13
Hat die Kripo was hinterlassen?
Nach einem Kripo Einsatz - evtl. Spionagesoftware finden und neutralisieren
Hallo!
Bei einem plötzlichen Kripo Einsatz wurden Rechner abgeholt und gespiegelt. Nun ist die Hardware zurück, allerdings stellt man sich die Frage ob da etwas hinterlassen wurde. Welche maßnahmen gibt es, reicht ein AV u. Malware Scan aus oder wird noch anderes benötigt? Wie sieht das eigentlich rechtlich aus - dürfen die so etwas auf Verdacht hin überhaupt machen? Backdoors o.ä. installieren meine ich.
Bei einem plötzlichen Kripo Einsatz wurden Rechner abgeholt und gespiegelt. Nun ist die Hardware zurück, allerdings stellt man sich die Frage ob da etwas hinterlassen wurde. Welche maßnahmen gibt es, reicht ein AV u. Malware Scan aus oder wird noch anderes benötigt? Wie sieht das eigentlich rechtlich aus - dürfen die so etwas auf Verdacht hin überhaupt machen? Backdoors o.ä. installieren meine ich.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 194973
Url: https://administrator.de/contentid/194973
Printed on: April 25, 2024 at 14:04 o'clock
13 Comments
Latest comment
Hallo,
ich habe keine Ahnung wie das rechtlich bei euch DE ausschaut.
Aber wenn du ganz sicher sein willst musst du die Rechner alle formatieren.
Gruß
ich habe keine Ahnung wie das rechtlich bei euch DE ausschaut.
Aber wenn du ganz sicher sein willst musst du die Rechner alle formatieren.
Gruß
Mein,
das ist in DE nicht anders als in CH, AT oder CN... wer sicher sein will instaliert die Rechner/Server mit den original Datenträgern/ISOs neu.
Und zur Sicherheit: Nein, dies ist keine Rechtsbereatung - IANAL.
lg,
Slainte
das ist in DE nicht anders als in CH, AT oder CN... wer sicher sein will instaliert die Rechner/Server mit den original Datenträgern/ISOs neu.
Wie sieht das eigentlich rechtlich aus - dürfen die so etwas auf Verdacht hin überhaupt machen? Backdoors
o.ä. installieren meine ich.
Wenn ein begründeter Verdacht (und richterlicher Beschluss) vorliegt ist Quellen-TKÜ natürlich legal. Stichwort zum Googeln: Bundestrojaner, DigiTask und konsorten.o.ä. installieren meine ich.
Und zur Sicherheit: Nein, dies ist keine Rechtsbereatung - IANAL.
lg,
Slainte
Hallo,
Falls das formatieren zu aufwändig ist, kannst du es ja mit einer Firewall testen.
Einfach alles blockieren / protokollieren und nur das nötigste öffnen.
gruß
Falls das formatieren zu aufwändig ist, kannst du es ja mit einer Firewall testen.
Einfach alles blockieren / protokollieren und nur das nötigste öffnen.
gruß
plötzlichen Kripo Einsatz
... sag bloß der wurde vorher nicht angekündigt - ganz schön dreist von denen.dürfen die so etwas auf Verdacht hin überhaupt machen
... also wenn die Kripo deinen Rechner holt - dann wird es wohl schon mehr als nur ein "Verdacht" sein - dann brauchst Du dir sicher auch keine Gedanken mehr zu machen was Sie auf deinen Rechner gespielt haben - die werden jetzt schon genug Informationen haben.Egal - ich würde eine low-level Formatierung machen und dann ein Linux installieren mit verschlüsseltem Dateisystem.
Nur mal um es klar zu stellen - das war nicht bei mir. Ich sollte die wieder abgeholten Rechner wieder aufbauen und alles so gut wie möglich überprüfen. Es handelt es sich hierbei wohl um eine böswillige Anzeige eines Konkurrenten, der nicht ertragen kann, daß ihn die Kundschaft davonläuft. Aber erstmal ist der Schaden schon eingerichtet.
Eine Neuinstallation kommt wohl nicht so ohne weiteres in Frage.
Gibt es Virenscanner die solche Software zuverlässig erkennen können? Kann auch andere Sofware zum Einsatz gekommen sein als der DigiTask "Staatstrojaner"? Die Rechner stehen in DE in Schleswig-Holstein also nicht in Bayern o.ä.
Sonst brauche ich wohl Wireshark.
Eine Neuinstallation kommt wohl nicht so ohne weiteres in Frage.
Gibt es Virenscanner die solche Software zuverlässig erkennen können? Kann auch andere Sofware zum Einsatz gekommen sein als der DigiTask "Staatstrojaner"? Die Rechner stehen in DE in Schleswig-Holstein also nicht in Bayern o.ä.
Sonst brauche ich wohl Wireshark.
Eine Neuinstallation kommt wohl nicht so ohne weiteres in Frage.
... das würde ich mir sehr genau Überlegen - sicher wird kein Staatstrojaner drauf sein - aber man kann nie sicher sein was für ein Beamter das Ding in der Mangel hatte.Außerdem könnte ich mir vorstellen, dass die Kosten dafür dann "gern" der Konkurrent übernimmt nach einer Anzeige wegen 'Falsch Anzeige'.
Zitat von @BigSnakeye:
Nur mal um es klar zu stellen - das war nicht bei mir. Ich sollte die wieder abgeholten Rechner wieder aufbauen und alles so gut
wie möglich überprüfen. Es handelt es sich hierbei wohl um eine böswillige Anzeige eines Konkurrenten, der
nicht ertragen kann, daß ihn die Kundschaft davonläuft. Aber erstmal ist der Schaden schon eingerichtet.
Eine Neuinstallation kommt wohl nicht so ohne weiteres in Frage.
Gibt es Virenscanner die solche Software zuverlässig erkennen können? Kann auch andere Sofware zum Einsatz gekommen sein
als der DigiTask "Staatstrojaner"? Die Rechner stehen in DE in Schleswig-Holstein also nicht in Bayern o.ä.
na klar könnte das weiß gott was drauf sein, allerdings kann man sich auch nicht sicher sein, dass ein Virenscanner etc. hier alles findet, da Virenscanner darauf aufgebaut sind bereits bekannte Programme zu finden und auszumerzen.Nur mal um es klar zu stellen - das war nicht bei mir. Ich sollte die wieder abgeholten Rechner wieder aufbauen und alles so gut
wie möglich überprüfen. Es handelt es sich hierbei wohl um eine böswillige Anzeige eines Konkurrenten, der
nicht ertragen kann, daß ihn die Kundschaft davonläuft. Aber erstmal ist der Schaden schon eingerichtet.
Eine Neuinstallation kommt wohl nicht so ohne weiteres in Frage.
Gibt es Virenscanner die solche Software zuverlässig erkennen können? Kann auch andere Sofware zum Einsatz gekommen sein
als der DigiTask "Staatstrojaner"? Die Rechner stehen in DE in Schleswig-Holstein also nicht in Bayern o.ä.
D.h. wenn da ein halbwegs neuer Trojaner oder was auch immer drauf is, wird der Virenscanner wahrscheinlich nicht anschlagen
Sonst brauche ich wohl Wireshark.
Wäre die beste Option wenn du die gane Zeit lang erstmal Wireshark laufen lässt wenigstens bis du dir sicher bist, dass da nix drauf is.
Mahlzeit,
und letztlich blieben immer noch ein paar Fragen offen.
Wenn der Scanner was findet, was es vielleicht vorher schon drauf.k
Wenn der Scanner nichts findet, ist das System (ohne Neuinstallation wirklich sauber)..
Denk mal an Stuxnet und Konsorten, die sich wohl mehrere Monate unerkannt im nahen Osten getummelt haben...
Gruß
Carsten
und letztlich blieben immer noch ein paar Fragen offen.
Wenn der Scanner was findet, was es vielleicht vorher schon drauf.k
Wenn der Scanner nichts findet, ist das System (ohne Neuinstallation wirklich sauber)..
Denk mal an Stuxnet und Konsorten, die sich wohl mehrere Monate unerkannt im nahen Osten getummelt haben...
Gruß
Carsten
Hoi,
Ich denke mal, der Anwalt kann auch die Ermittlungsakten einsehen? Ich weiss es nicht genau, aber so ist doch der "erste" Staatstrojaner zum Vorschein gekommen.
... das würde ich mir sehr genau Überlegen - sicher wird kein Staatstrojaner drauf sein - aber man kann nie sicher sein
was für ein Beamter das Ding in der Mangel hatte.
Warum wird da "sicher" kein Staatstrojaner drauf sein? Nur interessehalber.was für ein Beamter das Ding in der Mangel hatte.
... also wenn die Kripo deinen Rechner holt - dann wird es wohl schon mehr als nur ein "Verdacht" sein - dann brauchst Du dir > sicher auch keine Gedanken mehr zu machen was Sie auf deinen Rechner gespielt haben - die werden jetzt schon genug
Informationen haben.
... naja, warum haben Sie dann die Rechner mitgenommen. Schuldig ist jemand im übrigen immer noch erst nach Urteil, und nicht wenn die Polizei ermittelt. Und ermittelt wird halt nun mal auch bei Verdacht.Informationen haben.
Ich denke mal, der Anwalt kann auch die Ermittlungsakten einsehen? Ich weiss es nicht genau, aber so ist doch der "erste" Staatstrojaner zum Vorschein gekommen.
Warum wird da "sicher" kein Staatstrojaner drauf sein? Nur interessehalber.
weil:Es handelt es sich hierbei wohl um eine böswillige Anzeige eines Konkurrenten
und da gehe ich davon aus dass der "Verdacht" schon ausgeräumt ist wenn die Rechner zurück sind - und somit keine rechtliche Grundlage (und Arbeitszeit) besteht da rum zu schnüffeln.Btw. dass der "böse Bub" die "schnüffel" Anstrengungen durch neu aufsetzen oder kauf eines neuen Rechners umgehen kann ist der Kripo sicher bekannt - ich glaube das ist totaler Käse.
Noch was - ich glaube NICHT das die Kripo einfach Rechner mit nimmt wenn kein begründeter Verdacht besteht. Also wird wohl schon vorher irgend ein Informationsleck gewesen sein - technisch oder menschlich.
OK, das ist eine "politische" Antwort 
. Ganz sicher kann man sich wohl erst nach einer forensischen Untersuchung sein (oder auch nicht...).
Beim "alten" Staatstrojaner hätte eine Neuinstallation wohl geholfen, Linux und Festplattenverschlüsselung wohl auch. Über Rechtliches und wann/ob/wie/wer ermittelt, da kenne ich mich nicht aus und es bringt wohl auch nichts, darüber zu spekulieren.
Mich würde trotzdem noch interessieren, wie der Ersteller weiter verfahren ist.
Gruß Daniel
. Ganz sicher kann man sich wohl erst nach einer forensischen Untersuchung sein (oder auch nicht...).Beim "alten" Staatstrojaner hätte eine Neuinstallation wohl geholfen, Linux und Festplattenverschlüsselung wohl auch. Über Rechtliches und wann/ob/wie/wer ermittelt, da kenne ich mich nicht aus und es bringt wohl auch nichts, darüber zu spekulieren.
Mich würde trotzdem noch interessieren, wie der Ersteller weiter verfahren ist.
Gruß Daniel
Hallo zusammen,
hätte - wäre -wenn .. das ist doch alles Spekulation - oder ?
Wenn man sicher sein will, low level format - oder neue Platten, und das Ganze System einmal neu.
Da kann man sicher sein. Alles Andere ist nur eine aufwändige Suche nach einerm einzelnen Floh in der Scheune :
Man sieht ihn nicht, ist aber nicht sicher ob er nicht doch da ist.
Und den Kollegen der Kripo TRAUEN - also bitte, wem vertraut man heute noch...
Da gibts doch das schöne Zitat "Vertrauen ist gut - Kontrolle ist besser !"
Viele Grüße
hätte - wäre -wenn .. das ist doch alles Spekulation - oder ?
Wenn man sicher sein will, low level format - oder neue Platten, und das Ganze System einmal neu.
Da kann man sicher sein. Alles Andere ist nur eine aufwändige Suche nach einerm einzelnen Floh in der Scheune :
Man sieht ihn nicht, ist aber nicht sicher ob er nicht doch da ist.
Und den Kollegen der Kripo TRAUEN - also bitte, wem vertraut man heute noch...
Da gibts doch das schöne Zitat "Vertrauen ist gut - Kontrolle ist besser !"
Viele Grüße
Will Du sicher sein?
Das ganze Zeug bei ebay & Co. vertickern und neue Systeme kaufen.
Natürlich nicht ohne vorher die Platten zu putzen (VIM, ATA & Co. helfen dabei
).
Aber wie imerm gilt es eien Risikoabwägung zu machen:
Kunde hat ein reines Gewissen? dann wird vermutlich die Beschlagnahmung keinerlei Hinweise erbracht haben. Dann besteht normalerweise auch kein Grund mißtrauisch zu sein.
Will man trotzdem sichergehen? Die üblichen verdächtigen, die man auch bei normalen Forensischen Untersuchungen macht (Rootkit-suche, Trojanersuche, etc).
Wichtig: Nicht vergessen, die Innereien des Systems auf "geschenkte" Hardware durchsuchen.
wenn der Kuden kein reines Gewissen hat, würde ich, sofern man das üebrhaupt mit seinem gewissen vereinbaren kann, die erstgenannte Methode verwenden. Nicht vergessen, entsprechenden Anteil an der "Beute" einzufordern.
lks
Das ganze Zeug bei ebay & Co. vertickern und neue Systeme kaufen.
Natürlich nicht ohne vorher die Platten zu putzen (VIM, ATA & Co. helfen dabei
).Aber wie imerm gilt es eien Risikoabwägung zu machen:
Kunde hat ein reines Gewissen? dann wird vermutlich die Beschlagnahmung keinerlei Hinweise erbracht haben. Dann besteht normalerweise auch kein Grund mißtrauisch zu sein.
Will man trotzdem sichergehen? Die üblichen verdächtigen, die man auch bei normalen Forensischen Untersuchungen macht (Rootkit-suche, Trojanersuche, etc).
Wichtig: Nicht vergessen, die Innereien des Systems auf "geschenkte" Hardware durchsuchen.
wenn der Kuden kein reines Gewissen hat, würde ich, sofern man das üebrhaupt mit seinem gewissen vereinbaren kann, die erstgenannte Methode verwenden. Nicht vergessen, entsprechenden Anteil an der "Beute" einzufordern.
lks
