[HaBo]

Timy

Hi,
hab's schon mit der Suchfunktion ausprobiert, aber hat mir nicht wirklich die Loesung gebracht - eventuell liegt das am "beginners (bad)luck"

Also....
Mein Chef ist so ein richtiger Kontrollfreak...wirklich. Er fragt auch lieber andere Personen ueber mich aus, als dass er mich einfach selbst fragt. Das alles ist nicht mein business und ich wundere mich im hoechstfall ueber ihn aber vor einigen Monaten hatte ich das Gefuehl jemand haette Zugang zu meinen Emails. Danach wechselte ich das Passwort und letzte Woche das Gleiche wieder. Und er hatte mir noch so hoeflich angeboten ich koenne ruhig meine Emails von meinem FirmenPC aus checken.

100% sicher bin ich mir aber nicht, koennte auch gewoehnliche Paranoia sein...
...und ich weis auch das ein solches ausspionieren in Deutschland ohne Vorankuendigung verboten ist - und genau da liegt das Problem, ich arbeite nicht in Deutschland.

Gibt es eine Moeglichkeit (bitte nicht Ausbau der Festplatte, Formatierung oder Gegenueberwachung des Chefs...)
herauszufinden ob mein Computer ueberwacht wird und welche Informationen gesammelt werden?
Optimal waere das sichere Wissen, nichtmal das Verhindern.
In diesem Fall koennte ich meinem Chef vielleicht "ein Stueck weit in den A kriechen" uuuwwa, schon bei der Vorstellung wird mir schlecht.

Folgendes habe ich schon probiert:
KL-Detector, sucht nach Dateien die sich waehrend dem Arbeiten am Computer veraendern...
Keylogger Killer, fuehrt lediglich einen schnellen scan durch...

Beide Programme finden auffaellige Dateien... aber...wie erkenne ich ob es sich um ernsthafte threats handelt oder nur um gewoehnliche Datensammlung von Windows?

Hoffentlich koennt ihr mir hier helfen.
Persoenliche Emails lesen geht echt zu weit...

Danke schonmal, Tim

Knoxx

Scanne den PC mal mit HijackThis (bzw hier gibts die aktuelle Beta-Vesion) und poste das Log hier.

Rufst du deine Mails über eine verschlüsselte Verbindung ab? Evtl überwacht dein Chef ja auch nur den Netzwerkverkehr.
Möglichkeiten zur Überwachung gibts ja wie Sand am Meer.

Timy

Ja, das werde ich dann mal machen...

Uebrigens faellt mir da noch ein...
zufaelligerweise kenne ich des Admin-Passwort. Koennte das eventuell helfen?

fetzer

Warum schaust du nicht einfach in den Gesetzbüchern des Landes, indem du arbeitest, ob es dort nicht auch illegal ist? Wenn es illegal ist und du den Verdacht hast abgehört zu werden, dann würd ich es halt einfach lassen, bzw nur verschlüsselt über das eigene Notebook o.ä. realisieren, sodass nur du Zugriff auf die Emails haben kannst.

Wenn es denn illegal sein sollte, erstell dir einfach mal nen Fake Account und sende einige Emails an diese Adresse, in der du etwas über deinen Chef oder deine Arbeit schreibst. Sollte er dich darauf ansprechen ( und das muss er in speziellen Fällen ) hast du den sicheren Beweis.

lightsaver

ich denke mal, deine möglichkeiten hängen auch sehr davon ab, wie bei euch die computer und das netzwerk aufgebaut ist. da wären also schon einige infos wichtig:
- hast du nur einen einzelplatz-pc ohne netzwerk (soll es ja z.b. in kleineren firmen geben)
- ist es ein ganz einfaches netzwerk ohne server, also alle rechner einfach an einem router der ins i-net geht
- ist es ein netzwerk mit server und domänen wo du dich dann einloggst.
- was für emails kann er lesen? rufst du die einfach über ein webinterface ab und lädst die nicht auf deinen rechner (bei privaten mails) oder hast du ein programm (z.b. oe) womit du die runterlädst? oder habt ihr einen mailserver worüber die vielleicht laufen

vielleicht fallen dir auch noch mehr nützliche infos ein. ich denke aber mal, dass für die meisten fälle hjt hier nicht wirklich was aufzeigen wird, aber werden wir ja dann im log sehen

zero-9

mal ne andere möglichkeit: vllt ist es gar kein software- sondern ein hardwarekeylogger, denn dann kjannst du dir sämtliche software sparen. guck einfah mal hinten am PS/2 oder USBport (je nachdem worüber die tastatur verbunden ist), ob da zwischen port und tastaturanschluss, was zwischengesteckt ist.

DSX

Also soweit ich das verstanden hab denkst du, dass er deine privaten E-Mails mitliest?

Viele E-Mail Anbieter zeigen auf der Startseite an wann der letzte Login war. Schreib dir das doch einfach mal ne Zeit lang auf.

Grundsätzlich: siehe lightsaver's Post. Mit mehr Informationen kann man dir mit Sicherheit besser Helfen

bitmuncher

Es ist ziemlich unmöglich rauszubekommen, ob man überwacht wird, da die Überwachung auch im Router oder einem sonstigen Gatewayrechner oder mittels entsprechender Zusatzhardware stattfinden kann und nicht im Arbeitsplatzrechner stattfinden muss. Eine gut gemachte hardwareseitige Überwachung wirst du z.B. nur finden, wenn du den Rechner auseinander nimmst und dort sämtliche Anschlüsse auf verdächtige Zwischenstücke an den Buchsen absuchst.

Sollte allerdings irgendwie rauskommen, dass er es tut, würde ich ihn dazu auffordern das bleiben zu lassen unter dem Hinweis, dass er sich damit strafbar macht, wenn in deinem Arbeitsvertrag keine entsprechende Klausel existiert, dass er deine Netzwerkaktivitäten überwachen darf oder dass du den Internetzugang nicht privat nutzen darfst. Postgeheimnis gibt es in allen EU-Ländern und Emails fallen unter dieses.

__________________

Timy

Ja, schonmal vielen Dank fuer die vielen Anregungen,

Hardwarekeylogger schliesse ich auf jeden Fall aus, denn da ist nichts zu sehen.

Fake-Emails zu erstellen um ihn zu einer Reaktion darauf zu fuehren schaetze ich als eher ineffektiv ein - mein Chef ist kein Dummkopf.

Und sowiso, Emails lesen waere nur die Spitze, die kann ich von Zuhause aus checken. Es geht mir im Allgemeinen darum welche Daten er evtl. ueber mich sammelt. (Ich bin ja auch kein Engel und biete waehrend der Arbeit schonmal bei Ebay mit oder lese die neusten Nachrichten von Deutschland...).

Die Funktion, dass yahoo mir die Uhrzeit des letzten Besuches anzeigt habe ich noch nicht gefunden, hatte naemlich selbst schon daran gedacht.

Und ich bin mir auch sicher, dass selbst Australien ueber Gesetze zum Datenschutz verfuegt, aber ich bin noch ziemlich neu hier und naja, ich waere mir doch lieber 100% sicher bevor ich jemanden beschuldige...

Am Montag werde ich HIJACKTHIS ausprobieren, vielleicht hilft's.
Ich gebe dann auch detaillierte Info (Netzwerk-PC, Server, persoehnliches Passwort, pers.FirmenEmail aber private Emails getrennt ueber yahoo-Webseite).

Danke nochmal

Banur

Hab grad was dazu gefunden:
Link


Scheinbar ist es legal, seine Mitarbeiter zu überwachen.

Whesker.

Wenn du auf Firmen PC deine E mails abrufst und Seite mit Passwort gespeichert wird dann kan doch jeder Arbeiter deine E mails abrufen.

Oder wenn du firmen e mail hast zb. ertf@firma.de dann kann Chef an deine Passwörter kommen.

Also wenn du dich auf bösen Seiten mit deine firmen E Mail regestriert hast, dann kannst du Ärger kriegen.

Timy

Also:
ich beutze einen NetzwekPC,
verbunden mit einem Server(wie auch alle anderen Comp's),
wenn ich meinen Comp. starte, logge ich mich mit persoenlichem Passwort ein.
Mein Chaf hat allerdings alle Rechte fuer sein Konto eingetragen - mit anderen Worten: wann immer er will hat er Zugriff auf saemtliche auf meinem PC befindliche Dateien und Daten, selbst auf die Geschaeftsemails.

-darueber bin ich mir auch voll bewusst-

Um meine privaten Emails zu checken logge ich mich auf einer Internetseite in mein priv. Emailkonto ein. Diese Emails lade ich nie auf den FirmenPC.

Die Frage war auch mehr allgemein gedacht.
Manchmal schreibe ich pers. Briefe im Geschaeft, drucke sie aus und loesche die Datei direkt wieder(auch im Papierkorb-Ordner).
Wie schon zuvor gesagt besuche ich manchmal Webseiten auf denen mein Passwort abgefragt wird.
Browse das Web oder spiele Solitaire wenn's mir langweilig ist...
...ganz normal halt.

-kann er solche Sachen nachvollziehen oder mitlesen???-
__________________________________________________ __________________
HIER UEBRIGENS MAL DIE HIJACKTHIS LOGFILE
__________________________________________________ __________________
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 1:16:06 PM, on 17/03/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.1660
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\CA\CA Internet Security Suite\CA Anti-Virus\ISafe.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\CA\CA Internet Security Suite\CA Anti-Virus\VetMsg.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\AOpen\Mouse\Amoumain.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\CA\CA Internet Security Suite\cctray\cctray.exe
C:\Program Files\CA\CA Internet Security Suite\CA Anti-Virus\CAVRID.exe
C:\Program Files\Messenger\msmsgs.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
C:\Program Files\CA\CA Internet Security Suite\ccprovsp.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\WISPTIS.EXE
C:\Program Files\SPLT2000\2007\SPLT2000.exe
C:\Program Files\AutoCAD LT 2007\ACADLT.EXE
C:\DOCUME~1\tim\LOCALS~1\Temp\AdskCleanup.0001
C:\Program Files\Common Files\Autodesk Shared\Service\AdskScSrv.exe
C:\Program Files\Common Files\Autodesk Shared\WSCommCntr1.exe
C:\Program Files\Microsoft Outlook\OFFICE11\OUTLOOK.EXE
C:\WINDOWS\system32\wuauclt.exe
E:\HiJackThis202.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://companyweb/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://companyweb
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
O4 - HKLM\..\Run: [AlcxMonitor] ALCXMNTR.EXE
O4 - HKLM\..\Run: [Synchronization Manager] %SystemRoot%\system32\mobsync.exe /logon
O4 - HKLM\..\Run: [WheelMouse] C:\PROGRA~1\AOpen\Mouse\Amoumain.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\\NeroCheck.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [cctray] "C:\Program Files\CA\CA Internet Security Suite\cctray\cctray.exe"
O4 - HKLM\..\Run: [CAVRID] "C:\Program Files\CA\CA Internet Security Suite\CA Anti-Virus\CAVRID.exe"
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNo tifier.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Program Files\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: AutoCAD LT Startup Accelerator.lnk = C:\Program Files\Common Files\Autodesk Shared\acstart17.exe
O4 - Global Startup: Microsoft Find Fast.lnk = C:\Program Files\Microsoft Office\Office\FINDFAST.EXE
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O14 - IERESET.INF: START_PAGE_URL=http://companyweb
O16 - DPF: {200B3EE9-7242-4EFD-B1E4-D97EE825BA53} (VerifyGMN Class) - http://h20270.www2.hp.com/ediags/gmn...taller_gmn.cab
O16 - DPF: {485D813E-EE26-4DF8-9FAF-DEDF2885306E} (NSHelp Class) - http://server/ConnectComputer/nshelp.dll
O16 - DPF: {640373B0-6978-4FA5-A9FC-420ECBBC61C7} (Web Viewer Class) - file://L:\Drawings\2FROM CLIENT\2006\A6237\PublicWeb\PublicWeb\dll\zkitlib. dll
O16 - DPF: {AB86CE53-AC9F-449F-9399-D8ABCA09EC09} (Get_ActiveX Control) - https://h17000.www1.hp.com/ewfrf-JAV...oadManager.ocx
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = dorar.local
O17 - HKLM\Software\..\Telephony: DomainName = dorar.local
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = dorar.local
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = dorar.local
O23 - Service: Autodesk Licensing Service - Autodesk - C:\Program Files\Common Files\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: CaCCProvSP - CA, Inc. - C:\Program Files\CA\CA Internet Security Suite\ccprovsp.exe
O23 - Service: CAISafe - Computer Associates International, Inc. - C:\Program Files\CA\CA Internet Security Suite\CA Anti-Virus\ISafe.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: VET Message Service (VETMSGNT) - CA, Inc. - C:\Program Files\CA\CA Internet Security Suite\CA Anti-Virus\VetMsg.exe

--
End of file - 5832 bytes

Knoxx

Also softwaremäßig is das alles scheinbar in Ordnung. Ich gehe mal nicht davon aus, dass dein Chef irgendwelche Programme auf diesem Rechner installiert hat um dich zu überwachen.

Blieben noch Netzwerküberwachung und Hardware-Keylogger bspw, aber bei beidem ist der (Kosten-)Aufwand doch recht hoch, von daher halt ich es auch mal für unwahrscheinlich.

Wenn du keine Passwörter lokal speicherst und du deine Mails über eine verschlüsselte Verbindung abrufst (was ja meistens standardmäßig der Fall is bei GMX, Web.de & Konsorten) wird es techn. schon etwas komplizierter deinen Email-Verkehr zu überwachen, und ob sich dein Chef wirklich die Mühe macht?!

Du solltest dir aber bewusst sein, dass die meisten Browser eine History haben, Cookies gespeichert und für fast alles temporäre Dateien angelegt werden. Also einfach Datei löschen und Papierkorb leeren, vernichten zwar die Datei, aber nicht die Information, dass die Datei geöffnet und bearbeitet wurde.

Nichts desto Trotz bist du sowieso auf der sicheren Seite:
CA Internet Security Suite Plus

moveax1

du könntest noch prüfen ob irgendwo im Upstream ein Proxy sitzt

$ host google.de
google.de has address 216.239.59.104

$ telnet 216.239.59.104 80
Trying 216.239.59.104 ...
Connected to linode.
Escape character is ?^]?.
GET / HTTP/1.0
HTTP/1.0 400 Bad Request
Server: squid/2.6.STABLE12

manche proxys benutzen den Hostabschnitt im HTTP Paket um zu schauen wohin du connecten willst. Ein Proxy im Upstream kann natürlich auch Kommunikation mitloggen.

Im hijackthis log ist kein vnc server erwähnt (soweit ich das sehe), das einzige was mir noch einfallen würde ist deine dateien auf dem Firmenrechner sicher zu löschen. Sonst hat dein Chef immer noch die Möglichkeit mit ein wenig Glück die gelöschten Daten wiederherzustellen.

Hier ein paar Tools zu sicheren löschen von Daten:

http://www.zdnet.de/downloads/weekly...ly_481-wc.html

Hmm, was könnte noch getan werden.

Benutze deinen eigenen Browser vom USB Stick (portableapps.com) schalte die History aus, deaktiviere Cookies und lasse Formulare nicht automatisch ausfüllen

gruss moveax1

Timy

So-ja, also,
den Hauptverdacht, dass jemand meine Emails liest hatte ich, da ich mich (ein-zweimal) nicht in mein eigenes account einwaehlen konnte - sehr merkwuerdig...
...und es lag nicht daran, dass ich etwa meinen Namen oder Passwort falsch angab.
Selbst nach mehreren Versuchen - also dachte... ich - eventuell waere yahoo so clever eine zweite Anmeldung abzulehnen...

Ziemlich naiv von mir aber denken soll man ja bekanntlich den Pferden ueberlassen - wegen dem groesseren Kopf.

Also hab' ich's probiert... mein Bruder hat sich an meiner Emailadresse angemeldet, danach ich und wahrscheinlich waeren auch noch 100 weitere Anmeldungen moeglich gewesen, es gibt da anscheinend keine Begrenzung und keine Anzeige um soetwas herauszufinden.

Danke fuer die Hilfe hier und auch fuer die Ueberpruefung der Logfile, tatsaechlich habe ich nun etwas weniger das Gefuehl ueberwacht zu werden. Habe auch mal einen Test gamacht und alle mir zugaenglichen Firmendateien der letzten ca.6 Jahre (nicht wenig) vom Server ueber meinen Computer auf einen Memorystick gezogen. Bin mir ziemlich sicher, dass auf soetwas fristlose Kuendigung und fuer mich Heimreise steht, es kam aber keine Reaktion - bis auf, Zeitgleich erschien auf dem PC-Bildschirm meines Chefs eine Meldung von einem Programm "Dr Watson". Ich kann aber nicht sagen ob es etwas damit zu tun hatte - mein Arbeitskollege(A-kriecher und deshalb Zugang zum Chef-PC) hat sich darum gekuemmert - evtl. wusste der auch nicht was die Meldung bedeutet und hat sie geloescht???

Egal, fuer die Zukunft versuche ich brav zu sein und selbstverstaendlich speichere ich nichts persoenliches mehr und loesche regelmaessig Browserhistory/Papierkorbordner.

Danke nochmal, tolles Forum(board) mit Klasse uebrigens,
Tim