題 如何在獲取攻擊者證據的同時保護受感染的計算機


我有證據(非技術性),我的公司正在監視我,而不是我的公司PC,而是家裡的私人電腦。 這些證據不會在法庭上存在,因此我需要技術證明。我懷疑我的公司聘請了一名黑客來監控我的電腦, 但我需要技術證據來證明這一點。我需要找到一種阻止它們的方法。請不要詢問動機等。我將詳細介紹非技術方面的內容。

我知道這個平台對“模糊”問題非常嚴格,但我迫切需要一個解決方案,這是我所知道的最好的平台 安全專家。所以請不要刪除這個問題。

我的家用電腦: - 具有最新安全更新的Windows7 Premium。

  • 防火牆打開時帶有修改的默認設置:除了Windows服務(已禁用遠程訪問)外,阻止入站流量。出站流量設置允許Windows服務,電子郵件客戶端(Claws Mail),最新的Opera-Browser和遊戲平台Steam
  • 防病毒:Avira Community Edition
  • 惡意軟件檢測:Spybot搜索和銷毀
  • IPV6已被禁用

我也使用我的公司密碼進行私人服務(Windows登錄,私人電子郵件),但我最近改變了。 現在我使用lastpass和一個新的強主密碼。

我的公司電話(iPhone4)被授權訪問我的私人無線局域網,但我刪除了它的訪問權限,現在我正在使用私有的Nexus 7平板電腦。 我必須從家裡登錄公司服務器才能訪問與工作相關的文檔和郵件(我工作的一部分),這樣他們就可以經常看到我的IP。

我現在需要知道的是兩件事:

  • 如何進一步保護我的家庭設置(安裝Linux不是一個選項,因為我依賴於Windows軟件。是的,我嘗試過葡萄酒)
  • 我怎樣才能抓住黑客“在行為中”以便我有充分的證據?

3
2018-02-09 09:55


起源


在這種情況下,最可能的感染媒介可能是電子郵件。您是否在家中的PC上閱讀了公司的電子郵件?如果您能夠描述導致您認為他們已經破壞了您的PC的原因,它也會有所幫助。奇怪的行為?通過閱讀您的家庭電子郵件了解他們只能知道的事情?
如何通過VPN從家裡連接到公司服務器?您的系統上是否安裝了公司特定的應用程序? - ciphercodes
是的,我確實從我的HomePC讀了我的公司電子郵件。我也使用家裡的公司會計軟件。它們都是基於Web的開源軟件的商業版本。我的瀏覽器是通過Adblock,Https Anywhere,Ghostley,Disconnect,WOT等增強Opera。我沒有通過VPN連接。
對不起,但我不能深入了解“你怎麼知道”(他們也讀了堆棧*網站),但是他們知道非常私密的東西,如果不監視我的瀏覽器習慣就不可能知道 和 閱讀我的私人電子郵件(GMail)。
1.只要您使用公司網絡,他們就可以擁有廣泛的自由度來“保護它”。 2.如果有窺探,可能是未經授權或公司政策的一部分,只是一個流氓員工。您可以向最高IT人員或公司官員提出問題,以確定此類活動是否已獲得授權。如果不是,他們可能會開始自己的調查。您無需提示您計劃的行動。 3.如果你去法庭,你可能必須表現出很難的賠償金,並親吻你的工作。 - fixer1234


答案:


這個問題實際上是兩個問題。

要響應此安全事件,您必須收集可用的證據,然後保護計算機。

擁有可以在法庭上使用的證據可能很困難。事實上,如果你為法官(或你的公司負責人)辯護你的案子,他們可能會試圖表明:

  • 你不能證明這些信息是真實的,你也沒有偽造它。
  • “入侵”是在公司最終安全政策的範圍內(你應該看到並簽署了btw。)這是一種表達你接受這些的方式。

要走的路,就是讓一個經過認證的人(專家律師?)在你的計算機上進行審計,然後發布一份可以在法庭上使用的法律報告。為此,您必須像往常一樣繼續進行數據收集。一個 屍體檢驗 也可以執行審計,但這很可能不會產生任何可用的結果,主要是因為計算機是您的,並且您可以完全訪問它。

因此,如果您想獲得任何證據,您需要尋找法律顧問,他可以為您提供建議。但我很確定投資不值得傷害。

關於問題的安全部分:信任已知的受感染計算機並不容易。除非您可以評估計算機上所有文件的完全恢復(驗證您的系統是正版的 - 以及您檢查過的工具也是如此),否則您將無法確定沒有後門或惡意軟件感染的痕跡。因此,下一個最好的事情是完全擦除並重新安裝操作系統。您是否離線安裝,然後使用最新更新在線路徑。然後你需要採取措施避免再次破壞系統。

為了保護自己,你必須首先問你這個問題:“我信任誰”。如果您不信任您的公司,那麼為什麼要安裝他們的軟件,訪問他們的服務器?我會假設您需要設置VPN訪問權限才能使用您需要的工具。使用VPN基本上是說“我相信我正在連接的網絡”。您可以將其視為您自己家庭網絡的擴展。如果您不信任該網絡上的內容,則需要隔離您的環境。

您的解決方案主要因其便利性和/或價格而異。您可以:

  • 獲取一台僅用於工作目的的新PC。
  • 使用虛擬機程序設置虛擬環境(Virtualbox等...)
  • 在計算機的第二個磁盤上設置第二個環境。

無論您選擇哪種方式,都必須確保計算機的隔離。更準確地說,你應該確保:

  • 無法從您的安全環境訪問網絡上的其他計算機(網絡過濾,訪問規則)
  • 無法從您的安全環境訪問您計算機上的其他數據(例如,斷開連接的HDD)

所以,基本上,不要訪問你不想分享的內容。


2
2018-02-09 11:40



謝謝你的詳細解答。你是對的,我必須設置一台新PC並將其與其他PC隔離開來。我擔心他們會懷疑並停止監視我。在這種情況下,我將永遠無法在法律案件中對其進行證明。我已經把我的罪名交給律師了,他在我的任何合同和政策中都沒有提到任何條款,這些條款會使他們所做的事情合法化。您對打樣部分也是正確的。找不到可以進行此類審計的律師並證明我沒有偽造它。我必須找到先例來看看如何處理這些案件。


如果您的計算機遭到入侵,您將無法信任它。它可能騙你。因此,您需要能夠從您信任的系統中收集證據。例如在混雜模式下運行的透明路由器。最具說服力的證據可能是數據包捕獲。日誌可能很有用;給他們加上時間戳會很好。

如果您確實得到了一些明確的證據,請準備好再次親吻您的計算機。您可能有很多機會篡改證據,這是一個對您不利的事實。可能有助於最大限度地減少篡改犯罪現場的能力的一件事是執法部門“標記並將其包裝”......將您的計算機運送到計算機取證實驗室,在那裡他們需要數週才能找到任何東西。

如果這超出了您的專業領域,您可能希望得到其他人的幫助。事實上,獲得一個不偏不倚的人可能會對你的情況有所幫助。但是,這也可能是一筆費用。

所有這一切可能都假設攻擊者不如你捕獲(意味著:記錄)攻擊者行為的企圖聰明。如果您所做的只是捕獲數據包並創建日誌,但它們沒有顯示任何攻擊跡象,那麼您已經完成了對自己沒有任何好處的事情(即使攻擊實際上正在發生)。例如,如果攻擊不是通過網絡發生的話,用防火牆做瘋狂的事情可能根本無濟於事。

如果您能夠做到這一點(擁有技術專長,設備或足夠的資金來支付這些設備),現在製作驅動器映像可能會有所幫助。驅動器圖像可能有助於顯示已更改的內容。但是,如果他們已經安裝了監控軟件,那麼即使你的第一張圖片也可能被感染,這限制了這種方法的實用性。

您不希望的一件事是將Microsoft Windows計算機加入Active Directory域,如果您試圖阻止它們。很多人不明白這一點;加入Active Directory域可以幫助您訪問公司資源。它還使他們能夠對計算機進行大量控制。

如果他們通過使用破解的防火牆來“監視”您,那麼您在計算機上執行的任何操作都無濟於事。您可以更換整個計算機,惡意防火牆設備仍然可以監視新計算機。如果問題是他們進入你的家並用鍵盤記錄你的鍵盤替換鍵盤,並使用內置天線在你家外傳輸你的擊鍵,那麼更換你的防火牆將一事無成。 (而且,擦拭你的硬盤並重新安裝你的操作系統,當你仍然使用你的鍵盤時,什麼都不會做。)如果他們使用相機監視你,他們躲在你家裡的辦公室,更換你的所有電腦技術可以完成......沒有。成功抵禦攻擊的正確方法將取決於他們的行為。

可以給出很多建議;有些人可能會有所幫由於攻擊可能發生的方式大約十六乘以無窮大,因此我無法確定可以保證成功的明確行動方案;特別是當你提供的細節是如此模糊。


1
2018-02-13 08:17