Hacker

[PAx1gO]

raga ho un problema....mio zio ha una piccola attività con alcuni ragazzi ke effettuano le consegne, li ha dotati di un terminalino che grazie al wi-fi si connette con la rete degli uffici, ha anche installato un sistema di videosorveglianza interno con hard disk ke registra tuttocollegato alla rete.
fatto sta che alcuni giorni fa è scomparsa della roba e dal filmato della videocamera mancano 10 minuti di filmato come se fosse stata spenta, il fatto che può essere spenta solo da un telecomando ke mio zio porta sempre con se, e si può entrare nell'hard disk solo tramite il computer dell'ufficio di mio zio, ovviamente protetto da password. come possono aver fatto ad introdursi nel sistema??? Help

[mike2587]

Quote:

Originariamente inviato da PAx1gO

raga ho un problema....mio zio ha una piccola attività con alcuni ragazzi ke effettuano le consegne, li ha dotati di un terminalino che grazie al wi-fi si connette con la rete degli uffici, ha anche installato un sistema di videosorveglianza interno con hard disk ke registra tuttocollegato alla rete.
fatto sta che alcuni giorni fa è scomparsa della roba e dal filmato della videocamera mancano 10 minuti di filmato come se fosse stata spenta, il fatto che può essere spenta solo da un telecomando ke mio zio porta sempre con se, e si può entrare nell'hard disk solo tramite il computer dell'ufficio di mio zio, ovviamente protetto da password. come possono aver fatto ad introdursi nel sistema??? Help

perchè non posti nella sezione apposita?
Qui http://www.hwupgrade.it/forum/forumdisplay.php?f=124
In ogni caso la rete wireless potrebbe non essere stata protetta a dovere, come avviene nel 60% delle reti wireless...

[PAx1gO]

Quote:

Originariamente inviato da mike2587

perchè non posti nella sezione apposita?
Qui http://www.hwupgrade.it/forum/forumdisplay.php?f=124
In ogni caso la rete wireless potrebbe non essere stata protetta a dovere, come avviene nel 60% delle reti wireless...

Scusa hai ragione......mod mi aiutate

[xcdegasp]

prima di chiedersi "come" bisogna porsi altre domande basilari...
l'ultimo fotogramma (prima del taglio dei 10min) che orario riporta?
a quell'ora c'era qualcuno in ditta/ufficio che sia?
se no, all'esterno si sa cosa sia avvenuto?
l'apparato che gestisce il wireless salvava un log?
se salvava un log verso quell'ora dell'ultimo fotogramma (prima del taglio dei 10min) ci sono delle segnalazioni di qualche tipo?
la porta dell'ufficio dove c'era il pc era chiusa o aperta? se era chiusa mostrava segni di scasso?
il pc sicuramente deve avere dei log perchè windows salva dei log, avete visionato tali log?
la roba sparita era collocata nei pressi del pc e della telecamera o erano due ambienti ben separati?


ci sono queste risposte?

[Gianky....! :D :)]

Quote:

Originariamente inviato da xcdegasp

prima di chiedersi "come" bisogna porsi altre domande basilari...
l'ultimo fotogramma (prima del taglio dei 10min) che orario riporta?
a quell'ora c'era qualcuno in ditta/ufficio che sia?
se no, all'esterno si sa cosa sia avvenuto?
l'apparato che gestisce il wireless salvava un log?
se salvava un log verso quell'ora dell'ultimo fotogramma (prima del taglio dei 10min) ci sono delle segnalazioni di qualche tipo?
la porta dell'ufficio dove c'era il pc era chiusa o aperta? se era chiusa mostrava segni di scasso?
il pc sicuramente deve avere dei log perchè windows salva dei log, avete visionato tali log?
la roba sparita era collocata nei pressi del pc e della telecamera o erano due ambienti ben separati?


ci sono queste risposte?

Sembri un investigatore privato

[xcdegasp]

Quote:

Originariamente inviato da Gianky....! :D :)

Sembri un investigatore privato

[W.S.]

Difficile da dirsi, ci sono almeno una cinquantina di modi plausibili.

Rispondendo alle domande di xcdegasp, si riducono a poche possibilità e soprattutto leggendo i log (in assenza di segni di scasso) ci si fa un'idea di cosa è successo. Così a distanza senza sapere nulla più di quanto hai scritto... può essere successo di tutto, magari è stata spenta la telecamera senza alcun attacco informatico...

[Franz.]

Concordo con xcdegasp sui quesiti che ha correttamente esposto.
E in più aggiungo che come al solito, troppo spesso sono le cose più evidenti a passare inosservate.

Mi riferisco al fatto, che prima di parlare di "hacker" (colgo l'occasione per chiedere al mod di voler valutare un titolo per questo 3d più consono senza abusare del termine ) occorrerebbe effettuare alcune riflessioni:

1 - la roba è stata sottratta in un determinato periodo di tempo, periodo che è stato accuratamente rimosso dalle registrazioni video.

2 - quindi, è lecito supporre che possa essere stata sottratta da qualcuno che evidentemente sapeva che veniva videoregistrato il locale, sapeva dove venivano archiviati i dati delle videoregistrazioni medesime, e che doveva anche sapere come fare per poter andare a rimuovere questi dati.

Ovvio che quest'azione sia composta da più fatti criminosi (il furto in sè e per sè, la manomissione di apparati informatici tanto per citarne alcuni sono reati penali), così come ovvio che sia stata addirittura concepita da qualcuno che abbia tutte queste conoscenze. Questo quindi, comporta anche una premeditazione, che peggiora il tutto.
Per quanto concernente l'azione informatica, con molta probabilità possiamo trovarci di fronte ad un attacco di tipo social engineering, ovvero che eventuali dati d'accesso ai sistemi (password del pc o chiave wifi) possano esser stati carpiti tramite dialoghi intercorsi o perchè il "furbo" ha potuto frugare laddove magari sapeva dove trovare questi dati (tanto sicuramente ce li avrete scritti da qualche parte vero? ).

Comunque, tornando al lato tecnico, intanto suggerirei di provvedere a rivedere la messa in sicurezza di tutti i sistemi; quindi, cambio delle password sui pc, verifica della crittografia attiva sul wifi utilizzando i protocolli + sicuri (vedasi forum e trhead specifici sull'argomento), aggiornamento antivirus e scansione pc onde assicurarsi che non ci sia qualche trojan o qualche backdoor attiva e poi verifica e messa in sicurezza dei terminali usati dagli operatori alle consegne.


Mi permetto comunque di formulare un ipotesi, che mi sembra possa avere una certa "consistenza".
Nei terminalini per accedere via wifi al computer per lo scambio dei dati, è sicuramente memorizzata la chiave stessa del wifi, chiave che ovviamente permette di collegarsi al sistema sul quale gira l'applicazione dei terminalini stessa.
Quindi, fino a prova contraria, diamo per scontato che tutto il personale che effettua le consegne e che ne ha le capacità, potrebbe venire in possesso della chiave wifi in qualsiasi momento.
Ora, soffermiamoci un attimo su questi terminalini: come son fatti? sono pc portatili? qualora lo fossero, si hanno a disposizione dei software o dei programmi che possono interagire con il sistema impiegato sul pc che fa da server? Se a questa risposta puoi rispondere affermativamente, come vedi la soluzione potrebbe non essere poi tanto lontana....
Altrimenti, basterebbe un pc portatile (magari utilizzato in auto o comunque poco lontano, laddove comunque è possibile connettersi alla vostra lan wifi) per entrare in rete, e poi il gioco diventa molto più facile. Qualora il server che ospita l'applicazione dei terminalini, è lo stesso sul quale gira il sistema di videosorveglianza, allora non avrei più dubbi. La videocamera potrebbe essere stata disattivata (e non spenta dal telecomando) via software, magari immediatamente prima di compiere il furto, per poter poi essere stata riattivata subito dopo il furto.

A chi mando la parcella per il consulto?

[Franz.]

Mi son dimenticato di aggiungere, che qualora il server che ospita l'applicazione dei terminalini, sia lo stesso della videosorveglianza, è più che opportuno separare le cose utilizzando due server fisici distinti e separati (aggiungete un pc e via ), almeno da preservare e limitare l'accesso ai due server in maniera separata.

[W.S.]

Magari hanno semplicemente spento l'AP (o lo switch) per 10 minuti
Questo per suggerire di non scatenare una caccia alle streghe accusando le 2-3 persone nell'azienda che se ne intendono di pc.

Senza dettagli sul sistema potremmo andare avanti giorni con diverse ipotesi tutte ugualmente verosimili.

[Franz.]

Quote:

Originariamente inviato da W.S.

Magari hanno semplicemente spento l'AP (o lo switch) per 10 minuti
Questo per suggerire di non scatenare una caccia alle streghe accusando le 2-3 persone nell'azienda che se ne intendono di pc.

Senza dettagli sul sistema potremmo andare avanti giorni con diverse ipotesi tutte ugualmente verosimili.

Si è vero, hai fatto una giusta osservazione.

In ogni caso comunque confido in PAx1gO che ci tenga aggiornati.

[PAx1gO]

Quote:

Originariamente inviato da Franz.

Si è vero, hai fatto una giusta osservazione.

In ogni caso comunque confido in PAx1gO che ci tenga aggiornati.

Scusate se risp dolo ora ma sono stato incasinato parecchio
cmq vi do alcune delucidazioni...la telecamera non è stata spenta manualmente ma in pratica la sua registrazione è stata tagliata dall'hard disk di storage...l'accesso al computer è stato fatto a distanza inserendosi nella rete wirless dell'azienda e il computer non è stato toccato....in pratica loro con un portatile si sono connessi alla rete wirless di cui conoscevano la password xkè la utilizzavano con i terminalini...per arrivare all'hard disk della telecamera sono dovuti passare necessariamente dal computer personale di mio zio...protetto da password sulla rete e sono entrati nell' hard disk che ovviamente era protetto da un'altra password...insomma hanno superato 2 password che loro non conoscevano e non hanno lasciato manco una traccia nei log....stupefacente e pauroso....ragionateci su e aiutatemi a capire grazie

[dierre]

Quote:

Originariamente inviato da PAx1gO

Scusate se risp dolo ora ma sono stato incasinato parecchio
cmq vi do alcune delucidazioni...la telecamera non è stata spenta manualmente ma in pratica la sua registrazione è stata tagliata dall'hard disk di storage...l'accesso al computer è stato fatto a distanza inserendosi nella rete wirless dell'azienda e il computer non è stato toccato....in pratica loro con un portatile si sono connessi alla rete wirless di cui conoscevano la password xkè la utilizzavano con i terminalini...per arrivare all'hard disk della telecamera sono dovuti passare necessariamente dal computer personale di mio zio...protetto da password sulla rete e sono entrati nell' hard disk che ovviamente era protetto da un'altra password...insomma hanno superato 2 password che loro non conoscevano e non hanno lasciato manco una traccia nei log....stupefacente e pauroso....ragionateci su e aiutatemi a capire grazie

Se il taglio del video è stato fatto in loco, basta avere una distro linux con programma per il video editing...non è tutta sta difficoltà...a meno che l'hd non sia criptato in qualche modo.

[dierre]

Quote:

Originariamente inviato da PAx1gO

Scusate se risp dolo ora ma sono stato incasinato parecchio
cmq vi do alcune delucidazioni...la telecamera non è stata spenta manualmente ma in pratica la sua registrazione è stata tagliata dall'hard disk di storage...l'accesso al computer è stato fatto a distanza inserendosi nella rete wirless dell'azienda e il computer non è stato toccato....in pratica loro con un portatile si sono connessi alla rete wirless di cui conoscevano la password xkè la utilizzavano con i terminalini...per arrivare all'hard disk della telecamera sono dovuti passare necessariamente dal computer personale di mio zio...protetto da password sulla rete e sono entrati nell' hard disk che ovviamente era protetto da un'altra password...insomma hanno superato 2 password che loro non conoscevano e non hanno lasciato manco una traccia nei log....stupefacente e pauroso....ragionateci su e aiutatemi a capire grazie

Se il taglio del video è stato fatto in loco, basta avere una distro linux con programma per il video editing...non è tutta sta difficoltà...a meno che l'hd non sia criptato in qualche modo.

[W.S.]

Quote:

Originariamente inviato da PAx1gO

insomma hanno superato 2 password che loro non conoscevano e non hanno lasciato manco una traccia nei log....stupefacente e pauroso....ragionateci su e aiutatemi a capire grazie

Be... se non hanno lasciato tracce come fai ad avere la certezza che abbiano agito in questo modo? comunque senza dettagli sul sistema non si può ragionarci su più di tanto:
- che tipo di telecamere sono?
- come comunicano con i pc e con quanti pc comunicano? Tramite che connessioni, da quanti apparati passano, con che programmi?
- come è fatta la rete? Nessun firewall/dmz?
- Il pc di tuo zio (win xp? vista?) è raggiungibile da qualsiasi protocollo una volta in rete wireless? Che sistemi di sicurezza ha? (firewall, antivirus, IDS...)
- L'HD su cui sono registrati i video, come è connesso al pc? Da che tipo di password è protetto? Da un programma? E' cifrato?
- Sicuro che i log non siano stati manomessi? Sicuro che il pc fosse acceso? Sicuro che l'attaccante non abbia avuto accesso fisico alla risorsa? In che modo possiamo esserne certi?

Ecco, una volta avute queste risposte possiamo iniziare a ragionarci in modo serio.

Cmq, così a caldo senza saper nulla: non esiste che le macchine con funzioni di sicurezza (accesso a telecamere) siano raggiungibili da una wireless, in particolare se poco fidata. Come prima cosa c'è da intervenire in questo punto, tramite una dmz o separando completamente le due cose. Se proprio non è possibile, va fatto in modo da avere dei backup ravvicinati non modificabili delle riprese (in remoto o su una partizione append-only di un disco non accessibile fisicamente).

[Franz.]

Concordo anch'io con W.S.
Mi fermerei qui, perchè con le supposizioni e le teorie non si combatte il crimine. Per poter effettuare un analisi più approfondita, e quindi per poter prendere le contromisure adeguate, occorre indispensabilmente saperne di più.
C'è poco da fare.
W.S. ha indicato alcuni degli elementi che occorre sapere, ma ognuno di essi merita poi un ulteriore analisi, dal quale si apriranno nuove porte ognuna delle quali dovrebbe essere ulteriormente sottoposta a verifiche.

Io, se possibile, vorrei capirci di più soprattutto riguardo a questo passaggio: "per arrivare all'hard disk della telecamera sono dovuti passare necessariamente dal computer personale di mio zio...protetto da password sulla rete e sono entrati nell' hard disk che ovviamente era protetto da un'altra password..." Ecco, spiegami bene questo concetto che in parte è ridondante con sè stesso:
1 - dove è alloggiato l'harddisk che contiene i dati di ripresa delle videocamere?
2 - sono protetti i dati delle videocamere? come e/o con cosa? se si tratta di una password, quest'ultima è memorizzata (o annotata) da qualche parte?
3 - che vuol dire "sono dovuti passare necessariamente dal computer personale di mio zio...protetto da password sulla rete" che password usa? quella semplice di windows? o avete un dominio in active directory? Spiegaci qualcosa di + su questa password se puoi, per cortesia.
4 - "sono entrati nell' hard disk che ovviamente era protetto da un'altra password..." che cosa intendi? ti riferisci ad una password di accesso a livello di condivisione in rete? Se puoi, spiegaci anche questa cosa, grazie.