Esiste un'applicazione o un metodo per registrare i trasferimenti di dati?

9

Il mio amico mi ha chiesto alcuni file che gli ho lasciato prendere dal mio sistema. Non l'ho visto farlo. Poi mi è rimasto un dubbio: quali file o dati extra ha preso dal mio sistema?

Stavo pensando che qui c'è qualsiasi applicazione o metodo che mostri quali dati vengono copiati su quale USB (se il nome disponibile mostra il nome o altrimenti l'id del dispositivo) e quali dati vengono copiati sulla macchina Ubuntu . È un po 'come la storia di dati USB e di sistema. Penso che questa funzione esista inKDE

Questo sarà davvero utile in molti modi. Fornisce utility di monitoraggio e tempo reale per monitorare le attività dei dispositivi di archiviazione di massa USB su qualsiasi macchina.

software-recommendation usb security

— twister_void
fonte

Controlla inotify. È un'API, non un programma da utilizzare immediatamente. ibm.com/developerworks/linux/library/l-ubuntu-inotify/… Può aiutarti a fare query sui motori di ricerca migliori alla ricerca di strumenti.

— jippie,

quali dati vengono copiati su quale USB - Penso che intendessi dati come qualsiasi file in tutte le partizioni montate. Ma la copia dei file di sistema che è possibile leggere come utente non è pericolosa, poiché i file di sistema sensibili appartengono all'utente root. Quindi il tuo amico non potrebbe leggerli senza la password sudo. Giusto? Questo motivo è applicabile alla scrittura da USB a file di sistema. È impossibile scrivere a loro senza conoscere la password di sudo. Quindi i dati indicano i tuoi contenuti $ HOME . È corretto?

— zuba,

Inoltre quali dati in $ HOME vuoi controllare? ~ / Documents ?, ~ / .cofig ?, ~ / .anything_else?

— zuba,

4

Sembra che inotifywatchpossa fare il lavoro. Consultare il documento IBM a cui faccio riferimento nel commento sopra per ulteriori informazioni e la sua pagina di manuale . Installare:

apt-cache search inotify

inotifywait: attendi le modifiche ai file utilizzando inotify
inotifywatch - raccoglie le statistiche di accesso al filesystem usando inotify

— jippie
fonte

4

Puoi farlo:

1) Controlla i file: /var/log/kern.loge /var/log/kern.log.1cerca l'ora e la data in cui il tuo amico ha collegato la memoria di massa USB. Ad esempio, il mio dice:

9 aprile 13:41:37 kernel desguai7: [16788.372616] Supporto per archiviazione di massa USB registrato.
9 aprile 13:41:38 kernel desguai7: [16789.370861] scsi 6: 0: 0: 0: Lama ad accesso diretto SanDisk Cruzer 1.20 PQ: 0 ANSI: 5
9 aprile 13:41:38 kernel desguai7: [16789.386614] sd 6: 0: 0: 0: allegato sgsi generico sg2 tipo 0
9 aprile 13:41:38 kernel desguai7: [16789.390966] sd 6: 0: 0: 0: [sdb] 15633408 blocchi logici a 512 byte: (8,00 GB / 7,45 GiB)
9 aprile 13:41:38 kernel desguai7: [16789.392246] sd 6: 0: 0: 0: [sdb] Protezione da scrittura disattivata
9 aprile 13:41:38 kernel desguai7: [16789.392258] sd 6: 0: 0: 0: [sdb] Senso modalità: 43 00 00 00
9 aprile 13:41:38 kernel desguai7: [16789.392980] sd 6: 0: 0: 0: [sdb] Scrivi cache: disabilitata, leggi cache: abilitata, non supporta DPO o FUA
9 aprile 13:41:38 kernel desguai7: [16789.401326] sdb: sdb1
9 aprile 13:41:38 kernel desguai7: [16789.404486] sd 6: 0: 0: 0: [sdb] Disco rimovibile SCSI collegato

Quindi, 9 aprile, alle 13:41 (13:41) è stata registrata (collegata) una memoria di massa USB sul mio computer.

2) Ora vediamo l'ultima volta che alcuni file sono accessibili e cercare le date corrispondenti. Apri un terminale e incollalo:

find ~/the/folder/noone/should/have/looked/ -exec stat -c %n%x "{}" \; | grep "2012-04-09 13:41"

Ti verranno presentati i nomi dei file a cui è stato effettuato l'accesso al momento della connessione della memoria di massa USB.

Un piccolo trucco:

Puoi usare i caratteri jolly con grep, come cambiare grep "2012-04-09 13:41"per grep "2012-04-09 13:4[1234]"ottenere l'accesso a tutti i file dalle 13:41 alle 13:44.

ps .: Non funzionerà se hai effettuato l'accesso al file dopo il tuo amico.

— desgua
fonte

Probabilmente avresti bisogno di controllare ogni momento da allora fino a quando non avresti avuto la certezza che avesse finito di copiare (quando kern.log mostra la rimozione USB?) Che sarà un sacco di istruzioni find / grep se fosse lì anche per 5 minuti. Non impossibile, ma avrai bisogno di una sceneggiatura.

— Huckle,

1

Avrebbe semplicemente cambiato la parte (...) grep "2012-04-09 13:41"per grep "2012-04-09 13:4"ottenere tutti i file accessibili dalle 13:40 alle 13:49.

— desgua,

1

Oppure potrebbe cambiare grep "2012-04-09 13:41"per grep "2012-04-09 13:4[1234]"ottenere l'accesso a tutti i file dalle 13:41 alle 13:44.

— desgua,

@questo potrebbe essere un lavoro più frenetico, c'è qualche metodo semplice.

— twister_void,

incolla gedit /var/log/kern.logsul terminale, Ctrl + F per trovare "usb mass", controlla il giorno e l'ora in cui il tuo amico ha collegato la sua USB e il gioco è fatto. Infine apri il terminale e incolla il comando modificando la data e l'ora. Fai un test ;-)

— desgua

3

Credimi figlio mio, una buona abitudine merita un sacco di software (e in effetti molto più affidabile). NON prestare la tua sessione a nessuno. Basta copiare i file che hai richiesto e sentirti bene.

ps Non esiste un software di sicurezza sufficiente per persone non sicure.

— Zuba
fonte

Sì, ci pensavo anche io mentre andavo al lavoro stamattina. Questo è il motivo per cui esistono account utente, proprietà e permessi sui file (+1). Le soluzioni menzionate qui sono più una risposta alla domanda sulla responsabilità.

— jippie,

2

Dopo mezz'ora alla ricerca di una soluzione su Internet (che vorrei trovare anch'io) non ho trovato un software per farlo, ma questa potrebbe essere un'alternativa: https://launchpad.net/ubuntu/lucid / amd64 / loggedfs

Controlla l'I / O di un file system, con un po 'di "grep" potresti essere in grado di mostrare i dati che stai cercando?

— Bahaïka
fonte

Ti fidi dei tuoi file per tenerli al sicuro in un filesystem. Assicurati di voler iniziare a utilizzare un filesystem che non ha avuto aggiornamenti dal 03/09/2008 ( sourceforge.net/projects/loggedfs/files/loggedfs ). Non mi fiderei dei miei file senza backup regolari.

— jippie,

0

wiresharkè in grado di monitorare tutti i dati trasferiti tramite USB. Sebbene questa applicazione venga utilizzata principalmente per monitorare il trasferimento di rete, consente anche di acquisire pacchetti USB. Nota che in questo modo non otterrai solo un elenco di file, ma una rappresentazione byte per byte della conversazione completa tra il tuo computer e l'unità. Tuttavia, in questo modo puoi essere completamente sicuro che nulla ti viene nascosto!

— Rafał Cieślak
fonte