Mình đang làm trong một cơ quan nhà nước, hiện nay công việc của mình gặp một trở ngại mà mình mong Diễn đàn giúp.
Trong cơ quan có một máy tính bị nghi là có truy cập internet để lọt tài liệu quan trọng trên mạng. Khi mình được cử đi kiểm tra, mình kiểm tra trong cookies của máy này thấy trống không.
Minh nghĩ có thể họ đã xoá lược sử truy cập internet hoặc cài lại hệ thống hoặc ghost lại hệ thống.
Minh đang không biết làm sao, mong Diễn đàn giúp đỡ phưong pháp.
Nếu xoá lược sử thì khôi phục lại thế nào?
nếu đã cài lại hệ thống hoặc ghost lại hệ thống thì có cách nào truy được không?
Mong HVA giúp đỡ. Xin cảm ơn diễn đàn. 

1. Nếu tất cả các thông tin ở trên đầy đủ thì hoàn toàn có thể khởi tố nhân viên đã leak tài liệu mà không cần đến bước kiểm tra lịch sử truy cập tại máy tính của kẻ tình nghi.
2. Nếu các thông tin trên hoàn toàn không có hoặc quá ít thì phương án tốt nhất là gửi công văn yêu cầu công an hỗ trợ điều tra. Vì việc khôi phục lại lịch sử truy cập internet trên máy tính rất khó nếu không có kinh nghiệm khôi phục dữ liệu, chưa kể trường hợp máy tính bạn kiểm tra không phải là máy tính đã leak dữ liệu

manh.kqha wrote:

Mình đang làm trong một cơ quan nhà nước, hiện nay công việc của mình gặp một trở ngại mà mình mong Diễn đàn giúp.
Trong cơ quan có một máy tính bị nghi là có truy cập internet để lọt tài liệu quan trọng trên mạng. Khi mình được cử đi kiểm tra, mình kiểm tra trong cookies của máy này thấy trống không.
Minh nghĩ có thể họ đã xoá lược sử truy cập internet hoặc cài lại hệ thống hoặc ghost lại hệ thống.
Minh đang không biết làm sao, mong Diễn đàn giúp đỡ phưong pháp.
Nếu xoá lược sử thì khôi phục lại thế nào?
nếu đã cài lại hệ thống hoặc ghost lại hệ thống thì có cách nào truy được không?
Mong HVA giúp đỡ. Xin cảm ơn diễn đàn. 

Trong quá trình điều tra bước cuối cùng mới là lấy chứng tại máy tính nghi ngờ!
Bạn vui lòng cho biết các thông tin sau:
- Tài liệu bị leak ra internet cụ thể là như thế nào? (Yahoo, gmail, mediafire, diễn đàn khác, hay một cá nhân ....)
- Cơ quan của bạn có log lại các thông tin ai (IP), truy cập vào website nào (kết nối với IP nào), vào thời gian nào hay không?.
- Hệ thống của bạn có buộc nhân viên phải sử dụng proxy khi đi ra internet không?
- Log của các router, Switch có xác định được địa chỉ MAC từ IP trong thời gian bị leak ? (Hệ thống của bạn có Server Log tập trung không)

1. Nếu tất cả các thông tin ở trên đầy đủ thì hoàn toàn có thể khởi tố nhân viên đã leak tài liệu mà không cần đến bước kiểm tra lịch sử truy cập tại máy tính của kẻ tình nghi.
2. Nếu các thông tin trên hoàn toàn không có hoặc quá ít thì phương án tốt nhất là gửi công văn yêu cầu công an hỗ trợ điều tra. Vì việc khôi phục lại lịch sử truy cập internet trên máy tính rất khó nếu không có kinh nghiệm khôi phục dữ liệu, chưa kể trường hợp máy tính bạn kiểm tra không phải là máy tính đã leak dữ liệu

- Ky0 -
 

Mình đang làm trong một cơ quan nhà nước, hiện nay công việc của mình gặp một trở ngại mà mình mong Diễn đàn giúp.
Trong cơ quan có một máy tính bị nghi là có truy cập internet để lọt tài liệu quan trọng trên mạng. Khi mình được cử đi kiểm tra, mình kiểm tra trong cookies của máy này thấy trống không.
Minh nghĩ có thể họ đã xoá lược sử truy cập internet hoặc cài lại hệ thống hoặc ghost lại hệ thống.
Minh đang không biết làm sao, mong Diễn đàn giúp đỡ phưong pháp.
Nếu xoá lược sử thì khôi phục lại thế nào?
nếu đã cài lại hệ thống hoặc ghost lại hệ thống thì có cách nào truy được không?
Mong HVA giúp đỡ. Xin cảm ơn diễn đàn. 

Chắc bọn dư luận viên bị leak tài liệu nên đám kỹ thuật của nơi nuôi bọn dư luận viên lên HVA nhờ vả đây mà:

Hỏi đáp - .:: HVAOnline ::.
/hvaonline/posts/list/44662.html 

manh.kqha wrote:

Mình đang làm trong một cơ quan nhà nước, hiện nay công việc của mình gặp một trở ngại mà mình mong Diễn đàn giúp.
Trong cơ quan có một máy tính bị nghi là có truy cập internet để lọt tài liệu quan trọng trên mạng. Khi mình được cử đi kiểm tra, mình kiểm tra trong cookies của máy này thấy trống không.
Minh nghĩ có thể họ đã xoá lược sử truy cập internet hoặc cài lại hệ thống hoặc ghost lại hệ thống.
Minh đang không biết làm sao, mong Diễn đàn giúp đỡ phưong pháp.
Nếu xoá lược sử thì khôi phục lại thế nào?
nếu đã cài lại hệ thống hoặc ghost lại hệ thống thì có cách nào truy được không?
Mong HVA giúp đỡ. Xin cảm ơn diễn đàn. 

Định trả lời mà gặp cái comment này trên facebook nên thôi

Chắc bọn dư luận viên bị leak tài liệu nên đám kỹ thuật của nơi nuôi bọn dư luận viên lên HVA nhờ vả đây mà:

Hỏi đáp - .:: HVAOnline ::.
/hvaonline/posts/list/44662.html 

 

Nhìn cái nick này cũng quen quen, nhìn giống DLV trên Facebook. Nên thôi không trả lời. Thông cảm nha.
 

Với cách quản lý lỏng lẻo trên thì có vô vàn cách để các tệp tài liệu mật được đưa lên internet

- Người trong phòng xyz dùng mạng của cơ quan bồ upload lên internet ( mail, file hosting, p2p, send file qua IM ... )
- Người trong phòng xyz dùng USB chép ra ngoài rồi upload lên mạng sau đó
- Người trong phòng xyz dùng 3G để upload lên internet
... etc

Với một hệ thống không có monitor thì việc cần là có chuyên gia thực thụ trong việc forensic là chuyện cơ quan bồ cần phải cân nhắc. Vì các manh mối bây giờ hiện đã rất mỏng manh, trong quá trình forensic không cẩn thận làm các dữ liệu bị ghi đè hoặc làm biến dạng quá mức thì sẽ dẫn tới vô phương trong việc tìm hiểu. Nên việc ky0 khuyến cáo cơ quan bồ nên mời bên An Ninh vào giúp là có lý do chuyên môn, bên An Ninh có "chuyên môn" và thẩm quyền để truy cập nhiều dữ liệu từ các ISP giúp việc điều tra dễ dàng hơn

Trân trọng,