Как вычислить "крысу"?

Death Moroz

Местный
Регистрация
24 Фев 2008
Сообщения
3
Реакции
5
Credits
6
Спасибо за NetResident и CommView. Но данные софтины ничего не могут показать, т.к. все пакеты идут через Циску, которая кроме широковещательных доменных пакетов больше ничего не пускает :(
Буду пробовать с кейлогером...
А разве в Cisco ты этого всего не видеш ??? Покопайся в Cisco хорошенько помоему тебе с таким маршрутизатором эти проги изначально нафиг не нужны :D Хотя в CommView есть такая тема как слушать свитч :D
 

DJ-root

Местный
Регистрация
9 Янв 2005
Сообщения
969
Реакции
387
Credits
0
Дело в том, что маршрутизатор администрируют из-за бугра :( Тобишь пароля на 800-ю циску у меня нет... А за опцию CommView слушать свитч - спасибо, попробую
 

xbz

Турист
Регистрация
26 Июн 2008
Сообщения
20
Реакции
1
Credits
32
попробуй под предлогом апгрейда ПО поставить на его тачку радмин или любой другой бэкдор, предпочитаю радмин 2.1 сидишь и смотришь что и куда он отправляет, геморно правда, но зато в режиме он лайн.
 

DJ-root

Местный
Регистрация
9 Янв 2005
Сообщения
969
Реакции
387
Credits
0
Отпадает. Потому что у нас есть система мониторинга софта, которую контролируют админу из-за бугра...
Самый приемлимый на данный момент вариант - настроить на свитче ядра спам-порт, после чего слушать трафик....
 

gavron

ex-Team DUMPz
Свой
Регистрация
10 Дек 2003
Сообщения
1,058
Реакции
335
Credits
0
Я так понимаю он Юзер в домене, и ты являешся админом. поставь чтобы он логинился только на свой стационарный ПК, обреж ему права по самое ...... и групповой политикой закрой флеш устройства/DVD. А вот личную почту просто закрыть приказом по фирме. Ну если это по каким либо причинам невозможно, то тогда снифер - Для просмотра ссылки Войди или Зарегистрируйся все тебе покажет кто куда и зачем :)
 
Последнее редактирование модератором:

DJ-root

Местный
Регистрация
9 Янв 2005
Сообщения
969
Реакции
387
Credits
0
gavron, за снифир спасибо. На его машине я локальный админ. Только у него не стационарник, а ноут, что сильно затрудняет дело
В домене у меня права только на наш OU :(. А политика вообще писать не могу...
По поводу почты - такой приказ имеется. Только не по фирме, а по всей корпорации по всему миру! Только на него все херят
 

gavron

ex-Team DUMPz
Свой
Регистрация
10 Дек 2003
Сообщения
1,058
Реакции
335
Credits
0
Ну а доступ к внешней почте у вас где режится ?? Если за бугром то просто отследить, где он забирает почту и сообщить тамошнему админу, а дальше просто это дело расскрутить, вплоть до увольнения !!! И я думаю прежде всего тебе нужно объяснить руководству, что нужно ужесточить контроль за исполнением ваших внутренних правил. Если ноут то просто нужно написать письмецо тамошнему админу и объяснить ситуацию, я думаю вы найдете общий язык :)
 

DJ-root

Местный
Регистрация
9 Янв 2005
Сообщения
969
Реакции
387
Credits
0
Спасибо всем. "Крысу" уволили. Дажа не надо было под нее копать со стороны IT, этот человек просто облажался и засветился
 

Shurick

Турист
Регистрация
22 Сен 2006
Сообщения
38
Реакции
1
Credits
66
Всем Привет! Может не в тему. Надо узнать логин учителя. Там очень важная информация. Система базируется типа на citrix с ВИН 2000. Возможно поставить на машину keyloger или типа...
 

a_n_popov

Турист
Регистрация
27 Окт 2011
Сообщения
4
Реакции
0
Credits
8
Открываешь его винт в режиме "только чтение" через USB-адаптер, заходишь в кэш страниц и каждую!!! сохраненную страничку просматриваешь вручную. Если есть подозрение на определенный временной интервал - пусти фильтр по дате создания файла.
Долго, муторно, но зато самое надежное.
 

zten.murof

Местный
Регистрация
15 Июл 2004
Сообщения
34
Реакции
14
Credits
58
интересная тема.
Хоть и прошло время, но я думаю, эта тема волнует всех и до сих пор.
Хотелось бы отметить две вещи.
1. Четкое и безукоризненное соблюдение набора правил информационной безопасности. Это вообще-то комплекс мер, в который входит и жесткое администрирование и жесткие организационные мероприятия внутри фирмы.
В этой связи хочу отметить высказывания gavron - все правильно и по делу.


2. Более частное замечание именно по такому случаю:
контролировать именно почту, а также вложения и связанные утечки можно с помощью мэйлсервера например "демона", особенно с развернутыми доменными правилами и политиками. Например c развернутой AD.
Мэйл сервер можно настроить как на доменные имена, так и на внешние мейлсервера, прописав соответствующий доступ.
На мейлсервере запретить аттач. Можно по маскам. Конечно с гибкой политикой - кому можно а кому нельзя.
В результате всё будет прозрачно, кто куда ходил, можно делать копии писем на пару адресов внутри домена своеобразным "модераторам", цензорам.
Соответствующие правила прописать в должностные обязанности работников предприятия по работе с информацией ( в данном случае членов домена).
Чтобы не коннектились, а точнее - не аутентифицировались непосредственно на внешних мэйл серверах - порубить на файеволе.

P.S. ловить темную крысу в темной комнате самому очень тяжело. Особенно, если нет прав включать рубильник :)

P.P.S в конце концов есть сниффера и еще пару относительно законных методов взломать крысиную почту :))

и еще хотел обратить внимание на перманентную диалектику информационной безопасности - на хитрую попу всегда найдется кое-что с винтом.
это касается обеих сторон. ;)
 

cerebrum666

Турист
Регистрация
24 Апр 2012
Сообщения
3
Реакции
1
Credits
6
А ещё можно было получить пароль таким путём:
на dns домен контроллера прописать запись на этот мэйл сервак, ip какой нибудь локальный поставить, развернув на нём фэйковую страничку ввода пароля и логина, с последующим редиректом на реальный почтовик.
 

Lamin

Турист
Регистрация
16 Июл 2014
Сообщения
2
Реакции
0
Credits
2
Последнее редактирование модератором:

Goreg

Турист
Регистрация
22 Фев 2013
Сообщения
7
Реакции
0
Credits
56
А что вы ожидаете в снифере увидеть? К гуглю то юзер наверняка по https подключается. Пароль в этом случае не отловится.