Wie kann die Polizei bei der Beschlagnahme meines PCs wissen, ob ich gewisse Emails verschickt habe?

5 Antworten

Mark Berger
Von gutefrage auf Grund seines Wissens auf einem Fachgebiet ausgezeichneter Nutzer
Pentester, Datenretter & IT-Forensiker
12.03.2023, 07:53

Es kommt drauf an - allein in Windows gibt es weit über 100 verschiedene Artefakte die man auswerten kann. Damit lässt sich zumindest beweisen, dass du zu einem bestimmten Zeitpunkt in TOR-Netzwerk warst.

Anhand der Email sieht man, dass diese über TOR verschickt wurde. Natürlich waren viele andere auch zu der Zeit über TOR online. Daher muss man schauen was mit anderen Artefakten noch an Zusatzinformationen aufzudecken wäre.

Bestimmte Bilder oder Anhänge haben wieder eigene Artefakte und hinterlassen wiederum andere Spuren auf einem System.

Ohne die Daten zu sehen ist es schwer aber so eine Untersuchung dauert auch zwischen dutzenden Stunden bis weit über 100 Arbeitsstunden.

Bedenke auch, dass es Logs an anderer Stelle gibt:

  1. der Webmail dienst könnte zB noch Aufzeichnungen von vorangegangenen Logins haben - hast du dich irgendwann mal ohne TOR eingeloggt kann das noch aufscheinen.
  2. Punkt 1 kann auch spuren auf deinem Rechner hinterlassen habe - Cookies, Verlauf, etc.
  3. Analyse der Sprache wäre denkbar - spezielle Sprachmuster, typische Rechtschreibfehler, usw.
  4. Abgesehen davon kommt es auf den Mail-Inhalt an... Ich nachvollziehbar, dass du diese Informationen / Dateien / sonstwas hattest? usw.
  5. Allein schon deine Frage hier lässt dich schuldig aussehen. Und GF kann wieder ein Serverlog haben und es bleiben Spuren nach deinem Besuch auf deinem PC.
  6. usw.
Woher ich das weiß:Berufserfahrung – Datenretter & IT-Forensiker (seit 2018)
lagordi22ki 
Fragesteller
 12.03.2023, 10:31

Macht man das auch beim Vorwurf: Beleidigung/Verleumdung?

0
Mark Berger  12.03.2023, 10:41
@lagordi22ki

Kommt drauf an wie der Staatsanwalt drauf ist... Das kann dir keiner sagen. Wenn er die Kosten freigibt dann wird es gemacht!

1
Zortah123  30.11.2023, 01:05

Was wären diese 100 Artefakte? (möglichst vollständige Liste)

Oder gibt es eine Infoseite / Literatur wo man das nachlesen kann?

0
Mark Berger  30.11.2023, 01:46
@Zortah123

Guck in die Dokumentation gängiger IT Forensik Tools - FTK, EnCase, Belkasoft X, ...

0
MxHoeppi
12.03.2023, 04:59

Unmöglich ist es nicht aber es wird sehr schwierig. Und ob sie dann überhaupt noch was finden ist ne andere Sache.

Aber anscheinend hat ja alles sein Grund warum sie dein Rechner mitgenommen haben und du schon hier nach fragst😏
lagordi22ki 
Fragesteller
 12.03.2023, 05:00

Bisher haben sie das nicht getan. Vermutlich weil sie auch wissen, dass es nichts bringt :D

0
LouPing  12.03.2023, 10:48
@lagordi22ki

Ahmed, Hase - jeder e- mail hängen verdammt viele Daten an. Die Polizei braucht deinen PC nicht, es reicht wenn der Empfänger den du angeblich belästigst die mail zur Überprüfung freigibt.

Man erkennt dich hier SOFORT - das kann auch T verhindern.😁

1
NackterGerd
12.03.2023, 09:31

Jeder Rechner hinterlässt Spuren

Und Mails werden ja über den Mailserver verschickt

Dort ist die Mail ja garantiert nachvollziehbar

Mark Berger  12.03.2023, 10:05

Ganz so einfach ist es nicht - es gibt spuren aber TOR reißt quasi ein Loch in die Kette. Es gilt dann also die Teile vor und nach dem Loch wieder auf eine andere Art als über die IP Adresse zu verbinden.

Es ist also durchaus schwerer aber nicht unmöglich. Dennoch gibt es keine allgemein gültige Methode. Das Vorgehen hängt von Fall zu Fall ab.

0
LouPing  12.03.2023, 10:50
@Mark Berger

Der Ahmed hat hier hunderte gebannte Accounts, keiner wird älter als 2 Stunden ....ihn erkennt man über andere Wege ganz sicher.

1
DerBayer80
12.03.2023, 05:43

Hallo Achmed, das ist überhaupt kein Problem. Selbst mit Thor oder anderen Mitteln hinterlässt du überall deinen digitalen Fingerabdruck und bist nachvollziehbar.

Steffile
12.03.2023, 06:09

Das geht mit hoher Wahrscheinlichkeit, denn sie koennen im header der Email einiges sehen , z.B. DASS du mit Tor gesendet hast, und WANN.

lagordi22ki 
Fragesteller
 12.03.2023, 06:19

Tor ist nicht verfolgbar. Zahlreiche Nodes!

0
Steffile  12.03.2023, 06:24
@lagordi22ki

Es gibt aber viele Datenpunkjte ausserhalb. Der email header kommt ja beim Empfaenger an, egal mit wem du sie geschrieben hast.

2
lagordi22ki 
Fragesteller
 12.03.2023, 06:38
@Steffile

Email-Header wird eine IP von Exit-Node darlegen.

Tor-Browser hat aber 3 Nodes zwischen mir und Exit-Node.

Mein ISP kennt erst-Node- IP.

Ich - Node 1 - Node 2 - Node 3.

Node 2 ist ein Hindernis.

0
Steffile  12.03.2023, 09:34
@lagordi22ki

Dass du jetzt aus dem Internet ziterst, bedeutet nicht dass du das Thema verstehst, und das brauchst du ja auch nicht. Bloss, wenn du schon fragst, dann hoer doch auf die Antwoeten, auch wenn sie dir nicht gefallen.

4
Mark Berger  12.03.2023, 10:07
@NackterGerd

Ja der Header verrät einiges aber das hilft dir in dem Fall wenig denn die IP, die der Header verrät und diverse andere Dinge kannst du so nicht 1:1 auf den Verursacher zurückverfolgen sondern nur über andere Umwege.

2
Mark Berger  12.03.2023, 10:11
@NackterGerd
Die Mail muss ja einen Header haben und der verrät sehr viel.

Stell es dir vor wie einen Brief - der kann DNA-Spuren von anlecken des Klebers haben und Fingerabdrücke vom Schreiben. Wenn du den Brief diktierst und ein anderer den für dich schreibt, dann sind das aber weder deine DNA noch deine Fingerabdrücke.

Bei Tor kommt hinzu, dass derjenige der das für dich im Auftrag macht dich selber auch nicht kennt und auch keine Auszeichnungen führt was er für wen macht.

Du kannst aber andere Ansätze verfolgen - zB die Informationen - wer könnte diese bestimmten Informationen gehabt haben? Oder den Schreibstiel - wer drückt sich so aus? usw.

Weitere Ansätze siehe meine Antwort.

4
Mark Berger  12.03.2023, 17:06
@NackterGerd

In dem Fall schon. Ich mache diese Dinge schließlich beruflich und habe sogar ein Buch zum Thema IT-Forensik veröffentlicht.

Wenn du die Email über deine IP verschickst hast du recht.

Über Tor hast du mehrere Stationen dazwischen das ist also dann so wie von mir beschrieben - Du hat den Brief niemals angefasst, daher sind weder DNA noch Handschrift noch Fingerabdrücke von dir.

So wie ein Brief spuren enthalten kann, enthalten die Email-Header auch spuren. Aber vom Absender und nicht von dem der den Absender über weitere Mittelsmänner beauftragt.

TOS stellt für IT-Forensiker eine große Herausforderung dar weil es einfach eine "Blackbox" ist durch die einige Informationen fehlen. Daher muss man diese Lücke durch andere Wege schließen oder auf einen Fehler des Verdächtigen warten bzw. diesen Fehler finden.

0
Mark Berger  12.03.2023, 17:40
@Mark Berger

Aber wenn du meinst es geht - dann hier der Quellcode einer Email, die ich ich über Tor geschickt habe.

Email-Adressen wurden verändert der Rest original. 

Return-Path: <m3g4h4xx0r@will-auch-keinen-spam.com>
X-Original-To: ich@will-keinen-spam.com
Delivered-To: m06702ab@dd28734.kasserver.com
Received: from mxh.seznam.cz (mxh.seznam.cz [77.75.78.212])
	by dd28734.kasserver.com (Postfix) with ESMTPS id 28A94E260A8F
	for <ich@will-keinen-spam.com>; Sun, 12 Mar 2023 17:34:18 +0100 (CET)
Authentication-Results: dd28734.kasserver.com;
	dkim=pass (2048-bit key; unprotected) header.d=post.cz header.i=@post.cz header.a=rsa-sha256 header.s=szn20221014 header.b=OaWqEV8z;
	dkim-atps=neutral
Received: from email.seznam.cz
	by smtpc-mxh-76d89fd7f-4gwvk
	(smtpc-mxh-76d89fd7f-4gwvk [2a02:598:128:8a00::1000:5d6])
	id 63231df67ae200ff6622df2b;
	Sun, 12 Mar 2023 17:34:17 +0100 (CET)
DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=post.cz;
	s=szn20221014; t=1678638857;
	bh=erclAeP2FYrgPiEglbINrDAdjVeJtAGpT4kz0ypFj7Q=;
	h=Received:From:To:Subject:Date:Message-Id:Mime-Version:X-Mailer:
	 Content-Type;

b=OaWqEV8zmfO/Mw0z5N2hMoZEb6M5rGDUFyeoqvEqACMk0ZJkjW44MOpw+mEWMBMr8
	 pcTg7+8p6oLl4auWMjDuh3FKpR6g65k22f2yYxL8R4K7XGtiCO8JxtmAx2zmgbpNle
	 CY2R0iam4OY7KuMJ0E8gzld0eKawKoxuf/NqZewYzBnzgN9hO+1aplAXCWTkL2YDmP
	 nzGmIIEBHA0eW+jv/Lq68sBIk1szPImk2qbKK8CaJ7Hca7ittxRTlgk/oF5r9UyN/k
	 tjG9i2WcPDubTvTKwC/lAw4BAQBuyGuiCWlElRCXBHeAbrxtkZDGqhbc9GOnTayJJm
	 8zJLA4QyDpNWA==
Received: from readme-tor-exit-eflat.torbarbershop.info
	(readme-tor-exit-eflat.torbarbershop.info [51.195.166.195])
	by email.seznam.cz (szn-ebox-5.0.139) with HTTP;
	Sun, 12 Mar 2023 17:34:16 +0100 (CET)
From: <m3g4h4xx0r@will-auch-keinen-spam.com>
To: <ich@will-keinen-spam.com>
Subject: Finde meine echte IP heraus
Date: Sun, 12 Mar 2023 17:34:15 +0100 (CET)
Message-Id: <1}r.50Skr.2n5SbPZCN0A.1a3Vy7@seznam.cz>
Mime-Version: 1.0 (szn-mime-2.1.26)
X-Mailer: szn-ebox-5.0.139
Content-Type: multipart/alternative;
	boundary="=_7404df40128112052373805f=8519b07c-ec2a-5283-b61f-ff2d765f6de8_="
X-KasLoop: m06702ab


--=_7404df40128112052373805f=8519b07c-ec2a-5283-b61f-ff2d765f6de8_=
Content-Type: text/plain;
	charset=utf-8
Content-Transfer-Encoding: quoted-printable

Sie beginnt mit 84...

Viel Gl=C3=BCck!
--=_7404df40128112052373805f=8519b07c-ec2a-5283-b61f-ff2d765f6de8_=
Content-Type: text/html;
	charset=utf-8
Content-Transfer-Encoding: quoted-printable


<html><body><div>Sie beginnt mit 84...</div><div>Viel Gl=C3=BCck!</div></b=
ody></html>
--=_7404df40128112052373805f=8519b07c-ec2a-5283-b61f-ff2d765f6de8_=--
0