Seit kurzem gestattet die Postbank die Nutzung ihres Online-Bankings nur noch unter Verwendung des BestSign Verfahrens. Dafür bedarf es eines externen Gerätes. Um das Online-Banking weiterhin nutzen zu können, habe ich mich für ein Seal One 2200 K entschieden. Es handelt sich um kleines USB-Gerät, das am Rechner angeschlossen sein muss, damit man sich in sein Onlinebanking einloggen kann.
Welcher Teufel mich heute geritten hat, nach einem durch Kernel-Update erforderlich gewordenen Neustart des Systems den Netzwerk-Analyzer Wireshark zu installieren, um mal zu schauen, was das System so funkt, weiss ich nicht. Intuition?
Nach dem Benutzer-Login am KDE Plasma dürfte eigentlich kein Datenverkehr mit dem WAN vorhanden sein. Dennoch zeigt mir Wireshark eine externe Datenverbindung an:
14 5.318779637 192.168.2.117 185.125.190.26 TCP 66 42324 → 443 [ACK] Seq=1 Ack=1 Win=24576 Len=0 TSval=1866954881 TSecr=1709271883
192.168.2.117 185.125.190.26 TLSv1.2 90 [TCP Previous segment not captured] , Application Data
Mein System funkt auf einer verschlüsselten Verbindung Daten ins weltweite Netz, obwohl kein Browser, kein Mailprogramm, kein Messenger, kurz, kein einziger Netzdienst von mir gestartet wurde. Was zur Hölle ist hier los?
Die Namensauflösung des angefunkten Hosts steigert meine Besorgnis
user@kiste:~# host 185.125.199.26
26.199.125.185.in-addr.arpa domain name pointer vl42.et2-0-1.lsn-prc-mx24-01.r.saitis.net.
Bei saitis.net handelt es sich um einen Glasfaseranbieter aus Lausanne in der Schweiz und ganz offensichtlich handelt es sich um die dynamische IP eines saitis-Kunden. IP Location versagt sowohl für die IPv4 185.125.199.26 als auch für den Hostnamen vl42.et2-0-1.lsn-prc-mx24-01.r.saitis.net.
oO!
Eine Applikation auf meinem System muss dafür verantwortlich sein, also analysiere ich die Prozessliste und siehe da: Es findet sich ein Prozess SealOne in der Liste. Wie wurde dieser Dienst gestartet?
user@kiste:~$ find ~ -name '*SealOne*'
/home/user/.sealone/SealOne
/home/user/.config/autostart/SealOneUSB.desktop
Ein Autostart-Eintrag wurde angelegt, der das Program /home/user/.sealone/SealOne startet, sobald ich mich am KDE Plasma anmeldet. Ein
user@kiste:~$ cat /home/user/.sealone/SealOne
fördert wenig überraschendes zu Tage, es handelt sich um eine Binärdatei.
Eine selbststartende Binärdatei baut beim Systemstart eine verschlüsselte Verbindung zu einem externen Rechner auf, ohne daß das SealOne angeschlossen ist. Theoretisch kann diese Applikation alle Daten und Informationen in meinem home-Verzeichnis nach draußen funken. Schlimmer geht es nicht.
Sofortmaßnahme:
Prozess beenden, Autostart und Binärdatei löschen.
user@kiste:~$ pidof SealOne | xargs kill -9
user@kiste:~$ rm /home/user/.config/autostart/SealOneUSB.desktop
user@kiste:~$ rm -rf /home/user/.sealone
Weitere Maßnahme:
Da ich auf Onlinebanking nicht verzichten kann und die SealOne-Binärdatei mit Benutzerrechten läuft, werde ich eigens für die Nutzung des Onlinebankings ein eigenes Benutzerkonto auf meinem Rechner anlegen. Das bringt die Unbequemlichkeit mit sich, daß ich den Benutzer wechseln muss, wenn ich mich in die Bank einlogge – jedoch unterbinde ich damit die Möglichkeit, daß SealOne welche Daten auch immer aus meinem Benutzerkonto nach Hause funkt.
Verwendetes Betriebssystem:
Betriebssystem: Kubuntu 22.04
KDE-Plasma-Version: 5.24.7
KDE-Frameworks-Version: 5.92.0
Qt-Version: 5.15.3
Kernel-Version: 5.15.0-75-generic (64-bit)
Grafik-Plattform: X11