Upload
krzysztof-binkowski
View
158
Download
1
Embed Size (px)
DESCRIPTION
PRACA DYPLOMOWA - przykładowy raport Krzysztof Bińkowski ANALIZA POWŁAMANIOWA W SYSTEMACH MICROSOFT WINDOWS
Citation preview
Firma “COMPANY” 1 of 14
Raport z przeprowadzonego śledztwa komputerowego 2009.03.30
POUFNE
WYŻSZA SZKOŁA INFORMATYKI STOSOWANEJ I ZARZĄDZANIA pod auspicjami Polskiej Akademii Nauk
WYDZIAŁ INFORMATYKI
Raport z przeprowadzonego wewnętrznego śledztwa komputerowego
Przygotowany na zlecenie
Zarządu firmy “COMPANY”
Autor: Krzysztof Bińkowski
Firma “COMPANY” 2 of 14
Raport z przeprowadzonego śledztwa komputerowego 2009.03.30
POUFNE
Spis treści 1. Wprowadzenie ................................................................................................................................. 3
1.1 Rodzaj incydentu ....................................................................................................................... 3 1.1.1 Miejsce zdarzenia ............................................................................................................... 3
2. POSZKODOWANY ......................................................................................................................... 3 2.1 Poszkodowany ........................................................................................................................... 3
3. Lokalizacja dowodu elektronicznego .................................................................................................. 3 3.1 Opis dowodu ............................................................................................................................. 3
3.1.1 Opis systemu, sieci oraz serwerów ........................................................................................ 3 3.2 Szczegóły zabezpieczenia podejrzanego komputera ....................................................................... 3 3.3 Szczegółowe działanie (Łańcuch dowodowy) ............................................................................... 4 3.4 Umiejscowienie i lokalizacja dowodu .......................................................................................... 4
4. DEFINICJE ..................................................................................................................................... 4 4.1 Wykorzystane narzędzia ............................................................................................................. 4
4.1.1 Informacje na temat wykorzystanych licencji ......................................................................... 4 5. ZABEZPIECZANIE DOWODU ........................................................................................................ 5
5.1 Procedura potwierdzająca autentyczność dowodu .......................................................................... 5 5.1.1 Procedury ........................................................................................................................... 5 5.1.2 Wynik ................................................................................................................................ 5 5.1.3 Weryfikacja ........................................................................................................................ 5
5.2 Tworzenie kopi bitowej .............................................................................................................. 5 5.2.1 Procedury ........................................................................................................................... 5 5.2.2 Wynik ................................................................................................................................ 5 5.2.3 Weryfikacja ........................................................................................................................ 6
6. WSTĘPNE OSZACOWANIE ZGROMADZONYCH DANYCH ......................................................... 6 6.1 Szczegóły istniejących danych ..................................................................................................... 6
6.1.1 Pliki systemu operacyjnego Windows XP Professional wersja angielska .................................. 6 6.1.2 Profil z danymi osobistymi użytkownika JKowalski ............................................................... 6
7. ANALIZA -wykaz czynności ............................................................................................................ 6 7.1 Procedury .................................................................................................................................. 6
7.1.1 Uruchomienie systemu wirtualnego na bazie przygotowanego obrazu systemu komp_jk.dd.001 6 7.1.2 Uruchomienie podejrzanego systemu .................................................................................... 7 7.1.3 Zbadanie wykasowanych plików .......................................................................................... 7 7.1.4 Szczegółowa analiza komputera wraz z listą zainstalowanych programów ................................ 7 7.1.5 Analiza śladów i logów komunikatora GADUGADU ............................................................. 7 7.1.6 Analiza śladów i logów komunikatora SKYPE ...................................................................... 7 7.1.7 Analiza poczty elektronicznej ............................................................................................... 8 7.1.8 Analiza załączników ........................................................................................................... 8 7.1.9 Alternatywne strumienie danych ........................................................................................... 9
8. WYNIKI ........................................................................................................................................ 10 8.1 Podsumowanie - znalezione pliki ............................................................................................... 10
8.1.1 Plik poczty elektronicznej Outlook.pst ................................................................................ 10 8.1.2 Pliki tekstowe zawierające ukryte informacje ....................................................................... 10
8.2 Podsumowanie - znalezione pliki graficzne ................................................................................. 11 8.2.1 Pliki graficzne zawierające ukryte informacje ...................................................................... 11
9. Wnioski ......................................................................................................................................... 11 9.1 Podsumowanie ......................................................................................................................... 11 9.2 Podsumowanie aktywności i działań .......................................................................................... 12
Firma “COMPANY” 3 of 14
Raport z przeprowadzonego śledztwa komputerowego 2009.03.30
POUFNE
1. WPROWADZENIE
1.1 Rodzaj incydentu
Udostępnienie poufnych danych objętych tajemnicą przedsiębiorstwa przez pracownika firmy „COMPANY” z wykorzystaniem komputera firmowego.
1.1.1 Miejsce zdarzenia
Siedziba firmy “COMPANY”, Warszawa, sieć lokalna podłączona do Internetu.
2. POSZKODOWANY
2.1 Poszkodowany
Firma “COMPANY”, Warszawa
3. Lokalizacja dowodu elektronicznego
3.1 Opis dowodu
3.1.1 Opis systemu, sieci oraz serwerów
Komputer pracujący jako stacja robocza, podłączony do firmowej sieci bezpośrednio w sieci LAN. Klasyczny komputer zawierający aplikację Microsoft Office 2003. Komputer został zainstalowany i przygotowany jako wirtualna maszyna pracująca w środowisku VMware z podłączeniem do Internetu.
Nazwa komputera KRZYSZTO-287616
3.1.1.1 System
Operating System: Microsoft(R) Windows XP Professional Manufacturer: VMware, Inc. Product Name: VMware Virtual Platform Serial Number : VMware-56 4d 2f 80 30 12 0a 48-6f 7c 92 a1 ee 38 39 72 Asset Tag : No Asset Tag
3.2 Szczegóły zabezpieczenia podejrzanego komputera
Komputer zabezpieczono na podstawie pisemnego upoważnienia wydanego przez Zarząd firmy “COMPANY”. Zabezpieczenia dokonano dnia 14 marca 2009 o godz. 11.30.
Firma “COMPANY” 4 of 14
Raport z przeprowadzonego śledztwa komputerowego 2009.03.30
POUFNE
3.3 Szczegółowe działanie (Łańcuch dowodowy)
2009.03.14 – godz. 11.30 – zabezpieczenie komputera / Krzysztof Bińkowski / COMPANY
2009.03.14 – godz. 11.49 – wykonanie kopii bitowej z dysku twardego / Krzysztof Bińkowski / COMPANY
2009.03.14 – godz. 12.30 – zdeponowanie komputera w magazynie / Krzysztof Bińkowski / COMPANY
3.4 Umiejscowienie i lokalizacja dowodu
Dowód w postaci zabezpieczonego komputera, po wykonaniu kopi bitowej dysku twardego, został umieszczony w bezpiecznym miejscu – magazyn IT firmy „COMPANY”. Dostęp do tego pomieszczenia posiada tylko dział IT uczestniczący w śledztwie oraz zarząd firmy “COMPANY”. Pomieszczenie wyklucza dostęp osób postronnych.
Komputer został zdeponowany w magazynie IT firmy „COMPANY” w dniu 14 marca 2009 o godz. 12.30
4. DEFINICJE
4.1 Wykorzystane narzędzia
Helix_V1.9-07-13a-2007.iso
FTK Imager v. 2.5.3.14
Live View 0.7b
RECUVA w wersji 1.24.399
GGTols 2.6 release 3
RecoverMyEmail
Trojan Image Security v.1.0
SkypeLogView v.1.10
PstPassword v.1.12
STREAMS v1.56
FCIV
4.1.1 Informacje na temat wykorzystanych licencji
Programy wykorzystane do analizy danych posiadają licencję typu Freeware oprócz RecoverMyEmail, gdzie wykorzystano wersję demonstracyjną produktu
Firma “COMPANY” 5 of 14
Raport z przeprowadzonego śledztwa komputerowego 2009.03.30
POUFNE
5. ZABEZPIECZANIE DOWODU
5.1 Procedura potwierdzająca autentyczność dowodu
5.1.1 Procedury
Obraz dysku wykonany przy pomocy program FTK Image, który automatycznie wykonuje funkcję skrótu z wykonanej kopii bitowej dysku
5.1.2 Wynik
[Computed Hashes]
MD5 checksum: f813c6c709c1602b8145a1ddc2b7e99d
SHA1 checksum: 2ffef538eabb22226d622dd05c8ae0aa0fcc2db3
5.1.3 Weryfikacja
Image Verification Results:
Verification started: Fri Apr 03 11:56:39 2009
Verification finished: Fri Apr 03 11:57:47 2009
MD5 checksum: f813c6c709c1602b8145a1ddc2b7e99d : verified
SHA1 checksum: 2ffef538eabb22226d622dd05c8ae0aa0fcc2db3 : verified
5.2 Tworzenie kopi bitowej
5.2.1 Procedury
Kopia bitowa wykonana przy pomocy program FTK Imager, plik zapisano w formacie DD ( RAW) komp_jk.dd.001 - 2,99 GB (3 220 955 136 bytes) – obraz dysku komputera komp_jk.dd.001.txt – informacje szczegółowe na temat badanego dysku oraz obliczono funkcje skrótu dla wykonanego obrazu: MD5 checksum: f813c6c709c1602b8145a1ddc2b7e99d SHA1 checksum: 2ffef538eabb22226d622dd05c8ae0aa0fcc2db3 komp_jk.dd.001.csv – wykaz wszystkich plików wykonany podczas tworzenia obrazu
5.2.2 Wynik
Information for \\.host\Shared Folders\c2c\dowod\komp_jk.dd: Physical Evidentiary Item (Source) Information: [Drive Geometry] Cylinders: 780 Tracks per Cylinder: 128 Sectors per Track: 63 Bytes per Sector: 512 Sector Count: 6,290,928 [Physical Drive Information]
Firma “COMPANY” 6 of 14
Raport z przeprowadzonego śledztwa komputerowego 2009.03.30
POUFNE
Drive Model: VMware Virtual IDE Hard Drive Drive Serial Number: 3030303030303030303030303030303030303130 Drive Interface Type: IDE Source data size: 3071 MB Sector count: 6290928 [Computed Hashes] MD5 checksum: f813c6c709c1602b8145a1ddc2b7e99d SHA1 checksum: 2ffef538eabb22226d622dd05c8ae0aa0fcc2db3 Image Information: Segment list: \\.host\Shared Folders\c2c\dowod\komp_jk.dd.001
5.2.3 Weryfikacja
Image Verification Results: Verification started: Fri Apr 03 11:56:39 2009 Verification finished: Fri Apr 03 11:57:47 2009 MD5 checksum: f813c6c709c1602b8145a1ddc2b7e99d : verified SHA1 checksum: 2ffef538eabb22226d622dd05c8ae0aa0fcc2db3 : verified
6. WSTĘPNE OSZACOWANIE ZGROMADZONYCH DANYCH
6.1 Szczegóły istniejących danych
6.1.1 Pliki systemu operacyjnego Windows XP Professional wersja angielska
Pliki systemowe wraz z profilami użytkowników, do wstępnej analizy wykorzystano plik \dowod\komp_jk.dd.001.csv, który zawiera listę wszystkich plików. Plik został utworzony podczas wykonywania kopii bitowej obrazu dysku.
6.1.2 Profil z danymi osobistymi użytkownika JKowalski
Profil użytkownika zawierający ustawienia systemowe oraz pliki osobiste
7. ANALIZA -wykaz czynności
7.1 Procedury
7.1.1 Uruchomienie systemu wirtualnego na bazie przygotowanego obrazu systemu komp_jk.dd.001
Wykorzystano aplikację Life View 0.7b, która przygotowała wirtualną maszynę system WMware, na podstawie przygotowanego obrazu w formacie DD (RAW). Program Life View przygotował wirtualną maszynę wraz z dodatkowym wirtualnym dyskiem niezbędnym do uruchomienia systemu, gdzie zostaną zapisane wszelkie operacje na dysku. Zabezpieczony plik obrazu, został podłączano w trybie tylko do odczytu, aby uniemożliwić wszelkie zmiany danych na badanym obrazie dysku.
Firma “COMPANY” 7 of 14
Raport z przeprowadzonego śledztwa komputerowego 2009.03.30
POUFNE
7.1.2 Uruchomienie podejrzanego systemu
System został uruchomiony w systemie VMware Workstation, do zalogowania się do systemy wykorzystano konto lokalnego administratora” Administrator”, hasło znane osobie badającej. 7.1.3 Zbadanie wykasowanych plików
Przeanalizowano system pod katem usuniętych plików programem RECUVA w wersji 1.24.399. Wyniki odzyskanych plików znajdują się w \raport.mgr\recuva, łączenie odzyskano 406 plików. Po szczegółowej analizie, zwrócono uwagę na pliki:
• [000147].xls - 33,5 KB (34 304 bytes) – zawierający plany firmy
• [000002].xls - 44,7 KB (45 864 bytes) – zawierający listę płac
Zawartość plików została odzyskana z sektorów jeszcze nienadpisanych przez inne dane, co świadczy o tym, że pliki zostało celowo usunięte w ostatniej chwili, brak informacji na temat właściciela i znaczników czasu związanych z tymi plikami.
Pliki znajdują się w katalogu \raport.mgr\recuva_pliki i mają następujące sumy kontrolne; SHA1 - 639b3d793c250f9b8eae249108bdc79aa9e63787 [000147].xls SHA1 - 485d54f66527e6baf46eb9b854e95abb4c84712c [000002].xls
7.1.4 Szczegółowa analiza komputera wraz z listą zainstalowanych programów
Do analizy wykorzystano program WinAudit, znajdujący się na w narzędziu HELIX v.1.9
Raport przedstawiający szczegółowe dane na temat badanego systemu i komputera znajduje się w pliku \raport.mgr\winaudit\ KRZYSZTO-287616.pdf
SHA1 - 3c4313ab77063b88f07a3d9530f68c58ac0a8e5a krzyszto-287616.pdf
7.1.5 Analiza śladów i logów komunikatora GADUGADU
Do zbadania archiwum programu GaduGadu, wykorzystano narzędzie GGTols 2.6 release 3 Badany plik - C:\Documents and Settings\JKowalski\Gadu-Gadu\Ja\archives.dat Wyniki zapisano w pliku \raport.mgr\gg\raport_gg.txt
Analiza raportu wskazuje na komunikację z Panem Andrzejem Nowakiem. Znaleziono wskazówkę – adres http://www.brothersoft.com/trojan-image-security-50247.html, który wskazuje na zainteresowanie programem Trojan Image Security 1.0, służącym do ukrywania plików wewnątrz plików graficznych. Po sprawdzeniu komputera, program ten został zainstalowany na badanym komputerze w dniu 12.03.2009. SHA1 - b08d56c8088cd7014c35910ad3ecc21d raport_gg.txt
7.1.6 Analiza śladów i logów komunikatora SKYPE
Do sprawdzenia archiwum SKYPE, znajdującego się w pliku C:\Documents and Settings\JKowalski\Application Data\Skype\jkowalski3456\main.db wykorzystano program SkypeLogView v.1.10, plik logu został zapisany w \\raport.mgr\skype\ skypelog.mht – SHA1 - e4009a97969cbbaede5ad89025fae344a9687bc3 skypelog.mht
Firma “COMPANY” 8 of 14
Raport z przeprowadzonego śledztwa komputerowego 2009.03.30
POUFNE
Analiza pliku logów programu Skype nie wniosła nic nowego do analizy, w tym przykładzie zauważamy, że nie zawsze znajdziemy jakieś dowody czy ślady.
7.1.7 Analiza poczty elektronicznej
Do analizy znalezionego pliku C:\Documents and Settings\JKowalski\Local Settings\Application Data\Microsoft\Outlook\Outlook.pst wykorzystano program Outlook zainstalowany na badanym komputerze, wykorzystując profil Administratora. Przy próbie otworzenia pliku, okazało się, że plik jest zabezpieczony hasłem. Do dalszej analizy niezbędne było odzyskanie hasła do pliku poczty. Do tego celu wykorzystano darmowy program PstPassword v.1.12. Korzystając z programu odzyskano kilka haseł, pozwalających na dostęp do badanego pliku poczty. Raport z odzyskanymi hasłami został zapisany w \raport.mgr\outlook\ PST Passwords List.mht. Przy pomocy odzyskanego hasła otworzono plik z pocztą Pana Jana Kowalskiego. SHA1 - 7542d98b48ca3dd6a20f4acf3a1567afeafc6c97 outlook.pst SHA1 - ee1cb368e86a76fb66b23715f5288ab005b2f6f1 pst passwords list.mht Po analizie zawartych w pliku wiadomości, ustalono liczne dowody komunikacji pomiędzy Panami Janem Kowalskim i Andrzejem Nowakiem. Analiza pozwoliła ustalić, iż Jan Kowalski wysłał dwa emaile pliki załącznikami do Pana Andrzeja Nowaka. Szczegóły wykrytych wiadomości poniżej: Od: Jan Kowalski [[email protected]] Wysłano: Thursday, March 12, 2009 11:30 PM Do: '[email protected]' Temat: obiecane foto bmw Załącznik: bmw32.bmp SHA1 - f36245ae46da1598479ab2a6ecbf790c7cd2e98f bmw32.bmp Od: Jan Kowalski [[email protected]] Wysłano: Thursday, March 12, 2009 11:28 PM Do: '[email protected]' Temat: fajna tapeta Załącznik: Sexy_Bikini_0362.bmp SHA1 - 0d173fd99efaeefb0f16c8e771e1f61ebe11f546 sexy_bikini_0362.bmp Pliki te poddano dalszej analizie.
7.1.8 Analiza załączników
W pierwszej kolejności odszukano pliki znalezione w poczcie elektronicznej, Pliki bmw3.bmp i bmw32.bmp znajdujące się w katalogu: C:\Documents and Settings\JKowalski\My Documents\samochody oraz pliki Sexy_Bikini_036.bmp i Sexy_Bikini_0362.bmp znajdujące się w katalogu C:\Documents and Settings\JKowalski\My Documents\fotki Pozornie wyglądające i identyczne co do wielkości pliki bmw3.bmp i bmw32.bmp, zostały przejrzane i wyświetlone za pomocą wbudowanego programu do przeglądania plików graficznych. Różnic wizualnych nie dostrzeżono. W kolejnym kroku poddano pliki porównaniu binarnym za pomocą wbudowanego programu FC (File Compare):
Firma “COMPANY” 9 of 14
Raport z przeprowadzonego śledztwa komputerowego 2009.03.30
POUFNE
FC bmw3.bmp bmw32.bmp > wynik.txt Porównanie plików pozwoliło stwierdzić, że to są różne pliki pod kątem zawartości i mogą zawierać ukryte dane. W identyczny sposób porównano pliki Sexy_Bikini_036.bmp i Sexy_Bikini_0362.bmp, pliki również były rózne pod katem zawartości i mogą zawierać ukryte dane.
Na badanym komputerze został znaleziony program „Trojan Image Security 1.0”. Za jego pomocą,
otworzono i zbadano wysłane załączniki - pliki - bmw32.bmp i Sexy_Bikini_0362.bmp
Po analizie wskazanych plików stwierdzono, iż w przesłanych plikach graficznych były ukryte pliki programu Excel zawierające poufne dane: Plik przedstawiający zdjęcie samochodu bmw32.bmp – zawierał arkusz kalkulacyjny: Plan_fundusz.xls - 45,0 KB (46 080 bytes) Plik z motywem tapety Sexy_Bikini_0362.bmp – zawierał arkusz kalkulacyjny Lista_plac_2009_01.xls - 33,5 KB (34 304 bytes) Ukryte pliki oraz pliki, w których ukryto dane zostały umieszczone w katalogu \raport.mgr\steganografia SHA1 – 32cdbfa70b69d87049cea9cdd7eef061172c40f9 plan_fundusz.xls SHA1 - 5727b83c24e2d62374913a4d76cd6e23b7ac4daa lista_plac_2009_01.xls
7.1.9 Alternatywne strumienie danych
Komputer poddano analizie pod kątem ukrytych plików w alternatywnych strumieniach danych. Do analizy wykorzystano darmową aplikację STREAMS v1.56, wynik poszukiwań został umieszczony w \raport.mgr\ads\ads.txt. SHA1 - b7fb9e5fcedccb2cd50b5a45bd3ca2b8e04ea8b4 ads.txt Podejrzenie wzbudził znaleziony plik zadania.txt wewnątrz katalogu domowego użytkownika Jan Kowalskiego, który zawierał ukryty plik moje.txt c:\Documents and Settings\JKowalski\My Documents\zadania\zadania.txt:moje.txt:$DATA 165 Zawartość plików zbadano przy pomocy notatnika. Wykorzystano polecenie Notepad zadania.txt Notepad zadania.txt:moje.txt Następnie pliki wyeksportowano przy pomocy programu FTK Imager i umieszczono w katalogu \raport.mgr\ads Plik moje.txt zawierał ukryte treści: wyslac Andrzejowi fotki wyslac liste plac i plany upomniec sie o zaplata za ciezka prace ;) wyslac CV do Andrzeja Tel. do Andrzeja 500 500 xxx
Firma “COMPANY” 10 of 14
Raport z przeprowadzonego śledztwa komputerowego 2009.03.30
POUFNE
SHA1- 3249f1f448575c8d91adce1a71c3c5db0f1d443b zadania.txt
SHA1 - 200dc097b3b92d6eafa5bd14174369ed43e910a2 moje.txt
8. WYNIKI
8.1 Podsumowanie - znalezione pliki
8.1.1 Plik poczty elektronicznej Outlook.pst
C:\Documents and Settings\JKowalski\Local Settings\Application Data\Microsoft\Outlook\Outlook.pst SHA1 - 7542d98b48ca3dd6a20f4acf3a1567afeafc6c97 outlook.pst Szczegóły wykrytych wiadomości wskazujące na wysłanie poufnych informacji poniżej: Od: Jan Kowalski [[email protected]] Wysłano: Thursday, March 12, 2009 11:30 PM Do: '[email protected]' Temat: obiecane foto bmw Załącznik: bmw32.bmp SHA1 - f36245ae46da1598479ab2a6ecbf790c7cd2e98f bmw32.bmp Od: Jan Kowalski [[email protected]] Wysłano: Thursday, March 12, 2009 11:28 PM Do: '[email protected]' Temat: fajna tapeta Załącznik: Sexy_Bikini_0362.bmp SHA1 - 0d173fd99efaeefb0f16c8e771e1f61ebe11f546 sexy_bikini_0362.bmp
8.1.2 Pliki tekstowe zawierające ukryte informacje
Plik zadania.txt wewnątrz katalogu domowego użytkownika Jan Kowalskiego, który zawierał ukryty plik moje.txt c:\Documents and Settings\JKowalski\My Documents\zadania\zadania.txt:moje.txt:$DATA 165 Plik moje.txt zawierał ukryte treści: wyslac Andrzejowi fotki wyslac liste plac i plany upomniec sie o zaplata za ciezka prace ;) wyslac CV do Andrzeja Tel. do Andrzeja 500 500 xxx
SHA1- 3249f1f448575c8d91adce1a71c3c5db0f1d443b zadania.txt
SHA1 - 200dc097b3b92d6eafa5bd14174369ed43e910a2 moje.txt
Firma “COMPANY” 11 of 14
Raport z przeprowadzonego śledztwa komputerowego 2009.03.30
POUFNE
8.2 Podsumowanie - znalezione pliki graficzne
8.2.1 Pliki graficzne zawierające ukryte informacje
Plik przedstawiający zdjęcie samochodu bmw32.bmp – zawierał arkusz kalkulacyjny: Plan_fundusz.xls - 45,0 KB (46 080 bytes) Plik z motywem tapety Sexy_Bikini_0362.bmp – zawierał arkusz kalkulacyjny Lista_plac_2009_01.xls - 33,5 KB (34 304 bytes) Ukryte pliki oraz pliki, w których ukryto dane zostały umieszczone w katalogu \raport.mgr\steganografia SHA1 – 32cdbfa70b69d87049cea9cdd7eef061172c40f9 plan_fundusz.xls SHA1 - 5727b83c24e2d62374913a4d76cd6e23b7ac4daa lista_plac_2009_01.xls
9. WNIOSKI
9.1 Podsumowanie
Na badanych komputerze znaleziono liczne ślady komunikacji pomiędzy podejrzanym osobami Panem Janem Kowalskim a Panem Andrzejem Nowakiem. Pan Jan Kowalski – był w stałym kontakcie z Panem Andrzejem Nowakiem – o czym świadczy archiwum GaduGadu. Z komunikacji pomiędzy obu panami wynika, iż Pan Andrzej Nowak poinstruował Pana Kowalskiego jak ukryć dane i wysłać je poprzez pocztę email. Analiza archiwum GaduGadu wskazuje na bezpośrednią komunikację z Panem Andrzejem Nowakiem. Znaleziono również wskazówkę – adres http://www.brothersoft.com/trojan-image-security-50247.html, który wskazuje na zainteresowanie programem Trojan Image Security 1.0, służącym do ukrywania plików wewnątrz plików graficznych. Program Trojan Image Security 1.0 został zainstalowany na badanym komputerze w dniu 12.03.2009. Po analizie zawartych w pliku poczty wiadomości, ustalono liczne dowody komunikacji pomiędzy Panami Janem Kowalskim i Andrzejem Nowakiem. Analiza pozwoliła ustalić, iż Jan Kowalski wysłał dwa emaile pliki z załącznikami do Pana Andrzeja Nowaka. Szczegóły wykrytych wiadomości poniżej: Od: Jan Kowalski [[email protected]] Wysłano: Thursday, March 12, 2009 11:28 PM Do: '[email protected]' Temat: fajna tapeta Załącznik: Sexy_Bikini_0362.bmp
Od: Jan Kowalski [[email protected]] Wysłano: Thursday, March 12, 2009 11:30 PM Do: '[email protected]' Temat: obiecane foto bmw Załącznik: bmw32.bmp W przesłanych plikach graficznych były ukryte pliki programu Excel zawierające poufne dane:
Firma “COMPANY” 12 of 14
Raport z przeprowadzonego śledztwa komputerowego 2009.03.30
POUFNE
Plik przedstawiający zdjęcie samochodu bmw32.bmp – zawierał arkusz kalkulacyjny: Plan_fundusz.xls - 45,0 KB (46 080 bytes) Plik z motywem tapety Sexy_Bikini_0362.bmp – zawierał arkusz kalkulacyjny Lista_plac_2009_01.xls - 33,5 KB (34 304 bytes) Ukryte pliki : znaleziony plik zadania.txt wewnątrz katalogu domowego użytkownika Jan Kowalskiego zawierał ukryty plik moje.txt Plik moje.txt zawierał ukryte treści: wyslac Andrzejowi fotki wyslac liste plac i plany upomniec sie o zaplata za ciezka prace ;) wyslac CV do Andrzeja Tel. do Andrzeja 500 500 xxx
Znalezione pliki wskazują jednoznacznie na złamanie tajemnicy przedsiębiorstwa przez Jana Kowalskiego poprzez ujawnienie danych poufnych. Dane zostały wysłane przy pomocy poczty elektronicznej po uprzednim ukryciu plików poufnych w plikach graficznych, które miały odwrócić uwagę czy uniemożliwić analizę wysłanych plików w systemie poczty elektronicznej. Pan Jan Kowalski działając z jasnym celem wysłania poufnych informacji, posunął się do zatarcia śladów przechowywania plików z poufnymi danymi ze swojego komputera.
Działania Pana Jana Kowalskiego były zaplanowane i przemyślane. Celem tych działań było przekazania poufnych danych firmie konkurencyjnej.
9.2 Podsumowanie aktywności i działań
10:53:59 PM, 12.03.2009 r. przesłanie linku http://www.brothersoft.com/trojan-image-security-50247.html poprzez komunikator GG przez Pana Andrzeja Nowaka do Pana Jana Kowalskiego
12.03.2009 – przygotowanie plików zawierających ukryte poufne informacje
11:28 PM, 12.03.2009 – wysłanie emaila przez Pana Jana Kowalskiego ([email protected]) do Pana Andrzeja Nowaka ([email protected]), o temacie „fajna tapeta” zawierającego Załącznik: Sexy_Bikini_0362.bmp, który ukrywał plik - arkusz kalkulacyjny Lista_plac_2009_01.xls 11:30 PM, 12.03.2009 – wysłanie emaila przez Pana Jana Kowalskiego ([email protected]) do Pana Andrzeja Nowaka ([email protected]), o temacie „obiecane foto bmw” zawierającego Załącznik: bmw32.bmp, który ukrywał plik - arkusz kalkulacyjny: Plan_fundusz.xls
Firma “COMPANY” 13 of 14
Raport z przeprowadzonego śledztwa komputerowego 2009.03.30
POUFNE
Załącznik 1 – Tworzenie obrazu kopii bitowej Katalog \dowod\ : 2009-03-14 11:49 3˙220˙955˙136 komp_jk.dd.001 2009-03-14 11:52 7˙466˙374 komp_jk.dd.001.csv 2009-04-03 14:13 120 komp_jk.dd.001.csv.sha1 2009-04-03 14:13 116 komp_jk.dd.001.sha1 2009-04-03 11:57 959 komp_jk.dd.001.txt 2009-04-03 14:13 120 komp_jk.dd.001.txt.sha1
Firma “COMPANY” 14 of 14
Raport z przeprowadzonego śledztwa komputerowego 2009.03.30
POUFNE
Załącznik 2 – Wykaz plików załączonych na płycie DVD Wykaz plików dołączonych do raportu znajduje się w katalogu głównym wykaz_plikow.txt