[RECHT] Filesharing, Abmahnungen und Schwachstelle DHCP-Protokoll

Wolfpaxx

Cadet 3rd Year
Dabei seit
Apr. 2009
Beiträge
47
Hallo alle zusammen,

nein, ich habe keine Abmahnung erhalten, es geht hier um ein rein theoretisches Problem aus dem Bereich der IP-Adress-Erfassung und der Zuweisung der korrekten Anschlussinhaber:

Und zwar würde ich gerne mit euch über die Schwachstelle DHCP-Server bzw. das daraus resultierende Protokoll diskutieren.

Bisher werden ja in Verdachtsfällen von der Staatsanwaltschaft die Provider um Auskunft gebeten, ihren DHCP-Log mit den vergebenen Leases zu einer bestimmten Uhrzeit (die der DHCP aus seiner Sicht erfasst hat) zu vergleichen und dann den Login mit der Kundendatei abzugleichen und das Ergebnis rauszurücken.

Meiner bisherigen Erkenntnis nach (und hier bitte ich um euer Fachwissen) ist einem DHCP-Server jedoch die Uhrzeit völlig egal - das bedeutet, egal ob die Systemzeit 1999 stehengeblieben ist, oder sich der DHCP in einer anderen Zeitzone befindet, er gibt auf jeden Request eine IP aus seinem Pool aus und dazu eine relative Lease-Zeit. Egal wie früh oder spät es ist. Ausserdem enthält das DHC-Protokoll keinerlei TimeStamp oder einen Abgleich von Server- & Client-Zeit...

Bei der Zeiteinstellung gibt es massenhaft Fehlerquellen, wie etwa:
- Generell falsche Uhrzeiteinstellung
- Falsche Zeitzone
- Defekter Quarz / System-Uhr läuft zu schnell oder langsam und synct sich einmal am Tag mit Zeitserver wieder richtig (hatte ich schon)

Daher würde ich alle Einzel-Ermittlungen derzeit als fragwürdig bezeichnen, da nicht nur die Zuweisung der IP-Adresse an den Anschluss relevant wäre, sondern auch, dass zum Zeitpunkt der Vergabe der DHCP mit der Zeit des Ermittlersystems synchron war.

Bisher wird aus meiner Sicht die korrekte DCHP-Konfiguration ungefragt als gottgegeben und richtig akzeptiert, ohne die Zuverlässigkeit der auskunftserteilenden Stelle (Internet-Provider) in Frage zu stellen, obwohl dies vielleicht angebracht wäre.

Wie seht ihr die Sache? Was meint ihr dazu?
 

SpookyFBI

Lt. Commander
Dabei seit
Jan. 2006
Beiträge
1.201
Willst du jetzt nicht zahlen, weil es ein Konfig Fehler beim Provider sein könnte?

Kannst ja mal ne Anwalt danach Fragen, der sich mit sowas auskennt... ich glaube das die Provider nicht so dumm sind.
 

Sherman123

Fleet Admiral
Dabei seit
Nov. 2002
Beiträge
12.323
Das sind zum Teil strafrechtlich relevante Informationen. Ich hoffe doch, dass die Provider hier Systeme verwenden, die eine gewisse Präzision mitbringen.
(Vielleicht ist deren Datenbank quasi live Zeit-synchronisiert)

Dann gäbe es diese Problem nicht.
 

Wolfpaxx

Cadet 3rd Year
Ersteller dieses Themas
Dabei seit
Apr. 2009
Beiträge
47
@ Spooky: Wer des Lesens mächtig ist... Es gibt keinen KONKRETEN Fall! Und ich BIN Anwalt, der sich mit der Materie beschäftigt - aber eben entgegen einer Vielzahl von Kollegen nicht nur mit der rechtlichen Seite!

@ Sherman: Genau bei dieser immensen Verantwortung bin ich mir eben nicht sicher... Vielmehr befürchte ich ein stupides 1:1 Daten-Ablesen. :-(
 

SpookyFBI

Lt. Commander
Dabei seit
Jan. 2006
Beiträge
1.201
Ok wenn du Anwalt bist, dann warte doch bis ein Fall bei dir liegt und du kannst deinem Klienten ja dann sagen,moment.. vlt stimmen die Angaben ja nicht von Ihrem Provider.. und dann klagt ihr.
Woher soll hier einer wissen, wie die Provider irgendwo was speichern.. viele sind es ja nicht mehr.
Telekom soll wohl nur noch max. 7 Tage vorhalten, der Rest wohl garnicht (wenn es eine Internetflat ist).
 

motzfrosch

Lt. Junior Grade
Dabei seit
Dez. 2010
Beiträge
388
Hat zwar mit deiner eigentlich Frage nichts zu tun aber trotzdem:
Bisher werden ja in Verdachtsfällen von der Staatsanwaltschaft die Provider um Auskunft gebeten, ...
Das stimmt doch nicht, oder? In den filesharing-Abmahn-fällen wird die Staatsanwaltschaft doch überhaupt nicht (mehr) tätig. Das läuft doch i.d.R. über den urheberrechtlichen Auskunftsanspruch nach § 101 IX UrhG auf (zivil)richterliche Anordnung. Das mit der Staatsanwaltschaft (erst Anzeige, Staatsanwalt ermittelt Anschlussinhaber, Akteneinsicht) ist doch schon lange vorbei oder?
 

Wolfpaxx

Cadet 3rd Year
Ersteller dieses Themas
Dabei seit
Apr. 2009
Beiträge
47
@ Spooky: Da wird sich der Mandant aber freuen... "Gratuliere, Sie sind mein Versuchskaninchen!" :-)
Nein, ich möchte eben vorher grundsätzlich theoretische Schwachstellen aufdecken.
Da die Juristen in dem Bereich zu wenig technische Ahnung haben, kann es auch mal Jahre dauern, bis jemand auf so einen technischen Umstand kommt.

@ motzfrosch: Der Auskunftsanspruch besteht natürlich, aber dabei musst du die ganze Arbeit selbst erledigen und die Kosten vorschießen. Der Weg über die StA dauert länger, ist aber einfacher und günstiger!


...leider hat sich zu meiner technischen Frage bisher keine Antwort gefunden! :-(
Vielleicht doch die falsche Community dafür... Schade!
 

moodle

Banned
Dabei seit
Juni 2011
Beiträge
856
Ich habe zwar keine Ahnung von der Technik, trotzdem denke ich dass
- in den meisten Fällen eine IP mehrere Stunden benutzt wird, und nicht minütlich wechselt. Somit ist eine gewisse Toleranzbreite verschmerzbar
- Provider die Technik für zeitgenaue Abrechnung besitzen sollten, schon alleine für Abrechnungszwecken (gut, Zeittarife gibt es zugegeben nicht mehr so oft)
 

Zhalom

Lt. Commander
Dabei seit
Okt. 2011
Beiträge
1.078
Ich sehe das ähnlich. Als vergleich dienen die Ermittlungsmethoden von Kriminalfällen, Verkehrsdelikten und so weiter, die zu eng an Laborbedingungen geknüpft werden müssen, wo es um doppelt geprüfte Reinheitsgrade von 99.9999% geht, und um staatlich geprüfte und geeichte Messsysteme.

in den meisten Fällen eine IP mehrere Stunden benutzt wird, und nicht minütlich wechselt
Vieleicht wäre es dann als Verteidiger möglich, zu erfahren wie lange die erfasste IP schon an ihn vergeben war, und wie lange die IP noch an ihn vergeben wurde. Deine Vermutung setzt vorraus das die erfasste IP sich in der Mitte ihrer Nutzung befand. Wenn sie allerdings gerade vergeben wurde (sagen wir 15:00:00), und die Anfrage kommt "wer befand sich 15:00:00 in der Leitung", dann ist die Uhr ausser Sync und in Wahrheit war die Zeit 14:59:99, mit einem anderen Nutzer.
Keiner weiss ob die jeweilige IP für eine gewisse relevante Zeit gesperrt wird wenn der Nutzer wechselt, also kann sie doch gewechselt sein oder?

Bei 10000 anklagefällen arbeitet doch die Wahrscheinlichkeitsverteilung in die Richtung. Mehrere Stunden spielen eine geringe Rolle.
 
Zuletzt bearbeitet:

LeChris

Vice Admiral
Dabei seit
Dez. 2002
Beiträge
6.931
Machen wir doch mal eine Abwägung, wem ich eine möglichst korrekte Zeitkonfiguration seiner IT-Systeme unterstellen kann:

- dem ISP
- irgendeiner IT-Bude, die sich im Auftrag einer Abmahnkanzlei in Filesharing-Netzwerken rumtreibt

Ich finde es gelinde gesagt "interessant", hier eher dem ISP bzw. einem global verwendetem Protokoll Unzuverlässigkeit zu unterstellen. Im theoretischen Rahmen bleibt natürlich der zeitliche Abgleich zwischen den Informationsbeständen als Problemstellung. Wobei ein fachmännisch konfigurierter Server sowieso auf UTC-Zeit läuft, wesentlich öfter sich per NTP z.B. mit Braunschweig synchronisiert und so eine Fehlerrate unter einer Sekunde haben dürfte. Die Zeitzone wird als Offset betrachtet und ist eine lokale Einstellung.
 

Wolfpaxx

Cadet 3rd Year
Ersteller dieses Themas
Dabei seit
Apr. 2009
Beiträge
47
Jetzt gehen doch noch sinnvolle Diskussionen ein! *freu*

@ Zahlom: Du spielst mit demselben Gedanken wie ich... vor allem beim Aufeinandertreffen eines
"Ich nutze Rapidshare Free Accounts und connecte mich alle 2 Minuten neu, um eine neue IP zu bekommen"-Nutzers und
"Ich bin Lieschen Müller, 78 Jahre alt und schalte einmal am Tag meinen Router an, um für eine halbe Stunde die E-Mails von meinen Enkeln abzurufen"-Nutzer
...wenn zweiter auf erstern trifft kann ich mir vorstellen, dass durchaus bereits mal eine Abmahnung den/die Falsche/n getroffen hat.

@ LeChris: Das Problem, das ich sehe ist, dass der DHCP keine korrekte Zeiteinstellung zum Betrieb benötigt. Es ist ihm schlicht und einfach egal.

Sorry für den blöden Vergleich, aber es dient der Verdeutlichung: Als Admin achtest du auch darauf, dass deine Kaffee-Maschine eine gültige IP-Adresse zugewiesen bekommen hat. Die Kaffee-Maschine braucht sie zwar nicht, um Kaffee zu machen, aber als zuverlässiger Admin hat auch deine Kaffee-Maschine ne IP verdient.

Wobei ich auch mehr zur Fehlerquelle in der Zeitzoneneinstellung tendiere. Solange sich aber hier kein wirklich Sachkundiger zu einem Posting verführen lässt, bleibt es weiter ein Blick in die Kristallkugel... :freak:
 

Tekwar

Ensign
Dabei seit
Sep. 2008
Beiträge
163
Ich weis auf was du hinaus willst, vielleicht lässt sich sowas ja mit einem ähnlichen Problem herausfinden.

Wenn die Bilder einer Überwachungskamera als Beweis herangezogen werden, wie wird dann sichergestellt das der Zeitstempel im Bild die richtige Uhrzeit zeigt?
 

Wolfpaxx

Cadet 3rd Year
Ersteller dieses Themas
Dabei seit
Apr. 2009
Beiträge
47
@ TekWar: Genau, du hast die Problematik erfasst! Meiner Meinung nach findet da derzeit eine regelrechte "Technik-Hörigkeit" statt, nach dem Motto: "Was ein technisches System erfasst hat, kann prinzipiell nicht falsch sein".

Allerdings glaube ich, dass es wohl bereits in der Vergangenheit eine gewissen Zahl an fehlerhaften Erfassungen gegeben hat. Prinzipell besteht keine Einwendung gegen die Rechtsverfolgung von Verstößen, sie muss nur korrekt erfolgen.

Das Beispiel mit der Kamera ist ideal - in den meisten Fällen werden es alle Beteiligten als gottgegeben hinnehmen, dass die Aufnahme genau zu dem Zeitpunkt stattfand, die der Timecode ausgibt. Niemand fragt, ob die Uhr überhaupt eingestellt war.
 

Silent1337

Lieutenant
Dabei seit
Feb. 2009
Beiträge
948
Du "glaubst"....Glauben ist nicht wissen...
Du musst schon was handfestes vorlegen. Mit irgendwelchen "Theorien" kommst du nicht weiter.
Die "großen" DHCP Server sind als "kritisch" einzustufen und werden logischerweise auch entsprechend behandelt. Die Provider haben da schon fähige Systemadministratoren davor sitzen haben.

Beispiel mit der Kamera - Kamera werden wohl kaum DER Beweis sein. Da werden auch Zeugen hinzugezogen :)
 
Zuletzt bearbeitet:

Wolfpaxx

Cadet 3rd Year
Ersteller dieses Themas
Dabei seit
Apr. 2009
Beiträge
47
"Glauben"... Ja, ich "glaube" z.B. daran, dass eine 76-jährige ohne WLAN-Infrastruktur mit einem einfachen Rechner, an dem sie nur E-Mails checkt, keine Porno-Filmchen mehr aus einer Tauschbörse zieht. Vielleicht kommt auch der Umstand hinzu, dass sie zu dem Zeitpunkt im Krankenhaus und der Rechner aus war. Hier "glaube" ich vielmehr an einen Erfassungsfehler. Ob beim DHCP oder nicht vielleicht doch beim Übertrag der IP, sei dahingestellt.

Dabei liegt die Beweislast auf Seiten derer, die behaupten, der Anschluss wäre zum fragwürdigen Zeitpunkt dir zugewiesen gewesen. Der Beweis wird nicht erbracht, sondern als Tatsache vorausgesetzt.

Aber ich finde es faszinierend - auch du sagst: "Das ist groß, das ist mächtig, deswegen muss automatisch alles richtig sein und es können pauschal nur fähige Leute daran sitzen."
Gerade als Fachinformatiker Systemintegration solltest du wissen, was manchmal für Pfeifen an den neuralgischsten Punkten sitzen... :freak:
 

Silent1337

Lieutenant
Dabei seit
Feb. 2009
Beiträge
948
Ja das sage ich. IT Unternehmen lassen wohl kaum kritische Systeme "einfach so" laufen. Die sind sich ja auch bewusst, das Behörden gerne mal anfragen und entsprechende (korrekte) Auszüge wollen.
Ich kann lediglich aus meinem Umfeld sprechen....

Du musst beachten, welche Infrastruktur nach deiner Telefondose steht. Die DHCP Server werden ja oft gar nicht von deinem eigentlichten Provider betrieben, sondern vom jeweiligen Besitzer des IP Pools.
Meine IP gehört zum Beispiel der Telekom.
Behörden werden also dort anfragen (wenn sie einen Grund hätten :D) und nicht bei meinem eigentlichen Provider (1&1). Dann gucken die in der Datenbank nach und sagen: "Aha der ist bei 1&1"
 

Wolfpaxx

Cadet 3rd Year
Ersteller dieses Themas
Dabei seit
Apr. 2009
Beiträge
47
Juhu, und schon wird wieder über die rechtlichen Gegebenheiten diskutiert und meine technische Frage in den Hintergrund gerückt.

Aber Doc Foster, du hast recht, das muss der Verteidiger machen!

Dafür braucht der Verteidiger jedoch technische Infos!

Deswegen fragt euch der Verteidiger ein letztes Mal: :)

Besteht eine technische Notwendigkeit für einen DHCP-Server, zeitsynchron mit den Clients oder einem anderen übergeordneten System sein, um seine Arbeit (die Zuweisung von Leases) zu verrichten? Wenn ja, woraus geht die Notwendigkeit hervor?
 

TnTDynamite

Captain
Dabei seit
März 2007
Beiträge
4.000
Also selbst bei den meisten mittelständischen Unternehmen kommt die Uhrzeit nicht von der Armbanduhr des Admins, sondern z.B. von einem dieser Server. Alle technisch bedingten Ungenauigkeiten die da auf dem Weg aufs Papier, dass dann im Gericht vorliegt vorkommen könnten, sollten < 0,5 Sekunde und somit schwer als Argument zu verwenden sein.

Eine technische Notwendigkeit das so zu machen, gibt es meines Wissens nicht, aber das lässt sich ja nachvollziehen ob das im konkreten Fall so gehandhabt wird.

Edit: Und ausgerechnet nach dem Post von LeChris zu schreiben, es kämen keine fachkundigen Beiträge, finde ich etwas unpassend? Solange du nicht liest "es gibt (k)eine technische Beschränkung auf DHCP-Servern, die es verbietet die Uhrzeit manuell zu manipulieren", sind alle Beiträge unqualifiziert?

Die Messgeräte die bei der Polizei zum "Blitzen" verwendet werden, werden ja auch nur einmal geeicht und können später Schaden nehmen und werden dennoch oft als Beweismittel anerkannt.

Also auf die fett formatierte Frage: Meines Wissens nein. Aber wird das auf die gelebte Praxis anwendbare Argumente liefern? Eher nicht, würde ich meinen.
 
Zuletzt bearbeitet:
Top