Информационная безопасность

   http://www.findones.ru/          

Расследование и его результаты


Изучение программы из приложения к письму (так называемого "троянского коня") показало, что это была программа на C, которую можно легко найти в Интернете на хакерских веб-сайтах. Она ничего не делала, кроме уничтожения содержимого всего жесткого диска. Ее исходный текст имел не более 100 строк и был использован в нескольких вирусах.

Для того, чтобы проверить правильность гипотезы о том, что злоумышленником был тот самый уволенный сотрудник, требовалось провести ряд оперативных действий:

  • Следователь связался с интернет-провайдером, который предоставил почтовый аккаунт, с которого было послано письмо, чтобы узнать, кто является владельцем этого аккаунта и когда он использовался. Оказалось, что это был временный (бесплатный первые 3 дня), не требующий оплаты по кредитной карте аккаунт. Поэтому не удалось напрямую установить, когда он использовался и кто его владелец. Но доступ в эти первые 3 дня должен был производиться, используя телефонный номер модемного пула провайдера, начинающийся с 800, а при доступе по этому номеру протоколировался номер телефона, с которого звонил пользователь. Информация из этого журнала показала, что многие звонки в эти три дня делались с домашнего номера телефона подозреваемого уволенного сотрудника. Мало кто знает, что для номеров, начинающихся с 800 и 888 ведется журнал, в котором фиксируются номера звонящего и того, кому звонят, который может быть предоставлен по запросу телефонной компанией (в США).
  • Изучение журналов почтового сервера у интернет-провайдера показало, что дата-время отправки письма, вызвавшего уничтожение данных на жестком диске, совпадает по времени со звонками подозреваемого на 800-номер у провайдера.
  • Изучение архивов отправленных писем у провайдера показало наличие в них того самого сообщения вместе с приложением, содержащим троянского коня.
  • Анализ журналов почтового сервера компании показал, что в интересуюшее время получались письма от почтового сервера провайдера, а проверка промежуточных почтовых серверов предоставила доказательства того, что письмо с троянским конем действительно передавалось между почтовым сервером провайдера и почтовым сервером компании.
  • С помощью журналов межсетевого экрана компании удалось установить точные времена доставки писем и адреса их отправителей.

    Содержание  Назад  Вперед




    Forekc.ru
    Рефераты, дипломы, курсовые, выпускные и квалификационные работы, диссертации, учебники, учебные пособия, лекции, методические пособия и рекомендации, программы и курсы обучения, публикации из профильных изданий