Mts2009 krzysztof binkowski - praktyczne spojrzenie na zastosowanie smartca...
Mgr k.binkowski computer_forensics_raport
1. Firma “COMPANY” 1 of 14
Raport z przeprowadzonego śledztwa komputerowego
2009.03.30
POUFNE
WYŻSZA SZKOŁA INFORMATYKI STOSOWANEJ
I ZARZĄDZANIA
pod auspicjami Polskiej Akademii Nauk
WYDZIAŁ INFORMATYKI
Raport z przeprowadzonego wewnętrznego śledztwa
komputerowego
Przygotowany na zlecenie
Zarządu firmy “COMPANY”
Autor: Krzysztof Bińkowski
Krzysztof
Binkowski
Digitally signed by Krzysztof Binkowski
DN: sn=Binkowski,
givenName=Krzysztof, cn=Krzysztof
Binkowski,
email=Krzysztof.Binkowski@gmail.com
Date: 2009.10.13 00:58:35 +02'00'
2. Firma “COMPANY” 2 of 14
Raport z przeprowadzonego śledztwa komputerowego
2009.03.30
POUFNE
Spis treści
1. Wprowadzenie .................................................................................................................................3
1.1 Rodzaj incydentu .......................................................................................................................3
1.1.1 Miejsce zdarzenia ...............................................................................................................3
2. POSZKODOWANY.........................................................................................................................3
2.1 Poszkodowany...........................................................................................................................3
3. Lokalizacja dowodu elektronicznego..................................................................................................3
3.1 Opis dowodu .............................................................................................................................3
3.1.1 Opis systemu, sieci oraz serwerów........................................................................................3
3.2 Szczegóły zabezpieczenia podejrzanego komputera.......................................................................3
3.3 Szczegółowe działanie (Łańcuch dowodowy) ...............................................................................4
3.4 Umiejscowienie i lokalizacja dowodu ..........................................................................................4
4. DEFINICJE .....................................................................................................................................4
4.1 Wykorzystane narzędzia .............................................................................................................4
4.1.1 Informacje na temat wykorzystanych licencji.........................................................................4
5. ZABEZPIECZANIE DOWODU........................................................................................................5
5.1 Procedura potwierdzająca autentyczność dowodu..........................................................................5
5.1.1 Procedury...........................................................................................................................5
5.1.2 Wynik................................................................................................................................5
5.1.3 Weryfikacja........................................................................................................................5
5.2 Tworzenie kopi bitowej ..............................................................................................................5
5.2.1 Procedury...........................................................................................................................5
5.2.2 Wynik................................................................................................................................5
5.2.3 Weryfikacja........................................................................................................................6
6. WSTĘPNE OSZACOWANIE ZGROMADZONYCH DANYCH.........................................................6
6.1 Szczegóły istniejących danych.....................................................................................................6
6.1.1 Pliki systemu operacyjnego Windows XP Professional wersja angielska .................................. 6
6.1.2 Profil z danymi osobistymi użytkownika JKowalski...............................................................6
7. ANALIZA -wykaz czynności ............................................................................................................6
7.1 Procedury..................................................................................................................................6
7.1.1 Uruchomienie systemu wirtualnego na bazie przygotowanego obrazu systemu komp_jk.dd.0016
7.1.2 Uruchomienie podejrzanego systemu....................................................................................7
7.1.3 Zbadanie wykasowanych plików ..........................................................................................7
7.1.4 Szczegółowa analiza komputera wraz z listą zainstalowanych programów................................ 7
7.1.5 Analiza śladów i logów komunikatora GADUGADU.............................................................7
7.1.6 Analiza śladów i logów komunikatora SKYPE ......................................................................7
7.1.7 Analiza poczty elektronicznej...............................................................................................8
7.1.8 Analiza załączników ...........................................................................................................8
7.1.9 Alternatywne strumienie danych...........................................................................................9
8. WYNIKI........................................................................................................................................10
8.1 Podsumowanie - znalezione pliki...............................................................................................10
8.1.1 Plik poczty elektronicznej Outlook.pst ................................................................................10
8.1.2 Pliki tekstowe zawierające ukryte informacje.......................................................................10
8.2 Podsumowanie - znalezione pliki graficzne.................................................................................11
8.2.1 Pliki graficzne zawierające ukryte informacje......................................................................11
9. Wnioski.........................................................................................................................................11
9.1 Podsumowanie.........................................................................................................................11
9.2 Podsumowanie aktywności i działań ..........................................................................................12
3. Firma “COMPANY” 3 of 14
Raport z przeprowadzonego śledztwa komputerowego
2009.03.30
POUFNE
1. WPROWADZENIE
1.1 Rodzaj incydentu
Udostępnienie poufnych danych objętych tajemnicą przedsiębiorstwa przez pracownika firmy „COMPANY”
z wykorzystaniem komputera firmowego.
1.1.1 Miejsce zdarzenia
Siedziba firmy “COMPANY”, Warszawa, sieć lokalna podłączona do Internetu.
2. POSZKODOWANY
2.1 Poszkodowany
Firma “COMPANY”, Warszawa
3. Lokalizacja dowodu elektronicznego
3.1 Opis dowodu
3.1.1 Opis systemu, sieci oraz serwerów
Komputer pracujący jako stacja robocza, podłączony do firmowej sieci bezpośrednio w sieci LAN. Klasyczny
komputer zawierający aplikację Microsoft Office 2003. Komputer został zainstalowany i przygotowany jako
wirtualna maszyna pracująca w środowisku VMware z podłączeniem do Internetu.
Nazwa komputera KRZYSZTO-287616
3.1.1.1 System
Operating System: Microsoft(R) Windows XP Professional
Manufacturer: VMware, Inc.
Product Name: VMware Virtual Platform
Serial Number : VMware-56 4d 2f 80 30 12 0a 48-6f 7c 92 a1 ee 38 39 72
Asset Tag : No Asset Tag
3.2 Szczegóły zabezpieczenia podejrzanego komputera
Komputer zabezpieczono na podstawie pisemnego upoważnienia wydanego przez Zarząd firmy “COMPANY”.
Zabezpieczenia dokonano dnia 14 marca 2009 o godz. 11.30.
4. Firma “COMPANY” 4 of 14
Raport z przeprowadzonego śledztwa komputerowego
2009.03.30
POUFNE
3.3 Szczegółowe działanie (Łańcuch dowodowy)
2009.03.14 – godz. 11.30 – zabezpieczenie komputera / Krzysztof Bińkowski / COMPANY
2009.03.14 – godz. 11.49 – wykonanie kopii bitowej z dysku twardego / Krzysztof Bińkowski / COMPANY
2009.03.14 – godz. 12.30 – zdeponowanie komputera w magazynie / Krzysztof Bińkowski / COMPANY
3.4 Umiejscowienie i lokalizacja dowodu
Dowód w postaci zabezpieczonego komputera, po wykonaniu kopi bitowej dysku twardego, został umieszczony w
bezpiecznym miejscu – magazyn IT firmy „COMPANY”. Dostęp do tego pomieszczenia posiada tylko dział IT
uczestniczący w śledztwie oraz zarząd firmy “COMPANY”. Pomieszczenie wyklucza dostęp osób postronnych.
Komputer został zdeponowany w magazynie IT firmy „COMPANY” w dniu 14 marca 2009 o godz. 12.30
4. DEFINICJE
4.1 Wykorzystane narzędzia
Helix_V1.9-07-13a-2007.iso
FTK Imager v. 2.5.3.14
Live View 0.7b
RECUVA w wersji 1.24.399
GGTols 2.6 release 3
RecoverMyEmail
Trojan Image Security v.1.0
SkypeLogView v.1.10
PstPassword v.1.12
STREAMS v1.56
FCIV
4.1.1 Informacje na temat wykorzystanych licencji
Programy wykorzystane do analizy danych posiadają licencję typu Freeware oprócz RecoverMyEmail, gdzie
wykorzystano wersję demonstracyjną produktu
5. Firma “COMPANY” 5 of 14
Raport z przeprowadzonego śledztwa komputerowego
2009.03.30
POUFNE
5. ZABEZPIECZANIE DOWODU
5.1 Procedura potwierdzająca autentyczność dowodu
5.1.1 Procedury
Obraz dysku wykonany przy pomocy program FTK Image, który automatycznie wykonuje funkcję skrótu
z wykonanej kopii bitowej dysku
5.1.2 Wynik
[Computed Hashes]
MD5 checksum: f813c6c709c1602b8145a1ddc2b7e99d
SHA1 checksum: 2ffef538eabb22226d622dd05c8ae0aa0fcc2db3
5.1.3 Weryfikacja
Image Verification Results:
Verification started: Fri Apr 03 11:56:39 2009
Verification finished: Fri Apr 03 11:57:47 2009
MD5 checksum: f813c6c709c1602b8145a1ddc2b7e99d : verified
SHA1 checksum: 2ffef538eabb22226d622dd05c8ae0aa0fcc2db3 : verified
5.2 Tworzenie kopi bitowej
5.2.1 Procedury
Kopia bitowa wykonana przy pomocy program FTK Imager, plik zapisano w formacie DD ( RAW)
komp_jk.dd.001 - 2,99 GB (3 220 955 136 bytes) – obraz dysku komputera
komp_jk.dd.001.txt – informacje szczegółowe na temat badanego dysku oraz obliczono funkcje skrótu dla
wykonanego obrazu:
MD5 checksum: f813c6c709c1602b8145a1ddc2b7e99d
SHA1 checksum: 2ffef538eabb22226d622dd05c8ae0aa0fcc2db3
komp_jk.dd.001.csv – wykaz wszystkich plików wykonany podczas tworzenia obrazu
5.2.2 Wynik
Information for .hostShared Foldersc2cdowodkomp_jk.dd:
Physical Evidentiary Item (Source) Information:
[Drive Geometry]
Cylinders: 780
Tracks per Cylinder: 128
Sectors per Track: 63
Bytes per Sector: 512
Sector Count: 6,290,928
[Physical Drive Information]
6. Firma “COMPANY” 6 of 14
Raport z przeprowadzonego śledztwa komputerowego
2009.03.30
POUFNE
Drive Model: VMware Virtual IDE Hard Drive
Drive Serial Number: 3030303030303030303030303030303030303130
Drive Interface Type: IDE
Source data size: 3071 MB
Sector count: 6290928
[Computed Hashes]
MD5 checksum: f813c6c709c1602b8145a1ddc2b7e99d
SHA1 checksum: 2ffef538eabb22226d622dd05c8ae0aa0fcc2db3
Image Information:
Segment list:
.hostShared Foldersc2cdowodkomp_jk.dd.001
5.2.3 Weryfikacja
Image Verification Results:
Verification started: Fri Apr 03 11:56:39 2009
Verification finished: Fri Apr 03 11:57:47 2009
MD5 checksum: f813c6c709c1602b8145a1ddc2b7e99d : verified
SHA1 checksum: 2ffef538eabb22226d622dd05c8ae0aa0fcc2db3 : verified
6. WSTĘPNE OSZACOWANIE ZGROMADZONYCH DANYCH
6.1 Szczegóły istniejących danych
6.1.1 Pliki systemu operacyjnego Windows XP Professional wersja angielska
Pliki systemowe wraz z profilami użytkowników, do wstępnej analizy wykorzystano plik
dowodkomp_jk.dd.001.csv, który zawiera listę wszystkich plików. Plik został utworzony podczas wykonywania
kopii bitowej obrazu dysku.
6.1.2 Profil z danymi osobistymi użytkownika JKowalski
Profil użytkownika zawierający ustawienia systemowe oraz pliki osobiste
7. ANALIZA -wykaz czynności
7.1 Procedury
7.1.1 Uruchomienie systemu wirtualnego na bazie przygotowanego obrazu systemu komp_jk.dd.001
Wykorzystano aplikację Life View 0.7b, która przygotowała wirtualną maszynę system WMware, na podstawie
przygotowanego obrazu w formacie DD (RAW). Program Life View przygotował wirtualną maszynę wraz z
dodatkowym wirtualnym dyskiem niezbędnym do uruchomienia systemu, gdzie zostaną zapisane wszelkie operacje
na dysku. Zabezpieczony plik obrazu, został podłączano w trybie tylko do odczytu, aby uniemożliwić wszelkie
zmiany danych na badanym obrazie dysku.
7. Firma “COMPANY” 7 of 14
Raport z przeprowadzonego śledztwa komputerowego
2009.03.30
POUFNE
7.1.2 Uruchomienie podejrzanego systemu
System został uruchomiony w systemie VMware Workstation, do zalogowania się do systemy wykorzystano konto
lokalnego administratora” Administrator”, hasło znane osobie badającej.
7.1.3 Zbadanie wykasowanych plików
Przeanalizowano system pod katem usuniętych plików programem RECUVA w wersji 1.24.399. Wyniki
odzyskanych plików znajdują się w raport.mgrrecuva, łączenie odzyskano 406 plików. Po szczegółowej analizie,
zwrócono uwagę na pliki:
• [000147].xls - 33,5 KB (34 304 bytes) – zawierający plany firmy
• [000002].xls - 44,7 KB (45 864 bytes) – zawierający listę płac
Zawartość plików została odzyskana z sektorów jeszcze nienadpisanych przez inne dane, co świadczy o tym, że
pliki zostało celowo usunięte w ostatniej chwili, brak informacji na temat właściciela i znaczników czasu
związanych z tymi plikami.
Pliki znajdują się w katalogu raport.mgrrecuva_pliki i mają następujące sumy kontrolne;
SHA1 - 639b3d793c250f9b8eae249108bdc79aa9e63787 [000147].xls
SHA1 - 485d54f66527e6baf46eb9b854e95abb4c84712c [000002].xls
7.1.4 Szczegółowa analiza komputera wraz z listą zainstalowanych programów
Do analizy wykorzystano program WinAudit, znajdujący się na w narzędziu HELIX v.1.9
Raport przedstawiający szczegółowe dane na temat badanego systemu i komputera znajduje się w pliku
raport.mgrwinaudit KRZYSZTO-287616.pdf
SHA1 - 3c4313ab77063b88f07a3d9530f68c58ac0a8e5a krzyszto-287616.pdf
7.1.5 Analiza śladów i logów komunikatora GADUGADU
Do zbadania archiwum programu GaduGadu, wykorzystano narzędzie GGTols 2.6 release 3
Badany plik - C:Documents and SettingsJKowalskiGadu-GaduJaarchives.dat
Wyniki zapisano w pliku raport.mgrggraport_gg.txt
Analiza raportu wskazuje na komunikację z Panem Andrzejem Nowakiem. Znaleziono wskazówkę – adres
http://www.brothersoft.com/trojan-image-security-50247.html, który wskazuje na zainteresowanie programem
Trojan Image Security 1.0, służącym do ukrywania plików wewnątrz plików graficznych.
Po sprawdzeniu komputera, program ten został zainstalowany na badanym komputerze w dniu 12.03.2009.
SHA1 - b08d56c8088cd7014c35910ad3ecc21d raport_gg.txt
7.1.6 Analiza śladów i logów komunikatora SKYPE
Do sprawdzenia archiwum SKYPE, znajdującego się w pliku C:Documents and SettingsJKowalskiApplication
DataSkypejkowalski3456main.db wykorzystano program SkypeLogView v.1.10, plik logu został zapisany w
raport.mgrskype skypelog.mht –
SHA1 - e4009a97969cbbaede5ad89025fae344a9687bc3 skypelog.mht
8. Firma “COMPANY” 8 of 14
Raport z przeprowadzonego śledztwa komputerowego
2009.03.30
POUFNE
Analiza pliku logów programu Skype nie wniosła nic nowego do analizy, w tym przykładzie zauważamy, że nie
zawsze znajdziemy jakieś dowody czy ślady.
7.1.7 Analiza poczty elektronicznej
Do analizy znalezionego pliku C:Documents and SettingsJKowalskiLocal SettingsApplication
DataMicrosoftOutlookOutlook.pst wykorzystano program Outlook zainstalowany na badanym komputerze,
wykorzystując profil Administratora. Przy próbie otworzenia pliku, okazało się, że plik jest zabezpieczony hasłem.
Do dalszej analizy niezbędne było odzyskanie hasła do pliku poczty. Do tego celu wykorzystano darmowy program
PstPassword v.1.12. Korzystając z programu odzyskano kilka haseł, pozwalających na dostęp do badanego pliku
poczty. Raport z odzyskanymi hasłami został zapisany w raport.mgroutlook PST Passwords List.mht. Przy
pomocy odzyskanego hasła otworzono plik z pocztą Pana Jana Kowalskiego.
SHA1 - 7542d98b48ca3dd6a20f4acf3a1567afeafc6c97 outlook.pst
SHA1 - ee1cb368e86a76fb66b23715f5288ab005b2f6f1 pst passwords list.mht
Po analizie zawartych w pliku wiadomości, ustalono liczne dowody komunikacji pomiędzy Panami Janem
Kowalskim i Andrzejem Nowakiem. Analiza pozwoliła ustalić, iż Jan Kowalski wysłał dwa emaile pliki
załącznikami do Pana Andrzeja Nowaka. Szczegóły wykrytych wiadomości poniżej:
Od: Jan Kowalski [jkowalski3456@wp.pl]
Wysłano: Thursday, March 12, 2009 11:30 PM
Do: 'anowak3456@wp.pl'
Temat: obiecane foto bmw
Załącznik: bmw32.bmp
SHA1 - f36245ae46da1598479ab2a6ecbf790c7cd2e98f bmw32.bmp
Od: Jan Kowalski [jkowalski3456@wp.pl]
Wysłano: Thursday, March 12, 2009 11:28 PM
Do: 'anowak3456@wp.pl'
Temat: fajna tapeta
Załącznik: Sexy_Bikini_0362.bmp
SHA1 - 0d173fd99efaeefb0f16c8e771e1f61ebe11f546 sexy_bikini_0362.bmp
Pliki te poddano dalszej analizie.
7.1.8 Analiza załączników
W pierwszej kolejności odszukano pliki znalezione w poczcie elektronicznej, Pliki bmw3.bmp i
bmw32.bmp znajdujące się w katalogu:
C:Documents and SettingsJKowalskiMy Documentssamochody
oraz pliki Sexy_Bikini_036.bmp i Sexy_Bikini_0362.bmp znajdujące się w katalogu
C:Documents and SettingsJKowalskiMy Documentsfotki
Pozornie wyglądające i identyczne co do wielkości pliki bmw3.bmp i bmw32.bmp, zostały przejrzane i
wyświetlone za pomocą wbudowanego programu do przeglądania plików graficznych. Różnic wizualnych nie
dostrzeżono.
W kolejnym kroku poddano pliki porównaniu binarnym za pomocą wbudowanego programu FC (File Compare):
9. Firma “COMPANY” 9 of 14
Raport z przeprowadzonego śledztwa komputerowego
2009.03.30
POUFNE
FC bmw3.bmp bmw32.bmp > wynik.txt
Porównanie plików pozwoliło stwierdzić, że to są różne pliki pod kątem zawartości i mogą zawierać ukryte dane.
W identyczny sposób porównano pliki Sexy_Bikini_036.bmp i Sexy_Bikini_0362.bmp, pliki również były rózne
pod katem zawartości i mogą zawierać ukryte dane.
Na badanym komputerze został znaleziony program „Trojan Image Security 1.0”. Za jego pomocą,
otworzono i zbadano wysłane załączniki - pliki - bmw32.bmp i Sexy_Bikini_0362.bmp
Po analizie wskazanych plików stwierdzono, iż w przesłanych plikach graficznych były ukryte pliki
programu Excel zawierające poufne dane:
Plik przedstawiający zdjęcie samochodu bmw32.bmp – zawierał arkusz kalkulacyjny: Plan_fundusz.xls - 45,0 KB
(46 080 bytes)
Plik z motywem tapety Sexy_Bikini_0362.bmp – zawierał arkusz kalkulacyjny Lista_plac_2009_01.xls - 33,5
KB (34 304 bytes)
Ukryte pliki oraz pliki, w których ukryto dane zostały umieszczone w katalogu raport.mgrsteganografia
SHA1 – 32cdbfa70b69d87049cea9cdd7eef061172c40f9 plan_fundusz.xls
SHA1 - 5727b83c24e2d62374913a4d76cd6e23b7ac4daa lista_plac_2009_01.xls
7.1.9 Alternatywne strumienie danych
Komputer poddano analizie pod kątem ukrytych plików w alternatywnych strumieniach danych. Do analizy
wykorzystano darmową aplikację STREAMS v1.56, wynik poszukiwań został umieszczony w
raport.mgradsads.txt.
SHA1 - b7fb9e5fcedccb2cd50b5a45bd3ca2b8e04ea8b4 ads.txt
Podejrzenie wzbudził znaleziony plik zadania.txt wewnątrz katalogu domowego użytkownika Jan Kowalskiego,
który zawierał ukryty plik moje.txt
c:Documents and SettingsJKowalskiMy Documentszadaniazadania.txt:moje.txt:$DATA 165
Zawartość plików zbadano przy pomocy notatnika. Wykorzystano polecenie
Notepad zadania.txt
Notepad zadania.txt:moje.txt
Następnie pliki wyeksportowano przy pomocy programu FTK Imager i umieszczono w katalogu raport.mgrads
Plik moje.txt zawierał ukryte treści:
wyslac Andrzejowi fotki
wyslac liste plac i plany
upomniec sie o zaplata za ciezka prace ;)
wyslac CV do Andrzeja
Tel. do Andrzeja 500 500 xxx
10. Firma “COMPANY” 10 of 14
Raport z przeprowadzonego śledztwa komputerowego
2009.03.30
POUFNE
SHA1- 3249f1f448575c8d91adce1a71c3c5db0f1d443b zadania.txt
SHA1 - 200dc097b3b92d6eafa5bd14174369ed43e910a2 moje.txt
8. WYNIKI
8.1 Podsumowanie - znalezione pliki
8.1.1 Plik poczty elektronicznej Outlook.pst
C:Documents and SettingsJKowalskiLocal SettingsApplication DataMicrosoftOutlookOutlook.pst
SHA1 - 7542d98b48ca3dd6a20f4acf3a1567afeafc6c97 outlook.pst
Szczegóły wykrytych wiadomości wskazujące na wysłanie poufnych informacji poniżej:
Od: Jan Kowalski [jkowalski3456@wp.pl]
Wysłano: Thursday, March 12, 2009 11:30 PM
Do: 'anowak3456@wp.pl'
Temat: obiecane foto bmw
Załącznik: bmw32.bmp
SHA1 - f36245ae46da1598479ab2a6ecbf790c7cd2e98f bmw32.bmp
Od: Jan Kowalski [jkowalski3456@wp.pl]
Wysłano: Thursday, March 12, 2009 11:28 PM
Do: 'anowak3456@wp.pl'
Temat: fajna tapeta
Załącznik: Sexy_Bikini_0362.bmp
SHA1 - 0d173fd99efaeefb0f16c8e771e1f61ebe11f546 sexy_bikini_0362.bmp
8.1.2 Pliki tekstowe zawierające ukryte informacje
Plik zadania.txt wewnątrz katalogu domowego użytkownika Jan Kowalskiego, który zawierał ukryty plik
moje.txt
c:Documents and SettingsJKowalskiMy Documentszadaniazadania.txt:moje.txt:$DATA 165
Plik moje.txt zawierał ukryte treści:
wyslac Andrzejowi fotki
wyslac liste plac i plany
upomniec sie o zaplata za ciezka prace ;)
wyslac CV do Andrzeja
Tel. do Andrzeja 500 500 xxx
SHA1- 3249f1f448575c8d91adce1a71c3c5db0f1d443b zadania.txt
SHA1 - 200dc097b3b92d6eafa5bd14174369ed43e910a2 moje.txt
11. Firma “COMPANY” 11 of 14
Raport z przeprowadzonego śledztwa komputerowego
2009.03.30
POUFNE
8.2 Podsumowanie - znalezione pliki graficzne
8.2.1 Pliki graficzne zawierające ukryte informacje
Plik przedstawiający zdjęcie samochodu bmw32.bmp – zawierał arkusz kalkulacyjny: Plan_fundusz.xls - 45,0 KB
(46 080 bytes)
Plik z motywem tapety Sexy_Bikini_0362.bmp – zawierał arkusz kalkulacyjny Lista_plac_2009_01.xls - 33,5
KB (34 304 bytes)
Ukryte pliki oraz pliki, w których ukryto dane zostały umieszczone w katalogu raport.mgrsteganografia
SHA1 – 32cdbfa70b69d87049cea9cdd7eef061172c40f9 plan_fundusz.xls
SHA1 - 5727b83c24e2d62374913a4d76cd6e23b7ac4daa lista_plac_2009_01.xls
9. WNIOSKI
9.1 Podsumowanie
Na badanych komputerze znaleziono liczne ślady komunikacji pomiędzy podejrzanym osobami
Panem Janem Kowalskim a Panem Andrzejem Nowakiem.
Pan Jan Kowalski – był w stałym kontakcie z Panem Andrzejem Nowakiem – o czym świadczy archiwum
GaduGadu. Z komunikacji pomiędzy obu panami wynika, iż Pan Andrzej Nowak poinstruował Pana Kowalskiego
jak ukryć dane i wysłać je poprzez pocztę email.
Analiza archiwum GaduGadu wskazuje na bezpośrednią komunikację z Panem Andrzejem Nowakiem. Znaleziono
również wskazówkę – adres http://www.brothersoft.com/trojan-image-security-50247.html, który wskazuje na
zainteresowanie programem Trojan Image Security 1.0, służącym do ukrywania plików wewnątrz plików
graficznych. Program Trojan Image Security 1.0 został zainstalowany na badanym komputerze w dniu 12.03.2009.
Po analizie zawartych w pliku poczty wiadomości, ustalono liczne dowody komunikacji pomiędzy Panami Janem
Kowalskim i Andrzejem Nowakiem. Analiza pozwoliła ustalić, iż Jan Kowalski wysłał dwa emaile pliki z
załącznikami do Pana Andrzeja Nowaka. Szczegóły wykrytych wiadomości poniżej:
Od: Jan Kowalski [jkowalski3456@wp.pl]
Wysłano: Thursday, March 12, 2009 11:28 PM
Do: 'anowak3456@wp.pl'
Temat: fajna tapeta
Załącznik: Sexy_Bikini_0362.bmp
Od: Jan Kowalski [jkowalski3456@wp.pl]
Wysłano: Thursday, March 12, 2009 11:30 PM
Do: 'anowak3456@wp.pl'
Temat: obiecane foto bmw
Załącznik: bmw32.bmp
W przesłanych plikach graficznych były ukryte pliki programu Excel zawierające poufne dane:
12. Firma “COMPANY” 12 of 14
Raport z przeprowadzonego śledztwa komputerowego
2009.03.30
POUFNE
Plik przedstawiający zdjęcie samochodu bmw32.bmp – zawierał arkusz kalkulacyjny: Plan_fundusz.xls - 45,0 KB
(46 080 bytes)
Plik z motywem tapety Sexy_Bikini_0362.bmp – zawierał arkusz kalkulacyjny Lista_plac_2009_01.xls - 33,5
KB (34 304 bytes)
Ukryte pliki :
znaleziony plik zadania.txt wewnątrz katalogu domowego użytkownika Jan Kowalskiego zawierał ukryty plik
moje.txt
Plik moje.txt zawierał ukryte treści:
wyslac Andrzejowi fotki
wyslac liste plac i plany
upomniec sie o zaplata za ciezka prace ;)
wyslac CV do Andrzeja
Tel. do Andrzeja 500 500 xxx
Znalezione pliki wskazują jednoznacznie na złamanie tajemnicy przedsiębiorstwa przez Jana Kowalskiego poprzez
ujawnienie danych poufnych. Dane zostały wysłane przy pomocy poczty elektronicznej po uprzednim ukryciu
plików poufnych w plikach graficznych, które miały odwrócić uwagę czy uniemożliwić analizę wysłanych plików
w systemie poczty elektronicznej. Pan Jan Kowalski działając z jasnym celem wysłania poufnych informacji,
posunął się do zatarcia śladów przechowywania plików z poufnymi danymi ze swojego komputera.
Działania Pana Jana Kowalskiego były zaplanowane i przemyślane. Celem tych działań było przekazania poufnych
danych firmie konkurencyjnej.
9.2 Podsumowanie aktywności i działań
10:53:59 PM, 12.03.2009 r. przesłanie linku http://www.brothersoft.com/trojan-image-security-50247.html
poprzez komunikator GG przez Pana Andrzeja Nowaka do Pana Jana Kowalskiego
12.03.2009 – przygotowanie plików zawierających ukryte poufne informacje
11:28 PM, 12.03.2009 – wysłanie emaila przez Pana Jana Kowalskiego (jkowalski3456@wp.pl) do Pana Andrzeja
Nowaka (anowak3456@wp.pl), o temacie „fajna tapeta” zawierającego Załącznik: Sexy_Bikini_0362.bmp, który
ukrywał plik - arkusz kalkulacyjny Lista_plac_2009_01.xls
11:30 PM, 12.03.2009 – wysłanie emaila przez Pana Jana Kowalskiego (jkowalski3456@wp.pl) do Pana Andrzeja
Nowaka (anowak3456@wp.pl), o temacie „obiecane foto bmw” zawierającego Załącznik: bmw32.bmp, który
ukrywał plik - arkusz kalkulacyjny: Plan_fundusz.xls
14. Firma “COMPANY” 14 of 14
Raport z przeprowadzonego śledztwa komputerowego
2009.03.30
POUFNE
Załącznik 2 – Wykaz plików załączonych na płycie DVD
Wykaz plików dołączonych do raportu znajduje się w katalogu głównym
wykaz_plikow.txt