Czy istnieje aplikacja lub metoda rejestrowania transferów danych?

9

Mój przyjaciel poprosił mnie o kilka plików, które pozwoliłem mu pobrać z mojego systemu. Nie widziałem, żeby to robił. Potem miałem wątpliwości: jakie dodatkowe pliki lub dane wziął z mojego systemu?

Myślałem, że jest tu jakakolwiek aplikacja lub metoda, która pokazuje, jakie dane są kopiowane na które USB (jeśli nazwa jest dostępna, to pokazuje nazwę lub inny identyfikator urządzenia) i jakie dane są kopiowane na maszynę Ubuntu . To trochę jak historia danych USB i danych systemowych. Myślę, że ta funkcja istniejeKDE

Będzie to naprawdę przydatne na wiele sposobów. Zapewnia narzędzie do monitorowania w czasie rzeczywistym i monitorowania aktywności urządzeń pamięci masowej USB na dowolnym komputerze.

software-recommendation usb security twister_void
źródło
Sprawdź inotify. Jest to interfejs API, a nie program, z którego można korzystać po wyjęciu z pudełka. ibm.com/developerworks/linux/library/l-ubuntu-inotify/… Może to pomóc w lepszym wyszukiwaniu narzędzi w wyszukiwarkach.
jippie
jakie dane są kopiowane na które USB - myślę, że chodziło o dane jako dowolny plik we wszystkich zamontowanych partycjach. Ale kopiowanie plików systemowych, które można czytać jako użytkownik, nie jest niebezpieczne, ponieważ wrażliwe pliki systemowe należą do użytkownika root. Twój znajomy nie mógł ich odczytać bez hasła sudo. Dobrze? Ten powód dotyczy zapisu z USB do plików systemowych. Nie można do nich pisać bez znajomości hasła sudo. Zatem dane oznaczają treść $ HOME . Czy to jest poprawne?
zuba
Również jakich danych w $ HOME chcesz oglądać? ~ / Documents ?, ~ / .cofig ?, ~ / .anything_else?
zuba

Odpowiedzi:

4

Możesz to zrobić:

1) Sprawdź pliki: /var/log/kern.logi /var/log/kern.log.1wyszukaj godzinę i datę, kiedy twój przyjaciel podłączył pamięć masową USB. Na przykład mój mówi: 

9 kwietnia 13:41:37 jądro desguai7: [16788.372616] Zarejestrowano obsługę pamięci masowej USB.
9 kwietnia 13:41:38 jądro desguai7: [16789.370861] scsi 6: 0: 0: 0: Bezpośredni dostęp do SanDisk Cruzer Blade 1.20 PQ: 0 ANSI: 5
9 kwietnia 13:41:38 jądro desguai7: [16789.386614] sd 6: 0: 0: 0: Dołączono ogólny scsi typ sg2 0
9 kwietnia 13:41:38 jądro desguai7: [16789.390966] sd 6: 0: 0: 0: [sdb] 15633408 512-bajtowe bloki logiczne: (8,00 GB / 7,45 GiB)
9 kwietnia 13:41:38 jądro desguai7: [16789.392246] sd 6: 0: 0: 0: [sdb] Ochrona przed zapisem jest wyłączona
9 kwietnia 13:41:38 jądro desguai7: [16789.392258] sd 6: 0: 0: 0: [sdb] Mode Sense: 43 00 00 00
9 kwietnia 13:41:38 jądro desguai7: [16789.392980] sd 6: 0: 0: 0: [sdb] Zapis pamięci podręcznej: wyłączony, odczyt pamięci podręcznej: włączony, nie obsługuje DPO ani FUA
9 kwietnia 13:41:38 jądro desguai7: [16789.401326] sdb: sdb1
9 kwietnia 13:41:38 jądro desguai7: [16789.404486] sd 6: 0: 0: 0: [sdb] Podłączony dysk wymienny SCSI

9 kwietnia o 13:41 (13:41) na moim komputerze została zarejestrowana (podłączona) pamięć masowa USB.

2) Teraz pozwala zobaczyć ostatni dostęp do niektórych plików i wyszukać pasujące daty. Otwórz terminal i wklej to: 

find ~/the/folder/noone/should/have/looked/ -exec stat -c %n%x "{}" \; | grep "2012-04-09 13:41"

Zostaną wyświetlone nazwy plików, które były dostępne w momencie podłączenia pamięci masowej USB.

Mała sztuczka:

Możesz używać symboli wieloznacznych z grep, takich jak zmiana grep "2012-04-09 13:41"na, grep "2012-04-09 13:4[1234]"aby uzyskać dostęp do wszystkich plików od 13:41 do 13:44.

ps .: To nie zadziała, jeśli uzyskałeś dostęp do pliku po swoim znajomym.

desgua
źródło
Prawdopodobnie będziesz musiał odtąd sprawdzać każdą chwilę, aż będziesz pewien, że skończył kopiować (kiedy kern.log pokazuje usunięcie USB?) Co będzie dużo instrukcji find / grep, jeśli będzie tam nawet 5 minut. Nie jest to niemożliwe, ale potrzebujesz skryptu.
Huckle,
1
Byłby prosta zmiana część (...) grep "2012-04-09 13:41"dla grep "2012-04-09 13:4"aby wszystkie pliki dostępne od 13:40 do 13:49.
desgua
1
Lub mógł zmienić grep "2012-04-09 13:41"na grep "2012-04-09 13:4[1234]", aby uzyskać wszystkie pliki dostępne od 13:41 do 13:44.
desgua
@To może być gorączkowa praca, czy jest jakaś prosta metoda.
twister_void
wklej gedit /var/log/kern.logna terminalu, Ctrl + F, aby znaleźć „masę usb”, sprawdź dzień i godzinę, kiedy twój przyjaciel podłączył USB i prawie gotowe. Na koniec otwórz terminal i wklej polecenie zmieniając datę i godzinę. Przetestuj ;-)
desgua
3

Uwierz mi synu, jeden dobry nawyk warty jest mnóstwa oprogramowania (i rzeczywiście o wiele bardziej niezawodny). NIE pożyczaj swojej sesji nikomu. Po prostu skopiuj pliki, o które prosiłeś o SIEBIE i poczuj się dobrze.

ps Nie ma wystarczająco dobrego oprogramowania zabezpieczającego dla niepewnych ludzi.

Zuba
źródło
Tak też myślałam o tym podczas jazdy rano do pracy. Z tego właśnie powodu istnieją konta użytkowników, prawa własności i uprawnienia do plików (+1). Wymienione tutaj rozwiązania są raczej odpowiedzią na pytanie dotyczące odpowiedzialności.
jippie
2

Po pół godzinie szukania w Internecie rozwiązania (które też chciałbym znaleźć) nie znalazłem oprogramowania do tego, ale może to być alternatywa: https://launchpad.net/ubuntu/lucid / amd64 / loggedfs

Monitoruje operacje wejścia / wyjścia systemu plików. Przy pomocy „grep” możesz pokazać dane, których szukasz?

Bahaïka
źródło
Ufasz swoim plikom w celu bezpiecznego przechowywania w systemie plików. Bądź absolutnie pewien, że chcesz zacząć korzystać z systemu plików, który nie ma żadnych aktualizacji od 2008-09-03 ( sourceforge.net/projects/loggedfs/files/loggedfs ). Nie ufałbym moim plikom bez regularnych kopii zapasowych.
jippie
0

wiresharkjest w stanie monitorować wszystkie dane przesyłane przez USB. Chociaż ta aplikacja służy głównie do monitorowania transferu sieciowego, umożliwia również przechwytywanie pakietów USB. Zauważ, że w ten sposób otrzymasz nie tylko listę plików, ale bajt po bajcie reprezentację pełnej konwersacji między komputerem a dyskiem. Jednak w ten sposób możesz być całkowicie pewien, że nic się przed tobą nie ukryje!

Rafał Cieślak
źródło