* Dietz Proepper wrote: > Lutz Donnerhacke: >> Daten, die an dritter, nicht manipulierter Stelle anfallen sind wertlos? > > Wenn die dritte Stelle nicht belegen kann da� die Daten unmanipuliert > sind oder in ausreichend enger Beziehung zu einer der Parteien steht dann > sind die Daten zumindest zweifelhaft.
Das ist klar. > Zudem, was sagt denn ein "der Pr�pper hat (bzw. hatte von dann bis dann) > xx.xx.xx.xx" aus? Das ist nicht die Aussage. > Selbst wenn von xx.xx.xx.xx aus b�se Dinge passierten hei�t dies noch > lange nicht da� der Pr�pper der Urheber war. Wenn wer eines meiner > Systeme ge�ffnet hat z.B.. Die Aussage ist, da� x.x.x.x zum Vertrag geh�rt, der auf Pr�pper l�uft. Also kann Pr�pper das auch aufkl�ren. Wie bei einem Autohalter. > Oder wenn Mom&Pop-type ISPs core router etwas zu gutgl�ubig ist. Gut, > letzteres bekommt man �ber die von Dir geschilderte Mittlermethode ganz > gut geregelt. Eben. >> > Das wird angezweifelt, dann darfst Du beweisen da� die Logs valide >> > erhoben wurden. >> >> Ich denke, das kann ich. > > Auch auf physikalischer Ebene? Ja. > Ben�tigt man Aufwand f�r mehr als � 2500 um an die loggende Maschine zu > gelangen? Nein. > Abgesehen davon - wenn Du bekundest da� Deine Daten valide sind dann wird > normalerweise ein (anderer) Gutachter Deinen Standpunkt best�tigen m�ssen > (man korrigiere mich wenn ich da irre). Das k�nnen andere Gutachter best�tigen, es sei denn, sie sind unf�hig, den Begriff Hash auszusprechen und das Alter eines notariell hinterlegten Papieres zu ermitteln. >> > Dies solltest Du auch tun da man im anderen Fall Dir im folgenden >> > Zivilverfahren ganz �bel den Hintern versohlen wird. BTST. >> >> Meine Methoden Logfiles aufzur�umen > > Das Aufr�umen war nicht der Fokus meiner Rede. Mein Fehler. "aufr�umen" ist der falsche Begriff f�r "f�hren". > Gut so. Nach dem was Du so ver�ffentlichst habe ich auch ein, zwei Ideen, > wie Du das realisiert haben k�nntest. Ich bezweifle aber da� dies > "Standard" ist. Das ist mir hier egal. > Ack. Nur reden wir hier �ber ein teilweise recht sensibles Thema - da tut > der welcher Dinge aus Randbezirken des grauen Bereichs betreibt gut > daran, seinen Standpunkt in einfachen Worten notfalls mehrmals > auszuf�hren. Die Rede, "ich mach' das schon richtig" h�rt man leider zu > oft von Leuten die damit weitere Nachfragen ersticken wollen. Ich mach das schon richtig. > Logfiles zu f�hren wie sie f�r die zeitnahe Diagnose technischer Probleme > n�tig sind und diese ggf. in Harz zu gie�en und aufzubewahren ist einfach > eine komplett andere Geschichte als das Aufheben �ber x Monate. Was lesen die Leute nur aus meinen Mails? Habe ich etwas anderes behauptet? Was schrieb ich denn zu den Zeitr�umen? Bitte Leute! Wenn ich "einige Tage" schreibe, dann ist es sinnfrei, mir zu antworten "Warum mehrere Monate? Reichen nicht einige Tage?!". > Jetzt noch eine Frage zum Thema (komplett unausgegorene Ideen > meinerseits). W�re es Deiner Einsch�tzung nach mit ertr�glichem Aufwand > machbar, f�r Eure Dom�ne eine Verkehrs�berwachung aufzubauen mit der Ihr > Mi�verhalten Eurer Kunden, z.B. Spammen oder Mi�brauch Eurer Kunden, z.B. > als Warezb�rsen oder dDOS-Teile mit akzeptabler Rate erkennen k�nnt? (so > in der Art "Nutzungspattern der letzen n h verglichen mit momentanem > pattern" oder sowas) Das w�re aufbaubar. > Dies gekoppelt mit extensivem Logging das dann eingefroren wird w�rde > f�r einen Gro�teil Eurer unproblematischen Kunden vermeiden da� Ihr �ber sie > vorratspeichern m��t. Sobald sich wer auff�llig verh�lt k�nnte man sogar > wesentlich detaillierter als so m�glich protokollieren und h�tte Daten aus > denen eine aussagekr�ftige Analyse m�glich wird. Und das verstehe ich nicht. Mir sind die Begriffe "eingefroren", "unproblematisch", "vorratspeichern" und "auff�llig" nicht klar. Wesentlich mehr zu Loggen d�rfte schwierig werden. Dazu m��te man an jeden Switch noch Traffikmitschneider (Dump) aufstellen. Dazu fehlen mir die Kapazit�ten und ich wills das nicht. > Das w�ren dann, um in Deinem Bild zu bleiben, die Omas die �ber alles was > in ihrer Stra�e geschieht Bescheid wissen und ggf. ruck-zuck die Polizei > benachrichtigen. Wozu? Daf�r gibt es weder die rechtliche Grundlage noch die Notwendigkeit. Es mangelt schon an der Entscheidbarkeit, was denn "illegal" sei.
