Portal za informacijsku sigurnost

Nedavno sam imao priliku pomoći čovjeku kojeg je ujutro, nakon uključivanja prijenosnog računala, dočekala poruka: Missing operating system. Što to znači, upitao me? Nadam se da se nije pokvario disk, odgovorio sam mu. On se uzrujao: na notebooku su programi i podaci bez kojih ne može obavljati posao, a zadnji je backup napravio prije pola godine. Slegnuo sam ramenima. Navikao sam na ljude kojima se ne da redovito kopirati vrijedne podatke jer su uvjereni da se nezgode događaju drugima. Da ga utješim, rekoh da je možda pokupio virus koji mu je izbrisao početne sektore na disku.

Uključio sam notebook i ubacio forenzički CD. Uz pomoć alata koji  pristupaju disku na fizičkoj razini ustanovio sam da nedostaje boot sektor i tablica particija. Iz podataka koje sam dobio od korisnika, zaključio sam da je imao instalirane Windowse XP, pa sam pretpostavio da je koristio NTFS. Obnovio sam MBR i tablicu particija. Nakon toga sam pustio forenzičke alate da pokušaju rekonstruirati datotečni sustav. Proces je trajao satima, tek u 3 sata ujutro mogao sam odahnuti. Činilo se da su podaci spašeni. Za svaki slučaj iskopirao sam sadržaj diska na vanjski USB disk. Narednog dana usudio sam se ugasiti, zatim ponovo uključiti računalo. Windowsi su se normalno učitali s diska, My Documents je sadržavao nekoliko gigabajta datoteka, a instalirane aplikacije normalno su se pokretale. Na prvi pogled, činilo se da je sve u redu.

No jedna stvar je ostala neobjašnjena. Kako se moglo dogoditi da cijeli sadržaj diska jednostavno „nestane“? Korisnik je trebao računalo za obavljanje posla, pa nisam imao vremena napraviti pravu, detaljnu forenziku. S CD-a sam pokrenuo programe koji traže viruse, spyware, trojance i rootkite. Nakon još nekoliko sati čekanja, dobio sam listu od deset virusa, trojanaca, downloadera i ostalih vrsta malicioznog softvera koji su se nastanili na disku. Čini se da je korisnik najprije pomoću peer-to-peer programa Bittorrent s mreže skinuo program koji ga je zanimao. Uz njega je bio zapakiran Trojan/Downloader, koji se pobrinuo da s Interneta povuče ostale nametnike. Jedan od zloćudnih programa pobrisao je početne sektore diska bez kojih nije moguće pristupiti disku, pa se ne može učitati operacijski sustav niti pronaći datoteke.

Vraćajući računalo, pitao sam korisnika da li mu je to privatno ili poslovno računalo? Oboje, odgovorio mi je. Održao sam mu kratko predavanje o tome da bi trebalo razdvojiti zabavu i posao, da nije dobro ugrožavati posao igrajući se na Internetu. No kao što obično biva, bio je sretan jer se lako izvukao i nije bio spreman slušati prodike. Obećao je da će sad češće kopirati važne podatke i to je otprilike bilo sve što sam uspio postići. Ne bih se začudio kada bi se slična situacija nakon nekog vremena ponovila.

No problem zapravo i nije u pojedincu. Uvijek će među zaposlenicima biti radoznalih i zaigranih ljudi, koji neprestano istražuju i žele sve isprobati. Ponekad su to kreativni ljudi koji su u stanju napraviti mnogo dobrih stvari za svog poslodavca. Zato je odgovornost uprave da uspostavi pravila ponašanja, obuči korisnike i nađe način da se pravila provode. Tvrtka mora svojom sigurnosnom politikom utvrditi da su računala i mreža u vlasništvu organizacije, da su korisnicima dani na raspolaganje samo za obavljanje posla. Istraživanje svega i svačega što se može naći na Internetu riskantan je pothvat, koji može koštati i tvrtku i pojedinca. Svaki bi zaposlenik trebao potpisati izjavu da je upoznat s pravilima i da će ih se pridržavati. U našem primjeru, malo je nedostajalo da mjeseci posla odu u vjetar. Nestaško se izvukao zahvaljujući tome što sam bio spreman uz njegovo računalo provesti neprospavanu noć.

TrackBack URI for this entry

Komentari (0)