Bizalmas dokumentumok a fénymásolók merevlemezén

Teszt: Ha nem vigyázunk, minden ellopható


Mit találtunk a merevlemezeken?

Hirdetés

Ahogy fentebb már utaltunk rá, nem kis nehézséget okozott tesztelésre gépet keríteni, végül is összesen két fénymásolót sikerült közelebbről is megnéznünk. (A márkákat azért nem említjük meg, mivel nem tudtuk az összes, nálunk forgalmazó cégtől legalább egyet-egyet megnézni.) Az egyik multifunkciós készülék egy közintézményben van használatban, hálózati kapcsolódás nélkül, a másik egy magáncégnél, hálózatba kötve. A merevlemezeken található adatok feltárására és elemzésére egy (hackerként „Hunger” néven ismert) civil foglalkozását tekintve információbiztonsággal is foglalkozó rendszermérnököt kértünk fel, az alábbiakban az ő írásbeli jelentését foglaljuk össze.

Az egyetemi gépről nem sikerült semmi használhatót visszaállítani. A merevlemez területének jó része üres, a maradékon pedig a fájlrendszeréhez szükséges indexelés és néhány felismerhetetlen adat van: „Az biztos, hogy teljes lemeztitkosítást (FDE) nem alkalmaztak, mert kiolvasható a 64 41 6E 6F 73 69 43 2D 20 34 4D 49 20 48 65 56 73 72 6F 69 20 6E 2E 31 31 31 bájtsorozat a partíciós táblából, amelyik karakterfelcserélés után kiadja az »Adonis-C4 IMH Version 1.11« sztringet.”

A céges gépnél viszont abszolút sikerrel járt a szakember, számtalan dokumentumot volt képes visszaállítani, saját leírása szerint a következő módszerrel: „Egy olyan fájlrendszer volt a merevlemezen, amelyet nem ismert egyik »mainstream« oprendszer/program sem, ezért készítettem egy »dumpot« a winchester tartalmáról a unixos `dd` parancs segítségével, majd a keletkezett állományt immár Windows alatt egy »Hacker's view« (Hiew) nevű alkalmazással megnyitottam, és rákerestem a képfájlok fejléceiben található azonosítókra. Mivel nem használ semmiféle titkosítást a gyártó az adatok védelme érdekében, ezért a fájlrendszer ismerete nélkül is könnyedén visszaállíthatók üzletileg kritikus információk. A JPEG-állományokat a »JFIF\0« karaktersorozatról lehet legkönnyebben felismerni (0x4A46494600), a TIFF-képek pedig a »II*\0« vagy a »MM\0*« alapján azonosíthatóak, attól függően hogy »little-endian« vagy »big-endian« a bájtsorrend. Ezek alapján manuálisan be tudtam határolni a képeket és képrészleteket, majd kimenteni külön fájlokba az eredményt. Némi kereséssel más típusú állományok is könnyedén felfedezhetők voltak, pl. a dolgozók neveit, e-mail címeit és telefonszámait tartalmazó XML-alapú állomány.

fénymásoló
Visszanyert dokumentum II.

Természetesen az ilyen fájlvisszaállítás nem ismert – vagy sérült – fájlrendszer esetén nem csak manuálisan valósítható meg, hanem vannak rá kész szoftvermegoldások is. Például az ingyenes PhotoRec is képes bizonyos esetekben megkeresni és visszaállítani ismert fájltípusokat."

Megkérdeztük Hungert, hogy a különbségnek, mely szerint az egyik készüléken bőven talált információt, a másikon viszont egyáltalán nem, az-e az oka, hogy az egyik gép hálózatba van kötve, a másik pedig nem. A válasz: „Igazából nem lehet egyértelműen kijelenteni, hogy csak akkor van gáz, ha hálózatra kötik, hisz nyilvánvalóan gyártó- és típusfüggő lehet az is, hogy mikor, milyen esetekben történik mentés a benne található háttértárra. Lehet, hogy minden fénymásolás esetén, de lehet hogy csak akkor, ha e-mailküldésre használják az eszközt. Egy viszont biztos: a cégek és a szervezetek biztonsági előírásait ki kell egészíteni a multifunkciós gépekkel kapcsolatos adatkezelési iránymutatásokkal, amelyek arra figyelmeztetnek, mely körülmények okozhatnak információs szivárgásokat, akár hagyományos merevlemezeknél, de akár flash-alapú tárolóknál is. Ezeknek az eszközöknek a leselejtezésekor ügyelni kell arra, hogy az adathordozókon lévő, esetleg üzletileg kritikus információkat biztosan megsemmisítsék.” A szakember egyébként a Canon állásfoglalásához annyit fűz hozzá, hogy nemcsak a felelősségteljes hozzáállásra van szükség, hanem a figyelem felhívására és oktatásra a gyártó részéről, hisz előfordulhat, hogy az informatikai vezetők se tudnak a problémáról, vagy egyszerűen csak nem gondolnak rá...

fénymásoló
Visszanyert dokumentum III.

Mind a cégek állásfoglalásaiból, mind saját tesztünkből világos, hogy a probléma létezik, ám vannak rá megoldások. Ez azonban messze nem elég, és abban egyet lehet érteni a Canon vezetőjével, hogy a döntő láncszem az alkalmazó, a felhasználó, a cég informatikai vezetője, hiszen hiába áll rendelkezésre az adatbiztonságot nyújtó módszer, ha nincs, aki használja.

Azóta történt

  • Nem árulta el a jelszót, börtönt kapott

    Az angol rendőrség a jelszó nélkül nem fér hozzá a lefoglalt merevlemez titkosított tartalmához.

  • Stratégiai kinevezések a Xeroxnál

    Mostantól alelnöki pozíciót tölt be Mark Costello, szabadalmi- és stratégiai jogtanácsos, Mike Festa, a fúziók és felvásárlások igazgatója és Joe Mancini, az Egyesült Államokban és Kanadában zajló pénzügyi műveletekért felelős vezető.

  • Magyarországi vállalatok: adatbiztonságból elégtelen

    Hivatalos becslések szerint már évekkel ezelőtt is 10 milliárd forintot tett ki a hazai cégek informatikai adatlopásokból eredő kára, miközben minden ötödik hazai cég áldozatául esett külső vagy belső visszaélésnek.

  • Idén is lesz 24 órás hackerverseny

    Az egymillió forint összdíjazású programozási verseny most először külföldi csapatok előtt is nyitott.

Előzmények