You are on page 1of 47

Microsoft Windows

Ein globales Spionage Betriebssystem

TORSTEN JAHNKE
MS WINDOWS

Inhaltsverzeichnis
1.

Vorstellung ..................................................................................................................................................... 2

2.

Einfhrung ...................................................................................................................................................... 2

3.

Die Windows Registry .................................................................................................................................... 4

4.

Heise Superfish Warnung ............................................................................................................................... 5

5.

Was bedeutet BlockType? .............................................................................................................................. 5

6.

XunleiBHO ...................................................................................................................................................... 8

7.

Zusammenfassung und Fragen .................................................................................................................... 10


7.1.

Zusammenfassung der Fakten ........................................................................ 10

7.2.

Daraus ergeben sich unter anderem folgende Fragen: ........................................... 10

8.

MS Metadaten ............................................................................................................................................. 12

9.

MS Online ..................................................................................................................................................... 18

10. Datensammlung ........................................................................................................................................... 21


11. Datenbermittlung ....................................................................................................................................... 26
12. Zusammenfassung und Fragen .................................................................................................................... 29
12.1.

Zusammenfassung der Fakten ........................................................................ 29

12.2.

Daraus ergeben sich unter anderem folgende Fragen: ........................................... 29

13. Dennoch alles legal ...................................................................................................................................... 30


14. Cloud und Cloud OS ...................................................................................................................................... 33
15. Microsoft Office und Microsoft CRM ............................................................................................................ 34
15.1.

Testen am Computer direkt ........................................................................... 35

15.2.

Virustotal ................................................................................................. 36

16. Optionen und Mglichkeiten ........................................................................................................................ 42


17. Ziele .............................................................................................................................................................. 44
18. Danksagung ................................................................................................................................................. 46

Seite 1 von 46

1. Vorstellung
Mein Name ist Torsten Jahnke, ich bin 46 Jahre alt und seitdem meinem 13ten
Lebensjahr bin beschftige ich mich mit Computern. 1994 habe ich den
beruflichen Einstieg in die IT Branche gestartet und somit mein Hobby zum Beruf
gemacht. Schon zu Comodore Amiga Zeiten war meine grundstzliche Frage, was
bringt der Computer wenn das Betriebssystem nicht funktioniert.
Diese Frage brachte mich recht schnell vom Bereich Betriebssystem in die Bereiche
Microsoft Betriebssysteme, Netzwerktechnik und Netzwerk Technologien, wo ich
inzwischen seit fast 20 Jahren beruflich ttig bin.

2. Einfhrung
Im Jahr 2003 habe ich einen DNS basierenden Werbeblocker entwickelt weil
Werbung und der Pornomll im Internet fr mich und vor allem fr meine Kinder
zu viel wurde. Der Vorteil beim Blocken von Werbung durch meine Lsung ist,
dass das System eben nicht nur im Browser arbeitet sondern innerhalb des
Betriebssystems. Die technischen Mglichkeiten die sich durch diese Technologie
ergeben habe ich bis heute weiterentwickelt und diese sind nahezu grenzenlos.
Man ndert lediglich die DNS Einstellungen am Router/Gateway was eine
Software Installation nicht ntig macht und ohne Rcksicht auf das
Betriebssystem nehmen zu mssen ist das Internet im gesamten Netzwerk sauber.
Durch meine Erfindung bin ich vor knapp 2 Jahren in Windows Betriebssystemen
auf Ungereimtheiten gestoen und begann das im Detail zu untersuchen.
Ich werde Ihnen hier nun zeigen was die Firma Microsoft mit Ihren
Betriebssystemen im Hintergrund an unseren Computern anstellt bzw. anstellen
kann. Ich bin mir sicher damit werden Sie eine vollkommen neue Sicht auf die
Betriebssysteme dieser Firma bekommen.
In knapp 2 Jahren Arbeit habe ich unterschiedlichste Analysen, Tests, Vergleiche,
Fragen und Diskussionen gefhrt und durchgefhrt, wie zum Beispiel mit
Sicherheitsspezialisten oder z.B. auch einem Firewall Entwickler gesprochen, die
am Ende nach Durchsicht aller Fakten zu einem Schluss gekommen sind:

Der Skandal der NSA ist nichts gegen das was Microsoft hier macht.

Seite 2 von 46

In diesem Download sind alle Dokumente, Unterlagen und Tabellen zu diesem


Bericht in einer wesentlich detaillierten Form enthalten. Dieser Bericht ist eine
bersicht zu allen enthaltenen Materialien. Das soll dazu dienen dass Sie, all
das was ich ihnen nun zeigen werde, auch entsprechend verifizieren und
nachvollziehen knnen.
Ich werde Ihnen jetzt zeigen, dass Microsoft Betriebssysteme von Haus aus mit
Trojanern, Backdoors, Keylogger und anderen Spionage Tools serienmig
ausgestattet sind. Darber hinaus werde ich Ihnen zeigen mit welchem
verstecktem

Protokoll

Microsoft

eine

unsichtbare

Datenbertragung

durchfhren kann und diese somit von jeder Firewall unentdeckt bleibt. Ich
werde Ihnen des Weitern auch zeigen wie Microsoft alle Ihre eigenen Daten, auch
absolut persnliche oder vertrauliche, auf jedem PCs qualifiziert, sortiert und
aussortieren kann und wie die Zuordnung der Daten zu Firma und Nutzer
durchgefhrt wird. Somit wird digital und schnell entschieden, handelt es sich
um interessante Daten oder nicht.
Abschlieend werde ich Ihnen zeigen und auch demonstrieren wie diese Daten bei
Bedarf und Interesse vom PC in das Microsoft Rechenzentrum wortwrtlich
kopiert werden.
Um es deutlich zu sagen, damit meine ich ihre persnlichen Word, Powerpoint oder
Excel Daten wie auch entsprechende Notizen. Doch was ist mit verschlsselten
Daten und Dateien? Eine Datenverschlsselung spielt in diesem Falle keine Rolle
wie sie dann selbst recht einfach feststellen werden. Da alles im Nutzerkontext
geschieht und die bertragung und Analysen mit eigenen versteckten
Berechtigungskonzepten durchgefhrt wird, macht eine Datenverschlsselung
keinen Sinn. (siehe Microsoft Windows Analyse.pdf Seite 104)

Seite 3 von 46

3. Die Windows Registry


In Windows Betriebssystemen finden wir in der Registry, also die Windows
Registrierungsdatenbank, diverse Eintrge die auf Viren, Trojaner, Backdoor,
Keylogger oder Spyware klassifizierte Dateien hinweisen. Das ist auch absolut
nichts neues, also nicht besonders spannend. Jeder dieser Eintrge hat eine
spezielle eindeutige Nummer, die sogenannte GUID, deren Fachbegriff
Globally Unique Identifier lautet mit der sich die Dateien entsprechend
Identifizieren lassen.
Man knnte an der Stelle sagen, es ist ein Zufall dass diese Daten die gleiche GUID
haben wie manche Viren, Trojaner, Backdoors, etc. Doch bei ber 90
bereinstimmenden Treffern und einer 128-Bit Zahl macht es kaum Sinn
ausrechnen zu wollen wie hoch die Wahrscheinlichkeit ist, dass das alles ein
Zufall ist. Falls das doch jemand ausrechnen mchte wie hoch diese wre, bitte
gerne. Das Thema Stochastik ist bei mir leider schon etwas lnger her, ich passe
an dieser Stelle.
Bei diesen Dateien in der Registry handelt es sich um Verweise auf Libraries, also
DLLs, im englischen Fachbegriff als Dynamic Link Libraries bekannt, welche
eigentlich ausfhrbare Dateien sind, jedoch erst durch eine EXE Datei bzw. ein
anderes Programm ausgefhrt werden. Diese DLLs sind sozusagen sekundr
Programme, welche ein Hauptprogram bentigen um ausgefhrt werden zu
knnen.
Ich beschrnke mich hier in diesem Beitrag auf folgende 3 Dateien. Nehmen wir
hier die SuperfishIEAddon.dll, die XunleiBHO7.2.0.3076.dll und zu guter Letzt
die PluckIEToolbar.dll. Alle weiteren Dateien entnehmen Sie bitte dem
Dokument Microsoft Windows Analyse.pdf
Jeden, der an dieser Stelle sofort beginnen wrde diese gefhrlichen Dateien im
Betriebssystem suchen zu wollen, bitte ich um Zurckhaltung. Diese Dateien sind
nicht im Betriebssystem zu finden, egal ob Sie in der ISO Datei oder in einem
installierten Betriebssystem suchen.
Um die folgende Thematik leichter erklren zu knnen, bitte ich Sie,
vorbergehend anzunehmen, dass diese gefhrlichen Dateien vorhanden sind.
Die augenscheinliche Tatsache dass ich von Dateien rede, die nicht vorhanden
sind, lassen wir bitte im Moment auen vor und ich werde definitiv noch einmal
ausfhrlich darauf zurckkommen.

Seite 4 von 46

4. Heise Superfish Warnung


Am 22. Februar 2015 berichtet die Computerzeitschrift HEISE auf Ihrer Webseite
das einige Versionen des Virus Superfish von Microsoft erkannt werden und
bereits im Betriebssystem blockiert werden. Dazu hat die HEISE einen Screenshot
der Registry mit entsprechendem Hinweis auf Ihrer Webseite verffentlicht.

5. Was bedeutet BlockType?


Aus meiner Sicht geht HEISE davon aus, dass der Wert BlockType dafr zustndig
sein soll diese DLL Dateien zu blockieren. Dank eines Dokumentes, das ich durch
die Firma Intel erhalten habe, sehe ich diesen API Wert vollkommen anders, was
auch aussagekrftig daraus hervorgeht.
An dieser Stelle nochmals eine herzlichen Dank an die Firma Intel.
Wenn man sich mit dem Dokument beschftigt, welches Sie ebenso im Download
finden, mit dem Namen Windows Sockets 2 Protocol-Specific Annex - Revision
2.0.3 vom 10. Mai 1996 und sich folgendes genauer ansieht, Kapitel 7.4 Seite
63, wird man schnell eines Besseren belehrt.
Der Wert BlockType ist fr eine verschlsselte Client-Server Kommunikation
zustndig.

Seite 5 von 46

Der Wert BlockType ist definitiv nicht dafr zustndig dass irgendetwas
blockiert wird. API Werte sind Eindeutig und kommen auch nicht 2-mal im
Betriebssystem vor, so dass man sagen knnte, da ist ein kleines Versehen
passiert und der Wert wurde verwechselt.

Seite 6 von 46

Der eigentliche Wert gefhrliche oder ungewollte Dateien zu blockieren, die als
Browser Plug-In arbeiten, beschreibt Microsoft unter diesem Link:
https://support.microsoft.com/de-de/kb/240797
https://msdn.microsoft.com/en-us/library/bb688194(v=vs.85).aspx

Dort ist zusehen, das Wert 0x00000400 (auch KillBit genannt) zur
Deaktivierung ActiveX und hnlichen Komponenten dient. Das sogenannte
KillBit wird auch nicht unter BlockType, sondern unter dem Registry Wert
CompatibilityFlags gesetzt.

Seite 7 von 46

6. XunleiBHO
Sehen wir uns die XunleiBHO7.2.0.3076.dll Datei an.
Diese chinesische Firma Xunlei ist bekannt fr ein unschlagbares und modifiziertes
P2P Protokoll. Bei der Firma handelt es sich um das chinesische Unternehmen
Shenzhen Xunlei Networking Technologies, Co., Ltd (Nasdaq XNET).
Details ber die Entstehung und die Entwicklung zu diesem P2P hnlichem Protokoll
entnehmen Sie bitte folgenden Wikipedia Eintrgen:
Deutsch: https://de.wikipedia.org/wiki/Xunlei
Englisch: https://en.wikipedia.org/wiki/Xunlei
Xunlei und Kankan, letzteres auch bekannt durch Win32/KanKan Virus, eine eng
verbundene Seilschaft und beide Namen stehen auch bekanntermaen fr Viren
und Spyware. Am 18. Oktober 2013 berichtete die Zeitschrift Heise ausfhrlich
ber die Gefhrlichkeit durch Trojaner des Unternehmens unter folgendem Link:
http://www.heise.de/security/meldung/Kankan-eine-chinesische-TrojanerGeschichte-1981463.html

Seite 8 von 46

Das Unternehmen Xunlei, das durch ein spezielles P2P Protokoll bekannt und
berhmt wurde und ebenso bekannt und berhmt ist fr seine Trojaner- und
Vireninfektionen sehen wir uns im Detail mal an.
Betrachten wir das Unternehmen und die Fhrungsspitze von Shenzhen Xunlei
Networking Technologies, Co., Ltd. doch mal etwas genauer.
An der Spitze von Xunlei und CEO ist seit 2014 Dr. Hongjiang Zhang, der auch bei
der Firma Kingsoft Corporation Limited bis 2011 als CEO ttig war. Nach seiner
Ttigkeit bei Kingsoft war Dr. Zhang bei der Firma Microsoft ttig.
Dr. Zhang war ab Oktober 2011 "Chief Technology Officer der Microsoft AsiaPacific Research Group" und "Managing Director of the Microsoft Advanced
Technology Center"
In dieser Doppelrolle leitete Dr. Zhang Microsofts Research and Development in
China, war dort verantwortlich fr Strategie, Planung, Forschung und
Entwicklung sowie die Basisentwicklung von Produkten, Services und Lsungen.
Dr. Zhang war ein Mitglied des Executive Managements von Microsoft in China
sowie stellevertretener Generaldirektor der Microsoft Forschungsabteilung in
Asien.
Im April 2014 hat Dr. Zhang Microsoft verlassen und ist bis heute bei der Firma
Xunlei, auch bekannt als Shenzhen Xunlei Networking Technologies, Co., Ltd, als
CEO ttig.
berdenkt man die Fragen wie von der HEISE hier im Bildausschnitt gezeigt, drften
sich einige Fragen klren, jedoch eine Menge an weiteren Fragen auftauchen.
Betrachtet man den Xunlei Downloader im Detail, dann stellt sich eine interessante
Frage: Was soll denn ein verstecktes und modifiziertes P2P Protokoll ohne unser
Wissen im Windows Betriebssystem machen?
Im Jahr 2011 stellte der amerikanische Abgeordnete Scott Garrett aus New Jersey
bereits in einem Brief an die Vorsitzende Mary Schapiro die Firma Xunlei mit
Ihren Copyright Verletzungen in Frage. Was macht also Xunlei in Windows
Systemen? Blockiert wird diese Datei jedenfalls nicht und das ist hiermit
zweifelsfrei bewiesen. Sie finden im Download das Schreiben von Scott Garret
an das amerikanische Reprsentantenhaus (Mary Schapiro - White House
Xunlei.pdf) wie auch zustzliche Informationen und Details zu dieser Firma
sowie dem Xunlei Downloader.

Seite 9 von 46

7. Zusammenfassung und Fragen


7.1.

Zusammenfassung der Fakten


1. Der Wert BlockType ist definitiv nicht als Wert gedacht um Daten durch die
Windows Registry zu blockieren.
2. Dass es sich hierbei um gefhrliche Daten handelt kann nicht bestritten werden.
Auf Grund der GUID, dem Namen, diversen Meldungen und Analysen von
AntiViren Herstellern handelt es sich eindeutig um Viren, Trojaner und
Backdoors. Das sich ein AntiViren Hersteller irren kann, steht auer Frage.
Wenn aber unterschiedliche und konkurrierende Hersteller der gleichen
Meinung sind, besteht kein Zweifel dazu.
3. Das solche Dateien entsprechend blockiert werden knnten, steht auer Frage.
Microsoft verweist auf seiner eigenen Webseite hierzu auf die entsprechenden
Informationen hin. Das sogenannte KillBit wird jedoch unter dem Wert
CompatibilityFlags gesetzt.
4. Es gibt auf keiner einzigen Microsoft Seite einen kleinen Hinweis auf diesen
Registry Zweig. Wenn hier Sicherheit verkauft werden wrde, dann wrde
Microsoft ausfhrlich darber berichten.
5. Vergleicht man die Daten und die Werte in der Registry miteinander, wrde
Microsoft ebenso eigenen Dateien als gefhrlich klassifizieren. (Skype.dll)
6. https://home.mcafee.com/virusinfo/virusprofile.aspx?key=771060#none zeigt
auf das die Xunlei.dll als Backdoor/Trojaner klassifiziert wurde und nicht nur
von McAfee alleine.
7. Der Hinweis http://www.file.net/process/xunleibho_v14.dll.html auf diese
Datei zeigt eine vorhergehende Version, jedoch lter.
8. Das es sich bei der Xunleibho Datei um ein Trojaner handelt bzw. um ein
Backdoor
wird
hier
besttigt
https://www.virustotal.com/en/file/0d1b50589c8e4388b099edef737fc560060
5f1e7e0e71306af69b93eb0fabb24/analysis/

7.2.

Daraus ergeben sich unter anderem folgende Fragen:


1. Angenommen es wre ein blocken in der Registry, warum
blockiert Microsoft extrem gefhrliche Dateien, die von renommierten
Herstellern sind wie z.B. Ebay oder Yahoo?
2. Was macht dann diese Dateien so extrem gefhrlich dass diese alten Daten
gleich im Betriebssystem geblockt werden mssen obwohl es nur Browser PlugIns sind?
3. Wenn diese Dateien bse Dinge anstellen, wieso finden sich keine Informationen
dazu irgendwo bei Microsoft?

Seite 10 von 46

4. Warum werden dann nur alte Versionen (Superfish) blockiert, die inzwischen
von jedem Virenscanner erkannt werden?
5. Warum werden z.B. Daten aus dem Jahr 2003 blockiert die eigentlich gar nicht
mehr gefhrlich sein knnen?
6. Warum wurden Dateien erst in Windows 10 blockiert und nicht auch gleich in
Windows 8/8.1 obwohl der Edge Browser in Windows 10 mit BHOs eigentlich
nichts anfangen kann?
7. Warum wurde die Liste der Dateien in Windows 10 um einige Dateien weiter
entwickelt?
8. Wieso war es notwendig dass die Dateien berhaupt in Windows 10 (Stand Feb.
2015) blockiert wurden, obwohl der EDGE Browser keine BHOs untersttzt?
https://blogs.windows.com/msedgedev/2015/05/06/a-break-from-the-pastpart-2-saying-goodbye-to-activex-vbscript-attachevent
9. Warum blockiert Microsoft auch eigene Dateien, wenn an diese Stelle in der
Windows Registry angeblich nur gefhrliche Dateien blockiert werden sollten?
10. Was wrde Microsoft Dateien so gefhrlich machen, wenn diese Dateien
angeblich in der Registry blockiert werden und welches Gefahrenpotential geht
dann davon aus?
11. Betrachtet man den Xunlei Downloader technisch, welcher andere Teil als das
P2P Protokoll bzw. die bertragungsroutine wrde sich sinnvoll an anderer
Stelle verbauen lassen? Damit wrde sich die Erkennung als Trojaner erklren.

Seite 11 von 46

8. MS Metadaten
Das Microsoft Metadaten sammelt ist fast so alt wie Windows selbst und damit
bringe ich auch niemanden mehr zum Nachdenken. Keiner denkt mehr drber
nach und alle finden das in Ordnung. Ich persnlich nicht und mich wundert es
das der deutsche Datenschutz das alles noch nicht moniert hat. Doch, was genau
steckt eigentlich in diesen Metadaten drin, die Microsoft so sammelt?
Werfen wir einfach einen Blick in die Daten selbst, wobei der Inhalt der Dateien
nicht

direkt

lesbar

ist.

Unter

dem

Pfad

C:\ProgramData\Microsoft\Windows\Caches werden Sie die Metadaten von


Ihrem Gert finden.
Ich selbst war die letzten Jahre im Bereich SAM (Software Asset Management) ttig
und habe hier Gerte und Nutzerinformationen, also Metadaten von Computern
und Servern, zum Zweck einer Lizenzbilanz erfasst. Betrachtet man diese von
der Dateiengre her die alle Daten eines PCs, des Nutzers und der installierten
Software enthalten, kamen meine Metadaten zum Zwecke eines SAM Projektes
auf maximal 200 bis 300kb pro PC.
Damit wurden aber bereits eine solche Menge an sensiblen Daten erfasst, das
mancher Betriebsrat rote Augen bekommen hatte, auf Grund von geltenden
Datenschutzbestimmungen, weil wir hoch sensible Informationen erfassen
mussten. Diese Daten wurden ausschlielich in enger Zusammenarbeit mit dem
Kunden zusammen erfasst und rckblickend auf meine ehemaligen Arbeitgeber
in diesem Bereich, diese Daten haben auch niemals die Abteilung oder gar
Unternehmen verlassen. Das SAM Inventory wurde in den allermeisten Fllen
Seitens des Betriebsrates abgesegnet so dass entsprechend damit gearbeitet
werden konnte. Doch selbst mit einem NDA, also einer entsprechenden
Vertraulichkeitsvereinbarungen, kam es dennoch zwischendurch vor dass diese
Inventory Dateen seitens des Betriebsrates auf Grund der Sensibilitt nicht zur
Weiterverarbeitung freigegeben wurden. Das nur als Anmerkung zur Gre und
zum Inhalt von Metadaten.
Gehen wir an dieser Stelle wieder zurck zu Windows.
Vergleicht man jetzt was Microsoft an Metadaten erfasst, kommt man in meinem
Beispiel auf 1,55 MB bei einem vollkommen leeren Betriebssystem. Keine
Software, keine Historie. Das Betriebssystem ist gerade mal ein paar Stunden
installiert gewesen. Ohne Updates.

Seite 12 von 46

Ich

habe

interessanterweise

festgestellt,

keiner

wei

wirklich

was

fr

Informationen mit den Microsoft Metadaten gesammelt werden. Selbst


Datenschtzer sagten mir, ja, Microsoft sammelt Daten und das sind bekannte
Fakten, das ist auch nichts Neues oder Besonderes.
Also sehen wir doch mal nach ob das wirklich so uninteressant ist.
Wenn man diese Metadateien nur mit einem Texteditor ffnet, sieht man recht
deutlich welche Datei hier entsprechende Informationen sammelt.

Hier findet man einen Hinweis auf die propsys.dll. Diese propsys.dll Datei kann
man ebenso mit einem Texteditor ffnen und ab der Mitte der Datei findet man
ein XML Datei darin enthalten.

Seite 13 von 46

Jetzt wrde ich gerne mal wissen was ein Datenschtzer dazu meint, wenn diese
Daten, die durch die XML Datei an Microsoft bermittelt werden, nher
betrachtet werden.
Ich htte die XML Datei gerne direkt mit in den Download hineingelegt, allerdings
wrde das den Straftatbestand wegen unerlaubter Verbreitung und
Vervielfltigung urheberrechtlich geschtzter Werke erfllen. Deswegen
mssen Sie da selbst Hand anlegen. Laut meinem Anwalt darf ich ihnen dafr
ausfhrlich erklren wie sie an diese Datei kommen. Da man diese Datei lesen
kann ohne dass die Datei dekompiliert wird, ist es also auch kein rechtliches
Problem.
Im Download finden Sie eine detaillierte Anleitung zum extrahieren (siehe
Microsoft Windows Analyse.pdf Seite 109) und bitte beachten Sie, die XML
Datei kommt ausgedruckt auf 286 Seiten.

Wenn Sie nun die XML Datei aus der propsys.dll extrahiert haben und sich dann
bewusst werden dass ein weiteres Plug-In, die PluckExplorerBar.dll dafr

Seite 14 von 46

zustndig ist Daten und Dateien zu klassifizieren und zu kategorisieren, drfte


sich bereits leichtes Stirnrunzel breit machen. Wohl gemerkt, wir nehmen immer
noch an dass diese Dateien vorhanden sind, auch wenn diese erstmal nicht zu
finden sind.
Es gibt lediglich 2 Hinweise dazu im Internet die aussagen, dass diese DLL nahtlos
in den Internet Explorer integriert worden ist, mehr Informationen sind nicht zu
finden. Und betrachtet man die Webseite von Pluck ist damit erstmal alles
gesagt.
Vergleicht man das nun mit dem Artikel unter der Adresse
https://netzpolitik.org/2014/metadaten-wie-dein-unschuldiges-smartphone-fastdein-ganzes-leben-an-den-geheimdienst-uebermittelt/
mit dem Inhalt der Metadaten von Windows, kann man sich ungefhr vorstellen was
damit nun alles mglich ist.
Ich bin kein Datenschtzer und ich habe selbst auch nicht viele Berhrungspunkte
zu dieser Thematik. Dennoch sind mir ein paar Dinge bekannt und bedingt durch
meine Ttigkeit im SAM Bereich habe ich die eine und andere Information
mitgenommen.
Das ist meine rein persnliche Meinung und keine Frage, es mgen Datenschtzer
und Juristen eine andere Meinung dazu haben, aber wenn ich mir ansehe was
durch diese Windows Metadaten alles erfasst, erkannt und bertragen wird,
dann hat das absolut nichts mehr mit Wir sammeln mal ein bisschen Daten zu
tun.
Anbei sehen Sie einen Ausschnitt aus der XML Datei und wenn ich mir das so im
Detail betrachte, ist das etwas was eigentlich einen Staatsanwalt ins Boot
bringen msste. Aus meiner Sicht ist damit die Grenze zur Industriespionage bei
weitem berschritten. Eine Anzeige bei der Staatsanwaltschaft Mnchen von
meiner Seite aus zu diesem Thema blieb brigens ohne Erfolg und wurde
eingestellt.
In Microsoft Lizenzaudits werden Unternehmen krftig zur Kasse gebeten wenn
Fehler in der Lizensierung gemacht wurden. Nehmen wir den Bereich SQL Server
mit der Formulierung direkte und indirekte Zugriffe oder auch theoretische
Zugriffe. Hier sagt Microsoft, wenn theoretisch die Mglichkeit besteht dann
wird auch auf die Systeme zugegriffen, keine Diskussion.

Seite 15 von 46

Dann darf man beruhigt davon ausgehen, wenn Microsoft die Mglichkeit hat diese
Informationen auszulesen, dann machen die das auch. Wozu wrden die es denn
sonst hineinprogrammieren?
Und das ist nur eine Auszug aus der XML Datei als ein kleines Beispiel:

Ich stelle mir hier berechtigt die Frage, wozu braucht Microsoft dann berhaupt
noch bei all den Daten ein SAM oder Lizenzaudit? Die haben doch alle Daten und
das in einer Qualitt jenseits eines normalen SAM Projektes. Ist das nur Tarnung?

Seite 16 von 46

Das ist aus meiner Sicht auch wieder ein Grund daran zu glauben dass all das nicht
von Ganz Oben gesteuert und kontrolliert wird.
Die Antwort dazu kann nur Microsoft liefern.

Seite 17 von 46

9. MS Online
Wie ich bereits eingangs erwhnte, habe ich einen Werbeblocker auf DNS Basis
entwickelt. Da meine DNS Server nicht nur Werbung blockieren sondern auch
andere unerwnschte Verbindung verhindern, hatte ich also einen Computer
frisch mit Windows 8.1 Enterprise installiert und diesen dann fast 4 Wochen
lange ununterbrochen laufen lassen und alles an Internet Anfragen mitgeloggt.
Was dabei am Ende herauskam ist jenseits aller Vorstellungen.
Nach Auswertung der Log Daten ist mir eine Adresse besonders aufgefallen.
go.microsoft.com.
Der PC wurde installiert, aktiviert, es wurden keine Updates gemacht, es war
niemand angemeldet und dennoch hatte ich Zugriff auf Adresse. Standartmig
ffnet

der

Internet

Explorer

diese

Adresse

ja

auch.

Wir

kennen

go.microsoft.com auch vom ersten ffnen des Internet Explorers. Also knnte
der eine Werbemll Adresse sein.
Diese Adresse ist Hard Coded, als in der dnsapi.dll eingetragen und somit mit
dem Betriebssystem fest verdrahtet. Ein Blockieren ber die HOSTS Datei
(127.0.0.1 go.microsoft.com) ist also nicht mglich.
Alle Hinweise im Event Monitor, alle Erklrungen und Links laufen ber diese
Adresse. Wer also diese Adresse blockiert, bekommt im Event Log keine
Informationen und Daten mehr. Es wre also extrem destruktiv diese Adresse zu
blockieren, denn dann wrde mindestens das Event Log so gut wie nicht mehr
funktionieren. Trotzdem ist die Adresse Hard Coded? Jetzt kann man sich
streiten, ist es gerade deswegen gemacht worden oder steckt da etwas anderes
dahinter?
Es gibt eine Vielzahl von Online Virenscannern, die nicht kontinuierlich, aber
dennoch regelmig IP Adressen und URLs prfen. Ich habe dann die IP Adresse
von go.microsoft.com eingegeben und siehe da, im Bereich Sandbox
Environment werden Daten, die eine Viren, Trojaner, Backdoor oder Keylogger
Signatur haben und entsprechend klassifiziert sind, an Microsoft bertragen.
Zufall? Also habe ich mich mit diesen Online Virenscannern beschftigt. In
Monatelangen Logs und abfragen unterschiedlichster DNS Server weltweit habe
ich IP Adressen zu dieser URL eingesammelt und immer wieder das gleiche
Ergebnis. Daten die aus einem Sandbox Environment kommen, sind mit Viren

Seite 18 von 46

oder

Trojaner

oder

Backdoor

Signaturen

versehen,

die

an

diese

go.microsoft.com Adresse gesendet werden.


Ich war von Beginn an skeptisch. Als ich einen Datei gefunden haben in diesen
Virenlogs von Virustotal die 123.zip geheien hatte und Microsoft Office
Dokumente enthielt und eben an diese go.microsoft.com Adresse gesendet
wurde, wurde es langsam bewusst was hier passiert.

Es werden Daten vom PC zu Microsoft gesendet an diese go.microsoft.com Adresse.


Und viele dieser Daten, insbesondere die, die unter der Rubrik Sandbox
Environment bertragen werden, haben eine Dateisignatur die davon zeugen,
dass sie von und durch einen Virus bertragen wurden.

In

dem

abgebildetem

Beispiel

handelt

es

sich

um

die

URL:

https://go.microsoft.com/fwlink/?linkid=500683
Gibt man diese Adresse in den Browser ein kommt ein Redirect auf die URL:
https://www.microsoft.com/en-us/download

Seite 19 von 46

Auf Grund des Inhaltes dieser Dateien ist davon auszugehen, dass hier Daten
bermittelt werden, die garantiert nicht bermittelt werden sollten.
Im Download meiner Dokumente habe ich auch eine Liste mit ber 100 IP Adressen
die ich auf der URL go.microsoft.com gefunden habe. Ich habe hier bewusst
keine groartigen Screenshots oder Listen ber Daten angehngt. Ich berlasse
es Ihnen sich das anzusehen oder nicht, denn wann ist ausreichend belegt das
hier Dinge geschehen, die nicht passieren sollten? 10, 50, 100 oder 1000
Beispiele? Somit haben Sie selbst gengend Mglichkeiten. Und wenn Sie 6000
Beispiele brauchen um berzeugt zu werden, bitteschn.
Nehmen Sie den Link aus dem angefgten Dokument How to check the IP Address
from go-microsoft-com, setzen Sie eine go-microsoft IP Adresse ein und sehen
Sie sich die Logdaten selbst an.
Bedenken Sie bitte, diese Online Virenscanner greifen nicht kontinuierlich auf diese
URLs oder IP Adressen zu. Virustotal ist auch nicht der einzige Online
Virenscanner der im Internet IP Adressen und URLs Untersucht.
Stellt man sich jetzt vor, was diese Viren Dateien, die in der Windows Registry
zu finden sind, alles machen knnten und zhlen wir an der Stelle alle
Informationen zusammen, was damit nun mglich wre was ich ihnen eben
Demonstriert habe, ist das weit jenseits der Vorstellungskraft was Microsoft an
Daten sammelt. Das Microsoft Daten sammelt die sicherlich nicht expliziert fr
diese Firma bestimmt sind steh somit auer Frage. Stellt sich immer noch die
Frage wie?
Zum einen stehen dazu Online Virenscanner zur Verfgung. Dort finden sich
Informationen, dass Daten die ber eine Sandbox Umgebung an Microsoft
gesendet werden, die mit einer Virus Signatur gekennzeichnet sind. Und nur als
Hinweis, Virustotal ist nicht der einzige Virenscanner der Online Adressen scannt.
Man knnte jetzt auch davon ausgehen, dass ein Viren Hersteller daraus abzielt,
Microsoft zu schdigen um Daten zu bertragen. Doch die Wahrscheinlichkeit ist
weniger als 0. Kein Virenschreiber wrde eine Virus schreiben und die Daten an
eine andere Adresse als sich selbst schicken. Wenn es also ein fremder Virus ist,
wieso sendet der Daten an das Microsoft Rechenzentrum?
Dazu kommt, es handelt sich nicht nur um einen einzigen Virus, denn wie auch
nachzulesen ist, es handelt sich um fast 90 besttigte und klassifizierte Viren
von unterschiedlichsten Anti Virenherstellern.

Seite 20 von 46

10. Datensammlung
Gehen wir einen Schritt weiter und ich bitte Sie nun daran zu zweifeln dass eben
diese Dateien berhaupt vorhanden sind, die ich ihnen in der Windows Registry
gezeigt habe.
All das was ich ihnen bisher gezeigt habe und was Sie auch selbst alles
nachvollziehen knnen, ist noch immer kein wirklich 100%ig Beweis dafr, dass
Microsoft das tut, wonach was es hier aussieht obwohl es unzhlige Log Daten
dafr gibt.
Wenn man Microsoft beweisen mchte dass die bse Dinge anstellen, msste man
anfangen das Betriebssystem zu Dekompilieren.
Auf Grund der Gesetzeslage in Deutschland und Europa, brigens auch in der
Schweiz, ist es absolut illegal Dateien zu Dekompilieren und somit Einblick in
den Source Code zu bekommen. Da mir bewusst ist, das ich mit dieser Geschichte
bei der Rechtsabteilung von Microsoft auf Platz 1 der unbeliebten User lande,
war es mir wichtig unter allen Umstnden eine Verletzung des Urheberrechts zu
vermeiden und trotzdem den Beweis liefern zu knnen.
Unter der Adresse http://www.reverse.it lassen sich tiefere Details finden. Zwar
handelt es sich um eine andere Datei, aber aus meiner Sicht der endgltige
Beweis der hier noch fehlt.
Betrachtet man die Log Datei von reverse.it im Detail lassen sich hier viele
Tatsachen erkenne. Diese Datei ist ein Beispiel von vielen und es gibt andere
Internetseiten wie reverse.it die diese Art von Analysen durchfhren bzw.
durchfhren knnen.
https://www.reverse.it/sample/29d50b5768990366d7f0276f588c47da51ca928a3e
7a621c50d7654ee025d14b?environmentId=1
Sehen wir uns diese Webseite kurz im Detail an, damit Sie wissen worauf Sie achten
mssen.

Seite 21 von 46

Zum einen sind nicht nur Windows Enterprise Systeme betroffen, sondern auch
Home Premium Systeme. Achtet man auf die Daten die bermittelt werden und
an welche Stelle sind wir wieder bei der go.microsoft.com Adresse. Und selbst
der letzte Skeptiker sollte sich nun Fragen wieso an eine Adresse, die eigentlich
ein Windows Update fr Windows Vista ist
http://go.microsoft.com/fwlink/?linkid=106323
http://go.microsoft.com/fwlink/?linkid=106322
http://go.microsoft.com/fwlink/?linkid=106323
alle Informationen von einer Kreditkarte bermittelt werden?

Seite 22 von 46

Seite 23 von 46

Das Spiel kann man nun unendlich fortsetzen. Wie ich eingangs erwhnt habe, ich
werde niemand berreden oder berzeugen wollen. Ich will dass Sie das selbst
nachprfen und nachvollziehen knnen um sich selbst ein Bild davon zu machen.
Aber bitte denken Sie daran, diese Online Virenscanner und Portale berwachen
die Adressen nicht rund um die Uhr, Sie sehen hier einen Bruchteil und
Ausschnitte davon.
Dennoch ist hier eindeutig zu erkennen, der Internet Explorer spielt bei der
Datenbermittlung eine essentielle Rolle.

Seite 24 von 46

Bei dem analysierten System handelt es sich um ein Windows 7 System, whrend
der Microsoft Redirector auf ein Windows Vista Update zeigt.

Seite 25 von 46

11. Datenbermittlung
Ich habe zwei Hypothesen, wie diese Eintrge, die nicht vorhanden sind, im
Betriebssystem aus meiner Sicht funktionieren. Das auch ein direkter
Zusammenhang mit dem Internet Explorer besteht, lsst sich aus den Log Daten
von reverse.it belegen.
Zum einen knnten die Daten direkt in den kernel von Windows hineinprogrammiert
sein. Das wre aus meiner Sicht jedoch fahrlssig obwohl die Log Daten doch
dafr sprechen wenn man die Debug Analysen bei reverse.it betrachtet.
Eine

andere

Option

wre

effektiver,

sprengt

allerdings

selbst

meine

Vorstellungskraft. Betrachten wir die BHOs in der Registry, dessen Dateien nicht
zu finden sind, fehlt noch ein Wert auf den ich bisher noch nicht eingegangen
bin.

Alle BHOs enthalten den Registry Wert FWLink. Ich habe auch keinen API Hinweis
in alten Dokumentationen gefunden, die diesen Wert erklren. In der Registry
von Windows lassen sich jedoch Werte finden, die diesen Wert erklren knnten.
Microsoft nutzt den Redirector von go.microsoft.com auch offiziell fr
Remote Dateien.

Seite 26 von 46

Hier ist eindeutig ein Beispiel zu sehen, in dem ein go.microsoft.com Link ber
den Redirector luft. Dieser Link ist ein Dateiaufruf.
Wenn diese gefhrlichen Dateien bewiesenermaen nicht blockiert sind, sondern
als Teil von Windows agieren knnte es ebenso der Fall sein, dass es gar nicht
notwendig ist, die Dateien lokal vorzuhalten, sondern dass diese Dateien Remote
aufgerufen und sogar ausgefhrt werden.
Das wrde dann bedeuten, der Internet Explorer wird als EXE Datei ausgefhrt
und die entsprechenden DLLs werden remote ber eine Online Verbindung
nachgeladen. Startet man den Internet Explorer der im Betriebssystem mit allen
Dateien gerade mal 20 MB hat, wrde das erklren warum der Browser, der
eigentlich nichts anderes machen sollte auer Webseiten anzuzeigen, zwischen
220 bis 260 MB im Speicher belegt.
Im Vergleich dazu, der Mozilla Browser hat 90 MB im Dateisystem und belegt im
Speicher bei der gleichen Webseite im Verhltnis dazu 84 bis 96 MB. Folgende

Seite 27 von 46

Seite habe ich damit bewusst gewhlt, denn in der Seite ist viel DHTML und
XHMTL enthalten. https://outlook.live.com/owa/?path=/mail/inbox
Dass eine bertragung von Daten an Microsoft stattfindet, ist unbestritten belegt.
Das auch persnliche und sensible Daten an Microsoft bermittelt werden, die
nicht bermittelt sollten, kann ebenso niemand mehr abstreiten.

Seite 28 von 46

12. Zusammenfassung und Fragen


12.1. Zusammenfassung der Fakten
1. Das Microsoft Daten durch das Betriebssystem sammelt ist unbestreitbar
2. Das Microsoft private Daten (Kreditkarte hier als Beispiel) ist unbestreitbar
3. Das der Internet Explorer die bertragung(en) initiiert, ist belegt
4. Alle aufgefhrten DLLs in der Registry sind nicht im Betriebssystem zu finden.
Dies ist nicht notwendig, Dateien knnen remote aufgerufen werden.
5. Auf Grund der Auszge von virustotal und reverse.it ist eindeutig zu
erkennen die hochsensiblen Daten vom Nutzer ber Windows direkt an
Microsoft bertragen werden.

12.2. Daraus ergeben sich unter anderem folgende Fragen:


1. Warum gibt es keine Mglichkeit das bermitteln von Metadaten zu
unterbinden?
2. Gibt es eine Mglichkeit bei ALLEN Online Virenscannern und Reverse Portalen
einen Report zu bekommen der alle entsprechenden Daten zusammenfasst?
3. Wie weit wei die BSI (Bundesamt fr Sicherheit in der Informationstechnik)
fr ber diese Art der Datensammlung Bescheid?
4. Wie weit wei der BND (Bundesnachrichtendienst) ber diese Art der
Datensammlung Bescheid?
5. Wie weit sind der Bundesregierung diese Fakten bekannt?
6. Wie weit sind der EU Kommission diese Fakten bekannt?
7. Warum schtzt das Urheberrecht solche Unternehmen und macht es Firmen und
Personen regelrecht schwer solches Verhalten aufzudecken?
8. Warum wurden Einwnde zur Urheberrechtsnderung dass so etwas geschehen
knne von der Rot-Grnen Regierung im April 2004 als lcherlich bezeichnet?
9. Wer kontrolliert Software Hersteller als unabhngige Instanz?
10. Wie weit wei Microsoft generell Bescheid dass so etwas im Betriebssystem
verbaut ist? Vergleichen wir es mit der VW Abgas Affre und ganz offen
gestanden, ich kann es einfach nicht glauben dass das alles von ganz oben her
gesteuert wurde.
11. Wer ist dafr verantwortlich dass diese Daten gesammelt werden?

Seite 29 von 46

13. Dennoch alles legal


Doch auch die noch so kritischen Skeptiker sollen an der Stelle nicht zu kurz
kommen, denn ich bin sicher es gibt immer noch so manche Meinung, alles
Quatsch. Kann gar nicht sein.
Und um es kurz zu machen, vllig richtig. Denn Microsoft gibt es schlielich ja auch
zu das sie das machen und wir haben alle dem zugestimmt dass Microsoft das
auch machen darf.
Schauen wir uns mal an der Stelle die EULA an und lesen genau was da drin steht.
Und das mit dem Wissen was ich Ihnen hier jetzt in diesen wenigen Minuten
gezeigt habe.

Microsoft verwendet die Daten nicht um Werbung gezielter zu schalten.


Und diesen Satz jetzt bitte nochmals berlegen. Stellt sich mir die berechtigte
Frage, fr was verwenden die diese Daten dann?

Seite 30 von 46

Das spielt keine Rolle und ist es egal fr was Microsoft diese Daten verwendet,
durch die Installation des Betriebssystems haben wir dem automatisch und
ausdrcklich zugestimmt. Sie erinnern sich bestimmt an dieses kleine Hkchen
beim Setup das ohne Anklicken eine Fortfhrung der Installation nicht zulsst.
Hierzu betrachten wir mal einen Auszug aus der EULA von Windows 8.1 bei der
Installation.

Diejenigen, die die Rechtsabteilung von Microsoft kenne oder manchen Vertrag
gelesen haben, wissen ganz genau dass es sich hierbei nicht um einen verbalen
Ausrutscher handelt. Ich habe weitere Ausschnitte zusammengefasst die durch
eine andere Perspektive eine vllig neue Bewertung bekommen werden.
Und knnen wir dann erwarten das Microsoft das etwa ndert? Nein.

Seite 31 von 46

Zurecht, denn der Gesetzgeber hat das sogenannte Lizenzrecht als legitim
anerkannt und aus dessen Rechte und Pflichten ergibt sich, das wir Windows
nicht kaufen, sondern lediglich ein Nutzungsrecht erwerben. Also wir
bezahlen dafr das wir es nutzen drfen.

Das bedeutet wir sind damit einverstanden das Produkt so zu nutzen wie es uns
serviert wird. Im Gegensatz zu einem Kauf oder Erwerb hat der Gesetzgeber
dafr gesorgt dass wenn etwas nicht passt oder funktioniert, wir ein Recht auf
Nachbesserung haben.
Dadurch das wir ein Produkt lizensieren, also lediglich ein Recht erwerben das
Produkt zu nutzen, darf der Hersteller auch somit machen was er will, ob Fehler
enthalten sind oder nicht, wir drfen es nur benutzen.
Kein rechtlicher Anspruch auf Besserung, kein rechtlicher Anspruch auf
Schadensersatz. Wozu auch, denn in den Lizenzbestimmungen steht schlielich
drin, das Microsoft Daten sammelt und auch an Dritte weitergeben wird. Wer
widerspricht, darf das tun, wird aber niemals in die Verlegenheit kommen, ein
Windows Betriebssystem nutzen zu knnen.
Da ich fr vieles bekannt bin, aber sicherlich nicht fr mein political
correctness spare ich mir persnliche Ausfhrungen hierzu fr all diejenigen,
die diese Gesetze und Rechte legitimiert haben ohne ein solches Szenario zu
bercksichtigen oder berhaupt darber nachdenken zu lassen.

Seite 32 von 46

14. Cloud und Cloud OS


Betrachtet man die Logdateien z.B. bei Virustotal im Detail, werden wir hier
nahezu jedes Microsoft Betriebssystem finden, auer Windows 10. Gut, ich gebe
zu, ich habe nicht jedes Online Virus Analyse Portale durchsucht oder alle Log
Daten ausgewertet. Keine Frage, alles nur stichprobenartig.
Doch gerade bei Virustotal sieht man es deutlich, ab 2016 haben die
Datenbermittlungen an Microsoft abgenommen. Weder kann man es beweisen
noch habe ich einen Beleg dafr, aber es scheint so, dass Windows 10, das auch
als das Cloud Betriebssystem bekannt ist, entweder andere Wege kennt oder das
Microsoft die Datenbermittlung abgeschaltet hat.
Auf Grund der Diskussionen, die ja auch ffentlich gefhrt werden und der
bekannten Tatsache was Microsoft an Daten ber Windows 10 sammelt halte ich
es persnlich fr ein Gercht dass das alles abgeschaltet wurde. Denn bekannter
Weise wurde es ja sogar mehr im Verhltnis zu seinen Vorgngern Windows
7/8/8.1
Dennoch, obwohl ich pro Cloud bin ist eine Grenze erreicht, die ich persnlich fr
mich nicht mehr verantworten kann. An der Stelle werde ich mich jedoch mit
Kommentaren und Meinungen zurckhalten, denn ich mchte das Thema hier so
neutral wie mglich darstellen.
Zu dem Thema Cloud und CloudOS im Weiteren werden Sie sich eigene Gedanken
machen mssen.
Die Tatsache das alles inzwischen auf Cloud und CloudOS hinausluft, hat seine
Vorteile, allerdings es hat auch gravierende Nachteile.
Ich selbst bin definitiv von der Konzeption Cloud als gemeinsame Basis berzeugt,
dennoch mssen wir hier dringend anfangen umzudenken und dringend neu
Sicherheitsmechanismen

und

Kontrollmechanismen

herstellerunabhngig

etablieren.

Seite 33 von 46

15. Microsoft Office und Microsoft CRM

Auf der Suche nach Blacklisten Adressen fr meinen DNS Server habe ich im Mai
2015 einen PC in meiner ehemaligen Firma mit Wireshark untersucht. Beim
Scannen fielen mit die beiden Adressen auf:

pixel.monitor1.returnpath.net

f5.services.visualstudio.com

Ich konnte es in einer Firmenumgebung mit folgender Konfiguration feststellen:


1. Windows 8.1 Enterprise
2. Office 2013 Professional (DEU & ENG)
SW_DVD5_Office_Professional_Plus_2013w_SP1_W32_German_MLF_X1935829.ISO
3. Exchange Server Online
4. Updatestatus Windows und Office 2013: Anfang Mai 2015
5. Microsoft CRM Online
Wie beim Betriebssystem gilt, Sie sollen sich selbst berzeugen, ich zeige ihnen
auch den Weg das alles entsprechend verifizieren zu knnen.
Ich habe meine DNS Server als Forwarder bei meinem ehemaligen Arbeitgeber
AssetConsult GmbH bzw. SAMLive GmbH im Einsatz gehab, die im Bereich
Software Asset Management ttig sind. Die eben genannten Adressen haben
sofort fr rger gehandelt, da ich diese Adressen nicht in meinem SSL Zertifikat
hatte, aber auf den Black Listen. Beim Senden oder Abbrechen von Emails in
Outlook gab es entsprechende Zertifikatsfehlermeldungen.

Seite 34 von 46

ANMERKUNG:
Die nachfolgenden Fakten sind inzwischen etwas lter und Microsoft hat durch
ein Update im letzten Jahr augenscheinlich alles behoben. Dadurch dass viele
MS Office und MS CRM Versionen nicht 100%ig UP-to-DATE mit Ihren
Updates sind, lassen sich die nachfolgenden Fakten dennoch belegen. Erst im
Januar 2016 wurde mir bewusst was diese Fakten bedeuten und bezogen auf
die URL, welche Auswirkungen sie haben, wofr die URLs stehen und mit
welchem Hintergrund.
Das bedeutet, jedes Mal wenn beim Versenden von einer Email auf SENDEN im
Outlook geklickt wird, werden Daten ber eine SSL bzw. HTTPS Verbindung an
einen Partner von Microsoft bertragen.
Dabei handelt es sich um folgende Adressen die entsprechend kontaktiert werden:

pixel1.returnpath.net

pixel.monitor2.returnpath.net

pixel.monitor1.returnpath.net

Zu diesen Adressen gehren entsprechende IP Adressen:

104.130.195.114

104.130.69.194

104.130.195.72

198.61.174.114

104.130.216.248

23.253.22.115

104.130.219.112

23.253.22.147

Jetzt haben Sie somit mehrere Mglichkeiten das entsprechend verifizieren zu


knnen. Zum einen knnen Sie es bei sich selbst und ohne Probleme ausprobieren.
15.1. Microsoft Office & CRM - Test am Computer
1. ffnen Sie folgende Datei:
Windows Systeme

C:\Windows\System32\drivers\etc\hosts

2. Kopieren Sie folgenden Text und fgen Sie diesen am Ende der HOSTS
Datei ein und speichern Sie die Datei ab:
127.0.0.1 pixel1.returnpath.net
127.0.0.1 pixel.monitor1.returnpath.net
127.0.0.1 pixel.monitor2.returnpath.net

3. Starten Sie Ihren Computer neu und versenden Sie eine Mail mit Outlook
4. Erhalten Sie eine Zertifikatsfehler Beweis erledigt

Seite 35 von 46

15.2. Microsoft Office & CRM - Virustotal Logdaten Analyse


Natrlich wurden hierber auch entsprechende Logdaten geschrieben bei
Virustotal. Um es einfach zu machen, hier anbei die entsprechenden Links zum
direkten anklicken:
https://www.virustotal.com/en/ip-address/104.130.195.114/information/
https://www.virustotal.com/en/ip-address/104.130.195.72/information/
https://www.virustotal.com/en/ip-address/104.130.216.248/information/
https://www.virustotal.com/en/ip-address/104.130.219.112/information/
https://www.virustotal.com/en/ip-address/198.61.174.114/information/
https://www.virustotal.com/en/ip-address/104.130.69.194/information/
https://www.virustotal.com/en/ip-address/23.253.22.115/information/
https://www.virustotal.com/en/ip-address/23.253.22.147/information/

Bitte beachten Sie die Logdatei im Detail und machen Sie sich bewusst, dass die
bermittlung definitiv in den Microsoft Produkten vorhanden ist bzw. war, je
nachdem wie weit Sie ein Update durchgefhrt haben. Vergleicht man jetzt die
Zahlen mit dem Wissen, das weltweit ber 1 Milliarde Office Installationen im
Einsatz sind und wieviel davon ber Virustotal erkannt wurde, ist das eine
geringe Anzahl erkannter bertragungen.
http://thenextweb.com/microsoft/2012/07/09/microsoft-1-3-billion-windowsusers-office-is-on-1-billion-desktops-and-more-stats/

Wenn Sie sich nun dessen Verhltnis bewusst werden und wir wieder an den Anfang
gehen, wo es sich um Windows gehandelt hat und sich die Anzahl der Logdateien
ansehen, sollte es sptestens jetzt an dieser Stelle klar werden was bei Windows
Betriebssystemen im Hintergrund passiert.
Wer ist eigentlich diese Firma ReturnPath? Sehen wir uns mal im Detail an, was
dieses Unternehmen bietet und mit welchem Hintergrund Microsoft Office Daten
an dieses Unternehmen sendet.
Laut deren eigener Marketing Abteilung eine Neue Hoffnung. Hierzu ein
entsprechender Link. Neue Hoffnung klingt nicht nach jemanden dem man
bses unterstellen wrde:
https://blog.returnpath.com/a-new-hope-big-data-for-marketing/

Seite 36 von 46

Gehen wir auf die Webseite des Unternehmens vom 02. Mai 2015 mit dem Wissen
das Daten beim Anklicken des SENDEN einer Email an dieses Unternehmen
gehen.

Dann lernen wir mehr und drcken auf LEARN MORE. Was dort zu sehen ist werde
ich kommentarlos hier Einfgen. Die Interpretation der nachfolgenden
Informationen berlasse ich Ihnen.
http://web.archive.org/web/20150316153903/http://returnpath.com/solutions/e
mail-data-platform/

Seite 37 von 46

Dazu folgende aktuelle Information (September 2016) ber das Unternehmen auf
deren Webseite. Beachten wir World Class Analytics:

Seite 38 von 46

Gehen wir einen Schritt weiter.


Bei diesen Adressen kommt ein sogenannter Pixel ins Spiel. Jeder, der sich mit
Datenschutz und Facebook intensiver beschftigt hat, sollte wissen was es mit
dem berhmten Facebook Pixel auf sich hat. Ich werde an der Stelle nicht nher
darauf eingehen, denn bei Facebook wissen wir schon ein bischen. Dabei ist
vieles dabei, was dem einen oder anderen Datenschtzer nicht schmeckt. Das ist
kein Geheimnis mehr.
Wenn ich jetzt von den Mglichkeiten und Optionen des Facebook Pixel lediglich
die Hlfte auf das Returnpath Pixel umlege, fehlt es sogar mir an
Vorstellungskraft wieviel hier an Daten zusammen kommen und wer alles Daten
an dieses Unternehmen sendet.
Soweit ich wei nutzen Journalisten, Regierungen, Geheimdienste, Polizei,
Staatsanwaltschaften europaweit und sogar das gesamte EU Parlament Microsoft
Outlook und dabei war das bei weitem noch nicht alles.
Doch es stellt sich immer noch die Frage welche Daten an dieses Unternehmen
gesendet werden.
Geht man die entsprechenden Logdateien durch dann sieht man eindeutig was hier
an Daten bermittelt wird. An der Stelle werfen wir nochmals einen Blick in die
EULA bzw. Datenschutzbestimmungen:

Seite 39 von 46

Erneut die berechtigte Frage: Emails werden nicht verwendet um Werbung auf
Interessen auszurichten. Wofr werden diese dann verwendet?

Das ist einer der Hauptgrnde warum ich all diese Fakten an die ffentlichkeit
bringen mchte. Hier sind mir aus rechtlicher Sicht leider die Hnde gebunden.
Diese Adressen sind seit Mai 2015 ber meine DNS Server geblockt und durch das
keweon HTTPS Zertifikat besteht auch keine Chance dass hier Daten bermittelt
werden knnen. Ich bin auch hier nicht der einzige, dem diese Thematik
aufgefallen ist. EYEOs AdBlock Plus hat diese Adressen inzwischen auch auf der
Blackliste.
Doch gehen wir noch einen weiteren Schritt weiter. Nehmen wir die IP Adressen
wie eben aufgefhrt und lassen wir diese entsprechend Analysieren.

Seite 40 von 46

Der Eigentmer der entsprechende IT Infrastruktur von ReturnPath ist RACKSPACE.


Fr alle die mit diesem Namen erst mal nichts anfangen knnen, ist vielleicht
dieser Link hier hilfreich:
http://www.corpwatch.org/article.php?id=15933

Wer den eben genannten Link gelesen hat, frgt sich vielleicht wer ist das Hacking
Team of Italy?
https://www.privacyinternational.org/node/559

Weitere Details, Informationen und Analysen sind aus meiner Sicht hierfr nicht
notwendig

oder

erforderlich,

die

Brisanz

dieser

Microsoft

Office-

Returnpath Kommunikation aufzuzeigen. Wenn ich mir vorstelle wer hier alles
in welchem Umfang Zugriff hat, dann ist das was damals Edward Snowden mit
der NSA bekannt gemacht hat dagegen lcherlich.

Seite 41 von 46

16. Optionen und Mglichkeiten


Um es vorweg zu nehmen, es ist technisch nicht mglich ohne das Microsoft hier
ein entsprechendes Feedback gibt oder Einblick in die Systeme zulsst, 100%ig
zu beweisen wie die Datenbermittlung im Bereich Windows im Detail
funktioniert.
Keine Frage, ber das WIE kann ich in diesem Fall spekulieren. Denn ganz klar,
alles was nicht 100% beweisbar oder belegbar ist, kann man niemanden
vorwerfen und selbst wenn es noch so offensichtlich ist das eine oder andere
entsprechend logisch ableiten zu knnen.
Das jedoch eine Datenbermittlung stattfindet die definitiv nicht gewnscht ist
steht auer Frage, ebenso das auch Viren und Trojaner dazu benutzt werden
um diese Datenbermittlung zu initiieren oder durchzufhren.
Zum einen msste man das Betriebssystem dekompilieren und zum anderen msste
man sich physikalischen Zugriff auf die entsprechenden Server beschaffen.
Beides ist zum einen absolut illegal und wie weit sich das technisch dann wirklich
umsetzten lsst wre eine andere Frage.
Durch die Sammlung der Metadaten, die bermittlung der Informationen durch
weitere Dateien ist es recht einfach einen PC und dessen Nutzer so zu
klassifizieren, dass ber weltweit Eindeutige Werte des Systems, des Nutzers
und z.B. seiner Email Adresse exakt bestimmt werden kann wer welche Daten
besitzt und benutzt. Es besteht auch keine Frage mehr das Microsoft Daten und
Dateien zu sich selbst ins Rechenzentrum kopiert, ohne dass der einzelne Nutzer
hierber Bescheid wei oder informiert wird.
Edward Snowden hat berichtet, dass der Cryptoschlssel von SIM Karten des
Herstellers GEMALTO bei der NSA liegt. Durch all diese Sachen hier und der
Sachlage wird das aus meiner Sicht inzwischen absolut nachvollziehbar. An der
Stelle und unter diesen Umstnden kann man der Firma Gemalto keinen, aber
auch nicht den geringsten Vorwurf machen, sie htten sich nicht sorgfltig um
Ihre Daten gekmmert.
Es wre somit auch zu erklren wie die NSA an die Telefon Verschlsselung der
Vereinten Nationen gekommen ist. All das sind Dinge die bis heute nicht mal
annhernd logisch erklrbar. Auch die IT und Sicherheit von Gemalto bzw. der
Vereinten Nationen kann es bis heute nicht erklren, auer dass Edward
Snowden nicht Recht htte und es nicht stimmt. Allerdings ist mir kein einziger

Seite 42 von 46

Fall bekannt in dem Edward Snowden irgendetwas behauptet hat was sich
hinterher als falsch oder unrichtig herausgestellt hat.
Auch damit wre zu erklren wie das Mobile Telefon von unserer Bundeskanzlerin
Frau Dr. Merkel angezapft werden konnte.
Es gibt absolut keinen Beweis dafr, dass Microsoft dafr direkt verantwortlich ist.
Es ist jedoch eine logische Erklrung fr so viele Dinge was Edward Snowden
verffentlich hat und wo es immer noch die eine oder andere offene Frage dazu
gibt, wie konnte das geschehen.
Ich bin auch nicht der einzige und erste der sich mit diesen Viren und
Trojanern im Betriebssystem beschftigt hat. Ich denke wenn man diese
verschiedenen Online Virenscanner Portale oder Online Debugger dazu bringt
einen Report ber die entsprechenden Daten zu generieren und all diese
Informationen in einen Topf wirft, dann wird aus der Geschichte garantiert eine
richtig interessante Suppe. Doch alleine komme ich hier einfach nicht mehr
weiter.

Seite 43 von 46

17. Ziele
Es gibt von meiner Seite aus alleine 1000de von Fragen. Wo sind die Daten? Was
passiert mit diesen Daten? Oder alleine warum wird diese Menge an Daten
gesammelt?
Betrachtet man die Mglichkeit welche Profile erstellt werden knnen durch
Metadaten, stellt sich das aus meiner Sicht alleine bereits ein ernsthaftes Risiko
dar wobei Windows 10 noch weiter geht mit der Patientenakte, der HealthVault
Lsung.
Fr alle die sich fragen, wie soll denn das alles ausgewertet werden, der sollte sich
mal die Mglichkeiten ansehen was mit Microsoft Delve machbar ist. Dabei
handelt es sich jedoch nur um eine Desktop Anwendung.
Ich bin mit all den Informationen und Fakten hier an einem Punkt angekommen wo
ich fr mich mehrere Dinge festgestellt habe.
Zum einen hlt sich meine Begeisterung fr Windows Betriebssysteme seit kurzem
absolut in Grenzen. Keine Frage, Windows ist ein Nutzerfreundliches
Betriebssystem von der Handhabung her und wie ich schon erwhnt habe, ich
weigere mich zu glauben dass das alles eine Angelegenheit ist, die von Ganz
Oben gesteuert wird. Allerdings bevor das alles hier nicht 100% glaubwrdig
erklrt wird, werden

von meiner Seite aus die Begriffe Cloud &

Microsoft definitiv nicht in einem Satz genannt werden, der eine positive
Wertung dazu htte.
Es klingt fr mich auch eher nach VW-Abgas Affre, also ein paar Mitarbeiter
haben hier eine eigene Suppe gekocht. Dennoch, wenn ich mir ansehe welcher
technische und finanzielle Aufwand dafr notwendig ist, beschleicht sich hier
dann doch wieder ein Zweifel.
Solange hier nicht eine 100%ige Aufklrung stattfindet die im Detail alle Fakten
aufklrt, ist und bleibt das Thema Microsoft fr mich Grenzwertig. Keine Frage,
die Antwort auf das WIE ist immer noch offen, aber diese Frage kann von
niemand anderem beantwortet werden als von Microsoft selbst. Dabei erwarte
ich nicht ein lapidares Ups! Entschuldigung wie es Unternehmen sonst immer
machen.

Seite 44 von 46

Ebenso muss das Urheberrecht in Deutschland und Europa gendert werden. Nicht
morgen, nicht bermorgen sondern noch heute Nachmittag. Und das
wortwrtlich.
Wenn sich Unternehmen durch ein Gesetz Vorteile verschaffen, dann nennt man
das politische Lobbyarbeit. Wenn ich jedoch sehe was daraus gemacht worden
ist und mit welcher Fahrlssigkeit der Gesetzgeber auf Bundes und EU Ebene
bedenken, dass so etwas passieren kann, abwinkt, stelle ich mir berechtigt die
Frage, wer wurde hier mit wieviel Geld bezahlt das so etwas mglich geworden
ist.
Ich will eine Mglichkeit haben Source Code Dekompilieren zu drfen wenn der
berechtigte Verdacht besteht ohne dass ich mich damit strafbar mache. Oder es
muss eine Institution geschaffen werden, die JEDEN auch nur so kleinen Verdacht
nachgehen darf und diese Mglichkeiten auf einer rechtlich sauberen Ebene hat.
Unabhngig von jedem Software Hersteller oder in welchem Land sich der
Hersteller befindet. Ebenso das gleiche mit verschlsselten Datenverbindungen.
Aus meiner Sicht trgt der Gesetzgeber auf Bundes und Europa Ebene eine groe
Mitschuld. Denn ganz klar, wenn ich einem Unternehmen von dieser Gre diese
Mglichkeiten indirekt anbiete und dafr sorge dass niemand dahinter kommen
kann und sogar darf, dann wird das auch entsprechend ausgenutzt.
Das alles und ich denke noch viel mehr Fragen, mssen zu diesem Thema dringend
beantwortet werden.
Doch alleine habe ich dazu nicht die geringste Chance hier entsprechende
Antworten zu bekommen, geschweige denn die Mglichkeit politisch auf
Entscheidungen einzuwirken.
Das ist der Grund warum ich all diese Informationen ffentlich zur Verfgung stelle
und ich hoffe das auf diesem Weg gengend Druck entsteht, dass viele dieser
Dinge nicht nur debattiert werden sondern auch entsprechend gendert und
extrem schnell umgesetzt werden.

Seite 45 von 46

18. Danksagung

Intel Corporation

Benjamin Edelman (Smart Shopper)

McAfee / Intel Security Suite

Oleh Yuschuk (OlyDbg)

Kaspersky Lab.

Luigi Auriemma (myToolz)

Sophos Ltd.

Werner Rumpeltesz (RegistryViewer)

Palo Alto Networks

Andreas Pfund (Metadaten Erklrung)

Cisco Systems, Inc.

Nir Sofer (NirSoft)

F5 Networks GmbH

Guidance Software (EnCase)

Hewlett-Packard Company, L.P.

Wireshark Foundation

Payload Security

Ebenso einen herzlichen Dank und Gru an Edward Snowden, der mit seinen
Verffentlichungen fr Fragen, Hilfen und Erklrungen gesorgt hat.
Auch an die vielen namentlich nicht genannten Firmen die mich technisch und durch
entsprechende Mitarbeiter direkt und indirekt untersttzt haben wenn es um
Fragen, Details und Analysen gegangen ist.
Das Team von Virustotal und archive.org erhlt ebenso einen speziellen und
besonderen Dank. Ohne euch wre so vieles unwiederbringlich verloren
gegangen.
Und zu guter Letzt, ein ganz besonderen lieben und herzlichen Dank an den HEISE
Verlag (Computerzeitschrift CT und CT SECURITY). Ohne eure redaktionellen
Inhalte wre hier vieles nicht so einfach gewesen. Also bitte nicht bse sein,
wenn ich den einen oder anderen Screenshot oder Hinweis von eurer Webseite
hier als Info benutzt habe. Das Copyright bleibt selbst verstndlich bei euch und
ich bedanke mich wirklich sehr fr eure tolle Arbeit!

Seite 46 von 46