¿Existe una aplicación o método para registrar las transferencias de datos?

9

Mi amigo me pidió algunos archivos que le dejé tomar de mi sistema. No lo vi haciendo eso. Luego me quedé con una duda: ¿qué archivos o datos adicionales tomó de mi sistema?

Estaba pensando en cualquier aplicación o método que muestre qué datos se copian en qué USB (si el nombre está disponible, muestra el nombre o la identificación del dispositivo) y qué datos se copian en la máquina Ubuntu . Es algo así como el historial de USB y datos del sistema. Creo que esta característica existe enKDE

Esto será realmente útil de muchas maneras. Proporciona una utilidad de monitoreo y tiempo real para monitorear las actividades de los dispositivos de almacenamiento masivo USB en cualquier máquina.

software-recommendation usb security twister_void
fuente
Comprobar inotify. Es una API, no un programa para usar de fábrica. ibm.com/developerworks/linux/library/l-ubuntu-inotify/… Puede ayudarlo a mejorar las consultas de los motores de búsqueda en busca de herramientas.
jippie
qué datos se copian en qué USB : creo que se refería a datos como cualquier archivo en todas las particiones montadas. Pero copiar archivos del sistema que le permiten leer como usuario no es peligroso, porque los archivos confidenciales del sistema pertenecen al usuario root. Entonces tu amigo no podría leerlos sin la contraseña de sudo. ¿Derecha? Este motivo es aplicable a la escritura desde usb a archivos del sistema. Es imposible escribirles sin saber la contraseña de sudo. Por lo tanto, los datos significan su contenido $ HOME . ¿Es eso correcto?
zuba
Además, ¿qué datos en $ HOME desea ver? ~ / Documents ?, ~ / .cofig ?, ~ / .anything_else?
zuba

Respuestas:

4

Puedes hacerlo:

1) Verifique los archivos: /var/log/kern.logy /var/log/kern.log.1busque la hora y fecha en que su amigo conectó el almacenamiento masivo USB. Por ejemplo, el mío dice: 

9 de abril 13:41:37 kernel desguai7: [16788.372616] Soporte de almacenamiento masivo USB registrado.
9 de abril 13:41:38 kernel desguai7: [16789.370861] scsi 6: 0: 0: 0: acceso directo SanDisk Cruzer Blade 1.20 PQ: 0 ANSI: 5
9 de abril 13:41:38 núcleo desguai7: [16789.386614] sd 6: 0: 0: 0: adjunto scsi genérico sg2 tipo 0
9 de abril 13:41:38 kernel desguai7: [16789.390966] sd 6: 0: 0: 0: [sdb] 15633408 Bloques lógicos de 512 bytes: (8.00 GB / 7.45 GiB)
9 de abril 13:41:38 kernel desguai7: [16789.392246] sd 6: 0: 0: 0: [sdb] La protección contra escritura está desactivada
9 de abril 13:41:38 kernel desguai7: [16789.392258] sd 6: 0: 0: 0: [sdb] Sentido de modo: 43 00 00 00
9 de abril 13:41:38 kernel desguai7: [16789.392980] sd 6: 0: 0: 0: [sdb] Escribir caché: deshabilitado, leer caché: habilitado, no es compatible con DPO o FUA
9 de abril 13:41:38 kernel desguai7: [16789.401326] sdb: sdb1
9 de abril 13:41:38 kernel desguai7: [16789.404486] sd 6: 0: 0: 0: [sdb] Disco extraíble SCSI adjunto

Entonces, el 9 de abril, a las 13:41 (1:41 pm), se registró un almacenamiento masivo USB (conectado) en mi computadora.

2) Ahora veamos la última vez que se accede a algunos archivos y busquemos fechas coincidentes. Abra una terminal y pegue esto: 

find ~/the/folder/noone/should/have/looked/ -exec stat -c %n%x "{}" \; | grep "2012-04-09 13:41"

Se le presentarán los nombres de archivo a los que se accedió en el momento en que se conectó el almacenamiento masivo USB.

Un pequeño truco:

Puede usar comodines con grep, como cambiar grep "2012-04-09 13:41"para grep "2012-04-09 13:4[1234]"obtener acceso a todos los archivos de 13:41 a 13:44.

ps .: No funcionará si ha accedido al archivo después de su amigo.

desgua
fuente
Es probable que necesite verificar cada momento desde entonces hasta que esté seguro de que terminó de copiar (¿cuando kern.log muestra la eliminación de USB?) ¿Cuál será una gran cantidad de declaraciones find / grep si estuvo allí incluso durante 5 minutos? No es imposible, pero necesitarás un script.
Huckle
1
Simplemente cambiaría la parte (...) grep "2012-04-09 13:41"para grep "2012-04-09 13:4"obtener acceso a todos los archivos de 13:40 a 13:49.
desgua
1
O podría cambiar grep "2012-04-09 13:41"para grep "2012-04-09 13:4[1234]"obtener acceso a todos los archivos de 13:41 a 13:44.
desgua
@este podría ser un trabajo más agitado, ¿hay algún método simple?
twister_void
pegue gedit /var/log/kern.logen la terminal, Ctrl + F para encontrar "usb mass", verifique el día y la hora en que su amigo conectó su USB y ya casi ha terminado. Finalmente abra la terminal y pegue el comando cambiando la fecha y la hora.
Pruébalo
3

Créeme, hijo, un buen hábito vale una tonelada de software (y mucho más confiable). NO prestes tu sesión a nadie. Simplemente copie los archivos que solicitó USTED MISMO y siéntase bien.

ps No existe un software de seguridad suficientemente bueno para personas inseguras.

zuba
fuente
Sí, estaba pensando en eso también mientras conducía al trabajo esta mañana. Esta es la razón por la cual existen cuentas de usuario, propiedad y permisos de archivo (+1). Las soluciones mencionadas aquí son más una respuesta a la pregunta de responsabilidad.
jippie
2

Después de media hora buscando en Internet una solución (que también me gustaría encontrar), no encontré un software para hacerlo, pero esta podría ser una alternativa: https://launchpad.net/ubuntu/lucid / amd64 / loginfs

Monitorea la E / S de un sistema de archivos, con algo de "grep" puede mostrar los datos que está buscando.

Bahaïka
fuente
Confía en sus archivos para mantenerlos seguros en un sistema de archivos. Asegúrese de que desea comenzar a usar un sistema de archivos que no haya tenido actualizaciones desde el 2008-09-03 ( sourceforge.net/projects/loggedfs/files/loggedfs ). No confiaría en mis archivos sin copias de seguridad periódicas.
jippie
0

wiresharkes capaz de monitorear todos los datos transferidos a través de USB. Aunque esta aplicación se usa principalmente para monitorear la transferencia de red, también le permite capturar paquetes USB. Tenga en cuenta que de esta manera no solo obtendrá una lista de archivos, sino una representación byte por byte de la conversación completa entre su computadora y la unidad. Sin embargo, de esta manera puedes estar completamente seguro de que nada se te oculta.

Rafał Cieślak
fuente