3

У меня есть доказательства (нетехнические), что моя компания шпионит за мной, не за ПК моей компании, а за моим частным ПК дома. Эти доказательства не будут храниться в суде, поэтому мне нужны технические доказательства. Я подозреваю, что моя компания наняла хакера для мониторинга моего ПК, но мне нужны технические доказательства, чтобы доказать это. И мне нужно найти способ заблокировать их. Пожалуйста, не спрашивайте о мотивации и т.д. Я подробно расскажу о нетехнической стороне этого.

Я знаю, что эта платформа очень строга к "неопределенным" вопросам, но я отчаянно нуждаюсь в решении, и это лучшая из известных мне платформ для экспертов по безопасности. Поэтому, пожалуйста, не задавайте этот вопрос.

Мой домашний ПК:- Windows7 Premium с последними обновлениями безопасности.

  • Брандмауэр включен с измененными настройками по умолчанию: входящий трафик блокируется, за исключением служб Windows (удаленный доступ отключен). В исходящем трафике установлены службы Windows, почтовый клиент (Claws Mail), последняя версия Opera-Browser и игровая платформа Steam.
  • Антивирус: Avira Community Edition
  • Обнаружение вредоносного ПО: поиск и уничтожение Spybot
  • IPV6 был отключен

Я использую пароли своей компании также для частных служб (вход в Windows, личная электронная почта), но я изменил это в последнее время. Сейчас я использую lastpass с новым надежным мастер-паролем.

Телефон моей компании (iPhone4) был предоставлен доступ к моей частной WLAN, но у меня был удален доступ, и вместо этого я использую личный планшет Nexus 7. Я должен войти на серверы компании из дома, чтобы получить доступ к рабочим документам и почте (часть моей работы), чтобы они могли видеть мой IP довольно часто.

Теперь мне нужно знать две вещи:

  • Как я могу дополнительно защитить мою домашнюю настройку (установка Linux не вариант, потому что я зависим от программного обеспечения Windows. И да, я попробовал вино)
  • Как я могу поймать хакера «в действии», чтобы у меня были веские доказательства?
|источник

2 ответа2

2

Этот вопрос на самом деле два вопроса.

Чтобы отреагировать на этот инцидент безопасности, вам необходимо собрать доказательство, пригодное для использования, а затем обезопасить компьютер.

Наличие доказательств, которые вы можете использовать в суде, может быть трудным. Фактически, если вы защищаете свое дело против судьи (или руководителей вашей компании), они, скорее всего, попытаются доказать, что:

  • Вы не можете доказать, что информация является подлинной, и вы не подделали ее.
  • "вторжения" находятся в пределах возможной политики безопасности фирмы (которую вы должны были увидеть и подписать, кстати). Это способ сказать, что вы приняли это.

Путь к этому будет иметь аккредитованное лицо (эксперт юрист ??) провести аудит на вашем компьютере, а затем выпустить юридический отчет, который может быть использован в суде. Для этого вам придется продолжать делать все как обычно, чтобы обеспечить сбор данных. Также может быть выполнен посмертный аудит, но, скорее всего, он не даст никаких полезных результатов, в основном из-за того, что компьютер принадлежит вам, и у вас есть полный доступ к нему.

Поэтому, если вы хотите получить какие-либо доказательства, вам нужно обратиться к юрисконсульту, который посоветует вам, что делать. Но я уверен, что инвестиции не принесут вреда.

О защитной части вопроса: доверять известному взломанному компьютеру не так-то просто. Если вы не сможете оценить полное восстановление всех файлов на компьютере (проверка подлинности вашей системы - и того же инструмента, который вы проверили), вы никогда не будете уверены, что нет никаких следов бэкдоров или заражения вредоносным ПО. , Итак, следующая лучшая вещь - это полное стирание и переустановка операционной системы. У вас есть установка в автономном режиме, а затем путь в Интернете с последними обновлениями. Тогда вам нужно будет принять хитрые меры, чтобы не повредить систему снова.

Чтобы защитить себя, вы должны сначала задать вам этот вопрос: "Кому я доверяю". Если вы не доверяете своей компании, то зачем вам устанавливать их программное обеспечение, получать доступ к их серверам? Я предполагаю, что вам нужно настроить VPN-доступ, чтобы использовать инструменты, необходимые для работы. Использование VPN в основном говорит: «Я доверяю этой сети, к которой подключаюсь». Вы можете думать об этом как о расширении вашей домашней сети. Если вы не доверяете тому, что находится в этой сети, вам необходимо изолировать свою среду.

У вас есть некоторые решения, которые отличаются в основном их удобством и / или ценой. Вы можете:

  • Получите новый ПК, используемый исключительно для рабочих целей.
  • Настройка виртуальной среды с помощью программ виртуальных машин (Virtualbox и т.д.)
  • Настройте вторую среду на втором диске вашего компьютера.

Что бы вы ни выбрали, вы должны обеспечить изоляцию вашего компьютера. Точнее, вы должны убедиться, что:

  • другие компьютеры в вашей сети недоступны из защищенной среды (сетевая фильтрация, правила доступа)
  • другие данные на вашем компьютере не могут быть доступны из защищенной среды (отключенный жесткий диск, например)

Так что, по сути, не предоставляйте доступ к тому, чем вы не хотите делиться.

|источник
1

Если ваш компьютер скомпрометирован, вы не можете доверять ему. Это может быть врать вам. Следовательно, вы должны иметь возможность собирать доказательства из системы, которой вы доверяете. Например, прозрачный маршрутизатор работает в случайном режиме. Самое убедительное доказательство, вероятно, будет захват пакета. Логи могут быть полезны; отметка времени будет хорошей.

Если у вас есть какие-то четкие доказательства, приготовьтесь поцеловать ваш компьютер (ы) до свидания. Вероятно, у вас будет много возможностей подделать доказательства, что не работает в вашу пользу. Одна вещь, которая может помочь свести к минимуму вашу способность подделывать место преступления, - это чтобы правоохранительные органы "пометили его и поместили в мешок" ... доставили ваш компьютер в лабораторию компьютерной криминалистики, где они находят недели, чтобы что-то выяснить.

Если это выходит за рамки вашей компетенции, вы можете попросить кого-нибудь помочь. На самом деле, получение непредвзятого человека может помочь вашему делу. Однако это также может быть расходом.

Все это может предполагать, что злоумышленник менее умен, чем ваши попытки поймать (то есть записать) действия злоумышленника. Если все, что вы делаете, это перехватываете пакеты и создаете журналы, но они не показывают никаких признаков атаки, то вы ничего не сделали для себя полезного (даже если атаки на самом деле происходят). Например, выполнение сумасшедших удивительных вещей с помощью брандмауэра может совсем не помочь, если атака не происходит через сеть.

Если вам удастся это сделать (обладать техническими знаниями и оборудованием, или у вас будет достаточно средств, чтобы позволить себе такое оборудование), создание образа диска теперь может оказаться полезным позже. Образ диска может помочь показать только то, что изменилось. Но если они уже установили программное обеспечение для мониторинга, то даже ваш первый образ может быть заражен, что ограничивает полезность этого подхода.

Одна вещь, которую вы не хотите, - это чтобы ваша машина Microsoft Windows была присоединена к домену Active Directory, если вы пытаетесь их не пускать. Многие люди не понимают этого; присоединение к домену Active Directory может помочь вам получить доступ к ресурсам компании. Это также дает им большой контроль над компьютером.

Если они "шпионят" за вами, используя взломанный брандмауэр, чтобы увидеть, на какие веб-сайты вы заходите, то ничто из того, что вы делаете на своем компьютере, не поможет. Вы можете заменить весь свой компьютер, и вредоносное устройство брандмауэра все равно сможет шпионить за новым компьютером. Если проблема заключается в том, что они проникли в ваш дом и заменили вашу клавиатуру той, которая регистрирует нажатия клавиш, и используют встроенную антенну для передачи ваших нажатий клавиш за пределы вашего дома, то замена брандмауэра ничего не даст. (И очистка жесткого диска и переустановка операционной системы, пока вы все еще используете клавиатуру, ничего не даст.) Если они шпионят за вами с помощью камеры, которую они спрятали в вашем офисе дома, замена всех ваших компьютерных технологий может сделать ... ничего. Правильный способ успешной защиты от их атаки будет зависеть только от того, что они делают.

Много предложений может быть дано; некоторые могут помочь, многие не могут. Поскольку число возможных способов атаки приблизительно равно шестнадцати, умноженному на бесконечность, я не могу рекомендовать четкого плана действий, который гарантировал бы успех; особенно когда детали, которые вы предоставляете, настолько расплывчаты.

|источник

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .