I got hacked!

IceCub · 18 February 2008, 10:33

Salutare,
Intamplarea face ca am fost hackerit, cineva a intrat in calculator folosind remote desktop connection si a sters tot. Partea "fericita" este ca fisierul de log al firewall-ului a scapat intact si astfel am reusit sa identific IP-ul atacatorului si mai departe providerul (e din acelasi oras). Intrebarea mea este, ce sanse am de a obtine numele/adresa individului de la provider pentru a avea o "discutie" cu individul?

emil3d · 18 February 2008, 10:58

in orice companie confidentialitatea este regula numarul 1
in concluzie oricine iti da informatii despre omul respectiv poate fi dat afara cum ai zice peste
calea legala de a obtine astfel de informatii este de a face plangere la politie.
mai departe nu stiu care sunt procedurile

tom · 18 February 2008, 11:14

Plangere la politie si o doza buna de optimism.

Dar de ce a putut sa se conecteze la PCul tau? Remote Desktop de ce accepta conexiuni de oriunde ? Si de ce a gasit un User / Pass valid? Ai pierdut fisiere importante ?

IceCub · 18 February 2008, 11:34

Quote from: tom on 18 February 2008, 11:14
Dar de ce a putut sa se conecteze la PCul tau? Remote Desktop de ce accepta conexiuni de oriunde ? Si de ce a gasit un User / Pass valid? Ai pierdut fisiere importante ?

Greseala mea, din cate am putut sa deduc, este ca m-am logat pe sistemul de acasa de pe cateva calculatoare asupra carora nu am certitudinea ca erau "curate". Probabil un keylogger...
Sistemele de pe care ma logam de obicei (2 la numar, ambele la birou) le-am luat la puricat si am vazut ca sunt curate.

De pierdut, am pierdut tot, reusind sa recuperez o mica parte din documente. Am incercat mai multe softuri de recuperare, dar fara prea mult succes. Oricum, doua dintre partitiile afectate le-am lasat neatinse pentru a mai incerca cateva solutii de recuperare a datelor.

tom · 18 February 2008, 12:23

Toate OS urile sunt Windows XP ? Ca protocolul folosit de Win XP ( si VNC in general ) pentru remote desktop e plin de gauri de securitate ( care cica vor fi corectate in SP3 ).

IceCub · 18 February 2008, 12:53

Sistemul de acasa (cel afectat) este Vista cu toate updateurile la zi. Sistemele de pe care m-am logat sunt unele cu WinXP si craptopul cu Vista. Din cate stiam, protocolul folosit de Windows pentru remote desktop connection era destul de sigur.

emil3d · 18 February 2008, 13:11

cand vine vorba de m$... nimic nu e sigur.
Iti recomand pe viitor sa nu ai altceva deschis din firewall decat portul pe care se conecteaza o solutie VPN.
Si aia sa nu fie bazata pe autentificare doar user/password

IceCub · 18 February 2008, 14:41

Quote from: emil3d on 18 February 2008, 13:11
Si aia sa nu fie bazata pe autentificare doar user/password

Bun, sa spunem ca pe viitor voi apela la VPN, ceea ce clar nu ma va proteja de o eventuala interceptare a parolei cu un keyloger.
Presupun ca ar trebui sa fac... "cumva" sa restrictionez conexiunile pe portul de Remote Desktop Connection si la VPN astfel incat sa fie permisa conectarea numai de la anumite IP-uri definite. O sa vad diseara ce optiuni am in router si/sau firewall-ul din Vista.

Alte idei?

emil3d · 18 February 2008, 14:58

http://openvpn.se/

faci un server de vpn
deschizi portul 1194 UDP din firewall si inchizi restul
deschizi portul pe interfata de VPN(o interfata de retea virtuala)

autentificarea la openvpn se face pe baza certificatelor digitale la care poti sa pui si parola, cu alte cuvinte poti intra numai tu si ai totul compresat si criptat
cand intrii sa accesezi calcualtorul de acasa cu remote desktop sau cu ce altceva vrei intrii de fapt pe ip-ul privat

that's the whole ideea

icsfails · 18 February 2008, 15:17

problema cu keyloggerele ramane.
ai putea sa incerci sa te autentifici pe statia de acasa cu certificate self-signed, pe care sa le revoci cand ti-ai terminat treaba.

Nu am incercat inca, dar ar putea merge, parerea mea

IceCub · 18 February 2008, 15:21

Trebuie sa studiez problema cu certificatele... momentan sunt cam in ceata in ceea ce priveste "procedura de lucru". E clar ca nu ma voi mai lasa la mana unei combinatii user/pass.

icsfails · 18 February 2008, 15:23

poti sa incepi de aici:

http://www.openssl.org/related/binaries.html

~Empathy~ · 18 February 2008, 17:24

Evident autentificarea trebuie facuta printr-un certificat digital...

IceCub · 18 February 2008, 20:02

Presupunand ca vreau ca "simplific" lucrurile, am decis ca fac urmatoarele (cel putin momentan):
- am modificat portul implicit (3389) pe care il foloseste Remote Desktop Protocol
- am instruit firewall-ul din Vista sa permita conexiunile pe portul respectiv doar de la un anumit IP (cel de pe care ma conectez de obicei).

O fi suficient?

~Empathy~ · 18 February 2008, 20:15

Quote from: IceCub on 18 February 2008, 20:02
am modificat portul implicit (3389) pe care il foloseste Remote Desktop Protocol

Pfft... Security by obscurity -- nu ajuta la nimic. De parca e greu sa dai un nmap.

Quote from: IceCub on 18 February 2008, 20:02
am instruit firewall-ul din Vista sa permita conexiunile pe portul respectiv doar de la un anumit IP (cel de pe care ma conectez de obicei).

Asta ar trebui sa setezi din conf-ul serverului...

Mesaje recente

Statistici

Members

Stats

Users Online

I got hacked!

IceCub

emil3d

tom

IceCub

tom

IceCub

emil3d

IceCub

emil3d

icsfails

IceCub

icsfails

~Empathy~

IceCub

~Empathy~