Ich kann nur jedem ans Herz legen, bei der Dokumentation und Weitergabe von verdächtigen externen IP-Adressen sorgsam zu sein. Zahlendreher können leicht passieren, vor Weitergabe sollten die IP-Adressen nochmals verfiziert werden. Heise berichtet, dass wegen einer Verwechselung der IP-Adresse durch den angefragten Provider, die Wohnung einer unschuldigen Person wegen des Verdachts auf Kinderpornografie durchsucht wurde.
Ein weiterer Stolperstein auch für Ermittler und Administratoren ist die richtige Uhrzeit des Logeintrags und die richtige Zeitzone des protokollierenden Systems. Fehler sind hier häufig vorprogrammiert. Oft ist nicht klar, in welche Zeitzone das System konfiguriert wurde und wie groß die Abweichung der Systemzeit von einer vertrauenswürdigen Quelle ist. Das ganze wird dann noch komplexer, wenn nicht nur ein System Protkolldaten liefert, sondern Firewall, Web-Server, Router, Datenbank, Client, ADS und evtl. das Zutrittskontrollsystem. Gerade bei großen Dial-Up Providern kann es durchaus auf eine Differenz von einigen Minuten ankommen. Die Gefahr, dass die IP-Adresse einem neuen User zugeordnet wird, ist nicht zu vernachlässigen. Geht das protokollierende System nach dem Mond, wird es schwierig und die falsche Person wird verdächtigt.
Ein Hinweis noch: Der Ermittler muss auch eine Aussage treffen, wie groß die Zeitabweichung zum Zeitpunkt der Logeintragerzeugung gewesen sein könnte und nicht zum Zeitpunkt der Auswertung. Im Klartext bedeutet dies eine rückwirkende Abschätzung der Zeitdrift. Alles machbar, man darf es nur nicht vergessen. 😉
Ich wurde gestern gefragt, warum mir das Thema so wichtig ist. ICH MÖCHTE NICHT UM 5:00 MORGENS GEWECKT WERDEN, WEIL SICH JEMAND BEIM LOGFILELESEN VERRECHNET HAT! 🙂
schon ‚mal passiert?
Meinem Team ist es direkt noch nicht passiert. 😉
wir kommen erst ab 05:30