Existe um aplicativo ou método para registrar as transferências de dados?

9

Meu amigo me pediu alguns arquivos que eu o deixei tirar do meu sistema. Eu não vi ele fazendo isso. Então fiquei com uma dúvida: que arquivos ou dados extras ele tirou do meu sistema?

Eu estava pensando aqui é qualquer aplicativo ou método que mostra quais dados são copiados para qual USB (se o nome disponível mostra o nome ou a identificação do dispositivo) e quais dados estão sendo copiados para a máquina Ubuntu . É um pouco como a história dos dados do USB e do sistema. Eu acho que esse recurso existeKDE

Isso será realmente útil de várias maneiras. Ele fornece um utilitário de monitoramento e tempo real para monitorar as atividades dos dispositivos de armazenamento em massa USB em qualquer máquina.

software-recommendation usb security twister_void
fonte
Verifique inotify. É uma API, não um programa para usar imediatamente. ibm.com/developerworks/linux/library/l-ubuntu-inotify/… Isso pode ajudá-lo a fazer melhores consultas aos mecanismos de pesquisa procurando ferramentas.
jippie
quais dados são copiados para qual USB - acho que você quis dizer dados como qualquer arquivo em todas as partições montadas. Mas copiar arquivos do sistema que permitem a leitura como usuário não é perigoso, pois os arquivos sensíveis do sistema pertencem ao usuário root. Portanto, seu amigo não pôde lê-los sem a senha do sudo. Direita? Este motivo é aplicável à gravação de arquivos USB em arquivos do sistema. É impossível escrever para eles sem saber a senha do sudo. Assim, dados significam o seu conteúdo $ HOME . Isso está correto?
Zub #
Além disso, quais dados em $ HOME você deseja assistir? ~ / Documents ?, ~ / .cofig ?, ~ / .anything_else?
Zub #

Respostas:

4

Você consegue fazer isso:

1) Verifique os arquivos: /var/log/kern.loge /var/log/kern.log.1pesquise a hora e a data em que seu amigo conectou o armazenamento em massa USB. Por exemplo, o meu diz: 

9 de abril 13:41:37 kernel desguai7: [16788.372616] Suporte para armazenamento em massa USB registrado.
9 de abril 13:41:38 kernel desguai7: [16789.370861] scsi 6: 0: 0: 0: SanDisk Cruzer Blade de acesso direto 1,20 PQ: 0 ANSI: 5
9 de abril 13:41:38 kernel desguai7: [16789.386614] sd 6: 0: 0: 0: Attached scsi generic sg2 type 0
9 de abril 13:41:38 kernel desguai7: [16789.390966] sd 6: 0: 0: 0: [sdb] 15633408 blocos lógicos de 512 bytes: (8,00 GB / 7,45 GiB)
9 de abril 13:41:38 desguai7 kernel: [16789.392246] sd 6: 0: 0: 0: [sdb] A proteção de gravação está desativada
9 de abril 13:41:38 kernel desguai7: [16789.392258] sd 6: 0: 0: 0: [sdb] Sentido do modo: 43 00 00 00
9 de abril 13:41:38 kernel desguai7: [16789.392980] sd 6: 0: 0: 0: [sdb] Cache de gravação: desativado, cache de leitura: ativado, não suporta DPO ou FUA
9 de abril 13:41:38 kernel desguai7: [16789.401326] sdb: sdb1
9 de abril 13:41:38 kernel desguai7: [16789.404486] sd 6: 0: 0: 0: [sdb] Disco removível SCSI anexado

Então, em 9 de abril, às 13:41 (13:41), um armazenamento em massa USB foi registrado (conectado) no meu computador.

2) Agora vamos ver a última vez que alguns arquivos são acessados ​​e procurar datas correspondentes. Abra um terminal e cole este: 

find ~/the/folder/noone/should/have/looked/ -exec stat -c %n%x "{}" \; | grep "2012-04-09 13:41"

Você receberá os nomes dos arquivos que foram acessados ​​no momento em que o armazenamento em massa USB foi conectado.

Um pequeno truque:

Você pode usar curingas com grep, como alterar grep "2012-04-09 13:41"para grep "2012-04-09 13:4[1234]"obter todos os arquivos acessados ​​de 13:41 a 13:44.

ps .: Não funcionará se você tiver acessado o arquivo após o seu amigo.

desgua
fonte
Você provavelmente precisaria verificar cada momento a partir de então, até ter certeza de que ele havia terminado de copiar (quando o kern.log mostra a remoção do USB?). Não é impossível, mas você precisará de um script.
Huckle
1
Ele simplesmente mudava a parte (...) grep "2012-04-09 13:41"para grep "2012-04-09 13:4"obter todos os arquivos acessados ​​de 13:40 para 13:49.
desgua
1
Ou ele pode mudar grep "2012-04-09 13:41"para grep "2012-04-09 13:4[1234]"obter todos os arquivos acessados ​​das 13:41 às 13:44.
desgua
@ isso poderia ser um trabalho mais agitado, existe algum método simples.
Twister_void
cole gedit /var/log/kern.logno terminal, Ctrl + F para encontrar "usb mass", verifique o dia e a hora em que seu amigo conectou o USB e você está quase terminando. Por fim, abra o terminal e cole o comando alterando a data e a hora. Faça um teste ;-)
desgua
3

Acredite em mim, filho, um bom hábito vale uma tonelada de software (e muito mais confiável). NÃO empreste sua sessão a ninguém. Basta copiar os arquivos que você pediu e se sentir bem.

ps Não existe software de segurança suficientemente bom para pessoas inseguras.

zuba
fonte
Yeah estava pensando nisso também enquanto dirigia para o trabalho esta manhã. Esta é a razão pela qual existem contas de usuário, propriedade e permissões de arquivo (+1). As soluções mencionadas aqui são mais uma resposta para a questão da responsabilidade.
jippie
2

Depois de meia hora procurando na Internet por uma solução (que eu gostaria de encontrar também), não encontrei um software para fazer isso, mas isso pode ser uma alternativa: https://launchpad.net/ubuntu/lucid / amd64 / loggedfs

Ele monitora a E / S de um sistema de arquivos, com algum "grep" que você pode mostrar os dados que está procurando?

Bahaïka
fonte
Você confia em seus arquivos para manter um sistema de arquivos em segurança. Tenha certeza absoluta de que deseja começar a usar um sistema de arquivos que não possui nenhuma atualização desde 03/09/2008 ( sourceforge.net/projects/loggedfs/files/loggedfs ). Eu não confiaria em meus arquivos sem backups regulares.
jippie
0

wiresharké capaz de monitorar todos os dados transferidos via USB. Embora esse aplicativo seja usado principalmente para monitorar a transferência de rede, ele também permite capturar pacotes USB. Observe que, dessa forma, você não obterá apenas uma lista de arquivos, mas uma representação de byte a byte da conversa completa entre o computador e a unidade. No entanto, dessa forma, você pode ter certeza absoluta de que nada ficará oculto!

Rafał Cieślak
fonte