Ocena wątku:
  • 0 głosów - średnia: 0
  • 1
  • 2
  • 3
  • 4
  • 5
Proszę o pomoc! Przeciwdziałanie szpiegostwu
#1
Witam wszystkich, mam problem z wscibskim sasiadem. Jestem praktycznie pewny,  że ma on wgląd do tego co robię na komputerze.  Wręcz mam podejrzenie że ma podglad na pulpit. Czy jest to możliwe,  jeśli internet mam po sieci telefonicznej,  a on ma możliwość popiecia się do tej sieci? Czy jest jakiś sposób sprawdzenia tego czy takie coś na miejsce? W oknie cmd nie widzę nic podejrzanego,  ale  to nie musi nic oznaczać, prawda? Czy powiadomienie operatora  internetowego ma sens?  Czy oni mają możliwość dowiedzenia się czegoś na ten temat? Jestem już zmęczony ta sytuacja,  wiem że powinienem iść na policję,  ale nie mając żadnego dowodu nie ma to chyba większego sensu. Tak więc,  chciałbym prosić o pomoc.  Co mogę zrobić w takiej sytuacji?
Odpowiedz
#2
Po pierwsze, jaki system, konfiguracja systemu, firewall, antywirus.

Co sprawdzałeś w cmd?

Jakie są dokładnie podejrzenia. Co się dzieje. Wektorów ataku jest na tyle dużo - że nie ma jednego jasnego sposobu na sprawdzenie tego, Niestety z tego opisu trudno coś wywnioskować - bez nawet najmniejszej analizy trudno coś określić.
 Gdyby Java miała prawdziwy garbage collector to programy kasowałyby się podczas uruchomienia.

Odpowiedz
#3
Win 7, antywirus i firewall Birdefender. W cmd sprawdzałem pozycje nasluchiwanie. W pozycjach "obcy adres" widnieja same zera. Podejrzenia sa takie że poprostu słyszę konentarze sugerujace taki stan rzeczy :-) proba rozmowy z ta osoba tylko mnie utwierdzila w tym przekonaniu. Jeśli w taki sposób nie da się tej sytuacji rozwiazac, muszę to załatwić inaczej.
Odpowiedz
#4
Przeskanuj nmapem sieć jeśli możesz, jeśli nie to załóż filtr MAC na routerze. Sieć otwarta/WEP? Jeśli tam to masz odpowiedź
Odpowiedz
#5
Podpięcie się pod samą linię telefoniczną - jest możliwe (tapowanie telefonów niegdyś) ale raczej trudne do realizacji, nawet przez sąsiada ze szwagrem. Masz sieć bezprzewodową? Jeśli tak to:
-custom ssid (nazwa sieci nie sugerująca producenta)-
-wps off
-wpa2 długie (masz 8-63 znaki do dyspozycji, powyżej 20 będzie wystarczająco bezpiecznie)
przeskanowanie nmapem okej, można też w niektórych routerach sprawdzić.
To nie jedyny sposób ataku. Może zainfekował Twój komputer. Mail/fizyczny dostęp/plik. Najlepiej odłączyć kompa od sieci, przeskanować malwarebytes.
 Gdyby Java miała prawdziwy garbage collector to programy kasowałyby się podczas uruchomienia.

Odpowiedz
#6
Pozmieniaj hasła do kont w internecie: facebook, e-maile, fora internetowe itp. Sprawdź czy nie masz jakiegoś nowego użytkownika stworzonego w systemie.
The quieter, the better.
Odpowiedz
#7
Dzięki za odpowiedzi.
Siec zabezpieczona długim hasłem (wpa2), nie jest to westia wi-fi. Filtrowanie mac ustawione. Przy probie odpalenia mnapa okno miga chwile i znika. Sprawdze malwarbytes. Interesuje mnie kwestia podgladu widoku na monitorze. Jak wygląda możliwość czegos takiego? Majac na uwadze fizyczny distep do infrastruktury telefonicznej. Czy ten fakt umozliwia podpiecie sie i podgladania kompa w tej sieci? Nie mam nowego uzytkownika w systemie.
Odpowiedz
#8
(03-01-2016, 20:07)zieleń napisał(a): Dzięki za odpowiedzi.
Siec zabezpieczona długim hasłem (wpa2),  nie jest to westia wi-fi.  Filtrowanie mac ustawione.  Przy probie odpalenia mnapa okno miga chwile i znika.  Sprawdze malwarbytes.  Interesuje mnie kwestia podgladu widoku na monitorze.  Jak wygląda możliwość czegos takiego? Majac na uwadze fizyczny distep do infrastruktury telefonicznej.  Czy ten fakt umozliwia podpiecie sie i podgladania kompa w tej sieci? Nie mam nowego uzytkownika w systemie.


Jeśli sąsiad nie zapukał do Ciebie i nie przyłączył sieciówki do routera, nie zna hasła do sieci (możesz dla pewności zmienić), a filtr MAC na pewno działa, to na pewno nie jest w Twoim LANie. (zakładając, że koleś nie jest dobry i nie obszedł filtrowania i nie złamał hasła do sieci - ale tak na pewno nie jest, bo do routera pewnie już byś ie miał dostępu).


Kod:
nmap -sS 192.168.1.*
 
Chyba że masz inną pulę adresów IP to wklepujesz tam swoją, którą znajdziesz pod poleceniem ifconfig (dla WIN ipconfig).
Nmap lub po prostu wejście do ustawień konfiguracyjnych routera i wyświetlenie listy klientów, upewni cię czy ktoś obcy nie jest w Twojej sieci. Sprawdź to. Jeśli są tam tylko znajome ci urządzenia to na pewno nie jest w Twoim LANIE.

W takim wypadku masz syfa na kompie. Jeśli nie znajdziesz go jakimś malwarbytesem albo combofixem, zrób format - wtedy na pewno będziesz miał spokój.
Odpowiedz
#9
Szukasz zagrożenia nie tam gdzie trzeba. Wpięcie fizyczne do linii jak pisałem, w warunkach domowych jest naprawdę bardzo trudne. Ale nie musi mieć tego dostępu. Starczy dowolny komputer z dostępem do sieci (może być na innym kontynencie), nie tylko za drzwiami/ścianą. Może używać swojej sieci (ew. via vpn/vps itp.).

Oczywiście może mieć dostęp do zrzutów z ekranu - np. screengrab/shot z "bagażnika" MSF. Jednak w tym celu potrzebuje sesji meterpretera. Jeśli robi to zdalnie za pomocą innych narzędzi, nawet tych własnoręcznie stworzonych jakiś ślad będzie. Nie ma magicznego sposobu pt. "podłączam się do sieci i widzę twój ekran". Nawet jeśli program działa w pamięci RAM, to jakiś ślad na hdd trafisz.

Pamiętaj, że jeśli użyjesz jakiegokolwiek antimalware (które powinno znaleźć i umożliwić likwidację np. meterpretera), to tracisz ewentualne dowody (po nadpisaniu części plików może nie być możliwości ich odzyskania). Jeśli chcesz podejmować kroki prawne, lepiej zabezpieczyć dysk i oddać go do analizy. Jeśli mimo wszystko chcesz się nim bawić sam, to pamiętaj o zrobieniu kopii posektorowej 1:1 i zabawy na niej.

"Jeśli sąsiad nie zapukał do Ciebie i nie przyłączył sieciówki do routera, nie zna hasła do sieci (możesz dla pewności zmienić), a filtr MAC na pewno działa, to na pewno nie jest w Twoim LANie. " bullshit. Pewności nigdy nie ma. MAC można spoofować, hasło wyciągnąć przez podatność wps, mając dostęp do jakiegokolwiek komputera skojarzonego z tą siecią, mając shella na komputerze/telefonie ofiary. Pewnie i atak od strony Internetu jest możliwy (odpowiednia podatność routera, źle skonfigurowany zdalny dostęp).

"bo do routera pewnie już byś ie miał dostępu" bullshit - z punktu widzenia atakującego to jest głupota - jeśli ofiara zacznie coś podejrzewać, to spróbuje się zalogować. Jeśli zobaczy zmienioną konfigurację (np. brak hasla) reset z marszu + nowe hasła = zabawa od nowa. W APT też nie niszczysz wszystkiego, starasz się być niewidocznym.

"Pozmieniaj hasła do kont w internecie: facebook, e-maile, fora internetowe itp. "
+1, gdzie się da dwuetapowa weryfikacja.
 Gdyby Java miała prawdziwy garbage collector to programy kasowałyby się podczas uruchomienia.

Odpowiedz
#10
@Up

Sam nawiązujesz do sesji meterpretera więc zdecyduj się o co ci chodzi. Autorowi wątku napisałem wszystkie sposoby przez które typ mógł dostać się do jego kompa - zarówno poprzez atak z sieci lokalnej, WAN, ale również fizycznej. Najbardziej prawdopodobny jest atak z WANA, ale jeśli koleś jest dobry to atak lokalny też jest możliwy - i niekoniecznie musi zostawić jakiś ślad na komputerze.
Odpowiedz


Podobne wątki
Wątek: Autor Odpowiedzi: Wyświetleń: Ostatni post
  Pomoc ooo 4 1,059 03-08-2015, 14:59
Ostatni post: goniec52
  SMF 2.0.2 XSS POMOC 1964JoJo 5 2,096 07-13-2013, 21:59
Ostatni post: 1964JoJo
  Proszę o pomoc przy Xhydrze. Ar2r 18 3,469 03-26-2013, 22:36
Ostatni post: Drareg

Skocz do:


Użytkownicy przeglądający ten wątek: 1 gości
stat4u