Как вычислить "крысу"?

[DJ-root]

Всем привет. У меня есть один очень серьезный вопрос: Есть подозрение, что один из сотрудников сливает инфу налево. Каким образом можно проследить за его личной почтой (отправляет с браузера) Гмаил, или еще что-то там? Я имею ввиду, ушедшие от него письма.
Что кассается корпоративной почты - вопросов нет, а вот личную как побороть? Буду очень признателен за любую помощь

 

[Abraxas]

Какие у тебя права на его компьютере? Проще всего прошпионить его пароль и порыться в ящике собственноручно.

 

[shiga]

Если есть доступ к его компу-кейлогер.Юзаю kgb.Рекомендую.

 

[shiga]

Какие у тебя права на его компьютере? Проще всего прошпионить его пароль и порыться в ящике собственноручно.

если дела серьёзные то письма могут удаляться.

 

[Abraxas]

А если инфа во вложениях? Как потом доказать, что там было?
Кейлогер полюбому, конечно, для текста, и для пароля тоже, и для адресов, куда шлёт. Если крыса такая тупая, что сливает инфу налево прямо с рабочего компа, то есть вероятность, что в ящике письма могут оставаться.

 

[DJ-root]

Права у меня административные. Но... Поставить кейлогер не могу, т.к. весь софт контролируется главным офисом за бугром. В почте порыться? Вариант... но...
У подозреваемого - ноут.
ЗЫ, кто может кейлоггер подогнать? Буду благодарен
А можно ли как-то послушать сеть? Всмысле все, что идет с его МАСа?

 

[shiga]

Вот кейлогер о котором я говорил.
В настройках поставь птичку-"скрыть везде"
пароль shiga

 

[Abraxas]

Права у меня административные. Но... Поставить кейлогер не могу, т.к. весь софт контролируется главным офисом за бугром. В почте порыться? Вариант... но...
У подозреваемого - ноут.
ЗЫ, кто может кейлоггер подогнать? Буду благодарен
А можно ли как-то послушать сеть? Всмысле все, что идет с его МАСа?

Если он ходит на почту через браузер, то перехвати его пароль и лезь в его ящик на сервере. Письма могут сохраниться там.
Если есть куда поставить и есть время и желание поковыряться, то попробуй поюзать сниффер для перехвата его исходящих пакетов по определенному протоколу.

 

[Painted]

1. Запускаешь всех через прокси
2. Запрещаешь на прокси метод POST
3. Все письма идут через ваш постовый сервер
На прокси же можно поднять снифер типа Cain. Он много типов пакетов анализирует. Потому как снифить со своего компа проблемно

 

[Ognev]

Для анализа сетевых пакетов я использовал

You do not have permission to view link please Вход or Регистрация

. У нас тема с программой

You do not have permission to view link please Вход or Регистрация

.

 

[DJ-root]

2 shiga, большое спасибо. Попробую поганять
2 Abraxas, бес его знает, как он ходит. Буду пробовать разные методы. Скорее всего снифером...
2 Painted. Все и так работают через прокси... Только она стоит за бугром... Так что метод отпадает.
2 Ognev, спасибо, попробую

Какие еще будут варианты и предложения?

 

[Ognev]

Какие еще будут варианты и предложения?

Вариант взять за #%ца не предлагать? )))))


DJ-root,
посмотри еще

You do not have permission to view link please Вход or Регистрация

- тоже от TamoSoft, но заточен под высокоуровневые протоколы. Сам его не пользовал.

 

[DJ-root]

Вариант взять за #%ца не предлагать? )))))

Предлагать обязательно . И возьмем, только когда будут основания для этого

 

[Ognev]

Попробовал я NetResident v.1.5. Потестил ее на mail.ru - подлогинился и отправил письмо с вложением. Софтина показала пароль и все страницы (включая страницу с текстом письма и прикрепленным файлом). Единственно, с вложениями беда. Как я понял, софтина сохраняет только ссылку на него на сайте. А так как после отправки этот файл убивается, то увидеть, что в приложении я не смог.

P.S. CommView, как я помню, сохраняет все пакеты. Но там придется ковырятся в них вручную. Хотя может в новых версиях все уже и не так )))

 

[DJ-root]

Спасибо за NetResident и CommView. Но данные софтины ничего не могут показать, т.к. все пакеты идут через Циску, которая кроме широковещательных доменных пакетов больше ничего не пускает
Буду пробовать с кейлогером...

 

[Death Moroz]

Спасибо за NetResident и CommView. Но данные софтины ничего не могут показать, т.к. все пакеты идут через Циску, которая кроме широковещательных доменных пакетов больше ничего не пускает
Буду пробовать с кейлогером...

А разве в Cisco ты этого всего не видеш ??? Покопайся в Cisco хорошенько помоему тебе с таким маршрутизатором эти проги изначально нафиг не нужны Хотя в CommView есть такая тема как слушать свитч

 

[DJ-root]

Дело в том, что маршрутизатор администрируют из-за бугра Тобишь пароля на 800-ю циску у меня нет... А за опцию CommView слушать свитч - спасибо, попробую

 

[xbz]

попробуй под предлогом апгрейда ПО поставить на его тачку радмин или любой другой бэкдор, предпочитаю радмин 2.1 сидишь и смотришь что и куда он отправляет, геморно правда, но зато в режиме он лайн.

 

[DJ-root]

Отпадает. Потому что у нас есть система мониторинга софта, которую контролируют админу из-за бугра...
Самый приемлимый на данный момент вариант - настроить на свитче ядра спам-порт, после чего слушать трафик....

 

[gavron]

Я так понимаю он Юзер в домене, и ты являешся админом. поставь чтобы он логинился только на свой стационарный ПК, обреж ему права по самое ...... и групповой политикой закрой флеш устройства/DVD. А вот личную почту просто закрыть приказом по фирме. Ну если это по каким либо причинам невозможно, то тогда снифер -

You do not have permission to view link please Вход or Регистрация

все тебе покажет кто куда и зачем

 

[DJ-root]

gavron, за снифир спасибо. На его машине я локальный админ. Только у него не стационарник, а ноут, что сильно затрудняет дело
В домене у меня права только на наш OU . А политика вообще писать не могу...
По поводу почты - такой приказ имеется. Только не по фирме, а по всей корпорации по всему миру! Только на него все херят

 

[gavron]

Ну а доступ к внешней почте у вас где режится ?? Если за бугром то просто отследить, где он забирает почту и сообщить тамошнему админу, а дальше просто это дело расскрутить, вплоть до увольнения !!! И я думаю прежде всего тебе нужно объяснить руководству, что нужно ужесточить контроль за исполнением ваших внутренних правил. Если ноут то просто нужно написать письмецо тамошнему админу и объяснить ситуацию, я думаю вы найдете общий язык

 

[DJ-root]

Спасибо всем. "Крысу" уволили. Дажа не надо было под нее копать со стороны IT, этот человек просто облажался и засветился

 

[Shurick]

Всем Привет! Может не в тему. Надо узнать логин учителя. Там очень важная информация. Система базируется типа на citrix с ВИН 2000. Возможно поставить на машину keyloger или типа...