Как вычислить крысу?

Всем привет.

У меня есть один очень серьезный вопрос: Есть подозрение, что один из сотрудников сливает инфу налево.

Каким образом можно проследить за его личной почтой (отправляет с браузера) Гмаил, или еще что-то там? Я имею ввиду, ушедшие от него письма. Что кассается корпоративной почты - вопросов нет, а вот личную как побороть? Буду очень признателен за любую помощь

Какие у тебя права на его компьютере? Проще всего прошпионить его пароль и порыться в ящике собственноручно.

Abraxas, post: 685835:

Какие у тебя права на его компьютере? Проще всего прошпионить его пароль и порыться в ящике собственноручно.

если дела серьёзные то письма могут удаляться.

А если инфа во вложениях? Как потом доказать, что там было? Кейлогер полюбому, конечно, для текста, и для пароля тоже, и для адресов, куда шлёт. Если крыса такая тупая, что сливает инфу налево прямо с рабочего компа, то есть вероятность, что в ящике письма могут оставаться.

Права у меня административные.

Но... Поставить кейлогер не могу, т.к. весь софт контролируется главным офисом за бугром.

В почте порыться? Вариант.

но... У подозреваемого - ноут. ЗЫ, кто может кейлоггер подогнать? Буду благодарен А можно ли как-то послушать сеть? Всмысле все, что идет с его МАСа?

DJ-root, post: 685839:

Права у меня административные. Но... Поставить кейлогер не могу, т.к. весь софт контролируется главным офисом за бугром. В почте порыться? Вариант... но...
У подозреваемого - ноут.
ЗЫ, кто может кейлоггер подогнать? Буду благодарен



А можно ли как-то послушать сеть? Всмысле все, что идет с его МАСа?

Если он ходит на почту через браузер, то перехвати его пароль и лезь в его ящик на сервере. Письма могут сохраниться там. Если есть куда поставить и есть время и желание поковыряться, то попробуй поюзать сниффер для перехвата его исходящих пакетов по определенному протоколу.

1. Запускаешь всех через прокси 2. Запрещаешь на прокси метод POST 3. Все письма идут через ваш постовый сервер На прокси же можно поднять снифер типа Cain. Он много типов пакетов анализирует. Потому как снифить со своего компа проблемно

Для анализа сетевых пакетов я использовал CommView

. У нас тема с программой здесь

.

2 shiga, большое спасибо.

Попробую поганять 2 Abraxas, бес его знает, как он ходит.

Буду пробовать разные методы.

Скорее всего снифером... 2 Painted.

Все и так работают через прокси.

Только она стоит за бугром.

Так что метод отпадает. 2 Ognev, спасибо, попробую Какие еще будут варианты и предложения?

Какие еще будут варианты и предложения?

Вариант взять за #%ца не предлагать? )))))
DJ-root, посмотри еще NetResident

- тоже от TamoSoft, но заточен под высокоуровневые протоколы. Сам его не пользовал.

Ognev, post: 685846:

Вариант взять за #%ца не предлагать? )))))

Предлагать обязательно . И возьмем, только когда будут основания для этого

Попробовал я NetResident v.1.5. Потестил ее на mail.ru - подлогинился и отправил письмо с вложением.

Софтина показала пароль и все страницы (включая страницу с текстом письма и прикрепленным файлом). Единственно, с вложениями беда.

Как я понял, софтина сохраняет только ссылку на него на сайте.

А так как после отправки этот файл убивается, то увидеть, что в приложении я не смог. P.S. CommView, как я помню, сохраняет все пакеты.

Но там придется ковырятся в них вручную.

Хотя может в новых версиях все уже и не так )))

Спасибо за NetResident и CommView. Но данные софтины ничего не могут показать, т.к. все пакеты идут через Циску, которая кроме широковещательных доменных пакетов больше ничего не пускает Буду пробовать с кейлогером...

DJ-root, post: 685850:

Спасибо за NetResident и CommView. Но данные софтины ничего не могут показать, т.к. все пакеты идут через Циску, которая кроме широковещательных доменных пакетов больше ничего не пускает



Буду пробовать с кейлогером...

А разве в Cisco ты этого всего не видеш ??? Покопайся в Cisco хорошенько помоему тебе с таким маршрутизатором эти проги изначально нафиг не нужны Хотя в CommView есть такая тема как слушать свитч

Дело в том, что маршрутизатор администрируют из-за бугра Тобишь пароля на 800-ю циску у меня нет... А за опцию CommView слушать свитч - спасибо, попробую

попробуй под предлогом апгрейда ПО поставить на его тачку радмин или любой другой бэкдор, предпочитаю радмин 2.1 сидишь и смотришь что и куда он отправляет, геморно правда, но зато в режиме он лайн.

Отпадает. Потому что у нас есть система мониторинга софта, которую контролируют админу из-за бугра... Самый приемлимый на данный момент вариант - настроить на свитче ядра спам-порт, после чего слушать трафик....

Я так понимаю он Юзер в домене, и ты являешся админом.

поставь чтобы он логинился только на свой стационарный ПК, обреж ему права по самое ...... и групповой политикой закрой флеш устройства/DVD.

А вот личную почту просто закрыть приказом по фирме.

Ну если это по каким либо причинам невозможно, то тогда снифер - http://www.oxid.it/cain.html

все тебе покажет кто куда и зачем

gavron, за снифир спасибо.

На его машине я локальный админ.

Только у него не стационарник, а ноут, что сильно затрудняет дело В домене у меня права только на наш OU . А политика вообще писать не могу... По поводу почты - такой приказ имеется.

Только не по фирме, а по всей корпорации по всему миру! Только на него все херят

Ну а доступ к внешней почте у вас где режится ?? Если за бугром то просто отследить, где он забирает почту и сообщить тамошнему админу, а дальше просто это дело расскрутить, вплоть до увольнения !!! И я думаю прежде всего тебе нужно объяснить руководству, что нужно ужесточить контроль за исполнением ваших внутренних правил.



Если ноут то просто нужно написать письмецо тамошнему админу и объяснить ситуацию, я думаю вы найдете общий язык

Спасибо всем. "Крысу" уволили. Дажа не надо было под нее копать со стороны IT, этот человек просто облажался и засветился

Всем Привет! Может не в тему. Надо узнать логин учителя. Там очень важная информация. Система базируется типа на citrix с ВИН 2000. Возможно поставить на машину keyloger или типа...

Открываешь его винт в режиме "только чтение" через USB-адаптер, заходишь в кэш страниц и каждую!!! сохраненную страничку просматриваешь вручную. Если есть подозрение на определенный временной интервал - пусти фильтр по дате создания файла. Долго, муторно, но зато самое надежное.

интересная тема. Хоть и прошло время, но я думаю, эта тема волнует всех и до сих пор. Хотелось бы отметить две вещи. 1. Четкое и безукоризненное соблюдение набора правил информационной безопасности.

Это вообще-то комплекс мер, в который входит и жесткое администрирование и жесткие организационные мероприятия внутри фирмы. В этой связи хочу отметить высказывания gavron - все правильно и по делу. 2. Более частное замечание именно по такому случаю: контролировать именно почту, а также вложения и связанные утечки можно с помощью мэйлсервера например "демона", особенно с развернутыми доменными правилами и политиками.

Например c развернутой AD. Мэйл сервер можно настроить как на доменные имена, так и на внешние мейлсервера, прописав соответствующий доступ. На мейлсервере запретить аттач.

Можно по маскам.

Конечно с гибкой политикой - кому можно а кому нельзя.

В результате всё будет прозрачно, кто куда ходил, можно делать копии писем на пару адресов внутри домена своеобразным "модераторам", цензорам.

Соответствующие правила прописать в должностные обязанности работников предприятия по работе с информацией ( в данном случае членов домена).

Чтобы не коннектились, а точнее - не аутентифицировались непосредственно на внешних мэйл серверах - порубить на файеволе.

P.S. ловить темную крысу в темной комнате самому очень тяжело.

Особенно, если нет прав включать рубильник P.P.S в конце концов есть сниффера и еще пару относительно законных методов взломать крысиную почту ) и еще хотел обратить внимание на перманентную диалектику информационной безопасности - на хитрую попу всегда найдется кое-что с винтом. это касается обеих сторон.

А ещё можно было получить пароль таким путём: на dns домен контроллера прописать запись на этот мэйл сервак, ip какой нибудь локальный поставить, развернув на нём фэйковую страничку ввода пароля и логина, с последующим редиректом на реальный почтовик.

shiga, post: 685837:

если дела серьёзные то письма могут удаляться.

Если дела серьезные, умный чел не занимался бы этим на работе.

Сообщение 1 Добавлено через 56 секунд Сообщение 2
Сообщение 2
Сообщение 2

mclane, post: 685863:

Если дела серьезные, умный чел не занимался бы этим на работе.

можно и с мобильного отправлять почту тут уже не как не проследишь. ____________________________ сайт

А что вы ожидаете в снифере увидеть? К гуглю то юзер наверняка по https подключается. Пароль в этом случае не отловится.