E' possibile capire se un file è stato copiato?
Skywalker Senior
In un dominio Microsoft (server SBS2003 e client XP Pro) � possibile capire
se sono stati copiati dei files dalle share di rete su, per dire, una
chiavetta USB collegata ad uno dei client?
--
Skywalker Senior
http://www.christianbisti.net
http://www.flickr.com/photos/skywalkersenior/
TNT
<skywalkerUNDERSCOREsen...@yahooTOGLIMI.it> wrote:
> Salve a tutti
>
> se sono stati copiati dei files dalle share di rete su, per dire, una
> chiavetta USB collegata ad uno dei client?
No.
Skywalker Senior
"TNT" <gftw...@sneakemail.com> ha scritto nel messaggio
news:6f0050e9-cf69-45f5...@t11g2000vbc.googlegroups.com...
On May 19, 6:39 am, "Skywalker Senior"
<skywalkerUNDERSCOREsen...@yahooTOGLIMI.it> wrote:
> Salve a tutti
>
>> se sono stati copiati dei files dalle share di rete su, per dire, una
>> chiavetta USB collegata ad uno dei client?
>No.
E il RIS di Parma come ha fatto con il PC di Alberto Stasi per il caso di
Garlasco? :-)
roberto
-cut-
> E il RIS di Parma come ha fatto con il PC di Alberto Stasi per il caso di
> Garlasco? :-)
Perchᅵ tu sai che il ris ha appurato che Stasi ha copiato file da una
share di rete su una chiavetta?
--
|Save our planet!
Ciao |Save wildlife!
roberto |For your E-MAIL use ONLY recycled Bytes !!
|roberto poggi rpo...@softhome.net
TNT
> Skywalker Senior ha scritto:
> -cut-
>
> > E il RIS di Parma come ha fatto con il PC di Alberto Stasi per il caso di
> > Garlasco? :-)
>
> share di rete su una chiavetta?
Ma io dico, come si puo' anche lontanamente
pensare che Windows tenga il log di tutti i
trasferimenti di file?
TNT
> > Perchè tu sai che il ris ha appurato che Stasi ha copiato file da una
> > share di rete su una chiavetta?
>
> Ma io dico, come si puo' anche lontanamente
> pensare che Windows tenga il log di tutti i
> trasferimenti di file?
Anzi, per essere precisi, di tutte le volte che un
file e' stato aperto in lettura... bah...
Leonardo Serni
wrote:
>On May 20, 10:48�am, TNT <gftw3c...@sneakemail.com> wrote:
>> > Perch� tu sai che il ris ha appurato che Stasi ha copiato file da una
>> > share di rete su una chiavetta?
>> Ma io dico, come si puo' anche lontanamente
>> pensare che Windows tenga il log di tutti i
>> trasferimenti di file?
>Anzi, per essere precisi, di tutte le volte che un
>file e' stato aperto in lettura... bah...
Ci sono software cosi'.
In a pinch, c'e' un papero in giro su Snort & HoneyTokening.
Leonardo
--
Linten addie toorin addie,
Linten addie toorin ee,
Linten lowrin lowrin lowrin,
The barnyards of Delgaty
Infinity
it.comp.sicurezza.windows,
Leonardo Serni (<cna815hrnmb7hagu5...@4ax.com>) ha scritto:
>>Anzi, per essere precisi, di tutte le volte che un
>>file e' stato aperto in lettura... bah...
>
>Ci sono software cosi'.
Si, ma ci vorrebbe un HD da 24Tb al giorno solo per memorizzare i log. ;-)
TNT
>
> Ci sono software cosi'.
>
> In a pinch, c'e' un papero in giro su Snort & HoneyTokening.
Si' ma devi averli configurati a priori per loggare tutte questi
accessi ai file... ovvio che ci sono software che lo fanno,
(e generano log enormi appunto)... Ma non e' quello che lui
chiedeva, se non ho capito male... lui chiedeva se e' possibile
capire se e' stato copiato un file da un'installazione normale
in una rete Microsoft, il che e' semplicemente fuori da ogni
logica visto quanti accessi in lettura ai file avvengono
normalmente...
Leonardo Serni
Ma no, si parla di aperture; con una progettazione un po' vispa del
database ogni entry sono 18 byte (6 byte se si fa amm�do).
Un'altra idea potrebbe essere installare un software adatto.
http://www.samba.org/samba/docs/man/manpages-3/vfs_full_audit.8.html
Infinity
it.comp.sicurezza.windows,
Leonardo Serni (<2r1915djcb6o9qo02...@4ax.com>) ha scritto:
>Ma no, si parla di aperture; con una progettazione un po' vispa del
>database ogni entry sono 18 byte (6 byte se si fa amm�do).
Anche la semplice LETTURA di un file ne comporta l'apertura.
Hai presente quanti file apre Windows, solo per funzionare?
Se lanci un applicazione (da Word a PhotoShop) il numero cresce
rapidamente. Non parliamo, poi, dei semplici browser web, che leggono e
scrivono migliaia e migliaia di files temporanei nella cache, e che
finirebbero loggati.
Se memorizzi il file con il suo percorso completo, oltre a data ed ora di
accesso, ci vuole ben altro che 18 byte per ogni file. ;-)
Se invece memorizzi solo l'entry nella tabella dei files, ci si puo' anche
stare, ma stiamo comunque parlando di migliaia di files, eh. :-)
Ciao! :-)
--
-----
| NFINITY is so far as you want to see.
-----
Codice-Wii: 0474-9673-2703-9448
Se vuoi rispondermi in E-Mail, combatti la politica. ;-)
Leonardo Serni
<infin...@politica.libero.it> wrote:
>>Ma no, si parla di aperture; con una progettazione un po' vispa del
>>database ogni entry sono 18 byte (6 byte se si fa amm�do).
>Anche la semplice LETTURA di un file ne comporta l'apertura.
>Hai presente quanti file apre Windows, solo per funzionare?
Da una share rete, non molti :-)
(La domanda originaria era "� possibile capire se sono stati copiati dei
files dalle share di rete...").
Comunque, quanti file apre Windows: il mio, adesso, ne sta aprendo (piu'
o meno) cinquantamila l'ora, per la maggior parte aperture _ripetute_ di
file .EXE o .INI. Su rete, finora, circa dodici l'ora.
Leonardo che l'efficienza e' un'altra cosa
Skywalker Senior
"roberto" <rpoggi...@softhome.net.invalid> ha scritto nel messaggio
news:adbde6-...@poggirpc.icrsprint.it...
> Skywalker Senior ha scritto:
> -cut-
>
>> E il RIS di Parma come ha fatto con il PC di Alberto Stasi per il caso di
>> Garlasco? :-)
>
> share di rete su una chiavetta?
>
Ovviamente no, la mia era una piccola provocazione.
Ho un cliente che � in causa con un ex-dipendente. Gli avevamo detto che non
non eravamo in grado. Dice che porter� il pc da uno che gli ha detto che
"forse" pu� capire se sono stati copiati dei files. Io resto scettico, ma
nel frattempo la cosa mi incuriosisce...
Leonardo Serni
<skywalkerUND...@yahooTOGLIMI.it> wrote:
>non eravamo in grado. Dice che porter� il pc da uno che gli ha detto che
>"forse" pu� capire se sono stati copiati dei files. Io resto scettico, ma
>nel frattempo la cosa mi incuriosisce...
Beh, alcuni programmi mettono la Most Recently Used directory (e/o file)
nel registro, e poi ci sono i Documenti Recenti.
Chiaro, non funzionera' mai con uno scafato oltre il 2%, pero' costui ha
detto "forse"...
Leonardo
TNT
> On Thu, 21 May 2009 09:13:33 GMT, Infinity
>
> >>Ma no, si parla di aperture; con una progettazione un po' vispa del
> >Anche la semplice LETTURA di un file ne comporta l'apertura.
> >Hai presente quanti file apre Windows, solo per funzionare?
>
> Da una share rete, non molti :-)
>
> files dalle share di rete...")
Ok, si' ma il punto e' che non e' possibile, perche' Windows
giustamente non logga tutti gli accessi in lettura ai file, di share
o meno, altrimenti si creerebbero dei log semplicemente ridicoli
per dimensioni e completamente inutili per il 99,95% degli utenti.
Windows non apre certo molti file dalle share di rete "per funzionare"
ma non sono rari i casi in cui vengono aperti migliaia e migliaia di
file dalle share di rete; immagina se Windows tenesse il log di tutti
'ste aperture in lettura. Inoltre, se vogliamo proprio essere pignoli,
sarebbe il server su cui risiede il disco in share che dovrebbe tenere
i log di "chi ha aperto cosa e quando" altrimenti i client possono
bellamente cancellarsi i log da soli e buonanotte...
Leonardo Serni
wrote:
>Ok, si' ma il punto e' che non e' possibile, perche' Windows
>giustamente non logga tutti gli accessi in lettura ai file, di share
>o meno, altrimenti si creerebbero dei log semplicemente ridicoli
>per dimensioni e completamente inutili per il 99,95% degli utenti.
>Windows non apre certo molti file dalle share di rete "per funzionare"
>ma non sono rari i casi in cui vengono aperti migliaia e migliaia di
>file dalle share di rete; immagina se Windows tenesse il log di tutti
>'ste aperture in lettura. Inoltre, se vogliamo proprio essere pignoli,
>sarebbe il server su cui risiede il disco in share che dovrebbe tenere
>i log di "chi ha aperto cosa e quando" altrimenti i client possono
>bellamente cancellarsi i log da soli e buonanotte...
Tutto vero. Appunto suggerivo l'uso di Samba. Comunque ci sono anche dei
software che loggano client side, ovviamente senza dirtelo.
Quanto al loggare, garantisco che e' possibile perche' ho provato a fare
un po' di lavoro con Filemon aperto a loggare OPENS e FAILURES. Non noto
neanche rallentamenti enormi, ed il log e' dell'ordine dei dieci mega l'
ora (80 mega al giorno, non compressi). E parlo di log dettagliato senza
nessun tentativo di fare le cose efficienti (tipo memorizzare filename e
handle separatamente).
XP SP3, portatile Pentium M dual core 1.8 GHz.
Leonardo
TNT
> Tutto vero. Appunto suggerivo l'uso di Samba. Comunque ci sono anche dei
> software che loggano client side, ovviamente senza dirtelo.
>
> Quanto al loggare, garantisco che e' possibile perche' ho provato a fare
> un po' di lavoro con Filemon aperto a loggare OPENS e FAILURES. Non noto
> neanche rallentamenti enormi, ed il log e' dell'ordine dei dieci mega l'
> ora (80 mega al giorno, non compressi). E parlo di log dettagliato senza
> nessun tentativo di fare le cose efficienti (tipo memorizzare filename e
> handle separatamente).
Quando dicevo "non e' possibile" appunto non parlavo di
infattibilita' "a priori", ma "a posteriori", nel senso che se
non sai gia' da prima che vuoi monitorare l'accesso in
lettura a determinati file su share di rete allora ormai il
file puo' essere gia' stato copiato da chiunque e non lo
verrai mai a sapere con certezza (ci sono solo metodi
come il controllo di MRU e file recenti sui client che non
garantiscono assolutamente nulla)
Leonardo Serni
wrote:
>Quando dicevo "non e' possibile" appunto non parlavo di
>infattibilita' "a priori", ma "a posteriori"
Ahh OK, adesso mi e' chiaro. Si', a posteriori uno e' vittima (salvo
colpi di fortuna, e di tonnaggine del "ladro").
Infinity
it.comp.sicurezza.windows,
Leonardo Serni (<c3ba15l1ic4kan2eu...@4ax.com>) ha scritto:
>Da una share rete, non molti :-)
>
>(La domanda originaria era "� possibile capire se sono stati copiati dei
>files dalle share di rete...").
Hummmm... Si, e' vero! Avevo perso il "filo". :-p
Skywalker Senior
"Leonardo Serni" <ser...@tin.it> ha scritto nel messaggio
news:rcna15tkcttq3aedq...@4ax.com...
> On Thu, 21 May 2009 12:19:09 GMT, "Skywalker Senior"
> <skywalkerUND...@yahooTOGLIMI.it> wrote:
>
>>non eravamo in grado. Dice che porter� il pc da uno che gli ha detto che
>>"forse" pu� capire se sono stati copiati dei files. Io resto scettico, ma
>>nel frattempo la cosa mi incuriosisce...
>
> Beh, alcuni programmi mettono la Most Recently Used directory (e/o file)
> nel registro, e poi ci sono i Documenti Recenti.
>
> Chiaro, non funzionera' mai con uno scafato oltre il 2%, pero' costui ha
> detto "forse"...
>
Ai documenti recenti avevo gi� dato un'occhiata e proprio da tale ricerca
risulta che sia stata inserita una chiavetta USB (era presente il link) un
giorno e nell'ora in qui il dipendente in questione era solo in ufficio. Il
sospetto che abbia copiato dei files esiste, ma non pu� essere supportato da
prove (la chiavetta poteva essere stata inserita per vedere dei suoi files
personali).
Per quanto riguarda le MRU, non saprei cosa cercare. Ho provato adesso nel
registro del mio sistema e la cosa pi� vicina alle mie esigenze � la chiave
OpensaveMRU che si trova in
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32.
Qui trovo, suddivisi per estensioni, la lista di files aperti di recente
(ma, non essendoci date, non so a quando risale l'apertura)... il bello �
che non sono contemplate le estensioni XLS e DOC! Mah!
Comunque mi sarebbe poco utile, sia perch� indica i file aperti (e non solo
copiati) sia perch� non riporta la data dell'operazione.
--
Skywalker Senior
nebbia
beh, tempo fa installai un software m$ che avrebbe dovuto analizzare il boot
e *ottimizzare* l'avvio. Mi stavo annoiando e (errore grave) mi sono fidato
della descrizione sul sito m$ senza controllare in rete le
controindicazioni.
disco C: riempito dal log di sta ciofeca dopo 4 giorni (il log era oltre 65
Gb se ricordo bene)
ah, ovviamente la ciofeca NON si disinstallava, ovvero diceva di essersi
disinstallata ma restava attiva e ricominciava a loggare l'impossibile.
L'unico sistema per eliminare il log e' stato: avviare da un cd live linux,
creare una dir con il nome del file di log.
Pero' a loggare era efficente, ora credo non ci riesca piu' per
incompatibilita' con ext3.
--
nebbia
--
nebbia
matrixbyte
Li si � trattato di computer forensics ed � possibile controllare pressoch�
tutto, ma con un modus operandi non "on the fly".
Nel caso specifico poi..... stendiamo un velo pietoso. Mai visto un lavoro
eseguito peggio di quello.
"Skywalker Senior" <skywalkerUND...@yahooTOGLIMI.it> ha scritto
nel messaggio news:gTuRl.5329$1s6...@twister2.libero.it...
> __________ Information from ESET NOD32 Antivirus, version of virus
> signature database 4318 (20090808) __________
>
> The message was checked by ESET NOD32 Antivirus.
>
> http://www.eset.com
>
>
>
__________ Information from ESET NOD32 Antivirus, version of virus signature database 4318 (20090808) __________
The message was checked by ESET NOD32 Antivirus.