Jindřich Hlavatý. Analýza PC. Technická zpráva. Městská část Praha 5List č. 1 z 5 Štefánikova 236/13, 246/15

Podobné dokumenty
TC-502L. Tenký klient

TC-502L TC-60xL. Tenký klient

Nová áplikáce etesty Př í přává PC ž ádátele

VComNet uživatelská příručka. VComNet. Uživatelská příručka Úvod. Vlastnosti aplikace. Blokové schéma. «library» MetelCom LAN

.NET Framework verze Program pro připojení ke vzdálené ploše (RDC) verze

1. SYSTÉMOVÉ POŽADAVKY / DOPORUČENÁ KONFIGURACE HW A SW Databázový server Webový server Stanice pro servisní modul...

Vzdálený přístup k počítačům

Instalace a základní administrátorské nastavení 602LAN SUITE 5 Groupware

APS Administrator.GS

KRONOS GUARD NET Obslužný software pro obchůzkový systém v reálném čase Active Guard. Instalace na pobočky

Programové vybavení počítačů operační systémy

MS Windows 7. Milan Myšák. Příručka ke kurzu. Milan Myšák

Registrační číslo projektu: CZ.1.07/1.5.00/ Název projektu: Moderní škola 21. století. Zařazení materiálu: Ověření materiálu ve výuce:

Instalace a první spuštění Programu Job Abacus Pro

VZDÁLENÉ PŘIPOJENÍ - OpenVPN. Popis a vlastnosti služby

František Hudek. červen ročník

S klávesovými zkratkami ovládnete Windows jako profík Novinky.cz

Kerio VPN Client. Kerio Technologies

D7 Uživatelský manuál Konfigurace klientských stanic

2015 GEOVAP, spol. s r. o. Všechna práva vyhrazena.

Fides Software Storage Client

Αlpha 8 instalace a upgrade. Poznámky k instalaci Αlpha V8, Logical Medical Systems. GENNET s.r.o Kostelní Praha 7

Instalace elišky 3.0 na Windows 7 (32-bitová verze) ČMSS a.s.

a autentizovaná proxy

2015 GEOVAP, spol. s r. o. Všechna práva vyhrazena.

Tomáš Kantůrek. IT Evangelist, Microsoft

1. Obecná konfigurace autentizace osob. 2. Konfigurace klienta Windows Vista

Messenger. Novell 1.0 UMÍSTĚNÍ DOKUMENTACE K PROGRAMU NOVELL MESSENGER. STRUČ NÁ ÚVODNÍ PŘ ÍRUČ KA

ZÁKLADNÍ POKYNY PRO INSTALACI PROID+ Z INSTALAČNÍHO MÉDIA

Instalace programu C-on

Obsah. KELOC CS, s.r.o... v ý v o j a p r o d e j e k o n o m i c k é h o s o f t w a re

Komu je tato kniha určena? Jak je kniha uspořádána? Konvence použité v té to knize. Část i základy Microsoft Windows XP Professional

Výpočetní technika. PRACOVNÍ LIST č. 7. Ing. Luděk Richter

Aktivace RSA ověření

Návod k instalaci S O L U T I O N S

Návod na nastavení sítě Eduroam v prostorách 3.LF

Pˇ ríruˇ cka uživatele Kerio Technologies

Obsah. Úvod 9 Komu je kniha určena 11 Konvence použité v knize 11

NÁVOD K INSTALACI A OBSLUZE

Aktivace RSA ověření

IMPLEMENTACE OPERAČNÍHO SYSTÉMU LINUX DO VÝUKY INFORMAČNÍCH TECHNOLOGIÍ

TDP RPort 1.0. uživatelská příručka. 12. července 2007 Na slupi 2a, Praha 2

Návod pro připojení telefonu Nokia 6230 přes infračervený port pro Windows XP instalace programu PC Suite - GPRS

SME Terminál + SmeDesktopClient. Instalace. AutoCont CZ a.s.

Konfigurace PPPoE připojení v OS Microsoft Windows XP

verze GORDIC spol. s r. o.

Pavel Martinec 4.A 2011/2012

9. Sítě MS Windows. Distribuce Windows. Obchodní označení. Jednoduchý OS pro osobní počítače, pouze FAT, základní podpora peer to peer sítí,

Přihlášení uživatele do aplikace

APS Control Panel. Ovládací panel systému APS mini Plus pro SW balík APS Administrator. Uživatelská příručka

Připojení ke vzdálené aplikaci Target 2100

Vložení expiračního kódu do spojů ALCOMA

Informační Systém PINEL plus

Kerio VPN Client. Kerio Technologies

SMTPServer - Příručka

STRUČNÁ PŘÍRUČKA. Instalace ovladačů Nokia Connectivity Cable Drivers

IPFW. Aplikace pro ovládání placeného připojení k Internetu. verze 1.1

PB169 Operační systémy a sítě

VetSoftware.eu V2 Návod pro instalaci vzdálené pomoci verze dokumentu 1.0,

SECURITY VIEW. Uživatelský manuál. verze 0.1. Dokumentace vytvořena dne poslední korekce dne strana 1. VARIANT plus s.r.o.

Monitorovací systém Dozorce

54Mbps bezdrátový router WRT-415. Návod pro rychlou instalaci

Aktivace Demo licence - Digifort

AleFIT MAB Keeper & Office Locator

Audit bezpečnosti počítačové sítě. Předmět: Správa počítačových sítí Jiří Kalenský

Instalace SQL 2008 R2 na Windows 7 (64bit)

CMS. Centrální monitorovací systém. Manuál

Návod k použití webového portálu služby viphone business

Přístup k poště MS Office 365 mají pouze studenti 1. a 2. ročníku EkF prezenčního studia. Přístup k ostatním službám mají všichni studenti.

Vzdálené připojení do sítě ČEZ VPN Cisco AnyConnect

Zahájit skenování ze skla tiskárny nebo z automatického podavače dokumentů (ADF). Přistupovat k souborům se skeny uloženým v poštovní schránce.

Návod pro Windows XP. Příprava

1. POSTUP INSTALACE A KONTROLA NASTAVENÍ MICROSOFT SQL SERVERU 2005 EXPRESS:

vlastnosti Výsledkem sledování je: a) Využití aplikací b) Používání internetu c) Vytížení počítačů d) Operační systém e) Sledování tisků

OVLÁDACÍ A MONITOROVACÍ SYSTÉM ID 6.2 typ

Uživatelský manuál. A4000 Download

STRUČNÁ PŘÍRUČKA. Instalace ovladačů Nokia Connectivity Cable Drivers

POČÍTAČOVÉ SÍTĚ A KOMUNIKACE

AKTION CONNECTOR POPIS FUNKCÍ A NÁVOD

Správa stanic a uživatelského desktopu

[Zadejte název společnosti.] Instalace. SOFTWARE 5P pro správu bytového fondu Oldřich Florian

aneb velice zjednodušené vysvětlení základních funkcí a možností systému Vypracoval: Tomáš Dluhoš tomas.d@centrum.cz

VÝPOČETNĚ NÁROČNÉ APLIKACE S VYUŽITÍM VIRTUALIZACE PRACOVNÍCH STANIC NA BÁZI INTEGRACE TECHNOLOGIÍ MICROSOFT VDI A SUN RAY

Dokumentace k produktu IceWarp Outlook konektor

Příručka pro uživatele ČSOB InternetBanking 24 a ČSOB BusinessBanking 24 Online s čipovou kartou v operačním systému Mac OS X

APS 400 ipanel. Online informační a ovládací panel pro systém APS 400. Uživatelská příručka

NÁCHOD JIHOČESKÝ KRAJ ING. PETR VOBEJDA

Instalace programu ProVIS

IP kamera. Uživatelský manuál

NÁVOD K POUŽITÍ. IP kamerový systém.

T-Mobile Internet. Manager. pro Mac OS X NÁVOD PRO UŽIVATELE

Uživatelská příručka k aplikaci Dell Display Manager

Relační vrstva SMB-Síťový komunikační protokol aplikační vrstvy, který slouží ke sdílenému přístupu k souborům, tiskárnám, sériovým portům.

Interface LPG / CNG Bluetooth. Instrukce k instalaci a konfiguraci zařízení v1.0 cz. U rozhraní bluetooth není instalace ovladače potřebná.

Téma 10: Správa hardwarových zařízení a ovladačů II

Dokumentace k produktu IceWarp Notifikační nástroj

Audit bezpečnosti počítačové sítě

Popis instalace programu OCEP

TIA Portal Cloud Connector. Práce v privátním cloudu od TIA Portal V14

Transkript:

Jindřich Hlavatý Sojovická 321/33, 289 22 Lysá nad Labem tel. 312 310 061, fax. 312 310 062 IČO: 71729411 DIČ: CZ7012030487 E-mail: hlavaty@infosecur.cz Web: www.infosecur.cz Analýza PC Technická zpráva Zadavatel: Michal TUČEK Městská část Praha 5List č. 1 z 5 Štefánikova 236/13, 246/15 Zpracovatel: Jindřich Hlavatý Sojovická 321/33 289 22 Lysá nad Labem tel. +420 776 166 833 fax +420 608 292 283 IČ: 717 29 411 DIČ. CZ7012030487 Bankovní spojení: RaiffeisenBank a.s., Hvězdova 1716/2b, 140 78 Praha 4 číslo účtu: 2307915001 / 5500

1. ÚVOD Dne 22. března 2009 v cca 10:00hod 11:30hod byla provedena, na základě objednávky pana Michala Tučka, kontrola stanice osobního počítače uživatele m.tucek na adrese Městská část Praha 5, Štefánikova 236/13, 246/15 z hlediska programového vybavení tohoto osobního počítače a bezpečnosti obsažených dat. Analýza byla provedena za použití metod a postupů obvyklých a uznávaných pro provádění forenzních analýz výpočetní techniky. 2. VLASTNÍ ZJIŠTĚNÍ 2.1. VNC Po zahájení detekce bylo zjištěno, že se jedná o stanici s instalovaným operačním systémem Microsoft Windows XP Professional Service Pack 3. Po analýze probíhajících procesů na pozadí operačního systému (Správce procesů operačního systému, Process Explorer - Sys internals suite tools a vlastní analytické software nástroje) byl zjištěn naslouchající server VNC Virtual network computing ve verzi 1.4.0.0 - viz. screenshot, v dále uvedené konfiguraci. [HKEY_CURRENT_USER\Software\ORL\WinVNC3] "SocketConnect"=dword:00000001 "AutoPortSelect"=dword:00000001 "InputsEnabled"=dword:00000001 "LocalInputsDisabled"=dword:00000000 "QueryTimeout"=dword:0000001e List č. 2 z 5

"IdleTimeout"=dword:00000000 "Password"=hex:e1,76,5b,d4,78,2c,af,ab "PollUnderCursor"=dword:00000001 "PollForeground"=dword:00000001 "PollFullScreen"=dword:00000001 "OnlyPollConsole"=dword:00000000 "OnlyPollOnEvent"=dword:00000000 "AuthHosts"="+172.16" // povolený přístup z IP adres tohoto rozsahu cela síť MČ [HKEY_LOCAL_MACHINE\Software\ORL\WinVNC3] "AuthRequired"=dword:00000001 "AuthHosts"="+172.16" "DisableTrayIcon"=dword:00000001 // skryj ikonu v liště = neviditelný mód [HKEY_LOCAL_MACHINE\Software\ORL\WinVNC3\Default] "SocketConnect"=dword:00000001 "AutoPortSelect"=dword:00000001 "InputsEnabled"=dword:00000001 "LocalInputsDisabled"=dword:00000000 "QueryTimeout"=dword:0000001e "IdleTimeout"=dword:00000000 "Password"=hex:e1,76,5b,d4,78,2c,af,ab "PollUnderCursor"=dword:00000001 "PollForeground"=dword:00000001 "PollFullScreen"=dword:00000001 "OnlyPollConsole"=dword:00000000 "OnlyPollOnEvent"=dword:00000000 2.2. KEY LOGGER Nástrojem Rootkit Revealer byly detekovány níže uvedené problémové klíče v registrech. Jedná se o virtuální ovladače zařízení, kdy po ověření ve veřejně dostupných zdrojích bylo zjištěno, že se jedná s nejvyšší pravděpodobností o SW ELITE KEYLOGGER. HKLM\SYSTEM\ControlSet001\Services\drmknt HKLM\SYSTEM\ControlSet001\Services\epfwtd2k HKLM\SYSTEM\ControlSet001\Services\mnmddex 3. ZÁVĚR List č. 3 z 5

VNC je aplikace, která umožňuje vzdálené připojení ke grafickému uživatelskému rozhraní tedy viditelnému obsahy pracovní plochy (GUI) pomocí počítačové sítě. VNC pracuje jako klient-server. Server vytváří grafickou plochu v operační paměti počítače a komunikuje přes síť s klientem, který plochu zobrazuje uživateli. Server je nainstalován na pracovní stanici nebo serveru a startuje obvykle jako služba (service) se startem operačního systému, tedy nezávisle na vůli uživatele. Klienta (výstupy ze sledování) je možné instalovat nebo kopírovat na libovolné PC. List č. 4 z 5 VNC sice podporuje omezení rozsahu sítě, ze které je možné se ke vzdálené stanici připojovat. Tímto nastavením je možné omezit připojení ke vzdálené stanici pouze z lokální sítě, např. jen pro IT Specialisty.List č. 4 z 5 V případě zkoumané stanice však byl nastaven celý rozsahu lokální sítě a tudíž se ke vzdálené stanici přihlásit kdokoliv, kdo zná heslo nebo je ho schopen odposlechnout nebo odhadnout. Pro připojení k serverové části je nutné znát heslo, které se nastaví při instalaci. Heslo však nemusí splňovat žádné podmínky na svou kvalitu. Heslo je při autentizaci klienta k serveru přenášeno jako prostý text, a proto je možné ho odposlechnout a tím kompromitovat. K tomuto faktu přispívá též obecná známost komunikačních portů VNC verze 1.4.0.0, která nepodporuje šifrování přenosu, a proto je v tomto směru zranitelná. Serverová část programu, tedy zprostředkovatel vzdáleného připojení ke stanici může být nastavena v několika režimech práce. Po připojení klienta může vzdálený uživatel pouze pozorovat činnost uživatele u PC nebo může zároveň zadávat vstupy z klávesnice a myši a ovládat tak PC na dálku. Třetím režimem je možnost zakázat po připojení klienta vstupy lokálního PC. Pomocí vzdáleného připojení je rovněž možné přenášet obsahlist č. 4 z 5 schránky (clippboard) tedy skrytě vynášet data z počítače. Zkoumaná stanice měla takové nastavení serverové části VNC, které skrylo pro uživatele ikonu (grafickou reprezentaci) přítomnosti VNC na jeho PC. Pokud tato ikona není zobrazena, uživatel nemá možnost zjistit přítomnost takového SW a způsob jeho užití. Vzdálený uživatel měl tedy neomezenou moc nad tímto PC lokálního uživatele a může nerušeně sledovat jeho činnost. V případě sledované stanice nebyl o připojování vzdálenlist č. 4 z 5ého uživatele vytvářen log soubor - neexistuje tedy na žádný důkaz o četnosti, termínech spojení jejich trvání. Z povahy fungování a určení SW VNC vyplývá, že je používán jako nástroj pro vzdálenou správu PC pro IT Specialisty. Uživatel by měl být o této činnosti informován a tato činnost by měla být přísně řízena. Měla by podléhat jasné autorizaci a odpovědnosti už jen z hlediska ochrany soukromí a ochrany listovního tajemství. Uživatel stanice, pan Michal Tuček, však o instalaci takového SW nebyl nikým informován. List č. 4 z 5

Z hlediska zjištění instalovaného SW ELITE KEYLOGGER je možné konstatovat, že se jedná o nebezpečný monitorovací software, jehož tajné moduly zaznamenávají např. obsah chatu, emailů, všechny klávesové zkratky, hesla, aktivitu na ploše, schránku a mnoho dalších aktivit uživatele na PC. Principem fungování tohoto SW je zaznamenávání stisku kláves v určitém čase. V případě analyzovaného osobního počítače, tedy kombinace SW VNC a ELLITE KEYLOGGER má pak osoba, disponující výstupy z obou těchto aplikací, naprosto detailní informace o zadávaných heslech a dalších informacích zadávaných na této pracovní stanici. V Praze dne 24. března 2009 Zpracoval: Bc. Jindřich Hlavatý List č. 5 z 5

2024 © DocPlayer.cz Ochrana osobních údajů | Podmínky obsluhování | Kontaktní formulář