Nach 0190´er-Problem Zustand retten

G

Gutachter

Frisch registriert
Guten Tag,

ich bin als EDV-Sachverständiger tätig und muss leider feststellen,
daß Kunden, die von 0190´er-Fällen betroffen sind, versuchen,
durch Dialer-Schutzprogramme u.ä. wichtige Informationen
auf dem Rechner zu vernichten. Dann hat ein Gutachter keine Chance
mehr, etwas zu tun. Ich schlage vor, z.B. eine Kopie der
Festplatte anzulegen und damit dem Gutachter die Möglichkeit
zu eröffnen, auch Monate später noch entsprechende Untersuchungen
durchzuführen. Insbesondere nicht weitersurfen u.ä.,
weil bestimmte Bereiche durch Ablauf von Zeit gelöscht werden.

Gruß

PS: Alle Angaben, die ein Gutachter vorfindet, werden vertraulich behandelt.

:o
 
Gutachter schrieb:
ich bin als EDV-Sachverständiger tätig und muss leider feststellen,
daß Kunden, die von 0190´er-Fällen betroffen sind, versuchen,
durch Dialer-Schutzprogramme u.ä. wichtige Informationen
auf dem Rechner zu vernichten. Dann hat ein Gutachter keine Chance
mehr, etwas zu tun. Ich schlage vor, z.B. eine Kopie der
Festplatte anzulegen und damit dem Gutachter die Möglichkeit
zu eröffnen, auch Monate später noch entsprechende Untersuchungen
durchzuführen. Insbesondere nicht weitersurfen u.ä.,
weil bestimmte Bereiche durch Ablauf von Zeit gelöscht werden.
Zum Vergrößern anklicken....

Der genannte Vorschlag ist an sich richtig und wird ja daher auf www.dialerhilfe.de
empfohlen, "Was tun bei Schaden"
http://www.dialerhilfe.de/dialer/schaden.php
Code: 
Keine Daten löschen, keinesfalls den Rechner neu installieren, Beweise sichern!

Sie sollten sich aber auf jeden Fall den Dialer anschauen, wenn Sie noch wissen, welches Programm Ihnen die Verbindung eingerichtet hat.
Aber Achtung: Wenn Sie dies nicht mehr genau ober überhaupt nicht mehr wissen, so sollten Sie nicht suchen und auf Ihrer Festplatte herumräumen. Falls es sich um einen Dialer mit betrügerischem Hintergrund handelt, so könnten Sie versehentlich Daten verändern, so daß die spätere Spurensuche durch die Kriminalpolizei erschwert wird oder erfolglos bleibt.

Falls Sie noch wissen, von welcher Internetseite Sie den Dialer bekommen haben, so sollten Sie sich diese umgehend notieren, bevor Sie es doch noch vergessen.

Beschwerden an den Webmaster sollten Sie sich sparen, falls Sie eventuell zur Polizei gehen wollen, um zu verhindern daß polizeilich relevantes Material beiseite geschafft wird. Wenn es sich um ein kriminelles Angebot handelt, wird Ihnen die Beschwerde ohnehin nicht allzu viel bringen...

Deinstallieren oder löschen Sie auf keinen Fall den Dialer oder die Einträge aus dem DFÜ-Netzwerk!

Sichern Sie wichtige Daten, auf die Sie in der nächsten Zeit nicht verzichten können, von Ihrer Festplatte auf ein anderes Medium.

Fertigen Sie eine Bildschirmhardcopy des Dialers an (falls es sich um ein eigenständiges Programm handelt). Erstellen Sie auch eine Hardcopy des DFÜ-Netzwerkordners!

Das Problem ist nur , daß die typische (und sehr verständliche) (Panik)Reaktion unerfahrener User die gleiche
ist, als ob sie von einem Virus befallen worden wären, wo diese Reaktion ja auch absolut richtig ist.
Pikanterweise ist ein Antivirenhersteller abgemahnt worden, weil er in seinem Programm Dialer als Viren
bezeichnete ;)
Da leider die allermeisten Anwender erst auf diese Seite bzw Forum kommen, wenn es bereits passiert
ist, werden die Ratschläge, wenn sie nicht über Massenmedien ins Bewußtsein gebracht
werden, leider sehr oft zu spät kommen.

tf
 
Leider ist das Problem der Beweissicherung vielschichtig.

Es gibt nicht nur statische exe-Dateien mit bekanntem Verhalten.

Einige Dialer nehmen bei Erstinstallation selbständig Internetverbindungen auf und tauschen dort Daten unbekannten Inhalts aus. Der Dialer merkt sich an verborgenen Stellen diesen Status, bereits installiert zu sein.

Das Erstinstallationsverhalten ist also nicht nachstellbar, und gerade darauf kommt es an.

Windows-Programme können durch andere Programme "automatisiert" gestartet und bedient werden. Diese kleinen "Automatisierungswerkzeuge" können sich nach getaner Arbeit rückstandslos entsorgen.

Flüchtige Daten des Hauptspeichers sowie vergangener Netzwerkverkehr lassen sich nicht sichern oder rekonstruieren. Insofern bleibt immer eine Unsicherheit.

Beweiskraft hätte nur ein erkennbar unseriöser Dialer, weil dieser sicherlich zum "Tatzeitpunkt" nicht besser war.

Bei einem scheinbar "normalen" Dialer bleibt immer die Unsicherheit der Fernsteuerung zurück, deren Spuren nicht auffindbar sind, weil sie eben beseitigt wurden.

Dietmar Vill
 
DerJurist hat sich schon früher gefreut, er kennt diese Zusammenhänge schon aus anderen Postings.

Das Problem ist einfach, dass ausführbare Programme nicht mehr lesbar sind für Menschen.

Programmierer beschreiben Algorithmen und Verarbeitungsanweisungen in einer sogenannten "Hochsprache" und wandeln dies mit einem Compiler zu einem nur noch maschinenlesbaren Bytehaufen.

Die sichtbaren Fenster sagen nichts über die internen Verarbeitungen aus.

Wer ein Programm startet, bringt dem Programmierer größtes Vertrauen entgegen. Anwender haben keine Kontrolle über die wirklichen Abläufe.

Selbst Experten können ein unbekanntes Programm nur analysieren, wenn sie Anweisung für Anweisung in Maschinensprache nachvollziehen. Das kann Jahre dauern. Decompilieren wäre illegal.

Ohne den Zugriff auf Quelltexte und die sichere Zusage, den wirklichen Quelltext zu einer exe-Datei zu haben, kann niemand sichere Voraussagen zu einem Programmverhalten treffen.

Der Volksmund weiss, bei Geld hört die Freundschaft auf. Dialer, die ohne gesicherten, öffentlich einsehbaren Quelltext als ausführbare Programme mit verborgenen "Features" angeboten werden, können nur mit blindem Vertrauen in den Nutznießer gestartet werden.

Dietmar Vill
 
anna schrieb:
Da wird sich DerJurist aber freuen?! Siehe PN!
Zum Vergrößern anklicken....


Der hat das schon für einen möglichen Zivilprozess aufgearbeitet: Der alte Link (h**p://forum.webmart.de/wmmsg.cfm?id=1461578&sr=1&a=1&d=90&t=1447817) funktioniert nicht mehr, ich vermute es war der Text, der hier auch zu finden ist: http://forum.computerbetrug.de/viewtopic.php?t=4163 Nachedit am 25.9.04

Dank der Bemühungen einiger, etwa dvill, ging mir ein kleines Lichtlein auf.

Ich werde deshalb die Diskussion zwischen dvill und gutachter auch aufmerksam verfolgen. Nur so kann aus einem kleinen Lichtlein ein großes werden. Alles braucht seine Zeit, besonders die Aufnahmefähigkeit eines Juristen. :wink:
 
Problem vielschichtig

Dass das Problem vielschichtig und insbesonder im Fluß (ferngesteuert beeinfluß werden kann)
habe ich auch schon lernen müssen und
werde dies in meiner weiteren Arbeit entsprechend berücksichtigen.

Wenn aber der Benutzer sein gesamtes Profil löscht,
ist es auf jeden Fall schwieriger, noch eine Aussage zu treffen
 
Interneteinträge versteckt vorhanden

noch als Hinweis an die Betroffenen:

in dem Bereich temporäre Internetdateien werden ausgesprochen
viel Informationen (Links, Bilder etc) zwischengespeichert,
so daß ich als Gutachter (entgegen der allgemeinen Erwartung)
über Wochen zurück die Chance habe, einzelne Internetseiten
nachvollziehen (incl. Kontoauszüge u.ä.) kann.
Dieser Bereich ist jedoch mit den normalen
Windows-Mitteln unzugänglich (Dank an Knoppix).

Also: Rechner lahmlegen und nicht mehr nutzen und sich
kurzfristig an einen Rechtsanwalt wenden.
(Und Datum der letzte Nutzung auf den Deckel kleben)
Oder einen Gutachter beauftragen (ist aber teuer).

Mehr Info dazu: Linux on the fly : www.knoppix.de
 
Dialer können auch Parameter haben

Noch als Ergänzung zu der Diskussion:

Selbst vermeintlich gutartige Dialer können
durch entsprechende Parameter zu "Teufeln" werden.

Deshalb, wie oben schon ausgeführt, alles sichern,
bzw. Zustand belassen und nach einem Gutachter rufen.

Ein Jurist würde zum Beweissicherungsverfahren (alte Benennung) raten,
ich darf so was nicht raten, weil dann RA S. unerlaubte Rechtsberatung
wittert (wenn er denn wieder arbeiten darf)
 
Re: Dialer können auch Parameter haben

Gutachter schrieb:
Selbst vermeintlich gutartige Dialer können
durch entsprechende Parameter zu "Teufeln" werden.
Zum Vergrößern anklicken....
Insbesondere können viele registrierte Dialer sauber ferngesteuert werden. Wenn die Fernsteuerungskomponente sich dann säuberlich verflüchtigt, bleibt für Betroffene selbst bei Archivierung des PCs im Originalzustand wenig zu beweisen.

Die Teleflate-Masche zeigt, wie so etwas laufen kann.

Dietmar Vill
 
Zurück
Oben