Wunderd mich das diese Meldung noch nicht hier ist (vom Zebradem forum)

"
Zitat von Zebra
Hallo liebe Zebrademer,

gleich mal vorweg, für das was ich euch jetzt erzähle, musste ich mir einen neuen Account machen, da ich hier etwas public mache, was, aus mir völlig unerklärlichen Gründen, non public gehalten wird.
Würde ich es mit meinem normalen Nick schreiben, so wäre meine Zeit in diversen NP-Foren abgelaufen.
Aber da es alle Sharer angeht, sehe ich nicht ein, dass diese Info zurück gehalten wird.

Nun zum Thema:
Wie ihr ja sicherlich gemerkt habt, ist der Support der CCcam eingeschlafen. Seit Anfang dieses Jahres gab es keine neuen Versionen mehr und es werden wohl auch keine mehr kommen.
Viel mehr haben die Programmierer eine neue Geschäftsidee, welche ihnen ordendlich die Taschen voll macht.

Alle CCcam Versionen ab version 1.6.1 besitzen eine Backdoor, welche es erlaubt, über den Serverport, Daten abzufragen.
So erhält man z.b. die CCcam.cfg und auch Daten der lokalen Karten, ohne das man in der Config freigegeben ist. Also für jeden zugänglich, der IP und Port kennt.
Die Programmierer haben dafür ein Tool geschrieben, welches unter Angabe einer IP oder dynamischen DNS Adresse und des richtigen Server Listening Ports, nach Seriennummern von Smartcards sucht.
Nach dem der Server die Daten geliefert hat, wird die CCcam.cfg des Servers nach weiteren Adressen durchsucht und auch diese werden ihrer Kartenseriennummern beraubt.
Die Ergebnisse lassen sich auf dem Bildschirm mit verfolgen und in eine Datei schreiben.
So werden Seriennummer, IP und Datum mit Uhrzeit erfasst.

Wer sich jetzt fragt, was der Scheiß soll, dem wird wohl schnell klar, dass sich hiermit eine menge Geld verdienen lässt.
Die Programmierer bieten das Tool ***** Providern und Anbietern von Verschlüsselungssystemen zum Kauf an, so dass diese aktiv nach Cardsharern suchen können, die unerlaubt ihre Karten übers Internet teilen.

Es steht fest, das dieses Tool schon Käufer gefunden hat. Bestätigt ist, dass Irdeto zugeschlagen hat, und auch die News Corp. hat erkannt wie wertvoll es ist. Letztere dürfte besonders für uns deutsche Sharer gefährlich werden.

Ob Sky Deutschland bereits aktiv sucht, kann ich nicht bestätigen, aber ******** schaltet bereits seit einiger Zeit enttarnte Karten ab. Dies wird in viele Foren diskutiert, nur konnte sich niemand erklären wie ******** diese Karten gefunden hat.
Naja, ihr wisst es nun.

Da in letzter Zeit auch aus Deutschland immer häufiger von Problemen mit CCcam berichtet wird, könnte man dieses Tool, besonders in verbindung mit der -n Option (dazu gleich mehr) als mögliche Ursache nennen.

Da die NP Szene auch an dieses Tool gekommen ist, versuchen wir gerade durch Paketanalyse heraus zu finden, wie dieses Tool vorgeht, doch sind wir bis jetzt noch nicht sehr weit gekommen, da der gesamte Verkehr verschlüsselt statt findet und bis jetzt noch nicht vom normalen CCcam-Traffic unterschieden werden kann.
Uns liegt das Tool leider nur in kompilierter Form vor.

Hier mal ein Screenshot der Help-Ausgabe:


Erschreckend ist, die bereits erwähnte -n Option, bei der auch die Newcamd Verbindungen, also N: lines abgefragt werden. Hier ist ja schon länger bekannt, wie leicht sich Seriennummern der Karten auslesen lassen.
Nur wird dabei die CCcam neu gestartet und somit verlängert sich die Scanzeit und der Share wird gestört.

Ich werde dann morgen noch ein Video erstellen, welches das Tool in Aktion zeigt.
Ich kann aber noch nicht genau sagen wann ich es schaffe. Wahrscheinlich werde ich es aber noch vor 19 Uhr online stellen.

"


Ob es sich um ein Gerücht handelt, kann man momentan noch nicht zu 100% sagen jedoch wurde ein Test heute erfolgreich durchgeführt. Die serials der Karten wunden herausgefunden.

glaub ich nicht,

der Traffic wäre ja relativ leicht zu enttarnen ,da er ja an irgendeine IP gehen muss. Wenn diese IP nicht die der Clients ist, dann wäre das schon bewiesen (und somit schon viel früher bekannt geworden).

Klingt alles irgendwie unglaubwürdig.

Das werden wir wohl spätestens morgen wissen wenn wer er ein Video davon macht.
Außerdem wer weiß schon was alles im Hintergrund der CCcam läuft. Der Emu ist ja nicht offen

Das werden wir wohl spätestens morgen wissen wenn wer er ein Video davon macht.
Außerdem wer weiß schon was alles im Hintergrund der CCcam läuft. Der Emu ist ja nicht offen


Schon klar, aber "telefonieren nach XY" kann auch eine CCcam nicht ohne Spuren zu hinterlassen. Insofern wäre eine Adresse, zu welcher die Daten geleitet werden, ohne größeren Aufwand herauszufinden WENN an der Sache überhaupt etwas dran sein sollte (was ich immernoch bezweifle)

Könnte Panikmache sein, da morgen die LibertyCard Files erscheinen sollen .

Da der "Emu" nicht offen ist, sollte man mal dran denken, das man ein paar Kommandos abfragen oder senden könnte, um verschiedene Daten(S-Nr. der Karte,Prov. Channel ID etc...) abzufragen........

Wäre möglich....

Gruß Luna

Der Gedanke liegt nah, zumal die User die diese Meldung quer durch die Boards verbreiten, alle samt relativ neu registriert sind und in diesem speziellen Fall im ersten Beitrag vor knapp 3 Wochen, auch noch versucht haben eine Diskussion zum Thema Freeserver anzustoßen.
Ein Schelm (oder vielleicht auch Karten-Ali) wer Böses dabei denkt.

Immer wieder schön festzustellen wie gut du recherchierst .

Du solltest vielleicht mal genauer lesen was die User denn so sagen!!!
Was mich betrifft, hat das nichts damit zu tun und was soll das mit freecardsharing zu tun haben. Die sind genau so betroffen! Ich wollte lediglich das hier posten da es noch niemand gepostet hat und wenn du geneuer gelesen hättest im web dann würdest du feststellen dass es möglich wäre. Selbst die OSCAM Entwickler sagen es wäre möglich da es Kommandos bei CCcam gibt, welche so nicht erklärbar sind.!!!

Warte doch mal ab das Video wird es bald geben.

Ich weiß dass es ein Grücht sein könnte, noch ist nichts zu 100% bewiesen. Jedoch mehren sich die Anzeichen dass es wohl so ist. Zumindest sagen es die User die ihre Ip zur verfügung gestellt haben. Bei denen konnte man die serial nummern herauslesen. Wir werden sehen ob da was drann ist. Wie gesagt darüber wird momentan heiß diskutiert, das Thema ist ja auch sehr brisant

Hab folgendes gelesen:

Die sehr verbreitet eingesetzte CCcamd, die vor allem wegen ihrem Peer-to-Peer Sharing-Protokoll viele Freunde gefunden hat, enthält einen schweren, vom Entwickler mutwillig eingesetzten Backdoor.
Die CCcamd Entwickler haben gezielt eine Hintertür in den Emulator eingebaut, über die es nun bereits seit Jahren möglich ist alle eindeutigen Kartendaten über das Internet, ohne CCcamd Sharing-Zugang, durch alleinige Kenntniss einer IP-Adresse oder DynDNS Namen, auszulesen.
Neben den Kartendaten, mit denen ein ***** Provider den namentlichen Besitzer der illegal ins Sharing-Netz eingespeißten Karte zuordnen kann, kann der “Angreifer” auch die Kontaktdaten zu weiteren Sharing-Freunden auslesen, und damit auch auf deren Kartendaten zugreifen (und so weiter…).
Gerüchten zufolge soll der CCcamd Entwickler selbst ein einfach zu bedienendes Windows-Programm zum Auslesen dieser Daten an große CA-System und ***** Provider wie “Irdeto” und “News Digital System” zum Kauf anbieten.
Aufgrund dieser Tatsache erscheint das immer häufigere gezielte Abschalten von Karten aus dem CCcamd Sharing-Netz durch die ***** Provider weniger mysteriös.
Quelle (http://blog.dragon-cam.org/?p=419)

Jetzt gibt es gleich wieder die absurdesten Spekulationen und Gerüchte. Das Meiste davon ist Quark.

Das es dieses "Feature" in cccam gibt ist schon lange bekannt, allerdings nur sehr wenigen Leuten.
Deswegen war das eigentlich keine Gefahr. (auch wenn es eine Art "Sicherheitslücke" ist)

Durch das Bekanntmachen im Zebradem hat sich die Situation aber nun geändert.
Selbst ohne ein fertiges Tool werden sich jetzt genug Leute dahinter klemmen und vielleicht selbst was machen.
Dabei besteht die Gefahr das es die falschen Leute sein werden...
Da es nun veröffentlicht wurde ist der Zug jetzt abgefahren. Schlecht für cccam.
(betrifft aber natürlich nur Internet Cardsharing)

Wenn dem wirklich so ist dann ist es eine Gefahr. Die wenige Leute können ohne weiteres eben diese Daten weiterverkaufen. An Wem wohl? Das ist eine Sicherheitslücke und zwar die schlimmste die ich mir vorstellen kann. Sowas darf einfach nicht sein - egal wieviele Leute davon wissen.

Hmm wenn ich mir es Recht überlege könnte das auch der Grund sein weswegen Provider wie BFBS kaum zu finden sind im cccam share. Ein User (Mitarbeiter) von BFBS hat sowas ende letzen Jahres in einem Forum angedeutet. Er meinte er könnte alle User die BFBS im share haben finden, egal wieviel reshare dabei ist und die Serials der Karten auslesen. Er bräuchte dafür nur eine C-line!!!. Mehr hat er nicht gesagt. Jedoch stimmte das was er gesagt hatte, da ein weitere User der so dämlich war, ihm seine c-line zu geben, es ausprobiert hatte. Die Karte wurde sofort geblockt.

Ein User (Mitarbeiter) von BFBS hat sowas ende letzen Jahres in einem Forum angedeutet. Er meinte er könnte alle User die BFBS im share haben finden, egal wieviel reshare dabei ist und die Serials der Karten auslesen. Er bräuchte dafür nur eine C-line!!!. Mehr hat er nicht gesagt. Jedoch stimmte das was er gesagt hatte, da ein weitere User der so dämlich war, ihm seine c-line zu geben, es ausprobiert hatte. Die Karte wurde sofort geblockt.

Ja, wahrscheinlich musste man auf Port 21 des dyndns-servers nur noch folgendes eingeben User=root Password=Dreambox
Da kann dann auch jeder Trottel die Seriennummer der Karte auslesen.

Ich bleibe mal dabei FAKE

Da habt ihr euer Video:

http://www.youtube.com/watch?v=li29erkEKR4&feature=player_embedded

Immernoch davon überzeugt dass es ein fake ist?

Da habt ihr euer Video:
http://www.youtube.com/watch?v=li29erkEKR4&feature=player_embedded
Immernoch davon überzeugt dass es ein fake ist?

Fake

Ist ja alles hochinteressant hier ...

Wird ja auch in anderen Boards heiß diskutiert, bloß dort, z.B. IHAD, bemerkt man noch folgendes;

Wie sieht das eigentlich mit der RECHTLICHEN Verwertung der Daten aus? Sollte das alles so stimmen, das die CCCAM Programmierer da was eingebaut haben und man nun mit Hilfe eines kleinen Windowstools alle möglichen Daten auslesen kann .... wie sieht das mit der rechtlichen Seite aus?

So einfach ist das alles nicht!!

Für mich ist das ein verfrühter- bzw. ein verspäteter Aprilscherz .... aber zugegeben, nicht einer der Schlechtesten ... looolll

Da habt ihr euer Video:
http://www.youtube.com/watch?v=li29erkEKR4&feature=player_embedded
Immernoch davon überzeugt dass es ein fake ist?

Und wieso hast Du jetzt das Vid wieder entfernt??!!

das "windowstool" lief im video sogar nativ unter einer linux console, hut ab!

ps: sollte das gerücht stimmen - ist es traurig das die cccamd programmierer ihre jahrelange gute arbeit derart hirnloss mit dem hintern einreissen. auch wenn die angst einiger cs nutzer/betreiber es glaubhaft erscheinen lässt - ich halte es für unwahrscheinlich das irgendein anbieter diese tools kauft und damit auf die jagd geht.

wäre ich ein ccam-programmierer mit den in den gerüchten vorgeworfenen absichten hätte ich nicht ein tool gebaut wo man erstmal eine server-adresse haben muss, sondern jeder cccamd würde mir brav und gelegentlich die sensiblen infos zusenden. dann wären die gesammelten infos auch von ganz anderem wert - nämlich nahezu vollständig. das tool jetzt - sofern es funktioniert - sieht eher danach aus als käme es von einem dritten.

moin
hab ich das richtig verstanden,das man die ip braucht um an die daten ran zu kommen,wenn ja ,wäre das ein grosser aufwand
es steckt doch nicht hinter jeder ip ein cs nutzer bzw sharer
und wenn ja,wieso kommt die meldung erst jetzt,schon mal ans geschäft der liberty karte gedacht :-)

mal für die Leute die ne Rechtschutz haben,ruft mal nen Anwalt an und fragt nach ob das rechtens ist,was meint ihr wohl was der sagt???

Die machen sich des Datenmissbrauchs und Diebstahls etc Strafbar!!!!!
Nach Deutschem recht sind solche Daten garnicht zu gebrauchen

...Die machen sich des Datenmissbrauchs und Diebstahls etc Strafbar!!!!!
Nach Deutschem recht sind solche Daten garnicht zu gebrauchen
darauf allein würde ich mich nicht verlassen. ist der fisch dick genug interessiert am ende niemanden woher der anfangsverdacht kam. die echten beweise werden dann bei der hausdurchsuchung gesammelt.

mal für die Leute die ne Rechtschutz haben,ruft mal nen Anwalt an und fragt nach ob das rechtens ist,was meint ihr wohl was der sagt???
Die machen sich des Datenmissbrauchs und Diebstahls etc Strafbar!!!!!
Nach Deutschem recht sind solche Daten garnicht zu gebrauchen

Das Stimmt sicherlich da die Daten nennen wir es " nicht sauber " beschafft wurden. Wenn aber schon der Staat / Bundesländer illegale Daten von bösen
Leuten ankaufen tut werden vielleicht auch die " Firmen " darüber nachdenken
dieses Spiel nachzumachen.

Wenn die wirklich die großen Sharing-Netz wer ist denn da verwundert ?.
Seine Karte mit anderen Teilen die man(n) nicht mal kennt Oo. Das sich
da mal Mitarbeiter von " Dienstleistern " einklinken ist doch kein wunder ^^.

Das mit dem Auslesen der Ser.Nr. ich meine auch das ich das mal vor dieser
" Hot News " gelesen habe, das es möglich ist die Karten Ser.Nr. auszulesen über Share.

@emilyT ist mir auch in den Sinn gekommen. Der Zeitpunkt über diese "Veröffentlichung" ist ja mehr als ein Zufall XD.

Grüße

Davon ab, reicht es doch die entsprechenden Karten zu sperren. Was macht nun der Abonnent - anrufen und offenlegen oder Gebühr für nüscht bezahlen?

Und man findet mit entsprechender Vorarbeit einige nette Gesellen, die Stolz auf Ihre Basteleien sind und "intersssierte" Gesellen mit in den Share aufnehmen....

Wie war das noch: Nichts ist so heiß,wie´s gekocht wird.....?:stupid:

Ein User (Mitarbeiter) von BFBS hat sowas ende letzen Jahres in einem Forum angedeutet. Er meinte er könnte alle User die BFBS im share haben finden, egal wieviel reshare dabei ist und die Serials der Karten auslesen. Er bräuchte dafür nur eine C-line!!!. Mehr hat er nicht gesagt. Jedoch stimmte das was er gesagt hatte, da ein weitere User der so dämlich war, ihm seine c-line zu geben, es ausprobiert hatte. Die Karte wurde sofort geblockt.

Ich glaube der Typ der in den Boards umher schwirrt nennt sich "ukradiosite".
Zumindest ist er mir unter den Namen bekannt.
Er meint es wirklich ernst.
Schreibt Rundbriefe an Boarduser die gar nix damit zu tun haben, um einen heißen Tip zu bekommen.
Auf jeden Fall war er mir schon immer suspekt und trotzdem ich schon bei einigen Boardinhabern Meldung über seine Vorgehensweise erstattet habe insklusive Screener, Chatlogs & etc. wurde er nie gebannt. Im Gegenteil labert noch froh munter in der Shoutbox weiter.
Seine Fühler müßen ganz schön weit reichen.

Anyway.
Es ist total problemlos möglich einen Backdoor in den Camd einzubauen.Ich habe noch nie einen Port öffnen müßen zum Email versenden.Und da sind auch alle brauchbaren Infos drin.

Ich glaube auch nicht an die Grützwurst die hier geschrieben wird.
Gerade nicht wenn ich an die Libertyfiles denke.
Der Zeitpunkt für CCCam ist allerdings nicht seit gestern abgelaufen.
Support gibt es nicht mehr.Virtuelle Karten werden gefaked weitergeleitet.
Dies ist übrigens auch eine Funktion die bis vor einem Jahr nicht Public war und trotzdem bewusst eingebaut wurde vom Team.
Wäre OSCam nicht zur Stelle, dann wäre das Netzwerk schon so gut wie tot.
Man reißt anscheinend gern das ein was man sich aufgebaut hat und dies mein ich nicht in Bezug auf die Backdoorgeschichte, sondern wenn ich das Jahr Revue passieren lasse.

Thema Video (CCCcam Backdoor Video)
--------------------------------------------


Hiermit distanzieren wir uns von jeglichen Videos und Screenshots die mit dem Logo des ZDs (Zebradem) erstellt wurden. Diese sind ohne unsere Erlaubnis signiert worden um den Anschein zu erregen das wir die Urheber dieser Medien sind!!!

Diese Meldung kann ruhig verbreitet werden!

Ich denke es stimmt das ganze. Illegal die Daten beschaffen können die, musst es halt beweisen können und da musst du erst zugeben, das selber auch illegales tust. Die Kartennummer die die bekommen werden die nicht sagen von wo und wieso. Wie bei Digiturk CW Karten, es wird abgestellt und man bekommt die Meldung wenn man anruft " ihre Karte war im Internet". Ach Digiturk Irdeto Karten werden so geblockt. Auch macht ******** zwischen den Sendungen mit einem Video bekannt. Wenn man die Karte in einem Receiver benützt mit einer Netzwerkschnittstelle solle man dies vom Internet trennen, sonst wird Ihre Karte nicht mehr laufen. Nicht mehr laufende CW Karten werden kostenpflichtig mir Irdeto getauscht und Irdeto Karten kostenpflichtig auch mit Irdeto (und auch 100% sicher gepaarte) Auch gab es vor ein paar Monaten Probleme mit Skyuk Karten die abgestellt wurden und die Leute Probleme hatten ohne zu wissen wie die an die Seriennummer gekommen sind. Am besten alle Karten in einem anderen Programm lesen wie newcs, oscam, sbox usw. und keine N lines in cccam mit AU Funktion. AU nur in einem MGcamd machen oder manuell in scam (habe immer
im scam gemacht und nicht erst jetzt).


PS: Fake oder nicht, man sollte seinen Arsch immer auf der sicheren Seite haben und Dreambox standart Passwort ändern und sonst alle Passwörter schön lag gestalten

@dirtyvision
Genau so hieß der Typ. Weißt du eigentlich mehr? War das alles was er gesagt hatte echt? Zumindest schien es mir so, da es anscheinend ein paar User probiert haben. Trotzdem kann man nichts beweisen.
Interessant ist jedenfalls dass es wie bei Digi**** Cryptoworks ist. Ich frage mich ob es da irgendwie eine Möglichkeit gibt die Seriennummer anhand der ECM herauszufinden.

Das ist aber wie big1 schon aufzeigt ein generelles Problem. Wie kann es sein dass sie die Seriennummer der User rauskriegen auch wenn kein AU gemacht wird. Es muss eine Möglichkeit geben. Damit sollte sich jeder User beschäftigen der per Internet shared.

das Video hat sich als Fake herausgestellt ( u.a bestätigt vom Keywelt-Team)

Hast du nen Link?

xxxxxxxxxxxxxxxxx

Habe das von hier.

@Nel117

Definitiv weiß ich, daß er von BFBS ausgesendet wurde und es nur einer von vielen Mitarbeitern ist die Kartendaten ausspionieren wollen.
Vor allem treibt er sich in Foren aus Zypern herum, da dort am meisten die Karte in den CS gelangt.
Aber auch in den "Großen" EU Board (denke du weißt welches ich meine) treibt er sein Unwesen und wird dabei nicht abgehalten.
Er prollt öffentlich sogar damit herum Jagd auf die Leute zu machen und ist sich seiner Sache ganz sicher.
Als ich ihn beschmunzelt habe per PM, wollte er mir auf die Pelle rücken und drohte mir mit Anzeigen usw. und gab an das er meine IP schon vom Admin bekommt.
Dies hatte ich dem Admin gemeldet, weil ich fand das er schon die Grenzen überschritten hat mit seinen Aussagen.
An dem Tag bekam ich keine Antwort vom Chef des Boards (konnte mich aber sonst mit ihm über alles unterhalten).
Nächster Tag in der Shoutbox:
Admin und UKradiosite begrüßen sich wünschen sich einen Guten Tag.
Im nächsten Satz drohte er schon wieder mit dem Aufspüren der BFBS Sharer und es gibt ihn immer noch.
Von daher habe ich es sein lassen weiter darauf einzugehen.
2 Wochen danach hat er von einen Großschlag berichtet und es war zu 90% der Bildschirm dunkel im Netzwerk von CCCam was d07 anging.

Was mir auch noch einfällt, das er behauptet hat ihm reicht allein eine NodeID um an die Leute ranzubekommen.

Wie bereits erwähnt glaube ich nicht daran das CCC nach Hause telefoniert, aber das es Spione gibt habe ich anhand der Geschichte begriffen.
Das sollte aber jeden bewusst sein und deshalb macht man auch kein CS und tut brav sein Abo bezahlen.

@ Brooklyn84
Stell um auf HomeCS.Das ist das Sicherste.

HIER (http://www.spinnes-board.de/vb/showthread.php?t=144048) kann man dann lesen das es doch noch Support für die CCcam gibt.

Eine neue Version bedeutet aber noch lange nicht, dass nix an der Sache mit dem Backdoor dran ist! Vielleicht möchte man ja nur ablenken, und ausserdem vermeiden, dass die User sich nach einer Alternative (z.B. oscam) umsehen!

Eine neue Version bedeutet aber noch lange nicht, dass nix an der Sache mit dem Backdoor dran ist! Vielleicht möchte man ja nur ablenken, und ausserdem vermeiden, dass die User sich nach einer Alternative (z.B. oscam) umsehen!
vor allem das die gerüchte völlig unkommentiert bleiben - ist mehr als verdächtig.

Um festzustellen ob da tatsächlich eine Backdoor ist, muss die Sharing Box über einen Hub angeschlossen werden an dem der PC hängt mit dem ihr den Netzwerk-Datentraffic loggen wollt (am besten mit "Wireshark").

WICHTIG !!!: Es muss mit einem HUB gemacht werden und NICHT mit einem SWITCH.

Das Problem ist, dass es kaum noch HUBs gibt, die keine Switches sind.

Die Konfiguration könnte so aussehen:
- Receiver mit Hub verbinden
- DSL Router mit Hub verbinden
- PC mit Hub verbinden.

Der Übersichtlichkeit halber, sollte auf dem PC nichts laufen, das gerade auf das Internet zugreift, dann müsste eine vorhandene "Call Home" Funktion mit Wireshark schnell zu finden sein.

Problematischer wird die Sache, wenn die Backdoor "von außen nach innen" geöffnet wird. In dem Fall könnten Anbieter über diese Backdoor die Kartenseriennummern der im Cardserver befindlichen Karten abfragen. Hier würde es nur helfen die Seriennummern der Karten zu "spoofen" (dann kommen aber leider keine EMMs mehr an)

Am sichersten dürfte es wohl sein, nur noch Softcams zu benutzen, deren Sources offenliegen.

Citrouille

....
WICHTIG !!!: Es muss mit einem HUB gemacht werden und NICHT mit einem SWITCH. Das Problem ist, dass es kaum noch HUBs gibt, die keine Switches sind....Citrouille
guter post. den beschreibungen zu folge gehts ja um eine eingehende abfrage verbindung, wobei auch auf die verbundenen shares rekursive zugegriffen wird (und das dann vermutlich über die ohnehin bestehende verbindung). abfangen könnte dann nur der angegriffene "master" die neue verbindung - und da nun natürlich nicht automatisch jeder angegriffen wird - ist es höchstvermutlich sinnlos darauf zu warten.

was den hub angeht, es ist wirklich quasi unmöglich heute noch welche zu kaufen. für ähnliche "überwachungszwecke" aus einem anderen themenbereich musste ich auf managed switche mit mirror port funktion ausweichen.