Отправляет email-рассылки с помощью сервиса Sendsay
  Все выпуски  

RusFAQ.ru: Защита информации


Новое направление Портала RusFAQ.ru:
MosHoster.ru - Профессиональный хостинг

РАССЫЛКИ ПОРТАЛА RUSFAQ.RU

/ КОМПЬЮТЕРЫ И ПО / Защита информации / Защита информации

Выпуск № 343
от 12.12.2007, 17:05

Администратор:Калашников О.А.
В рассылке:Подписчиков: 629, Экспертов: 54
В номере:Вопросов: 1, Ответов: 5


Вопрос № 112835: Приветствую вас, коллеги! Нужна консультация по следующему щепетильному вопросу. Есть информация, что на ПК удаленного офиса присутствуют несанкционированные данные aka порнофильмы и всякого подобного рода увеселительные штуки =)) За...

Вопрос № 112.835
Приветствую вас, коллеги!
Нужна консультация по следующему щепетильному вопросу.

Есть информация, что на ПК удаленного офиса присутствуют несанкционированные данные aka порнофильмы и всякого подобного рода увеселительные штуки =))
Задача - поймать нарушителя, такскать, на месте преступления с целью применения к нему в особо извращенной форме чего-либо из того, что он в этих несанкционированных данных успел узреть.

Есть подозрения, что для сокрытия вышеуказанного нерадивым пользователем применяются программные средства, типа FolderGuard или т.п.
С подобного рода ПО дела никогда не имел, поэтому и возникли вопросы (вполне возможно, что дурацкие). На всякого рода предварительные эксперименты нет ни времени, ни желания.

Поскольку выезд на место для проверки достаточно сложен, хотелось бы не потратить время и силы впустую (под хихиканье юзера за спиной), а заручиться хоть какой-то гарантией удачи в столь благородном деле.

Отсюда вопросы:
1. Хотелось бы узнать принцип действия подобного ПО (что используется для скрытия папок/файлов, каким образом и на каком этапе загрузки ОС запускается прога/сервис и т.п.).
2. Вытекает из первого: каким образом увидеть все скрытые этим ПО ресурсы ПК? Достаточно ли убить соответствующий процесс или нужны какие-то более сложные действия?
3. Подозреваю, что в случае загрузки с независимой ОС (например, с CD WinXPE) на защищенном hdd должно отображаться всё. Так ли это, или все же есть какие-то средства скрыть инфу и в этом случае (как, например, стандартное шифрование Windows)?

Буду очень признателен за любую инфу. Пордон за много букв...
Отправлен: 07.12.2007, 16:40
Вопрос задал: ORW*Barmaley (статус: 9-ый класс)
Всего ответов: 5
Мини-форум вопроса >>> (сообщений: 3)

Отвечает: Dan Ger
Здравствуйте, ORW*Barmaley!
Ну для начала думаю стоит определится с разрешёными в удалённом офисе штучками... И если этими штучками будет пакет офис, 1С и ещё какие ни будь программы. (то соответственно всё остально запрещённый контент)То в полне можно попробовать загрузится в безопасном режиме(F8 перед згрузкой ОС). И если есть подозрения на фильмы, игры и пр. то думаю будет целосообразно поискать с дополнительными параметрами по размеру... по дате последних изменений... а дальше действовать исходя из результатов поиска... Ведь даже если использовались скрытые шифрованые диски, то шифрофайлы всё равно будут обнаружены(по дате изменений), а фильмаки по размеру например. Можно по расширению поискать...(хотя его могли сменить). Так же седует посмотреть какие процессы запущены на машине, думаю если там запущен даже тот же FolderGuard то это уже наталкивает на определённые мысли... да собствено и сам софт для скрытия данных(по любоу относится к запрещённым штучкам... во первых: прятать на рабочих компах ни чего не нужно, во вторых натащенное туда ПО скорее всего является пиратскими копиями... ) так что если очень захочетя взгреть сотрудников то вы это сможете сделать без проблем. В конце концов просто найдя FolderGuard , или PGP какойнить, можно посто попросить объяснить зачем установлены и исползуются программы для скрытия данных...
А насчёт принципов действия то может быть что угодно взависимости от софта, напримр можно просто скрыть, сменить каталоги, расширения, "замуровать" в картинку(целый фильм к примеру) и прочие... или в исполняемый файл ворда внедрить какуюнить игрушку... Поэтому собственно и посоветовал искать по размеру, а всё что не вписывается в привычные рамки, анализировать уже отдельно. Надеюсь хоть чем то вам помог...
Ответ отправил: Dan Ger (статус: 2-ой класс)
Ответ отправлен: 07.12.2007, 20:22
Оценка за ответ: 3
Комментарий оценки:
С разрешенными и запрещенными "штучками" - есть конкретный корпоративный регламент. Вопрос не относится к ситуации, когда дело касается поиска по известным типам файлов и большому их размеру - конечно же это будет сделано в первую очередь. На просьбу объяснить причину установки подобного софта юзер может запросто включить дурку (тем более, если рыльце в пушку). За участие спасибо, но это не совсем то, что я бы хотел узнать.

Отвечает: Кэр Лаэда
Здравствуйте, ORW*Barmaley!
Попробую как можно доходчиво ответить на вопросы.

На сколько мне известно есть 3 принципа работы таких программ

1) это блокировка (скрытие) файлов на уровне виндовс, т.е. на уровне системных файловых структур. есть два режима со скрытием в безопасном режиме и без скрытия в безопасном режиме. такого рода программы довольно легко взламываются простой загрузкой с альтернативной ОС. (наиболее безопасный способ в плане сохранности файлов при ошибках файловой системы)
2) это блокировка с созданием виртуального диска. т.е. создается файл (виртуальный раздел) куда помещаются ваши файлы и формат этого файла зависит от самой программы, т.е. где там что знает только сама программа, и показывает она это только в случае если введен правильный пароль, к плюсам можно отнести то что никакие загрузки под альтернативными ОС не помогут прочесть ваши файлы. минусом является то что если вы забыли пароль то уже никто вам не сможет помочь восста новить ваши файлы.
3) изменение структуры файловой системы.
таких программ в наше время очень мало осталось, хотя раньше их было намного больше. это обусловлено принципом работы, и возможными последствиями от работы этой программы.
принцип работы как вы поняли что вносятся изменения в системные таблицы файловой системы из за чего ОС просто не видит этих файлов, в то же время программа благодаря своему алгоритму прекрасно их видит и читает.
в случае различных сбоев файловой системы ваши файлы могут быть безвозвратно потеряны.
По поводу вашего второго вопроса то лучше всего (если вы действительно админ) поставить на компьютер какой нибудь кейлоггер и узнать пароль на программу.

Чтобы более точно помочь вам нужно узнать конкретно какой программой пользуется пользователь.
---------
Я знаю что ничего не знаю, но я знаю больше, чем тот кто думает что знает все
Ответ отправил: Кэр Лаэда (статус: Практикант)
Ответ отправлен: 07.12.2007, 20:39
Оценка за ответ: 5
Комментарий оценки:
Спасибо за подробный и познавательный ответ. Постараюсь добыть что-нибудь более конкретное.

Отвечает: Shapoklak
Здравствуйте, ORW*Barmaley!
"Есть информация, что не чай он там пьет" (С) Стругацкие
Мне не приходилось сталкиваться с такой проблемой (т.к. мои пользователи до такого еще не доросли - прятать что-то, максимум картинку какую в дальнюю папочку засунут). Но я, пожалуй, отвечу, думаю, меня дополнят или поправят более опытные администраторы.
С CD WinXPE (и др. типа WinAdminPak) должны быть видны все скрытые разными способами папки. Это можно проверить без выезда в удаленный офис, на своем компьютере.
Radmin их тоже видит удаленно (но как пустые). Можно, конечно, смотреть периодически на экран пользователя через Radmin, но он может его отключить (судя потому, что пользователь там у вас программы сам ставит, прав у него выше крыши), а на худой конец просто шнур сетевой вынет, и Вы его не увидите.
Есть вот одна милая программка, называется StatWin/ На 30 дней дают, наверное, хватит, чтоб отследит ь все, что Вам нужно, а если она понравится Вам, так, может, организация рискнет и приобрести. Недорого. Отечественный софт. Про ограничения возможностей триальной версии ничего не написано, может, их и нет.
Ну очень много чего умеет. Там три разновидности программы с разным набором возможностей.

Дополнение. Насчет удаления.
На том компьютере, в его диспетчере задач Вы процессов этих программ скорее всего не увидите, но сторонние просмотровщики процессов (например, Process Explorer )видят все. Так можно узнать, какое приложение их запускает, и деинсталлировать таковое, например, в безопасном режиме.

Ну а на будущее - ограничивайте пользователей в правах-то. Иначе они Вас под такой монастырь подведут - с прокуратурой расхлебываться будете, а не с тремя иксами...

Ответ отправила: Shapoklak (статус: Академик)
Россия, Орск
Организация: школа
Адрес: www.school56orsk.narod.ru
WWW: компьютерные фирмы г. Орска
ICQ: 101137510
----
Ответ отправлен: 07.12.2007, 20:43
Оценка за ответ: 4
Комментарий оценки:
Насчет уровня пользователей - в целом согласен, но всегда найдется какой-нибудь "advanced user", доставляющий проблемы этой самой "продвинутостью". По существу: RAdmin, WinXPE - это всё понятно. Если бы всё было так просто... Удаленно стандартными средствами Windows (\\\\PC\\$) и Radmin-ом ничего криминального не замечено. Права локального админа своего ПК имеют единицы юзеров и по очень весомым причинам. ProcessExploler знаю и пользуюсь уже давно. Насчет StatWin спасибо - поглядим.

Отвечает: Spok
Здравствуйте, ORW*Barmaley!
Во-первых, хочу обратить Ваше внимание, что в качестве примера вы привели весьма примитивные программы - FolderGuard, HideFolders и т.п.
1) Принцип действия просто так не объяснить, смысл - "подправляются" все вызовы почти всех WinAPI (и ниже)-функций - так, чтобы то, что указано, было скрыто. В зависимости от версии программы... либо прикладноый уровень (подревнее), либо сервис. FolderGuard полугодовой давности, например, стартовал как прикладное приложение, но с системными привелегиями. Самое главное, знайте: эти программы устроены очень просто. КОРОЧЕ, см. п.2.
2) Да, достаточно. То, что увидит и может уничтожить этот процесс: ProcessExplorer. ЕСЛИ программа не увидит (фу, какая глупость, такого быть не может... (если может - прогоните перед ProcessExplorer систему через AVZ), запустите её из безопасного режима - тогда точно ничего не скроется. Соответственно, найти потом не проблема: Alt+F7 + TotalCommaner или FAR + поуменее запрос (a la *.vob,*.avi,...).
3) Да, это так.
Альтернативный случай: использование криптографических программ вроде TrueCrypt, BestCrypt, StrongDisk и т.п., бесплатных и не очень... - они хранят зашифрованные данные (и подключаюися как диски) либо в файлах (просто ищите файлы немерянного объёма - контейнер-то должен вместить в себя всё + файловую систему + ... минимум, контейнер на несколько десятков мегабайт больше файлов, лежащих в нём), либо в неиспользуемых в ОС разделах, что легко заметить и так - Панель упрвления --> Администрировние --> Управление компьютером --> Управление дисками.
В случае криптоконтейнеров, конечно, улики будут только косвенными...
Ответ отправил: Spok (статус: Студент)
Ответ отправлен: 07.12.2007, 20:57
Оценка за ответ: 4
Комментарий оценки:
Насчет примитива - уж простите, ибо сам никогда с этим дела не имел, только слышал. Про AVZ почитаю.

Отвечает: Janpit
Здравствуйте, ORW*Barmaley!
В дополнение ко всему вышесказанному, на мой взгляд, существенно "расширю" область Вашего поиска.
Обращу Ваше внимание на, казалось-бы, безобидные и вполне "законопослушные" программы, широко применяемые в практике. Ни для кого не секрет, что запрещенную к обороту взрывчатку легко изготовить из компонентов, которые легко приобрести практически в нескольких обычных магазинах. Так и в сфере программного обеспечения. Остановлюсь лишь на некоторых способах скрытия информации, т.к. часть из них легко интерпретировать к запрещенным правилами портала.
Acronis True Image 11 (за 10 - не ручаюсь, т.к. не работал) - нужная и полезная вещь. Но:
-создает зону безопасности, недоступную для других программ. Архив паролируется, а при соответствующей длине и сложности пароля подбор его не имеет смысла (факториал числа). При просьбе открыть его можно "включить "неумного" ". При удалении - улик нет.
-Режим mount image (подключение архива диском) допускает два режима: 1- с разрешением записи 2-без таковой. Т.о. - подключил и работай. Отключил - записи остались. Опять-же под паролем. Перезагрузил - диска нет.
-Позволяет включить виртуальную ОС. Отработал и после перезагрузки - ОС в предыдущем состоянии (а можно и принять изменения).
Практически недоказуемый вариант. Даже с использованием кейлоггера со стороны администрации (Юридически лог - текстовый файл, создается за N минут и этим все сказано, а прямых улик нет). А вот за использование кейлоггера без предупреждения (да письменного) грамотный юзер может большой скандал, вплоть до суда поднять, да еще и выиграть (типа - вторжение в личную жизнь). Преценденты были уже и известны (во всяком случае - у нас).

Super Utilities - пара десятков действительно полезных утилит, включая чистку реестра, antispyware, uninstaller, super shredder, чистка диска и пр. Но есть в нем и "Скрытие папок". И, что важно - ни эти папки, ни файлы в них не найдешь ни в реестре, ни на диске, и никаким поиском. "Шаром покати". Командами, по типу cd *** - аналогично. Антивирус - тоже. Проверено. В безопасном режиме - тоже.
Но: видны из-под другой ОС.
Так что не нужно искать супершпионские программы, а лучше присмотреться к реально стоящим.
---------
Умный - это тот, кто много знает. Мудрый - это тот, кто понимает то, что он знает.
Ответ отправил: Janpit (статус: Практикант)
Ответ отправлен: 08.12.2007, 00:39
Оценка за ответ: 5
Комментарий оценки:
Спасибо. Интересная и полезная информация.


Отправить вопрос экспертам этой рассылки

Приложение (если необходимо):

* Код программы, выдержки из закона и т.п. дополнение к вопросу.
Эта информация будет отображена в аналогичном окне как есть.

Обратите внимание!
Вопрос будет отправлен всем экспертам данной рассылки!

Для того, чтобы отправить вопрос выбранным экспертам этой рассылки или
экспертам другой рассылки портала RusFAQ.ru, зайдите непосредственно на RusFAQ.ru.


Форма НЕ работает в почтовых программах The BAT! и MS Outlook (кроме версии 2003+)!
Чтобы отправить вопрос, откройте это письмо в браузере или зайдите на сайт RusFAQ.ru.


© 2001-2007, Портал RusFAQ.ru, Россия, Москва.
Авторское право: ООО "Мастер-Эксперт Про"
Техподдержка портала, тел.: +7 (926) 535-23-31
Хостинг: "Московский хостер"
Поддержка: "Московский дизайнер"
Авторские права | Реклама на портале
Версия системы: 4.65 от 04.12.2007
Яндекс Rambler's Top100
RusFAQ.ru | MosHoster.ru | MosDesigner.ru | RusIRC.ru
Kalashnikoff.ru | RadioLeader.ru | RusFUCK.ru

В избранное