pongo 1 Napisano 15 Listopada 2019 Udostępnij Napisano 15 Listopada 2019 Witam. Miałem kiedyś włamanie do komputera. Zniszczono pliki wideo, były w katalogu Wideo (oczywiście mam kopie) i komp nie dał się uruchomić bez reinstalacji Windows. Obawiam się że to może się powtórzyć ponieważ plików przybyło. Mam kopie plików na nośniku bez dostępu do internetu ponieważ mogą być potrzebne w sądzie. Interesuje mnie tylko czy jest jakaś szansa zarejestrowania włamania aby iść z tym na policję? Mam Windows 10 + Kaspersky Internet Security. Cytuj Link to post Share on other sites
Fix00ser 477 Napisano 15 Listopada 2019 Udostępnij Napisano 15 Listopada 2019 Określenie typu <kiedyś> bywa bardzo rozciągnięte w czasie, co może mieć kapitalne znaczenie w przypadku gdy zostaje rozpoczęta analiza powłamaniowa.Część artefaktów istotnych dla śledztwa mogła już ulec nadpisaniu, gdy jesteśmy pewni że nastąpił nieautoryzowany dostęp <włamanie> należało reagować od razu celem zabezpieczenia nośnika przez biegłych uprawnionych do prowadzenia dochodzenia celem identyfikacji,analizy, interpretacji pozyskanego cyfrowego materiału dowodowego by ujawnić rekonstrukcję zdarzeń mający charakter kryminalny. Zawsze im wcześniej tym lepiej. Cytuj Link to post Share on other sites
pongo 1 Napisano 15 Listopada 2019 Autor Udostępnij Napisano 15 Listopada 2019 Określenie typu <kiedyś> bywa bardzo rozciągnięte w czasie, co może mieć kapitalne znaczenie w przypadku gdy zostaje rozpoczęta analiza powłamaniowa.Część artefaktów istotnych dla śledztwa mogła już ulec nadpisaniu, gdy jesteśmy pewni że nastąpił nieautoryzowany dostęp <włamanie> należało reagować od razu celem zabezpieczenia nośnika przez biegłych uprawnionych do prowadzenia dochodzenia celem identyfikacji,analizy, interpretacji pozyskanego cyfrowego materiału dowodowego by ujawnić rekonstrukcję zdarzeń mający charakter kryminalny. Zawsze im wcześniej tym lepiej. Mam kopię tej uszkodzonej partycji startowej. Ale to było kilka lat temu i tamtej sprawy nie chce mi się rozgrzebywać. Czy jest jakaś możliwość zarejestrowania włamania? Może jakiś program który to zarejestruje i pozwoli odtworzyć informacje o zdarzeniu nawet gdy komputer po włamaniu nie będzie startował? Cytuj Link to post Share on other sites
Fix00ser 477 Napisano 15 Listopada 2019 Udostępnij Napisano 15 Listopada 2019 (edytowane) Zaraz po odkryciu nieuprawnionego dostępu należało reagować, sama kopia binarna partycji startowej to zdecydowanie za mało, należało zabezpieczyć wszelkie nośniki które w tym czasie były podpięte do tej jedsnostki.Co do analizy pozyskanego materiału cyfrowego żaden soft nie wykona tego automatycznie, istnieją specjalistyczne dystrybuje Tux-a typu forensics które posiadają całe zestawy predefiniowanych narzędzi do przeprowadzenia takich analiz np https://resources.infosecinstitute.com/category/computerforensics/introduction/free-open-source-tools/overview-of-computer-forensics-linux-distributions/#gref Powszechnie stosowane narzędzia do zabezpieczenia i analizy cyfrowych artefaktów https://www.x-ways.net/ https://www.autopsy.com/ https://www.andreafortuna.org/2017/04/20/four-tools-for-file-carving-in-forensic-analysis/ https://www.osforensics.com/ Dla zwykłego użytkownika jeden z bardziej przystepnych niezbędników typu forensics wg mnie to dystro Live CD/DVD C.A.I.N.E https://www.caine-live.net/ także multi niezbędnik EmErgE’s MultiISO LiveDVD http://osnews.pl/emerges-livedvd-prawdziwe-pietnascie-w-jednym/ Na koniec uwaga do zapamiętania Raz skompromitowany system już nigdy nie będzie bezpieczny. Edytowane 15 Listopada 2019 przez Fix00ser Cytuj Link to post Share on other sites
pongo 1 Napisano 15 Listopada 2019 Autor Udostępnij Napisano 15 Listopada 2019 Dziękuję za interesującą odpowiedź. Dużo informacji! Będę analizował po weekendzie, teraz nie mam dość czasu. Rozumiem że to narzędzia do badania systemu po włamaniu? Czy należy coś zainstalować przed spodziewanym atakiem żeby później łatwiej zbadać co się stało? Czyli po włamaniu najlepiej odświerzyć system do stanu z przed? Wgrać kopię zrobioną wcześniej lub zainstalować system od nowa? Cytuj Link to post Share on other sites
Fix00ser 477 Napisano 16 Listopada 2019 Udostępnij Napisano 16 Listopada 2019 (edytowane) Procedury step by step po wykryciu incydentu https://pl.wikipedia.org/wiki/Informatyka_%C5%9Bledcza Wykonane kopie przez kolegę nie będą miały żadnych wartości ponieważ zabezpieczenie cyfrowych śladów wymaga przestrzegania ścisłych procedur tworzenia mirrorów/binarek nośników a nawet zrzutów pamięci. Operacje takie nie wykonuje się nie na żywym organizmie tylko na specjalnie przygotowanym stanowisku z odpowiednim sprzętem. Względy bezpieczeństwa wymagają by po włamaniu postawić system na nowo chyba że posiadamy gotowce kopii nośnika wykonane zaraz po pierwotnej instalacji systemu. Dodatkowo w przypadku posiadanego sprzętu sieciowego należy sprawdzić czy aby nie zostały <pouchylane tylne furtki> przypominam o tym istotnym szczególe ponieważ każdy komputer posiada prawie 65 tys. portów komunikacyjnych/ drzwi do systemu które mogą być wykorzystane do różnych celów. Sama rejestracja wtargnięć odbywa się na żywym organizmie w przypadku spreparowanego honeypota czyli stworzonej wirtualnej pułapki na ewentualnego ciekawskiego intruza https://sekurak.pl/kippo-czyli-honeypot-ssh/. Jeśli kolega nie miał do tej pory okazji zapoznać się z terminalem unixowym polecam wirtualną wprawkę http://copy.sh/v86/ Edytowane 16 Listopada 2019 przez Fix00ser Cytuj Link to post Share on other sites
benutzer 257 Napisano 30 Listopada 2019 Udostępnij Napisano 30 Listopada 2019 Ktoś kto się tym trudni zawodowo nie jest głupi. Stosuje vpn-y, tory, wpina się w darmowe wifi i z stamtąd próbuje hakować ofiary. Nawet jak ci się uda wykryć sprawcę, ukarać go to danych i tak nie odzyskasz. Zamiast marnować zasoby na wykrywanie sprawcy lepiej się zabezpieczyć: kupując legalny system i go aktualizować, szyfrować co się da, zainwestować w antywirusa z firewallem, zainwestować w backup, zapoznać się z metodą 3-2-1, nie łazić i niczego nie ściągać z chomików i innego typu wylęgarni zombi, wykupić netflixa / wp playera / hbo go i darować sobie ściąganie filmów z torrentów, jak już musisz coś nowego pobrać z sieci to sprawdzić to najpierw na maszynie wirtualnej nie wpinać się w darmowe wifi, nie udostępniać swojego wifi na prawo i lewo, i chyba najważniejsze - stosować się do zasad ZDROWEGO ROZSĄDKU Oczywiście stosowanie powyższych zasad nie uchroni w 100% przed włamaniem, ale podniesie poziom bezpieczeństwa od zera do mniej więcej 99,999% a to jak się wydaje jest zawsze lepsze niż nic. Cytuj Link to post Share on other sites
Fix00ser 477 Napisano 1 Grudnia 2019 Udostępnij Napisano 1 Grudnia 2019 (edytowane) O zabezpieczeniach sieci wifi luknij w linki https://safegroup.pl/thread-11267.html. By nabyć legalny i bezpieczny system nie musimy go kupować kolego @benutzer wystarczy pobrać wybrane dystro w postaci obrazu instalacyjnego lub typu Live. https://pl.wikibooks.org/wiki/Linux/Przegl%C4%85d_dystrybucji Edytowane 1 Grudnia 2019 przez Fix00ser Cytuj Link to post Share on other sites
Recommended Posts
Dołącz do dyskusji
Możesz dodać zawartość już teraz a zarejestrować się później. Jeśli posiadasz już konto, zaloguj się aby dodać zawartość za jego pomocą.