Как вычислить крысу?

  • Автор темы DJ-root
  • Обновлено
  • 18, Jun 2008
  • #1
Всем привет.

У меня есть один очень серьезный вопрос: Есть подозрение, что один из сотрудников сливает инфу налево.

Каким образом можно проследить за его личной почтой (отправляет с браузера) Гмаил, или еще что-то там? Я имею ввиду, ушедшие от него письма. Что кассается корпоративной почты - вопросов нет, а вот личную как побороть? Буду очень признателен за любую помощь

DJ-root


Рег
09 Jan, 2005

Тем
72

Постов
256

Баллов
666
  • 18, Jun 2008
  • #2
Какие у тебя права на его компьютере? Проще всего прошпионить его пароль и порыться в ящике собственноручно.
 

Abraxas


Рег
16 Sep, 2004

Тем
74

Постов
289

Баллов
679
  • 18, Jun 2008
  • #3
Abraxas, post: 685835:Какие у тебя права на его компьютере? Проще всего прошпионить его пароль и порыться в ящике собственноручно.
если дела серьёзные то письма могут удаляться.
 

Nesavenerek56


Рег
23 Dec, 2005

Тем
79

Постов
215

Баллов
630
  • 18, Jun 2008
  • #4
А если инфа во вложениях? Как потом доказать, что там было? Кейлогер полюбому, конечно, для текста, и для пароля тоже, и для адресов, куда шлёт. Если крыса такая тупая, что сливает инфу налево прямо с рабочего компа, то есть вероятность, что в ящике письма могут оставаться.
 

Abraxas


Рег
16 Sep, 2004

Тем
74

Постов
289

Баллов
679
  • 18, Jun 2008
  • #5
Права у меня административные.

Но... Поставить кейлогер не могу, т.к. весь софт контролируется главным офисом за бугром.

В почте порыться? Вариант.

но... У подозреваемого - ноут. ЗЫ, кто может кейлоггер подогнать? Буду благодарен А можно ли как-то послушать сеть? Всмысле все, что идет с его МАСа?
 

DJ-root


Рег
09 Jan, 2005

Тем
72

Постов
256

Баллов
666
  • 18, Jun 2008
  • #6
DJ-root, post: 685839:Права у меня административные. Но... Поставить кейлогер не могу, т.к. весь софт контролируется главным офисом за бугром. В почте порыться? Вариант... но...
У подозреваемого - ноут.
ЗЫ, кто может кейлоггер подогнать? Буду благодарен



А можно ли как-то послушать сеть? Всмысле все, что идет с его МАСа?
Если он ходит на почту через браузер, то перехвати его пароль и лезь в его ящик на сервере. Письма могут сохраниться там. Если есть куда поставить и есть время и желание поковыряться, то попробуй поюзать сниффер для перехвата его исходящих пакетов по определенному протоколу.
 

Abraxas


Рег
16 Sep, 2004

Тем
74

Постов
289

Баллов
679
  • 19, Jun 2008
  • #7
1. Запускаешь всех через прокси 2. Запрещаешь на прокси метод POST 3. Все письма идут через ваш постовый сервер На прокси же можно поднять снифер типа Cain. Он много типов пакетов анализирует. Потому как снифить со своего компа проблемно
 

Painted


Рег
13 Aug, 2005

Тем
65

Постов
190

Баллов
545
  • 19, Jun 2008
  • #8
Для анализа сетевых пакетов я использовал CommView

. У нас тема с программой здесь

.
 

Ognev


Рег
20 Aug, 2004

Тем
76

Постов
294

Баллов
684
  • 19, Jun 2008
  • #9
2 shiga, большое спасибо.

Попробую поганять 2 Abraxas, бес его знает, как он ходит.

Буду пробовать разные методы.

Скорее всего снифером... 2 Painted.

Все и так работают через прокси.

Только она стоит за бугром.

Так что метод отпадает. 2 Ognev, спасибо, попробую Какие еще будут варианты и предложения?
 

DJ-root


Рег
09 Jan, 2005

Тем
72

Постов
256

Баллов
666
  • 19, Jun 2008
  • #10
Какие еще будут варианты и предложения?
Вариант взять за #%ца не предлагать? )))))
DJ-root, посмотри еще NetResident

- тоже от TamoSoft, но заточен под высокоуровневые протоколы. Сам его не пользовал.
 

Ognev


Рег
20 Aug, 2004

Тем
76

Постов
294

Баллов
684
  • 19, Jun 2008
  • #11
Ognev, post: 685846:Вариант взять за #%ца не предлагать? )))))
Предлагать обязательно . И возьмем, только когда будут основания для этого
 

DJ-root


Рег
09 Jan, 2005

Тем
72

Постов
256

Баллов
666
  • 19, Jun 2008
  • #12
Попробовал я NetResident v.1.5. Потестил ее на mail.ru - подлогинился и отправил письмо с вложением.

Софтина показала пароль и все страницы (включая страницу с текстом письма и прикрепленным файлом). Единственно, с вложениями беда.

Как я понял, софтина сохраняет только ссылку на него на сайте.

А так как после отправки этот файл убивается, то увидеть, что в приложении я не смог. P.S. CommView, как я помню, сохраняет все пакеты.

Но там придется ковырятся в них вручную.

Хотя может в новых версиях все уже и не так )))
 

Ognev


Рег
20 Aug, 2004

Тем
76

Постов
294

Баллов
684
  • 23, Jun 2008
  • #13
Спасибо за NetResident и CommView. Но данные софтины ничего не могут показать, т.к. все пакеты идут через Циску, которая кроме широковещательных доменных пакетов больше ничего не пускает Буду пробовать с кейлогером...
 

DJ-root


Рег
09 Jan, 2005

Тем
72

Постов
256

Баллов
666
  • 23, Jun 2008
  • #14
DJ-root, post: 685850:Спасибо за NetResident и CommView. Но данные софтины ничего не могут показать, т.к. все пакеты идут через Циску, которая кроме широковещательных доменных пакетов больше ничего не пускает



Буду пробовать с кейлогером...
А разве в Cisco ты этого всего не видеш ??? Покопайся в Cisco хорошенько помоему тебе с таким маршрутизатором эти проги изначально нафиг не нужны Хотя в CommView есть такая тема как слушать свитч
 

Death Moroz


Рег
24 Feb, 2008

Тем
69

Постов
180

Баллов
525
  • 23, Jun 2008
  • #15
Дело в том, что маршрутизатор администрируют из-за бугра Тобишь пароля на 800-ю циску у меня нет... А за опцию CommView слушать свитч - спасибо, попробую
 

DJ-root


Рег
09 Jan, 2005

Тем
72

Постов
256

Баллов
666
  • 02, Jul 2008
  • #16
попробуй под предлогом апгрейда ПО поставить на его тачку радмин или любой другой бэкдор, предпочитаю радмин 2.1 сидишь и смотришь что и куда он отправляет, геморно правда, но зато в режиме он лайн.
 

Xbz


Рег
26 Jun, 2008

Тем
89

Постов
199

Баллов
664
  • 02, Jul 2008
  • #17
Отпадает. Потому что у нас есть система мониторинга софта, которую контролируют админу из-за бугра... Самый приемлимый на данный момент вариант - настроить на свитче ядра спам-порт, после чего слушать трафик....
 

DJ-root


Рег
09 Jan, 2005

Тем
72

Постов
256

Баллов
666
  • 02, Jul 2008
  • #18
Я так понимаю он Юзер в домене, и ты являешся админом.

поставь чтобы он логинился только на свой стационарный ПК, обреж ему права по самое ...... и групповой политикой закрой флеш устройства/DVD.

А вот личную почту просто закрыть приказом по фирме.

Ну если это по каким либо причинам невозможно, то тогда снифер - http://www.oxid.it/cain.html

все тебе покажет кто куда и зачем
 

Gavron


Рег
10 Dec, 2003

Тем
83

Постов
233

Баллов
648
  • 03, Jul 2008
  • #19
gavron, за снифир спасибо.

На его машине я локальный админ.

Только у него не стационарник, а ноут, что сильно затрудняет дело В домене у меня права только на наш OU . А политика вообще писать не могу... По поводу почты - такой приказ имеется.

Только не по фирме, а по всей корпорации по всему миру! Только на него все херят
 

DJ-root


Рег
09 Jan, 2005

Тем
72

Постов
256

Баллов
666
  • 03, Jul 2008
  • #20
Ну а доступ к внешней почте у вас где режится ?? Если за бугром то просто отследить, где он забирает почту и сообщить тамошнему админу, а дальше просто это дело расскрутить, вплоть до увольнения !!! И я думаю прежде всего тебе нужно объяснить руководству, что нужно ужесточить контроль за исполнением ваших внутренних правил.

Если ноут то просто нужно написать письмецо тамошнему админу и объяснить ситуацию, я думаю вы найдете общий язык
 

Gavron


Рег
10 Dec, 2003

Тем
83

Постов
233

Баллов
648
  • 02, Feb 2009
  • #21
Спасибо всем. "Крысу" уволили. Дажа не надо было под нее копать со стороны IT, этот человек просто облажался и засветился
 

DJ-root


Рег
09 Jan, 2005

Тем
72

Постов
256

Баллов
666
  • 14, Mar 2009
  • #22
Всем Привет! Может не в тему. Надо узнать логин учителя. Там очень важная информация. Система базируется типа на citrix с ВИН 2000. Возможно поставить на машину keyloger или типа...
 

Shurick


Рег
22 Sep, 2006

Тем
72

Постов
191

Баллов
571
  • 27, Oct 2011
  • #23
Открываешь его винт в режиме "только чтение" через USB-адаптер, заходишь в кэш страниц и каждую!!! сохраненную страничку просматриваешь вручную. Если есть подозрение на определенный временной интервал - пусти фильтр по дате создания файла. Долго, муторно, но зато самое надежное.
 

A_n_popov


Рег
27 Oct, 2011

Тем
71

Постов
178

Баллов
543
  • 21, Feb 2013
  • #24
интересная тема. Хоть и прошло время, но я думаю, эта тема волнует всех и до сих пор. Хотелось бы отметить две вещи. 1. Четкое и безукоризненное соблюдение набора правил информационной безопасности.

Это вообще-то комплекс мер, в который входит и жесткое администрирование и жесткие организационные мероприятия внутри фирмы. В этой связи хочу отметить высказывания gavron - все правильно и по делу. 2. Более частное замечание именно по такому случаю: контролировать именно почту, а также вложения и связанные утечки можно с помощью мэйлсервера например "демона", особенно с развернутыми доменными правилами и политиками.

Например c развернутой AD. Мэйл сервер можно настроить как на доменные имена, так и на внешние мейлсервера, прописав соответствующий доступ. На мейлсервере запретить аттач.

Можно по маскам.

Конечно с гибкой политикой - кому можно а кому нельзя.

В результате всё будет прозрачно, кто куда ходил, можно делать копии писем на пару адресов внутри домена своеобразным "модераторам", цензорам.

Соответствующие правила прописать в должностные обязанности работников предприятия по работе с информацией ( в данном случае членов домена).

Чтобы не коннектились, а точнее - не аутентифицировались непосредственно на внешних мэйл серверах - порубить на файеволе.

P.S. ловить темную крысу в темной комнате самому очень тяжело.

Особенно, если нет прав включать рубильник P.P.S в конце концов есть сниффера и еще пару относительно законных методов взломать крысиную почту ) и еще хотел обратить внимание на перманентную диалектику информационной безопасности - на хитрую попу всегда найдется кое-что с винтом. это касается обеих сторон.

 

Zten.murof


Рег
15 Jul, 2004

Тем
68

Постов
224

Баллов
574
  • 17, Oct 2013
  • #25
А ещё можно было получить пароль таким путём: на dns домен контроллера прописать запись на этот мэйл сервак, ip какой нибудь локальный поставить, развернув на нём фэйковую страничку ввода пароля и логина, с последующим редиректом на реальный почтовик.
 

Cerebrum666


Рег
24 Apr, 2012

Тем
79

Постов
189

Баллов
624
  • 13, Jun 2014
  • #26
shiga, post: 685837:если дела серьёзные то письма могут удаляться.
Если дела серьезные, умный чел не занимался бы этим на работе.
 

Mclane


Рег
12 Jun, 2014

Тем
77

Постов
196

Баллов
581
  • 10, Jul 2014
  • #27
Сообщение 1 Добавлено через 56 секунд Сообщение 2
Сообщение 2
Сообщение 2
 

UnorromaKnopy


Рег
04 Oct, 2013

Тем
50

Постов
203

Баллов
473
  • 16, Jul 2014
  • #28
mclane, post: 685863:Если дела серьезные, умный чел не занимался бы этим на работе.
можно и с мобильного отправлять почту тут уже не как не проследишь. ____________________________ сайт

 

3Ttooobachk454


Рег
16 Jul, 2014

Тем
70

Постов
177

Баллов
557
  • 01, Aug 2014
  • #29
А что вы ожидаете в снифере увидеть? К гуглю то юзер наверняка по https подключается. Пароль в этом случае не отловится.
 

Goreg


Рег
22 Feb, 2013

Тем
79

Постов
192

Баллов
607
Тем
403,760
Комментарии
400,028
Опыт
2,418,908

Интересно