Ciao ragazzi, ho bisogno del vostro illuminante aiuto.
In azienda abbiamo un furbetto che vuole mettersi in privato e attualmente crediamo stia trasferendo dei file dai pc dell'azienda alla sua memoria personale (chiave usb).
Che programmi posso usare per controllare il flusso di dati, le sue operazioni ed anche bloccare qualsiasi tentativo di copia dal pc alla chiave usb? Praticamente non voglio far uscire nessun file dal pc.
E' possibile?

si, brucia tutte le porte usb :asd:

seri eh :asd:

seri eh :asd:

arriva diablo tran pò e ti sa dire sicuramente, comunque ci sono sicuramente dei programmini.

penso che però dipenda anche dal tipo di file ma non lo so

Oddio evitare che una persona copi dei files da determinate fonti non è affatto semplice, perché ci sono mille modi per poter aggirare le protezioni.
Saccio dovresti darci più informazioni, tipo se le sorgenti da cui si può copiare sono in rete, sono condivise in qualche modo, se sono visibili dall'esterno etc.
Poi mi serve sapere anche il sistema operativo che hanno le macchine da proteggere.

Avendo questi dati, anche non conoscendo un programma che possa intervenire in maniera diretta su tutto, si può trovare una soluzione più o meno complessa.

per le porte usb si può risolvere via permessi dell'utente (per windows sono sicuro per linux meno). a sto punto sarà obbligato a trasferire via internet e lì si sgama easy controllando il traffico in uscita

eh radi non è proprio così, cerco di spiegarmi: pur creando delle policy sulle porte usb, ci sono altri modi oltre "internet" (da definire, cosa intendi per internet?) per trasferire i files. Esempio banale è la condivisione dei files, oppure il loggarsi in remoto con un utente su una certa macchina, spostamento di files all'intero di una intranet aziendale, mail, ftp etc etc. Cioè di maniere per prendere dei files da un computer ce ne sono veramente tanti.

Se per "internet" intendevi qualcosa che possa loggare in qualche maniera ciò che passa per la/e schede di rete, non è affatto banale. Un programma che logghi ad alto livello assolutamente completo (intendo che files, che programmi interagiscono etc etc) non credo esista o comunque se esiste costerà un fracco di soldi. Su linux esistono cose del genere, ma più che altro composizioni di cose del genere: un qualcosa che logga i pacchetti, qualcosa che logga l'interazione con l'interfaccia di rete etc etc.

Ripeto, non è banale affatto, servono maggiori informazioni di utilizzo.

il sistema è Windows Xp con service pack 2, sì la maggior parte delle cartelle sono condivise in rete, tenete presente che la persona di cui parlo ha una scarsa conoscenza dei pc, insomma diciamo che non è proprio un genio :asd:
tutt'altro
quindi anche qualcosa di semplice, non sarebbe molto facile per lui aggirarlo.
considerate che lo abbiamo sgamato perchè abbiamo visto dei files (lasciati nella cartella "documenti recenti") con il percorso H: , sicuramente il drive assegnato alla sua usb

eh radi non è proprio così, cerco di spiegarmi: pur creando delle policy sulle porte usb, ci sono altri modi oltre "internet" (da definire, cosa intendi per internet?) per trasferire i files. Esempio banale è la condivisione dei files, oppure il loggarsi in remoto con un utente su una certa macchina, spostamento di files all'intero di una intranet aziendale, mail, ftp etc etc. Cioè di maniere per prendere dei files da un computer ce ne sono veramente tanti.

Se per "internet" intendevi qualcosa che possa loggare in qualche maniera ciò che passa per la/e schede di rete, non è affatto banale. Un programma che logghi ad alto livello assolutamente completo (intendo che files, che programmi interagiscono etc etc) non credo esista o comunque se esiste costerà un fracco di soldi. Su linux esistono cose del genere, ma più che altro composizioni di cose del genere: un qualcosa che logga i pacchetti, qualcosa che logga l'interazione con l'interfaccia di rete etc etc.

Ripeto, non è banale affatto, servono maggiori informazioni di utilizzo.

macchè alto livello, quello è per lamer :D, io intendevo tutto a livello di pacchetti
l'ho buttata giù veloce, per "internet" intendevo visto che sarà in una rete aziendale ci piazzi un bello sniffer di rete e hai già qualcosa in mano nel caso cerchi di mandarseli via posta elettronica online (visto che l'uploading di file dovrebbe avvenire via ftp), per il resto basta spaventarlo un pò se di pc ne sa poco.

EDIT: visto ora il post di cayyno, rimando al consiglio di prima, spaventalo un pò, tanto non lo sa che può incularvi in qualsiasi maniera :asd:, basta un richiamo con un accenno a sistemi di controllo "nascosti"

macchè alto livello, quello è per lamer :D, io intendevo tutto a livello di pacchetti
l'ho buttata giù veloce, per "internet" intendevo visto che sarà in una rete aziendale ci piazzi un bello sniffer di rete e hai già qualcosa in mano nel caso cerchi di mandarseli via posta elettronica online (visto che l'uploading di file dovrebbe avvenire via ftp), per il resto basta spaventarlo un pò se di pc ne sa poco.


eh radi uno sniffer di pacchetti non fa quello che dici, è questo che sto tentando di dirti. Guarda nei pacchetti, ma nei pacchetti non è che c'è scritto "sto trasferendo quel file". Per poter capire cose di questo genere servono programmi che analizzano dei log di pacchetti (presi dagli sniffer) ad alto livello e possano ricostruire cosa voglia dire quel flusso di pacchetti (fra l'altro non si può neanche sempre fare ed un esempio è un trasferimento sicuro di files).

Posto questo, se il tipo è una capra (si intende che manco sa trasferire dei files mediante rete), basta e avanza la soluzione proposta da radical.

lo so cos'è uno sniffer (e visto il diploma di perito informatico è il minimo :D), ce l'ho pure :asd:
basta filtrare il traffico ftp e guardare cosa stava trasferendo, che volendo è fattibile anche senza programmi del genere osservando il file con un editor esadecimale e il contenuto del pacchetto, certo è un lavoro infinito però si può fare :D

si beh, diciamo che tra lavoro da fare e garanzie offerte, questo mi sembra il metodo peggiore in assoluto :asd:

ma lo so :asd:, ed è una cosa che non farò mai, è solo fattibile.
comunque fossi io l'amministratore staccherei porte usb, scheda di rete, porte seriali e parallele e poi vediamo come trasferisce ancora i file :asd: (lo so, può staccare il disco fisso, ma io salderei anche il case :D)

@ saccio: cazzo non e' che lavori per una ditta di seriate (BG) vero? :look:

no, studio ancora, perchè? conosci altri che usano misure estreme? :D

lo so cos'è uno sniffer (e visto il diploma di perito informatico è il minimo :D), ce l'ho pure :asd:
basta filtrare il traffico ftp e guardare cosa stava trasferendo, che volendo è fattibile anche senza programmi del genere osservando il file con un editor esadecimale e il contenuto del pacchetto, certo è un lavoro infinito però si può fare :D

ma che c'entra radi?

L'ftp è uno della miriade di protocolli che posso usare per trasferire files nella rete. Se già usi il classico "condivisione file di windows" puoi pure andare a guardare nel bucio del culo dei pacchetti, ma non capisci una fava di quella che stai trasferendo :asd: . Ti serve un programma che letto il log, capisce che il flusso di pacchetti tcp/ip è un flusso "sto spostando/copiando un file". Questo è un esempio banale, e ti dico ancora, come ho già affermato, che questa procedura non è sempre fattibile. Esempi particolari sono https, secure ftp (quindi già ftp non sempre può essere "letto"), pacchetti cifrati con tecniche a livello mac etc etc.
Di tecniche ce ne sono una marea e come ripeto, quella che eventualmente utilizzerebbe il tipo (trasferimento con "file condivisi di windows") è una di queste.

Abbi pazienza radi, sarai pure un informatico, ma non hai un'idea proprio corretta di sniffer.

@ radi: era x saccio, ora edito

lo so che uno sniffer guarda il pacchetto così com'è.
io dico che con uno sniffer e un pacchetto liscio, non cifrato nè criptato con un trasferimento senza fronzoli (solo il file così com'è, niente condivisione o altri tipi di trasferimento più elaborati) è possibile, e che cacchio diablo, leggi un pò tra le righe :D

EDIT: aspetta, forse tu intendi che con l'incapsulamento hai anche dati che riguardano solo la connessione nel pacchetto? se intendevi quello già davo per scontato di prelevare solo il segmento dati

lo so che uno sniffer guarda il pacchetto così com'è.
io dico che con uno sniffer e un pacchetto liscio, non cifrato nè criptato con un trasferimento senza fronzoli (solo il file così com'è, niente condivisione o altri tipi di trasferimento più elaborati) è possibile, e che cacchio diablo, leggi un pò tra le righe :D

EDIT: aspetta, forse tu intendi che con l'incapsulamento hai anche dati che riguardano solo la connessione nel pacchetto? se intendevi quello già davo per scontato di prelevare solo il segmento dati

no radi i miei commenti erano riferiti al tuo "metti uno sniffer e via" (ho ristretto il discorso senza quotare). Quello che sto affermando è che non è proprio così, ma solo in un ristretto numero di casi.

ah ok, no beh lo sniffer era solo per rilevare quel numero limitato di casi senza troppo sforzo, ovviamente non era la soluzione migliore ma l'ho detto subito dopo :D

beh mi sembra abbastanza difficile riuscire a bloccare in modo assoluto la copia di file su supporti esterni... contando che in un intranet, come gia detto da diablo, le possibiltà per farlo sono tante.
O imposti delle policy su tutti i pc (ma allora fai prima a non fargli piu usare il pc :asd: ) , o sul dominio o boh.. se è un minimo sveglio (non ci vuole un espertone) inqualche modo ci riesce.

Guarda ho avuto un problema simile. Abbiamo risolto:

- bloccato le porte USB con policy di dominio più programma a doc (occhio che poi nn và più manco il mouse USB, se usi il programma discretamente cattivo che funziona come dio comanda).

- bloccato il MAC Address della macchina (del tizio) sul firewall e quindi stò qua in internet con il PC dell'azienda non ci và nemmeno se piange. (però riesce cmq a lavorare in rete locale etc etc).

- limitato l'accesso alle altre macchine da parte di questo utente (nn và da nessuna parte se non sulla sua, devi lavorare sulle policy locali della macchina e negare l'accesso all'utente non puoi farlo [che io sappia] dal dominio ).

- Messo in bootsequence prima l'HD e poi il CD dopodichè settata una password per accedere le impostazioni del BIOS [supervisor password di solito] (ti potrebbe fottere con un livecd).

In questo modo dovresti essere abbastanza tutelato in teoria i dati così fà molta fatica a portarli fuori. Spero di esserti stato d'aiuto. (occhio se la macchina ha un masterizzatore).

Occhio con sniffer e cazzi e mazzi perchè in teoria (e anche in pratica per legge) se non hai un regolamento interno sull'uso di internet che il tizio ha firmato e gli dici "eh ma tu hai guardato un sito x [che non dovevi] nell'orario di lavoro" questo può anche denunciarti per violazione della privacy e ti fà anche il culo (parlo per esperienza personale ahimè).