فای – آیا این شواهد به نظر می رسد با یک ابزار از طریق سرور VNC سازگار است؟
من در این انجمن جدید هستم، بنابراین اگر به نظر نمی رسد که این سوال در محدوده آن قرار گیرد، یا اگر به نظر می رسد بیش از حد طولانی است، به طور پیش فرض عذرخواهی می کنم:
در دو هفته گذشته، هکرها از راه دور دسترسی به لپ تاپ من (رایانه های شخصی ویندوز 10)، همانطور که جنبش مکان نما را نشان می دهد. در هر دو مورد، من به شبکه WiFi در دانشگاهم متصل شدم و به محض دیدن آنچه که در جریان بود، کامپیوتر را به سرعت خاموش کردم.
در اولین فرصت، من را در انکار، فرض کرد که حرکت مکان نما به دلیل یک سوء استفاده از صفحه لمسی بود. بار دوم، حرکت مکان نما به نظر بسیار هدفمند و انسان بود؛ من اطمینان دارم که کامپیوتر من از راه دور دسترسی پیدا کرده است.
از آن زمان، من فقط از این لپ تاپ آفلاین استفاده کردم. من آماده ی نصب یک سیستم عامل هستم. پیش از این، من سعی می کنم هر شواهدی را پیدا کنم که سوء ظن اولیه من را ثابت کند که کامپیوتر من از طریق سرور واقعی RealVNC دیده شده است که در آنجا اجرا کردم. این فرض می شود که کسی قادر به شناسایی رمز عبور من از طریق نیروی بی رحم است.
چیزی پیچیده است، من شواهدی ندارم که این ابزار دسترسی بود. معمولا، اتصالات سرور VNC باید یک اعلان روی صفحه نمایش، که من هرگز آن را ندیدم. من همچنین نمیتوانم شواهدی از اتصالات VNC پیدا کنم اگر من در رویداد ورود به تاریخ / زمان که جنبش مکان نما را متوجه شدم جستجو کنم. بنابراین، در حال حاضر من تعجب می کنم اگر () هکر سرکوب ورود به سیستم / اطلاع رسانی، و یا (ب) لپ تاپ من بود به برخی از روش های دیگر دسترسی پیدا کرد.
سه قطعه دیگر از اطلاعات وجود دارد که ممکن است مفید باشد:
(1) اگر در تاریخ و زمان رویداد اول در رویداد ورودی نگاه کنم، می توانم یک Logon Type 3 با شناسه امنیتی پیدا کنم "ANONYMOUS LOGIN"، شناسه امنیت "NULL SID"، یک فرایند ورودی "NtLmSsp"، و صفات یا صفر در هر فیلدی که اطلاعات مربوط به مبدأ را ارائه می دهد (بدون عنوان Workstation، هیچ آدرس IP و غیره). آیا این سازگاری با یک ورودی VNC مبتنی بر وب است یا چیزی دیگری؟
(2) در هر دو مورد، هنگام استفاده از Chrome، حرکت مکان نما را دیدم. شاید فقط یک تصادف باشد.
(3) من اسکن کامل را با هر دو Symantec و MalwareBytes اجرا کردم؛ نه چیزی را کشف کرد.
به نظر می رسد که درک علت این حوادث برای جلوگیری از وقوع دوباره آنها اهمیت دارد. همانطور که در بالا ذکر شد، من قصد دارم سیستم عامل را مجددا نصب کنم و از آنجا که من نیازی به نیاز VNC سرور آینده ندارم، آن را مجددا نصب نخواهم کرد. من همچنین گذرواژههای مربوطه را تغییر دادم. اما مطمئن نیستم که این کافی باشد.
برای مدت زمان شما پیشاپیش از شما سپاسگزارم
آیا شواهد تاییدیه ای از استفاده واقعی از جنگ افزار های سایبری با استفاده از آسیب پذیری های GPS داده وجود دارد؟
در سیاست اخیر خود، وزارت دفاع ایالات متحده از استفاده از دستگاه های برجسته GPS برای کارکنان خارج از کشور ممنوع شده است.
آنها این را با تئوری توضیح می دهند که دستگاه های تجاری مانند تلفن های هوشمند یا ردیاب های تناسب اندام می توانند موقعیت جغرافیایی را ذخیره کنند (GPS) داده ها همراه با اطلاعات شخصی مالک دستگاه در سرورهای شخص ثالث و این اطلاعات می تواند به دشمنان بیابد، که به نوبه خود "به طور بالقوه پیامدهای امنیتی غیرمنتظره ای ایجاد می کند و خطر ابتلا به نیروی مشترک و ماموریت را افزایش می دهد "
اگر چه این یک نظریه خوب است، می خواهم بدانم آیا این سیاست فقط یک نظریه است یا بر اساس برخی از موارد تایید شده از چنین استفاده از جنگ افزار های سایبری در جنگ های مداوم است.
بنابراین سوال این است: آیا شواهد تاییدیه استفاده واقعی جنگ سایبری با استفاده از اطلاعات GPS آسیب پذیر وجود دارد؟ اگر چنین است، آنها چه هستند؟
من در ابتدا از این سوال در Politics.SE سوال کردم اما پیشنهاد شد که از اینجا بپرسم.
انواع شواهد در دادگاه دیجیتال
در حالی که در حال مطالعه دیوانسالاری دیجیتال است، من بین انواع شواهد مختلف، به ویژه شواهد حمایتی و اثباتپذیر، گیج میشوم.
سناریوی تهاجمی:
- هشدار IDS به دلیل امضای یک بدافware شناخته شده تولید می شود
- استخراج نرم افزارهای مخرب بر روی پروکسی سرور یافت شد
- هشدار بر روی OSSEC IDS یک میزبان
- یافت شد یک URL توسط NGFW مسدود شده است که از میزبان احتمالا آلوده شده است.
حالا، کدامیک از اینها بهترین شواهد، شواهد مستقیم، شواهد حقیقی و شواهد تایید است؟
