Re: Auditoría a log de openwebmail

Carlos Parrá cparra en articlynx.cl
Mie Mar 10 12:54:40 CLST 2004 

Pensar que puedes identificar as la persona que robo esa informacion es 
bastante dificil, a no ser que la persona que la robo haya sido bastante 
ingenua y se haya conectado desde su propio pc y con su respectiva ip, lo mas 
probable que si consigio el password de la cuenta de correo, lo haya echo desde 
un cyber cafe, o desde algun otro sitio, tambien te debo recordar que obtener 
un´password de correo, es bastante simple si el password viaja por la red sin 
encriptar, basta con instalar un sniffer y monitorear la red para conseguir el 
password, yo creo que si vas hacer una auditoria deberias tratar de ver si 
alguien tiene en tu red instalado algun sniffer.

Salu2
Quoting Jose Miguel Vidal Lavin <jmvidal en sertotal.cl>:

> Señores
> 
> 	Les cuento, tengo que hacer una auditoría a los accesos de cuentas 
> desde webmail por un problema de seguridad que hubo en la empresa, 
> específicamente alguien de otro lado se metió a la cuenta de correos de 
> uno de los gerentes sacandole información vital, yo analicé los log que 
> deja el openwebmail y llegué a una IP específica que justamente es de la 
> competencia nuestra, que raro no? ;) , como logramos confirmar gracias 
> al log que hubieron muchos intentos de entrada a la casilla de éste 
> gerente sin lograrlos dando el mensaje "login error - auth_unix.pl, ret 
> -4, Password incorrect" pero al final dieron con la clave.
> 
> 	Mi consulta es la siguiente, se puede de alguna manera hacer pensar al 
> openwebmail de que se están conectando de cierto lado como para inculpar 
> a ciertas personas?, osea cambiar la ip de acceso por otra válida para 
> efectos de log.
> 
> 	Es muy importante para nosotros saber con exactitud que ha ocurrido por 
> que se tomarán medidas legales al respecto y en este momento solo está 
> mi palabra respaldado por log que lo sucedido.
> 
> 	Muchas gracias por sus posibles respuestas.
> 
> saludos
> 
> -- 
> Jose Miguel Vidal Lavin       User #333809 http://couter.li.org
> Departamento de Informática                      Fono : 6764600
> Cobranzas y Servicios Afines                            6764622
> Bulnes 317, Oficina 612     					
> 
> 
> 


Carlos Parrá
Linux user number: 329618


-------------------------------------------------
This mail sent through IMP: http://mail.articlynx.cl/

Más información sobre la lista de distribución Linux