BAKGRUND
Personer som lämnar sin anställning och konsulter som lämnar sina uppdrag tar många gånger med sig digitala kopior av den information de själva producerat tillsammans med annan "bra-att-ha" information, t.ex. ekonomiska kalkyler/mallar, kunduppgifter/kunddatabaser, källkod/skript, ritningar, upphovsrättsligt skyddade bilder, nätverksdesign, etc. Det enklaste sättet att kopiera information är till ett anslutet USB-minne. Genom att göra det, så kringgås de säkerhetsmekanismer som eventuellt finns i datornätverket för att upptäcka t.ex. filkopiering till externa molntjänster.
Utifrån erfarenheter från fler än 800 IT-forensiska utredningar, så vill vi dela med oss av viktig information angående brister i hur filkopiering registreras i en Windows-dator.
Vid IT-forensiska utredningar, ser vi ofta att flera nya USB-minnen anslutits precis innan en individ avslutar sitt uppdrag. Vår uppdragsgivare vet inte varför detta har skett och inga USB-minnen har återlämnats till företaget. Utifrån ett IT-forensiskt perspektiv är det dock mycket svårt (för det mesta omöjligt) att exakt kunna besvara hur många filer som kopierats till USB-minnen. Extra svårt är det om en hel mapp med undermappar kopierats. I 90% av alla ärenden kan vi bara konstatera att filkopiering har skett och i bästa fall exemplifiera med några enstaka filer. Det exakta antalet filer som kopierats går därför aldrig att redovisa.
För de datorer som har vår programvara USB2Log installerad, så kommer dock detta att kunna redovisas i detalj.
PRODUKTEN
USB2Log är en programvara för Windows-datorer. Programvaran adderar loggfunktionalitet för att komplettera den bristfälliga förmågan som Windows själv erbjuder. Främst är det ett komplement av extra funktioner som är viktiga för att kunna styrka innehållet vid en filkopiering. Loggposterna sparas i krypterad form i en fristående databas. Det finns även funktioner för att i efterhand upptäcka manipulation av loggposterna, vilket förstärker beviskedjan. USB2Log kan installeras på bärbara och stationära datorer såväl som i servervmiljö.
Huvudfunktioner
- Lägger till och kompletterar därmed Windows inbyggda loggfunktionalitet med aktiviteter kopplade till USB-minnen/hårddiskar.
- Gör det möjligt att kartlägga vad alla anslutna USB-minnen använts till.
- Alla aktiviteter sparas i realtid och kan kopplas ihop med det användarnamn som utför handlingen.
- Databasen som lagrar USB-aktiviterna är krypterad.
- Varje kund får en unik krypteringsnyckel.
- Databasen med USB-aktiviteter går att exportera till Excel-, CSV-, TSV- och JSON-format.
- Enkel installation (MSI).
- Inga externa beroenden.
Monitorering
Lyssnar endast efter USB-aktiviteter.
Inget grafiskt gränssnitt
Detta är en bakgrundsprocess.
Kryptering
Alla sparade loggposter skyddas genom stark kryptering.
Dekryptering
Två alternativ;
Standard - utförs endast av Dingard AB
Extra - utförs av kunden själv
Manipulationsskydd
Det finns inbyggd integritetskontroll för att avslöja manipulation av loggposter.
Asymmetriska nycklar
Stark kryptering baserad på ett publik/privat nyckelpar.
Prestanda
Mycket snabb bevissäkring.
(En laptop med 16 GB RAM tar ca 3 min inklusive tid för komprimering)
Leverans
Aktivitetslistan kan levereras i
Excel-, CSV-, TSV- och JSON-format.