Fórum Root.cz
Hlavní témata => Sítě => Téma založeno: 3ugeene 07. 06. 2024, 08:46:22
-
Ahoj, od včera řeším kuriózní případ.
Pracuju si doma a najednou za mnou do bytu vlítli 2 zaměstnanci z bývalé práce (rok a pul tam nejsem) A naprosto jednoznačně mne začli knfrontovat, že jim dva dny z mé ip adresy hackuju weby, které spadly, čímž jsem způsobil nějakou hroznou ztrátu na objednávkách a že mě dávají žalovat. Celou dobu jsem přemýšlel jak a co se potenciálně mohlo stát.
Tvrdili, že jim ISP poskytl informaci o ip - místo, jméno, objekt.. Já mám ip veřejnou, vedou na ni domény, takže si to kdokoliv mohl zjistit. Tohle asi ze zákona možné stejně není, ne?
Postupem času se v konverzaci začly věci trochu měnit - prý to nebylo hackování, ale jednomu zaměstnanci údajně uniklo heslo (v tu chvíli mi sami řekli, že zaměstnanec to heslo má napsané na papírku na monitoru) a útočník navštěvoval nějaké části systému - konkrétně docházku a ceníkový list produktů. Nevím, k čemu by mi byla docházka, ale i ten ceník, kdy si můžu svobodně ceny zjistit na webu (pravda, asi to není na jendom místě v jedné tabulce).
Byl jsem hned za tou kolegyní a ano, prý se to s ní řešilo, ale heslo jsem nikdy vidět nemohl, protože ho na papírku sice má, ale schované v nějakých deskách.
První věc, co mě napadla je, že se jedná o zastrašování, poté mě napadlo, že se mi někdo napojil na wifi, ale útoky prý šly ode mě a z dalších míst. A i kdyby to bylo hacknutou wifinou, je to skutečně zvláštní, protože jsem bývalý programátor toho hacknutého systému a nebudu lhát, věci, které mi tvrdili, zněli přesvědčivě, jenže s mnoha ALE.
Nakonce byli s problémem na kriminálce (navšívil jsem ji také a bylo mi to potvrzeno), takže asi můžu čekat nějaké budoucí předvolání.
Celkově tu s tím nikoho nechci zatěžovat, ale reálně by mne zajímalo, jestli je nějak možné zneužít veřejnou ip adresu, kterou si platím? A spíš celkově, jaký na tohle máte názor
Taky doma hackujete weby z vaší veřejné domácí ip v domění, že se to nikde neloguje?
-
Musí dokázat, že si to byl ty. Ty můžeš právě argumentovat tím, že na svou Wi-Fi se může připojit kdokoliv. Stejně tak ti mohl někdo třeba nabourat VPN.
Motiv asi najdou, jestliže to je tvůj bývalý zaměstnavatel. Pokud si měl například firemní laptop, můžeš tvrdit, že heslo k domáci Wi-Fi měl i tvůj zaměstnavatel, protože ses s laptopem připojoval doma. Ty nějaký motiv taky najdeš, třeba žárlícího kolegu z IT...
Otázkou taky je, jaké důkazy předloží, protože nějaký texťák s tvou IP se dá snadno vyrobit, to by třeba museli potvrdit ješlo logy od ISP.
Ty si k heslu fyzický přístup neměl, takže si ho mohl těžko zneužít. A nikdo snad nebude tvrdit, že to heslo je už dva roky stejné a uložené ve stejných deskách, ne?
Každopádně, zálohoval bych si data mimo bydliště, kdyby to kriminálka vzala vážně a rozhodla se tě navštívit a odnést si disky.
-
Za mne podvrhnout zdrojovou IP adresu je zcela lehký. Čemu nerozumím tak je hacknutí webů a jejich následný výpadek. Měl to být DDoS útok na schození serverů nebo by byl člověk tak blbej a s pomocí hesla od roota by jim útočník vypl servery tak, aby se prozradil ? :D
Kde není žalobce tam není soudce, ale bez důkazů firmy a zprávy od právníka nebo kriminálky bych sám netušil proti čemu se jdu teda obhajovat.
Nehledě na to, že existujou určitě v tý firmě nějaký interní směrnice IT a není zcela v pořádku mít někde napsaný heslo ať už na papírku na monitoru nebo někde v deskách.
Další věc je, že pokud vidím že mi dva dny někdo "útočí" na něco mého tak budu čekat než se něco stane a nebo budu proti tomu něco dělat ? Buď vůbec nechápou co se stalo a nebo hledají na koho hodit vinu dle mého.
-
este prosim dopln ci to bol pristup na DB alebo aplikaciu/ cez vpn alebo napriamo?
pouzival si v tej praci svoje zariadenia na pristup alebo si mal firemny laptop?
-
Co se tyce toho ISP, kdyz jsem patral po jedne IP, tak me ISP odbyl s tim, ze z duvodu GDPR mi nemuzou poskytnout informaci o klientovi.
Jak k Vam do bytu vlitli 2 zamestnanci? To jste je pustil?
Ano, lze zneuzit verejnou IP, ale pokud to neni primo z dane site, tak by to vyzadovalo pristup na urovni ISP.
-
Za mne podvrhnout zdrojovou IP adresu je zcela lehký.
U TCP spojení? Leda byste měl v moci nějaký router po cestě.
-
Za mne podvrhnout zdrojovou IP adresu je zcela lehký.
U TCP spojení? Leda byste měl v moci nějaký router po cestě.
Je to jak jsem říkal, bez nějaké detailní zprávy o útoku se lze jen domnívat co a jak se stalo. Informace měla být taková že ano jde podvrhnout zdrojová adresa.
-
Díky všem za informace
1. do bytu jsem je vpustil. Respektive tam vlezli (telefonoval jsem, nechal jsem otevřené dveře) Ale jestli můžou dál se zeptali až uvnitř. Detail, neřeším
2. jednalo se, co jsem teda nakonec pochopil o officiální přihlášení aktuálního zaměstnance. Prý koukali na logy (asi server) a tam bylo několik desítek spojení z té mé ip, ale i dalších míst. Mluvili něco o tmobile, který nemám. VPN nepoužívají, respektivě za mě neexistovala.
3. tvrdili, že od samého začátku zkoumali co se děje a že díky "velkorysosti ISP" je to dovedlo ke mně domů.
4. neměl jsem v té práci laptop, ale stolní PC, občas jsem s ním doma dělal a připojoval jsem se na wifi jak v práci, tak doma. Nicméně počítač jsem navrátil v původním stavu přeinstalovaný na win10, protože jsem užíval linux.
Volal jsem i na isp, tam mi nakonec volal technik a obecně jsem se ho ptal, co se potenciálně mohlo stát a zda může mou ip vyšetřit. Ale víceméně jsem se nedozvěděl nic, jen vágně to, že tam nic extra nevidí. Dnes ráno jsem jště napsal písemnou žádost o spolupráci mém ISP, čekám na odpověď.
-
Jestliže hoši z bývalé práce naběhli k tobě domů předtím, než to s tebou začala řešit Policie, tak to jsou podle mě amatéři. Na to snad přímo pamatuje trestní zákoník, nejspíš § 366. Taky bych řekl, že to znamená, že oni žádné relevantní důkazy nemají. Mají jenom podezření, které si mohli klidně vybájit. Oni patrně chtějí po Policii, aby to za ně vyřešila. A je otázka, jak bylo podáni TO a jak to Policie pojme.
-
Tady asi vůbec nejde o detaily, ale o ochranu osoby.
Vždycky říkám, neříkej nic nikomu, jen si přitížíš, takže doporučuji nevypovídat, ať je to či není tvoje vina, to je úplně jedno.
Na kriminálce, nikde, nic neříkej, může se ti zdát, že to vysvětlíš, ale většinou, jaká je poslední věta, než vás odsoudili "já to vysvětlím".
Pokud dojde obvinění, jdi k právníkovi, a nech se hájit. Dál bych se o to asi nezajímal
IP adresa je slabý důkaz, navíc třeba si to i vymysleli, nebo máš něco na počítači starého, co se tam automaticky připojuje, nebo nějaké pozůstatky, nebo někdo hacknul tebe, těch možností je spousta.
Nicméně čím víc se v tom budeš šťourat, tím víc je šance, že budeš jako hlavní podezřelý na kterého se něco vyhrabe.
-
Jakoze tvuj ISP dal nejaky info JIM? Tam bych zpozornel (podle me pohadka z jejich strany).
Hele dve dobre rada tu zaznely:
1) geograficky oddelena zaloha protoze nikdy nevis co koho napadne.
2) jinak ignorovat. Firma bude vzdy tahat za vyrazne kratsi konec a bude na ni dukazni bremeno. Mel jsi je okamzite vyhodit za dvere. A hlavne nevypovidej bez advokata. A pozor! Hlavne si ani NEPOVIDEJ s nikym bez advokata. Fizlove jsou schopny z toho varit.
-
Jakoze tvuj ISP dal nejaky info JIM? Tam bych zpozornel (podle me pohadka z jejich strany).
Taky si myslím, že kecaj.
-
Díky
1. ano, info prý získali od ISP, když jsem se osočil GDPR, tak řekli, ať neřeším, že mají svoje cesty.
2. prý šli nejdřív za mnou z dobré vůle a když se přiznám, dají pokoj.
-
a jestlize ti na tve verejne adrese jedou sluzby jako weby apod. tak nemuzou mit diru a nekdo je zneuzil a pak zneuzil tvuj pocitac k pristupu do firmy?
-
a jestlize ti na tve verejne adrese jedou sluzby jako weby apod. tak nemuzou mit diru a nekdo je zneuzil a pak zneuzil tvuj pocitac k pristupu do firmy?
Hmm, to je něco, co mě nenapadlo. Mám tam jeden statický web, ale nějaké docker věci, které jsem za heslem přístupné z webu. Některé spoléhají na bezpečnost té aplikace, ale spousta jich je i za slušně zaheslovaným http basic auth. Aktualizuju to dost často. Ale není to vůbec špatný poznatek
-
Taky je možný, že kolegové z bývalé práce už dávno věděli kde bydlíš, a vymluvili se, že jim to sdělil až ISP. Jesliže věděli kde bydlíš, klidně mohli z tvé sítě útočit oni, však dávno platí, že pachatel s vrací na místo činu...
Pokud ISP něco sdělil o tvé osobě, tak je to na podmět na UOOU, nebo na žalobu. To samé tvůj bývalý zaměstnavatel, protože kolegové přece nemohou mít přístup k adresám bydliště (bývalých) zaměstnanců. Docela by mě zajímalo, jaký měli ti, předpokládám ajťáci, za mandát provádět nějaké pátrání v terénu. To přese není standardní postup zjišťovat si informace o IP a pak tam jí zaklepat na dveře. Co na to BOZP?
Pokud vešli otevřenými dveři, mohou tvrdit, že klepali, zvonili, volali ale nikdo nepřišel, tak se šli podívat dovnitř, zda se něco nestalo, tj. tohle bude nepostihnutelné. Pochopitelně, pokud by třeba existoval záznam z kamery, jak přelezají branku a pak jdou rovnou do domu, to by byla jiná.
Prostě habaďůra. Asi zakrývají nějaký svůj průser pácháním jiného průseru. Ale story je to jak ze špatné kriminálky...
Počkej na výzvu k podání vysvětlení, tam musíš jít. Tam buď odmítni podat vysvětlení, nebo řekni pravdu. Odpovídej pouze na dotazy, sám nic nevyprávěj, protože není co. Pochopitelně můžeš nějaké skutečnosti zamlčet, že. Určitě bych jim neříkal, kolik máš doma počítačů a podobně, protože by si pro ně mohli přijít... Právníka můžeš mít s sebou, ale ten může na celou věc jen dohlížet.
-
Pokud ISP něco sdělil o tvé osobě, tak je to na podmět na UOOU, nebo na žalobu. To samé tvůj bývalý zaměstnavatel, protože kolegové přece nemohou mít přístup k adresám bydliště (bývalých) zaměstnanců.
predpokladam, ze tazatel nema z cele navstevy nejaky zaznam na urovni dukazu tak to bude dost blby a vsichni vsechno zatlucou. ISP bude mlcet, zamestnanci reknou "jsem si to pamatoval jednou jak jsme se vraceli z pivka".
-
No ja bych si pockal na kriminalku a obvineni.
Doporucuji si poslechnout kluky ze CyberRengres, na podcastu meli dil kde se bavily co to znamena zajistit forenzni data...
Dobre peklo aby to bylo soudem uznatelne....
Ps.: myslim ze to byl tenhle dil ... https://open.spotify.com/episode/4Sqg4IqKBOQCU1h1Opozud?si=0f2a30c88d364dbe (https://open.spotify.com/episode/4Sqg4IqKBOQCU1h1Opozud?si=0f2a30c88d364dbe)
-
kluci, ani nevíte, jak mě mrzí, že kameru, kterou doma mám namířenou právě na vstupní dveře, zrovna nebyla zapojená. A to myslím vážně :D
Jinak to nebyli IT, ale víceméně zástupci v té firmě.
Celkově to bylo divné, tvrdili, že isp je navedlo do toho baráku, ale ne přímo do bytu. Já jim sdělil, že moje ip je veřejná a tedy si ji kdokoliv teď hned může najít na internetu. Za deset minut mu přišla záhadná sms, že mají od ISP potvrzený i byt. Večer mi poslal smsky, kde mi ještě "z dobré vůle" tu ip adresu napsal. Potvrdil jsem, že ano, že to je má veřejná ip, kteá není tajná a volně dostupná.
je to zvláštní
-
Taky je možný, že kolegové z bývalé práce už dávno věděli kde bydlíš, a vymluvili se, že jim to sdělil až ISP. Jesliže věděli kde bydlíš, klidně mohli z tvé sítě útočit oni, však dávno platí, že pachatel s vrací na místo činu...
tohle věděli. A je to první věc, co mě napadla
-
Informace měla být taková že ano jde podvrhnout zdrojová adresa.
Což je ovšem informace úplně k ničemu, pokud nedodáte to B, že v případě spojení (což je třeba TCP spojení) je vám podvržení zdrojové IP adresy k ničemu, protože odpověď přijde skutečnému držiteli IP adresy, takže se spojení vůbec nenaváže. Takže s podvrženou IP adresou můžete dělat nějaký typ DoS, ale rozhodně ne se přihlašovat k webu kradeným heslem.
-
Informace měla být taková že ano jde podvrhnout zdrojová adresa.
Což je ovšem informace úplně k ničemu, pokud nedodáte to B, že v případě spojení (což je třeba TCP spojení) je vám podvržení zdrojové IP adresy k ničemu, protože odpověď přijde skutečnému držiteli IP adresy, takže se spojení vůbec nenaváže. Takže s podvrženou IP adresou můžete dělat nějaký typ DoS, ale rozhodně ne se přihlašovat k webu kradeným heslem.
taky si myslím, že by se stalo tohle
-
Informace měla být taková že ano jde podvrhnout zdrojová adresa.
Což je ovšem informace úplně k ničemu, pokud nedodáte to B, že v případě spojení (což je třeba TCP spojení) je vám podvržení zdrojové IP adresy k ničemu, protože odpověď přijde skutečnému držiteli IP adresy, takže se spojení vůbec nenaváže. Takže s podvrženou IP adresou můžete dělat nějaký typ DoS, ale rozhodně ne se přihlašovat k webu kradeným heslem.
A proto také v mém komentáři je to, že nevíme o jakém útoku jestli DDoS nebo vzdáleném připojení se bavíme :)
-
Kdyz te to kouse, tak bych se obratil na nejakeho duvernika z te prace, ze "kamo - co to tam mate za problemy?", protoze kdybys jim fakt chtel jakoze skodit kvuli tomu ze znas interni systemy a mas hesla/klice, ktere sis ulil - tak to prece nebudes delat ze sve domaci verejne IP.
Dotaz - odesel jsi po nejakych problemech, nebo to byl normalni casove omezeny ukol kdyz jsi tam delal?
Ja mam pocit ze se snazi na tebe neco hodit, protoze jim to zapada do obrazu, zes byl jednou cu*ak, tak si te podaji jeste jednou za odplatu.
Technicky vzato: pouzivat verejne systemy muze kdokoliv - takze tvoje IP v logu neni zadny problem. Pokud jim jedna adresa zpusobila DoS, tak maji problem hlavne oni - a meli by tomu zamezit do budoucna, kdyz je polozi par requestu. Pokud byl pristup nekam do interniho systemu - kde se nekdo musi autentifikovat - tak je to znova jejich problem, ze nerevokovali po pul roce pristupove udaje. Jiste - stane se, ze heslo/klic je nekde ulozenej u ex zamestnance, ale aby fungoval, tak to je problem hlavne te firmy.
Jsem zvedavej co bude dal, informuj nas! :)
-
...
díky, všechno, co říkáš mi taky dává smysl. Samozřejemě jsem to šel hned řešit, teď ještě čekám na ten mail od ISP, zatím nic.
Psal jsem pár lidem, co tam dělají a nikdo absolutně nechápal a mysleli si, že si dělám legraci. Oslovil jsem i jednoho bývalého zaměstnance, který skončil normálně a bylo mu vyhrožováno jen pro to, že si založil konkurenční firmu (o velikosti asi 1/100 toho zaměstnavatele). Prý se otočil za právníkem a ten řekl, že nedělá nic špatně, tak mu dali asi pokoj.
Dokonce mě tam tvrdili, jak systémy nešly "bůhví jak dlouho" a že ztráty na objednávkách. X bývalých kolegů mi potom nezávisle na sobě potvrdilo, že to jeden den nešlo 30minut a druhý den to samé, ale spíš to jen vypadávalo. Nevím.
Celkově tam nesedí spousta věcí a přišlo mi, že si v tu chvíli vymysleli něco, čím můžou reagovat na něco, co jsem zrovna řekl.
Jinak odešel jsem mou výpovědí kvůli (z mé strany) chaosu v organizaci s tím, že bych rád ukončil zaměstnanecký poměr, ale dál u nich na zkrácený úvazek dělal na ičo. Měli jsme se s majitelem domluvit, 4x jsem ho žádal o schůzku, ale vyhýbal se mi, tak jsem to neřešil a skončil a od té doby pracuju na sebe.
-
Pokud jim jedna adresa zpusobila DoS, tak maji problem hlavne oni - a meli by tomu zamezit do budoucna, kdyz je polozi par requestu.
DoS znamená „Denial of Service“ a jde o jakýkoli útok, kdy nedojde k průniku do cílového systému, nedojde k nějakému odcizení nebo poškození dat, ale stejně dojde k odepření přístupu k té službě. Vy si představujete útok jako zahlcení množstvím požadavků, ale DoS útoky mohou být i jiné – třeba požadavek, který aplikaci shodí, zacyklí ji, vyčerpá paměť, zahltí CPU apod.
(Samozřejmě že i pro ty případy platí, že pokud je možné takový útok provést, má provozovatel problém.)
-
...
Údajně se tohle stalo. Ten přihlášený lezl do docházky a do modulu, který se napojuje na db ostatních webů a ten způsobil pád všech webů okolo. Ten modul jsem dělal dokonce já ale nikdy mi to nespadlo, jen ten dotaz trval dlouho, takže si člověk počkal.
Já už popravdě nevím, co si sem můžu dovolit napsat, aby z se z toho ještě nestaly argumenty proti mě.
-
Já už popravdě nevím, co si sem můžu dovolit napsat, aby z se z toho ještě nestaly argumenty proti mě.
Treba je potkal nejaky tezko identifikovatelny/replikovatelny bug, kdyz to pak vse popadalo.
Z toho co pises ze si to leze skrz weby/db me napada typicky nejaky deadlock nebo spis kruhova zavislost - takze prvotni akce zpusobi requesty jinam, a z jinama zas zpet, a nikdo nekontroluje zda se to nahodou nemota v kolecku a padne to az se vycerpaji resources.
Ale by v tom hrala roli i tvoje IP.. to bys musel mit nasazen nejaky modul treba v lokalnim testovacim prostredi ktery pak utekl a povidal si s tou produkci u nich.
-
To je pravda. Nejsem tam rok a půl a nevím, co tam na tom kdo dělal, upravoval, rozbil. Ale samozřejmě se nevyhýbám ani faktu, že to bylo udělaný nahovno už ode mě 😀
-
Odisiel sam, a zacne skodit po roku a pol ? Rano proste staval lavou nohou (nasr.ty na cely svet), a povedal si: "Co komu dnes vyvediem ?" Toto proste nesedi ...
-
Ale samozřejmě se nevyhýbám ani faktu, že to bylo udělaný nahovno už ode mě 😀
Problem za zaměstnavatele - měl mít seniory a code review
-
Ještě projíždím ty docker kontejnery a potenciálně podezřelé a zneužitelné mi přijde proxy (squid). Hned jsem ho radši vypnul, ale nemám tam ani logy kvůli místu na disku.
Přístup k němu je na login a heslo, nic extra složitého, ale asi ne nemožné to rozluštit. Nevim jak reálné je třeba Brute forcem tohle zneužít?
-
A ještě tam mám u pfsense wireguard. Ten mi neprijde moc jednoduše zneužitelný, ale pouzival jsem ho na tom pc v práci. Takže zase možné zneužití klíčů? To už ale asi snad jen v případě, že by nekdo vyndal disk z pc a pripojil ho nějak externě a nebo nabootoval nějaký live cd a vybral to z disku
-
Což pak taky samozřejmě už může platit i o ssh klíči
-
Soryjako, ale ty jsi jim předal při odchodu počítače, na kterých byly klíče/hesla ke tvým soukromým systémům a na těch systémech jsi ty klíče/hesla nezměnil?
-
Tvůj příběh je až příliš dlouhý abych ho četl celý.
Nicméně spolupráce, a ev. přiznání je vždy polehčující okolnost!
K soudu se nechodí pro spravedlnost, ale pro rozsudek.
Myslím si, že kolegové tu vymýšlí všemožné fantasmagorie o tom, že se ti někdo naboural do sítě atd.
Všechno je sice možné, ale také zároveň velmi nepravděpodobné.
Jestliže tvá IP adresa figuruje v záznamech u ISP, a zároveň u cíle kam byl prováděn nějaký útok, tak je to pouze tvůj problém, protože ty sám jsi útočník.
A jestliže máš nezabezpečený počítač a někdo zprostředkovaně podnikal útoky z tvého počítače tak i za to jsi zodpovědný jenom a přímo ty. Toto je technická zodpovědnost. Nelze odsoudit počítač (nehmotnou věc), ale vlastníka ano.
-
Tvůj příběh je až příliš dlouhý abych ho četl celý.
Ano, jsem it technik, ne bůhvíjaký profesionál, ale vím jak tyto věci fungují a samozřejmě mi přijde spousta věcí možných, ale nepravděpodobných.
Já tu řeším jen to, že mě z firmy, kde rok a půl nejsem usvědčili za to, že jsem se tam přihlašoval kradeným heslem a způsobil pád systému. Zatím to nemám nijak ověřené, ale zkrátka zjišťuju předběžně, co se mohlo stát.
Nenapadá mě motiv, ale tam si každá strana může vymyslet co chce. Já tu jen řeším to, že když vím, že jsem se tam přímo já nepřihlašoval a to heslo jsem ani nemohl znát, co se případně kde mohlo stát jinak.
Ono to taky, a to jsme zase v extrémních situacích, mohlo stát to, že mi někdo vybrakoval počítač tehdy v té firmě, odcizil přístupové klíče a teď si po roce smyslel, že se mi nijak pomstí.
V té firmě jsem obecně neměl špatné vztahy, párkrát jsme se tam s někým z jiných oddělení poštěkali, ale to byly typické věci typu "chceme to hned, zejtra to musí bejt", což se dějě, podle mě snad v každý firmě. Ale nikdy nic katastrofálního.
-
Po několika posledních příspěvcích už tušíš, odkud vítr fouká. Hledej někoho, kdo mohl tvé klíče/hesla v minulosti v bývalé firmě odcizit a z tvé bývalé firmy nedávno odešel ne zrovna za ideálních okolností. Dotyčný se nemusel mstít tobě, ale tebe zneužil.
Tvé logy by taky napověděly, služby jako wireguard nebo squid mají své specifické porty. I kdyby to bylo z nějaké VPNky, ale aspoň budeš tušit, že vše je pravděpodobné a kdy se to mohlo stát.
-
Soryjako, ale ty jsi jim předal při odchodu počítače, na kterých byly klíče/hesla ke tvým soukromým systémům a na těch systémech jsi ty klíče/hesla nezměnil?
Nahoře píšu, že ne. Pc jsem vratil s původním os. Ale když jsem tam měl pracovně linux , tak byl ten pc celou dobu buď v kanclu a nebo doma. Disk šifrovaný nebyl - požadavek na to nedostal.
-
Pokud by platil scénář, že se k tobě někdo buď naboural, nebo přímo měl k dispozici klíče/hesla, pomocí kterých se na tvůj server připojil a odtud pak přistupoval do bývalé firmy, musí to mít ISP v logách. Zkus si od ISP vyžádat veškeré logy, nejméně z inkriminované doby, a pokus se napárovat spojení z tvého serveru do bývalé firmy s jinými podezřelými spojeními z +- té samé doby.
-
Po několika posledních příspěvcích už tušíš, odkud vítr fouká. Hledej někoho, kdo mohl tvé klíče/hesla v minulosti v bývalé firmě odcizit a z tvé bývalé firmy nedávno odešel ne zrovna za ideálních okolností. Dotyčný se nemusel mstít tobě, ale tebe zneužil.
Tvé logy by taky napověděly, služby jako wireguard nebo squid mají své specifické porty. I kdyby to bylo z nějaké VPNky, ale aspoň budeš tušit, že vše je pravděpodobné a kdy se to mohlo stát.
Uvidíme, čekám tedy na nějaké předvolání a tam řeknu, co vím
-
Pokud by platil scénář, že se k tobě někdo buď naboural, nebo přímo měl k dispozici klíče/hesla, pomocí kterých se na tvůj server připojil a odtud pak přistupoval do bývalé firmy, musí to mít ISP v logách. Zkus si od ISP vyžádat veškeré logy, nejméně z inkriminované doby, a pokus se napárovat spojení z tvého serveru do bývalé firmy s jinými podezřelými spojeními z +- té samé doby.
Tomu jsem hned ve čtvrtek volal a psal i mail. Z telefonátu mi technik neřekl vesměs nic. Na mail zatím neodpověděli
-
Soryjako, ale ty jsi jim předal při odchodu počítače, na kterých byly klíče/hesla ke tvým soukromým systémům a na těch systémech jsi ty klíče/hesla nezměnil?
Nahoře píšu, že ne. Pc jsem vratil s původním os. Ale když jsem tam měl pracovně linux , tak byl ten pc celou dobu buď v kanclu a nebo doma. Disk šifrovaný nebyl - požadavek na to nedostal.
Nechápu, že někdo nemá v dnešní době (firemní) počítač šifrovaný, ale budiž - je to pak možnost, jak se někdo nepovolaný mohl k přístupovým údajům dostat. Jen to asi nebude jak prokázat a bude to tvrzení proti tvrzení :-(.
-
Pokud by platil scénář, že se k tobě někdo buď naboural, nebo přímo měl k dispozici klíče/hesla, pomocí kterých se na tvůj server připojil a odtud pak přistupoval do bývalé firmy, musí to mít ISP v logách. Zkus si od ISP vyžádat veškeré logy, nejméně z inkriminované doby, a pokus se napárovat spojení z tvého serveru do bývalé firmy s jinými podezřelými spojeními z +- té samé doby.
Tomu jsem hned ve čtvrtek volal a psal i mail. Z telefonátu mi technik neřekl vesměs nic. Na mail zatím neodpověděli
Možná to radši zkus osobně nebo doporučeným dopisem. Ať máš co nejdřív k dispozici data, která můžeš případně použít na svou obhajobu.
-
Díky, pobočka je i v mém městě nejdřív tam zkusím zajít a případně pošlu dopis. Asi to bude lepší
-
Uvidíme, čekám tedy na nějaké předvolání a tam řeknu, co vím
Nic takovýho se nestane. A sami teď mají strach ze svých preslapu (a pokud to tu čtou tak se náramně baví jak ti to nandali).
Oni vědí, ze nic nemají. Rozhodne ne z pohledu potenciálního soudu. Dej si pivko a vůbec to neřeš a hlavně nikde nic neříkej ACABum ani jen tak bokem. To bys udělal to nejhorší. Pravda fizly nezajímá, ti jen potřebuji předat případ dal a tím jim ve statistikách svítí jsko objasněno.
-
osobne si myslim, ze z toho robis nespravne kovbojku.
To, ze Ti niekto pride a povie nejake nezmysly nie je nieco co by Ta malo zaujimat. Ked uz si nedopatrenim zabil cas a vypocul si zastupcov Svedkov Jehovovych, nie je dovod aby si dalej skumal co sa dialo uplne mimo Teba.
Ked Ta zavolaju policajti, tak po pravde: "nic neviem, netusim o com sa hovori, mozte mi dat podklady, aby som ich mohol zalovat za ohovaranie?"
Jedine na co by som paranoidne sa pripravil, ze niekomu prepne v bedni a docasne mi zabavi domaci HW.
(t.j. kupim si disk, vsetko co mam doma tam nakopirujem a zanesiem k rodicom na povalu + zmazem zbierku detskeho porna)
-
Díky, snad máte pravdu a všechno se nějak vysvětlí
-
Pro: robin martinez
Ty nemusíš dělat vůbec nic.
A docela ti to i doporučuji!
Soudy fungují takto:
1. nemusíš vypovídat
2. nemusíš se sám sebe usvědčovat
3. jakékoliv prohlášení jaké dáš a oni o tom udělají záznam (a budou svědci) půjde proti tobě
4. oni ti musí prokázat
5. tvůj advokát to pak bude vyvracet, ale advokát, ty sám se do toho vůbec nepouštěj!!!
Takže jestli jsi to nebyl ty, tak si v klidu žij dále svůj běžný všední život, pakliže by jsi to tak činil a byl jsi za tím, a zde hledáš pouze moudro jak se z toho dostat, tak taky žij svůj všední život a nepřiznávej se.
Řeknu ti typický příklad. Chytnou tě v autě policajti, a zeptají se: "pane řidiči víte proč jsme vás zastavili" a ty odpovíš: "jel jsem rychle". V tomto případě je to pro ně konec a zaznamenají tvé doznání o přestupku, nic nemusí prokazovat, ty už nic nevyvrátíš protože jsi se dobrovolně a vědomě usvědčil, a oni pak vyměří pouze pokutu.
Kdyby jsi odpověděl: "nevím", tak je to půl na půl, buď ti to prokáží a nebo ne.
-
Popravdě jsem nikdy nic takovýho neřešil, takze vůbec nevím jak tohle funguje
-
Popravdě jsem nikdy nic takovýho neřešil, takze vůbec nevím jak tohle funguje
Jinak na pracovním ntb mám asi jen práci. Na serveru tuplem hovno, jen pfsense a docker s kravinama.
-
Soryjako, ale ty jsi jim předal při odchodu počítače, na kterých byly klíče/hesla ke tvým soukromým systémům a na těch systémech jsi ty klíče/hesla nezměnil?
Nahoře píšu, že ne. Pc jsem vratil s původním os. Ale když jsem tam měl pracovně linux , tak byl ten pc celou dobu buď v kanclu a nebo doma. Disk šifrovaný nebyl - požadavek na to nedostal.
A čirou náhodou se v práci neprovádělo nějaké automatické zálohování počítačů? Že by se pak do toho tvého počítače ani nemusel nikdo nabourávat napřímo někdy o polední pauze nebo v noci za svitu baterky?
-
Nn, to ne
-
Nic sám nepodnikat, nikomu nic neříkat a nevysvětlovat. Odpovídat jen na dotazy policie. Žádné spekulace, tím se do toho jen zamotáte. Oni nehledají jak k tomu došlo, oni hledají důkazy proti vám.
Z osobní zkušenosti vím o případu, kdy byla chyba v SW. Kolega tam měl někde něco zadrátováno natvrdo a začalo to padat až několik měsíců po jeho odchodu. Když to tvořil, tak potřeboval service usera pro danou službu. Ale toho mu korporát nedokázal vytvořit, tak tam použil svůj účet. Chyba firmy byla v tom, že měli jeho účty zablokovat hned jak odešel. Spadlo by to hned. Takhle se na to přišlo až když firma prováděla roční "úklid" před audity. A samozřejmě jako první začal panikařit pracovník, co ho to vzbudilo zprávami o neautorizovaném přístupu k interní síti. Že padá nějaký Jenkins job se zjistilo až později.
Další případ o čem vím je pevná IP adresa registrovaná ve VPN. Pracovník IT, aby mohl pracovat z domova, měl ve VPN registrovanou díru pro svou vlastní soukromou domácí IP adresu. Dodnes nechápu proč, ale měl. Zneužito to nebylo, jen to jednoho dne vyděsilo lidi, co dělali audit a našli "cizí" IP adresu hrabající se v interní síti.
No a nakonec ještě detail: IP adresu samozřejmě podvrhnout jde a TCP spojení pak může fungovat. Útočník musí mít kontrolu nad síťovými prvky na cestě. Pokud by mi firma X zaplatila, abych v jejich systémech vygeneroval aktivitu z IP adresy a.b.c.d, tak bych nasedl do auta, dojel do firmy, na jejich routeru si přihodil pár řádků do konfigurace, na svém notebooku si nastavil požadovanou IP adresu. A už můžu dělat, co chci. Pokud bych mohl být fyzicky přítomen v síti, ale bez možnosti ovlivnit router, tak i to by se podařit mohlo, byť s mnohonásobně větším úsilím (ARP poisoning apod.). Pokud nemám přístup do LAN a na dané IP adrese v internetu něco jede, tak je to skoro neřešitelné.
-
Odpovídat jen na dotazy policie.
Chyba! Tohle hlavně nedělej. Nevím a nepamatuju si jsou jedine dvě odpovědi pro fizly.
-
A jestli z toho mas nervy tak začni číst d-fens blog abys pochopil o co státu jde a jak s nim komunikovat.
-
Díky všem moc za rady a informace
-
Takýto scenár by som považoval za celkom pravdepodobný:
- zamestnanec A niekam nahral nesprávny súbor, pár minút im nefungoval web
- šéf zamestnanca A musel vysvetlovať svojmu šéfovi, čo sa stalo. Vedel, že zamestnanec A je debil, ale chcel ho chrániť. Tak si povedal, že povie šéfovi čokoľvek, aj tak tomu nebude rozumieť
- šéf šéfa za tým vidí úmysel a pokus o zlikvidovanie firmy. Chce to riešiť právnou cestou
- vo firme sa začnú diať veci a každý si chce zachrániť svoju vlastnú zadek
Toto považujem za pravdepodobnejšie než ip spoofing.