Question Comment sécuriser un ordinateur compromis tout en obtenant des preuves contre l'attaquant


J'ai des preuves (non techniques) que mon entreprise m'espionne, pas sur mon PC, mais sur mon PC privé à la maison. Ces preuves ne seront pas retenues devant les tribunaux et j'ai donc besoin de preuves techniques. Je soupçonne que mon entreprise a embauché un pirate informatique pour surveiller mon PC, mais j'ai besoin de preuves techniques pour le prouver. Et j'ai besoin de trouver un moyen de les bloquer. S'il vous plaît ne pas demander sur la motivation, etc. Je vais entrer dans les détails sur le côté non technique de cela.

Je sais que cette plate-forme est très stricte sur les questions "vagues", mais je suis désespérée pour une solution et c'est la meilleure plate-forme que je connaisse pour experts en sécurité. Alors s'il vous plaît ne pas couper cette question.

Mon PC personnel: - Windows7 Premium avec les dernières mises à jour de sécurité.

  • Pare-feu activé avec les paramètres par défaut modifiés: le trafic entrant est bloqué sauf pour les services Windows (l'accès à distance a été désactivé). Le trafic sortant est défini pour autoriser les services Windows, Email Client (Claws Mail), le dernier Opera-Browser et la plate-forme de jeu Steam.
  • Antivirus: Avira Community Edition
  • Détection de programmes malveillants: Spybot search & destroy
  • IPV6 a été désactivé

J'utilise également les mots de passe de mon entreprise pour des services privés (ouverture de session Windows, messagerie privée), mais j'ai changé cela récemment. Maintenant, j'utilise lastpass avec un nouveau mot de passe maître fort.

My Company-Phone (iPhone4) a eu accès à mon réseau WLAN privé, mais j'ai eu son accès supprimé et j'utilise maintenant une tablette Nexus 7 privée. Je dois ouvrir une session sur les serveurs de l'entreprise pour accéder aux documents et aux courriers liés au travail (une partie de mon travail), afin qu'ils puissent souvent voir mon IP.

Ce que je dois savoir maintenant, ce sont deux choses:

  • Comment puis-je sécuriser davantage mon installation à domicile (l'installation de Linux n'est pas une option car je suis dépendant du logiciel Windows. Et oui j'ai essayé le vin)
  • Comment puis-je attraper le pirate "dans l'acte" afin d'avoir des preuves solides?

3
2018-02-09 09:55


origine


Le vecteur d'infection le plus probable est probablement le courrier électronique dans ce cas. Lisez-vous les emails de votre entreprise à la maison sur votre ordinateur personnel? Il serait également utile que vous puissiez décrire ce qui vous amène à croire qu’ils ont compromis votre PC. Comportement étrange? Connaissance des choses qu'ils peuvent seulement savoir en lisant votre email à la maison?
Comment vous connectez-vous aux serveurs de votre entreprise depuis votre domicile, via VPN? Avez-vous une application spécifique à votre entreprise installée sur votre système? - ciphercodes
Oui, je lis mon email d'entreprise à partir de mon HomePC. J'utilise également le logiciel de comptabilité d'entreprise de chez moi. Ce sont à la fois des versions Web et commerciales de logiciels open source. Mon navigateur est Opera amélioré avec Adblock, Https Anywhere, Ghostley, Disconnect, WOT, etc. Je ne suis pas connecté via VPN.
Désolé, mais je ne peux pas aller plus loin dans le "comment vous savez" (ils lisent également des sites de pile *), mais ils connaissent des choses très privées qui sont impossibles à connaître sans surveiller mes habitudes de navigateur et lire mon email privé (GMail).
1. Tant que vous utilisez le réseau d'entreprise, ils ont probablement une grande latitude dans ce qu'ils peuvent faire pour "le protéger". 2. S'il y a de l'espionnage, il est possible qu'il ne soit pas autorisé ou fasse partie de la politique de l'entreprise, mais uniquement d'un employé malhonnête. Vous pouvez aborder la question avec le responsable informatique ou un responsable de la société pour savoir si une telle activité est autorisée. Si ce n'est pas le cas, ils pourraient lancer leur propre enquête. Vous n'avez pas à vous pencher sur vos actions planifiées. 3. Si vous allez au tribunal, vous devrez peut-être montrer des dommages, ce qui est difficile, et embrasser votre travail au revoir. - fixer1234


Réponses:


Cette question est en fait deux questions.

Pour répondre à cet incident de sécurité, vous devrez collecter une preuve utilisable, puis sécuriser l'ordinateur.

Avoir une preuve que vous pouvez utiliser au tribunal peut être difficile. En fait, si vous défendez votre cas contre un juge (ou les chefs de votre entreprise), ils essaieront probablement de démontrer que:

  • vous ne pouvez pas prouver que l'information est authentique et vous ne l'avez pas falsifiée.
  • les "intrusions" se situent dans les limites de la politique de sécurité éventuelle de l'entreprise (que vous auriez dû voir et signer entre-temps). C'est un moyen de dire que vous les avez acceptées.

Le chemin à parcourir serait d'avoir une personne accréditée (avocat spécialisé?) Effectuant un audit sur votre ordinateur, puis de publier un rapport juridique qui pourrait être utilisé au tribunal. Pour cela, vous devrez continuer à faire les choses comme d'habitude pour permettre la collecte de données. UNE autopsie L'audit peut également être effectué, mais il est plus que probable que cela ne donnera aucun résultat utilisable, principalement parce que l'ordinateur est à vous et que vous y avez pleinement accès.

Donc, si vous voulez avoir des preuves, vous devez chercher un conseiller juridique, qui peut vous conseiller sur ce qu'il faut faire. Mais je suis sûr que l'investissement ne vaut pas le coup.

Sur la partie sécurisante de la question: faire confiance à un ordinateur connu compromis n'est pas vraiment facile. À moins que vous ne puissiez évaluer la restauration complète de tous les fichiers sur l’ordinateur (en vérifiant l’authenticité de votre système - et l’outil que vous avez vérifié), vous ne serez jamais certain qu’il n’ya aucune trace d’infiltrations ou de logiciels malveillants. . Donc, la meilleure chose à faire est de nettoyer et de réinstaller complètement le système d’exploitation. Installez-vous en mode hors connexion, puis connectez-vous en ligne avec les dernières mises à jour. Ensuite, vous devrez prendre des appareils pour éviter de corrompre le système à nouveau.

Pour vous protéger, vous devez d'abord vous poser cette question: "Qui fais-je confiance". Si vous ne faites pas confiance à votre entreprise, alors pourquoi devriez-vous installer leur logiciel, accéder à leurs serveurs? Je suppose que vous devez configurer un accès VPN pour pouvoir utiliser les outils dont vous avez besoin pour travailler. Utiliser un VPN signifie en gros "Je fais confiance à ce réseau auquel je me connecte". Vous pouvez le considérer comme une extension de votre propre réseau domestique. Si vous ne faites pas confiance à ce qui se trouve sur ce réseau, vous devez isoler votre environnement.

Vous avez des solutions qui diffèrent principalement par leur commodité et / ou leur prix. Vous pouvez:

  • Obtenez un nouveau PC uniquement utilisé à des fins professionnelles.
  • Mettre en place un environnement virtuel avec des programmes de machines virtuelles (Virtualbox, etc ...)
  • Configurez un deuxième environnement sur un second disque de votre ordinateur.

Quel que soit votre choix, vous devez vous assurer de l’isolement de votre ordinateur. Plus précisément, vous devez vous assurer que:

  • les autres ordinateurs de votre réseau ne sont pas accessibles depuis votre environnement sécurisé (filtrage réseau, règles d'accès)
  • les autres données de votre ordinateur ne sont pas accessibles depuis votre environnement sécurisé (disque dur déconnecté par exemple)

Donc, fondamentalement, ne donnez pas accès à ce que vous ne voulez pas partager.


2
2018-02-09 11:40



Merci pour la réponse détaillée. Vous avez raison, je dois configurer un nouveau PC et l'isoler du reste. J'ai peur qu'ils deviennent suspects et cessent de me surveiller. Dans ce cas, je ne pourrai jamais le prouver dans une affaire judiciaire. J'avais déjà tout chanté remis à un avocat et il ne mentionnait aucune clause dans aucun de mes contrats et politiques qui légaliserait ce qu'ils faisaient. Vous avez également raison sur la partie épreuvage. Il est impossible de trouver un avocat capable d'effectuer un tel audit et de prouver que je ne l'ai pas falsifié. Je vais devoir trouver des précédents pour voir comment ces affaires sont traitées.


Si votre ordinateur est compromis, vous ne pouvez pas lui faire confiance. Ça pourrait vous mentir. Par conséquent, vous devez être en mesure de recueillir des preuves à partir d'un système auquel vous faites confiance. Comme un routeur transparent en mode espion. La preuve la plus évidente serait probablement une capture de paquet. Les journaux peuvent être utiles; les horodater serait bon.

Si vous avez des preuves claires, préparez-vous à embrasser votre ordinateur. Vous aurez probablement l'occasion de manipuler des preuves, ce qui ne fonctionne pas en votre faveur. Une chose qui pourrait vous aider à minimiser votre capacité à falsifier une scène de crime est que les forces de l’ordre les «étiquettent et les mettent dans un sac»… transportez votre ordinateur dans un laboratoire informatique où il leur faut des semaines pour trouver quelque chose.

Si cela dépasse votre domaine de compétence, vous voudrez peut-être demander à quelqu'un de vous aider. En fait, obtenir une personne impartiale pourrait aider votre cas. Cependant, cela peut aussi être une dépense.

Tout cela peut supposer que l'attaquant est moins intelligent que vos tentatives d'attraper (c'est-à-dire enregistrer) les actions de l'attaquant. Si tout ce que vous faites est de capturer des paquets et de créer des journaux, mais qu’ils ne montrent aucun signe d’attaque, alors vous n’avez rien accompli d’utile (même si les attaques se produisent réellement). Par exemple, faire des choses incroyables avec un pare-feu peut ne pas vous aider du tout si l'attaque ne se produit pas via un réseau.

Si vous parvenez à faire cela (avoir l'expertise technique et l'équipement, ou des fonds suffisants pour vous permettre un tel équipement), créer une image de lecteur maintenant peut être utile plus tard. L'image du lecteur peut aider à montrer ce qui a changé. Mais s'ils ont déjà installé un logiciel de surveillance, même votre première image peut être infectée, ce qui limite l'utilité de cette approche.

Une chose que vous ne voulez pas, c'est que votre machine Microsoft Windows soit jointe au domaine Active Directory, si vous essayez de les garder à l'écart. Beaucoup de gens ne comprennent pas cela; rejoindre un domaine Active Directory peut vous aider à accéder aux ressources de l'entreprise. Cela leur donne également beaucoup de contrôle sur l'ordinateur.

S'ils vous "espionnent" en utilisant un pare-feu fissuré pour voir les sites Web auxquels vous accédez, rien de ce que vous faites sur votre ordinateur ne vous aidera. Vous pouvez remplacer tout votre ordinateur et le pare-feu malveillant pourra toujours espionner le nouvel ordinateur. Si le problème est qu’ils sont entrés chez vous et ont remplacé votre clavier par un clavier qui enregistre vos frappes, et utilise une antenne intégrée pour transmettre vos frappes hors de votre maison, le remplacement de votre pare-feu ne donnera rien. (Et, en essuyant votre disque dur et en réinstallant votre système d'exploitation pendant que vous utilisez toujours votre clavier, vous n'obtiendrez rien.) S'ils vous espionnent en utilisant une caméra, ils se cachent dans votre bureau à la maison, remplaçant tout votre ordinateur. la technologie pourrait accomplir ... rien. La bonne façon de se défendre efficacement contre leur attaque dépendra de ce qu’ils font.

Beaucoup de suggestions peuvent être données; certains pourraient aider, beaucoup pourraient ne pas le faire. Comme le nombre de façons dont une attaque peut se produire est d'environ 16 fois multiplié par l'infini, il n'y a pas de ligne de conduite claire que je puisse recommander pour garantir le succès; surtout lorsque les détails que vous fournissez sont si vagues.


1
2018-02-13 08:17