Možné zneužití veřejné IP adresy?

[to_je_jedno]

Ale samozřejmě se nevyhýbám ani faktu, že to bylo udělaný nahovno už ode mě 😀

Problem za zaměstnavatele - měl mít seniory a code review

[Reklama]

[3ugeene]

Ještě projíždím ty docker kontejnery a potenciálně podezřelé a zneužitelné mi přijde proxy (squid). Hned jsem ho radši vypnul, ale nemám tam ani logy kvůli místu na disku.

Přístup k němu je na login a heslo, nic extra složitého, ale asi ne nemožné to rozluštit. Nevim jak reálné je třeba Brute forcem tohle zneužít?

[3ugeene]

A ještě tam mám u pfsense wireguard. Ten mi neprijde moc jednoduše zneužitelný, ale pouzival jsem ho na tom pc v práci. Takže zase možné zneužití klíčů? To už ale asi snad jen v případě, že by nekdo vyndal disk z pc a pripojil ho nějak externě a nebo nabootoval nějaký live cd a vybral to z disku

[3ugeene]

Což pak taky samozřejmě už může platit i o ssh klíči

[rmrf]

Soryjako, ale ty jsi jim předal při odchodu počítače, na kterých byly klíče/hesla ke tvým soukromým systémům a na těch systémech jsi ty klíče/hesla nezměnil?

[Reklama]

[honzako]

Tvůj příběh je až příliš dlouhý abych ho četl celý.
Nicméně spolupráce, a ev. přiznání je vždy polehčující okolnost!
K soudu se nechodí pro spravedlnost, ale pro rozsudek.

Myslím si, že kolegové tu vymýšlí všemožné fantasmagorie o tom, že se ti někdo naboural do sítě atd.
Všechno je sice možné, ale také zároveň velmi nepravděpodobné.

Jestliže tvá IP adresa figuruje v záznamech u ISP, a zároveň u cíle kam byl prováděn nějaký útok, tak je to pouze tvůj problém, protože ty sám jsi útočník.
A jestliže máš nezabezpečený počítač a někdo zprostředkovaně podnikal útoky z tvého počítače tak i za to jsi zodpovědný jenom a přímo ty. Toto je technická zodpovědnost. Nelze odsoudit počítač (nehmotnou věc), ale vlastníka ano.

[3ugeene]

Tvůj příběh je až příliš dlouhý abych ho četl celý.

Ano, jsem it technik, ne bůhvíjaký profesionál, ale vím jak tyto věci fungují a samozřejmě mi přijde spousta věcí možných, ale nepravděpodobných.

Já tu řeším jen to, že mě z firmy, kde rok a půl nejsem usvědčili za to, že jsem se tam přihlašoval kradeným heslem a způsobil pád systému. Zatím to nemám nijak ověřené, ale zkrátka zjišťuju předběžně, co se mohlo stát.

Nenapadá mě motiv, ale tam si každá strana může vymyslet co chce. Já tu jen řeším to, že když vím, že jsem se tam přímo já nepřihlašoval a to heslo jsem ani nemohl znát, co se případně kde mohlo stát jinak.

Ono to taky, a to jsme zase v extrémních situacích, mohlo stát to, že mi někdo vybrakoval počítač tehdy v té firmě, odcizil přístupové klíče a teď si po roce smyslel, že se mi nijak pomstí.

V té firmě jsem obecně neměl špatné vztahy, párkrát jsme se tam s někým z jiných oddělení poštěkali, ale to byly typické věci typu "chceme to hned, zejtra to musí bejt", což se dějě, podle mě snad v každý firmě. Ale nikdy nic katastrofálního.

[Standa2017]

Po několika posledních příspěvcích už tušíš, odkud vítr fouká. Hledej někoho, kdo mohl tvé klíče/hesla v minulosti v bývalé firmě odcizit a z tvé bývalé firmy nedávno odešel ne zrovna za ideálních okolností. Dotyčný se nemusel mstít tobě, ale tebe zneužil.
Tvé logy by taky napověděly, služby jako wireguard nebo squid mají své specifické porty. I kdyby to bylo z nějaké VPNky, ale aspoň budeš tušit, že vše je pravděpodobné a kdy se to mohlo stát.

[3ugeene]

Soryjako, ale ty jsi jim předal při odchodu počítače, na kterých byly klíče/hesla ke tvým soukromým systémům a na těch systémech jsi ty klíče/hesla nezměnil?

Nahoře píšu, že ne. Pc jsem vratil s původním os. Ale když jsem tam měl pracovně linux , tak byl ten pc celou dobu buď v kanclu a nebo doma. Disk šifrovaný nebyl - požadavek na to nedostal.

[uwe.filter]

Pokud by platil scénář, že se k tobě někdo buď naboural, nebo přímo měl k dispozici klíče/hesla, pomocí kterých se na tvůj server připojil a odtud pak přistupoval do bývalé firmy, musí to mít ISP v logách. Zkus si od ISP vyžádat veškeré logy, nejméně z inkriminované doby, a pokus se napárovat spojení z tvého serveru do bývalé firmy s jinými podezřelými spojeními z +- té samé doby.

[3ugeene]

Po několika posledních příspěvcích už tušíš, odkud vítr fouká. Hledej někoho, kdo mohl tvé klíče/hesla v minulosti v bývalé firmě odcizit a z tvé bývalé firmy nedávno odešel ne zrovna za ideálních okolností. Dotyčný se nemusel mstít tobě, ale tebe zneužil.
Tvé logy by taky napověděly, služby jako wireguard nebo squid mají své specifické porty. I kdyby to bylo z nějaké VPNky, ale aspoň budeš tušit, že vše je pravděpodobné a kdy se to mohlo stát.

Uvidíme, čekám tedy na nějaké předvolání a tam řeknu, co vím

[3ugeene]

Pokud by platil scénář, že se k tobě někdo buď naboural, nebo přímo měl k dispozici klíče/hesla, pomocí kterých se na tvůj server připojil a odtud pak přistupoval do bývalé firmy, musí to mít ISP v logách. Zkus si od ISP vyžádat veškeré logy, nejméně z inkriminované doby, a pokus se napárovat spojení z tvého serveru do bývalé firmy s jinými podezřelými spojeními z +- té samé doby.

Tomu jsem hned ve čtvrtek volal a psal i mail. Z telefonátu mi technik neřekl vesměs nic. Na mail zatím neodpověděli

[uwe.filter]

Soryjako, ale ty jsi jim předal při odchodu počítače, na kterých byly klíče/hesla ke tvým soukromým systémům a na těch systémech jsi ty klíče/hesla nezměnil?

Nahoře píšu, že ne. Pc jsem vratil s původním os. Ale když jsem tam měl pracovně linux , tak byl ten pc celou dobu buď v kanclu a nebo doma. Disk šifrovaný nebyl - požadavek na to nedostal.

Nechápu, že někdo nemá v dnešní době (firemní) počítač šifrovaný, ale budiž - je to pak možnost, jak se někdo nepovolaný mohl k přístupovým údajům dostat. Jen to asi nebude jak prokázat a bude to tvrzení proti tvrzení :-(.

[uwe.filter]

Pokud by platil scénář, že se k tobě někdo buď naboural, nebo přímo měl k dispozici klíče/hesla, pomocí kterých se na tvůj server připojil a odtud pak přistupoval do bývalé firmy, musí to mít ISP v logách. Zkus si od ISP vyžádat veškeré logy, nejméně z inkriminované doby, a pokus se napárovat spojení z tvého serveru do bývalé firmy s jinými podezřelými spojeními z +- té samé doby.

Tomu jsem hned ve čtvrtek volal a psal i mail. Z telefonátu mi technik neřekl vesměs nic. Na mail zatím neodpověděli

Možná to radši zkus osobně nebo doporučeným dopisem. Ať máš co nejdřív k dispozici data, která můžeš případně použít na svou obhajobu.

[3ugeene]

Díky, pobočka je i v mém městě nejdřív tam zkusím zajít a případně pošlu dopis. Asi to bude lepší