Vdor v računalnik

Izjemno majhna - sploh za vdor preko interneta. Navsezadnje je povprečen uporabnik računalnika/interneta ravno tako zanimiv kot gnila lubenica na tleh.
Možnost seveda obstaja, pot pa je odvisna od pazljivosti uporabnika. Lahko se osebek poveže preko podtaknjenega trojanskega konja (NOD recimo ni več ravno vrhunec AV orodij) ali pa dostopa do deljenih datotek preko morebitne brezžične mreže.
V prvem primeru neko široko znanje ni potrebno in lahko zadevo izpelje vsak mozoljast froc s preveč časa, v drugem pa je dobro poznati osnove protokola etc.

Tole je vse skupaj povedano bolj laično in po površju, kaj bolj konkretnega pa bo upam napisal še kdo drug.

Zavedati se moraš, da mnogo firewallov sporoči vsako še tako nepomembno malenkost - uporabniku tako daje občutek, da preprečuje vdore iz minute v minuto.
Morda bi bilo najbolje, da objaviš screenshot log-a (seveda maskiraj svoj IP in pusti odkrita le vrata).

Kakšna je možnost da ti nekdo vdre v računalnik in ti pregleda vse dokumente?! Zaščiten z NOD32, OS windows 7.
Ali je to sploh možno (verjetno da je) in koliko mora biti nekdo za tako dejanje usposobljen (sposoben)?


Lep pozdrav

Če imaš kakšen port odprt ali pa z okuženo datoteko (mail, internet, usb, cd, ...).

Zato pa se lahko firewall testira:)
http://www.auditmypc.com/firewall-test....

Vsak spodoben virus bo najprej onesposobil firewall.

Obstaja pa tudi cel kup virusov, ki jih antivirusi ne znajo zaznati. Več o tem bo pa morda povedal denial...

Vsak resnično spodoben virus bo najprej potolkel konkurenco, zaprl luknjo, skozi katero je prišel na računalnik (če ta luknja ni človek), namestil varnostne popravke, preveril, da ga požarni zid ščiti pred napadi iz omrežja, se zažrl globoko v sistem (različni pristopi), nato bo pa "poklical domov" in zaprosil za nadaljna navodila. Edina variacija na temo ne pokliče domov, temveč se poveže v oblak.

Zalega, ki se ne obnaša tako, je bolj ali manj benigna in bolj ali manj rezultat testnih projketov, večinoma pa ne resnih komercialno kriminalnih namenov.

Kar se tiče zaznavanja, pa imam doma manjšo kolekcijo v divjini ujetih primerkov, ki so kljub starosti še danes nevidni za nekatere protivirusne programe.

Kjub NOD-ovim Firewall-om lahko nekdo dostopa do računalnika? Pa čeprav nimam brezžične povezave in deljenih datotek. Namreč nekdo dostopa iz totalno drugega računalnika in omrežja (preko interneta).
Pa še dinamični IP (sicer nevem ali to kaj pomaga)?

Lahko ti kdo pošlje trojanca v .mp3, .doc itd.itd. in sploh neveš, antivirusni ni nujno da ga zazna in potem te ima pod kontrolo skoraj tako kot preko oddaljene pomoči preko msnja, skratka dostop do vsega i svašta.

Jest sem zdej prvič čekiral log od Apache serverja in videl, da mi vsaj ene 5krat na mesec se najde nekdo, ki pregleda mor root HTTPfolder za datotekami kot so mssyqadmin itd, dejansko nekateri osebki non stop iščejo kako ranljivo spletno stran hehe.

In ja DT232, glede na konfiguracijo, ki so jo povedal je tako kot so ostali rekli, edinašansaje, če maš kakega trojanca gor. Ta možnost pa je zelo majhna v primeru, dainštaliraš kar enih sumljivih programčkov.

Prilagam še mejl od enega frienda. Vredno razmisleka. In poba sploh ni n00b.

On my laptop there is a program called rpcnet.exe that is a tracking program for stolen laptops. So if my laptop gets stolen, I report that to someone and theoretically the computer can be traced.

You can't uninstall Lo-jack (rpcnet.exe, rpcnetp.exe, rpcnet.dll etc...) because it's either in BIOS or MBR (I think it's in BIOS, since a full new install with a clean MBR didn't help).

So, the virus just renamed itself to rpcnet.exe (etc) and it was impossible to get rid of.

Now after the fresh install atleast I got the non-virus rpcnet.exe (etc) but it still annoys me, I don't want that crap, since it's so easy to exploit and it's almost impossible to get rid of.

I used four(!) different AV software and none of them detected the malware. I used atleast 6 different "online virus scanners" and neither did they detect the malware.

XXX (namenoma odstranjeno) did detect the malware downloded by rpcnet atleast, so I got like 6-7 new keyloggers, spywares, trojans and I also was a part of a botnet ;-)

What I don't understand is how the heck rpcnet could be respawned as a malware even after I cleaned the laptop.

In worst case it was written in BIOS or MBR, but BIOS shouldn't be writeable from a booted OS????

To be asured that rpcnet.exe (etc) is completly safe, I renamed empty files to rpcnet.exe (etc) so now the system only tries to start null-files. And they are write-protected. I don't want that Lo-jack's crap!!

imaš še jaz eno začetniško vprašanje. Recimo da imaš nevede trojanca na svojem računalniku. Pa recimo da nimaš ne antivirusnega programa in izklopljen firewall. In nek osebek na nekem xy forumu kje oba sodelujeta(ve samo tvoj nik)in te pač nemara in ti proba vdreti v računalnik.(nadzor tipkovnice) Kako locira tebe kot žrtev, če ne ve tvojega IPja. Se to sploh lahko izvede?
Sprašujem, ker se mi je taka situacija nekoč zgodila.

@krneki03 postanje na forumu je enosmerna komunikacija ti-forum torej IP ve samo spletna stran/forum. Je tisti osebek te že kako drugače poznal, da je lahko vedel kak IP imaš najbrž. Al pa v podpisu na forumu ma lahko kej k se naloži, pa tako vidi, vse, ki berejo njegove poste, če je kir tak genialni podpis dal gor :)

http://www.absolute.com/products/lojack... - ah, vidim tukaj: gre za Computrace Agent, a small software client that is embedded into the BIOS firmware of most computers at the factory.

Odlično. That's why we need OpenBIOS.

Matthai, problem ni samo BIOS, problem je CPU, mrežna kartica in še kaj. Nič nad katerim misliš da imaš nadzor, in deluje na root načinu. Zato pa je težna o izdelavi svojih strojnih rešitev, za potrebe raznih varnostnih sistemov, ker ko dobiš v roke neko kos opreme, zaradi kompleksnoti ne moreš zagotoviti, da je tist kos strojne opreme čist, kot tudi ne moreš preveriti vsakega kosa...

LoJack paper je bil objavljen lani poleti na BlackHat konferenci: KLIK. Takrat sem bil prepričan da zadeva ne bo prešla "laboratorijskih okvirov". I was wrong :D

Mr.B je 10. jan 2010 ob 17:26 izjavil:

Matthai, problem ni samo BIOS, problem je CPU, mrežna kartica in še kaj. Nič nad katerim misliš da imaš nadzor, in deluje na root načinu. Zato pa je težna o izdelavi svojih strojnih rešitev, za potrebe raznih varnostnih sistemov, ker ko dobiš v roke neko kos opreme, zaradi kompleksnoti ne moreš zagotoviti, da je tist kos strojne opreme čist, kot tudi ne moreš preveriti vsakega kosa...

Zato pa poslušaš mrežo kaj pravi. Da, zelo napredni virus se lahko nekako skrije v šum, vendar slej ali prej če boš pozoren ga boš ulovil.

Želiš biti varen? Preverjaj mrežo.

Zelo napreden malware lahko komunikacijo skrije v določena polja IP/TCP/UDP/ICMP headerja (t.i. covert channels). Detekcija je sicer mogoča - če veš kaj iščeš in to iščeš v pravem trenutku.

"Prej ali slej" je včasih lahko tudi prepozno.

@ Queen:
KLIK

Da če si državan uprava, potem ja. Da ja ne bomo delali. PS : V privat firmi, vsi podpišemo da se vse preverja, pa si seznanjem da je zadeva beskaldna z lopovščino pod imenom SI. Pa če ne podpišeš, hvala za sodelovanje. Enako velja, da vsak, ki pride k nam v delovno razmerje, pšodpiše odpoved. Prostor z datumom je prazen. Dokler te plačujemo in uporabljaš službeno opremo, je delo za privatne namene zelo omejeno, in če izkoriščaš je sankcionirano, temu primerno.

Pri nas je ena zaloga strežnikov, in je rešitev skoraj neuporabna, oziroma bi se moralo vse kompletno skriptati. S tem da bi moral vedeti točno kaj iskati.

Lo-kaj?

Mr.B je 8. feb 2010 ob 10:25 izjavil:

Enako velja, da vsak, ki pride k nam v delovno razmerje, pšodpiše odpoved. Prostor z datumom je prazen. Dokler te plačujemo in uporabljaš službeno opremo, je delo za privatne namene zelo omejeno, in če izkoriščaš je sankcionirano, temu primerno.

Take imam najrajši. Slej ko prej naletijo na mino in potem je veselo.

Najlepše je, ko razni privat detektivi za take firme potem izvajajo forenziko, ko pa zaposlenega odpustijo in se ta prikaže z odvetnikom, se pa začne jok in stok. Potem pa kličejo naokoli in prosijo za pomoč. Naš direktor ima za take že pripravljen odgovor - "kje ste pa do sedaj hodili?".

E zato pa si podpisal, da si obveščen in da se strinjaš, da se vse gleda, preverja, meri, cuza, itd...

Seveda narobe. Ti pa niti ne bom skušal razlagati zakaj. Ampak takole se zmeniva - ko boš imel težave, se obrni name in bomo prišli porihtat zadeve kolikor se bo pač dalo.

Veš tista Info pooblaščenka, in obisk o skladnosti, je tako pomembna v poslu kot moj K. In nikjer ti ne zagotavlja, česarkoli da se varuje osebne podatke, razen na papirju, ki so ga takrat podpisale obe stranke (Podjetje, in urad info. pooblaščenke).

Da, to je vendar jasno. Tisti papirji nimajo nobene neposredne vrednosti pri varovanju. Imajo pa veliko pravno vrednsot, zlasti v primeru odškodninskih zahtevkov.

In potem nekatere skrbi, o varovanju osebnih podatkov, z desetimi požarnimi pregradami, in anti beybi tabletami, ko vse pošlje googlju :-).

Se strinjam.

Ne piše, da mora biti GMail odprt. Seveda ne.

Saj morda se narobe razumeva. Zadeve se da narediti zakonito ali pa nezakonito.

In zadeve se da narediti tako, da zaposleni stvar občuti kot represijo, ali pa se mu pusti nekoliko več svobode in je potem na delovnem mestu bolj zadovoljen.

Na mreži se vidi samo diske, ki se jih da v share na računalniku. Ne bo ti noben ničasar videl, če nisi ničesar dal v share. Če pa hočeš dati v share, pa da je z geslom pa pač to opcijo v nadzorni plošči vklučiš, vpisati bo moral tvoj username in geslo.

Glede povezave je pa čisto odvisno s katerim programom se povežeš. Remote desktop(vključen v windowsih) deluje tako, da odlogira tistega, ki je takrat na računalniku z ISTIM uproabniškim imenom. Z različnimi uporabniškimi imeni se lahko hkrati uporablja, en preko remote, drugi dejansko za računalnikom.

Če pa hočeš tako povezavo, da oba vidita isti desktop je pa tu remote assistance, tudi vklučen v windowse, ali pa najbolj enostaven program za take zadeve TeamViewer.

Če jih ne vidi, potem jih bolj težko da v share.

To si pa res zdaj čudno vpraša. Prek mreže ne more en do tvojega računalnika čisto nič bolj dostopati, kot iz interneta, a to res ni logično? Internet je samo večja mreža.
Tak, da če ti ne boš da diskov v share(z geslom ali brez), da bi dovolil, da ti iz mreže dostopajo ti pač ne bodo mogli.

Res ne vem od kje enim ideja da prek mreže se pa kar da v komp pridet... Nič več kot iz interneta. Drugo je seveda, če vklopiš sharanje diskov, ali remote desktop, te stvari pa po pameti vklaplat. Po defultu pa računalnik ne loči med mrežo in internetom.

Ja če imaš kaj starejšega kot Vista/Win 7 v primeru windowsov, recimo XPjev, potem se lahko vdre notri, brez kakega dodatnega štelanja ffirewalla. Za iz interneta v takem primeru ščiti firewall na ruterju, za iz mreže pa treba uštimat firewall, ker po defultu XP in navzdol se da to ranljivost uporabit, da se vdre ja. irewalla. Za iz interneta v takem primeru ščiti firewall na ruterju, za iz mreže pa treba uštimat firewall, ker po defultu XP in navzdol se da to ranljivost uporabit, da se vdre ja.

Ampak še enkrat da poudarim, ni razlike mreža ali internet. Ta ranljivost, ki si jo napisal je pač ranljivost, deluje tako preko mreže, kot preko interneta. Je pač sreča, da ima veliko ljudi firewall na začetku mreže, da to ranljivost zakrije pred celotnim internetom.

Je pa to še en razlog več, zakaj pravim pravi firewall mora biti na računalniku, ne pa na enem routerju. Tak, da je računalnik zaščiten tudi pred mrežo enakovredno. No sej novejši OSi majo zadosten firwall, da se tistega izklopi na routerju, če se bi hotelo(in če bi blo dost IPjev na voljo, da bi se sploh dalo...).

Lonsarg je 12. feb 2010 ob 19:14 izjavil:

To si pa res zdaj čudno vpraša. Prek mreže ne more en do tvojega računalnika čisto nič bolj dostopati, kot iz interneta, a to res ni logično? Internet je samo večja mreža.
Tak, da če ti ne boš da diskov v share(z geslom ali brez), da bi dovolil, da ti iz mreže dostopajo ti pač ne bodo mogli.

Res ne vem od kje enim ideja da prek mreže se pa kar da v komp pridet... Nič več kot iz interneta. Drugo je seveda, če vklopiš sharanje diskov, ali remote desktop, te stvari pa po pameti vklaplat. Po defultu pa računalnik ne loči med mrežo in internetom.

Zato, ker mi moj brat pride v moj računalnik prek njegovega, ki je priklopljen na mrežo in mi z njega krade podatke (slike, filme)
Zdaj pa nevem, na kakšen način pride gor?