dat 1 of meer server(s) van Akamai of de toeleverancier van de (Audio?) data gehacked worden (naast de site van de Telegraaf zelf of een van de advertisers).

Bij Flash exploits is het risico is het grootst voor mensen die niet de laatste versie van Flash Player hebben geïnstalleerd. Gezien het feit dat er nog steeds lekken in Adobe Flash gevonden worden (terwijl er al zeer vele gedicht zijn) zijn 0-days natuurlijk ook niet uit te sluiten.

Hoewel je in MSIE redelijk eenvoudig Flash kunt whitelisten voor specifieke websites, kun je, zodra deze eenmaal draait, helaas niet aangeven met welke sites die Flash Plugin verbinding mag maken. Qua security is en blijft Flash een drama.
27-08-2012, 08:17 door yobi
Bedankt voor de antwoorden.

Wat ik wel vreemd vind is dat de verbinding in stand blijft, terwijl ik naar een andere site surf. Blijkbaar blijft de Flash Player nog actief in de achtergrond.
27-08-2012, 10:32 door Anoniem
1935 = RED5/Wowza default poort
27-08-2012, 13:12 door Anoniem
@yobi: poort kan in Windows tot 2 minuten 'idle / sleeping' blijven staan voordat ie echt weg gaat, is by design.
27-08-2012, 13:29 door yobi
@Anoniem 13:12 -> De verbinding blijft bij mijn Win7 machine met IE9 en Flash-player 11.3 (nieuwste) in stand (ESTABLISHED). De verbinding wordt pas afgesloten na het afsluiten van IE9.

Een andere machine met Debian 6.0 en Chrome browser (21.0.1180.81) geeft een ander resultaat. Nadat er naar een ander site wordt gegaan, sluit de verbinding (Time wait en close).

Ik zal ook eens kijken met de protocol-analyzer.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search