Como proteger um computador comprometido enquanto obtém provas contra o invasor

Navegue suas respostas
3

Eu tenho provas (não técnicas) de que minha empresa está me espionando, não no meu PC da empresa, mas no meu PC particular em casa. Essas evidências não serão válidas nos tribunais, então eu preciso de provas técnicas. Eu suspeito que minha empresa contratou um hacker para monitorar meu PC, mas eu preciso de provas técnicas para provar isso. E eu preciso encontrar uma maneira de bloqueá-los. Por favor, não pergunte sobre motivação, etc. Eu vou entrar em detalhes sobre o lado não técnico disso.

Eu sei que esta plataforma é muito rigorosa sobre questões "vagas", mas estou desesperado por uma solução e esta é a melhor plataforma que conheço especialistas em segurança. Então, por favor, não corte essa questão.

Meu PC doméstico: - Windows7 Premium com as atualizações de segurança mais recentes.

  • Firewall ativado com configurações padrão modificadas: o tráfego de entrada é bloqueado, exceto para os serviços do Windows (o acesso remoto foi desativado). O tráfego de saída está configurado para permitir serviços do Windows, cliente de e-mail (Claws Mail), navegador de última geração e a plataforma de jogos Steam
  • Antivírus: Avira Community Edition
  • Detecção de malware: pesquisa e & destruir
  • IPV6 foi desativado

Eu também uso as senhas da minha empresa para serviços privados (logon do Windows, e-mail particular), mas alterei isso recentemente. Agora estou usando o lastpass com uma nova senha mestre strong.

Meu telefone da empresa (iPhone4) recebeu acesso à minha WLAN privada, mas eu removi seu acesso e agora estou usando um tablet privado Nexus 7. Eu preciso fazer logon nos servidores da empresa em casa para acessar documentos e emails relacionados ao trabalho (parte do meu trabalho), para que eles possam ver meu IP com bastante frequência.

O que preciso saber agora são duas coisas:

  • Como posso proteger ainda mais a configuração da minha casa (instalar o Linux não é uma opção porque eu dependo do software do Windows. E sim, eu tentei o vinho)
  • Como posso pegar o hacker "no ato" para ter uma prova strong?
por Citizen Kane 09.02.2015 / 10:55

2 respostas

2

Esta questão é, na verdade, duas perguntas.

Para responder a esse incidente de segurança, você teria que coletar uma prova utilizável e, em seguida, proteger o computador.

Ter uma prova que você pode usar em tribunal pode ser difícil. Na verdade, se você defender seu caso contra um juiz (ou chefes de sua empresa), eles provavelmente tentarão mostrar que:

  • você não pode provar que as informações são genuínas e não as forjou.
  • as "intrusões" estão dentro dos limites da eventual política de segurança da empresa (que você deveria ter visto e assinado entre). É uma maneira de dizer que você aceitou isso.
O caminho a percorrer, seria ter uma pessoa credenciada (advogado especialista ??) realizando uma auditoria em seu computador, em seguida, liberando um relatório legal que poderia ser usado em tribunal. Para isso, você terá que continuar fazendo as coisas como de costume para permitir a coleta de dados. Uma auditoria post-mortem também pode ser realizada, mas é mais do que provável que isso não dê nenhum resultado utilizável, principalmente porque o computador é seu e você tem acesso total a ele.

Então, se você quiser ter alguma prova, você precisa procurar um conselheiro legal, que pode aconselhá-lo sobre o que fazer. Mas tenho certeza que o investimento não vale o prejuízo.

Na parte de segurança da questão: confiar em um computador comprometido conhecido não é realmente fácil. A menos que você possa avaliar a restauração completa de todos os arquivos no computador (verificando se seu sistema é original - e a ferramenta que você verificou também), você nunca terá certeza de que não há nenhum rastro de backdoors ou infecção por malware. . Então, a próxima melhor coisa é a limpeza completa e reinstalação do sistema operacional. Você faz a instalação off-line, em seguida, caminho on-line com as últimas atualizações. Então você precisará levar dispositivos para evitar corromper o sistema novamente.

Para se proteger, você deve primeiro fazer a seguinte pergunta: "Em quem eu confio". Se você não confia em sua empresa, então por que você instalaria o software deles, acessaria os servidores deles? Eu vou assumir que você precisa configurar um acesso VPN para poder usar as ferramentas que você precisa para trabalhar. Usar uma VPN é basicamente dizer "Eu confio nessa rede que estou conectando". Você pode pensar nisso como uma extensão de sua própria rede doméstica. Se você não confia no que está nessa rede, precisa isolar seu ambiente.

Você tem algumas soluções que diferem principalmente por sua conveniência e / ou preço. Você pode:

  • Obtenha um novo PC usado apenas para fins de trabalho.
  • Configurar um ambiente virtual com programas de máquinas virtuais (Virtualbox, etc ...)
  • Configure um segundo ambiente em um segundo disco no seu computador.

Seja qual você escolheu, você precisa garantir o isolamento do seu computador. Mais precisamente, você deve se certificar de que:

  • outros computadores da sua rede não podem ser acessados pelo seu ambiente seguro (filtragem de rede, regras de acesso)
  • outros dados no seu computador não podem ser acessados do seu ambiente seguro (disco rígido desconectado por ex.)

Então, basicamente, não dê acesso ao que você não quer compartilhar.

    
por 09.02.2015 / 12:40
1

Se o seu computador estiver comprometido, você não poderá confiar nele. Pode estar mentindo para você. Portanto, você precisa coletar evidências de um sistema em que confia. Tal como um roteador transparente em execução no modo promíscuo. A prova mais reveladora provavelmente seria uma captura de pacotes. Logs podem ser úteis; timestamping seria bom.

Se você tiver alguma evidência clara, prepare-se para beijar seu (s) computador (s) até o fim. Provavelmente haverá muitas oportunidades para você manipular evidências, o que é um fato que não funciona a seu favor. Uma coisa que pode ajudar a minimizar sua capacidade de adulterar uma cena de crime é que a polícia "marque e guarde" ... transporte seu computador para um laboratório forense de computadores, onde levará semanas para descobrir qualquer coisa.

Se isso estiver além de sua área de especialização, convém pedir ajuda a outra pessoa. Na verdade, conseguir uma pessoa imparcial pode ajudar no seu caso. No entanto, isso também pode ser uma despesa.

Tudo isso pode estar assumindo que o invasor é menos inteligente do que suas tentativas de capturar (o que significa: registrar) as ações do invasor. Se tudo que você faz é capturar pacotes e criar logs, mas eles não mostram nenhum sinal de ataque, então você não conseguiu nada benéfico para você mesmo (mesmo que os ataques estejam, de fato, realmente acontecendo). Por exemplo, fazer coisas fantásticas e loucas com um firewall pode não ajudar em nada se o ataque não ocorrer por meio de uma rede.

Se você conseguir fazer isso (ter o conhecimento técnico e o equipamento ou fundos suficientes para pagar por esse equipamento), criar uma imagem de unidade agora pode ser útil posteriormente. A imagem da unidade pode ajudar a mostrar o que mudou. Mas, se eles já instalaram o software de monitoramento, até mesmo sua primeira imagem pode estar infectada, o que limita a utilidade dessa abordagem.

Uma coisa que você não quer é que sua máquina Microsoft Windows seja unida ao domínio do Active Directory, se você estiver tentando mantê-los fora. Muitas pessoas não entendem isso; A adesão a um domínio do Active Directory pode ajudá-lo a acessar os recursos da empresa. Também lhes dá muito controle sobre o computador.

Se eles estão "espionando" você usando um firewall para ver quais sites você acessa, nada do que você faz no seu computador ajudará. Você poderia substituir todo o seu computador, e o dispositivo de firewall mal-intencionado ainda seria capaz de espionar o novo computador. Se o problema é que eles entraram na sua casa e substituíram o teclado por um que registra as teclas digitadas, e usa uma antena interna para transmitir as teclas pressionadas fora de sua casa, a substituição do firewall não resultará em nada. (E, limpar o disco rígido e reinstalar o sistema operacional, enquanto você ainda usa o teclado, não conseguirá nada.) Se eles estiverem espionando você usando uma câmera, eles se esconderam em seu escritório em casa, substituindo todo o computador. a tecnologia poderia realizar ... nada. O caminho certo para defender com sucesso o ataque deles dependerá do que eles fazem.

Muitas sugestões podem ser dadas; alguns podem ajudar, muitos podem não. Como o número de maneiras que um ataque pode ocorrer é aproximadamente dezesseis vezes multiplicado pelo infinito, não há um curso de ação claro que eu possa recomendar que garanta o sucesso; especialmente quando os detalhes que você fornece são tão vagos.

    
por 13.02.2015 / 09:17

Tags

Exibir tecla de atalho pressiona o Mac OS X Desativar webcam no Firefox