Тема: Подстава для безопансика! Помогие провести экспертизу и защитить честь
Добрый день , коллеги!
Вопрос касается защиты чести мундира безопасника и отстаивания законных прав!
Прошу всех экспертов помочь разобраться в этой ситуации и выразить профессиональное мнение с нейтральной точки зрения.
Ситуация следующая. В адрес руководства нашей компании с почтовых ящиков mail.ru были разосланы письма с информацией, которая признана мошеннической и наносящей урон имиджу компании.
В авторстве писем в виду личной неприязни администраторов ИТ и службы безопасности хотят обвинить сотрудника СБ по информационной безопасности. Утверждается, что из под его доменной учетной записи Windows был произведен выход через браузер на почтовый ящик злоумышленникf с которого и была потом произведена рассылка писем.
В доказательство администраторы приводят лог журналов доступу к web-ресурсу прокис сервера MS TMG 2010, в котором отображаются сведения об учетной записи пользователя, его ip-адресе, времени доступа, URL запрошенного внешнего ресурса.
Мы совершено точно наем, что данный сотрудник не мог совершить указанные действия. Его хотят подставить. В виду этого возникают вопросы по экспертизе логов прокси сервера.
Необходимо доказать и показать способ каким образом могли быть сфабрикованы эти данные. Речь идет о чести и достоинстве сотрудника, а так же угрозе увольнения по статье.
Поскольку получить руль на TMG невозможно, что бы изучить все его особенности приходится обращаться ко всем здравомыслящим экспертам за помощью и предпологать все возможные варианты.
И так наши предположения:
1. Файлы журнала логов могли быть сфабрикованы администраторами, т.е. все данные прописаны руками за долго до инцидента.
2. Был осуществленный удаленный несанкционированный доступ с целью выполнить все указанные действия под учтенными данными компрометируемого сотрудника
3. Проведен неверный анализ логов и желаемое выдается за действительное, т.е. доступа на почту не было, а в логах он прописан .
Вся фишка в том именно как под учтенными данными легитимного пользователя провести серию действия позволивших его скопроментировать.
Прилагаю фрагмент записей логов которые выдаются за доказательства виновности нашего сотрудника. Изучаем смотрим и у кого какие будут мнения пишем. Ссылка на яндекс диск http://yadi.sk/d/DvfGKX1hJAQXR
Конфигурация сети: Windows Server 2008R2, MS TMG 2010, MS Exchange , сетевые адреса основного офиса 172.16.0.4/24, раздаются dhcp, приблизительное количество хостов сети 800 машин, клиенты под MS Windows 7 Sp1 Pro