Ein Sachverständigengutachten zum Thema Dialer

[Anonymous]

Beim Sufen habe ich folgende URL gefunden:

Hinweis: Ich bin keine Partei dieses Verfahrens, kenne keinen der Beteiligten und habe auch mit der Seite nicht das geringste zu tun.


Unter http://www.anwaltskanzlei-boehm.de/laufende_Verfahren/Verfahren_190-Dialer/Gutachten.pdf
kann einGutachten (Stand: März 2003) eines "öffentlich bestellten und vereidigtigten" Sachverständigen für Computersoftware und Programmiertechnik heruntergeladen werden.
Das Gutachten gehört zu diesem Fall http://www.anwaltskanzlei-boehm.de/laufende_Verfahren/Verfahren_190-Dialer/verfahren_190-dialer.html

 

[Smigel]

Auhaha,
da hat aber einer nur die Hälfte recherchiert, die meisten Dialer die auf dem Rechner installiert waren sind durch die ActiveX-Controls autostartfähig. Desweiteren fehlt mir der TTW-Dialer welcher auch eine automatische Einwahl ausführt.

 

[Anonymous]

Gerichtliches Sachverständigengutachten

@ Smigel:
Vielleicht sollten Sie diese Erkenntnis umgehend dem Gutachter (E-Mail-Adresse steht im verlinkten Gutachten) und eventuell auch der Anwaltskanzlei, die die Seite erstellt hat mitteilen.

Immerhin ist dieses Gutachten anscheinend ein zentrales Beweisstück in einem Verfahren.

Frage nur aus Interesse an die versammelten Juristen:
Was könnte man eigentlich machen, wenn man als ein Verfahrensbeteiligter mit einem Gutachten nicht zufrieden ist? Kann man da Einspruch erheben? Wer zahlt die Kosten für das erste Gutachten wenn der zweite Gutachter nachweisen würde, dass der erste Gutachter Fehler gemacht hat (zB. irgendwelche Fakten versehentlich nicht berücksichtigt,...)

 

[Smigel]

schon geschehen

 

[Anonymous]

Mitteilung an Sachverständigen

@ Smigel:
Könnten Sie auch den Text der Mitteilung oder Auszüge davon posten; ggfs. anonymisiert und natürlich ohne vertrauliche Passagen.

Da ja im Gutachten auf die "Nachbarseite" www.dialerschutz.de verwiesen wurde, ist es aufgrund der gegenseitigen Verlinkungen nicht gänzlich ausgeschlossen, dass hier auch irgendwelche anderen Sachverständigen mitlesen, diese sind sicher über Anregungen, Hinweise etc. dankbar, vor allem wenn sie nicht aktiv danach fragen müssen.

 

[Der Jurist]

Re: Gerichtliches Sachverständigengutachten

....
Frage nur aus Interesse an die versammelten Juristen:
Was könnte man eigentlich machen, wenn man als ein Verfahrensbeteiligter mit einem Gutachten nicht zufrieden ist? Kann man da Einspruch erheben? Wer zahlt die Kosten für das erste Gutachten wenn der zweite Gutachter nachweisen würde, dass der erste Gutachter Fehler gemacht hat (zB. irgendwelche Fakten versehentlich nicht berücksichtigt,...

o je, o je, o weh, o weh. Das sind die Fragen, die besonders schwer zu beantworten sind. Wenn es sich um einen "privaten", also "vorgerichtlichen" Gutachter handelt, gilt neuen Gutachter beauftragen, beide bezahlen. Falls Prozess gewonnen, gibt es das Honorar für den Gutachter dessen Gutachten im Prozess vorgelegen hat, wenn das Gericht zur Auffassung kommt, dass ein Gutachten nötig war.

Wurde der Gutachter vom Gericht bestellt, kann man versuchen mit einen eigenen Gutachten, das andere Gutachten zu erschüttern.
Aber bitte die Begeisterung des Gerichtes bedenken, das erklären muss, dass es bislang einen Dilletanten beauftragt hatte. Faktisch passiert das nie.

 

[Comedian1]

Beweisfrage

@Smigel

Grundsätzlich hast du Recht. Das Gutachten beleuchtet nicht, ob die Dialer über ActiveX oder Skripte auf Webseiten oder sonstwie fernsteuerbar sind. Der Gutachter dürfte oder müsste das wissen.

Zur Ehrenrettung des Gutachters sollte man aber auch den Untersuchungsauftrag studieren:

'Stellt das Dialer-Programm die Internetbenutzung ohne Zutun des Benutzers her?'

So ganz eindeutig bezieht der Untersuchungsauftrag die Untersuchung der Fernsteuerungsfähigkeit des Dialers nicht ein.

Meiner Meinung nach hätte man dem Gutachter zusätzlich eine weitere Beweisfrage stellen müssen, ob die Dialer über Skripte oder Backdoor Software fernsteuerbar sind. Zu denken wäre hier an eine Untersuchung der gecachten Webseiten und Skripdateien.

Meiner Meinung nach kann diese weitere Beweisfrage dem Gutachter ja noch vorgelegt werden, ohne dass man ein schlechte Arbeitsweise unterstellen muss. Er selbst bietet ja die Ergänzung seines Gutachtens betreffend einer DLL an.

Gruss
Comedian

 

[Smigel]

Hmm, sagen wir es mal so, es gibt mehrere Möglichkeiten eine Dialer zum wählen zu bringen.

'Stellt das Dialer-Programm die Internetbenutzung ohne Zutun des Benutzers her?'

Da stellt sich die Frage was was die unter Dialer-Programm verstehen.

Wenn man den Dialer alleine betrachtet dann kann er sowas nur unterstützen(z.B. Parameterübergabe beim Aufruf des Dialers)

Wenn man es genau nimmt muss man aber auch die Auslieferung bzw. die Installtionsart des Dialers mitbetrachten.

Als Beispiel der TTW Dialer:

Der Dialer wird als .cab-Datei ausgeliefert. Diese Datei wird nach dem herunterladen automatisch entpackt. Die in der .cab-Datei enthaltene Installationsanweisung gibt vor das der Dialer sofort nach dem entpacken gestartet wird und eine Anwahl ausführt.

Wenn man den Dialer nun ohne den Installationsablauf beurteilt wird man übersehen das er Startparameter unterstützt und beurteilt ihn als einwandfrei da er alles anzeigt. Das das bei der Installation nicht der Fall ist wird dadurch übersehen.

 

[Comedian1]

TTW Dialer

Hmm, sagen wir es mal so, es gibt mehrere Möglichkeiten eine Dialer zum wählen zu bringen.

'Stellt das Dialer-Programm die Internetbenutzung ohne Zutun des Benutzers her?'

Da stellt sich die Frage was was die unter Dialer-Programm verstehen.

Wenn man den Dialer alleine betrachtet dann kann er sowas nur unterstützen(z.B. Parameterübergabe beim Aufruf des Dialers)

Wenn man es genau nimmt muss man aber auch die Auslieferung bzw. die Installtionsart des Dialers mitbetrachten.

Als Beispiel der TTW Dialer:

Der Dialer wird als .cab-Datei ausgeliefert. Diese Datei wird nach dem herunterladen automatisch entpackt. Die in der .cab-Datei enthaltene Installationsanweisung gibt vor das der Dialer sofort nach dem entpacken gestartet wird und eine Anwahl ausführt.

Wenn man den Dialer nun ohne den Installationsablauf beurteilt wird man übersehen das er Startparameter unterstützt und beurteilt ihn als einwandfrei da er alles anzeigt. Das das bei der Installation nicht der Fall ist wird dadurch übersehen.

Wo du völlig recht hast.

Was ich immer wieder sehe im Zusammenhang mit der Deinstalltion von Dialern bzw Backdoor Software sind verräterische Einträge in der Registry, die zu automatischen Verbindungsversuchen ins Internet führen.

Ich würde auch den Code auf den gecachten Internet-Seiten mal durchsehen; dann sieht man, wie die Seite funzt und wie der Dialer heruntergeladen wird. Bei TTW kommt eine Zertifikatsabfrage, der Dialer wird heruntergeladen (ich glaube es ging über ActiveX, bin mir aber nicht mehr sicher) und verbindet sich zunächst mit dem Server MAIL.WOBZ.DE. Er identifiziert sich am Server und der Account wird freigeschalten. Das geschieht alles im Hintergrund; mit einem Sniffer kann man es hinterher nachvollziehen. Danach wird die Internetverbindung getrennt und dem Nutzer wird vorgegaukelt, es werde eine Verbindung zu einem Gratisangebot aufgebaut. Der Dialer wählt dann an, und verbindet sich über einen bestimmten Port zum Server; ich hatte den Eindruck, er funktioniert wie ein lokaler Proxy.

Gruß
Comedian

 

[Smigel]

Ich würde auch den Code auf den gecachten Internet-Seiten mal durchsehen; dann sieht man, wie die Seite funzt und wie der Dialer heruntergeladen wird.

Genau, sieht so aus wie bei den meisten Dialeristallationen, der Dialer wird als Objekt ins HTML eingebunden.

Bei TTW kommt eine Zertifikatsabfrage, der Dialer wird heruntergeladen (ich glaube es ging über ActiveX, bin mir aber nicht mehr sicher) und verbindet sich zunächst mit dem Server MAIL.WOBZ.DE.

Das Zertifikat bestätigt nur das die .cab-Datei im Originalzustand vom Hersteller ist. Das diese Systemmeldung zum anzeigen von AGBs oder ähnlichem genutzt wird war eigentlich nicht vorgesehen. Dadurch werden die meisten Nutzer getäuscht, da sie diese Anzeige z.B. vom Windows Update kennen. Es vermutet niemand das mit diesem Klick eine bestätigung zur Anwahl erfolgt. Ich denke auch das von diesem Klick keine Zustimmung zum Vertrag abgeleitet werden kann.

Ja, das fällt unter ActiveX.

Ich vermute mal das mail.wobz.de der Server ist der die Statistik für die "Webmaster" bereitstellt.

Er identifiziert sich am Server und der Account wird freigeschalten. Das geschieht alles im Hintergrund; mit einem Sniffer kann man es hinterher nachvollziehen. Danach wird die Internetverbindung getrennt und dem Nutzer wird vorgegaukelt, es werde eine Verbindung zu einem Gratisangebot aufgebaut. Der Dialer wählt dann an, und verbindet sich über einen bestimmten Port zum Server; ich hatte den Eindruck, er funktioniert wie ein lokaler Proxy.

Hab mir das ganze bis zum Einwahlvorgang angeschaut, die Einwahl wird hier konsequent geblockt, hast Du zufälligerweise ein Protokoll vom Sniffer erstellen lassen ? Ich gehe davon aus das deren Server mit den Inhalten hinter einer Firewall steht, also wird der Dialer den Port nutzen um eine Verbindung mit dem Server herzustellen.
Weil "http://192.168.193.6/contentgateway/" liegt definitiv in einem privaten Netzwerk.

Desweitern bezieht der Dialer die Nummer aus der Seite von der er aufgerufen wird wenn ich mich richtig erinnere. Damit hat man dann Probleme wenn man nachträglich am der Nummer herausfinden will welcher Dialer der Übeltäter war.

 

[Comedian1]

TTW Dialer

Mein Versuch fand am 13.11.2002 statt und lief wie folgt ab:

Also, ich hab die w*w.eingang69.de (VORSICHT: DIALERDOWNLOAD!) mal getestet (ist Teleteamwork ...).
Die preisen auf der Startsite zunächst ohne Hinweis auf ein automatisches Dailerdownload 15 Minuten Gratis Sex Videos an (Wie erhält man 15min freie Sexvideos -> hier clicken!).
Tut man das, dann erscheint eine Seite, wo sich dich darauf hinweisen, daß sie den Sex Zugang einrichten. Meine Firewall sprach schon unmittelbar nach Auftauchen der Site an, und meldete, daß der Dialer Kontakt zum Internet sucht. Der Mistdailer hatte sich also über Port 80 binnen weniger Sekunden heruntergeladen, ohne daß ich gefragt wurde und ohne zu fragen, will er Daten ins Internet senden. Das geschieht also hinter dem Rücken des Users, der 15min gratis Sex wollte, und möglicherweise gerade den Hinweis liest, daß es doch sauteuer wird.
Du wirst dann automatisch weitergeleitet auf eine Site, wo dann 'Jetzt geht's los' steht. Immernoch kein Hinweis auf den 0190 Dialer. Lt Firewall versucht der Dailer - ohne Wissen des Kunden - sich als Server zu registrieren, womit er dann eingehende Internetverbindungen akzeptieren kann. Danach versucht er, sich mit der IP 80.63.1.5 zu verbinden (Server mail.wobz.de - Domäne registriert auf Tele Team Work GmbH in Harrislee, Deutschland). Clickt man auf 'Jetzt gehts los', dann wird über Port 6789 versucht, sich irgenwohin zu verbinden. Der Port ist bei mir geblockt, daher Ende des Experiments.

Ein weiterer Test vom 15.11.2002

Habe es nachvollzogen:

1. w*w.erotikzugang.de: Dort click auf großen Button mit Gratissex Angebot löst automatische Weiterleitung zu w*w.eingang69.de aus
2. Noch während man die 'Sicherheitswarnung Herunterladen und Ausführen von EroticAccess' (ein GIF, eine Sicherheitswarnung kommt nicht) betrachtet, lädt sich 'EroticAccess.exe' (ein HTTPModemdialer) herunter, und verbindet sich im Hintergrund mit
mail.wobz.de
3. Recht zügige automatische Weiterleitung auf eine Site 'Jetzt gehts los...hier clicken...Keine Kreditkarte'
4. Und schwupps war ich wieder bei http://localhost...Die weitere Verbindung kommt wg geblockten Ports nicht zustande

Blockt man bei Schritt 2. die Verbindung des HttpModemDialers mit mail.wobz.de, dann und nur dann kommt ein Popup, bei dem du
entscheiden kannst, ob du eine browser_plugin_ver216.exe herunterladen willst. Das ist dann 0190 Dialer - also gerade kein Browserplugin - , der dich über den Preis aufklärt, ohne daß er automatisch anwählt (dh man muß auf einen 'Verbinden' Button clicken).

Protokolle habe ich leider nicht mehr.

Gruß
Comedian

 

[technofreak]

siehe PN
gruß
tf

 

[Anonymous]

eroticaccess.exe

an comedian1:
was passiert, wenn man keine ports geblockt hat? wir haben nämlich auch diesen dialer bei uns gefunden, haben ihn aber weder bewusst heruntergeladen noch über ihn uns verbinden lassen
gruß, JUAN

 

[Anonymous]

eroticaccess.exe

Ist denn dann überhaupt ein Schaden entstanden?

Um Tele Team Work AsP ist es sehr ruhig geworden - seitdem die bei einer neuen TK-Gesellschaft in Mainz untergekommen sind, guckt man denen gehörig auf die Finger. Talkline wickelt derzeit nur noch das Restgeschäft ab.

Übrigens hatte ich bei TTW immer den Eindruck, dass die mit zwei unterschiedlichen Produkten arbeiten - eines über "eingang69" so wie es sein soll und ein weiteres unter Verwendung von "eingang69" aber über eine gefacte Scriptsteuerung. Merkwürdig ist dabei schon, dass davon überwiegend Freenet- und WEB.de-Kunden betroffen waren - TTW hatte dort Werbung geschaltet.

 

[Comedian1]

Re: eroticaccess.exe

an comedian1:
was passiert, wenn man keine ports geblockt hat? wir haben nämlich auch diesen dialer bei uns gefunden, haben ihn aber weder bewusst heruntergeladen noch über ihn uns verbinden lassen
gruß, JUAN

Ich habe den Port nicht freigeschalten und kann daher nix dazu sagen.

Normalerweise verbindet sich der PC, wenn er einen anderen Rechner kontaktieren will, über einen seiner offenen Ports mit dem anderen Rechner. Ich denke also, er wird seinen Server (mail.wobz.de) gesucht haben (Spekulation)

Gruß
Comedian

 

[Comedian1]

Re: eroticaccess.exe

Ist denn dann überhaupt ein Schaden entstanden?

Um Tele Team Work AsP ist es sehr ruhig geworden - seitdem die bei einer neuen TK-Gesellschaft in Mainz untergekommen sind, guckt man denen gehörig auf die Finger. Talkline wickelt derzeit nur noch das Restgeschäft ab.

Übrigens hatte ich bei TTW immer den Eindruck, dass die mit zwei unterschiedlichen Produkten arbeiten - eines über "eingang69" so wie es sein soll und ein weiteres unter Verwendung von "eingang69" aber über eine gefacte Scriptsteuerung. Merkwürdig ist dabei schon, dass davon überwiegend Freenet- und WEB.de-Kunden betroffen waren - TTW hatte dort Werbung geschaltet.

Schaden bei dem Betroffenen, für den das Gutachten angefertigt wurde:

2400,00 EUR

Die TTW Software hatte die Einwahlnummer der AOL Software zugunsten TTW ausgetauscht. Beim Geschädigten entstand der Eindruck, er surfe weiter ganz normal über AOL.

Eine fristlose Kündigung durch TL ist schon bemerkenswert. Hat nämlich schweren Missbrauch der Rufnummer als Voraussetzung. Mal warten , wie lange es dauert, bis es wieder losgeht mit TTW...

Übrigens war keine der Webseiten, die ich in meinem Postin genannt habe, ok. Es waren Buttons drauf, die eindeutig mit 'GRATIS' gekennzeichnet waren; diese waren via Java genauso hinterlegt, wie die anderen Buttons, die auf ein kostenpflichtiges Angebot hingewiesen haben.
Sowas nennt man vorsätzliche Täuschung.

Wenn TTW bei Freenet und Web.de Werbung geschaltet hatte, dann ist es auch nicht merkwürdig, dass deren Kunden darauf reingefallen sind.

Gruß
Comedian

 

[Smigel]

@Comedian1

Die TTW Software hatte die Einwahlnummer der AOL Software zugunsten TTW ausgetauscht. Beim Geschädigten entstand der Eindruck, er surfe weiter ganz normal über AOL.

Nicht ganz, ein Dialer hat zwar die AOL-Software manipuliert aber der kommt nicht direkt von TTW.

@anna

Übrigens hatte ich bei TTW immer den Eindruck, dass die mit zwei unterschiedlichen Produkten arbeiten - eines über "eingang69" so wie es sein soll und ein weiteres unter Verwendung von "eingang69" aber über eine gefacte Scriptsteuerung.

Kannst Du das bitte mal etwas genauer erklären?

 

[Comedian1]

Restliche Aufzeichnungen

Ich habe den Rest meiner Aufzeichnungen zu dem TTW Dialer-Versuch wieder aufgefunden

Es erschien eine Verknüpfung auf dem Desktop. Klickt man sie einmal an, dann erscheint die Erläuterung 'Heisse Porno!!!Billig TIMEOUT=". Über den Dopplick darauf kommst man dann wieder auf die Zugangsseite, wo man dann etwas klein gedruckt unter lauter Werbung einen Hinweis auf die Preise findet.
Bei einem meiner Versuche habe ich das Download des Modemdialers unterbunden. Da wurde mir angeboten, ein Browserplugin in ein von mir zu wählendes Verzeichnis zu installieren. Es handelte sich in Wahrheit um ein selbstentpackendes Archiv. Das habe ich entpackt. Darauf hin war ein neues Icon auf meinem Desktop.
Bei einem Doppelclick hierauf entpuppte es sich als VPN - Dialer. Da war deutlich der Preis eingeblendet und man mußte auf einen Button zum Verbinden drücken. Ich hab das ausprobiert (mit abgezogenem Modemkabel). Das Ding hat nicht nur angewählt, sondern es hat in meinen DFÜ-Verbindungen eine neue VPN-Standardverbindung konfiguriert. Diese neue Standardverbindung hatte die ersten paar Buchstaben einer meiner anderen Verbindungen als Namen.

Gruß
Comedian

 

[Anonymous]

@Smigel

"... Kannst Du das bitte mal etwas genauer erklären?"

Genauer geht nicht, wegen laufendem Verfahren.

Aber eines ist gewiss - wenn jemand (XY) ein richtig funktionierende Produkt auf dem offenen XY-Markt anbietet und nebenbei ein faules Teil unter die gesunden mischt, dürfte der Beweis sehr schwer anzutreten sein, dass er die Verantwortung für die miesen Nebenprdukte zu übernehmen hat - weil: er bietet ja korrekte Ware an und kann dies auch nachweisen?!?!?!

In Sachen TTW wurden z. B. in Muc zahlreiche Verfahren eingestellt. In den Verfügungen wurde aber immerhin eine gewisse Möglichkeit dieser beispielhaften These eingeräumt, so dass ein Restverdacht nicht ausgeräumt worden ist.

 

[Der Jurist]

@ anna

Kann man da ein Aktenzeichen bekommen, wegen zivilgerichtlicher Seite.

Dort reichen Zweifel schon aus, um die Forderung erfolgreich zurückzuweisen.

Die StA bzw. die Pol. müsste bestätigen, dass möglicherweise auch ein faules Stück im Netz war.