RADMIN вопрос по защите
Пользователи, просматривающие топик: none
|
Зашли как: Guest
|
Имя  |
| Сообщение |
<< Старые топики Новые топики >> |
|
|
RADMIN вопрос по защите - 2011-04-04 11:54:33.346666
|
|
|
gella_tm
Сообщений: 3
Оценки: 0
Присоединился: 2011-03-01 10:16:49.896666
|
Здравствуйте, уважаемые хакеры!!
Обращаюсь с таким вопросом. Работаю в организации, где практикуется обновление машин через Radmin. Недавно к одной из рабочих машин кто-то из наших подключился и совершил денежную операцию от чужого имени - а именно перевел приличную сумму денег. Логи радмина подчищены, в журнале только информация об удаленном доступе. Известен номер веб-мани, на который перевели деньги. Никто не может предложить способ выявить злоумышленника - а именно, узнать с какого адреса было произведено удаленное подключение или на кого зарегистрирован данный номер веб-мани. Не хотелось бы пока привлекать ФСБ, так как скорее всего кто-то из наших сотрудников это сделал или бывший сотрудник.
В организацию, предоставляющую Интернет, уже обращались - у них логи подключения тоже не сохранились.
Заранее огромное спасибо за предложения, Галина.
|
|
|
|
|
RE: RADMIN вопрос по защите - 2011-04-04 12:31:08.560000
|
|
|
Ltonid
Сообщений: 4970
Оценки: 740
Присоединился: 2008-12-29 13:21:56.166666
|
quote:
В организацию, предоставляющую Интернет, уже обращались - у них логи подключения тоже не сохранились.
Это грубое нарушение законодательства РФ (если вы живете в РФ), так что вряд ли они станут так рисковать. Логи могли и не дать по причинам, что их по судам таскать будут. А предоставлять логи кому попало не имеют право.
Сама винда не хранит ничего подобного.
Выяснить владельца кошелька можно в саппорте вебмани.
Если деньги ещё там, то лучше поскорее привлекать сотрудников. В случае действительно серьезной суммы они точно примутся, да и найти будет не так сложно, достаточно логов прова и логов кошелька.
Можно сузить круг например:
Если подключение к раадмину доступно только внутри компании, то скорей всего свои.
Если злоумышленник подключился к сети через систему авторизации на фаерволе например, то опять же свои или бывшие свои.
Если на пути злоумышленника ничего не было и пароль на раадмине 1234 + денег на счету нет, никто и не возмется за это дело, увы.
Свитчи, роутеры, маршрутизаторы хранят логи (хоть и не долго, зависит от нагруженности) может там есть намеки откуда произошел удар.
Камеры видеонаблюдения могли зафиксировать подозрительные действия сотрудников, если например во время обеда кто-то задержался на 5 минут у компа и первым вернулся. Много вариаций. Почему думать на своих? Не работая в компании нельзя знать зарание с чем столкнешься, а любое препятсвие отнимает время, а бегающая мышь по рабочему столу оочень заметное проявление чужой деятельности.
Что ещё. Вы можете заблокировать кошелек злоумышленника, если уже это не сделали. Постараться как можно больше сузить временной промежуток когда могла произойти атака до минут, секунд, это может помочь следствию.
|
|
|
|
|
RE: RADMIN вопрос по защите - 2011-04-04 15:43:36.663333
|
|
|
Pupkin-Zade
Сообщений: 9398
Оценки: 1489
Присоединился: 2004-03-10 13:54:16
|
quote:
ORIGINAL: Ltonid
quote:
В организацию, предоставляющую Интернет, уже обращались - у них логи подключения тоже не сохранились.
Это грубое нарушение законодательства РФ (если вы живете в РФ), так что вряд ли они станут так рисковать. Логи могли и не дать по причинам, что их по судам таскать будут. А предоставлять логи кому попало не имеют право.
Грубое нарушение где - в отсутствиии логов или в отказе их выдать? Какое законодательство где нарушено?
|
|
|
|
|
RE: RADMIN вопрос по защите - 2011-04-04 15:45:47.710000
|
|
|
Ltonid
Сообщений: 4970
Оценки: 740
Присоединился: 2008-12-29 13:21:56.166666
|
Они обязаны хранить логи какой то там срок по закону. Конечно если срок вышел ,то логи могли уничтожить. Ну а то что они их не ведут, никто в это не поверит.
Нарушение если логов нет, по не объяснимым причинам так сказать. А то что не выдали это не нарушение.
Постановление Правительства РФ от 27 августа 2005 г. N 538 "Об утверждении Правил взаимодействия операторов связи с уполномоченными государственными органами, осуществляющими оперативно-разыскную деятельность" (с изменениями и дополнениями)
http://base.garant.ru/12141783/
quote:
12. Оператор связи обязан своевременно обновлять информацию, содержащуюся в базах данных об абонентах оператора связи и оказанных им услугах связи (далее - базы данных).
Указанная информация должна храниться оператором связи в течение 3 лет и предоставляться органам федеральной службы безопасности, а в случае, указанном в пункте 3 настоящих Правил, органам внутренних дел путем осуществления круглосуточного удаленного доступа к базам данных.
13. Информационные системы, содержащие базы данных, а также технические средства подключаются оператором связи к пункту управления органа федеральной службы безопасности через точки подключения.
Указанные точки подключения в субъекте Российской Федерации определяются органом федеральной службы безопасности.
14. Базы данных должны содержать следующую информацию об абонентах оператора связи:
фамилия, имя, отчество, место жительства и реквизиты основного документа, удостоверяющего личность, представленные при личном предъявлении абонентом указанного документа, - для абонента-гражданина;
наименование (фирменное наименование) юридического лица, его место нахождения, а также список лиц, использующих оконечное оборудование юридического лица, заверенный уполномоченным представителем юридического лица, в котором указаны их фамилии, имена, отчества, места жительства и реквизиты основного документа, удостоверяющего личность, - для абонента - юридического лица;
сведения баз данных о расчетах за оказанные услуги связи, в том числе о соединениях, трафике и платежах абонентов.
Ну надеюсь не только исходящих.
|
|
|
|
|
RE: RADMIN вопрос по защите - 2011-04-04 19:06:39.933333
|
|
|
zzsnn
Сообщений: 7459
Оценки: 680
Присоединился: 2007-09-25 07:17:14.240000
|
Нет логов - нет доказательств - нет и возможности обратиться в суд. А без постановления суда любая контора пошлёт подальше. И будет права.
Вернуть деньги можно только через суд, а не через спецслужбы. Так что в данной ситуации должны помогать юристы, а не программеры.
А Win, если не настроен на сохранение логов, не хранит их вообще. То, что ваш админ лоханулся - так это ваши проблемы. Нечего экономить на спецах. Теперь это отольётся в приличную сумму.
|
|
|
|
|
RE: RADMIN вопрос по защите - 2011-04-04 22:09:36.270000
|
|
|
Pupkin-Zade
Сообщений: 9398
Оценки: 1489
Присоединился: 2004-03-10 13:54:16
|
quote:
сведения баз данных о расчетах за оказанные услуги связи, в том числе о соединениях, трафике и платежах абонентов.
Спорно. Вот абонент - его запись: куплена услуга - коммутируемый доступ в Инет по адресу .. на фио … Вошел 12.04 в 13-00 вышел в 15-00
Все, ничего больше в базе не должно быть.
Да и честно говоря я слабо представляю КАК хранить такую инфу. Например логи к форуму это 1 Гигабайт в неделю. Без сайта. За полгода это минимум (примерно) 60 Гигов. Это один сайт. Какое хранилище и ЦОД должен быть хотя бы для среднего провайдера?
Ну а этот бред
quote:
Нет логов - нет доказательств - нет и возможности обратиться в суд. А без постановления суда любая контора пошлёт подальше. И будет права. Вернуть деньги можно только через суд, а не через спецслужбы.
даже комментировать не хочется.
В общем я бы сказал так - идите в милицию, им должы выдать логи (если они есть) или дать обоснованный ответ и упасть мордой в асфальт.
|
|
|
|
|
RE: RADMIN вопрос по защите - 2011-04-04 22:16:54.840000
|
|
|
Mатцал Коушек
Сообщений: 10407
Оценки: 91
Присоединился: 2008-07-09 10:27:49.520000
|
quote:
ORIGINAL: Pupkin-Zade
Да и честно говоря я слабо представляю КАК хранить такую инфу.
Внатуре, это прикинуть, тысячи юзеров, это сотни тысяч гигабайт.
Я у знакомой спрашивал, сколько вы храните логи на своей АТС?
Она говорит, вечно.
Видимо, сливают на жёсткие диски, их хранят, и постоянно покупают новые.
Я слышал, что англичане хранят данные уличного видеонаблюдения вечно, а у них весь Лондон покрыт наблюдением, каждый метр.
|
|
|
|
|
RE: RADMIN вопрос по защите - 2011-04-04 22:18:44.410000
|
|
|
Ltonid
Сообщений: 4970
Оценки: 740
Присоединился: 2008-12-29 13:21:56.166666
|
Ну я прочитал на сайте администраторов. Люди работающие у провайдера видели 6700 Гб логов и это только трафик и все это бекапиться регулярно. Честно даже записей просто зашел-вышел за 3 года будет столько, что я даже не знаю как назвать это число.
|
|
|
|
|
RE: RADMIN вопрос по защите - 2011-07-28 20:59:08.480000
|
|
|
GarantForYou
Сообщений: 32
Оценки: 0
Присоединился: 2011-07-28 20:31:06.180000
|
quote:
ORIGINAL: Ltonid
Ну я прочитал на сайте администраторов. Люди работающие у провайдера видели 6700 Гб логов и это только трафик и все это бекапиться регулярно. Честно даже записей просто зашел-вышел за 3 года будет столько, что я даже не знаю как назвать это число.
Если у обычных пользователей в DC++ на домашнем компьютере открывается доступ к 10 ТБ информации, то что можно говорить о провайдерах.
|
|
|
|
|
|
