"Forensische" Untersuchung

vagabond

vagabond

Aktives Mitglied
Thread Starter
Dabei seit
15.08.2004
Beiträge
237
Reaktionspunkte
0
Hallo

Eines unserer beiden Instituts-pBooks (die für alle Institutsmitglieder frei zugänglich sind) ist gerade knappe 2 Monate verschwunden gewesen, und unter mysteriösen Umständen wieder aufgetaucht (dh. plötzlich wieder im Tresor gelegen). Da uns (also vor allem dem Institutsvorstand) ein wenig an der Aufklärung dieses Verschwindens liegt habe ich jetzt die Frage an euch: Wie können wir herausfinden, wer an diesem book gearbeitet hat?

Auf dem Teil ist nur ein Admin-account eingerichtet, den jeder verwenden kann, Safari-History wurde vollständig gelöscht, incl. Cookies etc. ebenso die verwendeten Dokumente in sämtlichen MS-Office Programmen, in der Vorschau und im Acrobat Reader. Auf dem Rechner liegen auch keine sonstigen in der relevanten Zeit veränderten Dateien herum, der Papierkorb wurde auch gelöscht.
Achja, System ist 10.3.5.
Gibt es unter OSX Logdateien, die Benutzerkommandos mitprotokollieren?

Herzlichen Dank für sachdienliche Hinweise ;)

lg
Flo
 
Starte mal das Programm Konsole, da finden sich einige Logs.
Ich bin da aber nicht so der Fachmann.
Ich bin mir aber sicher, hier werden sich noch einige melden. :)
 
mit Boardmitteln wirst du da kaum was finden wenn sich der "Ausleiher" geschickt angestellt hat". Und in den System Logs steht natuerlich nicht wer den Admin account verwendet hat.

Wenn es euch die Sache wert ist, gibtr es durchaus spezialisierte Software fuer dieses Anwendungsgebiet. EnCase Forensic laueft auch fuer HFS+ formatierte volumes

http://www.forensicdata.ca/pages/products.php
 
Zuletzt bearbeitet von einem Moderator:
Angenommen, du würdest sehen, dass da jemand mit im Internet war und z.B. jeden Tag Spiegel.de gelesen hat, außerdem im MacUserForum rumgesurft ist. Dann hat er noch ein Gedicht im Word geschrieben und 35 MP3 erzeugt... Das hilft dir alles nicht weiter, solange keine personenbezogenen Daten drau sind. Und selbst wenn - einen Brief mit irgendeiner Adresse zu tippen sollte niemandem schwer gefallen sein.

Am einfachsten als Konsequenz - beschränkter Zugang und Herausgabe nur nach Unterschrift.

Gruß Stefan
 
(1) Derjenige hat Zugang zum Tresor ( das würd mir mehr Sorgen bereiten)

(2) einen Rechner, den man untersuchen möchte darf man nichtmal mehr starten.
Abbild der HDD erstellen ( per Zweitrechner, wo die Platte nur LESEND gemounted wird) und dieses Abbild durchsuchen.
 
maconaut schrieb:
Angenommen, du würdest sehen, dass da jemand mit im Internet war und z.B. jeden Tag Spiegel.de gelesen hat, außerdem im MacUserForum rumgesurft ist. Dann hat er noch ein Gedicht im Word geschrieben und 35 MP3 erzeugt... Das hilft dir alles nicht weiter, solange keine personenbezogenen Daten drau sind. Und selbst wenn - einen Brief mit irgendeiner Adresse zu tippen sollte niemandem schwer gefallen sein.

Am einfachsten als Konsequenz - beschränkter Zugang und Herausgabe nur nach Unterschrift.

Gruß Stefan
Zum Vergrößern anklicken....

Wir sind ca. 30 Personen hier, also zb. ein halbwegs vernünftiger Dateiname würde bereits ausreichen um den Personenkreis noch mal stark einzugrenzen.

@lundehundt: Danke für den Link, das ganze ist eher Neugierde, wer sich hier auf der einen Seite (nämlich menschlich gesehen) so dämlich anstellt, und andererseits (technisch) doch halbwegs geschickt. Kosten soll das ganze nichts ;)

Danke mal für die ersten Tipps ;-)

lg
Flo
 
wegus schrieb:
(1) Derjenige hat Zugang zum Tresor ( das würd mir mehr Sorgen bereiten)

(2) einen Rechner, den man untersuchen möchte darf man nichtmal mehr starten.
Abbild der HDD erstellen ( per Zweitrechner, wo die Platte nur LESEND gemounted wird) und dieses Abbild durchsuchen.
Zum Vergrößern anklicken....


Jeder hier auf dem Institut hat Zugang zu dem Tresor, ist auch der Sinn von diesem Ding, es sind darin Sachen aufgehoben, auf die jeder von uns Zugriff haben sollte, nur Aussenstehende nicht. Mittlerweile wurde auch der Zugriff darauf etwas eingeschränkt, das Problem ist aber dass auch zb die Digitalkamera, die teilweise für die Versuchsdokumentation benötigt wird, dort gelagert ist, und der Zugriff auch dann möglich sein muss, wenn keiner der Chefs anwesend ist.


und 2) das Teil wird zum arbeiten benötigt :( dh hier geht wohl Schnelligkeit vor Genauigkeit...

Ich habe jetzt mal Data Rescue X gestartet, mal schaun ob das irgendetwas sinnvolles findet.
Wenn nicht, und es noch irgendeine Möglichkeit gibt, mit Bordmitteln interessantes rauszufinden bin ich auch für weitere Tips noch sehr dankbar.

lg
Flo
 
Ich weiss leider nicht wie die tools heissen, aber gibt es keine, die gelöschte Dateien wiederherstelllen können? früher machte dies Norton... heute ??

mit so einem programm könntest du evtl word dateien wiederherstellen...
 
Schon mal in ~/Library/Caches geschaut, könnte vielleicht was dabei sein?!
 
vagabond schrieb:
Hallo

...Da uns (also vor allem dem Institutsvorstand) ein wenig an der Aufklärung dieses Verschwindens liegt habe ich jetzt die Frage an euch: Wie können wir herausfinden, wer an diesem book gearbeitet hat?
Zum Vergrößern anklicken....


einfach fragen wers genommen hat geht scheinbar nicht, obwohl es nur 30 personen gewesen sein können ... und das in einem institut. ein chinesisches sprichwort sagt: wer menschen kennt, liebt tiere ... :(

in meinen augen ist so eine klauerei recht kindisch, genauso wie das nachspionieren wers denn gewesen sein könnte. das soll natürlich kein vorwurf an dich sein, es ist ärgerlich wenn das arbeitsgerät verschwindet und nicht sagt wohin.

ich würde deswegen die leute zusammenrufen und mit ihnen wie mit erwachsenen reden ... hat was mit verantwortungsbewusstsein zu tun und da spielt die erziehung und der charakter mit. das problem ist sonst nicht zu lösen, denke ich.

das ist natürlich nur meine meinung.


gruss
m.
 
Also über die Konsole - Logs solltest Du immerhin sehen können, wann, wie oft und wie lange gestartet/gearbeitet wurde. Falls das schon mal hilft ("Wo waren sie vergangenes Wochenende zwischen 6 und 13 Uhr?" :D)

Bei Windows würde ich jetzt die Registry nach "Recent" durchsuchen um an Filenamen in diversen Programmen zu gelangen. Bei Mac gibt es sowas (zum Glück) nicht - da dürfte das etwas so also nicht funktionieren

Du könntest höchstens nach allen Dateien suchen, die in einem Zeitraum geändert wurden - evtl. findet sich da noch etwas was derjenige übersehen hat... klingt aber so, als hätte er schon gewusst was er tut.


Kannst es ja andersherum versuchen. Mach einen Aushang auf dem steht: "Belohnung zu vergeben! In letzter Zeit gab es immer wieder probleme mit unserem Mac. Seit er gestern in den Tresor gelegt wurde läuft er 1a. Wer hatte das Gerät zuletzt - Bitte melden bei: ...."

oder ähnlich... wer weiß :)
 
Myraculix schrieb:
einfach fragen wers genommen hat geht scheinbar nicht, obwohl es nur 30 personen gewesen sein können ... und das in einem institut. ein chinesisches sprichwort sagt: wer menschen kennt, liebt tiere ... :(

in meinen augen ist so eine klauerei recht kindisch, genauso wie das nachspionieren wers denn gewesen sein könnte. das soll natürlich kein vorwurf an dich sein, es ist ärgerlich wenn das arbeitsgerät verschwindet und nicht sagt wohin.

ich würde deswegen die leute zusammenrufen und mit ihnen wie mit erwachsenen reden ... hat was mit verantwortungsbewusstsein zu tun und da spielt die erziehung und der charakter mit. das problem ist sonst nicht zu lösen, denke ich.

das ist natürlich nur meine meinung.


gruss
m.
Zum Vergrößern anklicken....

Die Vorgeschichte ist ja auch ganz lustig: Das book war schon einmal ca 2 Monate lang verschwunden. Es ist in dieser Zeit in beinahe jeder Institutsbesprechung gesagt worden, dass dieser jemand, der sich das book ausgeliehen hat sich doch bitte melden soll, es ist kein Problem wenn es jemand zuhause hat, es sollte nur bekannt sein, wo es zu finden ist. Daraufhin gabs keine Reaktion, nur plötzlich war es wieder im Tresor. Daraufhin ist ausgemacht worden, dass jeder, der sich einen Rechner, die Kamera oder sonst etwas ausleiht, dies in ein Buch einträgt und sich bei seinem Gruppenleiter meldet. Soweit so gut, das Teil ist wieder verschwunden, ohne dass sich (vermutlich die selbe Person) gemeldet hat. Und jetzt auch wieder aufgetaucht. Daher stammt das Interesse, wer es denn gewesen sein könnte.

Wir haben mittlerweile alles durchgesehen, was an Dateien verändert wurde (logs etc), Data rescue X findet ebenso keine Dateien (null, niente...), ich fürchte wir werden das Thema einfach vergessen, und den Tresorschlüssel besser verwahren müssen...

Dass manche Deppen anderen die Arbeit schwer machen müssen... ich werds nie nicht verstehen... :rolleyes:

Danke auf alle Fälle für eure Hilfe!

lg
Flo
 
vagabond schrieb:
...Dass manche Deppen anderen die Arbeit schwer machen müssen... ich werds nie nicht verstehen... :rolleyes:

Danke auf alle Fälle für eure Hilfe!

lg
Flo
Zum Vergrößern anklicken....


ja, wenn schon, denn schon ... :D schreib einen zettel, wo draufsteht, das du fingerabdrücke vom book genommen hast und das du als gegenbeweis in der kantine oder beim kaffeeautomat von jedem den gegenbeweis nimmst. dann musst du nur noch drauf achten, wer nicht kommt .... :cool:

ja, ich weiss ... zuviel colombo geschaut, hehe


in diesem sinne
schönes wochenende

m.
 
Wieviele haben denn da Zugang zum Tresor? In Zukunft soll halt nur noch einer den Schlüssel (und die Verantwortung) bekommen, derjenige muss dann darauf achten, dass die Leute, die da Material entnehmen, auch unterschreiben.
Und genau der Fraggle mit dem Schlüssel darf dann auch verantworten wenn etwas nicht wieder auftaucht und keine Unterschrift dafür da ist.
Ich denke damit legen sich auch derartige Probleme ziemlich schnell.

Claudia
 
Desi schrieb:
Wieviele haben denn da Zugang zum Tresor? In Zukunft soll halt nur noch einer den Schlüssel (und die Verantwortung) bekommen, derjenige muss dann darauf achten, dass die Leute, die da Material entnehmen, auch unterschreiben.
Und genau der Fraggle mit dem Schlüssel darf dann auch verantworten wenn etwas nicht wieder auftaucht und keine Unterschrift dafür da ist.
Ich denke damit legen sich auch derartige Probleme ziemlich schnell.

Claudia
Zum Vergrößern anklicken....

Alle, der "Sinn" war ja einen Ort zu haben, wo Institutsmitglieder wertvollere, gemeinsam genutzte Geräte verwahren, wobei allerdings jeder von uns, und das auch jederzeit (wer ruft am Wochenende den Chef, weil er kurz die Digicam braucht...) Zugriff haben sollte. Die Computer werden wohl jetzt mal davon ausgenommen sein.
Und das mit dem Wochenende ist bei uns leider häufiger der Fall, wir sind ein molekularbiologisches Labor, und wenn etwas wächst, dann wächst es, unabhängig vom Wochentag....

Tja, euch auch ein schönes Wochenende, am Montag wird weiterberaten was jetzt passieren wird.

lg
Flo
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Zurück
Oben Unten