Подстава для безопансика! Помогие провести экспертизу и защитить честь, Анализ логов прокси севера MS TMG как факт несанкционированного доступа под чужими учетными данными
Вопрос касается защиты чести мундира безопасника и отстаивания законных прав! Прошу всех экспертов помочь разобраться в этой ситуации и выразить профессиональное мнение с нейтральной точки зрения.
Ситуация следующая. В адрес руководства нашей компании с почтовых ящиков mail.ru были разосланы письма с информацией, которая признана мошеннической и наносящей урон имиджу компании. В авторстве писем в виду личной неприязни администраторов ИТ и службы безопасности хотят обвинить сотрудника СБ по информационной безопасности. Утверждается, что из под его доменной учетной записи Windows был произведен выход через браузер на почтовый ящик злоумышленникf с которого и была потом произведена рассылка писем. В доказательство администраторы приводят лог журналов доступу к web-ресурсу прокис сервера MS TMG 2010, в котором отображаются сведения об учетной записи пользователя, его ip-адресе, времени доступа, URL запрошенного внешнего ресурса. Мы совершено точно наем, что данный сотрудник не мог совершить указанные действия. Его хотят подставить. В виду этого возникают вопросы по экспертизе логов прокси сервера.
Необходимо доказать и показать способ каким образом могли быть сфабрикованы эти данные. Речь идет о чести и достоинстве сотрудника, а так же угрозе увольнения по статье.
Поскольку получить руль на TMG невозможно, что бы изучить все его особенности приходится обращаться ко всем здравомыслящим экспертам за помощью и предпологать все возможные варианты.
И так наши предположения: 1. Файлы журнала логов могли быть сфабрикованы администраторами, т.е. все данные прописаны руками за долго до инцидента. 2. Был осуществленный удаленный несанкционированный доступ с целью выполнить все указанные действия под учтенными данными компрометируемого сотрудника 3. Проведен неверный анализ логов и желаемое выдается за действительное, т.е. доступа на почту не было, а в логах он прописан .
Вся фишка в том именно как под учтенными данными легитимного пользователя провести серию действия позволивших его скопроментировать. Прилагаю фрагмент записей логов которые выдаются за доказательства виновности нашего сотрудника. Изучаем смотрим и у кого какие будут мнения пишем. Ссылка на яндекс диск http://yadi.sk/d/DvfGKX1hJAQXR
Конфигурация сети: Windows Server 2008R2, MS TMG 2010, MS Exchange , сетевые адреса основного офиса 172.16.0.4/24, раздаются dhcp, приблизительное количество хостов сети 800 машин, клиенты под MS Windows 7 Sp1 Pro
Здравствуйте! давайте разбираться! 1) Для подтверждения валидности URL-адресов следует напрямую обратиться в тех.поддержку mail.ru (самим анализировать их бесполезно). 2) Для подтверждения факта отсылки письма и связи его с данным пользователем и логом, нужно предоставить заголовки (а лучше целиком исходные данные) отправленных писем - в них содержится временная метка, по которой можно сравнить время логов и время отправления писем. 3) Время в письме просто так изменить не удастся, т.к. на сколько я помню, в письме так же содержится информация, по которой можно проверить целостность информации (а просто так изменить ее вряд ли руки дойдут - не очень уж и просто). 4) Почему письма были судя по логам отправлены еще в январе, а только сейчас поднялся каламбур? 5) В письмах так же должна содержаться информация, с какого ip-внешнего отправлено письмо, но могу ошибаться, если оно отправлено через Web-интерфейс (проверю сегодня вечером). 6) Что за учетная запись "anonymous" в логах?
Спасибо за ваш отклик! Кое что мы уже сделали, и так по пунктам:
1) В тех поддержку mail.ru мы уже отписали письмо с просьбой помочь поднять логии с их стороны. Ответа пока нет. Да мы сильно и не надеемся, поскольку в письмах нет ничего криминального, написанное никак не подпадает по статьи уголовного, административного или гражданского кодекса. Админы майла просто могут не захотеть связываться с этим делом. А писать официальный запрос в отдел К смысла не поскольку отсутствует состав преступления и они такое обращение не принимают. 2) Таких данных нет, их попросту неоткуда взять. Ключевой момент заключается в том отправка могла производиться с почты по распиванию без участия пользователя. поэтому нельзя однозначно связывать время отправки с временим захода на почту по логам. 3) Проверить тоже фактически возможности не имеем. 4) Вот такой каламбур. Инцидент был в середине января, но обвинения нам выставили вот на текущей недели. Сказали как хотите так и ищите доказательства. Поэтому мы и говорим, что это «заказ» на сотрудника, попытка скомпрометировать. 5) IP-адрес отправителя есть. Первый найденный это NAT нашего прокси сервера, т.е. отправка происходила изнутри нашей корпоративной сети. Второй это динамический адрес пула одного из местных интернет провайдера. Теоретически это могла быть и wi-fi точка доступа, например одного из кафе, тогда к ней мог подключить кто угодно. 6) А вот это тоже главный вопрос! Записи строчек "anonymous" вызывают большие подозрения. За этим мы и обратились к экспертам. Кто работает с MS TMG надеемся нам раскажут
1. Достаточно не логов с их стороны, а попросить удостоверить валидность адресов. 2. Такие данные должны быть. Иначе где доказательство, что сами письмо-то все-таки были? Без писем так кого угодно можно обвинить. 3. 4. 5. 6. Anonymous - это трафик неаутентифицированного юзера/
Без писем нет доказательств, поэтому письма должны быть предоставлены.
Страсти то какие Внутренний IP адрес компа безопасника совпадает с представленными Админами? СКУД имеется? Где безопасник был физически в этот момент? Дальше пляшите от клиента. Есть журнал браузера на компе безопасника, там отражен факт выхода? Есть журнал ОС, работал ли комп безопасника в это время? Если нормально прописаны ИБ аудиты, то из журналов можно вытащить еще кучу информации, по конкретному дню.