» »

Mrežna / PC forenzika / Detektiv

Mrežna / PC forenzika / Detektiv

Darko! ::

A kdo pozna kakšno dobro slovensko firmo, ki se ukvarja s preučevanjem kibernetskih napadov oz. detektivsko agencijo, ki je zmožna hendlat tudi podobne reči.

Človeku je ogrožen posel in sumi, da so mu vdrli v njegove računalnike. Ne ve kam bi se obrnil za pomoč.

Kakšen konkreten predlog (razen Policije) ?

Karen ::

ifit.si

louser ::

Si-Cert. Bojda radi pomagajo, kot sami pravijo.

MIHAc27 ::

Če samo sumi, bi se jaz obrnil na IT službo pa da poskrbi za ustrezne zaščite. Pač vse od anti-virusa, požarnega zida, gesel za dostop, razne VPN, RDP zadeve da se malce pozaprejo, da se uredijo backupi,....

Če pa sumi da je nekdo specifičen mu ukradel dokumente in jih sedaj izkorišča ali kaj podobnega, in bi to rad dokazal... bo pa seveda težje in verjetno čisto vsak to ne zna.

Na Policiji pa dvomim, da bo veliko dosegel brez kakih bolj utemeljenih sumov. Oni se specializirajo samo za kasiranje.

Darko! ::

MIHAc27 je izjavil:


Če pa sumi da je nekdo specifičen mu ukradel dokumente in jih sedaj izkorišča ali kaj podobnega, in bi to rad dokazal... bo pa seveda težje in verjetno čisto vsak to ne zna.

Na Policiji pa dvomim, da bo veliko dosegel brez kakih bolj utemeljenih sumov. Oni se specializirajo samo za kasiranje.



No, najbrž niso vsi policaji isti. Je pa res, da vsak dela več ali manj to kar zna :)

Je pa v tem problem, da "kaznivo dejanje" sploh še ni konkretizirano. Človek ne ve kaj se v bistvu dogaja. Odgovori poslovnih partnerjev so "čudni", elektronska pošta izginja, posli upadajo, dogajajo se čudno povezane stvari ...

Ker je "old school" o IT-ju nima pojma (tud firma je manjša in brez IT oddelka, jaz ne vem kdo mu je postavljal te zadevšne, bil sem le vprašan za nasvet, če vem na koga bi se obrnil).

Sem rekel naj gre takoj do detektiva ali kakšnega sposobnega odvetnika.

Yohan del Sud ::

Mogoče detektivska zbornica. Verjetno imajo tudi kakšnega bolj IT veščega / specializiranega člana. Če smem vprašat, kaj si mu ti, oziroma zakaj se je najprej obrnil nate?
www.strancar.com

#000000 ::

Jest bi prvo že takoj, ugasnil vso zadevo, ter kasneje iskal sledi loge ipd. verjetno pa nima firma niti spodobnega routerja oz ima kak SOHO router ki si je zapomnil samo zadnjih 50 vrstic.

Nč rečt fukit, in naprej it bolj zaščiten, bo treba kak tisoćak ali pet prdnit za varnost, free antivirusi in soho routerji to pač niso.

louser ::

Sem že napisal, SiCert. Ampak če želiš skakati do osebkov, ki o tem pojma nimajo, kar.

Gama ::

#000000 je izjavil:


Nč rečt fukit, in naprej it bolj zaščiten, bo treba kak tisoćak ali pet prdnit za varnost, free antivirusi in soho routerji to pač niso.

Men se zdi da uporablja samo maile pa mogoce kaksen shared hosting?

Moj nasvet, reformatiraj racunalnik in spremeni gmail in ostala pomembna gesla v 'Hyu566roboT812!'

Noben ti ne more shekat v Gmail ker te opozori.. Tud v komp ne more pridet ce ne downloadas virusov.


Mozno da je nekdo shekal neko databazo npr: Facebook pa sedaj uporablja tvoje podatke za vse aplikacije/strani.

Bolj paranoja kot kej drugega, posli pac dihajo in ljudje so bipolarni.

Darko! ::

Yohan del Sud je izjavil:

Mogoče detektivska zbornica. Verjetno imajo tudi kakšnega bolj IT veščega / specializiranega člana. Če smem vprašat, kaj si mu ti, oziroma zakaj se je najprej obrnil nate?


Jaz ga v bistvu ne poznam.
Človek je za nasvet vprašal svojega znanca, ki mu zaupa in za katerega je bil prepričan, da mu lahko pomaga in ga pravilno usmeri.

Ta znanec pa ima kolega, ki se "spozna na tehniko" in ga je vprašal, če pozna kakšno firmo, ki bi mu pomagala. No, ta kolega sem jaz ;)

Prvo vprašanje, ki sem mu ga postavil je bilo, če mu je že svetoval detektiva.
Druga misel je bila da mu omenim SI CERT, sam nisem bil ziher, če nudijo take storitve firmam, sploh, če do njih pride nekdo, ki ne ve kaj je IP naslov.

Potem sem mu razložil, da se v tem primeru jaz na tehniko ne spoznam absolutno nič in da nimam pojma kdo bi mu lahko kvalitetno pomagal. Ker pa je zadeva kompleksna naj mu res še enkrat svetuje, da gre do detektiva in ni hudič da profesionalec ne najde stručkota, ki bo zadevo obvladal v obsegu, ki je potreben.

Sem mu pa rekel, da bom vseeno malo pobrskal po stričku Googlu. Ampak nisem našel nič pamentnega.

Potem sem se pa spomnil, da razen ob flaši svetlega ali temnega Union nefiltriranega (zadnje čase pa večinoma tardeče flaše paleale-a), kakšen večer preživim ob pisanju nasvetov, zanimivem branju, začudenju ali pa samo iskrenem smejanju (to se mi je zgodilo ravno včeraj, ko sem se naučil kdo je "Soyboy" - skoraj sem popljuval monitor z jogurtom) ob prebiranju tega foruma.

In ker je naslov internetne strani Slovenski tehnološki forum, sem si dejal: "Madona Darko, lej; če ti večina prisotnih na tem forumu iz leve roke strese odgovor na praktično vsako še tok zapleteno in kompleksno vprašanje pa ni vrag, da se ne bo našel nekdo, ki je bil v podobni situaciji, ali pa morda pozna nekoga, ki to opravi z levo roko.

In potem je nastala moja prva tema.

:)

Zgodovina sprememb…

  • spremenilo: Darko! ()

SeMiNeSanja ::

Prvo kot prvo se bo moral možakar vsesti z nekom, ki se mu vsaj malo sanja in z njim predebatirat, kako utemeljeni so ti njegovi sumi.

Ljudje se pri zadevah, na katere se ne spoznajo zelo hitro spravijo v napačna sumničenja, ker se ne spoznajo na vzroke in posledice, ne vedo kaj je in kaj ni možno. Strah pač ima velike oči.

Naslednji korak pa je lahko začasna namestitev ene konkretne požarne pregrade in analitike prometa.
Že res, da je v poslovnem okolju dobro imeti spodobno požarno pregrado z vrsto varnostnih funkcij, vendar se zdaj pogovarjamo o 'pomiritvi uporabnika', ne pa o trajnem 'zavarovanju njegovega omrežja' (eno pa ne izključuje drugega).

Že res, da je možno, da ti nekdo kompromitira omrežje, vendar nekako ni najbolj realno, da ti bo delal škodo na dolgi rok (npr. bivši zaosleni, ki preko oddaljenega dostopa krade podatke) - saj je tako početje izredno tvegano. Ne rabiš biti ravo računalniški strokovnjak, da ugotoviš, da ti sumljivo pogosto isti konkurent odnese posle.

Za posumiti pa je tudi zanesljivost same infrastrukture, zaradi česa potem 'maili izginevajo'.

Vsekakor pa se vse skupaj začne z enim resnejšim pogovorom.

Karen ::

Nekdo pameten ne bi brisal sporočil, ampak jih samo prebral... obstaja velika verjetnost da ni fora v IT-ju, večina "čudnih" zadev v IT-ju pa je itak "problem med stolom in tipkovnico", potem je pa tu še možnost kakšne bolezni osebka ipd. Skratka če to ni kaka high-tech firma ampak navadna storitvena dejavnost, ali pa prodaja, je verjetnost sofisticiranih vdorov da bi nekoga izrinili iz posla majhna v primerjavi s prej napisanimi možnostmi.

Yohan del Sud ::

Točno to ja. Verjetno je precej sodelujočih na tem forumu, morda večina, ki bi bili sposobni pogledat detajle in se poglobit v zadevo, ampak je nevarnost, da se v neki točki razvije v "nope" zelo zelo velika. Precej verjetno gre res za težavo med tipkovnico in stolom, ampak dopovej ti takemu človeku to tako, da bo razumel brez hude krvi. Spet, nope.
www.strancar.com

Zgodovina sprememb…

louser ::

Gorazd Božič, vodja SI-CERTa je na tem forumu razlagal, kako rade volje pomagajo vsakemu.
Prvo vprašanje, ki sem mu ga postavil je bilo, če mu je že svetoval detektiva.
Druga misel je bila da mu omenim SI CERT, sam nisem bil ziher, če nudijo take storitve firmam, sploh, če do njih pride nekdo, ki ne ve kaj je IP naslov.


Gre se za to sago
https://slo-tech.com/novice/t696143

louser ::

'Kaj če je moj PC vključen v botnet, a boste pomagali? '
Seveda bomo. Motiš se, če misliš, da ne. To namreč počnemo redno (včasih skoraj vsakodnevno). Ni treba, da pride do napada, dovolj je recimo že, če nekdo v večji akciji naredi prevzem botneta in potem nacionalnim Certom razpošlje sezname IP naslovov okuženih računalnikov, ki jih zajamejo v ponorih (angl. sinkhole). Takrat podatke razdelimo po ponudnikih in jih prosimo, naj obvestijo svoje naročnike o okužbi (in običajno podamo navodila, kako odstraniti okužbe). Preberi si recimo naša letna poročila, da boš videl, kaj pravzaprev počnemo.


Poprej:

GBX je izjavil:

Primoz je izjavil:

Jaz z veseljem začnem ljudi, ki nam pošiljajo zanimive stvari, pošiljat k vam, če boste kdaj uspeli jasno povedat v katerih primerih in za koga to delate.

Ker očitno Ajpes ja (do stopnje užaljenosti), Telemachova elektronska pošta ne (zato!), ... na strani niste imeli nič (razen za "žrtve"), dokler niste danes napisali da za Ajpes to počnete.


Obravnavamo vse prijave, ki vključujejo sisteme v Sloveniji. Če ti nimaš podatka o tem, ali smo kakšen primer obravnavali, še ne pomeni, da ga nismo in hitro lahko sklepaš napačno. Kot tudi takrat, ko meniš, da gre za užaljenost. Ne. Gre samo za korektnost pri predstavljanju dejstev javnosti.

Res nismo imeli izrecno napisano, da opravljamo to in (kot sem že omenil) je to krasna priložnost, da to popravimo in predstavimo predloge pravil razkrivanja javnosti. To je ena od pozitivnih posledic tega incidenta.

Ampak na drugi strani to tudi prej sploh ni bila ovira za druge raziskovalce, ki so menili, da bomo mi to nalogo lahko korektno opravili in so nas obveščali.



Ali bodo v tvojem primeru ukrepali:

GBX je izjavil:

Primoz je izjavil:

Mislim, da bi bilo smiselno, da še enkrat prebereš 115. člen ZMed.

In pa morda odgovoriš na vprašanje, na podlagi česa se čutiš v tej situaciji biti "pristojen organ".

Pa predvsem, zakaj tokrat npr. ste "pristojen organ" v primeru Telemacha pa niste bili (takrat se nisi nič oglašal). Ne razumem.


Sem ga prebral, pa ne daje odgovorov na moja vprašanja, ali je Slo-Tech medij, ima uredništvo, kdo je urednik in kje je to objavljeno. Je res tako težko enostavno odgovoriti na to? Razen seveda, če tega ne želiš.

Ne čutim biti v tej situaciji "pristojen organ" (česar nisem nikoli trdil). Vedno sem se skliceval na citat iz novice, ki govori o "morebiti zainteresirani naslovniki". Velika razlika. Zelo velika. "It's yuge!" :)

Če reformuliram zadnji del: zakaj smo zdaj "morebitni zainteresirani naslovnik", v nekem drugem primeru pa nismo bili (ker se nisem nič oglašal). Lani smo obravnavali 2281 incidentov. Napačno smatraš, da smo se dolžni (ali da menimo, da je primerno), prav v vsakem primeru "oglašati" in da samo v tem primeru drži, da smo bili "morebiti zainteresiran naslovnik". Naš cilj je namreč razrešitev incidenta, omejitev škode in izboljšanje varnosti v sodelovanju z drugimi deležniki in pristojnimi organi.

Zdaj pa še enkrat: želim tvojo izjavo o tem, ali je Slo-Tech medij, ima uredništvo in urednika in kje to izvem. Samo to. Ne neko prazno sklicevanje na nek splošen člen zakona. Boš končno odgovoril ali ne?



Na kratko: Če bo Gorazdu dolgčas, ti bo pomagal. Če bo pa ravno sredi napete partije Tetrisa pa raje pozabi.

Zgodovina sprememb…

  • spremenilo: louser ()

SeMiNeSanja ::

No, Gorazd ni SI-CERT. Je zgolj eden od njih. Najbolj izpostavljeni, najbolj znani.

Da se bo ravno ON ukvarjal s tvojo težavo je razmeroma malo verjetno, ob kopici drugih obveznosti, ki jih ima tako pri nas, kot tudi širše po Evropi, kjer zastopa barve SI-Cert-a.

A to še ne pomeni, da se na SI-Cert ne bo našel nekdo, ki bi ti lahko podal mnenje, pojasnilo, napotke,..... Nenazadnje je to njihova naloga.

louser ::

Ne, ni nujno njihova naloga. Je njihova naloga, ko se oni sami odločijo, da je tako.


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

AJPES kot najbolj transparentni državni organ javno objavil vse svoje registre (strani: 1 2 3 4 5 6 7 8 )

Oddelek: Novice / Varnost
369132423 (97656) AndrejO
»

Država: Kakšna zasebnost in varnost na internetih, samo plačajte že davke!!! (strani: 1 2 3 4 5 )

Oddelek: Novice / NWO
20185792 (59987) MrStein
»

Dobri ali slabi fantje? (strani: 1 2 )

Oddelek: Novice / Varnost
7326666 (19916) Markoff
»

Kako resna podjetja komunicirajo? (strani: 1 2 )

Oddelek: Informacijska varnost
7322994 (18192) SeMiNeSanja
»

Podatki, ki jih lahko izberemo iz IP uporabnika

Oddelek: Omrežja in internet
312119 (1562) umetnic

Več podobnih tem