PDA

Visualizza versione completa : Software per scoprire intrusi su rete aziendale


crazy.cat
02-02-2008, 15.07.44
Nel posto dove lavoro adesso abbiamo un hacker depresso che si diverte a entrare nei server aziendali, li resetta, sposta le buste paghe dei dipendenti, entra nelle caselle e-mail degli altri e spedisce posta a loro nome.
La ditta non si è ancora decisa a cacciarlo perchè questo nasconde le tracce bene, ma è nel mirino.
Io non amministro la rete, ma dato che sono presente sul posto mi hanno incaricato di un primo controllo.

C'è qualche software freeware che possa sentire attività illecite (sniffer di rete, pc che si connettono ad altri e non dovrebbero, varie ed eventuali.....) e magari darmi un avviso.

Grazie

LoryOne
02-02-2008, 17.07.53
Chi ti dice che 'sto buzzicone non sia uno dei vostri admin ?

crazy.cat
02-02-2008, 17.19.37
Chi ti dice che 'sto buzzicone non sia uno dei vostri admin ?
Sappiamo che è lui perchè è andato a "vantarsi" con la persona a cui ha aperto la casella email, poi ha mandato più volte un avviso agli admin della rete segnalando i punti deboli dei server e tutto quello che ha fatto.

Adesso lo vogliono appendere per i gioielli di famiglia, però gli servono delle prove fisiche per incastrarlo.

n@ndo
02-02-2008, 18.06.29
nessus la v.3 ora anche per windows

Thor
02-02-2008, 18.25.18
bisognerebbe appendere per i gioielli anche il sysadmin, però! ;)

LoryOne
02-02-2008, 19.26.42
ha mandato più volte un avviso agli admin della rete segnalando i punti deboli dei server e tutto quello che ha fatto.

Ma dai, ha bacchettato gli admin e voi lo volete appendere per i testicoli ?
In fondo ha fatto un'opera di bene nei confronti degli admin, facendo capire ancora una volta che devono effettuare attività di controllo in maniera più attenta.
Se non ha provocato seri danni all'Azienda (alterazione/distruzione completa o parziale di dati, divulgazione di informazioni private, spionaggio) perchè castigarlo ?
Piuttosto, spendete qualche euro in più sulla formazione del vostro personale. Credo sia cosa più saggia ;)

Doomboy
02-02-2008, 19.38.21
Nel posto dove lavoro adesso abbiamo un hacker depresso che si diverte a entrare nei server aziendali, li resetta, sposta le buste paghe dei dipendenti, entra nelle caselle e-mail degli altri e spedisce posta a loro nome.
La ditta non si è ancora decisa a cacciarlo perchè questo nasconde le tracce bene, ma è nel mirino.
Io non amministro la rete, ma dato che sono presente sul posto mi hanno incaricato di un primo controllo.

C'è qualche software freeware che possa sentire attività illecite (sniffer di rete, pc che si connettono ad altri e non dovrebbero, varie ed eventuali.....) e magari darmi un avviso.

Grazie

Per beccare un intruso ti serve un sysad... da solo non puoi trovarlo. Ti serve accesso a risorse che probabilmente non hai. Non ti basta un programmino freeware... tanto più poi che se sapete chi è, beccarlo è ancora più facile, però è ovvio che se è uno che sa il fatto suo, vi serve uno esperto almeno quanto lui... sennò non lo tanerai certo con un programmino freeware che monitorizza la rete.

crazy.cat
03-02-2008, 09.04.28
Se non ha provocato seri danni all'Azienda (alterazione/distruzione completa o parziale di dati, divulgazione di informazioni private, spionaggio) perchè castigarlo ?
Spostare le buste paga di una sede su un altra, poi entrare nella casella email di una persona è abbastanza grave...

LoryOne
03-02-2008, 12.39.35
Il mio era un post un po provocatorio.
Come ti è stato detto da Doomboy, il tuo è un compito piuttosto arduo, soprattutto perchè un sistema compromesso è difficle da ripristinare. Inoltre considera che un cracker, quando agisce, compie la sua attività con l'intento di compromettere il maggior numero di sistemi in modo da assicurarsi più di una possibilità di accesso. E' probabile che il server sia stato senza dubbio un'obiettivo importante, ma la tua attenzione non deve essere focalizzata sul server come punto di partenza, bensì su tutta l'infrastruttura di rete, non per ultimi i client in uso dal personale.
Per portare a buon fine la tua attività investigativa, hai comunque bisogno di ottenere un'ottima conoscenza della topologia di rete, dei dispositivi di protezione adottati e della loro ubicazione, della conoscenza delle password di accesso alle configurazioni di sicurezza e dei nominativi degli admin che hanno impostato precedentemente ACL e policies, in modo da collaborare con loro per una maggiore verifica e ridefinizione di quest'ultime.
Ad ogni modo, hai già un buon punto di partenza: Il buzzicone ha fornito informazioni sulla sua attività. Non fidarti troppo di quello che ti ha concesso di sapere sul suo operato. Verifica, aggiorna e prendi provvedimenti con gli admin per ridefinire la politica di prevenzione futura.
Nessus è un'ottima utility per testare la sicurezza di un sistema ...

Losko
03-02-2008, 14.33.39
Premesso che da quanto letto dal post seguente:
Nel posto dove lavoro adesso abbiamo un hacker depresso che si diverte a entrare nei server aziendali, li resetta, sposta le buste paghe dei dipendenti, entra nelle caselle e-mail degli altri e spedisce posta a loro nome.
La ditta non si è ancora decisa a cacciarlo perchè questo nasconde le tracce bene, ma è nel mirino.
Io non amministro la rete, ma dato che sono presente sul posto mi hanno incaricato di un primo controllo.

C'è qualche software freeware che possa sentire attività illecite (sniffer di rete, pc che si connettono ad altri e non dovrebbero, varie ed eventuali.....) e magari darmi un avviso.

Grazie
siamo già nel penale in quanto vi è stato un accesso abusivo ad un sistema informatico o telematico (art.615 ter cp) che cita: "Chiunque abusivamente si introduce in un sistema informatico o telematico protetto da misure di sicurezza ovvero vi si mantiene contro la volontà espressa o tacita di chi ha il diritto di escluderlo, è punito con la reclusione fino a tre anni.". Le cose peggiorano se oltre alla violazione del sistema, sono state compiute altre azioni.

Tornando al problema, posso dire che la rete aziendale presenta gravi falle di sicurezza. Pertanto i SysAdmin dovrebbero rimboccarsi le maniche e lavorare giorno e notte per riparare eventuali danni e migliorare la sicurezza.

Le prime azioni che si possono fare, oltre a quello di dotare la rete di software per il monitoraggio, è di controllare i LOG dei sistemi compromessi, dai quali si potrebbe evincere l'eventuale autore e le azioni compiute. Tale compito spetterebbe sempre ai SysAdmin e non al semplice impiegato (non perchè non ne sia capace) perchè materialmente non dispone degli strumenti per effettuare queste verifiche.

Aggiungo, tra l'altro, che vi sono responsabilità, anche a livello penale, sia per gli Amministratori della rete e per l'eventuale figura Responsabile della sicurezza della rete aziendale.