Pull to refresh

Comments 27

«читатели поделятся и своим полезным инструментарием»

Лично я, если бы был админом, поделился бы советом не заниматься не своим делом. Предположим, что админ (стрелочник) найдёт подозреваемого. И что? Владельцы бизнеса пойдут в суд, а доказательством будут слова админа? Засмеют в суде, админ — не квалифицированный эксперт. Или по понятиям, завести подозреваемого в лес и попросить раскаяться? Тогда админ становится соучастником преступления.

А если админ нашёл не того человека? Предположим, что «злоумышленник» зашел в учётную запись подозреваемого, пока тот был на обеде и быстро слил инфу? Что будет дальше — предположим, ошибка вскроется, когда подозреваемого уже вывезут в лес? Админа повезут на природу следующим?
Согласен, даже обнаружение следов ничего не доказывает. Я об этом, собственно, и написал. Ну, начальство выдало распоряжение — админу пришлось выполнять. Что оно с этим будет делать дальше, уже другое дело…
Конечно, но начальник может неправильно понять. Начальник спрашивает — кто слил инфу? Админ отвечает — с компьютера Пупкина кто-то закачивал инфу в интернет. Что слышит начальник? «Пупкин виноват, это сказал компьютер, компьютер не может ошибаться».

В таких случаях лучше сказать, что ввиду недостатков системы, сделать ничего нельзя, но вот план, чтобы такого не повторилось.
Именно. Потому следует быть крайне осторожным в формулировках.
Работаю в интернет провайдере. Пару раз довелось получать запрос от полиции (не в РФ) на предмет выдачи данных абонента, корый в период X посещал ресурс Y с IP Z.
Одно дело было достаточно серьезное, шантаж и вымогательство. Приходилось много объяснять полиции, что IP абонента никак не может напрямую связать его с преступными деянеями. Только как нить расследования, никак не больше.
Немного скепсиса от меня… Неужто полицейский сказал что-то типа «а, ну ладно» и отвалил? Разумеется, если речь не про полицейское государство, вопросы ставятся несколько иначе, но чтобы какой-то сотрудник провайдера отказал полицейскому? ДА ладно.
Так написано же, IP предоставляется как «нить расследования». Полицейский все эти увещевания просто проигнорировал, а у сотрудника провайдера совесть якобы чиста.
Нет, никто не отказывал. В законе четко прописано кто и что обязан выдавать представителям следствия и на основании каких документов. Все было предоставлено с письменным и устным пояснением, что с технической точки зрения данных не достаточно для идентификации конкретной персоны. Полиции ж тоже не выгодно хватать и тащить в суд абы кого. Я думаю, даже в РФ так.
А можно уточнить, что умеет «Magnet Encrypted Disk Detector» и не умеет «Passware Encrypted Analyzer»? Просто, достаточно часто использую именно вторую тулзу и она мне больше нравится. Она также может умеет искать шифрованные образы(Luks, TrueCrypt, VeraCrypt, BitLocker и др.)
Да почти одинаковые по возможностям. Кому что больше нравится, дело вкуса.
С LUKS и BitLocker понятно — там есть незашифрованный хэдер определенной структуры. Но в контейнерах/томах TC/VC его нет. Как это работает?
Если вы запустите этот продукт, то увидите, что делается предположение о том, что возможно это зашифровано с помощью TC, VC, etc
А если ему скормить файл с рандомным содержимым? А то может он и на белый шум это пишет.

Сколько будет стоить поднятие логирования каждого действия в сети каждого сотрудника? Это получается идея для стартапа даже

уже есть готовые решения, которые ставят на компьютеры всех пользователей специальные программы-шпоны-клиенты которые запрещают или логируют определённые действия пользователя, которые диктует сервер

Интересует практическая сторона вопроса: удалённые файлы были восстановлены с HDD или с SSD?

В русском языке есть термины "криминалистика", "криминалистическая экспертиза" — слово "форензика" (калька с некоторых других языков) употребляется только теми, кто с этими терминами не знаком. И нет, не существует нюансов смысловой разницы, потому что для несуществующего термина нет устоявшегося определения.

я не уловил, в офисе компании не установлена AD с разграничением прав пользователей и логгированием, а так же не стоит фаирволл на котором в блек-листе все что не относится к работе?
AD не было — одноранговая сеть, прокси/фаервола тоже.

Жуть какая! Всегда (последние лет 10) говорил руководству, что "восстановление последних действий никакого смысла не имеет", а если неблагонадёжный сотрудник имел злой-злой умысел и думающую голову, то тем более. В общем, если было принято решение сокращать штат, то это решение должно изначально включать риски утечки информации.

Мне кажется, такой риск существует всегда, поскольку «недовольный сотрудник» — явление, которое может быть связано не только с внезапными сокращениями. Тут нужно предпринимать меры с точки зрения информационной безопасности сильно заранее.
Несколько программ от NirSoft
eventlogsourcesview.exe
lastactivityview.exe
myeventviewer.exe
recentfilesview.exe
turnedontimesview.exe
usbdeview.exe
winlogonview.exe
По названиям понятно — показывают произошедшие события.
А так-же просмотрщики кеша популярных браузеров.
Там довольно много такого…

Вместо разношёрстных тулз можно использовать замечательный комбайн Autopsy, который не только даёт возможность всего вышеперечисленного софта, но ещё и довольно простой. По качеству рекавери где-то на уровне winhex. Одна из самых шикарных функций — timeline. Вместо анализа данных с 10 разных утилит мы получаем автоматизированную систему.

Спасибо, интересно! Надо будет изучить этот пакет.
Only those users with full accounts are able to leave comments. Log in, please.