Mgr k.binkowski computer_forensics_raport

Firma “COMPANY” 1 of 14

Raport z przeprowadzonego śledztwa komputerowego 2009.03.30

POUFNE

WYŻSZA SZKOŁA INFORMATYKI STOSOWANEJ I ZARZĄDZANIA pod auspicjami Polskiej Akademii Nauk

WYDZIAŁ INFORMATYKI

Raport z przeprowadzonego wewnętrznego śledztwa komputerowego

Przygotowany na zlecenie

Zarządu firmy “COMPANY”

Autor: Krzysztof Bińkowski



POUFNE

Spis treści 1. Wprowadzenie ................................................................................................................................. 3

1.1 Rodzaj incydentu ....................................................................................................................... 3 1.1.1 Miejsce zdarzenia ............................................................................................................... 3

2. POSZKODOWANY ......................................................................................................................... 3 2.1 Poszkodowany ........................................................................................................................... 3

3. Lokalizacja dowodu elektronicznego .................................................................................................. 3 3.1 Opis dowodu ............................................................................................................................. 3

3.1.1 Opis systemu, sieci oraz serwerów ........................................................................................ 3 3.2 Szczegóły zabezpieczenia podejrzanego komputera ....................................................................... 3 3.3 Szczegółowe działanie (Łańcuch dowodowy) ............................................................................... 4 3.4 Umiejscowienie i lokalizacja dowodu .......................................................................................... 4

4. DEFINICJE ..................................................................................................................................... 4 4.1 Wykorzystane narzędzia ............................................................................................................. 4

4.1.1 Informacje na temat wykorzystanych licencji ......................................................................... 4 5. ZABEZPIECZANIE DOWODU ........................................................................................................ 5

5.1 Procedura potwierdzająca autentyczność dowodu .......................................................................... 5 5.1.1 Procedury ........................................................................................................................... 5 5.1.2 Wynik ................................................................................................................................ 5 5.1.3 Weryfikacja ........................................................................................................................ 5

5.2 Tworzenie kopi bitowej .............................................................................................................. 5 5.2.1 Procedury ........................................................................................................................... 5 5.2.2 Wynik ................................................................................................................................ 5 5.2.3 Weryfikacja ........................................................................................................................ 6

6. WSTĘPNE OSZACOWANIE ZGROMADZONYCH DANYCH ......................................................... 6 6.1 Szczegóły istniejących danych ..................................................................................................... 6

6.1.1 Pliki systemu operacyjnego Windows XP Professional wersja angielska .................................. 6 6.1.2 Profil z danymi osobistymi użytkownika JKowalski ............................................................... 6

7. ANALIZA -wykaz czynności ............................................................................................................ 6 7.1 Procedury .................................................................................................................................. 6

7.1.1 Uruchomienie systemu wirtualnego na bazie przygotowanego obrazu systemu komp_jk.dd.001 6 7.1.2 Uruchomienie podejrzanego systemu .................................................................................... 7 7.1.3 Zbadanie wykasowanych plików .......................................................................................... 7 7.1.4 Szczegółowa analiza komputera wraz z listą zainstalowanych programów ................................ 7 7.1.5 Analiza śladów i logów komunikatora GADUGADU ............................................................. 7 7.1.6 Analiza śladów i logów komunikatora SKYPE ...................................................................... 7 7.1.7 Analiza poczty elektronicznej ............................................................................................... 8 7.1.8 Analiza załączników ........................................................................................................... 8 7.1.9 Alternatywne strumienie danych ........................................................................................... 9

8. WYNIKI ........................................................................................................................................ 10 8.1 Podsumowanie - znalezione pliki ............................................................................................... 10

8.1.1 Plik poczty elektronicznej Outlook.pst ................................................................................ 10 8.1.2 Pliki tekstowe zawierające ukryte informacje ....................................................................... 10

8.2 Podsumowanie - znalezione pliki graficzne ................................................................................. 11 8.2.1 Pliki graficzne zawierające ukryte informacje ...................................................................... 11

9. Wnioski ......................................................................................................................................... 11 9.1 Podsumowanie ......................................................................................................................... 11 9.2 Podsumowanie aktywności i działań .......................................................................................... 12



POUFNE

1. WPROWADZENIE

1.1 Rodzaj incydentu

Udostępnienie poufnych danych objętych tajemnicą przedsiębiorstwa przez pracownika firmy „COMPANY” z wykorzystaniem komputera firmowego.

1.1.1 Miejsce zdarzenia

Siedziba firmy “COMPANY”, Warszawa, sieć lokalna podłączona do Internetu.

2. POSZKODOWANY

2.1 Poszkodowany

Firma “COMPANY”, Warszawa

3. Lokalizacja dowodu elektronicznego

3.1 Opis dowodu

3.1.1 Opis systemu, sieci oraz serwerów

Komputer pracujący jako stacja robocza, podłączony do firmowej sieci bezpośrednio w sieci LAN. Klasyczny komputer zawierający aplikację Microsoft Office 2003. Komputer został zainstalowany i przygotowany jako wirtualna maszyna pracująca w środowisku VMware z podłączeniem do Internetu.

Nazwa komputera KRZYSZTO-287616

3.1.1.1 System

Operating System: Microsoft(R) Windows XP Professional Manufacturer: VMware, Inc. Product Name: VMware Virtual Platform Serial Number : VMware-56 4d 2f 80 30 12 0a 48-6f 7c 92 a1 ee 38 39 72 Asset Tag : No Asset Tag

3.2 Szczegóły zabezpieczenia podejrzanego komputera

Komputer zabezpieczono na podstawie pisemnego upoważnienia wydanego przez Zarząd firmy “COMPANY”. Zabezpieczenia dokonano dnia 14 marca 2009 o godz. 11.30.



POUFNE

3.3 Szczegółowe działanie (Łańcuch dowodowy)

2009.03.14 – godz. 11.30 – zabezpieczenie komputera / Krzysztof Bińkowski / COMPANY

2009.03.14 – godz. 11.49 – wykonanie kopii bitowej z dysku twardego / Krzysztof Bińkowski / COMPANY

2009.03.14 – godz. 12.30 – zdeponowanie komputera w magazynie / Krzysztof Bińkowski / COMPANY

3.4 Umiejscowienie i lokalizacja dowodu

Dowód w postaci zabezpieczonego komputera, po wykonaniu kopi bitowej dysku twardego, został umieszczony w bezpiecznym miejscu – magazyn IT firmy „COMPANY”. Dostęp do tego pomieszczenia posiada tylko dział IT uczestniczący w śledztwie oraz zarząd firmy “COMPANY”. Pomieszczenie wyklucza dostęp osób postronnych.

Komputer został zdeponowany w magazynie IT firmy „COMPANY” w dniu 14 marca 2009 o godz. 12.30

4. DEFINICJE

4.1 Wykorzystane narzędzia

Helix_V1.9-07-13a-2007.iso

FTK Imager v. 2.5.3.14

Live View 0.7b

RECUVA w wersji 1.24.399

GGTols 2.6 release 3

RecoverMyEmail

Trojan Image Security v.1.0

SkypeLogView v.1.10

PstPassword v.1.12

STREAMS v1.56

FCIV

4.1.1 Informacje na temat wykorzystanych licencji

Programy wykorzystane do analizy danych posiadają licencję typu Freeware oprócz RecoverMyEmail, gdzie wykorzystano wersję demonstracyjną produktu



POUFNE

5. ZABEZPIECZANIE DOWODU

5.1 Procedura potwierdzająca autentyczność dowodu

5.1.1 Procedury

Obraz dysku wykonany przy pomocy program FTK Image, który automatycznie wykonuje funkcję skrótu z wykonanej kopii bitowej dysku

5.1.2 Wynik

[Computed Hashes]

MD5 checksum: f813c6c709c1602b8145a1ddc2b7e99d

SHA1 checksum: 2ffef538eabb22226d622dd05c8ae0aa0fcc2db3

5.1.3 Weryfikacja

Image Verification Results:

Verification started: Fri Apr 03 11:56:39 2009

Verification finished: Fri Apr 03 11:57:47 2009

MD5 checksum: f813c6c709c1602b8145a1ddc2b7e99d : verified

SHA1 checksum: 2ffef538eabb22226d622dd05c8ae0aa0fcc2db3 : verified

5.2 Tworzenie kopi bitowej

5.2.1 Procedury

Kopia bitowa wykonana przy pomocy program FTK Imager, plik zapisano w formacie DD ( RAW) komp_jk.dd.001 - 2,99 GB (3 220 955 136 bytes) – obraz dysku komputera komp_jk.dd.001.txt – informacje szczegółowe na temat badanego dysku oraz obliczono funkcje skrótu dla wykonanego obrazu: MD5 checksum: f813c6c709c1602b8145a1ddc2b7e99d SHA1 checksum: 2ffef538eabb22226d622dd05c8ae0aa0fcc2db3 komp_jk.dd.001.csv – wykaz wszystkich plików wykonany podczas tworzenia obrazu

5.2.2 Wynik

Information for \\.host\Shared Folders\c2c\dowod\komp_jk.dd: Physical Evidentiary Item (Source) Information: [Drive Geometry] Cylinders: 780 Tracks per Cylinder: 128 Sectors per Track: 63 Bytes per Sector: 512 Sector Count: 6,290,928 [Physical Drive Information]



POUFNE

Drive Model: VMware Virtual IDE Hard Drive Drive Serial Number: 3030303030303030303030303030303030303130 Drive Interface Type: IDE Source data size: 3071 MB Sector count: 6290928 [Computed Hashes] MD5 checksum: f813c6c709c1602b8145a1ddc2b7e99d SHA1 checksum: 2ffef538eabb22226d622dd05c8ae0aa0fcc2db3 Image Information: Segment list: \\.host\Shared Folders\c2c\dowod\komp_jk.dd.001

5.2.3 Weryfikacja

Image Verification Results: Verification started: Fri Apr 03 11:56:39 2009 Verification finished: Fri Apr 03 11:57:47 2009 MD5 checksum: f813c6c709c1602b8145a1ddc2b7e99d : verified SHA1 checksum: 2ffef538eabb22226d622dd05c8ae0aa0fcc2db3 : verified

6. WSTĘPNE OSZACOWANIE ZGROMADZONYCH DANYCH

6.1 Szczegóły istniejących danych

6.1.1 Pliki systemu operacyjnego Windows XP Professional wersja angielska

Pliki systemowe wraz z profilami użytkowników, do wstępnej analizy wykorzystano plik \dowod\komp_jk.dd.001.csv, który zawiera listę wszystkich plików. Plik został utworzony podczas wykonywania kopii bitowej obrazu dysku.

6.1.2 Profil z danymi osobistymi użytkownika JKowalski

Profil użytkownika zawierający ustawienia systemowe oraz pliki osobiste

7. ANALIZA -wykaz czynności

7.1 Procedury

7.1.1 Uruchomienie systemu wirtualnego na bazie przygotowanego obrazu systemu komp_jk.dd.001

Wykorzystano aplikację Life View 0.7b, która przygotowała wirtualną maszynę system WMware, na podstawie przygotowanego obrazu w formacie DD (RAW). Program Life View przygotował wirtualną maszynę wraz z dodatkowym wirtualnym dyskiem niezbędnym do uruchomienia systemu, gdzie zostaną zapisane wszelkie operacje na dysku. Zabezpieczony plik obrazu, został podłączano w trybie tylko do odczytu, aby uniemożliwić wszelkie zmiany danych na badanym obrazie dysku.



POUFNE

7.1.2 Uruchomienie podejrzanego systemu

System został uruchomiony w systemie VMware Workstation, do zalogowania się do systemy wykorzystano konto lokalnego administratora” Administrator”, hasło znane osobie badającej. 7.1.3 Zbadanie wykasowanych plików

Przeanalizowano system pod katem usuniętych plików programem RECUVA w wersji 1.24.399. Wyniki odzyskanych plików znajdują się w \raport.mgr\recuva, łączenie odzyskano 406 plików. Po szczegółowej analizie, zwrócono uwagę na pliki:

• [000147].xls - 33,5 KB (34 304 bytes) – zawierający plany firmy

• [000002].xls - 44,7 KB (45 864 bytes) – zawierający listę płac

Zawartość plików została odzyskana z sektorów jeszcze nienadpisanych przez inne dane, co świadczy o tym, że pliki zostało celowo usunięte w ostatniej chwili, brak informacji na temat właściciela i znaczników czasu związanych z tymi plikami.

Pliki znajdują się w katalogu \raport.mgr\recuva_pliki i mają następujące sumy kontrolne; SHA1 - 639b3d793c250f9b8eae249108bdc79aa9e63787 [000147].xls SHA1 - 485d54f66527e6baf46eb9b854e95abb4c84712c [000002].xls

7.1.4 Szczegółowa analiza komputera wraz z listą zainstalowanych programów

Do analizy wykorzystano program WinAudit, znajdujący się na w narzędziu HELIX v.1.9

Raport przedstawiający szczegółowe dane na temat badanego systemu i komputera znajduje się w pliku \raport.mgr\winaudit\ KRZYSZTO-287616.pdf

SHA1 - 3c4313ab77063b88f07a3d9530f68c58ac0a8e5a krzyszto-287616.pdf

7.1.5 Analiza śladów i logów komunikatora GADUGADU

Do zbadania archiwum programu GaduGadu, wykorzystano narzędzie GGTols 2.6 release 3 Badany plik - C:\Documents and Settings\JKowalski\Gadu-Gadu\Ja\archives.dat Wyniki zapisano w pliku \raport.mgr\gg\raport_gg.txt

Analiza raportu wskazuje na komunikację z Panem Andrzejem Nowakiem. Znaleziono wskazówkę – adres http://www.brothersoft.com/trojan-image-security-50247.html, który wskazuje na zainteresowanie programem Trojan Image Security 1.0, służącym do ukrywania plików wewnątrz plików graficznych. Po sprawdzeniu komputera, program ten został zainstalowany na badanym komputerze w dniu 12.03.2009. SHA1 - b08d56c8088cd7014c35910ad3ecc21d raport_gg.txt

7.1.6 Analiza śladów i logów komunikatora SKYPE

Do sprawdzenia archiwum SKYPE, znajdującego się w pliku C:\Documents and Settings\JKowalski\Application Data\Skype\jkowalski3456\main.db wykorzystano program SkypeLogView v.1.10, plik logu został zapisany w \\raport.mgr\skype\ skypelog.mht – SHA1 - e4009a97969cbbaede5ad89025fae344a9687bc3 skypelog.mht



POUFNE

Analiza pliku logów programu Skype nie wniosła nic nowego do analizy, w tym przykładzie zauważamy, że nie zawsze znajdziemy jakieś dowody czy ślady.

7.1.7 Analiza poczty elektronicznej

Do analizy znalezionego pliku C:\Documents and Settings\JKowalski\Local Settings\Application Data\Microsoft\Outlook\Outlook.pst wykorzystano program Outlook zainstalowany na badanym komputerze, wykorzystując profil Administratora. Przy próbie otworzenia pliku, okazało się, że plik jest zabezpieczony hasłem. Do dalszej analizy niezbędne było odzyskanie hasła do pliku poczty. Do tego celu wykorzystano darmowy program PstPassword v.1.12. Korzystając z programu odzyskano kilka haseł, pozwalających na dostęp do badanego pliku poczty. Raport z odzyskanymi hasłami został zapisany w \raport.mgr\outlook\ PST Passwords List.mht. Przy pomocy odzyskanego hasła otworzono plik z pocztą Pana Jana Kowalskiego. SHA1 - 7542d98b48ca3dd6a20f4acf3a1567afeafc6c97 outlook.pst SHA1 - ee1cb368e86a76fb66b23715f5288ab005b2f6f1 pst passwords list.mht Po analizie zawartych w pliku wiadomości, ustalono liczne dowody komunikacji pomiędzy Panami Janem Kowalskim i Andrzejem Nowakiem. Analiza pozwoliła ustalić, iż Jan Kowalski wysłał dwa emaile pliki załącznikami do Pana Andrzeja Nowaka. Szczegóły wykrytych wiadomości poniżej: Od: Jan Kowalski [[email protected]] Wysłano: Thursday, March 12, 2009 11:30 PM Do: '[email protected]' Temat: obiecane foto bmw Załącznik: bmw32.bmp SHA1 - f36245ae46da1598479ab2a6ecbf790c7cd2e98f bmw32.bmp Od: Jan Kowalski [[email protected]] Wysłano: Thursday, March 12, 2009 11:28 PM Do: '[email protected]' Temat: fajna tapeta Załącznik: Sexy_Bikini_0362.bmp SHA1 - 0d173fd99efaeefb0f16c8e771e1f61ebe11f546 sexy_bikini_0362.bmp Pliki te poddano dalszej analizie.

7.1.8 Analiza załączników

W pierwszej kolejności odszukano pliki znalezione w poczcie elektronicznej, Pliki bmw3.bmp i bmw32.bmp znajdujące się w katalogu: C:\Documents and Settings\JKowalski\My Documents\samochody oraz pliki Sexy_Bikini_036.bmp i Sexy_Bikini_0362.bmp znajdujące się w katalogu C:\Documents and Settings\JKowalski\My Documents\fotki Pozornie wyglądające i identyczne co do wielkości pliki bmw3.bmp i bmw32.bmp, zostały przejrzane i wyświetlone za pomocą wbudowanego programu do przeglądania plików graficznych. Różnic wizualnych nie dostrzeżono. W kolejnym kroku poddano pliki porównaniu binarnym za pomocą wbudowanego programu FC (File Compare):



POUFNE

FC bmw3.bmp bmw32.bmp > wynik.txt Porównanie plików pozwoliło stwierdzić, że to są różne pliki pod kątem zawartości i mogą zawierać ukryte dane. W identyczny sposób porównano pliki Sexy_Bikini_036.bmp i Sexy_Bikini_0362.bmp, pliki również były rózne pod katem zawartości i mogą zawierać ukryte dane.

Na badanym komputerze został znaleziony program „Trojan Image Security 1.0”. Za jego pomocą,

otworzono i zbadano wysłane załączniki - pliki - bmw32.bmp i Sexy_Bikini_0362.bmp

Po analizie wskazanych plików stwierdzono, iż w przesłanych plikach graficznych były ukryte pliki programu Excel zawierające poufne dane: Plik przedstawiający zdjęcie samochodu bmw32.bmp – zawierał arkusz kalkulacyjny: Plan_fundusz.xls - 45,0 KB (46 080 bytes) Plik z motywem tapety Sexy_Bikini_0362.bmp – zawierał arkusz kalkulacyjny Lista_plac_2009_01.xls - 33,5 KB (34 304 bytes) Ukryte pliki oraz pliki, w których ukryto dane zostały umieszczone w katalogu \raport.mgr\steganografia SHA1 – 32cdbfa70b69d87049cea9cdd7eef061172c40f9 plan_fundusz.xls SHA1 - 5727b83c24e2d62374913a4d76cd6e23b7ac4daa lista_plac_2009_01.xls

7.1.9 Alternatywne strumienie danych

Komputer poddano analizie pod kątem ukrytych plików w alternatywnych strumieniach danych. Do analizy wykorzystano darmową aplikację STREAMS v1.56, wynik poszukiwań został umieszczony w \raport.mgr\ads\ads.txt. SHA1 - b7fb9e5fcedccb2cd50b5a45bd3ca2b8e04ea8b4 ads.txt Podejrzenie wzbudził znaleziony plik zadania.txt wewnątrz katalogu domowego użytkownika Jan Kowalskiego, który zawierał ukryty plik moje.txt c:\Documents and Settings\JKowalski\My Documents\zadania\zadania.txt:moje.txt:$DATA 165 Zawartość plików zbadano przy pomocy notatnika. Wykorzystano polecenie Notepad zadania.txt Notepad zadania.txt:moje.txt Następnie pliki wyeksportowano przy pomocy programu FTK Imager i umieszczono w katalogu \raport.mgr\ads Plik moje.txt zawierał ukryte treści: wyslac Andrzejowi fotki wyslac liste plac i plany upomniec sie o zaplata za ciezka prace ;) wyslac CV do Andrzeja Tel. do Andrzeja 500 500 xxx



POUFNE

SHA1- 3249f1f448575c8d91adce1a71c3c5db0f1d443b zadania.txt

SHA1 - 200dc097b3b92d6eafa5bd14174369ed43e910a2 moje.txt

8. WYNIKI

8.1 Podsumowanie - znalezione pliki

8.1.1 Plik poczty elektronicznej Outlook.pst

C:\Documents and Settings\JKowalski\Local Settings\Application Data\Microsoft\Outlook\Outlook.pst SHA1 - 7542d98b48ca3dd6a20f4acf3a1567afeafc6c97 outlook.pst Szczegóły wykrytych wiadomości wskazujące na wysłanie poufnych informacji poniżej: Od: Jan Kowalski [[email protected]] Wysłano: Thursday, March 12, 2009 11:30 PM Do: '[email protected]' Temat: obiecane foto bmw Załącznik: bmw32.bmp SHA1 - f36245ae46da1598479ab2a6ecbf790c7cd2e98f bmw32.bmp Od: Jan Kowalski [[email protected]] Wysłano: Thursday, March 12, 2009 11:28 PM Do: '[email protected]' Temat: fajna tapeta Załącznik: Sexy_Bikini_0362.bmp SHA1 - 0d173fd99efaeefb0f16c8e771e1f61ebe11f546 sexy_bikini_0362.bmp

8.1.2 Pliki tekstowe zawierające ukryte informacje

Plik zadania.txt wewnątrz katalogu domowego użytkownika Jan Kowalskiego, który zawierał ukryty plik moje.txt c:\Documents and Settings\JKowalski\My Documents\zadania\zadania.txt:moje.txt:$DATA 165 Plik moje.txt zawierał ukryte treści: wyslac Andrzejowi fotki wyslac liste plac i plany upomniec sie o zaplata za ciezka prace ;) wyslac CV do Andrzeja Tel. do Andrzeja 500 500 xxx

SHA1- 3249f1f448575c8d91adce1a71c3c5db0f1d443b zadania.txt

SHA1 - 200dc097b3b92d6eafa5bd14174369ed43e910a2 moje.txt



POUFNE

8.2 Podsumowanie - znalezione pliki graficzne

8.2.1 Pliki graficzne zawierające ukryte informacje

Plik przedstawiający zdjęcie samochodu bmw32.bmp – zawierał arkusz kalkulacyjny: Plan_fundusz.xls - 45,0 KB (46 080 bytes) Plik z motywem tapety Sexy_Bikini_0362.bmp – zawierał arkusz kalkulacyjny Lista_plac_2009_01.xls - 33,5 KB (34 304 bytes) Ukryte pliki oraz pliki, w których ukryto dane zostały umieszczone w katalogu \raport.mgr\steganografia SHA1 – 32cdbfa70b69d87049cea9cdd7eef061172c40f9 plan_fundusz.xls SHA1 - 5727b83c24e2d62374913a4d76cd6e23b7ac4daa lista_plac_2009_01.xls

9. WNIOSKI

9.1 Podsumowanie

Na badanych komputerze znaleziono liczne ślady komunikacji pomiędzy podejrzanym osobami Panem Janem Kowalskim a Panem Andrzejem Nowakiem. Pan Jan Kowalski – był w stałym kontakcie z Panem Andrzejem Nowakiem – o czym świadczy archiwum GaduGadu. Z komunikacji pomiędzy obu panami wynika, iż Pan Andrzej Nowak poinstruował Pana Kowalskiego jak ukryć dane i wysłać je poprzez pocztę email. Analiza archiwum GaduGadu wskazuje na bezpośrednią komunikację z Panem Andrzejem Nowakiem. Znaleziono również wskazówkę – adres http://www.brothersoft.com/trojan-image-security-50247.html, który wskazuje na zainteresowanie programem Trojan Image Security 1.0, służącym do ukrywania plików wewnątrz plików graficznych. Program Trojan Image Security 1.0 został zainstalowany na badanym komputerze w dniu 12.03.2009. Po analizie zawartych w pliku poczty wiadomości, ustalono liczne dowody komunikacji pomiędzy Panami Janem Kowalskim i Andrzejem Nowakiem. Analiza pozwoliła ustalić, iż Jan Kowalski wysłał dwa emaile pliki z załącznikami do Pana Andrzeja Nowaka. Szczegóły wykrytych wiadomości poniżej: Od: Jan Kowalski [[email protected]] Wysłano: Thursday, March 12, 2009 11:28 PM Do: '[email protected]' Temat: fajna tapeta Załącznik: Sexy_Bikini_0362.bmp

Od: Jan Kowalski [[email protected]] Wysłano: Thursday, March 12, 2009 11:30 PM Do: '[email protected]' Temat: obiecane foto bmw Załącznik: bmw32.bmp W przesłanych plikach graficznych były ukryte pliki programu Excel zawierające poufne dane:



POUFNE

Plik przedstawiający zdjęcie samochodu bmw32.bmp – zawierał arkusz kalkulacyjny: Plan_fundusz.xls - 45,0 KB (46 080 bytes) Plik z motywem tapety Sexy_Bikini_0362.bmp – zawierał arkusz kalkulacyjny Lista_plac_2009_01.xls - 33,5 KB (34 304 bytes) Ukryte pliki : znaleziony plik zadania.txt wewnątrz katalogu domowego użytkownika Jan Kowalskiego zawierał ukryty plik moje.txt Plik moje.txt zawierał ukryte treści: wyslac Andrzejowi fotki wyslac liste plac i plany upomniec sie o zaplata za ciezka prace ;) wyslac CV do Andrzeja Tel. do Andrzeja 500 500 xxx

Znalezione pliki wskazują jednoznacznie na złamanie tajemnicy przedsiębiorstwa przez Jana Kowalskiego poprzez ujawnienie danych poufnych. Dane zostały wysłane przy pomocy poczty elektronicznej po uprzednim ukryciu plików poufnych w plikach graficznych, które miały odwrócić uwagę czy uniemożliwić analizę wysłanych plików w systemie poczty elektronicznej. Pan Jan Kowalski działając z jasnym celem wysłania poufnych informacji, posunął się do zatarcia śladów przechowywania plików z poufnymi danymi ze swojego komputera.

Działania Pana Jana Kowalskiego były zaplanowane i przemyślane. Celem tych działań było przekazania poufnych danych firmie konkurencyjnej.

9.2 Podsumowanie aktywności i działań

10:53:59 PM, 12.03.2009 r. przesłanie linku http://www.brothersoft.com/trojan-image-security-50247.html poprzez komunikator GG przez Pana Andrzeja Nowaka do Pana Jana Kowalskiego

12.03.2009 – przygotowanie plików zawierających ukryte poufne informacje

11:28 PM, 12.03.2009 – wysłanie emaila przez Pana Jana Kowalskiego ([email protected]) do Pana Andrzeja Nowaka ([email protected]), o temacie „fajna tapeta” zawierającego Załącznik: Sexy_Bikini_0362.bmp, który ukrywał plik - arkusz kalkulacyjny Lista_plac_2009_01.xls 11:30 PM, 12.03.2009 – wysłanie emaila przez Pana Jana Kowalskiego ([email protected]) do Pana Andrzeja Nowaka ([email protected]), o temacie „obiecane foto bmw” zawierającego Załącznik: bmw32.bmp, który ukrywał plik - arkusz kalkulacyjny: Plan_fundusz.xls



POUFNE

Załącznik 1 – Tworzenie obrazu kopii bitowej Katalog \dowod\ : 2009-03-14 11:49 3˙220˙955˙136 komp_jk.dd.001 2009-03-14 11:52 7˙466˙374 komp_jk.dd.001.csv 2009-04-03 14:13 120 komp_jk.dd.001.csv.sha1 2009-04-03 14:13 116 komp_jk.dd.001.sha1 2009-04-03 11:57 959 komp_jk.dd.001.txt 2009-04-03 14:13 120 komp_jk.dd.001.txt.sha1



POUFNE

Załącznik 2 – Wykaz plików załączonych na płycie DVD Wykaz plików dołączonych do raportu znajduje się w katalogu głównym wykaz_plikow.txt

Education

Mgr k.binkowski computer_forensics_raport