SSH Verbindung zu gestohlenen Geräten aufbauen

Hey Community ,

ich habe mir letztens ein paar DefCon-Videos angeschaut und etwas interessantes gehört:
Der PC des Sprechers wurde gestohlen und zwei Jahre später bemerkte er, dass sein DDNS-Provider die Maschine als "online" darstellt. Als er das herausfand stellte er eine SSH Verbindung zum entwendeten Rechner her.

Nun zu meiner Frage:
Wie ist es möglich in einem fremden Netzwerk eine SSH Verbindung herzustellen...? Ich habe natürlich schon von SSH Tunneling gehört, doch in ein unbekanntes Netzwerk?

Vielen Dank im Voraus
MfG Phuesick

Hi,

DefCon 18 - Zoz - Pwned By The Owner. Sehr guter Vortrag!

Das hängt natürlich alles extrem von vielen Faktoren ab. Im Grunde hatte er einfach Glück, dass es funktioniert hat würde ich sagen.

VG,
Mad

Genau!

Auf jeden Fall! dennoch würde es mich stark interessieren, wie er das angestellt hat ..
MfG, Phuesick

Hi,

ich gehe schwer davon aus, dass er es einfach probiert hat und Glück hatte. MacOS hat, soweit ich weiß, SSH immer installiert aber per default den Daemon deaktiviert. Ich gehe einfach von Glück aus. Es war ja auch Glück, dass der andere den Rechner nicht neu aufgesetzt hat.

VG,
Mad

Wenn vom Router bereits der richtige Port weitergeleitet wird, die interne IP Adresse als DMZ eingetragen ist oder der Computer seine eigene IP Adresse ohne vorgeschalteter Firewall hat ist das kein Problem.
Wenn beim Router UPnP aktiviert ist kann sich der Computer die Ports weiterleiten lassen.
Mit Microsoft DirectAccess oder ähnlichen Lösungen kann er auch intern darauf zugreifen.

Danke für Eure Antworten!

Also gibt es keine Möglichkeit, bei Entwendung eines Laptops, ein Script o.ä. zu schreiben, dass in einem bestimmten Zeitraum SSH zum Home-Rechner aufbaut, auch wenn im unbekannten Netzwerk kein SSH Port offen ist? Wäre echt nützlich..

Oder gibt es eine Alternative? Und ich meine hier nichts auffälliges, wie TeamViewer o.ä. Wäre es eine Option, auf dem Laptop ein RAT zu installieren, das einfach immer unentdeckt im Hintergrund mitläuft? So könnte man ja theoretisch jedes mal, wenn der Laptop mit dem Netz verbunden ist darauf zugreifen...

MfG Phuesick

Hi,

wenn es nicht TeamViewer sein darf dann eben irgendein anderes Remote Tool, das nicht auf Port Forwarding angewiesen ist. TeamViewer wäre halt die einfachste Variante

VG,
Mad

Funktioniert zwar alles recht einfach, jedoch ist es sehr auffällig und leicht zu entdecken... Dann ist es natürlich vorbei mit der Festplatte

Stichwort Festplatte: Gibt es unter Linux oder MacOS eine Möglichkeit, das Formatieren der Festplatte AUSSCHLIESSLICH mit Passwort durchzuführen?

MfG Phuesick

Hi,

innerhalb des Systems? Klar, deswegen hatte der böse Bube ja auch nichts unternommen - er hatte das Admin Passwort nicht. Nützt natürlich nichts wenn ich das System platt mache (USB Stick dran, drüberinstallieren).

VG,
Mad

Die zuverlässigste Lösung ist wahrscheinlich Computrace.
Bei Software Lösungen muss man immer darauf hoffen, dass der Dieb den Computer nicht neu aufsetzt.
Bei RAT hast du noch das Problem dass manche Trojaner sich auch noch zusätzlich zu ihren Entwicklern verbinden.

Dann würde ich ein Supervisor-Passwort für's UEFI o. BIOS setzen und USB- sowie CD-Booting deaktivieren... dürfte ja theoretisch funktionieren...

Ja, das wäre natürlich schlecht wenn die RAT immer im Hintergrund läuft..

Hi,

BIOS Chips kann man tauschen Oder flashen. Oder oder oder. Gibt immer eine Möglichkeit, wenn man das Ding mal in der Hand hat.

VG,
Mad

tichwort Festplatte: Gibt es unter Linux oder MacOS eine Möglichkeit, das Formatieren der Festplatte AUSSCHLIESSLICH mit Passwort durchzuführen?

Zum Vergrößern anklicken....

Wenn du die Hardware hast, kannst du alles machen. Der Dieb war ein Idiot und hat das OS nicht neu installiert. Das, und der Vortrag wäre nicht möglich gewesen.

Bei Businessnotebooks kannst du das System wirklich via Firmware sperren (lassen) und die Hardware kann vom Dieb nicht mehr genutzt werden. Aber das kostet dann auch Geld für einen Service.
Festplatten kann man via ATA Passwort "sichern", aber der Dieb kauft ne neue Festplatte/SSD und fertig.

Gibt es gar nichts, was man unternehmen kann um den Dieb dennoch irgendwie zu lokalisieren oder Zugriff zum PC zu erlangen trotz neu aufgesetztem System?

Zum Beispiel unauffällig versteckte Hardware oder etwas Vergleichbares..

Ja man kann da was machen und nein, nicht so ohne weiteres für Privatpersonen und/oder auf Consumer-Hardware.

Wenn du deine Daten schützen willst > Komplette Festplatte verschlüsseln, Boot von externen Medien deaktivieren und BIOS-Kennwort setzen. So verlierst du "nur" die Hardware aber deine Daten bleiben sicher. Hilft natürlich nur wenn man regelmäßig Backups macht.

Für einen Fernzugriff entweder auf die Dummheit des Diebes hoffen, dann kann ein SSH-Daemon o.ä. der regelmäßig "nach Hause" telefoniert helfen. Aber andererseits: Wie soll es ein Angreifer/Dieb es schaffen, sich auf einem System anzumelden und es zu nutzen, wenn dieses verschlüsselt ist? Eben.

Dann gibt es noch beispielsweise die Intel AMT, in der Regel nur bei (hochpreisigen) Business-Systemen verfügbar. Damit kann man aus der Ferne Geräte administrieren bis hin zum Remotezugriff auf den PC. Bleibt auch bestehen bei Austausch der HDD. Benötigt aber neben einem Endgerät mit AMT auch eine entsprechende Software etc auf deiner Seite. Mehr Infos z.B. hier: https://en.wikipedia.org/wiki/Intel_Active_Management_Technology, von da aus kannst dich selbst weiterhangeln.
Ist aber auch keine vollkommene Lösung. Deaktivierbar im BIOS/UEFI sofern kein Kennwort gesetzt oder eben Reset des BIOS durch entfernen der Batterie (keine Ahnung wie einfach/aufwendig bei den heutigen verklebten Ultrabooks etc).

Aber auch AMT oder ähnliche Alternativen setzen voraus, dass das Gerät entsprechend nach außen kommunizieren kann. Klaue ich z.B. deinen Laptop und nutze diesen in meinem Netzwerk, kann ich ja per Firewall entsprechend verbieten, dass dein Gerät nach außen kommunizieren darf.

Wenn es dir so absolut wichtig ist: Schließe eine Diebstahlversicherung o.ä. ab und mache regelmäßige Backups.

Desktop oder Notebook?
Beim Notebook könnte man vielleicht noch ein USB Gerät intern anschließen welches den PC übernimmt und nach Hause funkt. Das müsste man aber eher selber programmieren, ist wahrscheinlich relativ teuer (~50€) und auch relativ leicht zu entdecken und zu entfernen.

Super auf den Punkt gebracht

Ich will mir zukünftig einen neuen Laptop anschaffen, weswegen ich all diese Fragen hatte!
Danke an alle!

MfG Phuesick

Die Antwort steht doch schon in deiner Frage: er hatte einen DynDNS Client auf seinem Rechner laufen. Dadurch konnte er einfach auf den Rechner über den DynDNS-Hostname zugreifen ohne die IP/das Netzwerk zu kennen.

Hi,

@zoz

das schönste DynDNS bringt dir aber halt nichts, wenn du von außen nicht an die Maschine kommst, weil die Zugriffe entweder intern nicht korrekt geforwardet werden oder die Firewall blockt. Das war die Frage und darum geht es.

VG,
Mad

google mal nach front door oder theftguard software..