Центр исследования компьютерной преступности

home контакты

Вы можете комментировать

Обсуждение : Мониторинг электронной почты

Замечание: Не оставляйте о себе конфиденциальных данных.
После отсылки комментария он становиться виден всем посетителям.
Имя:
E-mail:
Комментарий:
Проверка
от спама
or Отмена
1-15> 16-30 > Всего 28 комментариев


2007-02-27 04:19:00 - Евгений
Ответ Михаилу:
> И пока вам ещё готовы их платить, озадачу старую
> КГБшную гвардию вопросом.
> Что вы можете реально противопоставить простой
> отправке писем через webmail по протоколу https при
> помощи обычного браузера, с дополнительно
> зашифрованными при помощи PGP вложениями, ключи
> передаются тем же способом; или отправке по этому
> каналу вложений-картинок, в которых при помощи S-
> Tools стеганографически скрыта вся нужная информация?

Самое простое и элементарное, что можно сделать - запретить HTTP-POST.. Всё, никакая web-почта не пройдёт..


2006-03-06 07:45:48 -
вот мой ящик почтовый [email protected]


2006-03-06 07:44:29 -
Народ вышлите исходник или ссылку где его можно скачать
Вобщем нужно перехватить мыльницу на один ящик он мне известен короче что бы прога могла smtp траффик весь перехватывать определять по загловку письма нужное мне и перенаправляла бы его куда мне нужно но в приципе я это сам реализуя вот как перехват сделать помогите пожалуйста


2005-09-17 15:59:57 -
Your blog is realy very interesting.


2005-09-02 07:14:44 - Михаил
Ответ на 2005-08-11 16:14:09 - Дмитрий

>Во-первых, можно организовать контроль над трафиком
>всех пакетов уходящих из внутренней сети компании
Закроете вообще весь https ?
А если на другой порт? Вот так: https://****.com:****.
Может, ещё и http ? Для надёжности.

>А во-вторых, для того что, спрятать одну информацию
>внутри другой необходимы специальные программы,
>такие как Steganos или Silan например, а установить
>данную программу на рабочий компьютер можно если
>системный администратор предоставит такую возможность
Скачаю через https готовый exe-шник и просто запущу его, ничего не буду устанавливать. S-Tools, например, не устанавливаются.
Запретите запускать все exe-шники, не входящие в "белый список"? Переименую.
Кроме того, такую программу можно скачать в исходниках и собрать "на месте". Или скачать в кодировке Base64 и открыть при помощи uudecode.
Есть масса способов.

Понятно, что и с этим можно бороться. Если нанять на каждого сотрудника компании по 2 администратора. А кто будет надзирать за администраторами?

> а зачем тогда использовать почтовый сервер компании
> для отправки этого сообщения.
Да нет, зачем это делать. В сети есть масса сайтов, где за 1 минуту можно открыть почтовый ящик, через него и отправить, используя браузер.


2005-08-11 16:14:09 - Дмитрий
Ответ на 2005-06-25 08:38:01 - Михаил
Во-первых, можно организовать контроль над трафиком всех пакетов уходящих из внутренней сети компании, это по поводу отправки сообщений через webmail по протоколу https,
А во-вторых, для того что, спрятать одну информацию внутри другой необходимы специальные программы, такие как Steganos или Silan,например, а установить данную программу на рабочий компьютер можно если системный администратор предоставит такую возможность, остается готовить информацию дома - а зачем тогда использовать почтовый сервер компании для отправки этого сообщения.


2005-06-25 08:38:01 - Михаил
Почитал статью, комментарии.

М-да, друзья, никуда вам не деться от совкового "не пущать" и чувства, что вы что-то там "контролируете". Это не проблема техническая или какая-то ещё.
Это проблема зрелости общества. Ещё не все в нашем обществе понимают то, что право на личную переписку и частную жизнь - это один из основополагающих столпов демократии. В этом - пока что - ваше счастье, но это пройдёт, протесты накатят на вас как волна. Пройдёт десяток лет, и мы начнём судиться с вами за это. Старая гвардия будет стоять в сторонке, но мы найдём способ отправить вас за решётку за попирание наших прав и нарушение законов и конституции.
Вы же ничего не сможете перехватить, если кто-то реально захочет вынести "с работы" что-то ценное. Это, я надеюсь, понятно и вам.
Всё, что вы можете - это надоедать тем, кто делает реальную работу, своими "мерами по защите бла-бла-бла", надувать щёки и профукивать бабки. Немалые бабки, кстати. И пока вам ещё готовы их платить, озадачу старую КГБшную гвардию вопросом.
Что вы можете реально противопоставить простой отправке писем через webmail по протоколу https при помощи обычного браузера, с дополнительно зашифрованными при помощи PGP вложениями, ключи передаются тем же способом; или отправке по этому каналу вложений-картинок, в которых при помощи S-Tools стеганографически скрыта вся нужная информация?


2004-10-18 07:23:44 - xenon
Владимир.
Возможны варианты:

1. Если ключи для расшифровки есть (то есть шифрование используется как защита от внешних угроз, а не от службы безопасности), то система сама может расшифровывать сообщения. Она построена с использованием плагинов, и нет сложности вызвать, скажем, PGP перед проверкой письма, чтобы потом анализировать уже открытый текст. (это, наверное, оптимальный вариант).

2. Шифровать почту после проверки. Скажем, пользователь отправляет с рабочей станции письмо в нешифрованном виде, оно шифруется на мейлсервере. "По дороге" оно перехватывается и анализируется, пока находится еще в открытом виде.

Если Вы уточните вопрос, мы сможем обсудить, какое решение подошло бы в вашем случае.


2004-10-14 04:00:08 -
А как быть, если в организации официально принята система шифрования почты? ТОгда ваши усилия оказываются бесполезными. Верно? Ваша же система не умеет распознавать шифрованный трафик?


2004-10-06 03:07:44 - xenon
Александр, безусловно, на каждую меру есть контрмера. Тоннель из внутренней сети вообще не есть хорошо с точки зрения службы безопасности, и должен пресекаться не только ради контроля за перепиской. Обнаружить и DNS и HTTP туннель можно достаточно просто.

Когда шпион-сотрудник играет организацией, у него всего одна "жизнь". Не нужно решать каждый день сложную технологическую задачу ("и пытаться вычислить "кто сегодня будет сервером"), если ее можно решить один раз административно, уволив такого шалуна.

А перехват почты с вебмейлов (http, не https) стоит в планах. :-)


2004-10-06 02:54:28 - xenon
m00nlight, а почему аттачи усложняют дело?

То, что систему можно обойти - не так уж и страшно. Конечно, было бы хорошо сделать непроходимую защиту, но вряд ли возможно. А с точки зрения "шпиона" - вряд ли у него будет полный доступ к системе, чтобы понять, как она работает, как она настроена, и как ее обойти. А рисковать тут не стоит. Пассивный метод я предпочел как раз потому, что можно построить сенсор в виде "черного ящика", и сложно будет узнать, какие фильтры он использует. То, что интегрируемые фильтры позволяют предотвратить утечку, я считаю, что в реальности не сильно спасает. Если "шпион" отправил письмо, ему пришел ответ "извините, нельзя. служба безопасности оповещена" то ему уже почти "нечего терять", и почему бы не попробовать послать письмо другим методом, и так пока оно не пройдет. (AI в ближайшее время вряд ли сравняется с человеческим интеллектом, и обмануть автоматический фильтр можно). Семь бед один ответ.

В итоге все равно в обоих случаях данные "ушли", утечка зарегистрирована, но в случае встраиваемого фильтра, шпион знает, что его обнаружили, а в случае пассивного мониторинга - нет. И тогда фирма обладает большей свободой - может изменить свое поведение, чтобы утекшие данные не были полезны (а может быть и даже стали вредны) конкуренту, может сознательно скормить шпиону дезинформацию итд. Контрразведка интересная область, но я тут не большой спец, а профессионалы в этой области, думаю, знают, как можно играть со шпионом себе на пользу. :-)


2004-10-06 02:40:44 - xenon
йцукенг, в принципе можно (a-la snort), но есть проблемы - мы имеем полный текст письма только когда отправитель завершил его отсылку, то есть послал "\r\n.\r\n". В это время уже поздно что-то делать - сервер уже принял письмо. Даже если разорвать соединение удастся, то письмо все равно уже доставлено. Единственный выход - анализировать уже полученную часть письма по получению каждого пакета. Но это "сложно", и следовательно плохо - нам нужно успеть понять, что письмо "плохое", и послать RST до того как оно завершиться. Пример: письмо с аттачем из N мегабайт. Сендер его подготовил к отправке и бездумно "валит" трафик как из пулемета. На каждый пакет из 1.5К (ethernet MTU), особенно ближе к концу письма нам надо будет составить текущее неполное письмо из почты N мегабайт и проанализировать его. Это может занять время. Большее, чем требуется сендеру чтобы записать еще один пакет в карточку. В итоге нагрузка на сенсор будет такая, что он просто не успеет послать RST.

Если есть идеи - буду рад обсудить.

Ярослав.


2004-10-05 12:40:14 -
Ерунда все это!
Утечка инфы (имеется в виду сознательный шпионаж) никогда не происходит по каналам которые контролирует компания!
ИТ-ники расслабтесь, будете читать почту - прослывете идиотами и извращенцами.
Борьба со шпионами - дело службы безопасности! Поверьте у бывших, опытных ментов есть методы как боротся с шпионами....


2004-10-05 08:00:05 - vvv
Это кто ж будет распространяться о смене работы?
Да ещё и резюме посылать с корпоративного почтового сервера?


2004-10-05 04:49:19 - kdn
Хорошо, что мой начальник ЭТО не читал. Он у меня придурашный -- заставил бы делать. Хотя неплохая философская статья. Если вдруг придется что-то подобное делать возьму некоторые тезысы на вооружение.


1-15> 16-30 >
Всего 28 комментариев

Copyright © 2001–2007 Computer Crime Research Center

CCRC logo
Рассылка новостей


Rambler's Top100