W dniu 01.04.2024 o 02:18, Marcin Debowski pisze:

> Tez oczywiście nie mam doświadczenia, ale wiem, że np. próbuje się to
> robić monitorując węzły wejścia i wyjścia. W uproszczeniu, ustalono, że
> ktoś się gdzieś włamał o tym i o tym czasie, no ale nawet jak uzywał
> tor'a to musiał się z tym torem połączyć i "wyjść" z niego w jakiejs
> lokalizacji bliskiej włamaniu. Jak się ma z grubsza dane skąd działa
> (np. jakies miasteczko), a włamań/połaczeń jest wiele, to można próbowac
> szukać korelacji kto się stamtąd w takim czasie łaczył. To duża robota i
> konieczność dostępu do rozbudowanej infrastruktury, więc musi naprawdę
> zależeć.

Dla ustalenia uwagi - Mówimy o firmie, której specjalista do spraw
bezpieczeństwa cybernetycznego do dziś nie rozumie o co chodziło z
dynamicznymi adresami i gdzie popełnili fakap (w zasadzie to uważa że to
wina zgłaszających) oraz publicznie wyznaje pogląd, że jak czegoś szukać
jak nie wiadomo gdzie jest - może przecież nawet być w sąsiedniej
komendzie.

--
Shrek

Czy wiesz, że "***** ***" czytane od tyłu daje "??? ?????"?
PS - i konfederację!

do góry

W dniu 01.04.2024 o 02:18, Marcin Debowski pisze:
>> W dniu 31.03.2024 o 03:41, Marcin Debowski pisze:
>> Jeśli - jak twierdzisz - można odczytać te MAC adresy, to pewnie by się
>> dało zidentyfikować, tylko wydaje mi się, że w małych sieciach. Bo
>> wątpię, by taki ORANGE miał wykaz MAC adresów swoich klientów w formie
>> jakiejś bazy danych.
> Nie wiem co orange i inne robia, ale standardowo serwer dhcpd działa po
> MACu więc musi wiedziec, któremu fizycznemu urządzeniu przyporzadkował
> dane ip. Więc wystarczy sprawdzić jakie ip przyporządkowano danemu
> macowi. Ramki TCP/IP w warstwie pierwszej stosu zawierają MAC.

Tylko tu jest podobny problem, jak z lokalizacją urządzeń.
Rozporządzenie określa, co mają mieć. Do celów technicznych mają pewnie
wiele rzeczy, ale czy gromadzą to w sposób możliwy do przeszukiwania i
to po czasie? Ja tu chyba gdzieś wspominałem, że jak nie było to
postanowienie prokuratora wystawione sztywno na jakieś dane wstecz,
tylko działanie na bieżąco, to się to zupełnie inaczej robi. Po prostu
grupa stoi pod drzwiami, a Ty sprawdzasz, czy w danej chwili pobiera się
spod danego adresu IP, oraz sprawdzasz, czy IP jest za tymi drzwiami
n(via operator). Wchodzisz i wiadomo, że masz do przeszukania to, co
pracuje. Co więcej możesz po prostu wyłączać kolejno urządzenia z prądu
i obserwować, czy przestało się pobierać.

Te kombinacje są dlatego, że jest jeszcze taki problem, że my z poziomu
sieci widzimy zewnętrzne dane, czyli często router. A dane udostępnia
komputer za nim stojący. Te proste routery nie mają jakiejś pamięci z
logami. Jakby miały, to byłoby wspaniale.

Tak, czy siak nie przypominam sobie, by ktoś po MAC adresach tego szukał.

>> Powiem szczerze, że oczywiście słyszałem o tym, ze można namierzyć, ale
>> w praktyce jeszcze tego nie widziałem, chyba,m że albo gościowi się TOR
>> wyłączył, albo wpadł na czymś zupełnie innym i się przy okazji coś
>> znalazło. Ale oczywiście są mądrzejsi ode mnie.
> Tez oczywiście nie mam doświadczenia, ale wiem, że np. próbuje się to
> robić monitorując węzły wejścia i wyjścia. W uproszczeniu, ustalono, że
> ktoś się gdzieś włamał o tym i o tym czasie, no ale nawet jak uzywał
> tor'a to musiał się z tym torem połączyć i "wyjść" z niego w jakiejs
> lokalizacji bliskiej włamaniu. Jak się ma z grubsza dane skąd działa
> (np. jakies miasteczko), a włamań/połaczeń jest wiele, to można próbowac
> szukać korelacji kto się stamtąd w takim czasie łaczył. To duża robota i
> konieczność dostępu do rozbudowanej infrastruktury, więc musi naprawdę
> zależeć.

Na pogadankach i szkoleniach różne rzeczy słyszałem. Jak powiedziałem, w
praktyce tego nie widziałem. W znanych mi przypadkach namierzano
alternatywnymi kanałami, czyli przykładowo śledzono okup, ujmowano
odbiorce i badano jego komputer. Istnieje jeszcze kilka sztuczek, które
w praktyce się sprawdzają, ale wszystkie one opierają się o takie różne
dziwne założenia i czasem się udają, a czasem nie. Ostatecznym dowodem
zawsze jest przeszukanie komputera. Natomiast być może istnieją nieznane
mi sposoby - nie neguję tego.

--
(~) Robert Tomasik

do góry

W dniu 01.04.2024 o 01:47, Marcin Debowski pisze:

>> Ja piszę, jak to robiono, a nie jak można było.
> Jak znasz wielkość pliku i np. md5 to mozna to zrobic na wiele sposobów.
> Np. pod Linuxem, uzywając standardowych narzędzi:

Ależ dokładnie tak. I dlatego pisząc post (ku rozpaczy Shreka i Kviata)
w ten aspekt w ogóle się nie zagłębiłem, bo on jest poboczny. To można
na pierdylion sposobów zrobić. Sens idei polegał na tym właśnie, że
należało szukać danego konkretnego pliku, a nie wszystkich z filmem o
tym tytule. Oni tego nie pojęli i skupili się na tej sumie kontrolnej,
która ma poboczne znaczenie w tej sytuacji.

Jak mam przeszukać jeden komputer, to oczywiście w ogóle nie ma sensu
się bawić w skrypty. Z palca wpisuję kryteria. Ale przy tysiącach już
warto nawet prostego "bat"a sobie przygotować.

Ja w taki sposób przykładowo rozwiązuję zapytania z Prokuratury, czy
przechodziło dane nazwisko w naszych materiałach. Robię takie coś i
rozsyłam emailem. To oczywiście są kolejne możliwości, bo często nie
pytają o nazwisko, ale jakieś tam inne słowa. Każdy ma sobie to
uruchomić, a potem przejrzeć, co mu się wyświetliło i emailem odpisać.

Działa to nieźle, jeśli nie ma polskich znaków. Wyszukuje również pliki
z edytorów tekstu oraz arkusze kalkulacyjne, bo tam ciągi znaków są
jawnie. Działa nieźle dla wyszukania numerów telefonów, tylko trzeba
pokombinować, bo są różnie zapisywane.

Ba, wyszukuje, jak wyszukiwałeś w Google dany telefon, bo w logu są te
numery :-) Natomiast nei w każdej sieci zadziała, bo czasem admin to
blokuje z uwagi na zagrożenie terrorystyczne.

--
(~) Robert Tomasik

do góry

W dniu 01.04.2024 o 10:13, Robert Tomasik pisze:

> Wchodzisz i wiadomo, że masz do przeszukania to, co
> pracuje. Co więcej możesz po prostu wyłączać kolejno urządzenia z prądu
> i obserwować, czy przestało się pobierać.

Doskonały pomysł. A jak się włączy z powrotem to się okaże że dysk
zaszyfrowany:P

> Na pogadankach i szkoleniach różne rzeczy słyszałem. Jak powiedziałem, w
> praktyce tego nie widziałem. W znanych mi przypadkach namierzano
> alternatywnymi kanałami, czyli przykładowo śledzono okup, ujmowano
> odbiorce i badano jego komputer.

Bo są zasadzniczo dwie możliwości (obie praktycznie awykonalne przez
naszych speców od cyberbezpieczeństwa). Albo stawiasz honeypota, albo
żmudnie szukanie kolesia w zwykłej sieci, w nadziei że będzie głupi i na
przykład będzie korzystał z tego samego kompa do tora i normalnego
użytkowania gdzie zostawia mnóstwo śladów.

A trzecia że złapią go przypadkiem w sposób zupełnie nie związany z
siecią. Dlatego tor jest w sumie bardzo dobrym rozwiązaniem jeśli chodzi
o anonimowość _w_sieci_. Niby nie doskonałym, ale na kulsonów w 100%
wystarczającym.


--
Shrek

Czy wiesz, że "***** ***" czytane od tyłu daje "??? ?????"?
PS - i konfederację!

do góry

W dniu 01.04.2024 o 10:29, Robert Tomasik pisze:

> Ależ dokładnie tak. I dlatego pisząc post (ku rozpaczy Shreka i Kviata)
> w ten aspekt w ogóle się nie zagłębiłem, bo on jest poboczny. To można
> na pierdylion sposobów zrobić.

Ale ty zmyśliłeś akurat taki i teraz masz pretensję do wszystkoch tylko
nie siebie że cię znów na kłamstwie przyłapano. Już ci pisałem - jak
kłamiesz to nie podawaj za dużej liczby szczegółów, bo potem
przedszkolak połączy kropki, że może i ogólnie to by się tak dało, ale w
szczegółach się pogubiłeś i widać że zmyślasz.


--
Shrek

Czy wiesz, że "***** ***" czytane od tyłu daje "??? ?????"?
PS - i konfederację!

do góry

W dniu 01.04.2024 o 10:40, Shrek pisze:

>> Wchodzisz i wiadomo, że masz do przeszukania to, co pracuje. Co więcej
>> możesz po prostu wyłączać kolejno urządzenia z prądu i obserwować, czy
>> przestało się pobierać.
> Doskonały pomysł. A jak się włączy z powrotem to się okaże że dysk
> zaszyfrowany:P

Oczywiście i dlatego policja nabyła agregaty prądotwórcze. Jak zabieramy
komputery, to podłączamy je do takiego agregatu i jadą cały czas
włączone, aż do biegłego.

Z tym, ze teraz zmniejszamy emisyjność. Skoro udostępniano z tego
komputera, bo się wyłączyło w chwili zaniku napięcia, to wystarczy
napisać, ze zaszyfrowane i zniszczyć jako dowód przestępstwa bez
zaglądania.
>
>> Na pogadankach i szkoleniach różne rzeczy słyszałem. Jak powiedziałem,
>> w praktyce tego nie widziałem. W znanych mi przypadkach namierzano
>> alternatywnymi kanałami, czyli przykładowo śledzono okup, ujmowano
>> odbiorce i badano jego komputer.
>
> Bo są zasadzniczo dwie możliwości (obie praktycznie awykonalne przez
> naszych speców od cyberbezpieczeństwa). Albo stawiasz honeypota, albo
> żmudnie szukanie kolesia w zwykłej sieci, w nadziei że będzie głupi i na
> przykład będzie korzystał z tego samego kompa do tora i normalnego
> użytkowania gdzie zostawia mnóstwo śladów.

I potem tacy geniusze pilnują, żeby nie maksymalizować okienka w
przeglądarce po TOR, bo na tej podstawie można ustalić użytkownika :-) I
pomyśleć, że wystarczy nie kraść.
>
> A trzecia że złapią go przypadkiem w sposób zupełnie nie związany z
> siecią. Dlatego tor jest w sumie bardzo dobrym rozwiązaniem jeśli chodzi
> o anonimowość _w_sieci_. Niby nie doskonałym, ale na kulsonów w 100%
> wystarczającym.
>
>
Kolega po pod...li, że to właśnie on wysyłał te wiadomości o bombie w
szkole - bo się pochwali w klasie. Zacznie z "laską" pisać i wejdzie na
zewnętrzny serwer, gdzie są jej fotki. Chłopie, jest pierdylion
sposobów. Ale oparte nie o śledzenie w sieci, tylko inne sposoby.
--
(~) Robert Tomasik

do góry

W dniu 01.04.2024 o 10:45, Shrek pisze:
> Ale ty zmyśliłeś akurat taki i teraz masz pretensję do wszystkoch tylko
> nie siebie że cię znów na kłamstwie przyłapano. Już ci pisałem - jak
> kłamiesz to nie podawaj za dużej liczby szczegółów, bo potem
> przedszkolak połączy kropki, że może i ogólnie to by się tak dało, ale w
> szczegółach się pogubiłeś i widać że zmyślasz.

Zakładam, że poza Tobą nei ma tu przedszkolaków. Pozostałe osoby, jak
będą chciały, to zapytają o szczegół techniczny,
--
(~) Robert Tomasik

do góry

W dniu 01.04.2024 o 10:29, Robert Tomasik pisze:

> Ależ dokładnie tak. I dlatego pisząc post (ku rozpaczy Shreka i Kviata)
> w ten aspekt w ogóle się nie zagłębiłem, bo on jest poboczny. To można
> na pierdylion sposobów zrobić.

Najłatwiej i najszybciej eksplojdem.

Powrotu do zdrowia życzę.
Piotr

do góry

W dniu 01.04.2024 o 10:40, Shrek pisze:
> W dniu 01.04.2024 o 10:13, Robert Tomasik pisze:
>
>> Wchodzisz i wiadomo, że masz do przeszukania to, co pracuje. Co więcej
>> możesz po prostu wyłączać kolejno urządzenia z prądu i obserwować, czy
>> przestało się pobierać.
>
> Doskonały pomysł. A jak się włączy z powrotem to się okaże że dysk
> zaszyfrowany:P

Chyba zapominasz, że rozmawiasz ze specjalistą od cyberbezpieczeństwa.
Przejrzy folder w windowsie i rozszyfruje eksplojdem.

>> Na pogadankach i szkoleniach różne rzeczy słyszałem. Jak powiedziałem,
>> w praktyce tego nie widziałem. W znanych mi przypadkach namierzano
>> alternatywnymi kanałami, czyli przykładowo śledzono okup, ujmowano
>> odbiorce i badano jego komputer.
>
> Bo są zasadzniczo dwie możliwości (obie praktycznie awykonalne przez
> naszych speców od cyberbezpieczeństwa). Albo stawiasz honeypota, albo
> żmudnie szukanie kolesia w zwykłej sieci, w nadziei że będzie głupi i na
> przykład będzie korzystał z tego samego kompa do tora i normalnego
> użytkowania gdzie zostawia mnóstwo śladów.
>
> A trzecia że złapią go przypadkiem w sposób zupełnie nie związany z
> siecią. Dlatego tor jest w sumie bardzo dobrym rozwiązaniem jeśli chodzi
> o anonimowość _w_sieci_. Niby nie doskonałym, ale na kulsonów w 100%
> wystarczającym.

Na tego specjalistę wystarczy darmowy VPN w Operze.

Pozdrawiam
Piotr

do góry

W dniu 01.04.2024 o 11:07, Robert Tomasik pisze:
> W dniu 01.04.2024 o 10:45, Shrek pisze:
>> Ale ty zmyśliłeś akurat taki i teraz masz pretensję do wszystkoch
>> tylko nie siebie że cię znów na kłamstwie przyłapano. Już ci pisałem -
>> jak kłamiesz to nie podawaj za dużej liczby szczegółów, bo potem
>> przedszkolak połączy kropki, że może i ogólnie to by się tak dało, ale
>> w szczegółach się pogubiłeś i widać że zmyślasz.
>
> Zakładam, że poza Tobą nei ma tu przedszkolaków. Pozostałe osoby, jak
> będą chciały, to zapytają o szczegół techniczny,

Znów zostałeś przyłapny na kłamstwie. Jeszcze się nie nauczyłeś że im
bardziej się na haczyku rzucasz tym gorzej dla ciebie?:P

--
Shrek

Czy wiesz, że "***** ***" czytane od tyłu daje "??? ?????"?
PS - i konfederację!

do góry