banner

[Rule] Rules  [Home] Main Forum  [Portal] Portal  
[Members] Member Listing  [Statistics] Statistics  [Search] Search  [Reading Room] Reading Room 
[Register] Register  
[Login] Loginhttp  | https  ]
 
Forum Index Thảo luận bảo mật Hỏi đáp Về tìm máy tính leak dữ liệu  XML
  [Question]   Hỏi đáp Về tìm máy tính leak dữ liệu 02/05/2013 10:05:48 (+0700) | #1 | 275370
manh.kqha
Member

[Minus]    0    [Plus]
Joined: 23/04/2013 03:14:15
Messages: 9
Offline
[Profile] [PM]
Mình đang làm trong một cơ quan nhà nước, hiện nay công việc của mình gặp một trở ngại mà mình mong Diễn đàn giúp.
Trong cơ quan có một máy tính bị nghi là có truy cập internet để lọt tài liệu quan trọng trên mạng. Khi mình được cử đi kiểm tra, mình kiểm tra trong cookies của máy này thấy trống không.
Minh nghĩ có thể họ đã xoá lược sử truy cập internet hoặc cài lại hệ thống hoặc ghost lại hệ thống.
Minh đang không biết làm sao, mong Diễn đàn giúp đỡ phưong pháp.
Nếu xoá lược sử thì khôi phục lại thế nào?
nếu đã cài lại hệ thống hoặc ghost lại hệ thống thì có cách nào truy được không?
Mong HVA giúp đỡ. Xin cảm ơn diễn đàn.
[Up] [Print Copy]
  [Question]   Hỏi đáp 02/05/2013 12:43:18 (+0700) | #2 | 275373
[Avatar]
Ky0
Moderator

Joined: 16/08/2009 23:09:08
Messages: 532
Offline
[Profile] [PM]

manh.kqha wrote:
Mình đang làm trong một cơ quan nhà nước, hiện nay công việc của mình gặp một trở ngại mà mình mong Diễn đàn giúp.
Trong cơ quan có một máy tính bị nghi là có truy cập internet để lọt tài liệu quan trọng trên mạng. Khi mình được cử đi kiểm tra, mình kiểm tra trong cookies của máy này thấy trống không.
Minh nghĩ có thể họ đã xoá lược sử truy cập internet hoặc cài lại hệ thống hoặc ghost lại hệ thống.
Minh đang không biết làm sao, mong Diễn đàn giúp đỡ phưong pháp.
Nếu xoá lược sử thì khôi phục lại thế nào?
nếu đã cài lại hệ thống hoặc ghost lại hệ thống thì có cách nào truy được không?
Mong HVA giúp đỡ. Xin cảm ơn diễn đàn. 

Trong quá trình điều tra bước cuối cùng mới là lấy chứng tại máy tính nghi ngờ!
Bạn vui lòng cho biết các thông tin sau:
- Tài liệu bị leak ra internet cụ thể là như thế nào? (Yahoo, gmail, mediafire, diễn đàn khác, hay một cá nhân ....)
- Cơ quan của bạn có log lại các thông tin ai (IP), truy cập vào website nào (kết nối với IP nào), vào thời gian nào hay không?.
- Hệ thống của bạn có buộc nhân viên phải sử dụng proxy khi đi ra internet không?
- Log của các router, Switch có xác định được địa chỉ MAC từ IP trong thời gian bị leak ? (Hệ thống của bạn có Server Log tập trung không)
  1. Nếu tất cả các thông tin ở trên đầy đủ thì hoàn toàn có thể khởi tố nhân viên đã leak tài liệu mà không cần đến bước kiểm tra lịch sử truy cập tại máy tính của kẻ tình nghi.
  2. Nếu các thông tin trên hoàn toàn không có hoặc quá ít thì phương án tốt nhất là gửi công văn yêu cầu công an hỗ trợ điều tra. Vì việc khôi phục lại lịch sử truy cập internet trên máy tính rất khó nếu không có kinh nghiệm khôi phục dữ liệu, chưa kể trường hợp máy tính bạn kiểm tra không phải là máy tính đã leak dữ liệu


- Ky0 -
UITNetwork.com
Let's Connect
[Up] [Print Copy]
  [Question]   Hỏi đáp 03/05/2013 09:42:02 (+0700) | #3 | 275396
manh.kqha
Member

[Minus]    0    [Plus]
Joined: 23/04/2013 03:14:15
Messages: 9
Offline
[Profile] [PM]

Ky0 wrote:

manh.kqha wrote:
Mình đang làm trong một cơ quan nhà nước, hiện nay công việc của mình gặp một trở ngại mà mình mong Diễn đàn giúp.
Trong cơ quan có một máy tính bị nghi là có truy cập internet để lọt tài liệu quan trọng trên mạng. Khi mình được cử đi kiểm tra, mình kiểm tra trong cookies của máy này thấy trống không.
Minh nghĩ có thể họ đã xoá lược sử truy cập internet hoặc cài lại hệ thống hoặc ghost lại hệ thống.
Minh đang không biết làm sao, mong Diễn đàn giúp đỡ phưong pháp.
Nếu xoá lược sử thì khôi phục lại thế nào?
nếu đã cài lại hệ thống hoặc ghost lại hệ thống thì có cách nào truy được không?
Mong HVA giúp đỡ. Xin cảm ơn diễn đàn. 

Trong quá trình điều tra bước cuối cùng mới là lấy chứng tại máy tính nghi ngờ!
Bạn vui lòng cho biết các thông tin sau:
- Tài liệu bị leak ra internet cụ thể là như thế nào? (Yahoo, gmail, mediafire, diễn đàn khác, hay một cá nhân ....)
- Cơ quan của bạn có log lại các thông tin ai (IP), truy cập vào website nào (kết nối với IP nào), vào thời gian nào hay không?.
- Hệ thống của bạn có buộc nhân viên phải sử dụng proxy khi đi ra internet không?
- Log của các router, Switch có xác định được địa chỉ MAC từ IP trong thời gian bị leak ? (Hệ thống của bạn có Server Log tập trung không)
  1. Nếu tất cả các thông tin ở trên đầy đủ thì hoàn toàn có thể khởi tố nhân viên đã leak tài liệu mà không cần đến bước kiểm tra lịch sử truy cập tại máy tính của kẻ tình nghi.
  2. Nếu các thông tin trên hoàn toàn không có hoặc quá ít thì phương án tốt nhất là gửi công văn yêu cầu công an hỗ trợ điều tra. Vì việc khôi phục lại lịch sử truy cập internet trên máy tính rất khó nếu không có kinh nghiệm khôi phục dữ liệu, chưa kể trường hợp máy tính bạn kiểm tra không phải là máy tính đã leak dữ liệu


- Ky0 -
 


Ở cơ quan của em thì không được phép kết nối internet. Chỉ có một số máy được phép thì phải có quyết định của cấp trên.
Tài liệu này là do các Trợ lý bảo vệ thu thập được trên mạng, sau xác minh thấy về nội dung, form của tài liệu
trùng với tài liều của Phòng XYZ biên soạn (theo quy định là lưu hành nội bộ - MẬT).
Nên giờ bọn em mới đi kiểm tra xác minh chỗ Phòng XYZ đó.
[Up] [Print Copy]
  [Question]   Hỏi đáp 03/05/2013 09:50:40 (+0700) | #4 | 275397
manh.kqha
Member

[Minus]    0    [Plus]
Joined: 23/04/2013 03:14:15
Messages: 9
Offline
[Profile] [PM]
Về hệ thống mạng chung cho cơ quan thì ở Cơ quan em không có, nên chuyện quản lý các máy trong một hệ thống chung là không có.
Máy nào được cấp trên quyết cho sử dụng internet thì có một account với nhà mạng và 1 modem riêng chứ không có hệ thông chung.
Tài liệu bên Bảo vệ đưa cho bọn em có 2 cái. Một cái được up lên face trong một trang của Đơn vị tác chiến điện tử. Một cái lấy được trong một hộp thư điện tử Gmail.
Bọn em nghĩ, nếu ai đó trong phòng XYZ kia kết nối internet (nếu có) qua USB 3G.
[Up] [Print Copy]
  [Question]   Hỏi đáp 03/05/2013 09:55:34 (+0700) | #5 | 275398
manh.kqha
Member

[Minus]    0    [Plus]
Joined: 23/04/2013 03:14:15
Messages: 9
Offline
[Profile] [PM]
Nếu có thể nhờ bên Bộ Công an dễ dàng thì sếp em đã làm công văn rồi.
Nhưng mức độ quan trọng để nhờ bên Công An thì chưa đủ, nhưng đối với Đơn vị thì lại khá phức tạp.
Em từng lần theo cái Yahoo Mail đã gửi thư cho thằng Gmail kia nhưng cái Yahoo Mail này không tồn tại.
Liệu có phải nó đã bị Delete đi rồi không ạ?
[Up] [Print Copy]
  [Question]   Hỏi đáp 03/05/2013 12:58:09 (+0700) | #6 | 275401
[Avatar]
xnohat
Moderator

Joined: 30/01/2005 13:59:19
Messages: 1210
Location: /dev/null
Offline
[Profile] [PM] [Email] [WWW] [Yahoo!] [MSN]
Với cách quản lý lỏng lẻo trên thì có vô vàn cách để các tệp tài liệu mật được đưa lên internet

- Người trong phòng xyz dùng mạng của cơ quan bồ upload lên internet ( mail, file hosting, p2p, send file qua IM ... )
- Người trong phòng xyz dùng USB chép ra ngoài rồi upload lên mạng sau đó
- Người trong phòng xyz dùng 3G để upload lên internet
... etc

Với một hệ thống không có monitor thì việc cần là có chuyên gia thực thụ trong việc forensic là chuyện cơ quan bồ cần phải cân nhắc. Vì các manh mối bây giờ hiện đã rất mỏng manh, trong quá trình forensic không cẩn thận làm các dữ liệu bị ghi đè hoặc làm biến dạng quá mức thì sẽ dẫn tới vô phương trong việc tìm hiểu. Nên việc ky0 khuyến cáo cơ quan bồ nên mời bên An Ninh vào giúp là có lý do chuyên môn, bên An Ninh có "chuyên môn" và thẩm quyền để truy cập nhiều dữ liệu từ các ISP giúp việc điều tra dễ dàng hơn

Trân trọng,
iJust clear, "What I need to do and how to do it"/i
br
brBox tán gẫu dời về: http://www.facebook.com/hvaonline
[Up] [Print Copy]
  [Question]   Hỏi đáp 03/05/2013 13:41:33 (+0700) | #7 | 275402
phanledaivuong
Member

[Minus]    0    [Plus]
Joined: 23/05/2008 17:34:21
Messages: 315
Location: /dev/null
Offline
[Profile] [PM] [WWW]

manh.kqha wrote:
Mình đang làm trong một cơ quan nhà nước, hiện nay công việc của mình gặp một trở ngại mà mình mong Diễn đàn giúp.
Trong cơ quan có một máy tính bị nghi là có truy cập internet để lọt tài liệu quan trọng trên mạng. Khi mình được cử đi kiểm tra, mình kiểm tra trong cookies của máy này thấy trống không.
Minh nghĩ có thể họ đã xoá lược sử truy cập internet hoặc cài lại hệ thống hoặc ghost lại hệ thống.
Minh đang không biết làm sao, mong Diễn đàn giúp đỡ phưong pháp.
Nếu xoá lược sử thì khôi phục lại thế nào?
nếu đã cài lại hệ thống hoặc ghost lại hệ thống thì có cách nào truy được không?
Mong HVA giúp đỡ. Xin cảm ơn diễn đàn. 


Định trả lời mà gặp cái comment này trên facebook nên thôi smilie


Chắc bọn dư luận viên bị leak tài liệu nên đám kỹ thuật của nơi nuôi bọn dư luận viên lên HVA nhờ vả đây mà:

Hỏi đáp - .:: HVAOnline ::.
/hvaonline/posts/list/44662.html 

[Up] [Print Copy]
  [Question]   Hỏi đáp 03/05/2013 14:30:20 (+0700) | #8 | 275404
[Avatar]
tmd
Member

[Minus]    0    [Plus]
Joined: 28/06/2006 03:39:48
Messages: 2951
Offline
[Profile] [PM]
Nhìn cái nick này cũng quen quen, nhìn giống DLV trên Facebook. Nên thôi không trả lời. Thông cảm nha.
3 giai đoạn của con... người, ban đầu dek biết gì thì phải thăm dò, sau đó biết rồi thì phải thân thiết, sau cùng khi quá thân thiết rồi thì phải tình thương mến thương. Nhưng mà không thương được thì ...
[Up] [Print Copy]
  [Question]   Hỏi đáp 03/05/2013 20:56:54 (+0700) | #9 | 275413
phanledaivuong
Member

[Minus]    0    [Plus]
Joined: 23/05/2008 17:34:21
Messages: 315
Location: /dev/null
Offline
[Profile] [PM] [WWW]
Hôm nay bị 900 đại ca chơi phát dữ quá. Mỗi đại ca 1 nick + 6 clone = 7 nick -> 900*7 = 6300 account report với facebook. Thế là facebook nó deactivate account của em luôn.




[Up] [Print Copy]
  [Question]   Hỏi đáp 04/05/2013 06:19:39 (+0700) | #10 | 275417
manh.kqha
Member

[Minus]    0    [Plus]
Joined: 23/04/2013 03:14:15
Messages: 9
Offline
[Profile] [PM]

phanledaivuong wrote:

manh.kqha wrote:
Mình đang làm trong một cơ quan nhà nước, hiện nay công việc của mình gặp một trở ngại mà mình mong Diễn đàn giúp.
Trong cơ quan có một máy tính bị nghi là có truy cập internet để lọt tài liệu quan trọng trên mạng. Khi mình được cử đi kiểm tra, mình kiểm tra trong cookies của máy này thấy trống không.
Minh nghĩ có thể họ đã xoá lược sử truy cập internet hoặc cài lại hệ thống hoặc ghost lại hệ thống.
Minh đang không biết làm sao, mong Diễn đàn giúp đỡ phưong pháp.
Nếu xoá lược sử thì khôi phục lại thế nào?
nếu đã cài lại hệ thống hoặc ghost lại hệ thống thì có cách nào truy được không?
Mong HVA giúp đỡ. Xin cảm ơn diễn đàn. 


Định trả lời mà gặp cái comment này trên facebook nên thôi smilie


Chắc bọn dư luận viên bị leak tài liệu nên đám kỹ thuật của nơi nuôi bọn dư luận viên lên HVA nhờ vả đây mà:

Hỏi đáp - .:: HVAOnline ::.
/hvaonline/posts/list/44662.html 

 


Oạch, "Bọn dư luận viên" là gì vậy chứ?
Mỗi người mỗi việc và thuộc một chuyên môn nào đó, có thể giống hoặc khác nhau.
Dừ làm trong cơ quan nhà nước hay tư nhân thì cũng theo hình thức "làm công ăn luơng" tức là làm theo
trách nhiệm của mình.
Tại sao lại "Bọn" này "Bọn" kia chứ?
Chuyên môn có hạn thì cần học hỏi để làm tốt việc của mình thôi.
[Up] [Print Copy]
  [Question]   Hỏi đáp 04/05/2013 06:22:55 (+0700) | #11 | 275418
manh.kqha
Member

[Minus]    0    [Plus]
Joined: 23/04/2013 03:14:15
Messages: 9
Offline
[Profile] [PM]

tmd wrote:
Nhìn cái nick này cũng quen quen, nhìn giống DLV trên Facebook. Nên thôi không trả lời. Thông cảm nha.
 

Mình cũng có face nhưng Nick hoàn toàn khác, Mình cũng không hay vào face vì cả phòng có một máy được truy cập internet nên cũng không có time online vào face.
Mình không biết bạn nói mình là "DLV" - Dư Luận Viên là có ý gì? tiện thể cho mình hỏi "Dư luận viên" là người như thế nào?
[Up] [Print Copy]
  [Question]   Hỏi đáp 04/05/2013 06:33:50 (+0700) | #12 | 275419
manh.kqha
Member

[Minus]    0    [Plus]
Joined: 23/04/2013 03:14:15
Messages: 9
Offline
[Profile] [PM]

xnohat wrote:
Với cách quản lý lỏng lẻo trên thì có vô vàn cách để các tệp tài liệu mật được đưa lên internet

- Người trong phòng xyz dùng mạng của cơ quan bồ upload lên internet ( mail, file hosting, p2p, send file qua IM ... )
- Người trong phòng xyz dùng USB chép ra ngoài rồi upload lên mạng sau đó
- Người trong phòng xyz dùng 3G để upload lên internet
... etc

Với một hệ thống không có monitor thì việc cần là có chuyên gia thực thụ trong việc forensic là chuyện cơ quan bồ cần phải cân nhắc. Vì các manh mối bây giờ hiện đã rất mỏng manh, trong quá trình forensic không cẩn thận làm các dữ liệu bị ghi đè hoặc làm biến dạng quá mức thì sẽ dẫn tới vô phương trong việc tìm hiểu. Nên việc ky0 khuyến cáo cơ quan bồ nên mời bên An Ninh vào giúp là có lý do chuyên môn, bên An Ninh có "chuyên môn" và thẩm quyền để truy cập nhiều dữ liệu từ các ISP giúp việc điều tra dễ dàng hơn

Trân trọng, 


Vâng, cảm ơn anh.
Bây giờ chứng cứ chỉ có vậy nên mối nghi ngờ duy nhất mà cơ quan nghĩ đến là chỗ phòng xyz đó nên muốn xác minh máy tính trong phòng đó trước. vì nếu người mang tài liệu về nhà rồi upload lên thì em cũng chẳng thể kiểm tra được.
Em định khôi phục lại dữ liệu trên HDD của máy đó nhưng mất nhiều time và quan trọng là không nắm được 100% nên không dám đề xuất làm.
Em cũng theo lời anh ky0, hỏi ý kiến Sếp về việc nhờ bên Bộ Công An làm nhưng Sếp không đồng ý.
Mọi người ai có phuơng án nào giúp hoặc có cách nào khôi phục dữ liệu tốt thì chỉ dùm.
Em cần xác định máy đó có truy cập internet không, có chứ tài liệu đó không để biết còn chuyển hướng đi.
Cứ quanh quẩn cái mối nghi ngờ là tài liệu được upload tại máy đó mà em thấy nản à.
[Up] [Print Copy]
[digg] [delicious] [google] [yahoo] [technorati] [reddit] [stumbleupon]
Go to: 
 Users currently in here 
1 Anonymous

Powered by JForum - Extended by HVAOnline
 hvaonline.net  |  hvaforum.net  |  hvazone.net  |  hvanews.net  |  vnhacker.org
1999 - 2013 © v2012|0504|218|