1

Тема: Подстава для безопансика! Помогие провести экспертизу и защитить честь

Добрый день , коллеги!

Вопрос касается защиты чести мундира безопасника и отстаивания законных прав!
Прошу всех экспертов помочь разобраться в этой ситуации и выразить профессиональное  мнение с нейтральной точки зрения.

Ситуация следующая. В адрес руководства нашей компании с  почтовых ящиков mail.ru  были разосланы письма с информацией, которая признана мошеннической и наносящей урон имиджу компании.
В авторстве писем  в виду личной неприязни администраторов ИТ  и службы безопасности хотят обвинить сотрудника СБ по информационной безопасности. Утверждается, что из под  его доменной учетной записи Windows был произведен выход  через браузер на почтовый ящик злоумышленникf  с которого и была потом произведена рассылка писем.
В доказательство  администраторы приводят лог журналов доступу к web-ресурсу прокис сервера MS TMG 2010, в котором отображаются сведения об учетной записи пользователя, его ip-адресе, времени доступа, URL запрошенного внешнего ресурса.
Мы совершено точно наем, что данный сотрудник не мог совершить указанные действия. Его хотят подставить. В виду этого возникают вопросы по экспертизе логов прокси сервера.

Необходимо доказать и показать способ каким образом могли быть сфабрикованы эти данные. Речь идет о чести и достоинстве сотрудника, а так же угрозе увольнения по статье.

Поскольку  получить руль на TMG невозможно, что бы изучить все его особенности приходится обращаться ко всем здравомыслящим экспертам за помощью и предпологать все возможные варианты.

И так наши предположения:
1. Файлы журнала логов могли быть сфабрикованы администраторами, т.е. все данные прописаны руками за долго до инцидента.
2. Был осуществленный удаленный несанкционированный доступ с целью выполнить все указанные действия под учтенными данными компрометируемого  сотрудника
3. Проведен неверный анализ логов и желаемое выдается за действительное, т.е. доступа на почту не было, а в логах он прописан .

Вся фишка в том именно как под учтенными данными легитимного пользователя провести серию действия позволивших его скопроментировать.
Прилагаю  фрагмент записей логов которые выдаются за доказательства виновности нашего сотрудника. Изучаем смотрим и у кого какие будут мнения пишем. Ссылка на яндекс диск http://yadi.sk/d/DvfGKX1hJAQXR

Конфигурация сети: Windows Server 2008R2,  MS TMG 2010,  MS Exchange ,  сетевые адреса основного офиса 172.16.0.4/24, раздаются dhcp, приблизительное количество хостов сети 800 машин,  клиенты под MS Windows  7 Sp1 Pro

2

Re: Подстава для безопансика! Помогие провести экспертизу и защитить честь

Нужно определить какому компьютеру в указанное время был выделен адрес 172.16.3.125. Далее необходимо просмотреть лог этого компьютера. Кто-то мог знать пароль вашего безопасника, далее злоумышленник под учеткой безопасника проходит MS TMG 2010 (самый простой случай возникает если у вас пользователи не привязаны к компьютерам, тогда в домен можно войти с любого компьютера с известной учеткой)  и делает в интернете, то, что ему нужно.

С уважением,
Ермаченков Алексей

3

Re: Подстава для безопансика! Помогие провести экспертизу и защитить честь

1. Вход с виртуального хостинга положительная перестраховка в вашем случае, но создает много лишних вопросов.
2. Если вопрос стоит о легальности логов и подставе, то может пора идти в правоохранительные органы и получать нормальные реальные данные согласно УПК
3. Надо такие ситуации предупреждать путем ухода из компании, т.к. конфликт между ИТ и ИБ говорит не в пользу сотрудника ИБ

С Уважением
Дмитрий Левиев
НП ПСИБ Библиотека НПС