Skocz do zawartości

Jak zarejestrować włamanie do komputera

pongo

dodany przez pongo,
w Internet, sieci komputerowe, bezpieczeństwo

 Udostępnij Obserwujący 1

Recommended Posts

pongo

pongo 1

Napisano
Napisano

Witam.

Miałem kiedyś włamanie do komputera. Zniszczono pliki wideo, były w katalogu Wideo (oczywiście mam kopie) i komp nie dał się uruchomić bez reinstalacji Windows. Obawiam się że to może się powtórzyć ponieważ plików przybyło. Mam kopie plików na nośniku bez dostępu do internetu ponieważ mogą być potrzebne w sądzie. Interesuje mnie tylko czy jest jakaś szansa zarejestrowania włamania aby iść z tym na policję? Mam Windows 10 + Kaspersky Internet Security.

Link to post
Share on other sites
Fix00ser

Fix00ser 477

Napisano
Napisano

Określenie typu <kiedyś> bywa bardzo rozciągnięte w czasie, co może mieć kapitalne znaczenie w przypadku gdy

zostaje rozpoczęta analiza powłamaniowa.Część artefaktów istotnych dla śledztwa mogła już ulec nadpisaniu,

gdy jesteśmy pewni że nastąpił nieautoryzowany dostęp <włamanie> należało reagować od razu

celem zabezpieczenia nośnika przez biegłych uprawnionych do prowadzenia dochodzenia celem identyfikacji,analizy, interpretacji pozyskanego cyfrowego materiału dowodowego by ujawnić rekonstrukcję zdarzeń mający charakter kryminalny.

Zawsze im wcześniej tym lepiej.

Link to post
Share on other sites
pongo

pongo 1

Napisano
  • Autor
Napisano

Określenie typu <kiedyś> bywa bardzo rozciągnięte w czasie, co może mieć kapitalne znaczenie w przypadku gdy

zostaje rozpoczęta analiza powłamaniowa.Część artefaktów istotnych dla śledztwa mogła już ulec nadpisaniu,

gdy jesteśmy pewni że nastąpił nieautoryzowany dostęp <włamanie> należało reagować od razu

celem zabezpieczenia nośnika przez biegłych uprawnionych do prowadzenia dochodzenia celem identyfikacji,analizy, interpretacji pozyskanego cyfrowego materiału dowodowego by ujawnić rekonstrukcję zdarzeń mający charakter kryminalny.

Zawsze im wcześniej tym lepiej.

Mam kopię tej uszkodzonej partycji startowej. Ale to było kilka lat temu i tamtej sprawy nie chce mi się rozgrzebywać. Czy jest jakaś możliwość zarejestrowania włamania? Może jakiś program który to zarejestruje i pozwoli odtworzyć informacje o zdarzeniu nawet gdy komputer po włamaniu nie będzie startował?

Link to post
Share on other sites
Fix00ser

Fix00ser 477

Napisano
Napisano (edytowane)

Zaraz po odkryciu nieuprawnionego dostępu należało reagować, sama kopia binarna partycji startowej

to zdecydowanie za mało, należało zabezpieczyć wszelkie nośniki które w tym czasie były podpięte

do tej jedsnostki.Co do analizy pozyskanego materiału cyfrowego żaden soft nie wykona tego automatycznie,

istnieją specjalistyczne dystrybuje Tux-a typu forensics które posiadają całe zestawy predefiniowanych narzędzi do przeprowadzenia takich analiz np

https://resources.infosecinstitute.com/category/computerforensics/introduction/free-open-source-tools/overview-of-computer-forensics-linux-distributions/#gref

Powszechnie stosowane narzędzia do zabezpieczenia i analizy cyfrowych artefaktów

https://www.x-ways.net/

https://www.autopsy.com/

https://www.andreafortuna.org/2017/04/20/four-tools-for-file-carving-in-forensic-analysis/

https://www.osforensics.com/

Dla zwykłego użytkownika jeden z bardziej przystepnych niezbędników typu forensics

wg mnie to dystro Live CD/DVD C.A.I.N.E

https://www.caine-live.net/

także multi niezbędnik EmErgE’s MultiISO LiveDVD

http://osnews.pl/emerges-livedvd-prawdziwe-pietnascie-w-jednym/

Na koniec uwaga do zapamiętania

Raz skompromitowany system już nigdy nie będzie bezpieczny.

Edytowane przez Fix00ser
Link to post
Share on other sites
pongo

pongo 1

Napisano
  • Autor
Napisano

Dziękuję za interesującą odpowiedź. Dużo informacji!

Będę analizował po weekendzie, teraz nie mam dość czasu. Rozumiem że to narzędzia do badania systemu po włamaniu? Czy należy coś zainstalować przed spodziewanym atakiem żeby później łatwiej zbadać co się stało?

Czyli po włamaniu najlepiej odświerzyć system do stanu z przed? Wgrać kopię zrobioną wcześniej lub zainstalować system od nowa?

Link to post
Share on other sites
Fix00ser

Fix00ser 477

Napisano
Napisano (edytowane)

Procedury step by step po wykryciu incydentu

https://pl.wikipedia.org/wiki/Informatyka_%C5%9Bledcza

Wykonane kopie przez kolegę nie będą miały żadnych wartości ponieważ zabezpieczenie cyfrowych śladów wymaga przestrzegania ścisłych procedur tworzenia mirrorów/binarek nośników a nawet zrzutów pamięci.

Operacje takie nie wykonuje się nie na żywym organizmie tylko na specjalnie przygotowanym stanowisku z

odpowiednim sprzętem.

Względy bezpieczeństwa wymagają by po włamaniu postawić system na nowo chyba że posiadamy gotowce kopii nośnika wykonane zaraz po pierwotnej instalacji systemu. Dodatkowo w przypadku posiadanego sprzętu sieciowego należy sprawdzić czy aby nie zostały <pouchylane tylne furtki> przypominam o tym istotnym

szczególe ponieważ każdy komputer posiada prawie 65 tys. portów komunikacyjnych/ drzwi do systemu

które mogą być wykorzystane do różnych celów.

Sama rejestracja wtargnięć odbywa się na żywym organizmie w przypadku spreparowanego

honeypota czyli stworzonej wirtualnej pułapki na ewentualnego ciekawskiego intruza

https://sekurak.pl/kippo-czyli-honeypot-ssh/.

Jeśli kolega nie miał do tej pory okazji zapoznać się z terminalem unixowym polecam

wirtualną wprawkę

http://copy.sh/v86/

Edytowane przez Fix00ser
Link to post
Share on other sites
  • 2 tygodnie później...
benutzer

benutzer 257

Napisano
Napisano

Ktoś kto się tym trudni zawodowo nie jest głupi. Stosuje vpn-y, tory, wpina się w darmowe wifi i z stamtąd próbuje hakować ofiary. Nawet jak ci się uda wykryć sprawcę, ukarać go to danych i tak nie odzyskasz.

 

Zamiast marnować zasoby na wykrywanie sprawcy lepiej się zabezpieczyć:

  • kupując legalny system i go aktualizować,
  • szyfrować co się da,
  • zainwestować w antywirusa z firewallem,
  • zainwestować w backup, zapoznać się z metodą 3-2-1,
  • nie łazić i niczego nie ściągać z chomików i innego typu wylęgarni zombi,
  • wykupić netflixa / wp playera / hbo go i darować sobie ściąganie filmów z torrentów,
  • jak już musisz coś nowego pobrać z sieci to sprawdzić to najpierw na maszynie wirtualnej
  • nie wpinać się w darmowe wifi, nie udostępniać swojego wifi na prawo i lewo,
  • i chyba najważniejsze - stosować się do zasad ZDROWEGO ROZSĄDKU

Oczywiście stosowanie powyższych zasad nie uchroni w 100% przed włamaniem, ale podniesie poziom bezpieczeństwa od zera do mniej więcej 99,999% a to jak się wydaje jest zawsze lepsze niż nic.

Link to post
Share on other sites
Fix00ser

Fix00ser 477

Napisano
Napisano (edytowane)

O zabezpieczeniach sieci wifi luknij w linki

https://safegroup.pl/thread-11267.html.

By nabyć legalny i bezpieczny system nie musimy go kupować kolego @benutzer

wystarczy pobrać wybrane dystro w postaci obrazu instalacyjnego lub typu Live.

https://pl.wikibooks.org/wiki/Linux/Przegl%C4%85d_dystrybucji

Edytowane przez Fix00ser
Link to post
Share on other sites

Dołącz do dyskusji

Możesz dodać zawartość już teraz a zarejestrować się później. Jeśli posiadasz już konto, zaloguj się aby dodać zawartość za jego pomocą.

Gość
Odpowiedz w tym wątku...

×   Wklejono zawartość z formatowaniem.   Usuń formatowanie

  Dozwolonych jest tylko 75 emoji.

×   Odnośnik został automatycznie osadzony.   Przywróć wyświetlanie jako odnośnik

×   Przywrócono poprzednią zawartość.   Wyczyść edytor

×   Nie możesz bezpośrednio wkleić grafiki. Dodaj lub załącz grafiki z adresu URL.

×
 Udostępnij
Obserwujący 1
Wróć do listy tematów

  • Ostatnio przeglądający   0 użytkowników

    Brak zarejestrowanych użytkowników przeglądających tę stronę.

×
×
  • Dodaj nową pozycję...