Auditor ía a log de openwebmail

Alejandro Fuentes de la Hoz afd-spam en foo.cl
Mie Mar 10 11:49:14 CLST 2004 

José Miguel:
    Respecto al fondo del tema, mi experiencia al menos, es que es
prácticamente imposible sostener algún tipo de acción legal en base a
información de logs.
    Te aconsejo IMHO definir un procedimiento de autenticación más robusta
(password más compleja, One time passwords, certificados, etc), para
evitar que esto ocurra nuevamente. Además utilizar bajo todos los
casos SSL (o TLS), en la transmisión de información y en acceso por
POP o IMAP.
     Por otra parte creo que una medida más "mediática", referente al
posible uso de la información sustraída, podría tener un mayor
efecto.
    Saludos

-- 
Alejandro Fuentes de la Hoz         "Life is what happens to you while
Centro de Software Libre (CSOL)          you're busy making other plans"
                                                         - John Lennon -


> Señores
>
> 	Les cuento, tengo que hacer una auditoría a los accesos de cuentas
> desde webmail por un problema de seguridad que hubo en la empresa,
> específicamente alguien de otro lado se metió a la cuenta de correos de
> uno de los gerentes sacandole información vital, yo analicé los log que
> deja el openwebmail y llegué a una IP específica que justamente es de la
> competencia nuestra, que raro no? ;) , como logramos confirmar gracias
> al log que hubieron muchos intentos de entrada a la casilla de éste
> gerente sin lograrlos dando el mensaje "login error - auth_unix.pl, ret
> -4, Password incorrect" pero al final dieron con la clave.
>
> 	Mi consulta es la siguiente, se puede de alguna manera hacer pensar al
> openwebmail de que se están conectando de cierto lado como para inculpar
> a ciertas personas?, osea cambiar la ip de acceso por otra válida para
> efectos de log.
>
> 	Es muy importante para nosotros saber con exactitud que ha ocurrido por
> que se tomarán medidas legales al respecto y en este momento solo está
> mi palabra respaldado por log que lo sucedido.
>
> 	Muchas gracias por sus posibles respuestas.
>
> saludos
>
> --
> Jose Miguel Vidal Lavin       User #333809 http://couter.li.org
> Departamento de Informática                      Fono : 6764600
> Cobranzas y Servicios Afines                            6764622
> Bulnes 317, Oficina 612
>
>

Más información sobre la lista de distribución Linux