![[personal profile]](https://www.dreamwidth.org/img/silk/identity/user.png){kind=small}
Этюд по защите информации
Feb. 20th, 2009 12:33 pmДруг прислал скриншот (см. ниже под катом) и просил разобраться, как такое могло случиться. Весь вчерашний день (с 11 до 19 часов) он провел в местной командировке. Свой ноутбук он оставил выключенным (закрыв крышку) на своём рабочем месте. Вернувшись, он сразу же провел контрольный поиск и обнаружил, что более десятка файлов изменились за время его отсутствия (между 13.11 и 13.19). Попытка выяснить, не садился ли кто из коллег за его ноутбук, встретила решительный и возмущенный отпор.
1. Дает ли скриншот достаточные основания для того, чтобы настаивать на обвинениях в несанкционированном использовании ноутбука за время отсутствия хозяина?
2. Могло ли случиться так, что ноутбук остался недовыключенным (например, из-за неплотно прижатой крышки), а между 13.11 и 13.19 кто-то заходил на него: а) по локальной сети, б) через Wi-Fi из соседнего кабинета или здания, в) из интернета?
3. Мог ли это быть результат автоматического обновления? Возможно ли такое, что между 13.11 и 13.19 файлы обновления были записаны на сервер локальной сети, а после 19 часов переписаны с него на ноутбук, но с теми же атрибутами (включая время изменения)?
4. Могло ли случиться так, что время изменения файлов выставлено с ошибкой, либо умышленно искажено? Если это результат работы вируса, то какого именно и где его искать?
5. Как защититься от подобных вторжений (пп. 2 и 4), происходящих во время собственной работы (когда их невозможно выявить поиском изменений в файлах)?
Я намеренно сохранил формулировки версий почти в том же виде, как их высказал хозяин ноутбука. ( Read more... )
1. Дает ли скриншот достаточные основания для того, чтобы настаивать на обвинениях в несанкционированном использовании ноутбука за время отсутствия хозяина?
2. Могло ли случиться так, что ноутбук остался недовыключенным (например, из-за неплотно прижатой крышки), а между 13.11 и 13.19 кто-то заходил на него: а) по локальной сети, б) через Wi-Fi из соседнего кабинета или здания, в) из интернета?
3. Мог ли это быть результат автоматического обновления? Возможно ли такое, что между 13.11 и 13.19 файлы обновления были записаны на сервер локальной сети, а после 19 часов переписаны с него на ноутбук, но с теми же атрибутами (включая время изменения)?
4. Могло ли случиться так, что время изменения файлов выставлено с ошибкой, либо умышленно искажено? Если это результат работы вируса, то какого именно и где его искать?
5. Как защититься от подобных вторжений (пп. 2 и 4), происходящих во время собственной работы (когда их невозможно выявить поиском изменений в файлах)?
Я намеренно сохранил формулировки версий почти в том же виде, как их высказал хозяин ноутбука. ( Read more... )
