Hallo

Uns wurden Bilder von einer Festplatte geklaut, die jetzt in Tauschbörsen rumschwirren. Die einzige plausible Möglichkeit wie jemand da dran kommen konnte ist nur über zugrff auf den Computer sei es über einen Trojaner/RAT oder ein unbeobachteter Moment an einem der 3 Computer in unserer Wohnung.
Die Polizei hat jetzt meine Festplatten. Der Kommisar meinte sie hätten die Möglichkeit nach zuvollziehen wann welche IP (LAN oder WAN) auf die Daten zugegriffen hat.

Wie genau funtioniert das? Ich habe schon Stundenlang im Internet gesucht aber kein Hinweis auf so etwas gefunden.
Vielleicht kann mich jemand in die richtige Richtung schuppsen

Danke.

lies mal hier: http://www.cert.dfn.de/dfn/berichte/db087/lka52.html

besonders auf Seite 2 die nach "In einer Anlage zur Strafanzeige sollten dann die wesentlichen Determinanten des Vorfalles beschrieben werden." genannten Punkte, dann hast Du eine Vorstellung, was für eine Anzeige so benötigt wird.

Diese Daten sind im Nachhinein mit an Sicherheit grenzender Wahrscheinlichkeit nicht zu erbringen.

Zitat:

Zitat von jkult

Die Polizei hat jetzt meine Festplatten. Der Kommisar meinte sie hätten die Möglichkeit nach zuvollziehen wann welche IP (LAN oder WAN) auf die Daten zugegriffen hat.

Je nach OS und und zusätzlich installierten oder aktivierten Tools eher sehr unwahrscheinlich. Handelt es sich in deinem Fall um normale Einzel-PCs (Standardinstallation)so ist diese Aussage bestenfalls ein Zeichen für die Ahnungslosigkeit des "Kommissars".
Sollte tatsächlich ein RAT installiert gewesen sein, so könnte natürlich auch dieses Tool dokumentieren, wer wann von wo deinen PC "ferngewartet" hat, aber wer stellt sein RA-Tool schon so ein?

Wenn ihr keine bekannte Quelle für "wertvolle" Fotos seid, würde ich den Urspruch im privaten Umfeld mit Zugriff auf den PC suchen.
*der Feind sitzt meistens in der Firma* darf im privaten Umfeld auch oft so zu sehen sein.

@shadow
Die Sache ist halt das nur maximal 3 Personen von den Bildern überhaupt wissen könnten, wovon 2 soviel Ahnung von Tauschbörsen haben wie Gregor Gysi vom WU-Tan Caln. Die andere Person ist absolut vertrauenswürdig.

Gibt es denn auf Win XP Prof SP2 irgendwo eine Logdatei wo drin steht wann welche Datei von wem geöffnet wurde? Oder im Festplatten cache oder so was? Filesystem ist NTFS und die besagte Partition hat Freigabe an beide anderen Computer im Netzwerk.

@Heike
Ja, das nur über irgendwelche Logdateien jemand verurteilt wird ist wohl in diesem Fall unwarscheinlich, aber es würde ja schon reichen wenn die IP bekannt ist und dann der Computer beschlagnamt wird. Falls kein Proxy dazwischen war und so weiter.

Zitat:

Zitat:

StGB § 202a Ausspähen von Daten
(1) Wer unbefugt Daten, die nicht für ihn bestimmt und die gegen unberechtigten Zugang besonders gesichert sind, sich oder einem anderen verschafft, wird mit Freiheitsstrafe bis zu drei Jahren oder mit Geldstrafe bestraft.
(2) Daten im Sinne des Absatzes 1 sind nur solche, die elektronisch, magnetisch oder sonst nicht unmittelbar wahrnehmbar gespeichert sind oder übermittelt werden.

http://bundesrecht.juris.de/bundesrecht/stgb/index.html

Zitat:

aber es würde ja schon reichen wenn die IP bekannt ist

was soll denn eine IP bringen? Du mußt beweisen, was wann wie gemacht worden ist, außerdem muß Dein PC besonders gesichert gewesen sein.

Zitat:

Sollte tatsächlich ein RAT installiert gewesen sein, so könnte natürlich auch dieses Tool dokumentieren, wer wann von wo deinen PC "ferngewartet" hat, aber wer stellt sein RA-Tool schon so ein?

derartige Dokumentationen sind nicht vorgesehen, außerdem besagt ein RAT noch gar nichts, das kann sich jeder leicht selbst installieren, gerade in einem LAN mit bekannten IP`s wäre es ein leichtes Spiel, so jemand in Verdacht zu bringen.

Zitat:

was soll denn eine IP bringen? Du mußt beweisen, was wann wie gemacht worden ist, außerdem muß Dein PC besonders gesichert gewesen sein.

Falls die Polizei die IP hat, kann sie ja über die Staatsanwaltschaft den Provider fragen wer wann diese IP hatte. Dann einfach einen Antrag auf Hausdurchsuchung oder zumindest Durchsung der von der Person benutzten Räume...
Das setzt allerdings vorraus das es so eine Logdatei überhaupt gibt. Was der eine Polizist meinte. Auf jedenfall wie ich ihn verstanden hatte.

Was bedeutet eigentlich gesichert? Der Computer mit den Bildern hatte 2 geupdatete Virenscanner, pestpatrol, adaware und die Kerio Personal Firewall. Allerdings waren die Verzeichnisse nicht verschlüsselt. Ausserdem war leider AntiVir auf einem anderen computer das letzte mal im Januar aktualisiert worden. Zusätzlich sind halt alle Computer hinter einem router. Allerdings war der edonkey port zu einem PC geforwardet.

[QUOTE=Heike]

Zitat:

Zitat von Shadow

Sollte tatsächlich ein RAT installiert gewesen sein, so könnte natürlich auch dieses Tool dokumentieren, wer wann von wo deinen PC "ferngewartet" hat, aber wer stellt sein RA-Tool schon so ein?[/qzote]derartige Dokumentationen sind nicht vorgesehen,

natürlich gibt es Fernadministrationstools mit Log-File!
Aber da ist dann nicht unbedingt auf absolut minimale Größe des Programmes wert gelegt worden.

Zitat:

Zitat von Heike

außerdem besagt ein RAT noch gar nichts, das kann sich jeder leicht selbst installieren, gerade in einem LAN mit bekannten IP`s wäre es ein leichtes Spiel, so jemand in Verdacht zu bringen.

Richtig, dies ist wieder was anderes, genaus wie der Plural von IP sich ohne Apostroph schreibt, in der englischen wie auch in der deutschen Sprache :-)
Ein RAT selbst mit aufgeführter IP alleine sagte noch garnichts, ein RAT, eine (gefälschte) IP (+ gefälschte Zeit) kann man auch alles nachinstallieren. Dies wäre zwar u.U. auch dokumentiert, doch man kann diese Aufzeichnungen ja löschen.

Zitat:

Zitat von jkult

Ja, das nur über irgendwelche Logdateien jemand verurteilt wird ist wohl in diesem Fall unwarscheinlich, aber es würde ja schon reichen wenn die IP bekannt ist und dann der Computer beschlagnamt wird. Falls kein Proxy dazwischen war und so weiter.

Na da müsste (sollte) schon erhebliche Schaden oder Straftatsbestand vorliegen, bevor wegen eines vagen Verdachtes ein PC beschlagtnahmt wird.

Zitat:

Zitat von jkult

Gibt es denn auf Win XP Prof SP2 irgendwo eine Logdatei wo drin steht wann welche Datei von wem geöffnet wurde?

freilich, wenn Du die Überwachung eingeschaltet hättest.

Grundsätzlich solltest Du Dir erst einmal überlegen, wer denn Dein Passwort und Benutzernamen gewusst hat, bzw. die der Nutzer auf das freigegebene Verzeichnis. Findest Du auf keinem der drei PCs ein RAT, so ist ja erstmal von netzinternem Zugriff auszugehen. (Findest Du eines, kann es - siehe Heikes Anmerkung - auch ein Fake sein)

Zitat:

Zitat von jkult

Die Sache ist halt das nur maximal 3 Personen von den Bildern überhaupt wissen könnten, wovon 2 soviel Ahnung von Tauschbörsen haben wie Gregor Gysi vom WU-Tan Caln.

Kein Argument, auch wenn ich nicht weiß wieviel Ahnung Herr Gysi da hat (ich habe keine). Man kann Bilder gezielt weitergeben, man kann Bilder weitergeben ohne (böse) Absicht.
Auch (physisch vorhandene) Besucher können was finden ...

was meinst Du, mit wievielen IP`s mein PC heute Kontakt hatte? Und da sollte überall eine Hausdurchsuchung gemacht werden? mal gesetzt mir wäre so etwas passiert?
Du hast wohl eine etwas falsche Vorstellung über Beweiserhebung und den Umfang, welche Beweise von Dir erbracht werden müssen.
Noch ein Link: http://www.heise.de/security/suche.s...sik&Suchen=los

Zitat:

natürlich gibt es Fernadministrationstools mit Log-File!

sicherlich, aber eine nicht einvernehmliche Anwendung wird kaum mitgeloggt werden, zumindestens wird der Täter es nicht aktiv herbeiführen.

Zitat:

Zitat von Shadow

Kein Argument, auch wenn ich nicht weiß wieviel Ahnung Herr Gysi da hat (ich habe keine). Man kann Bilder gezielt weitergeben, man kann Bilder weitergeben ohne (böse) Absicht.
Auch (physisch vorhandene) Besucher können was finden ...

Das sollte ja auch nur ausdrücken wie unwahrscheinlich ein Diebstahl von Personen die physischen Zugriff auf die Computer haben ist. Ausserdem gib es noch andere Indizien, daß der Täter nicht aus unserem sozialen Umfeld ist. Allerdings kann ich die hier nicht aufführen, weil das wohl nur die Verbreitung in den Tauschbörden erhöhen würde.

Zitat:

was meinst Du, mit wievielen IP`s mein PC heute Kontakt hatte? Und da sollte überall eine Hausdurchsuchung gemacht werden? mal gesetzt mir wäre so etwas passiert?

Was hat das denn damit zu tun? Es geht doch nicht darum wie viele IPs mit mir Kontakt hatten, sondern darum ob von irgeneiner IP auf die Dateien zugegriffen wurde!
Nochmal langsam :
Polizei sagt: Gib Festplatten uns
ich sag: Wieso das denn Herr Wachtmeister?
Polizei: Wir gucken ob und welche IP zugriff auf diese Dateien hatten
ich sag: ok

Ich geh im Internet nach hinweisen zu sehen was die Polizei da wohl vorhat und ob der Polizist vielleicht nicht so genau wusste wo von der redet.
Und weil ich nichts gefunden hab, bin ich hier gelandet...

Die Forensik Artikel hab ich auch schon hinter mir.

Zitat:

Zitat von Heike

Zitat:

sicherlich, aber eine nicht einvernehmliche Anwendung wird kaum mitgeloggt werden

Wenn die Software loggen würde, würde sie selbstverständlich gerade auch dies tun

Zitat:

Zitat von Heike

zumindestens wird der Täter es nicht aktiv herbeiführen.

Natürlich nicht.
Dass der Täter (warum nicht die Täterin? ) sich selber bewußt ans Messer liefert ist eher nicht ganz so wahrscheinlich, da dürfte ein 6er im Lotto signifikant wahrscheinlicher sein, aber manchmal gibt es schon seltsame Sachen

Zitat:

Zitat von jkult

Polizei sagt: Gib Festplatten uns
ich sag: Wieso das denn Herr Wachtmeister?
Polizei: Wir gucken ob und welche IP zugriff auf diese Dateien hatten
ich sag: ok

Und ich sag: Herr Wachtmeister, den Stoff will ich auch haben.

Im Klartext: der Herr Wachtmeister redet Unfug.

Cobra

Zitat:

Zitat von Cobra

Im Klartext: der Herr Wachtmeister redet Unfug.
Cobra

Das habe ich befürchtet! Obwohl der sonst einen recht fitten Eindruck in Sachen Computern gemacht hat.