К содержанию

блог Дорофеева

Единственное верное мерило вашего успеха — это то, что вы делаете, в сравнении с вашим действительным потенциалом (Пол Мейер)

04.03.2009 Расследование факта утечки данных: анализ usb-накопителя



Давайте рассмотрим следующую ситуацию: в компании завелся сотрудник, которого вы подозреваете в том, что он регулярно “сливает” конфиденциальную информацию. Например, вы вычислили его с помощью методики, описанной в моем посте “Как поймать хакера?”. Вы уверены в том, что сотрудник копирует конфиденциальные данные на свой usb-накопитель и вам необходимо доказать, что конфиденциальные данные покидали компанию именно на его usb-накопителе. Дополнительно вы хотите установить, какие еще данные сотрудник вынес на своей «флэшке».

Пускай, наш злоумышленник совершал следующие операции:

  1. 4 января 2009 скопировал на накопитель файлы: Workstation Security Policy.doc, Acceptable_Encryption_Policy.doc, Acceptable_Use_Policy.doc. После того, как он скопировал данные на свой домашний компьютер, данные были удалены командой Windows “delete”.Добавить изображение
  2. Добавить изображение4 февраля 2009 скопировал файлы Application_Service_Providers.doc, Audit_Policy.doc. Файлы также были удалены.
  3. 4 марта 2009 скопировал файлы DB_Credentials_Policy.doc,DMZ_Lab_Security_Policy.doc. Файлы были удалены, как только сотрудник заметил приближающегося представителя службы безопасности.

Какие действия предпримем для того, чтобы во всем разобраться?

Шаг 1. После того, как USB-накопитель, был изъят у подозреваемого, мы создаем его образ, который в последствии и будем анализировать. Для этого мы используем программу AccessData FTK Imager (http://www.accessdata.com/downloads.html).

Шаг 2. Получаем хэш-значения для того, чтобы можно было доказать, что никаких изменений в снятый образ не вносилось.
Шаг 3. Загружаем полученный образ в тот же AccessData FTK imager и просматриваем содержимое файловой системы. В нашем случае нам повезло – хотя файлы и были удалены, физически они остались на накопителе и мы видим все удаленные файлы.
Шаг 4. При необходимости восстанавливаем любой из данных файлов.

Таким образом, мы смогли минимальными усилиями получить доказательства копирования конфиденциальной информации.

В дальнейших постах я рассмотрю более сложные приемы работы по расследованию инцидентов.

Александр Дорофеев (с)

Александр Дорофеев

Related Posts

  1. Уничтожение данных на жестких дисках
  2. Определяем, какие “флэшки” подключали к компьютеру
  3. Материалы тренинга "Аудит информационной безопасности". Часть третья. Аудит с применением методов социальной инженерии. Анализ настроек безопасности.
  4. Скрытые данные в JPEG-файлах
  5. Как поймать хакера?

Метки: