Musicmatch gibt seinen Einstand

Das ist der eigene Computer, also kein Problem. Der Button "Zulassen" wird gewählt. Mit der nächsten Meldung, will Musicmatch jedoch schon wieder ins Internet. "h21.ip.musicmatch.com [63.236.14.21], port http [80]" ist da zu lesen. Meldungen dieser Art wiederholen sich nun zwölf, dreizehn, vielleicht auch 15 mal.

Immer mit fast der gleichen IP-Adresse. Nur die letzten beiden Ziffern variieren: Mal ist es die 21, mal die 26. Soll das jetzt bei jedem Programmstart so ablaufen? Natürlich kann Kerio die Verbindungen auch automatisch blocken. Doch hat Musicmatch jetzt schon vor seinem ersten Erscheinen einen schlechten Eindruck hinterlassen.

Warum will er sich ungefragt verbinden? Wohin sollte die Übertragung gehen? Und am allerwichtigsten ist natürlich: Was sollte da gesendet werden? Auf die ersten beiden Fragen kann mit Hilfe dieses Tutorials eine Antwort gefunden werden.

Den Inhalt der Übertragung kann man sich allerdings nicht direkt erschließen. Dafür benötigt man einen so genannten Sniffer, der alle Verbindungsdaten protokolliert, sowie einige Spezialkenntnisse.

Zurückverfolgen kann man die Verbindung über eine so genannte Whois-Abfrage oder über einen Traceroute. Auf der Webseite

Verbindung zurück verfolgen

Mit dem kann man die IP-Nummer nachvollziehen. Klicken Sie auf der Internetfrog-Seite die Rubrik "Trace Route" an und geben Sie die IP-Nummer "63.236.14.26"aus der Kerio-Warnmeldung dort ein. Anschließend werden alle Server aufgelistet, die bei der Verbindung von der Internetfrog-Seite bis zur Zieladresse von dem Datenpaket passiert werden. Die letzte Station ist der Server, den Musicmatch kontaktieren wollte.

"h26.ip.musicmatch.com" liefert die Traceroute-Abfrage da. Das ist die gleiche Adresse, die sich hinter der IP-Nummer mit der Endung 21 verbirgt. Folglich hat Musicmatch bei allen Verbindungsversuchen den gleichen Server kontaktieren wollen. Es ist bei größeren Unternehmen völlig normal, dass einer Webadresse mehrere IP-Nummern zugeordnet sind.

Hätte die IP-Nummer einer anderen Firma gehört, wäre die Vermutung angebracht gewesen, dass von Musicmatch statistische Daten erhoben, gesammelt und verkauft werden. Denn wozu braucht man sonst eine Fremdfirma? Da es die aber auf den ersten Blick nicht gibt, lohnt sich doch eine Whois-Abfrage. Denn man möchte wenigstens wissen, wo der Zielserver liegt. Auf "samspade.org gibt es eine sehr gute Whois-Abfrage.

Aufruf mit dem Browser

Die auf Internetfrog.com ist nämlich nur für Internetadressen, die mit "www." anfangen. Die Eingabe auf Samspade verrät: Der Musicmatch-Server steht in San Diego, in den USA. Nun noch der selbstverständliche Versuch, die Adresse einfach mal in den Browser einzugeben: Tatsache, es klappt. Im Browserfenster erscheint die Webseite von Musicmatch.

Allerdings wirbt die Webseite für den Download des Browsers. Für das bereits installierte Musicmatch ein völlig sinnloses Ziel. Man kann davon ausgehen, dass die Webseite unterscheiden kann, ob sie von der Musicmatch-Software oder vom Browser aufgerufen wird. Erst recht, wenn der Player bestimmte Befehle an den Server übermittelt.

Wer nämlich den Player aufruft und alle Verbindungen zulässt, bekommt innerhalb des Players eine Webseite von Musicmatch angezeigt, die sich von der im Browser klar unterscheidet. Außerdem schlägt Kerio auch mehrmals an, nachdem man die erste Verbindung erlaubt hat. Weiter IP-Adressen kommen zu Tage. Zum Beispiel eine, die auf 20 endet.

Webseiten per IP-Nummer anschauen

Normalerweise kann man in den Browser statt einer Internetadresse auch IP-Adressen eintippen. Verbirgt sich dahinter eine Webseite, erscheint sie auf dem Bildschirm. Bei den IP-Adressen "63.236.14.20" und "63.236.14.26" klappt das aber nicht. Sie sind ganz offensichtlich für andere Zwecke gedacht. Nur Musicmatch weiß, welche Art Daten zu diesen Adressen übermittelt werden. Traceroute und Whois liefern bei den IPs wieder den Musicmatch-Server als Ergebnis.

Nützlicherweise meldet Kerio ja auch den Aufruf von Unterprogrammen. "MUSICMATCH Update" wird höchstwahrscheinlich auf dem Server nach Updates suchen. Der Name "Logging and tracing manager" klingt jedoch nicht besonders Vertrauen erweckend. Es ist nicht klar, was der Player zu protokollieren oder zurückzuverfolgen hat. Man kann hier durchaus Spyware vermuten.

Ebenfalls auffällig sind die vielen Verbindungen, die Musicmatch aufbaut, wenn man erstmal alle erlaubt. Im Test waren es weit über 40. Ein Indiz, dass Server und Player ausführliche Gespräche führen und erst danach entschieden wird, welche Verbindungen noch alle folgen. In diesem Wust kann man zwischen berechtigten und unberechtigten Verbindungen nicht mehr unterscheiden. Welche Daten übermittelt werden, bleibt ohnehin Geheimnis der Firma.

Internetsüchtig

Schaut man sich die Funktionen des Players an, fallen Online-Angebote, wie "On Demand"-Funktionen, die Updatefunktion und der "Music Store" auf. Die benötigen alle eine Internetverbindung. Ebenso blendet der Button "Wird gespielt" Informationen aus dem Internet über die Musik ein, die man gerade hört.

Doch 40 Verbindungen für vier Funktionen sind ein bisschen viel. Erst recht, wenn Sie gleichzeitig aufgebaut werden. Die Funktionen werden außerdem gar nicht gleichzeitig benutzt. Die Gesprächigkeit des Players macht also zumindest einen unseriösen Eindruck.

So könnte zum Beispiel die Funktion "Wird gespielt" missbraucht werden, um zu protokollieren, welche Musik bei den Nutzern gehört wird. Wem es davor gruselt, sollte jeglichen Zugriff des Players auf das Internet verbieten.

Telefonverbot erteilen

Dazu startet man das Hauptprogramm der Firewall und wechselt in die Rubrik "Netzwerksicherheit". In der Zeile "Musicmatch Jukebox" setzt man in allen Spalten, durch zwei Mausklicks, ein rotes Kreuz. Sämtliche Verbindungen werden damit für immer gesperrt. Zwar sind dann auch Internetdienste, wie Webradio und Musicstore mit dem Player nicht mehr abrufbar. Die Privatsphäre ist aber nur so geschützt.

Nützlicherweise kann man mit Kerio alle Einstellungen in einer Datei abspeichern, um sie auch nach einer Neuinstallation der Firewall wieder reinzuladen. Wer noch mehr Programme wie Musicmatch benutzt und auch noch viele Filterregeln gesetzt hat, wird sich über die Funktion freuen. Soll eine neuere Version der Firewall oder Windows neu installiert werden, muss man die Einstellungen nicht wieder neu vornehmen.

Zum Speichern der Einstellungen klickt man im Kerio-Hauptprogramm auf "Übersicht" und anschließend auf die Registerkarte "Voreinstellungen" am oberen Fensterrand. Dort legt man mit einem Klick auf "Export" dann die Speicherung an. Ein Fenster erscheint, mit dem man den Zielordner auswählen und einen Dateinamen eintippen kann.

Einstellungen wieder reinladen

Das auslesen der Abspeicherung läuft dann ähnlich: Statt den Button "Export" anzuwählen, klickt man auf die Schaltfläche "Import" und wechselt im neuen Fenster in den Ordner, in dem sich die Abspeicherung befindet. Dann klickt man nur noch doppelt auf den Dateinamen der Sicherung und ist schon fertig.

Dank der guten Firewall konnten die Verbindungsversuche von Musicmatch erkannt und der Netzzugriff gesperrt werden. Da Kerio auch eine Warnmeldung rausgibt, wenn Unterprogramme aufgerufen werden, bekommt man mehr Hinweise für unseriöses Verhalten von Software.

Da kann man einige Warnmeldungen zuviel, gerne in Kauf nehmen. Außerdem filtert die Firewall viele nervige Werbebanner raus. Das Abspeichern aller Einstellungen ist eine zusätzliche nützliche Funktion, an der es in den meisten Programmen dieser Art leider mangelt. Dafür muss man aber leider auf eine sinnvolle Protokollfunktion verzichten. Die eingebaute schreibt lediglich bei den Aktionen des Werbeblockers mit.