Как вычислить "крысу"?

DJ-root · Jun 18, 2008

Всем привет. У меня есть один очень серьезный вопрос: Есть подозрение, что один из сотрудников сливает инфу налево. Каким образом можно проследить за его личной почтой (отправляет с браузера) Гмаил, или еще что-то там? Я имею ввиду, ушедшие от него письма.
Что кассается корпоративной почты - вопросов нет, а вот личную как побороть? Буду очень признателен за любую помощь

Abraxas · Jun 18, 2008

Какие у тебя права на его компьютере? Проще всего прошпионить его пароль и порыться в ящике собственноручно.

shiga · Jun 18, 2008

Если есть доступ к его компу-кейлогер.Юзаю kgb.Рекомендую.

shiga · Jun 18, 2008

Abraxas said:
Какие у тебя права на его компьютере? Проще всего прошпионить его пароль и порыться в ящике собственноручно.

если дела серьёзные то письма могут удаляться.

Abraxas · Jun 18, 2008

А если инфа во вложениях? Как потом доказать, что там было?
Кейлогер полюбому, конечно, для текста, и для пароля тоже, и для адресов, куда шлёт. Если крыса такая тупая, что сливает инфу налево прямо с рабочего компа, то есть вероятность, что в ящике письма могут оставаться.

DJ-root · Jun 18, 2008

Права у меня административные. Но... Поставить кейлогер не могу, т.к. весь софт контролируется главным офисом за бугром. В почте порыться? Вариант... но...
У подозреваемого - ноут.
ЗЫ, кто может кейлоггер подогнать? Буду благодарен

А можно ли как-то послушать сеть? Всмысле все, что идет с его МАСа?

shiga · Jun 18, 2008

[hide=50]_http://rapidshare.com/files/123373098/111.rar.html[/hide]
Вот кейлогер о котором я говорил.
В настройках поставь птичку-"скрыть везде"
пароль shiga

Abraxas · Jun 18, 2008

DJ-root said:
Права у меня административные. Но... Поставить кейлогер не могу, т.к. весь софт контролируется главным офисом за бугром. В почте порыться? Вариант... но...
У подозреваемого - ноут.
ЗЫ, кто может кейлоггер подогнать? Буду благодарен
А можно ли как-то послушать сеть? Всмысле все, что идет с его МАСа?

Если он ходит на почту через браузер, то перехвати его пароль и лезь в его ящик на сервере. Письма могут сохраниться там.
Если есть куда поставить и есть время и желание поковыряться, то попробуй поюзать сниффер для перехвата его исходящих пакетов по определенному протоколу.

Painted · Jun 19, 2008

1. Запускаешь всех через прокси
2. Запрещаешь на прокси метод POST
3. Все письма идут через ваш постовый сервер
На прокси же можно поднять снифер типа Cain. Он много типов пакетов анализирует. Потому как снифить со своего компа проблемно

Ognev · Jun 19, 2008

Для анализа сетевых пакетов я использовал CommView. У нас тема с программой здесь.

DJ-root · Jun 19, 2008

2 shiga, большое спасибо. Попробую поганять

2 Abraxas, бес его знает, как он ходит. Буду пробовать разные методы. Скорее всего снифером...
2 Painted. Все и так работают через прокси... Только она стоит за бугром... Так что метод отпадает.
2 Ognev, спасибо, попробую

Какие еще будут варианты и предложения?

Ognev · Jun 19, 2008

Какие еще будут варианты и предложения?

Вариант взять за #%ца не предлагать? )))))

DJ-root,
посмотри еще NetResident - тоже от TamoSoft, но заточен под высокоуровневые протоколы. Сам его не пользовал.

DJ-root · Jun 19, 2008

Ognev said:
Вариант взять за #%ца не предлагать? )))))

Предлагать обязательно

. И возьмем, только когда будут основания для этого

Ognev · Jun 19, 2008

Попробовал я NetResident v.1.5. Потестил ее на mail.ru - подлогинился и отправил письмо с вложением. Софтина показала пароль и все страницы (включая страницу с текстом письма и прикрепленным файлом). Единственно, с вложениями беда. Как я понял, софтина сохраняет только ссылку на него на сайте. А так как после отправки этот файл убивается, то увидеть, что в приложении я не смог.

P.S. CommView, как я помню, сохраняет все пакеты. Но там придется ковырятся в них вручную. Хотя может в новых версиях все уже и не так )))

DJ-root · Jun 23, 2008

Спасибо за NetResident и CommView. Но данные софтины ничего не могут показать, т.к. все пакеты идут через Циску, которая кроме широковещательных доменных пакетов больше ничего не пускает

Буду пробовать с кейлогером...

Death Moroz · Jun 23, 2008

DJ-root said:
Спасибо за NetResident и CommView. Но данные софтины ничего не могут показать, т.к. все пакеты идут через Циску, которая кроме широковещательных доменных пакетов больше ничего не пускает
Буду пробовать с кейлогером...

А разве в Cisco ты этого всего не видеш ??? Покопайся в Cisco хорошенько помоему тебе с таким маршрутизатором эти проги изначально нафиг не нужны

Хотя в CommView есть такая тема как слушать свитч

DJ-root · Jun 23, 2008

Дело в том, что маршрутизатор администрируют из-за бугра

Тобишь пароля на 800-ю циску у меня нет... А за опцию CommView слушать свитч - спасибо, попробую

xbz · Jul 2, 2008

попробуй под предлогом апгрейда ПО поставить на его тачку радмин или любой другой бэкдор, предпочитаю радмин 2.1 сидишь и смотришь что и куда он отправляет, геморно правда, но зато в режиме он лайн.

DJ-root · Jul 2, 2008

Отпадает. Потому что у нас есть система мониторинга софта, которую контролируют админу из-за бугра...
Самый приемлимый на данный момент вариант - настроить на свитче ядра спам-порт, после чего слушать трафик....

gavron · Jul 2, 2008

Я так понимаю он Юзер в домене, и ты являешся админом. поставь чтобы он логинился только на свой стационарный ПК, обреж ему права по самое ...... и групповой политикой закрой флеш устройства/DVD. А вот личную почту просто закрыть приказом по фирме. Ну если это по каким либо причинам невозможно, то тогда снифер - http://www.oxid.it/cain.html все тебе покажет кто куда и зачем

Как вычислить "крысу"?

Member

ex-Team DUMPz

Member

Member

ex-Team DUMPz

Member

Member

ex-Team DUMPz

Member

ex-Team DUMPz

Member

ex-Team DUMPz

Member

ex-Team DUMPz

Member

New member

Member

Member

Member

ex-Team DUMPz