bonjour
je viens d'être contacté par un client qui "semble être sur" d'avoir fait l'objet d'un hacking ou d'une attaque type man in the middle sur un poste perso à son domicile par un collègue du service informatique de son entreprise, des informations personnelles de navigation (à domicile) ayant étés rendus publique et afin de pouvoir porter plainte il lui faut pouvoir indiquer l'adresse ip malveillante afin de réclamer les log de son fournisseur adsl qui ne peut les fournir qu'à la police après plainte
je crains de ne pas avoir de résultats possible, sauf conseils géniaux de votre part ...
les fait :
la personne à recu de son entreprise un pc (qu'il semble avoir totalement reformaté sous xp pro ) qui lui sert pour des connections perso.
il à également un pc pro founi par la boite qui lui sert pour se connecter sur les serveurs OWA de la boite dont il ne se sert pas pour ses connections perso.
sur les deux pc pas de vpn présent, les dns sont les dns publique de son fournisseur d'acces.
sa box adsl (alice) était en mode bridge et il ne pouvait donc connecter qu'un pc à la fois. (il a depuis activé le mode routeur.)
le service info aurait eu accès à ses logs de connexion de son pc perso à domicile !!!!
a supposer que son adresse ip ai été relevé via les connections sur le serveur owa, ce qui aurais permis une attaque arp / mitm et de logger les connection.
j'ai cloné le disque initial (la personne à entre temp effacé des données avec un cleaner) pour récupérer tous les infos/ log effacés (c'est en cours sur une seconde image complete secteur par secteur).
le disque cloné semble propre de tous service type vnc / spyware . la table arp est naturellement vide, le fichier host ne contient rien. il n'y a pas d'antivirus, ni firewall autre que celui de xp,
pas de mises a jour depuis un certain temps la date systeme est remise en 1980 à chaque reboot (d'ou le refus des certificats de secu de windows update et donc l'absence de mise a jour) et en corollaire les journaux systemes ne sont pas vraiment utilisables
j'ai prevu de tester avec helix et de sniffer le poste avec wireshark mais je pense ne rien trouver de probant
qu'utiliseriez vous pour détecter à posteriori une attaque type man in the middle si elle à eu lieu ?
elarifr
conseil pour analyse forensique d'intrusion / spy ?
4 message(s)
• Page 1 sur 1
conseil pour analyse forensique d'intrusion / spy ?
par elarifr » 23 Avr 2012 11:41
- elarifr
- Message(s) : 3
- Inscription : 23 Avr 2012 10:21
- Localisation : Strasbourg
Re: conseil pour analyse forensique d'intrusion / spy ?
par Franck78 » 23 Avr 2012 13:24
le service info aurait eu accès à ses logs de connexion de son pc perso à domicile !!!!
C'est tout ? Si le gars est victime d'une attaque pour lui nuire (préjudice), il expose les faits précis à la police. C'est la police qui même l'enquète !
Vous (toi et ton client), votre seule tâche est de constituer un dossier convaincant pour que le proc ne classe pas sans suite !
Evite aussi les 'man in the middle' et autres attaques venues de l'extérieur. Le gars a peut être seulement réglé son naviguateur perso avec les recommandations de sa boite comme par exemple utiliser le serveur proxy de la boite qui lui seul permet d'accéder à d'autres services en ligne de la boite etc etc, bien entendu sans comprendre l'utilité du réglage !
[troll]
En ce moment les policiers informatiques on des missions bien plus importantes comme déterminer qui a laché un bout de résultat avant l'heure. C'est vrai que la grosse majorité des électeurs à attendu 18h30 pour ce décider hein....
[/troll]
- Franck78
- Message(s) : 525
- Inscription : 11 Sep 2011 16:04
- Localisation : France
Re: conseil pour analyse forensique d'intrusion / spy ?
par elarifr » 23 Avr 2012 21:38
merci
comme indiqué j'ai vérifié les dns (et proxy) , c'etait aussi à mon sens le plus probable.
ils sont juste en paramètres par défaut en automatique : donc les dns du fai et pas de proxy.
je n'ai pas non plus trouve trace de vpn/vnc configuré par la boite ce qui aurais pu être l'origine des logs
Comme tu l'indique c'est à la police de mener une enquête mais je suis pas sur que cela les "intéresse" pour un particulier,
encore faut'il qu'il y ait un dossier et pour l'instant je n'ai aucun élément montrant quoi que ce soit.
en absence de tous log, je ne vois pas ce que je peux mettre en évidence pour confirmer ou infirmer son impression d'avoir été espionné par sa boite.
elarifr
comme indiqué j'ai vérifié les dns (et proxy) , c'etait aussi à mon sens le plus probable.
ils sont juste en paramètres par défaut en automatique : donc les dns du fai et pas de proxy.
je n'ai pas non plus trouve trace de vpn/vnc configuré par la boite ce qui aurais pu être l'origine des logs
Comme tu l'indique c'est à la police de mener une enquête mais je suis pas sur que cela les "intéresse" pour un particulier,
encore faut'il qu'il y ait un dossier et pour l'instant je n'ai aucun élément montrant quoi que ce soit.
en absence de tous log, je ne vois pas ce que je peux mettre en évidence pour confirmer ou infirmer son impression d'avoir été espionné par sa boite.
elarifr
- elarifr
- Message(s) : 3
- Inscription : 23 Avr 2012 10:21
- Localisation : Strasbourg
Re: conseil pour analyse forensique d'intrusion / spy ?
par Franck78 » 23 Avr 2012 22:24
Le résumé du résumé ! Maintenant il est espionné par sa boite. Au début c'était des infos rendues publiques par un collègue.
Est-ce que ce (les données) qu'on lui a mis sous le nez est susceptible d'avoir été obtenu à l'insu de son plein gré et dans quels buts.
Répond à ça avant de perdre du temps.
Il sera bien temps après seulement de savoir comment.
Est-ce que ce (les données) qu'on lui a mis sous le nez est susceptible d'avoir été obtenu à l'insu de son plein gré et dans quels buts.
Répond à ça avant de perdre du temps.
Il sera bien temps après seulement de savoir comment.
- Franck78
- Message(s) : 525
- Inscription : 11 Sep 2011 16:04
- Localisation : France
4 message(s)
• Page 1 sur 1
Retour vers Questions diverses
Qui est en ligne ?
Utilisateur(s) parcourant ce forum : Aucun utilisateur inscrit et 1 invité