8
Zustandsvergleich eines Notebooks zwischen 2 Zeitpunkten
Computercheck fremder Computer vor einem Audit
Hallo,
wir habe demnächst eine interne Sicherheitsüberprüfung bei uns im Netzwerk. Hierzu werden einige fremde Comupter im Netzwerk nach Schwachstellen scannen und diverse Eindringversuche starten. Um sicherzustellen, dass keine vertraulichen Daten ausgespäht werden, wollte ich den Zustand der Rechner vor und nach den Tests aufnehmen und mir die Veränderungen ansehen. Somit wäre dann sichergestellt, dass keine vertraulichen Daten entwendet werden. Dies sollte ja anhand der Zeitstempel der Dateien einigemaßen komfortabel möglich sein.
Zusätzlich wollte ich z.B. die Stinger.exe o.a. laufen lassen, damit keine Viren eingeschleppt werden.
Nun meine eigentlichen Fragen:
Wie prüft Ihr externe Rechner ?
Gibt es vielleicht ein Programm welches diese Aufgabe erledigt ?
Wie prüft Ihr die Virenfreiheit, ohne eine Virenschutz zu installieren ?
Ich hoffe wir können dieses Thema hier angeregt diskutieren.
Gruß
BigBorste
wir habe demnächst eine interne Sicherheitsüberprüfung bei uns im Netzwerk. Hierzu werden einige fremde Comupter im Netzwerk nach Schwachstellen scannen und diverse Eindringversuche starten. Um sicherzustellen, dass keine vertraulichen Daten ausgespäht werden, wollte ich den Zustand der Rechner vor und nach den Tests aufnehmen und mir die Veränderungen ansehen. Somit wäre dann sichergestellt, dass keine vertraulichen Daten entwendet werden. Dies sollte ja anhand der Zeitstempel der Dateien einigemaßen komfortabel möglich sein.
Zusätzlich wollte ich z.B. die Stinger.exe o.a. laufen lassen, damit keine Viren eingeschleppt werden.
Nun meine eigentlichen Fragen:
Wie prüft Ihr externe Rechner ?
Gibt es vielleicht ein Programm welches diese Aufgabe erledigt ?
Wie prüft Ihr die Virenfreiheit, ohne eine Virenschutz zu installieren ?
Ich hoffe wir können dieses Thema hier angeregt diskutieren.
Gruß
BigBorste
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 45327
Url: https://administrator.de/contentid/45327
Printed on: April 23, 2024 at 06:04 o'clock
8 Comments
Latest comment
Wenn jemand bei dir Dateien Kopiert, wirst du keine änderung am Zeitstempel haben. Hat sich nichts geändert.
Externe Dienstleister persönlich überwachen. d.h. Person deines vertrauens begleitet die Externen auf schritt und tritt.
Vetrauliche Daten vorher abschotten. Evtl dort mit Zugriffsüberwachung und Protokollierung. Kann auch mit Bordmitteln grob gemacht werden. (Ereignissprotokoll)
Externe Dienstleister persönlich überwachen. d.h. Person deines vertrauens begleitet die Externen auf schritt und tritt.
Vetrauliche Daten vorher abschotten. Evtl dort mit Zugriffsüberwachung und Protokollierung. Kann auch mit Bordmitteln grob gemacht werden. (Ereignissprotokoll)
Hi,
das ich auf dem Quellsystem keine Änderung sehe ist klar. Deshalb möchte ich vor den Tests und nach Abschluß der Tests mir die Notebooks ansehen und alle Dateien mit Grösse, Zeitstempel usw. aufnehmen.
Hier kann ich dann sehen, welche Dateien hinzugekommen sind und welche evtl. ihre Grösse verändert haben. Nur kenne ich das OS der Notebooks noch nicht, weshalb ich mir noch kein Tool aussuchen kann. Ich werde mir wohl ein Script schreiben, welches die Aufgabe erledigt.
Natürlich werden die Tester nicht unbeaufsichtigt gelassen. Hier werden wir jede Aktion genau beobachten und notfalls auch eingreifen.
Alle Datenbereiche sind ohne Domänenmitgliedschaft nicht zu erreichen. Hoffentlich
Die Aktivierung der Zugriffslogs ist natürlich auch eine Möglichkeit der Überwachung. Nur leider ist es hier aufgrund der vielzahl der Zugriffe nicht ohne weiteres möglich, sich schnell einen Überblick zu verschaffen.
das ich auf dem Quellsystem keine Änderung sehe ist klar. Deshalb möchte ich vor den Tests und nach Abschluß der Tests mir die Notebooks ansehen und alle Dateien mit Grösse, Zeitstempel usw. aufnehmen.
Hier kann ich dann sehen, welche Dateien hinzugekommen sind und welche evtl. ihre Grösse verändert haben. Nur kenne ich das OS der Notebooks noch nicht, weshalb ich mir noch kein Tool aussuchen kann. Ich werde mir wohl ein Script schreiben, welches die Aufgabe erledigt.
Natürlich werden die Tester nicht unbeaufsichtigt gelassen. Hier werden wir jede Aktion genau beobachten und notfalls auch eingreifen.
Alle Datenbereiche sind ohne Domänenmitgliedschaft nicht zu erreichen. Hoffentlich
Die Aktivierung der Zugriffslogs ist natürlich auch eine Möglichkeit der Überwachung. Nur leider ist es hier aufgrund der vielzahl der Zugriffe nicht ohne weiteres möglich, sich schnell einen Überblick zu verschaffen.
Ob die Externen Dienstleister dir deine Notebooks geben? glaube ich kaum. Ich gebe mieins auch nicht aus der Hand. Falls ein Kunde das aber wünscht, soll der Kunde mir dann eins seiner Notebooks geben, wobei ich aber dann meine Softwrae dort nicht Installiere, also auch keine Sicherüberprpfung durchführen kann.
Ich denke wir hätten dann ein Problem. Wenn du den Leuten nicht traust, haben die in deinem LAN nichts verloren.
Ich denke wir hätten dann ein Problem. Wenn du den Leuten nicht traust, haben die in deinem LAN nichts verloren.
Wir werden diesen Sachverhalt noch mit den durchführenden Testern klären. Jedenfalls müssen die Tester eine vertragliche Vereinbarung unterschreiben, dass keine Daten entwendet werden dürfen und nur Daten über den Testumfang und die gefundenen Sicherheitslücken vertraulich verwendet werden dürfen.
Bisher zeigten sich die Tester sehr aufgeschlossen für unsere Sicherheitsbedenken und ich hoffe, dass ich mein Script dort ausführen kann.
Aus Deinen Äußerungen entnehme ich, dass Du in diesem Bereich tätig bist.
Hat ein Kunde bei Dir evtl. so eine Prüfung schon einmal verlangt ? Wie sicherst Du einem Kunden die Vertraulichkeit der Ergebnisse zu ? Hast Du hierzu ein Vertrag ?
Gruß
BigBorste
Bisher zeigten sich die Tester sehr aufgeschlossen für unsere Sicherheitsbedenken und ich hoffe, dass ich mein Script dort ausführen kann.
Aus Deinen Äußerungen entnehme ich, dass Du in diesem Bereich tätig bist.
Hat ein Kunde bei Dir evtl. so eine Prüfung schon einmal verlangt ? Wie sicherst Du einem Kunden die Vertraulichkeit der Ergebnisse zu ? Hast Du hierzu ein Vertrag ?
Gruß
BigBorste
Ja, Kunden haben das schon verlangt.
Schriftlich per Vertrag.
Ja, habe ich mit meinem Anwalt ausgearbeitet.
Zur not stellt der kunde das Laptop, ich die Software. Diese wird vorort Installiert (Lizenzrechte beachten). Nach erfolgter prüfung werden alle relevante Dokumente als PDF ausgedruckt und auf einem Medim gespeichert. Danach wird die Festplatte des Laptops Formatiert etc. Natürlich alles im beisein des Kunden.
Sollten spätere Auswertung etc notwendig werden, muss halt alles nochmal gemacht werden.
Ist halt auch eine Kostenfrage, welche nicht jeder Kunden bereit ist zu zahlen.
Schriftlich per Vertrag.
Ja, habe ich mit meinem Anwalt ausgearbeitet.
Zur not stellt der kunde das Laptop, ich die Software. Diese wird vorort Installiert (Lizenzrechte beachten). Nach erfolgter prüfung werden alle relevante Dokumente als PDF ausgedruckt und auf einem Medim gespeichert. Danach wird die Festplatte des Laptops Formatiert etc. Natürlich alles im beisein des Kunden.
Sollten spätere Auswertung etc notwendig werden, muss halt alles nochmal gemacht werden.
Ist halt auch eine Kostenfrage, welche nicht jeder Kunden bereit ist zu zahlen.
Hi,
vielen Dank für die ausführlichen Antworten. Ich werde dann mal mit unserem Datenschutzbeauftragten sprechen. Dieser wollte dort auch etwas ausarbeiten.
Danke nochmals
BigBorste
vielen Dank für die ausführlichen Antworten. Ich werde dann mal mit unserem Datenschutzbeauftragten sprechen. Dieser wollte dort auch etwas ausarbeiten.
Danke nochmals
BigBorste
Hallo BigBorste!
Wenn wir in einen Betrieb gehen, um ein Security - Audit durchzufuehren, setzten wir die Rechner jedesmal neu und vor allem sauber auf.
Das tun wir 1. weil nicht jede Auditing-Umgebung die Gleiche ist und;
2. wir Schadenersatzpflichtig waeren, im Falle dessen dass das/die Kundennetzwerk(e )durch eventuelle Schaedlinge ausfielen.
Eine professionelle Auditingfirma, wird zunaechst einmal in einem Beratungsgespraech eure Beduerfnisse ermitteln, um den Ablauf des Auditings, die sog. "Stages" festzulegen.
Dazu waere es sinnvoll, wenn euer Datenschutzbeauftragter und der Sysadmin im Vorfeld die Testbeduerfnise grob eingrenzen wuerden.
Ein entsprechendes Document hierzu, was euch die arbeit erleichtern kann, findet Ihr zum downloaden im *.doc-Format, Titel: "Basic Stages of Penetration Testing" unter:
http://www.logicallysecure.com/resources/downloads/downloads.html
In eurem Vertrag mit dem Auditor solltet Ihr von vornherein festlegen, ob DOS [Denial of Service] -Test gewuenscht sind oder nicht.
Auch solltet Ihr mit dem Auditor absprechen, welche Tools beim Auditing verwendet werden, und das auch im Vertrag festlegen.
Eine entsprechende VAOST-Liste, mit dem Titel " Request for Assistance in populating the Attack Tools table", im *.rtf-Format, findet Ihr hier:
http://www.logicallysecure.com/forum/viewforum.php?f=30
Ein Anhaltspunkt zum Vertragswerk, um euch abzusichern, kann zb. das Document :"Audit Vulnerability Scan Policy" sein, bezueglich eines Vulnerability-Scans, download im *.doc-Format unter:http://www.sans.org/resources/policies/Audit_Policy.doc
Die einzige Moeglichkeiten , um euch gegen Datendiebstahl abzusichern, sind, alle sensiblen Daten zu Verschluesseln, zB. mit Twofish 256, oder mit einem vernuenftigen Filemonitoring.
Und natuerlich koennt Ihr den Traffic auswerten, der bei der Auditing-Session entsteht.
Gegen Veraenderungen hilft ein Checksummenvergleich [Vorher/Nachher].
Ein professioneller Pentester klaut allerdings keine Daten; ein wenig Vertrauen solltet schon mitbringen.
Ich bin gerne bereit euch weiter zu beraten unter:
janleoheisterkamp@web.de
saludos
gnarff
Wenn wir in einen Betrieb gehen, um ein Security - Audit durchzufuehren, setzten wir die Rechner jedesmal neu und vor allem sauber auf.
Das tun wir 1. weil nicht jede Auditing-Umgebung die Gleiche ist und;
2. wir Schadenersatzpflichtig waeren, im Falle dessen dass das/die Kundennetzwerk(e )durch eventuelle Schaedlinge ausfielen.
Eine professionelle Auditingfirma, wird zunaechst einmal in einem Beratungsgespraech eure Beduerfnisse ermitteln, um den Ablauf des Auditings, die sog. "Stages" festzulegen.
Dazu waere es sinnvoll, wenn euer Datenschutzbeauftragter und der Sysadmin im Vorfeld die Testbeduerfnise grob eingrenzen wuerden.
Ein entsprechendes Document hierzu, was euch die arbeit erleichtern kann, findet Ihr zum downloaden im *.doc-Format, Titel: "Basic Stages of Penetration Testing" unter:
http://www.logicallysecure.com/resources/downloads/downloads.html
In eurem Vertrag mit dem Auditor solltet Ihr von vornherein festlegen, ob DOS [Denial of Service] -Test gewuenscht sind oder nicht.
Auch solltet Ihr mit dem Auditor absprechen, welche Tools beim Auditing verwendet werden, und das auch im Vertrag festlegen.
Eine entsprechende VAOST-Liste, mit dem Titel " Request for Assistance in populating the Attack Tools table", im *.rtf-Format, findet Ihr hier:
http://www.logicallysecure.com/forum/viewforum.php?f=30
Ein Anhaltspunkt zum Vertragswerk, um euch abzusichern, kann zb. das Document :"Audit Vulnerability Scan Policy" sein, bezueglich eines Vulnerability-Scans, download im *.doc-Format unter:http://www.sans.org/resources/policies/Audit_Policy.doc
Die einzige Moeglichkeiten , um euch gegen Datendiebstahl abzusichern, sind, alle sensiblen Daten zu Verschluesseln, zB. mit Twofish 256, oder mit einem vernuenftigen Filemonitoring.
Und natuerlich koennt Ihr den Traffic auswerten, der bei der Auditing-Session entsteht.
Gegen Veraenderungen hilft ein Checksummenvergleich [Vorher/Nachher].
Ein professioneller Pentester klaut allerdings keine Daten; ein wenig Vertrauen solltet schon mitbringen.
Ich bin gerne bereit euch weiter zu beraten unter:
janleoheisterkamp@web.de
saludos
gnarff
Hallo gnaff,
vielen Dank für die ausführlichen Informationen und die Links. Wir habe heute die ersten Tests mit den Testern durchgeführt. War so, wie Du beschrieben hast. Nachdem der Testumfang telefonisch festgelegt wurde, konnten wir heute gleich mit den Scans anfangen. Übrigends konnten wir noch einen Blick auf die Notebooks werfen sowie ein komplettes Inventory der Festplatten zum Vergleich nach den Tests anlegen. Insgesamt verlief der erste Tag ohne grosse Überraschungen.
Mal sehen, was der zweite Tag bringt.
Gruß
BigBorste
vielen Dank für die ausführlichen Informationen und die Links. Wir habe heute die ersten Tests mit den Testern durchgeführt. War so, wie Du beschrieben hast. Nachdem der Testumfang telefonisch festgelegt wurde, konnten wir heute gleich mit den Scans anfangen. Übrigends konnten wir noch einen Blick auf die Notebooks werfen sowie ein komplettes Inventory der Festplatten zum Vergleich nach den Tests anlegen. Insgesamt verlief der erste Tag ohne grosse Überraschungen.
Mal sehen, was der zweite Tag bringt.
Gruß
BigBorste
