dreckhände

Slashdot verweist auf ein kleines Forschungsergebnis, das Nathan Hinkle in seinem Blog berichtet: Es geht darum, wie Windows 7 den Status von Netzwerk: Internetzugriff ermittelt. Es ruft zuhause an und man kann es leicht auf einen eigenen Server umbiegen, was Datenspuren vermeidet und evtl. sogar das Wiederfinden gestohlener Hardware ermöglichen kann. Spannend, will es hier kurz festhalten.

Immer, wenn eine WLAN-Verbindung eines Laptops mit win7 eine Authentizifierung vom Browser benötigt, Hotspots in Bahnhöfen oder Hotels zum Beispiel, weiss win7 das irgendwie. Und es erkennt es auch, wenn die Internetverbindung nicht funktioniert, und kann dabei zwischen lokaler Verbindung im LAN und voller Verbindung unterscheiden. Wie macht es das? 

Das Feature heisst NCSI für Network Connection Status Indicator und basiert im Kern auf zwei Abfragen:

1. Eine DNS - Suche und Abruf von http://www.msftncsi.com/ncsi.txt. Das ist eine einfache Textdatei mit dem Inhalt 'Microsoft NCSI'.
2. DNS - Suche nach dns.msftncsi.com. Dann wird geprüft, ob der Name nach  131.107.255.255 aufgelöst wird. Wenn die Adresse nicht zu dieser IP aufgelöst wird, wird angenommen, dass die Internetverbindung nicht korrekt funktioniert. 

So, und das steht natürlich irgendwo in der Registry, nämlich hier:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NlaSvc\Parameters\Internet

Die meisten Unterschlüssel sind ziemlich sprechend benannt und  da kann man nun seinen eigenen Server, ncsi.txt, IP etc einschreiben. Was zum einen den eigenen Rechner aus dem grossen "Wann läuft unter welcher IP ein Rechner mit windows 7"- Datenpool der Redmonder herausnimmt. Und potentiell eine Hilfe ist, gestohlene Hardware zu verfolgen, vorausgesetzt der so präparierte Rechner wird mit Netzverbindung gestartet, ohne dass als erstes das Betriebssystem neu installiert wurde.