Jump to content
branetre

Intruz w sieci - Jakie kroki podjąć

Rate this topic

Recommended Posts

branetre

Zostałem ostatnio wezwany do dość poważnej awarii drukarki przy której okazało się że w sieci ktoś jest i ma kontrolę nad każdym sprzętem.

Sprawa dość poważna ponieważ haker miał fizyczny dostęp do komputerów i nieograniczony czas pracy na nich (ot taki zwolniony informatyk). Okazało się że po utraceniu swojej posady dość poważnie przestraszył kadrę, wraz z właścicielem firmy, oznajmiając że widzi co robią w biurze, znając ich ruchy po okolicy, słysząc ich rozmowy i mając pełny podgląd na wpisywane znaki. Nie można go lekceważyć ponieważ jest dość biegły w sprawach zabezpieczeń, a na dodatek zakochany w żonie właściciela (wiem, zaleciało melodramatem).

 

Jakie środki poczyniłem.

Zaplanowałem wraz z pracownikami blackout na kilka godzin i odłączyłem komputery od sieci. Przygotowałem w tym czasie, w niezależnej sieci router i poustawiałem go pod dane klienta, dbając o blokowanie portów i tworząc separowane sieci. Zadbałem też o zmianę hasła wifi z racji możliwości dostania się w okolice firmy i ponownego włamania do sieci. Następnie przeskanowałem wszystkie komputery (win 7 / win 8.1)) Oprogramowaniem takim jak Anti Malware, zmieniłem atywirusa z racji możliwości poustawianych wykluczeń itp. Ciągle posiłkując się poleceniem netstat -ano i porównywując nawiązane połączenia z procesami. Zadbałem o oczyszczenie systemu ze zbędnego oprogramowania. Zaproponowałem zmiane haseł do wszystkich kont używanych na urządzeniach mobilnych i kont firmowych. Powyłączałem lokalizację. Efekty były zdumiewające. Każdy komputer miał po dwa keylogery i trojana który był wykluczony z antywirusa. Dodatkowo porobione tunele VPN. Pomijając standardowy syf, to te były strategicznie zaplanowane.

 

Jakie można jeszcze środki zapobiegawcze wprowadzić do zaatakowanego klienta ? Napastnik jest bardzo zdesperowany i posiada dość potężną wiedzę. Miałem się z nim przyjemność przeganiać jak zjadał pliki i próbował mi zablokować dostęp do routera.

 

Z góry za pomoc dziękuje.

Edited by branetre

Share this post


Link to post
Share on other sites
house

@branetre to tak for real ? :) Najważniejsze to odseparowanie go i wycięcie komunikacji - co już zrobiłeś. Nie liczyłbym na darmowe produkty do czesania potencjalnych zagrożeń, ewentualnie : 

You do not have the required permissions to view the link content.

Porozmawiaj z właścicielem nt wdrożenia czegoś płatnego np McAfee DLP itp. Nie stykasz się ze zwolnionym informatykiem nieszczęśliwie zakochanym w żonie właściciela, a z potencjalnym ryzykiem utraty danych. Pytanie tylko, ile ten ktoś już zdążył napsuć i ile warte jest dla pana prezesa ryzyko. 

1 godzinę temu, branetre napisał:

Miałem się z nim przyjemność przeganiać jak zjadał pliki i próbował mi zablokować dostęp do routera.

co to za router ? SOHO czy business ? Musisz zastosować jakąś bramkę IDS / IPS aby zapanować nad ruchem w obie strony. Na początek router, potem hasła, a na koniec stacje użytkowników. 

  • Like it 1

Share this post


Link to post
Share on other sites
branetre

Tak to real . Właśnie w tym problem że router to byle jaki dlink z którego ... Przedstawiłem że koszta wdrożenia zabezpieczeń na poziomie to około 5,000zł Jego mina bezcenna (szczególnie ta po spojrzeniu żony) Prawdopodobnie dziś pojadę tam z serwerem synology mając na celu wdrożenie backup na dane w minimum raid1 a sprawa sprzętowego firewall zostanie do ... Mam nadzieje że nie będzie powtórki z rozgrywki, choć nie ukrywam że to dość ciekawe zjawisko.

Edited by branetre

Share this post


Link to post
Share on other sites
Idanit
2 godziny temu, branetre napisał:

że po utraceniu swojej posady dość poważnie przestraszył kadrę, wraz z właścicielem firmy, oznajmiając że widzi co robią w biurze, znając ich ruchy po okolicy, słysząc ich rozmowy i mając pełny podgląd na wpisywane znaki.

na początek powiadomił bym organy ścigania, jak się nim zainteresują to może zmięknie mu rura.

You do not have the required permissions to view the link content.

2 godziny temu, branetre napisał:

a na dodatek zakochany w żonie właściciela

no chyba, że ma takie informacje z którymi ani szef ani tym bardziej żona nie chcą się dzielić. :ohmy:

Edited by Idanit

Share this post


Link to post
Share on other sites
branetre

Nie wiesz jak bardzo to jest skomplikowane. Firma stanie na kilka tygodni zanim śledczy zrobią kopie dysków w 17 kompach, 4 laptopach, 3 tabletach i 7 telefonach ... No i jak tu zachęcić żonę prezesa do skopiowania :rolleyes2: hahaha .

 

Znalazłem darmowe rozwiązanie. Szkielet już mam Wdrożenie tego jako obserwator IDS to też nie problem. Nie mogę zrobić automatu bo stracę klienta. Trzeba się pokazać raz na jakiś czas :D

You do not have the required permissions to view the link content.

Edited by branetre

Share this post


Link to post
Share on other sites
Idanit
27 minut temu, branetre napisał:

Nie wiesz jak bardzo to jest skomplikowane. Firma stanie na kilka tygodni zanim śledczy zrobią kopie dysków w 17 kompach, 4 laptopach, 3 tabletach i 7 telefonach ...

Wersja z przed edycji bardziej mi się podobała :-p

Fakt nie wiem, ale nie sądzę żeby było to aż tak skomplikowane.

Wiem jednak, że skoro zadał sobie aż tyle trudu to wygląda mi albo na desperata albo widzi w tym interes dla siebie. A jak wiadomo desperat jest nieobliczalny a apetyt szantażysty rośnie w miarę jedzenia, co doprowadzić może nie do zamknięcia firmy na dzień, kilka czy kilkanaście... ale na stałe. 

Share this post


Link to post
Share on other sites
house
1 godzinę temu, branetre napisał:

Właśnie w tym problem że router to byle jaki dlink

dlaczego mnie to nie dziwi :/

1 godzinę temu, branetre napisał:

Jego mina bezcenna (szczególnie ta po spojrzeniu żony)

powiedz Panu, że albo rybki albo akwarium. Bez kosztów nie da się zabezpieczyć sieci, tym bardziej, że to poniekąd inside job. 

56 minut temu, Idanit napisał:

na początek powiadomił bym organy ścigania

to już nie jest rola @branetre, zgłosić to powinien właściciel. Do tego trzeba być na czysto z licencjami na software. Kasowanie plików to przestępstwo przeciwko mieniu, w tym przypadku podmiotu gospodarczego. 

37 minut temu, branetre napisał:

No i jak tu zachęcić żonę prezesa do skopiowania

to część najbardziej mnie zaciekawiła :D

 

38 minut temu, branetre napisał:

Znalazłem darmowe rozwiązanie. Szkielet już mam Wdrożenie tego jako obserwator IDS to też nie problem.

można i tak... bezkosztowe wdrożenie odbije im się czkawką później.  

  • Like it 1

Share this post


Link to post
Share on other sites
branetre

Jak dla mnie to firma na sznurkach ... Po kosztach i byle tylko. Samo zaproponowanie im serwera na dane to było 2h mojego gadania (zupełnie jakbym chciał sprzedać produkt własnego autorstwa) Mają jakiegoś (podobno) kumatego gościa który potrafi ale jak mu się pokaże. Zobaczymy :my_cool:

Share this post


Link to post
Share on other sites
house

W takim razie z takimi "januszami" dałbym sobie spokój, niech cierpią :)

 

  • Like it 2

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.


  • Recently Browsing   0 members

    No registered users viewing this page.

  • Similar Content

    • wds
      By wds
      Witam,

      Posiadam router Asus RT-AC68U i zastanawiam się, jak zrobić to, żeby była widoczna tylko jedna sieć Wifi, bo obecnie mam dostępne dwie sieci w wyszukiwaniu, ta która ma 2.4 Ghz i ta, która ma 5 GHz. 
    • neon
      By neon
      Witam,
       
      moglibyście doradzić czym można sprawdzić sieć - dokładnie czy kable, gniazda Rj45 w ścianach i zakończenia gniazdami Rj45 w skrzynce działają prawidłowo ? 
      czy sam tester kabli sieciowych najtańszy z aledrogo wystarczy ?
       
      Pozdrawiam
    • mihaszek
      By mihaszek
      Prosze o pomoc, kupilem ac86u - mam juz trzeci(wymienialem)... W zadnym przy odsobnych sieciach w sieci 5ghz nie moge ustawic na stale kanalu. Np. Ustawiam 112 i nastepnego dnia jest juz na 48. Dzwonilem do asusa nie umieli mi pomoc. Dodam ze jak jest na tym 48 kanale to w asuswrt/merlin(tez testowalem) pokazuje dalej ze jest kanal 112... - sprawdzane w wifi analizer. Chcialbym zostac przy tym routerze bo mysle o drugiej sztuce i aimash, ale koncza mi sie pomysly co z tym zrobic. Mysle coraz bardziej o r7800... Pozdrawiam

      Wysłane z mojego LG-H870DS przy użyciu Tapatalka


openitforum.pl

Forum poświęcone przesyłaniu i przechowywaniu danych w małej sieci.
Prezentujemy testy urządzeń oraz pomagamy w ich obsłudze i konfiguracji.
×
×
  • Create New...

Important Information

We use cookies for purposes related to advertising, social media and statistics. By continuing to browse this site, you agree to our use of cookies. All information required in this matter includes: Privacy Policy, Guidelines and Terms of Use.