Как вычислить "крысу"?

[DJ-root]

gavron, за снифир спасибо. На его машине я локальный админ. Только у него не стационарник, а ноут, что сильно затрудняет дело
В домене у меня права только на наш OU . А политика вообще писать не могу...
По поводу почты - такой приказ имеется. Только не по фирме, а по всей корпорации по всему миру! Только на него все херят

 

[gavron]

Ну а доступ к внешней почте у вас где режится ?? Если за бугром то просто отследить, где он забирает почту и сообщить тамошнему админу, а дальше просто это дело расскрутить, вплоть до увольнения !!! И я думаю прежде всего тебе нужно объяснить руководству, что нужно ужесточить контроль за исполнением ваших внутренних правил. Если ноут то просто нужно написать письмецо тамошнему админу и объяснить ситуацию, я думаю вы найдете общий язык

 

[DJ-root]

Спасибо всем. "Крысу" уволили. Дажа не надо было под нее копать со стороны IT, этот человек просто облажался и засветился

 

[Shurick]

Всем Привет! Может не в тему. Надо узнать логин учителя. Там очень важная информация. Система базируется типа на citrix с ВИН 2000. Возможно поставить на машину keyloger или типа...

 

[a_n_popov]

Открываешь его винт в режиме "только чтение" через USB-адаптер, заходишь в кэш страниц и каждую!!! сохраненную страничку просматриваешь вручную. Если есть подозрение на определенный временной интервал - пусти фильтр по дате создания файла.
Долго, муторно, но зато самое надежное.

 

[zten.murof]

интересная тема.
Хоть и прошло время, но я думаю, эта тема волнует всех и до сих пор.
Хотелось бы отметить две вещи.
1. Четкое и безукоризненное соблюдение набора правил информационной безопасности. Это вообще-то комплекс мер, в который входит и жесткое администрирование и жесткие организационные мероприятия внутри фирмы.
В этой связи хочу отметить высказывания gavron - все правильно и по делу.


2. Более частное замечание именно по такому случаю:
контролировать именно почту, а также вложения и связанные утечки можно с помощью мэйлсервера например "демона", особенно с развернутыми доменными правилами и политиками. Например c развернутой AD.
Мэйл сервер можно настроить как на доменные имена, так и на внешние мейлсервера, прописав соответствующий доступ.
На мейлсервере запретить аттач. Можно по маскам. Конечно с гибкой политикой - кому можно а кому нельзя.
В результате всё будет прозрачно, кто куда ходил, можно делать копии писем на пару адресов внутри домена своеобразным "модераторам", цензорам.
Соответствующие правила прописать в должностные обязанности работников предприятия по работе с информацией ( в данном случае членов домена).
Чтобы не коннектились, а точнее - не аутентифицировались непосредственно на внешних мэйл серверах - порубить на файеволе.

P.S. ловить темную крысу в темной комнате самому очень тяжело. Особенно, если нет прав включать рубильник

P.P.S в конце концов есть сниффера и еще пару относительно законных методов взломать крысиную почту )

и еще хотел обратить внимание на перманентную диалектику информационной безопасности - на хитрую попу всегда найдется кое-что с винтом.
это касается обеих сторон.

 

[cerebrum666]

А ещё можно было получить пароль таким путём:
на dns домен контроллера прописать запись на этот мэйл сервак, ip какой нибудь локальный поставить, развернув на нём фэйковую страничку ввода пароля и логина, с последующим редиректом на реальный почтовик.

 

[mclane]

если дела серьёзные то письма могут удаляться.

Если дела серьезные, умный чел не занимался бы этим на работе.

 

[Lamin]

Если дела серьезные, умный чел не занимался бы этим на работе.

можно и с мобильного отправлять почту тут уже не как не проследишь.



____________________________
сайт

 

[Goreg]

А что вы ожидаете в снифере увидеть? К гуглю то юзер наверняка по https подключается. Пароль в этом случае не отловится.