Nie zajmuje się na codziennie sieciami i bezpieczeństwem sieci, dlatego bardzo byłbym wdzięczny za pomoc.
Ostatnio przeglądałem logi z włamu na konto pocztowe (nie moje konto) i zwykle w takich przypadkach adresy IP wskazują na losowe miejsce na globie w związku z użyciem tora, vpna lub wykorzystania maszyny z botnetu.
Jak to jest możliwe, że w logach jest adres z tego samego miasta? Czy oznacza to, że włamywacz się nie zamaskował, czy czegoś nie dostrzegam?
0
1
renderme napisał(a):
Jak to jest możliwe, że w logach jest adres z tego samego miasta? Czy oznacza to, że włamywacz się nie zamaskował, czy czegoś nie dostrzegam?
Milion możliwości:
- Nie było żadnego włamania. Sam odwiedziłeś swój mail z innego adresu IP
- Zalogowałeś się gdzieś i nie wylogowałeś
- Zalogowałeś się gdzieś i ktoś zgarnął w locie ze swojej sieci Twoje dane
- Podpiąłeś się pod obcą sieć z której ktoś zbiera dane
I tak dalej.
0
jak sprawdzałem czasem miejsce gdzie pokazuje moje ip z nerwostrady to pokazywało poznań czyli 250km od miejsca mojego zamieszkania. Kolejna rzecz to np teraz jestem t-mobile i wskazuje warszawe, a odległość moja do warszawy jest taka sama jak moja do poznania :D Na mobilnej sieci jest się za podwójnym natem więc miejsce będzie zapewne wskazywało siedzibę firmy ;)
0
Dobra, mam konkretny adres fizyczny osoby od Inei. Ponawiam więc pytanie: czy jest prawdopodobne, że ruch sieciowy tej osoby mógł być bez jej wiedzy wykorzystany, czy jest to włamywacz?
Podstawowe fakty: komputer w tym samym mieście, co włamanie: według mojej wiedzy wyklucza to botnet, vpn, czy tor, a wskazuje na to, że ktoś się nie zabezpieczył.
Chcę wiedzieć, bo warianty są dwa: policja i ustalenie, czy użytkownik przeprowadził atak lub od razu działanie ofensywne.
Mam nadzieję, że ktoś odpowie. Czasami mam wrażenie, że najwięcej specjalistów potrafi się wypowiedzieć w wątkach o bootcampach, przebranżowieniach itp. W merytorycznych; znacznie mniej.
0
renderme napisał(a):
Mam nadzieję, że ktoś odpowie. Czasami mam wrażenie, że najwięcej specjalistów potrafi się wypowiedzieć w wątkach o bootcampach, przebranżowieniach itp. W merytorycznych; znacznie mniej.
Nie szalej. Zadajesz tak bezsensowne pytania w tej chwili, że żaden specjalista Ci na nie nie odpowie, bo nie ma na co odpowiadać.
renderme napisał(a):
Dobra, mam konkretny adres fizyczny osoby od Inei. Ponawiam więc pytanie: czy jest prawdopodobne, że ruch sieciowy tej osoby mógł być bez jej wiedzy wykorzystany, czy jest to włamywacz?
Skąd wiesz, że to nie ta osoba której dane otrzymałeś? Jak ma niezabezpieczoną sieć albo z banalnym hasłem to istnieje prawdopodobieństwo, że ktoś mógł sobie zaorać to hasło bardzo szybko.
Tylko na logikę pomyśl jaki miałby typowy włamywacz tok rozumowania robiąc włam w ten sposób? Doszukiwałbym się prędzej powiązań pomiędzy osobą od której wszystko wychodzi, a pracownikiem/pracownikami firmy. Zwłaszcza, że mówimy tu o tym samym mieście co się raczej nie zdarza.
renderme napisał(a):
Podstawowe fakty: komputer w tym samym mieście, co włamanie: według mojej wiedzy wyklucza to botnet, vpn, czy tor, a wskazuje na to, że ktoś się nie zabezpieczył.
Chcę wiedzieć, bo warianty są dwa: policja i ustalenie, czy użytkownik przeprowadził atak lub od razu działanie ofensywne.
Wariant trzeci o którym napisałem wyżej - poszukaj powiązań pomiędzy adresem z włamania, a ludźmi w firmie. Zapewne tymi wyżej, a nie szeregowymi pracownikami.
0
axde napisał(a):
renderme napisał(a):
Mam nadzieję, że ktoś odpowie. Czasami mam wrażenie, że najwięcej specjalistów potrafi się wypowiedzieć w wątkach o bootcampach, przebranżowieniach itp. W merytorycznych; znacznie mniej.
Zadaje pytanie, w oparciu o to jakie mam informacje. Nic więcej nie wiem. Wiem, że to za mało, żeby coś stwierdzić na 100%, ale ktoś kto ma doświadczenie z włamywaczami mógłby stwierdzić, czy jest to powszechne zjawisko, że adres IP w logu włamania jest z tego samego miasta, że jest taki typ ukrywania się dowolnej osoby na świecie, mi nie znany, który powoduje takie zjawisko, że ostatni IP w tracie jest z tego miasta.
Jeżeli tak nie jest, to mam świadomość, że to może być przejęty ruch sieciowy i właściciel IP jest "niewinny", ale to "raczej" oznacza, że włamywacz jest z tego miasta i nie jest to jakiś anonim z Azji/Afryki, tylko jakaś osoba związana z firmą.
Już sama taka wiedza pozwoli ocenić straty. Wyciek danych do jakiegoś randomowego Azjaty jest znacznie mniejszym problemem niż zdobycie informacji, np. przez konkurencję.
0
A więc jaki jest problem ze zgłoszeniem tego włamania i zbadaniem sytuacji? Nie wiem jak działa u nas takie zgłoszenie i czy policja poza jego przyjęciem cokolwiek zrobi ale pasowałoby zrobić to jak najszybciej. Mając jakiś support od policji można zebrać odrobinę więcej danych niż samemu. Z tym co aktualnie wiesz - nie wiesz nic.
Niezależnie od tego kto wykradł dane powinienieś działać jak najszybciej, a nie czekać na "coś". Jak okaże się, że to tylko przypadkowa ofiara to jeden trop odpada. A może się okazać, że ktoś był zbyt głupi, znał hasła i zalogował się zwyczajnie z domu, skopiował co chciał i tyle.
0
Równie dobrze ktoś mógł podłączyć się do wifi w chińskim barze naprzeciwko firmy i sprawdzić co trzeba. Musicie popracować nad bezpieczeństwem kont.
0
my kiedyś podaliśmy wszelkie dane włamywacza bo idiota (w skrócie) raz się najpierw wylogował ze swojego normalnego konta potem zaraz zalogował na konto admina a już się wylogowywał z vpna. Mieliśmy wszystko tej osoby i byliśmy w 100% pewni kto to, policja umorzyła śledztwo po 2 miesiącach nie robiąc nic. Fakt, że było to przed erą rodo ale było i wątpię, że się za dużo zmieniło u nich.