Skocz do zawartości
branetre

Intruz w sieci - Jakie kroki podjąć

Oceń temat:

Rekomendowane odpowiedzi

branetre

Zostałem ostatnio wezwany do dość poważnej awarii drukarki przy której okazało się że w sieci ktoś jest i ma kontrolę nad każdym sprzętem.

Sprawa dość poważna ponieważ haker miał fizyczny dostęp do komputerów i nieograniczony czas pracy na nich (ot taki zwolniony informatyk). Okazało się że po utraceniu swojej posady dość poważnie przestraszył kadrę, wraz z właścicielem firmy, oznajmiając że widzi co robią w biurze, znając ich ruchy po okolicy, słysząc ich rozmowy i mając pełny podgląd na wpisywane znaki. Nie można go lekceważyć ponieważ jest dość biegły w sprawach zabezpieczeń, a na dodatek zakochany w żonie właściciela (wiem, zaleciało melodramatem).

 

Jakie środki poczyniłem.

Zaplanowałem wraz z pracownikami blackout na kilka godzin i odłączyłem komputery od sieci. Przygotowałem w tym czasie, w niezależnej sieci router i poustawiałem go pod dane klienta, dbając o blokowanie portów i tworząc separowane sieci. Zadbałem też o zmianę hasła wifi z racji możliwości dostania się w okolice firmy i ponownego włamania do sieci. Następnie przeskanowałem wszystkie komputery (win 7 / win 8.1)) Oprogramowaniem takim jak Anti Malware, zmieniłem atywirusa z racji możliwości poustawianych wykluczeń itp. Ciągle posiłkując się poleceniem netstat -ano i porównywując nawiązane połączenia z procesami. Zadbałem o oczyszczenie systemu ze zbędnego oprogramowania. Zaproponowałem zmiane haseł do wszystkich kont używanych na urządzeniach mobilnych i kont firmowych. Powyłączałem lokalizację. Efekty były zdumiewające. Każdy komputer miał po dwa keylogery i trojana który był wykluczony z antywirusa. Dodatkowo porobione tunele VPN. Pomijając standardowy syf, to te były strategicznie zaplanowane.

 

Jakie można jeszcze środki zapobiegawcze wprowadzić do zaatakowanego klienta ? Napastnik jest bardzo zdesperowany i posiada dość potężną wiedzę. Miałem się z nim przyjemność przeganiać jak zjadał pliki i próbował mi zablokować dostęp do routera.

 

Z góry za pomoc dziękuje.

Edytowane przez branetre

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach
house

@branetre to tak for real ? :) Najważniejsze to odseparowanie go i wycięcie komunikacji - co już zrobiłeś. Nie liczyłbym na darmowe produkty do czesania potencjalnych zagrożeń, ewentualnie : 

Nie posiadasz wymaganych uprawnień, aby wyświetlać zawartość linków.

Porozmawiaj z właścicielem nt wdrożenia czegoś płatnego np McAfee DLP itp. Nie stykasz się ze zwolnionym informatykiem nieszczęśliwie zakochanym w żonie właściciela, a z potencjalnym ryzykiem utraty danych. Pytanie tylko, ile ten ktoś już zdążył napsuć i ile warte jest dla pana prezesa ryzyko. 

1 godzinę temu, branetre napisał:

Miałem się z nim przyjemność przeganiać jak zjadał pliki i próbował mi zablokować dostęp do routera.

co to za router ? SOHO czy business ? Musisz zastosować jakąś bramkę IDS / IPS aby zapanować nad ruchem w obie strony. Na początek router, potem hasła, a na koniec stacje użytkowników. 

  • Lubię to 1

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach
branetre

Tak to real . Właśnie w tym problem że router to byle jaki dlink z którego ... Przedstawiłem że koszta wdrożenia zabezpieczeń na poziomie to około 5,000zł Jego mina bezcenna (szczególnie ta po spojrzeniu żony) Prawdopodobnie dziś pojadę tam z serwerem synology mając na celu wdrożenie backup na dane w minimum raid1 a sprawa sprzętowego firewall zostanie do ... Mam nadzieje że nie będzie powtórki z rozgrywki, choć nie ukrywam że to dość ciekawe zjawisko.

Edytowane przez branetre

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach
Idanit
2 godziny temu, branetre napisał:

że po utraceniu swojej posady dość poważnie przestraszył kadrę, wraz z właścicielem firmy, oznajmiając że widzi co robią w biurze, znając ich ruchy po okolicy, słysząc ich rozmowy i mając pełny podgląd na wpisywane znaki.

na początek powiadomił bym organy ścigania, jak się nim zainteresują to może zmięknie mu rura.

Nie posiadasz wymaganych uprawnień, aby wyświetlać zawartość linków.

2 godziny temu, branetre napisał:

a na dodatek zakochany w żonie właściciela

no chyba, że ma takie informacje z którymi ani szef ani tym bardziej żona nie chcą się dzielić. :ohmy:

Edytowane przez Idanit

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach
branetre

Nie wiesz jak bardzo to jest skomplikowane. Firma stanie na kilka tygodni zanim śledczy zrobią kopie dysków w 17 kompach, 4 laptopach, 3 tabletach i 7 telefonach ... No i jak tu zachęcić żonę prezesa do skopiowania :rolleyes2: hahaha .

 

Znalazłem darmowe rozwiązanie. Szkielet już mam Wdrożenie tego jako obserwator IDS to też nie problem. Nie mogę zrobić automatu bo stracę klienta. Trzeba się pokazać raz na jakiś czas :D

Nie posiadasz wymaganych uprawnień, aby wyświetlać zawartość linków.

Edytowane przez branetre

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach
Idanit
27 minut temu, branetre napisał:

Nie wiesz jak bardzo to jest skomplikowane. Firma stanie na kilka tygodni zanim śledczy zrobią kopie dysków w 17 kompach, 4 laptopach, 3 tabletach i 7 telefonach ...

Wersja z przed edycji bardziej mi się podobała :-p

Fakt nie wiem, ale nie sądzę żeby było to aż tak skomplikowane.

Wiem jednak, że skoro zadał sobie aż tyle trudu to wygląda mi albo na desperata albo widzi w tym interes dla siebie. A jak wiadomo desperat jest nieobliczalny a apetyt szantażysty rośnie w miarę jedzenia, co doprowadzić może nie do zamknięcia firmy na dzień, kilka czy kilkanaście... ale na stałe. 

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach
house
1 godzinę temu, branetre napisał:

Właśnie w tym problem że router to byle jaki dlink

dlaczego mnie to nie dziwi :/

1 godzinę temu, branetre napisał:

Jego mina bezcenna (szczególnie ta po spojrzeniu żony)

powiedz Panu, że albo rybki albo akwarium. Bez kosztów nie da się zabezpieczyć sieci, tym bardziej, że to poniekąd inside job. 

56 minut temu, Idanit napisał:

na początek powiadomił bym organy ścigania

to już nie jest rola @branetre, zgłosić to powinien właściciel. Do tego trzeba być na czysto z licencjami na software. Kasowanie plików to przestępstwo przeciwko mieniu, w tym przypadku podmiotu gospodarczego. 

37 minut temu, branetre napisał:

No i jak tu zachęcić żonę prezesa do skopiowania

to część najbardziej mnie zaciekawiła :D

 

38 minut temu, branetre napisał:

Znalazłem darmowe rozwiązanie. Szkielet już mam Wdrożenie tego jako obserwator IDS to też nie problem.

można i tak... bezkosztowe wdrożenie odbije im się czkawką później.  

  • Lubię to 1

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach
branetre

Jak dla mnie to firma na sznurkach ... Po kosztach i byle tylko. Samo zaproponowanie im serwera na dane to było 2h mojego gadania (zupełnie jakbym chciał sprzedać produkt własnego autorstwa) Mają jakiegoś (podobno) kumatego gościa który potrafi ale jak mu się pokaże. Zobaczymy :my_cool:

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach
house

W takim razie z takimi "januszami" dałbym sobie spokój, niech cierpią :)

 

  • Lubię to 2

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto

Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.

Zarejestruj nowe konto

Załóż nowe konto. To bardzo proste!

Zarejestruj się

Zaloguj się

Posiadasz już konto? Zaloguj się poniżej.

Zaloguj się

  • Przeglądający   0 użytkowników

    Brak zarejestrowanych użytkowników przeglądających tę stronę.

  • Podobna zawartość

    • OpenITbot
      Przez OpenITbot
      Nazewnictwo generacji sieci Wi-Fi zostało uproszczone, dzięki nowemu schematowi numerowania, a w 2019 r. zostanie udostępnione Wi-Fi 6 bazujące na standardzie IEEE 802.11ax.


      Wi-Fi Alliance zmieniło nazewnictwo używane do identyfikacji różnych typów połączeń Wi-Fi w celu uproszczenia systemu nazewnictwa dla ogółu społeczeństwa. Tym samym najnowsza generacja sieci bezprzewodowej 802.11ac nazywa się od teraz Wi-Fi 5.Następna generacja sieci 802.11ax, która pojawi się już w przyszłym roku będzie nazwana Wi-Fi 6.
       
      Obecny system nazewnictwa dla specyfikacji sieci, poprzedzony prefiksem 802.11, po którym następuje ciąg liter, jest uważany przez organizację Wi-Fi Alliance za trudny do określenia i szybkiej identyfikacji, które starsze technologie mogą współpracować z daną siecią. Zamiast polegać na tym, że użytkownicy wiedzą, który sufiks literowy jest nowszy, od teraz Wi-Fi Alliance po prostu sekwencyjnie numeruje kolejne generacje technologii sieci bezprzewodowej Wi-Fi.
       
      Zamiast odnosić się do 802.11ac lub 802.11n, będą one odtąd określane jako odpowiednio Wi-Fi 5 i Wi-Fi 4, ze względu na ich generację, a starsze technologie będą również nazywane ich numerem generacyjnym. System powinien również pomagać konsumentom w określeniu kompatybilności z urządzeniami o wyższych numerach obsługujących łączność z innym sprzętem o niższej liczbie przy starszych prędkościach.
       
      W przeszłości wersje Wi-Fi były identyfikowane przez literę lub parę liter, które odnosiły się do standardu bezprzewodowego. Obecna wersja to 802.11ac, ale wcześniej mieliśmy 802.11n, 802.11g, 802.11a i 802.11b. Nie było to zrozumiałe, dlatego Wi-Fi Alliance – organizacja, która normalizuje standard sieci Wi-Fi – od teraz to zmieniła.
       
      Aktualne połączenia Wi-Fi o nazwie 802.11ac, będą od teraz nazywane Wi-Fi 5 (ponieważ jest to piąta wersja). Prawdopodobnie będzie to miało więcej sensu, zaczynając od pierwszej wersji Wi-Fi, 802.11b:
      Wi-Fi 1: 802.11b (1999) Wi-Fi 2: 802.11a (1999) Wi-Fi 3: 802.11g (2003) Wi-Fi 4: 802.11n (2009) Wi-Fi 5: 802.11ac (2014) Wi-Fi 6: 802.11ax (2019) Przykładowe oznaczenia generacji sieci Wi-Fi według nowego nazewnictwa:

      Przykłady oznaczeń generacji sieci Wi-Fi przy pomocy ikon
       
      Teraz zamiast zastanawiać się, czy „ac” jest lepsze niż „n”, czy też obie wersje współpracują ze sobą, wystarczy spojrzeć na numer. Wi-Fi 5 jest wyższe niż Wi-Fi 4, więc oczywiście jest lepsze. A ponieważ sieci Wi-Fi zawsze były kompatybilne z poprzednimi generacjami, urządzenia Wi-Fi 5 powinny również być w stanie łączyć się z urządzeniami w standardzie Wi-Fi 4. Technicznie rzecz biorąc, Wi-Fi 1, Wi-Fi 2 i Wi-Fi 3 nie są oznakowane żadną ikoną, ponieważ nie są powszechnie używane, ale mają swoją etykietę.
       
      Wi-Fi Alliance, który liczy na firmę Apple jako członka, zamierza wykorzystać nową metodę nazewnictwa od wprowadzenia Wi-Fi 6 w 2019 roku (wcześniej znanego jako 802.11ax). Organizacja zamierza również wprowadzić nowe oznaczenia wizualne (ikony) standardów sieci Wi-Fi, które zawierające numer, który można wykorzystać np. w instrukcjach lub na opakowaniach, aby wskazać kompatybilność z danym standardem.
       
      W czerwcu sojusz przystąpił do certyfikacji urządzeń kompatybilnych z WPA3 – aktualizacji starzejącego się protokołu zabezpieczeń WPA2, który usprawnia metody uwierzytelniania i szyfrowania.
       
      Więcej informacji : https://www.wi-fi.org/download.php?file=/sites/default/files/private/Generational_Wi-Fi_User_Guide_20181003.pdf

      Zobacz cały artykuł
    • OpenITbot
      Przez OpenITbot
      Nazewnictwo generacji sieci Wi-Fi zostało uproszczone, dzięki nowemu schematowi numerowania, a w 2019 r. zostanie udostępnione Wi-Fi 6 bazujące na standardzie IEEE 802.11ax.


      Wi-Fi Alliance zmieniło nazewnictwo używane do identyfikacji różnych typów połączeń Wi-Fi w celu uproszczenia systemu nazewnictwa dla ogółu społeczeństwa. Tym samym najnowsza generacja sieci bezprzewodowej 802.11ac nazywa się od teraz Wi-Fi 5.Następna generacja sieci 802.11ax, która pojawi się już w przyszłym roku będzie nazwana Wi-Fi 6.
       
      Obecny system nazewnictwa dla specyfikacji sieci, poprzedzony prefiksem 802.11, po którym następuje ciąg liter, jest uważany przez organizację Wi-Fi Alliance za trudny do określenia i szybkiej identyfikacji, które starsze technologie mogą współpracować z daną siecią. Zamiast polegać na tym, że użytkownicy wiedzą, który sufiks literowy jest nowszy, od teraz Wi-Fi Alliance po prostu sekwencyjnie numeruje kolejne generacje technologii sieci bezprzewodowej Wi-Fi.
       
      Zamiast odnosić się do 802.11ac lub 802.11n, będą one odtąd określane jako odpowiednio Wi-Fi 5 i Wi-Fi 4, ze względu na ich generację, a starsze technologie będą również nazywane ich numerem generacyjnym. System powinien również pomagać konsumentom w określeniu kompatybilności z urządzeniami o wyższych numerach obsługujących łączność z innym sprzętem o niższej liczbie przy starszych prędkościach.
       
      W przeszłości wersje Wi-Fi były identyfikowane przez literę lub parę liter, które odnosiły się do standardu bezprzewodowego. Obecna wersja to 802.11ac, ale wcześniej mieliśmy 802.11n, 802.11g, 802.11a i 802.11b. Nie było to zrozumiałe, dlatego Wi-Fi Alliance – organizacja, która normalizuje standard sieci Wi-Fi – od teraz to zmieniła.
       
      Aktualne połączenia Wi-Fi o nazwie 802.11ac, będą od teraz nazywane Wi-Fi 5 (ponieważ jest to piąta wersja). Prawdopodobnie będzie to miało więcej sensu, zaczynając od pierwszej wersji Wi-Fi, 802.11b:
      Wi-Fi 1: 802.11b (1999) Wi-Fi 2: 802.11a (1999) Wi-Fi 3: 802.11g (2003) Wi-Fi 4: 802.11n (2009) Wi-Fi 5: 802.11ac (2014) Wi-Fi 6: 802.11ax (2019) Przykładowe oznaczenia generacji sieci Wi-Fi według nowego nazewnictwa:

      Przykłady oznaczeń generacji sieci Wi-Fi przy pomocy ikon
       
      Teraz zamiast zastanawiać się, czy „ac” jest lepsze niż „n”, czy też obie wersje współpracują ze sobą, wystarczy spojrzeć na numer. Wi-Fi 5 jest wyższe niż Wi-Fi 4, więc oczywiście jest lepsze. A ponieważ sieci Wi-Fi zawsze były kompatybilne z poprzednimi generacjami, urządzenia Wi-Fi 5 powinny również być w stanie łączyć się z urządzeniami w standardzie Wi-Fi 4. Technicznie rzecz biorąc, Wi-Fi 1, Wi-Fi 2 i Wi-Fi 3 nie są oznakowane żadną ikoną, ponieważ nie są powszechnie używane, ale mają swoją etykietę.
       
      Wi-Fi Alliance, który liczy na firmę Apple jako członka, zamierza wykorzystać nową metodę nazewnictwa od wprowadzenia Wi-Fi 6 w 2019 roku (wcześniej znanego jako 802.11ax). Organizacja zamierza również wprowadzić nowe oznaczenia wizualne (ikony) standardów sieci Wi-Fi, które zawierające numer, który można wykorzystać np. w instrukcjach lub na opakowaniach, aby wskazać kompatybilność z danym standardem.
       
      W czerwcu sojusz przystąpił do certyfikacji urządzeń kompatybilnych z WPA3 – aktualizacji starzejącego się protokołu zabezpieczeń WPA2, który usprawnia metody uwierzytelniania i szyfrowania.
       
      Więcej informacji : https://www.wi-fi.org/download.php?file=/sites/default/files/private/Generational_Wi-Fi_User_Guide_20181003.pdf
    • csm31458
      Przez csm31458
      czesc
       
      czy ktos z was wie jakie pliki wchodza w sklad logow , ktore wysylane sa do Synology w ramach supportu?
       
      dzieki za odpowiedz

openitforum.pl

Forum poświęcone przesyłaniu i przechowywaniu danych w małej sieci. Prezentujemy testy urządzeń oraz pomagamy w ich obsłudze i konfiguracji.
×

Powiadomienie o plikach cookie

Używamy plików cookie do celów związanych z reklamami, mediami społecznościowymi i statystykami. Kontynuując przeglądanie strony, wyrażasz zgodę na używanie przez nas plików cookies. Wszystkie wymagane w tej kwestii informacje zawierają: Polityka prywatności, Regulamin oraz Warunki użytkowania.