www.MegaLab.it

[white_knight86]

Buonasera a tutti, ieri il nostro referente d'ufficio è entrato dicendo che qualcuno ha inviato una mail utilizzando il suo indirizzo di posta. Chiaramente incazzato e visibilmente deciso a portare avanti la questione ha cominciato a dirci cosa è successo sospettando anche di noi:

-Qualcuno ha cambiato nome a un PC della sede, digitando il nome del pc del referente omettendo però un trattino
-Sembra essere entrato con la password del referente e abbia spedito l'email da quel PC
-Abbiamo visionato l'email e tratta della nostra attività di questi giorni, però con la richiesta di interromperla (non siamo d'accordo di interromperla perché la cosa diverrebbe ingestibile ) e quindi non tratta di diffamazione verso di lui.
-Qualche giorno fa prima del marasma ho lavorato su quel PC (chiaramente visto da persone con cui ho parlato) e quindi rischio di prendermi la colpa!

A questo punto vorrei capire se esiste un metodo per capire chi è stato! perché non è corretto che ci venga sganciata tutta la colpa! Dobbiamo rivolgerci alla Polizia Postale (se la mail non è diffamatoria non la interpellerei) oppure aspettiamo la prossima mossa?

[hashcat]

Per quanto riguarda l'email per saperne qualcosa di più bisogna leggerne l'intestazione (lì sono presenti alcune informazioni interessanti).

Per quanto riguarda il cambio del nome del computer potrai trovare maggiori informazioni consultando il Visulizzatore Eventi di Windows.

Sempre dal Visualizzatore Eventi potrai ottenere preziose informazioni come i vari tentativi di login riusciti/falliti, il relativo account utilizzato e l'orario.

[white_knight86]

Per quanto riguarda l'email per saperne qualcosa di più bisogna leggerne l'intestazione (lì sono presenti alcune informazioni interessanti).

Per quanto riguarda il cambio del nome del computer potrai trovare maggiori informazioni consultando il Visulizzatore Eventi di Windows.

Sempre dal Visualizzatore Eventi potrai ottenere preziose informazioni come i vari tentativi di login riusciti/falliti, il relativo account utilizzato e l'orario.

Già fatte tutte le seguenti operazioni e da quello che si è trovato si vedono i nomi del referente e del mio collega, il problema è che su quel PC mi hanno visto lavorare alcuni pomeriggi e non trovando il mio nome possono colpevolizzare anche me, anche se non ne sono responsabile

[hashcat]

Avete già controllato l'ip del mittente presente nell'intestazione dell'email (X-SenderIP) e l'orario d'invio della stessa?

Come farebbero ad incolparti senza le dovute prove?

Mentre penso a qualcos'altro per risolvere il tuo problema ti auguro una buona serata

[gianpietro]

Ciao white_knight86.

Questo mese su una della mie riviste di informatica è presente un programma
che forse fà al caso tuo.

Tool di analisi forense:OS FORENSICS

http://www.osforensics.com/

Al momento è disponibile una versione " beta " completa e gratuita.

Si tratta di uno dei software più nuovi nel campo della computer forencis.
Un programma potente e veloce, abbastanza semplice da utilizzare, che
include tutti gli strumenti essenziali e professionali per svolgere un'indagine
forense accurata oppure un controllo veloce e divertente nel nostro sistema.

Possiamo andare alla ricerca di tutte le e-mail archiviate.

E non solo quelle elencate nel client di posta elettronica, ma anche quelle già cancellate!

Ciao.

[white_knight86]

Avete già controllato l'ip del mittente presente nell'intestazione dell'email (X-SenderIP) e l'orario d'invio della stessa?

Come farebbero ad incolparti senza le dovute prove?

Mentre penso a qualcos'altro per risolvere il tuo problema ti auguro una buona serata

Si l'IP è stato rilevato è il referente ora ha il PC nel suo ufficio, può darsi che decida di farlo analizzare, grazie per il buona serata, la auguro anche a te

Ciao white_knight86.

Questo mese su una della mie riviste di informatica è presente un programma
che forse fà al caso tuo.

Tool di analisi forense:OS FORENSICS

http://www.osforensics.com/

Al momento è disponibile una versione " beta " completa e gratuita.

Si tratta di uno dei software più nuovi nel campo della computer forencis.
Un programma potente e veloce, abbastanza semplice da utilizzare, che
include tutti gli strumenti essenziali e professionali per svolgere un'indagine
forense accurata oppure un controllo veloce e divertente nel nostro sistema.

Possiamo andare alla ricerca di tutte le e-mail archiviate.

E non solo quelle elencate nel client di posta elettronica, ma anche quelle già cancellate!

Ciao.

Grazie mille per la dritta! Ora lo sto provando nel mio PC di casa Se il nostro referente decide di usarlo lo applichiamo

[white_knight86]

Un altra domanda: se un utente ha avuto accesso alla macchina suppongo usando il c$ (da altra macchina remota), inserendo il suo nome utente di dominio e la password, nel visualizzatore eventi viene tracciato? Anche eseguendo ad esempio l'esegui come... di ie6?

[cippico]

immagino il pc sia sotto dominio...
solitamente per cambiare nome al pc bisogna essere almeno amministratore delal macchina...
da noi oltretutto se io sono amministratore della amcchina teoricamente potrei anche cambiare nome ai pc...poi al momento di confermare il nome nuovo pero' mi fermo li perche' non avendo i diritti all'interno della rete al momento in cui mi chiede le credenziali (user e psw)non vado oltre...

ciaooo

[white_knight86]

immagino il pc sia sotto dominio...
solitamente per cambiare nome al pc bisogna essere almeno amministratore delal macchina...
da noi oltretutto se io sono amministratore della amcchina teoricamente potrei anche cambiare nome ai pc...poi al momento di confermare il nome nuovo pero' mi fermo li perche' non avendo i diritti all'interno della rete al momento in cui mi chiede le credenziali (user e psw)non vado oltre...

ciaooo

Infatti non siamo in molti ad avere la password di dominio administrator, tuttavia se qualcuno la data in giro o se le fatta leggere tanti saluti... possiamo colpevolizzare mille persone che non traiamo un ragno dal buco siete sicuri che il c$ non possa essere risalibile attraverso il registro eventi?

[Al3x]

se l'audit sicurezza è abilitato si può risalire al chi ha avuto accesso alla macchina sia in locale che via rete. Non capisco però che cosa potrebbe farsene di un tipo di accesso come questo. Fare una indagine di questo tipo in un ambiente di lavoro in cui sicurezza e politiche di accesso alle risorse hanno regole blande, rende spesso quasi impossibile risalire agli autori di gesti di questo genere.

Se dovessi essere io fare unq cosa del genere mi procurerei prima di tutto la password dell'account di posta, operazione semplice se l'autenticazione avviene in chiaro. Non visto potrei patchare alcune dll della macchina target per abilitare l'uso contemporaneo del desktop remoto. Al momento buono, mentre la vittima è altrove mi collegherei e spedirei il messaggio incriminato beffando tutti ed alla faccia di chi cerca un responsabile. Infine mi prodigherei a far fuori dal registro degli eventi tutte le tracce del mio accesso (basta un account locale con diritti amministrativi e tool appositi).

In alternativa potrei anche usare una live linux da USB che abbia lo stesso nome macchina di quella con su montato Windows e tramite le giuste credenziali dell'account di posta, otterrei lo stesso risultato senza lasciare tracce evidenti.

Prima di formulare ipotesi fantastiche, come è stato fatto notare da altri, è opportuno verificare con attenzione l'header del messaggio, ci sono programmi stand alone o in linea che lo fanno ed è basilare essere certi prima di lanciare accuse.

Se devo dire quello che penso, la colpa se la dovrebbe prendere il responsabile ICT se ne avete uno, macchine che permettono di abilitare il boot da device esterni o da CD, case senza allarme anti-intrusione e politiche di accesso al sistema operativo ed alla rete dove un numero indefinito di persone possono fare il proprio comodo in base a regole dettate da amicizia o dal volemose bene porta a queste conseguenze. Se non si vuol vivere blindati è lo scotto da pagare, se si vuol la sicurezza allora la strada non è quella che avete preso voi in azienda