Mesaje recente

Members
Stats
  • Total Posts: 17,786
  • Total Topics: 1,234
  • Online today: 178
  • Online ever: 340
  • (Yesterday at 00:10)
Users Online
Users: 0
Guests: 130
Total: 130

I got hacked!

Started by IceCub, 18 February 2008, 10:33

Previous topic - Next topic

0 Members and 3 Guests are viewing this topic.

IceCub

Salutare,
Intamplarea face ca am fost hackerit, cineva a intrat in calculator folosind remote desktop connection si a sters tot. Partea "fericita" este ca fisierul de log al firewall-ului a scapat intact si astfel am reusit sa identific IP-ul atacatorului si mai departe providerul (e din acelasi oras). Intrebarea mea este, ce sanse am de a obtine numele/adresa individului de la provider pentru a avea o "discutie" cu individul? :nervos:

emil3d

in orice companie confidentialitatea este regula numarul 1
in concluzie oricine iti da informatii despre omul respectiv poate fi dat afara cum ai zice peste
calea legala de a obtine astfel de informatii este de a face plangere la politie.
mai departe nu stiu care sunt procedurile

tom

Plangere la politie si o doza buna de optimism.

Dar de ce a putut sa se conecteze la PCul tau? Remote Desktop de ce accepta conexiuni de oriunde ? Si de ce a gasit un User / Pass valid? Ai pierdut fisiere importante ?

IceCub

Quote from: tom on 18 February 2008, 11:14
Dar de ce a putut sa se conecteze la PCul tau? Remote Desktop de ce accepta conexiuni de oriunde ? Si de ce a gasit un User / Pass valid? Ai pierdut fisiere importante ?

Greseala mea, din cate am putut sa deduc, este ca m-am logat pe sistemul de acasa de pe cateva calculatoare asupra carora nu am certitudinea ca erau "curate". Probabil un keylogger...
Sistemele de pe care ma logam de obicei (2 la numar, ambele la birou) le-am luat la puricat si am vazut ca sunt curate.

De pierdut, am pierdut tot, reusind sa recuperez o mica parte din documente. Am incercat mai multe softuri de recuperare, dar fara prea mult succes. Oricum, doua dintre partitiile afectate le-am lasat neatinse pentru a mai incerca cateva solutii de recuperare a datelor.

tom

Toate OS urile sunt Windows XP ? Ca protocolul folosit de Win XP ( si VNC in general )  pentru remote desktop e plin de gauri de securitate ( care cica vor fi corectate in SP3 ).

IceCub

Sistemul de acasa (cel afectat) este Vista cu toate updateurile la zi. Sistemele de pe care m-am logat sunt unele cu WinXP si craptopul cu Vista. Din cate stiam, protocolul folosit de Windows pentru remote desktop connection era destul de sigur.  :unsure:

emil3d

cand vine vorba de m$... nimic nu e sigur.
Iti recomand pe viitor sa nu ai altceva deschis din firewall decat portul pe care se conecteaza o solutie VPN.
Si aia sa nu fie bazata pe autentificare doar user/password

IceCub

Quote from: emil3d on 18 February 2008, 13:11
Si aia sa nu fie bazata pe autentificare doar user/password

Bun, sa spunem ca pe viitor voi apela la VPN, ceea ce clar nu ma va proteja de o eventuala interceptare a parolei cu un keyloger.
Presupun ca ar trebui sa fac... "cumva" sa restrictionez conexiunile pe portul de Remote Desktop Connection si la VPN astfel incat sa fie permisa conectarea numai de la anumite IP-uri definite. O sa vad diseara ce optiuni am in router si/sau firewall-ul din Vista.

Alte idei?  :unsure:

emil3d

http://openvpn.se/

faci un server de vpn
deschizi portul 1194 UDP din firewall  si inchizi restul
deschizi portul pe interfata de VPN(o interfata de retea virtuala)

autentificarea la openvpn se face pe baza certificatelor digitale la care poti sa pui si parola, cu alte cuvinte poti intra numai tu si ai totul compresat si criptat
cand intrii sa accesezi calcualtorul de acasa cu remote desktop sau cu ce altceva vrei intrii de fapt pe ip-ul privat

that's the whole ideea

icsfails

problema cu keyloggerele ramane.
ai putea sa incerci sa te autentifici pe statia de acasa cu certificate self-signed, pe care sa le revoci cand ti-ai terminat treaba.

Nu am incercat inca, dar ar putea merge, parerea mea :nino:
The two basic principles of Windows system administration:

* For minor problems, reboot
* For major problems, reinstall

IceCub

Trebuie sa studiez problema cu certificatele... momentan sunt cam in ceata in ceea ce priveste "procedura de lucru". E clar ca nu ma voi mai lasa la mana unei combinatii user/pass.

icsfails

The two basic principles of Windows system administration:

* For minor problems, reboot
* For major problems, reinstall

~Empathy~

Evident autentificarea trebuie facuta printr-un certificat digital...
We dance, and the music dies...

IceCub

Presupunand ca vreau ca "simplific" lucrurile, am decis ca fac urmatoarele (cel putin momentan):
- am modificat portul implicit (3389) pe care il foloseste Remote Desktop Protocol
- am instruit firewall-ul din Vista sa permita conexiunile pe portul respectiv doar de la un anumit IP (cel de pe care ma conectez de obicei).

O fi suficient?  :unsure:

~Empathy~

Quote from: IceCub on 18 February 2008, 20:02
am modificat portul implicit (3389) pe care il foloseste Remote Desktop Protocol

Pfft... Security by obscurity -- nu ajuta la nimic. De parca e greu sa dai un nmap.

Quote from: IceCub on 18 February 2008, 20:02
am instruit firewall-ul din Vista sa permita conexiunile pe portul respectiv doar de la un anumit IP (cel de pe care ma conectez de obicei).

Asta ar trebui sa setezi din conf-ul serverului...
We dance, and the music dies...