Ярослав Поляков, в статье "Мониторинг электронной почты (http://www.crime-research.ru/articles/Poljakov1/)" обобщил методы выделения и блокирования рассылки внутрикорпоративной информации в общем потоке электронной почты.
Для блокировки обходных путей предлагаются следующие решения:
- Исходящая почта отсылается только через локальный почтовый сервер;
- Клиенты работают только через proxy, исключающий возможность проброса туннелей;
- Вложения блокируются (только plain-text).
- Шифрованные и кодированные сообщения (например, PGP) выявляются и блокируются по сигнатурам (обойти можно пропустив шифрованный текст через фильтр нормализующий отклонения от обычного текста).URL: http://www.crime-research.ru/articles/Poljakov1/
Новость: http://www.opennet.me/opennews/art.shtml?num=4439
А на Западе, я слышал, корпоративную почту делают публичной доступной внутри компании.
Я такую практику встречал в Москве, в одной фирме. Все вложения отрезались и выкладывались для всеобщего обозрения.
С другой стороны, если не позволить сотрудникам общаться на личные темы, то они довольно быстро озвереют.
Пустышка. Статья ни о чем, конкретики ноль.
Жаль, тема интересная, очень было бы хорошо посмотреть на конкретные реализации слежения за почтовым трафиком.
http://www.jetinfosoft.ru - продукт Дозор
вообще таких продуктов есть и разных, рынок растет, в том числе и защита веба
2 Gerrom обратись в СОРМ ;) тебе все покажут и расскажут ;) у них опыт большой :))
Параноики.
Технических каналов утечки инофрмации так много что мониторить одну только почту бесполезно, а внедрение полноценной системы безопасности в большинстве случаев не оправдывается экономически.
>Параноики.
>Технических каналов утечки инофрмации так много что мониторить одну только почту бесполезно,
>а внедрение полноценной системы безопасности в большинстве случаев не оправдывается экономически.оправдывается-оправдывается - когда у тебя из компании вышлют документ описывающий новый продукт или чот-то подобное, то ты поймешь. При этом могут просто ошибиться в выборе адреса из адресной книги
Я не говорю, что надо совсем все открыть, но технические меры должны дополняться административными, а в совокупности они должны быть адекватны защищаемым секретам и имеющимся угрозам.
Внедрять такую систему перлюстрации электронной почты без других технических систем и административных мер - бесполезно. А внедрять все вместе могут позволить себе только очень крупные компании (да, и Siemens тоже :), но вот им-то такие "пособия" вряд ли нужны. Так что данный текст можно рассматривать только как научно-познавательную статью :)P.S. Кстати, чем предложенные механизмы могут помочь в случае с отсылкой письма по ошибочному адресу, особенно то что названо там "пассивным мониторингом"?
пассивный мониторинг в случае неправильной отправки - не поможет. Но по крайней мере скажет об этом админу безопасности
Если пользователю доступен обыкновенный ВЕБ (хоть через десять суперпрокси) то можно забыть о мониторинге и т.д. Ставите тот-же HTTP-тунель (tcp2http.kiev.ua, ....) и вперед ....
Держать и не пущать!!!совки...
Ну-ну :)
Не работал ты в серьезных конторах, где информация может стоить много-много денег. Стало быть, ты совок и есть, обитатель нищего НИИ и завсегдатай курилок :)
"У нас в Германии" подобного идиотизма не встречал, хотя по-роду работы приходится трудится на разных фирмах.... Если для тебя "Siemens" не серьезная контора, то в Германии её уважают. Ограничения есть, но не до такого маразма.Так ято сиди в своей "серьезной контороре" и тешь своё жалкое самолюбие тем, что можешь хоть чем-то ущемить своих коллег по работе...
А ты думаешь, что всю твою почту не сохраняют? если не сохраняют, то Siemens попалу на кучу денег, ибо это запрещено законом Basel II, который предписыват хранение почты на срок от пяти до 7 дет
Он просто не в курсе. Дурачок он :)
И не такие экземпляры приезжают к нам в Германию.Ilia
senior network administrator
AIST MediaLab AG
Ampfing, Deutschland
Берут же таких придурков на работу!!!!
А ещё что-то о безопасности рассуждает.....www.aist.de ssh (22/tcp) Security hole found
You are running a version of OpenSSH which is older than 3.7.1
Versions older than 3.7.1 are vulnerable to a flaw in the buffer management
functions which might allow an attacker to execute arbitrary commands on this
host.
An exploit for this issue is rumored to exist.
www.aist.de ftp (21/tcp) Security hole foundThe remote FTP server seems to be vulnerable to an integer
conversion bug when it receives a malformed argument to the
'REST' command.
An attacker may exploit this flaw to crash the remote FTP
daemon and possibly execute arbitary code on this host.
www.aist.de http (80/tcp) Security hole foundThe following URLs seem to be vulnerable to various SQL injection
techniques :
/german/webnews/print.php?id='UNION'& =
/german/webnews/print.php?id='& =
/german/webnews/print.php?id='%22& =
/german/webnews/print.php?id='bad_bad_value& =
/german/webnews/print.php?id=bad_bad_value'& =
/german/webnews/print.php?id='WHERE& =
/german/webnews/print.php?id='OR& =
The following URLs seem to be vulnerable to various SQL injection
techniques :
/german/webnews/news.php?id=10&stof='UNION'& =
/german/webnews/news.php?id=10&stof='& =
/german/webnews/news.php?id=10&stof='%22& =
/german/webnews/news.php?id=10&stof='bad_bad_value& =
/german/webnews/news.php?id=10&stof=bad_bad_value'& =
/german/webnews/news.php?id=10&stof='WHERE& =
/german/webnews/news.php?id=10&stof='OR& =
An attacker may exploit this flaws to bypass authentication
or to take the control of the remote database.
The following requests seem to allow the reading of
sensitive files or XSS. You should manually try them to see if anything bad happens :
/german/webnews/news.php?id=10&stof=<script>alert('foo');</script>
/german/webnews/print.php?id=<script>alert('foo');</script>www.aist.de https (443/tcp) Security hole found
t seems that the source code of various CGIs can be accessed by
requesting the CGI name with a special suffix (.old, .bak, ~ or .copy)
Here is the list of CGIs Nessus gathered :
/egroupware/login.php
/login.phpwww.aist.de pop3s (995/tcp) Security hole found
www.aist.de imaps (993/tcp) Security hole foundThe remote host seems to be using a version of OpenSSL which is
older than 0.9.6e or 0.9.7-beta3
This version is vulnerable to a buffer overflow which,
may allow an attacker to obtain a shell on this host.
Сынок, прежде чем делать какие-то там выводы, поломай пожалуйста эту систему. Доказательство очень простое - выложи здесь ее рутовый пароль :)
Мне вообще есть смысл этого ждать от тебя, или ты сразу заткнешься?
Мальчик! Я не хочу иметь дело с полицией.Я уже давно вышел из этого возраста....и мне есть чем заниматься на работе... а дыры то ЕСТЬ!!!.....
:-)
Все ясно с тобой, сыне. Отдыхай.
>Берут же таких придурков на работу!!!!
>А ещё что-то о безопасности рассуждает.....
>
>www.aist.de ssh (22/tcp) Security hole foundНа лицо honeypot для ловли начинающий хакеров на живца. Я помню у себя делал похожее, патчил ftp сервер, который при применении эксплоита эмулировал падение в кору, скачав которую и потратив пару дней на расшифровку паролей взломщик получал орчень классную фразу которая составлялась из по порядку расшифрованных johntheripper'ом паролей :-)
самые надежные меры безопасности это административные. Если их нет нечего говорить о технических решениях.
если отрезать доступ на http прямо, только через проксю, резать все сайты со словом mail, send и т.п. в запросе, сделать ящик в который сыпится вся исходящая во вне почта, посадить человека, читающего эту почту, то можно частично (!) обезопасить себя от утечки информации, т.к. рядовой пользователь с другими методами не разберется, а уж если засланец - то он подготовлен и использует множество других лазеек, вплоть до переписываня информации себе в блокнот - сталкивались уже :)
Целиком согласен со screepach! Против обученного "засланца" никакие средства не спасут. Даже если к каждому сотруднику приставить охранника, чтобы смотрел за его действиями, то и его можно в долю взять.
Блокнот это канешна сгоряча, а вот на флешке размером с почтовую марку можно вынести ну очень много :)
Почту в частности и интернет в целом резать можно только из жадности, когда подключаются к "откатному" интернету с бешеными тарифами.
Господа, есть вполне официальный продукт, выполняющий перлюстрацию почты. Зовётся сие чудо "Заслон". Выпускается Jet Infosystems (кажись, могу уточнить). Стоит хороших бабок и работает под Солярой. В нашей "конторе" её внедряли. Но не успели. ;) Доблестный органы полностью закрыли выход в И-нет. Вплоть до опечатывания сетевых карт. Маппет-шоу было ещё то. Но это уже другая история. :)
Продукт джетов для мониторинга почты, называет СМАП «Дозор-Джет».
Стоит действительно больших бабок))
А пользы .. по-моему это параноя, такое делать в компаниях
>Продукт джетов для мониторинга почты, называет СМАП «Дозор-Джет».
>Стоит действительно больших бабок))
>А пользы .. по-моему это параноя, такое делать в компанияхВ части компаний хотят даже не контролировать прохождение, а знать кто и что передвал. были и случаи, когда отлавливали тех кто скидывал информацию налево. Вы не забывайте, что кроме технарей эл. почтой пользуется еще много людей, которые не думают...
Один из ключевых пунктов правил по использованию компьютерных ресурсов в рационально управляемой компании -- практическая возможность аудита почты любого сотрудника. Не потому что делать нечего -- почту мониторить, а потому, чтобы размотать клубок фактов, в случае возникновения нештатной ситуации. Другими словами, чтобы искать крайнего не по досужим домыслам, а основываясь на фактах -- электронных документах.
вот-вот - я это и имел в виду под прохождением почты
Работает, и очень неплохо... только стоимость продукта можно увеличить в 3-4 раза(железо+внедрение).А в нагрузку к этому надо ставить Z-2(Очень крутой firewall).
А сейчас готовится новый продукт, для контроля web-траффика...
Очень неплохой продукт в дополнение к архивации почты. http://www.fortinet.com/products/ ПО уще немного сыровато, но очень быстро совершенствуется.