Le cas de l'enseignant et le Trickster ados

CSI * - Computer Forensics Files: Cas réels # 9 Le cas de l'enseignant et le Trickster ados

Les histoires sont vraies; les noms et les lieux ont été changés pour protéger les coupables potentiellement.

Il était d'un gris Octobre jour, le genre de journée où un gars aime cosy à côté d'une banque de serveurs pour garder au chaud, quand le premier professeur m'a appelé. "Ils pensent que je suis fou!" étaient les mots émanant du téléphone. Eh bien, juste parce que vous êtes paranoïaque ne signifie pas qu'ils ne sont pas là pour vous attraper. Je m'assis et suis allé à mon bureau, loin des ventilateurs bruyants rafraîchir tous ceux gigahertz. "Quel est le problème, mademoiselle?"

La jeune femme a expliqué qu'elle était une enseignante non-encore-titularisés dans un Nouvelle-Angleterre (gris là-bas qu'ici) secondaire à un problème. Semble qu'un étudiant dans une de ses classes était de répéter des choses dans la classe qu'elle avait prononcé que la nuit d'avant dans l'intimité de son apparence illusoire propre salon. Ce qui se passait sur une base répétée et ce petit monstre était son flipper. Elle a fait en sorte que ses fenêtres étaient fermées la nuit. Elle avait quelqu'un d'autre parle intérieur de sa maison pendant qu'elle écoutait à l'extérieur - pas de mots échappés d'être entendu, beaucoup moins répété. Elle regarda autour de bugs ... trouve seulement quelques araignées. Elle a embauché un P.I. pour balayer des appareils d'écoute - aucun n'a été trouvé. Elle est allée à la police, qui n'étaient pas intéressés, sans quelques preuves. Son superviseur à l'école ne serait-il prendre au sérieux. Le directeur de l'école pensait qu'elle était cinglé. Elle sentait qu'elle était en danger d'être congédié et perdre sur une carrière, elle avait savouré. Elle était à la fin de son esprit et elle sonnait.

Elle a commencé à soupçonner son ordinateur a été le moyen d'accès à envahir sa vie privée, mais n'avait aucune idée de comment. Elle avait déjà identifié la personne concernée et ne montant admirable de la recherche sur le thème de l'invasion informatique. Elle m'a envoyé des tonnes de chat, les articles sur cyberinvasions, logs de firewall, et d'autres louche allées et venues avec son ordinateur.

J'ai mis mes galoches de données et a commencé à patauger dans le déluge de voir ce qui ressemblait à une menace et ce qui n'a pas, et pour voir si je pouvais trouver le moyen d'accès à distance, le cas échéant.

Comme le vieux dicton qui à un marteau tout ressemble à un clou, puis à une victime, tout commence à regarder étrangement à une attaque. Quand il ya des épouvantails réelle autour, chaque son fait un saut personne. Prenons un peu de suspects.

Norton Antivirus avait choisi quelques-uns. L'un était "lsass.shutdown" - le ver Sasser. Un caractère bien mauvais. En revanche, "lsass.exe" est une partie de Windows XP lui-même. Sasser est venu à ressembler à quelque chose d'anodin, mais dans l'ensemble de Web, il fermer les ordinateurs - parfois avant même qu'ils fini de démarrer. Vols des compagnies aériennes ont dû être annulés. Les communications par satellite ont été bloqués. Les compagnies d'assurance et les banques ont dû fermer pendant une courte période. Le ver Sasser a été un mauvais acteur, mais il ne donnait pas de contrôle d'accès à distance et après tout, son programme antivirus a utilisé son propre type de menottes pour maîtriser cet intrus particulier.

Son ordinateur lui a dit que c'était la récupération de fichiers orphelins et des descriptions de sécurité, en remplacement de clusters défectueux et logfiles mauvais, et la fixation de sécurité illisible. Tous sont des signes de problèmes, mais sont des messages générés par les programmes Windows "propre réparation, de CHKDSK et ScanDisk, et ne sont pas des ouvertures pour un intrus d'entrer dans l'ordinateur sans opposition.

Anthère un message effrayant Norton lire, «NIS est de protéger votre connexion à un réseau nouvellement détectés sur l'adaptateur" WAN (PPP / SLIP) Interface ". Mais ce n'était que le programme de déclaration sur les propres de l'ordinateur l'adaptateur de réseau étendu et d'accès à Internet étant activée.

Elle a remarqué que bizarrement nommé un programme appelé «Tangent sauvage" semble être actif. Il s'avère que Wild Tangent est une société jeu en réseau. Il est assez actif dans l'utilisation des ressources réseau de l'ordinateur, et met beaucoup de publicités sur l'ordinateur de l'utilisateur. Mais comme gênantes comme certains le trouver, il est préinstallé sur de nombreux ordinateurs, notamment Dell de l'enseignant. Non une avenue susceptible de contrôle à distance par un utilisateur non autorisé.

Notre petite héroïne a même appris à utiliser Netstat (acronyme de «statistiques de réseau»). Netstat affiche les connexions réseau, des statistiques, des tables de routage, et plus d'info juteuse. Les utilisateurs de Linux peuvent directement invoquer. Les utilisateurs Windows peuvent l'amener à travers une fenêtre DOS (commande shell) en cliquant sur "Démarrer" puis "Exécuter", puis en tapant "cmd", et enfin "netstat" dans la fenêtre qui s'affiche. Les utilisateurs de Mac peuvent l'invoquer d'abord élever le "Terminal" disponible dans les utilitaires qui viennent avec un Macintosh. Mais netstat peut apporter une screenloads de dur à comprendre l'information. Essayez vous-même avec différents commutateurs (comme "netstat-a" ou "netstat-p"). Le sien était unalarming d'un mauvais œil, mais pratiquée.

Elle a estimé avoir un pare-feu et regarder les logs. Mais obstinés par les journaux de pare-feu est un cauchemar effrayant quand vous ne savez pas exactement ce que vous cherchez, et ne comprennent pas complètement ce que vous regardez. Il ya tant de centaines d'roboprograms frappent à la porte de tout le monde informatique dos toute la journée qui a réussi à identifier chacun pourrait être tout une personne ne toute la journée, tous les jours. C'est comme décrire votre journée entière dans le détail, y compris ce que vous dites. «Aujourd'hui, j'ai dit bonjour. Aujourd'hui, j'ai écrit que je dis bonjour. Aujourd'hui, j'ai écrit sur l'écriture de dire bonjour. Aujourd'hui, j'ai remarqué que je n'avais pas mis" bonjour "entre guillemets et fait une note à ce sujet. Aujourd'hui, je cussed longtemps et bruyamment et arrêté de l'écrire. " Vous avez l'idée ... «Aujourd'hui, j'ai une idée!"

Une fois que j'ai mis la main sur son ordinateur, je suis évidemment d'abord fait une copie identique du disque dur. Je ne me souviens pas exactement, mais j'ai peut-être utilisé des outils professionnels des médias à partir RecoverSoft. J'ai pensé que nous cherchions un cheval de Troie de la télécommande.

Comme le cheval de Troie original, chevaux de Troie peuvent être attachés à une inaperçu don gratuit, comme un jeu, ou attaché à un courriel. Une fois l'intérieur des murs ex-sécurisée de votre ordinateur, une charge utile de se déchaîne, mais contrairement aux Troyens d'origine, peuvent passer inaperçus alors que le créateur à distance, et souvent subrepticement, prend le contrôle de votre ordinateur. J'ai couru plusieurs programmes anti-malware, y compris mon préféré à l'époque, Ewido (plus tard racheté par Grisoft, elle a ensuite acquis par AVG). J'ai aussi couru Norton, Panda, Spybot et plus encore. Différents programmes attraper des choses différentes. Quelques virus ont été pelleté, mais pour les chevaux de Troie télécommande - bupkis. Je devais faire quelque chose d'autre.

Je ne suis pas étranger à des lubies, alors j'ai imaginé un outil de bricolage. J'ai fait une liste de noms à distance le contrôle de Troie, des alias et des exécutables (le nom réel du fichier qui fera le sale boulot) et les a regroupés dans une table. J'ai tiré jusqu'à EnCase Forensic bon vieux, chargé de l'entraînement, et puis ma table d'entrée comme une liste de mots clés. J'ai eu EnCase rechercher sur le disque dur entier - les dossiers actifs et compressés et espace non alloué, un fichier mou, MBR, et le fichier de mémoire virtuelle - pour les entrées sur ma liste de nouveaux mots clés. A partir des résultats, j'ai écarté tout ce qui faisait partie d'un programme antivirus ou un dictionnaire, et le lait écrémé en ce qui a été laissé.

Et ... bon filon! Assis dans les entrées de registre de l'ancien système de fichiers compressé cliché de restauration étaient des références à 30 cas des fichiers de configuration pour un cheval de Troie Backdoor méchant et pour un programme de type spyware bureau de surveillance. Ils sont venus compléter avec les dates d'installation et d'adresses IP du point d'origine. Une trouvaille.

Il semble que notre ado Freaky PERP est un script kiddie. Il avait apparemment allés à un site qui donne suite hacking préemballés et d'exploiter des programmes à tous les publics. Plutôt que de donner à l'enseignant une pomme, il avait apparemment envoyé un courriel lui avec une charge utile du mal. Une fois en place, il a été le travail d'enfant - euh, le travail de kiddie - pour contrôler son ordinateur à volonté. À ce stade, il n'était pas grand chose pour allumer le micro de notre héroïne, d'enregistrer son parler dans son salon, télécharger le fichier sur son propre ordinateur, puis répétez le contenu Retour à l'enseignant le jour suivant. Qui ne serait pas mis hors-bilan par là?

Enfin nous avons eu suffisamment de preuves pour laisser la police terminer le travail. J'ai envoyé le rapport à la DA, qui a couru avec l'affaire. Être un mineur, l'adolescent terribles s'en est tiré avec un avertissement, une certaine attention non désirée, et un transfert à une classe différente.

Pour l'avenir, j'ai d'abord recommandé de reformater ou de remplacer complètement son disque dur et la sécurisation son compte administrateur Windows avec un mot de passe. Incroyable mais vrai, la plupart des gens ne savent pas il ya un compte Administrateur sur leur ordinateur, et de laisser la porte grande ouverte et non garantis. Démarrage en mode sans échec (maintenez la touche F8 au démarrage, sélectionnez "Mode sans échec"), puis accéder à des comptes d'utilisateurs à travers le Panneau de configuration permet à l'utilisateur de configurer facilement les mots de passe. J'ai suggéré d'obtenir un nouveau compte AOL (si elle devait avoir AOL), et d'obtenir un pare-feu matériel relativement peu coûteux. À l'époque, j'ai proposé le FVS318 Netgear.

La fin heureuse: notre professeur digne gardé son travail, validé ses plaintes, a finalement terminé sa maîtrise et a obtenu d'être quelque chose d'un expert en sécurité dans son propre droit. Au moment où nous avons terminé avec tous les va et vient, il était presque le printemps. Quant à moi, je me suis déplacé hors de la salle serveur et reprendre ma place dans le Soleil. Bon, c'est un bureau, c'est par une fenêtre, c'est là où je fais mon truc légiste.

Source de l'article: http://EzineArticles.com/3208559