Aiuto! Mi bucano...

[TiTTi]

Ciao a tutti.

Ho un problemino...

C'è qualcuno nella ditta in cui lavoro che si diverte a farmi gli scherzetti: io cerco di difendere il mio pc, e lui inesorabilmente mi frega.

Situazione:

PC con WXP Home, full patched e con av a posto. Un solo account amministratore, con passord di 18 caratteri tra numerici, alfanumerici e simboli. C'è la pwd sul bios, e può fare il boot solo dall'hardisk (niente cd o chiavette usb). Ci sono 2 account utente, il mio e quello di un collega, entrambi con pwd decenti. Non ci sono share.

Cosa succede:

Periodicamente il tizio fa qualcosa sul pc (non so se da console o via rete) e si crea uno o più account (utente o amministratore), oppure ci cancella le pwd, o altre cose di questo genere. Non ci provoca danni, ma si diverte un mondo alle nostre spalle

Io non so più cosa fare: ma come diavolo fa? E come lo fermo?

H E L P

[Lionsquid]

se la pwd sul bios è nota solo a te e al tuo collega e così pure per gli account...

l'unico accesso possibile in assenza di cdrom e chiavette usb, è il floppy oppure il pc incustodito nell'intervallo che intercorre per entrare in screen saver...

quindi...
1° il floppy è accessibile??
2° il file system è NTFS o FAT32??
3° sei certa che non abbia accesso al bios con una pwd "passpartout"?
4° controlla se non vi è installato un keylogger nel pc ...potrebbe carpirvi le password...
5° potete utilizzare un sw di locking.. (se l'azienda ve lo permette)
per esempio > http://stationlockxp.dg-dev.org.uk/ oppure http://www.toplang.com/desktoplock.htm... ancora http://www.dmvsoft.com/lock-windows-background.htm ...

...al momento non mi vengono altre idee...

[TiTTi]

Quota:

Originariamente inviato da Lionsquid
se la pwd sul bios è nota solo a te e al tuo collega e così pure per gli account...

l'unico accesso possibile in assenza di cdrom e chiavette usb, è il floppy oppure il pc incustodito nell'intervallo che intercorre per entrare in screen saver...

quindi...
1° il floppy è accessibile??
2° il file system è NTFS o FAT32??
3° sei certa che non abbia accesso al bios con una pwd "passpartout"?
4° controlla se non vi è installato un keylogger nel pc ...potrebbe carpirvi le password...
5° potete utilizzare un sw di locking.. (se l'azienda ve lo permette)
per esempio > http://stationlockxp.dg-dev.org.uk/ oppure http://www.toplang.com/desktoplock.htm

...al momento non mi vengono altre idee...

Dunque...

Mettiamo in lock il pc prima di alzarci dalla scrivania, SEMPRE (visto che siamo in guerra )
Il floppy è accessibile, nel senso che c'è... Peroò il pc non fa il boot dal floppy, per cui credo che non si possa fare altro, giusto?

2) è NTFS
3) cos'è una pwd passepartout? vuoi dire che esistono delle pwd standard per i bios? quella del bios attuale l'ho messa io, è abbastanza lunga e complicata, e la sappiano io e il collega
4) niente keylogger, almeno credo; ho fatto passare uno paio di quei tools che beccano questo tipo di cose, nessun risultato!
5) boh, provo ad informarmi...

Nel frattempo, altre idee su come faccia il maledetto?

[Lionsquid]

un'altra possibile via di accesso è via rete... ma deve possedere i diritti di admin... le condivisioni possono essere occultate agli utenti non admin... le vostre utenze sono limitate, power user o cosa??

[TiTTi]

Quota:

Originariamente inviato da Lionsquid
un'altra possibile via di accesso è via rete... ma deve possedere i diritti di admin... le condivisioni possono essere occultate agli utenti non admin... le vostre utenze sono limitate, power user o cosa??

I nostri user sono "utenti limitati" di WXP Home, però hoanche un utente admin e anche quello non vede alcuna condivisione!

[Lionsquid]

ultima domanda..il pc è in rete... per quali necessità?? sw aziendale, condivisioni stampanti, internet?

c'è un responsabile/admin nel vostro staff??

[TiTTi]

Quota:

Originariamente inviato da Lionsquid
ultima domanda..il pc è in rete... per quali necessità?? sw aziendale, condivisioni stampanti, internet?

c'è un responsabile/admin nel vostro staff??

La rete serve per condividere l'adsl, per il resto siamo autonomi. Il responsabile/admin c'è: io..., per cui stiamo in una botte de fero

[Lionsquid]

ok.. mi sono fatto il quadro... avevo pensato una situazione + complessa...


in queste condizioni penso che non saprei prendere il controllo del pc... e quindi non ho idee per una contromossa... non sono proprio un guru in questo campo...

se i 4 punti che ho scritto sopra sono inviolabili, il tizio ha delle risorse extra... in alternativa uno dei punti è in realtà "conosciuto" o "accessibile" mentre pensate che non lo sia...

di più non so aiutarti... ...speriamo in qualche altro utente + preparato

una idea dell'ultimora....

prova all'avvio premendo ripetutamente F8 se spunta la scelta del dispositivo di boot... se si.. userà un cd tipo hiren's, bartpe, erd commander...

[einemass]

e se avesse semplicemente usato qualcosa tipo ultraVNC?

[Lionsquid]

Quota:

Originariamente inviato da einemass
e se avesse semplicemente usato qualcosa tipo ultraVNC?

beh.. per usare xzyVNC deve essere installato il server sul pc.... non credo che a TiTTi sfugga la presenza di un servizio del genere...


cmq, è un suggerimento a cui far seguire un controllo (Y)

Quota:

Originariamente inviato da TiTTi
Ciao a tutti.
... Un solo account amministratore, con passord di 18 caratteri tra numerici, alfanumerici e simboli. ...

Ti riferisci all'account Administrator che si rende visibile quando si va in modalità provvisoria o ad un'account utente che hai creato te?

Potrebbe essere sprotetto quello e con una "master password" del PC (sono delle passwrod che funziona comunque perché di azienda, per evitare di resettare la CMOS).

O..

c'ha qualche sistema per togliere l'alimentazione al CMOS, resettare così la password e quindi la protezione all'USB..e usare Offline NT Password eliminando la pass..entrare in un'account in cui è stata tolta così può anche crearsi il nuovo utente administrator


(sembra una situazione al quanto fantasiosa per togliere l'alimentazione, potrebbe aver fatto uscire due fili dalla case e far fare corto alla pila...rimane la password da Bios, dopo il fatto?)

[TiTTi]

Quota:

Originariamente inviato da Semi.genius


Ti riferisci all'account Administrator che si rende visibile quando si va in modalità provvisoria o ad un'account utente che hai creato te?

Potrebbe essere sprotetto quello e con una "master password" del PC (sono delle passwrod che funziona comunque perché di azienda, per evitare di resettare la CMOS).

O..

c'ha qualche sistema per togliere l'alimentazione al CMOS, resettare così la password e quindi la protezione all'USB..e usare Offline NT Password eliminando la pass..entrare in un'account in cui è stata tolta così può anche crearsi il nuovo utente administrator


(sembra una situazione al quanto fantasiosa per togliere l'alimentazione, potrebbe aver fatto uscire due fili dalla case e far fare corto alla pila...rimane la password da Bios, dopo il fatto?)

No, mi riferisco all'account administrator "ufficiale", quello che vedi in provvisoria o con i 3 ctrl+alt+canc; c'è solo quello come admin

Ho pensato anch'io al reset del bios, però la pwd c'è ed è quella che ho messo io...

[TiTTi]

Quota:

Originariamente inviato da einemass
e se avesse semplicemente usato qualcosa tipo ultraVNC?

No, non c'è; c'era qualche tempo fa (un paio d'anni), ma è stato tolto da tempo.

[TiTTi]

Quota:

Originariamente inviato da Lionsquid

prova all'avvio premendo ripetutamente F8 se spunta la scelta del dispositivo di boot... se si.. userà un cd tipo hiren's, bartpe, erd commander...

Ok, lunedì provo e vediamo se succede qualcosa...

TENCS

[The_Prof]

Quota:

Originariamente inviato da TiTTi


Ok, lunedì provo e vediamo se succede qualcosa...

TENCS

Controlla anche che alla partenza del S.O. non venga eseguito qualche *.bat che contenga comandi regedit, e fai un controllo accurato dei servizi.
Ciao