Journal Horodater un cambriolage avec des logs

Posté par  . Licence CC By‑SA.
19
2
oct.
2018

Aujourd'hui j'ai été cambriolé, durant la journée.

Or, durant la journée, depuis mon travail, j'ai toujours ceci qui tourne:

ssh -tY machine1 ssh -Y machine2 claws-mail

machine1 est accessible publiquement en ssh grâce à du NAT derrière ma box.

machine2 a été volée, mais pas machine1. Du coup, je me dis que je dois pouvoir retrouver l'heure du crime dans les logs de machine1. Tel que je l'imagine, machine2 a été fermée pour être emportée (c'est un portable) ce qui l'a mise en veille: le ssh -Y machine2 se coupe, et donc dans la foulée le ssh -Y machine1 aussi.

Pour l'instant, j'ai trouvé ceci dans /var/log/auth.log:

Oct 1 17:44:58 Lucinda-Durmanof sshd[21604]: Received disconnect from <ip> port 36456:11: disconnected by user
Oct 1 17:44:58 Lucinda-Durmanof sshd[21604]: Disconnected from user alexis <ip> port 36456
Oct 1 17:44:58 Lucinda-Durmanof sshd[21473]: pam_unix(sshd:session): session closed for user <user>

Puis-je en déduire l'heure du crime ? J'ignore s'il la déconnexion est immédiate ou bien s'il y a un timeout.

Auriez-vous d'autres idées de fichiers de logs à consulter ?

  • # Quand c'est quoi?

    Posté par  . Évalué à -10.

    Moi, je suis pas un expert mais mon pouce me raconte des choses. Quand une machine hiberne, tout s'arrête selon le système init. La différence étant qu'une image est créée avant, permettant au système d'opération de restaurer tout comme il faut.

    De fait, si tu veux savoir comment ça fonctionne bah il te suffit de chercher sur google et lire la doc.

  • # Timeout

    Posté par  (site Web personnel) . Évalué à 5.

    Bonjour,

    Pour moi la confection de coupe brutalement lors d'une mise en hibernation (ce qui m'arrive quand je fait des sauvegardes) du coup tu as un Time Out qui se met en place au cas où c'est une coupe réseau.

    Tu peux regarder si tu trouve la durée du timeout dans sshd_config de machines.

    ClientAliveInterval

    Par curiosité, sait tu comment ils sont rentré chez toi ? Ont il volé d'autres matériel informatique ? Avez tu fais des sauvegardes ?

    • [^] # Re: Timeout

      Posté par  (site Web personnel) . Évalué à 10.

      Avez tu fais des sauvegardes ?

      Il est toujours délicat de savoir s'il faut tutoyer ou vouvoyer sur Internet…

      • [^] # Re: Timeout

        Posté par  . Évalué à -2. Dernière modification le 02/10/18 à 08:29.

        [commentaire supprimé]

    • [^] # Re: Timeout

      Posté par  . Évalué à 5. Dernière modification le 02/10/18 à 08:09.

      sur Paris cela m’était deja arrivé, il est passé par la fenetre de la cuisine qui donné sur une cour au 3 eme etage, avec un petit rebord qui fait le tour de la cour, sur tout les étage …

      j'aurais pu le faire, les voisins qui l'ont vu (car il a cambriolé 3 appartements) non pas pensé a appelé la police, ce n'est pas leur probleme (ou un truc du genre je sais plus)

      maintenant j'habite en province et je pars au boulot en laissant la porte de chez moi ouverte :D.

      • [^] # Re: Timeout

        Posté par  (site Web personnel) . Évalué à 8.

        Relire ses commentaires avant de les poster, ça permet de vérifier qu'ils soient compréhensibles (voir de corriger quelques fautes au passage) …

        Entre autres (ce qui nuit vraiment à la compréhension):
        - qui donné -> qui donnait, ça pique sacrément les yeux
        - j'ai pas compris ce que t'aurais pu faire
        - les voisins non pas pensé -> n'ont pas pensé

        • [^] # Re: Timeout

          Posté par  (site Web personnel) . Évalué à 4.

          C'était déjà très compréhensible bien avant ton intervention. Que tu veuilles jouer à la police orthographique c'est une chose (regrettable), mais de là à insinuer que la personne à qui tu t'adresses était incompréhensible…

          • [^] # Re: Timeout

            Posté par  . Évalué à 5.

            ça manque de grammar nazi, tout se perd c'est comme les articles de motards et de recettes, tout ça a été remplacé par Taptempo ;)

      • [^] # Re: Timeout

        Posté par  . Évalué à 4.

        maintenant j'habite en province et je pars au boulot en laissant la porte de chez moi ouverte :D.

        Quel optimisme… Habitant depuis toujours en milieu rural, m'informant dans la presse locale, je sais que des maisons sont souvent cambriolées.
        https://actu.fr/?s=cambriolage

        • [^] # Re: Timeout

          Posté par  . Évalué à 6.

          De toute façon que la serrure soit fermée ou non ça n'a qu'une importance marginale dans le fait que l'on soit cambriolé ou non. Fermer la serrure prémunit uniquement d'un type de vol par opportunisme qui est un peu différent du cambriolage ciblé et qui concerne probablement moins les zones rurales.

          • [^] # Re: Timeout

            Posté par  . Évalué à 7.

            Et surtout qu'il y ai une effraction pour faire marcher l'assurance…

          • [^] # Re: Timeout

            Posté par  (site Web personnel) . Évalué à 3.

            Il faut aussi que le niveau de sécurité de la serrure soit en adéquation avec celui de la porte et de toutes les autres ouvertures accessibles du logement…

            Y'a 25 ans, mes parents (locataires) s'étaient fait cambrioler, heureusement par des semi-opportunistes qui ne cherchaient que le liquide et le chéquier. C'est à cette occasion qu'ils ont découvert que la porte d'entrée était en fait une porte de cloison, en bois léger et carton. Qui s'ouvre donc en un coup de poing (ça fait un trou)… c'est probablement en voyant ça que les deux gars ont décidé de tenter leur chance.

            La connaissance libre : https://zestedesavoir.com

      • [^] # Re: Timeout

        Posté par  (site Web personnel) . Évalué à 1.

        maintenant j'habite en province et je pars au boulot en laissant la porte de chez moi ouverte :D.

        Il y en a aussi hors Paris et parfois c'est plus violent. Dans les journaux j'ai déjà vu des cambriolages à mains armées. Ma marraine s'est aussi faite cambrioler dans une petite ville et les cambrioleurs ont même pris soin de … laisser une délicate attention fécale personnelle dans son jardin.

        l'azerty est aux dispositions ce que subversion est aux SCMs

    • [^] # Re: Timeout

      Posté par  . Évalué à 3.

      Tu peux regarder si tu trouve la durée du timeout dans sshd_config de machines.

      ClientAliveInterval

      Effectivement, mais pour ce paramètre il faudrait la conf de machine2… Pour le client, il faudrait voir la conf de machine1, en particulier ServerAliveInterval, qui n'est pas active par défaut.

      De plus, si ce sont les paramètre du kernel uniquement qui sont concernés, ça dépend de plusieurs paramètres : tcp_keepalive_time qui est de 2h (début du test de transmission d'une connexion inactive), ou tcp_retries2 qui indique qu'une connexion « perdue » mettra environ 1000 s minimum avant d'être cassée de force. Du coup ça dépend de l'activité de cette connexion ; je suppose qu'une session X active dessus fait qu'elle était plutôt occupée, et que le keepalive ne compte donc pas vraiment.

      Bon courage pour la suite des affaires en tous cas.

    • [^] # Re: Timeout

      Posté par  . Évalué à 7. Dernière modification le 02/10/18 à 12:23.

      Pour moi la confection de coupe brutalement lors d'une mise en hibernation (ce qui m'arrive quand je fait des sauvegardes) du coup tu as un Time Out qui se met en place au cas où c'est une coupe réseau.

      Je suis pas spécialiste ssh mais pour moi:

      Received disconnect from <ip> port 36456:11: disconnected by user

      Ce que je comprends de cette ligne, c'est que l'on a pas atteint un Timeout mais plutot qu'une déconnection a été initiée par l'autre partie.

      • [^] # Re: Timeout

        Posté par  . Évalué à 2.

        Je suis certain de ne pas m'être déconnecté manuellement. Je vérifierai quand même demain au boulot (mon terminal doit toujours être ouvert).

        Mais je suis d'accord avec toi: ce message de log n'est pas clair.
        Depuis, j'ai fait un last -f sur le wtmp du jour et j'ai pu constater:

        alexis pts/1 <ip> Mon Oct 1 10:06 - 17:44 (07:38)

        • [^] # Re: Timeout

          Posté par  . Évalué à 4.

          Ah, je n'avais pas capté que tu trouvais ce log confus : il indique que le client se connectant à machine1, donc ton premier client SSH depuis ton poste au boulot, s'est déconnecté volontairement car la commande qu'il a lancé à l'intérieur (qui n'est pas un shell), c-à-d le ssh sur machine2, a quitté, pour quelque raison que ce soit. Dans ton cas, ce second SSH a dû faire un timeout et tu n'as pas de trace, mais du point de vue de machine1 ta session a été fermée volontairement parce que la commande à l'intérieur s'est terminée, c'est tout.

          En ce qui concerne l'aide que ça pourra apporter à la police, si tu as un horodatage précis, ça pourra éventuellement aider à retracer en croisant avec d'autres sources précises comme des caméras de surveillance (expérience perso).

    • [^] # Re: Timeout

      Posté par  . Évalué à 4.

      Par curiosité, sait tu comment ils sont rentré chez toi ? Ont il volé d'autres matériel informatique ? Avez tu fais des sauvegardes ?

      Ils ont cassé la poignée et une partie du cylindre, ce qui leur a permis d'ouvrir en suite "normalement". Tant mieux car ainsi ma porte est intacte. Ont été volés deux ordinateur portables (un mac book pro récent et un thinkpad T470s), la PS4 avec ses jeux, un parfum, un bijou sans grand valeur autre que sentimentale.

      Le mac book n'avait pas de sauvegarde, mais mon thinkpad oui, avec duplicity, quotidiennement. On verra si tout se passe bien à la restauration !

      Merci au passage pour tous les messages de compassion. Je m'en sors bien, à part les tiroirs et caisses vidées par terre, tout est intact, il n'y a pas eu de "fun". Et les animaux en cage n'ont pas été embêtés.

      • [^] # Re: Timeout

        Posté par  . Évalué à 8.

        tu as des enfants ??

        cf : Et les animaux en cage n'ont pas été embêtés.

      • [^] # Re: Timeout

        Posté par  . Évalué à 1.

        Attaque par snapping, rapide, efficace et relativement discrète.

      • [^] # Re: Timeout

        Posté par  . Évalué à 6.

        Je m'en sors bien, à part les tiroirs et caisses vidées par terre, tout est intact, il n'y a pas eu de "fun".

        Il ne manque pas de chèque dans les chéquiers ? C'est la première question que m'avaient posée les policiers quand je m'étais fait cambriolé. Un chèque enlevé au milieu d'un chéquier ça ne se voit pas au premier coup d'œil.

  • # Tu es à quelques mn ?

    Posté par  (site Web personnel) . Évalué à 10.

    Bonjour,

    Sincères pensées de courage, j'ai été cambriolé il y a quelques années, c'est très traumatisant de voir sa maison complètement fouillée. Il a fallu plusieurs mois pour que l'on arrête de s'inquiéter.

    Cela dit, pour répondre à ta question : hormis l'intérêt intellectuel de savoir l'heure exacte, y a t'il un intérêt pratique. Dans ton dépôt de plainte, que le cambriolage ait eu lieu à 17H44, 17H42 ou même 17H34 (et il a fallu 10mn pour que machine1 s'en aperçoive) ça ne me semble pas critique. Ce dont tu es à peu près sûr c'est que c'était au plus tard à 17H44, probablement quelques minutes avant, ça suffit largement non ?

    • [^] # Re: Tu es à quelques mn ?

      Posté par  . Évalué à 7. Dernière modification le 02/10/18 à 10:47.

      J'imagine que ça peut éventuellement être important, par exemple si un suspect a été pris par une caméra de surveillance à une certaine distance. Il y a des cas où ça doit pouvoir faire la différence, même si la plupart du temps ça n'a aucune importance.

    • [^] # Re: Tu es à quelques mn ?

      Posté par  . Évalué à 2. Dernière modification le 02/10/18 à 14:42.

      Cela dit, pour répondre à ta question : hormis l'intérêt intellectuel de savoir l'heure exacte, y a t'il un intérêt pratique. Dans ton dépôt de plainte, que le cambriolage ait eu lieu à 17H44, 17H42 ou même 17H34 (et il a fallu 10mn pour que machine1 s'en aperçoive) ça ne me semble pas critique. Ce dont tu es à peu près sûr c'est que c'était au plus tard à 17H44, probablement quelques minutes avant, ça suffit largement non ?

      Oui je suis d'accord avec toi, il n'y pas besoin d'une grande précision, mais j'ignore le timeout qui s'applique dans un tel cas, donc la précision de mon log.

      Dans la plainte j'ai indiqué 17h45 comme heure probable, sachant que pour les policiers, ce qui compte vraiment c'est l'heure de départ le matin et l'heure d'arrivée le soir.

  • # Disques chiffrés?

    Posté par  (site Web personnel) . Évalué à 4.

    Je compatis dans ton malheur.

    Est-ce que tes machines étaient protégées contre le vol de données également?
    En d'autre termes, est-ce que tes disques durs sont chiffrés avec LUKS ou même Cryptfs?

    Le vol d'identité est également quelque chose de très lucratif, malheureusement.

    Par exemple, le serveur d'emails que j'ai chez moi est chiffré avec LUKS.
    je le conseille à tous ceux qui sont auto-hébergés, d'ailleurs, c'est quand cela arrive que c'est trop tard.

    • [^] # Re: Disques chiffrés?

      Posté par  . Évalué à 3. Dernière modification le 02/10/18 à 11:02.

      je le conseille à tous ceux qui sont auto-hébergés, d'ailleurs, c'est quand cela arrive que c'est trop tard.

      N'hésite pas a en faire un tuto section wiki, avec des nimages et de bons retours d'expérience détaillé (*1) :)

      *1 quid en cas de mises a jours ? Quid en cas de jbod/raid ? Quid si a un moment ca bug ? Quid si on oublie la clés de chiffrement ? Quid si le système de fichiers a des erreurs ? Quid si le cambioleur se barre avec la machine ? Quid de l'impacte machine sur x64 et ARM ? Quid de l'utilisation sur SSD, uSD ?

      • [^] # Re: Disques chiffrés?

        Posté par  (site Web personnel) . Évalué à 4.

        Merci,

        N'hésite pas a en faire un tuto section wiki, avec des nimages et de bons retours d'expérience détaillé (*1) :) 
        

        Je dois pouvoir améliorer la documentation déjà existante, mais le projet que j'ai crée simplifie énormément la tâche. En gros, on a un fichier YAML de départ, un script Ansible qui lance une image docker et crée une image ISO Debian personnalisée, avec la phrase de passe déjà configurée.

        https://homebox.readthedocs.io/en/latest/preseed/

        C'est en Anglais, mais assez facile à comprendre. Je n'ai pas eu le temps de traduire.

      • [^] # Re: Disques chiffrés?

        Posté par  (site Web personnel) . Évalué à 2.

        *1 quid en cas de mises a jours ? Quid en cas de jbod/raid ? Quid si a un moment ca bug ? Quid si on oublie la clés de chiffrement ? Quid si le système de fichiers a des erreurs ? Quid si le cambioleur se barre avec la machine ? Quid de l'impacte machine sur x64 et ARM ? Quid de l'utilisation sur SSD, uSD ? 
        

        LUKS peut être vu comme une "couche de chiffrage" au dessus des pilotes de disque. En conclusion, rien n'est visible pour les divers programmes en espace utilisateur (JBOD/RAID)
        Tu peux tout de même accéder à ton système avec un live CD moderne, du moment que tu entres ta phrase de passe. Idem si le système de fichier à des erreurs. Elles seront réparées par ext4 / btrfs / etc qui n'auront pas de connaissance de la couche de chiffrement.

        Si tu pers ta phrase de passe, il y a une possibilité de backup là aussi chiffré. La clé de chiffrement est générée dynamiquement, et automatiquement stockée sur l'ordinateur qui a lancé le déploiement, avec Ansible.

        Si le cambrioleur « se barre avec la machine », il pourra lire le contenu, dans le case suivants:
        - Il connaît la phrase de passe,
        - Ta phrase de passe est trop simple, et il dispose de moyens suffisants pour la casser…
        - Il viens du futur, et les algorithmes de chiffrement se cassent avec des ordinateurs quantiques
        - Ou bien:

        Cassage de clé de chiffrement

        Dans la majorité des cas, ton matériel se retrouve tout simplement sur eBay ou d'autres sites de vente en ligne…

        Côté impact sur les performances, je n'en ai pas vu, et je ne pense pas que le disque d'un serveur de mail personnel soit le goulot d'étranglement du système.

        • [^] # Re: Disques chiffrés?

          Posté par  . Évalué à 1.

          Si le cambrioleur « se barre avec la machine », il pourra lire le contenu, dans le case suivants:
          - Il connaît la phrase de passe,
          - Ta phrase de passe est trop simple, et il dispose de moyens suffisants pour la casser…
          - Il viens du futur, et les algorithmes de chiffrement se cassent avec des ordinateurs quantiques

          Mais le serveur est capable de démarrer sans qu'on vienne taper la phrase de passe ?

          N'est-ce pas déconseillé d'utiliser ce genre de chiffrement sur les techno Flash (ssd, etc)?

          • [^] # Re: Disques chiffrés?

            Posté par  (site Web personnel) . Évalué à 2.

            Non, pour démarrer le serveur, il faut bien sûr entrer la phrase de passe.

            C'est un compromis entre la sécurité que je suis prêt à faire. En même temps, le serveur ne redémarre que très rarement, par exemple après une mise à jour du noyau.

            Les mises à jour noyau sont laissées à l'appréciation de l'administrateur. Personnellement, je ne le fais que dans les cas extrêmes, par exemple exploitable à distance, Spectre / Meltdown / etc.

            Une mise à jour de sécurité qui concerne une faille exploitable avec un shell, c'est déjà moins grave.

            • [^] # Re: Disques chiffrés?

              Posté par  . Évalué à 1. Dernière modification le 03/10/18 à 12:22.

              Non, pour démarrer le serveur, il faut bien sûr entrer la phrase de passe.

              Dommage, j'ai failli espérer ^ ^ (chiffrer les systèmes de mes serveurs, sans tout péter, est un vieux rêve)
              C'est le même mécanisme qu'Ubuntu propose lorsqu'on formate une machine ou rien a voir? :)

              • [^] # Re: Disques chiffrés?

                Posté par  (site Web personnel) . Évalué à 1.

                Il y a plusieurs manières de faire ce que tu veux, comme lire la clé de chiffrage à partir d'une clé USB, par exemple.
                L'inconvénient est évidemment la sécurité.
                Cela dit, j'ai 2/3 idées en tête pour résoudre ce souci.

              • [^] # Re: Disques chiffrés?

                Posté par  . Évalué à 3.

                J'ai un serveur distant qui est complètement chiffré. Au démarrage, il lance un serveur SSH qui ne permet que de rentrer la clé. Du coup, je perd le redémarrage automatique, mais ça n'a pas d'autre impact sur le fonctionnement.

                En pratique, j'utilise un initramfs créé à la main qui contient dropbear pour le serveur SSH. Le chiffrement est basé sur LUKS. Je n'ai pas vu de configuration prête à l'emploi, mais on trouve pas mal de tuto sur le net.

                C'est le même mécanisme qu'Ubuntu propose lorsqu'on formate une machine ou rien a voir? :)

                Ce sont les mêmes briques de base, donc oui, il y a moyen de créer la même configuration que ce que fait Ubuntu.

                • [^] # Re: Disques chiffrés?

                  Posté par  . Évalué à 1. Dernière modification le 04/10/18 à 11:46.

                  J'ai un serveur distant qui est complètement chiffré. Au démarrage, il lance un serveur SSH qui ne permet que de rentrer la clé. Du coup, je perd le redémarrage automatique, mais ça n'a pas d'autre impact sur le fonctionnement.

                  Ce mécanisme a l'air pas mal, si tu as quelques liens et infos je suis preneur.
                  Ça ne lance que openssh-server ou sa lance aussi d'autres softwares? (j'apprécierai le lancement de tor)

                  • [^] # Re: Disques chiffrés?

                    Posté par  . Évalué à 3.

                    Je n'ai pas retrouvé la procédure exacte que j'avais utilisé, mais il me semble m'être servi de ce post de blog. Il y a aussi ce guide plus récent.

                    Ça ne lance que openssh-server ou sa lance aussi d'autres softwares?

                    Dans mon cas, ça ne lance que beardrop, un serveur SSH très léger et avec une config très simple, plus approprié que openssh-server pour ce genre de situation.

                    Je n'ai aucune idée de si c'est possible d'y ajouter tor.

          • [^] # Re: Disques chiffrés?

            Posté par  . Évalué à 1.

            N'est-ce pas déconseillé d'utiliser ce genre de chiffrement sur les techno Flash (ssd, etc)?

            Je ne sais pas si c'est déconseillé, mais en terme de durée de vie du SSD, ça ne semble pas poser de problème particulier.
            Mon PC utilise un SSD acheté fin 2014 autour de 120€ (Crucial CT128M550SSD1). Il est chiffré et toutes mes données hors contenu multimédia. J'utilise cet ordi tout les jours ou presque, autant pour le loisir que le travail (beaucoup de télétravail). Je fais énormément de compilation (donc d'écriture disque) puisque le système tourne sous Gentoo.
            Aujourd'hui, l'indicateur de "temps de vie" utilisé, reporté par S.M.A.R.T, m'indique 16%. Donc, si l'indicateur est fiable, j'en ai encore pour 20 ans.

            Je crois me souvenir qu'il y avait des problèmes éventuelles avec le trim (souvent activé par défaut), qui était recommandé pour les SSD, mais qui pouvait théoriquement permettre à un attaquant analysant le SSD de récupérer certaines information.

            • [^] # Re: Disques chiffrés?

              Posté par  . Évalué à 1. Dernière modification le 04/10/18 à 14:52.

              Je crois me souvenir qu'il y avait des problèmes éventuelles avec le trim (souvent activé par défaut), qui était recommandé pour les SSD, mais qui pouvait théoriquement permettre à un attaquant analysant le SSD de récupérer certaines information.

              Il me semble avoir lu quelque part que le fonctionnement des techno Flash (on ne sait pas où sont situé les données et on ne peut ré-écrire dessus) créait d'énormes faiblesses pour les algos de chiffrement.
              Mais comme ça date, … :)

    • [^] # Re: Disques chiffrés?

      Posté par  (site Web personnel) . Évalué à 3.

      Je suis entièrement d'accord et plussoie complètement. Je chiffre tous mes portables. En revanche, j'avoue que même chez moi je laisse parfois mon ordinateur portable en veille en partant et même si GNOME verrouille ma session on perd quand même l'utilité du chiffrement. Donc ne pas oublier d'éteindre complètement avant de partir :)

      l'azerty est aux dispositions ce que subversion est aux SCMs

      • [^] # Re: Disques chiffrés?

        Posté par  (site Web personnel) . Évalué à 2.

        A moins d'une attaque ciblée cela devrait suffire. La batterie d'un portable a généralement une autonomie de quelques heures. Si tu es chanceux, la batterie sera vide au moment où ton portable arrivera chez le receleur - et donc ton portable éteint.

      • [^] # Re: Disques chiffrés?

        Posté par  . Évalué à 8.

        Donc ne pas oublier d'éteindre complètement avant de partir :)

        Faut garder à l'esprit qu'à l'échelle des risques c'est quand même assez faible. Tu connais beaucoup de monde qui sait dumper la mémoire d'un portable allumé sans avoir moyen de s'y logger de façon interactive.

        Bref si j'étais membre d'un gouvernement ou d'une société importante, travaillais pour les services secret où était un activiste potentiellement surveillé par lesdits services secret je ne laisserais pas un pc allumé sans surveillance dans un quelconque lieu.

        En tant que particulier ? Bof. Chiffrer son disque c'est déjà un grand pas vers une sécurité très correcte.

  • # Soutien

    Posté par  (site Web personnel) . Évalué à 8.

    Je ne sais pas répondre à ta question, mais je souhaite t’envoyer tout mon soutien. Subir un cambriolage procure souvent un sentiment de vulnérabilité et de frustration. J’espère que ça va s’arranger. Bonne enquête :)

    Debug the Web together.

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n’en sommes pas responsables.