Fanoušek pornografie se stává tajemným fantomem

Zjistit, že někdo ze zaměstnanců surfoval na služebním počítači po pornografických stránkách, je jedna věc, ale d...


Zjistit, že někdo ze zaměstnanců surfoval na služebním počítači po
pornografických stránkách, je jedna věc, ale dokázat to konkrétní osobě je věc
zcela jiná.
Byl to nabitý týden. Snažím se udržet si přehled, kolik svých vysokých
nadřízených jsem již naštval, ale není to snadné a příští týden to asi bude
ještě o mnoho horší.
Celá patálie začala mým vlastně zcela nevinným zjištěním, že někdo ze
zaměstnanců surfoval po nepatřičných (rozuměj po pornografických) webových
stránkách. A to z pracovní stanice přidělené jednomu z velmi vysoko postavených
šéfů ve firmě. Neváhal jsem a předal hlášení o svém nálezu oddělení
personalistiky a lidských zdrojů. Jedna z jeho pracovnic přistoupila k problému
velmi razantně a potom, když jsem ji upozornil, že údaje, které jsem jí předal,
nejsou tak docela spolehlivé, musela začít rychle couvat.
Důvody nespolehlivosti jsou velmi komplikované. V současné době se uživatelé
nemusejí identifikovat na našem webovém proxy serveru. To znamená, že náš proxy
server nemá nejmenší tušení, kdo požaduje jakou konkrétní webovou stránku pouze
zaznamená IP adresu, odkud žádost přišla.
Takže já si zjistím IP adresu, prostřednictvím našeho DNS (Domain Name Server)
určím jméno použitého počítače a potom si pomocí našeho systému pro inventář a
zásoby najdu, kdo je uživatelem tohoto stroje. Není to příliš elegantní postup,
ale dává mi asi tak 95% jistotu ohledně identity surfaře. To je podle mého
názoru dosti dobrý důkaz na to, aby to ospravedlnilo podání tiché žádosti u
vedení firmy, aby si s uživatelem o věci promluvilo.

Nedostatečné důkazy
Samozřejmě tato informace není dostatečně vodotěsná na to, aby mohlo být
zahájeno disciplinární řízení. Např. proto, že na některých segmentech sítě
provozujeme DHCP (Dynamic Host Configuration Protocol). Ten dynamicky přiděluje
IP adresy, takže IP adresa uvedená v záznamech mohla být přidělena opětně a
jinak v době, kdy jsem kontroloval záznamy a vyptával se na DNS. Také je možné,
že náš inventární systém není v pořádku, naše poslepované skripty pro skenování
záznamů v sobě také mají nějaké chyby, moje manipulování s daty v programu
Excel zavedlo nějaké omyly atd., atd.
Máme tu tedy obtížný problém: Zatímco vrcholové vedení, které je nevinnost
sama, diskutuje o tom, jak k problému přistoupit z hlediska vedení podniku, já
zjišťuji, že jeden z našich "surfařů po nepatřičných stánkách" nyní používá
jiné PC než minulý týden. To muselo být způsobeno změnou pracovního stolu. Když
jsem znovu zkontroloval PC, které používal dříve, vyšlo najevo, že tento stroj
je nyní v užívání zahraniční studentkou, která je u nás na letní stáži. Pokud
po sobě náš člověk nezametá úplně dokonale stopy, tj. pokud nemaže všechny
downloadované adresáře, cookies a další pozůstatky své činnosti, muselo po jeho
činnosti něco na tomto starém PC zbýt. To znamená, že možná máme na krku další
malér v tom smyslu, že necháváme mladou dívku pocházející ze země vyhlášené
svou komisností a přísností mravů, pracovat na firemním počítači, který
obsahuje pornografické materiály.
Po urgentním telefonátu se na místo dostavuje podpůrný tým pro problémy se
stolními počítači a pod falešnou záminkou jakéhosi problému jí celý počítač
vyměňuje za jiný, aniž by celá záležitost vzbudila přílišnou a nežádoucí
zvědavost.
Jedna cesta, jak zjistit, zda máme ten pravý počítač, je podívat se na stopy v
souboru systémové historie. Nyní musím najít nějakou rychlou a snadnou cestu k
tomu, abych na dálku zjistil, které stránky náš tajemný uživatel navštívil.
Používáme Netscape, ale bohužel jeho soubor s historií nemá snadno čitelný
formát. Potřebuji nějaký nástroj, a tak se obracím k Internetu.

Nástroje na Internetu
Internet je podle mého názoru nekonečně fascinující. Není to jen díky onomu
obrovskému množství jak užitečných, tak i naprosto neužitečných informací,
které obsahuje, ale také díky nevyřčeným historkám, které si můžete domýšlet z
toho, jak a kde jsou informace umístěny.
Hledání řetězce "netscape.hst" na webové stránce Netscapu vám nabízí jednu
stránku s odkazy za druhou. Tak se snadno dostanete ke stránkám, které vám
poradí, jak tento soubor najít a vymazat.
Nejlepší z těchto stránek obsahující podrobný seznam opatření, jak po sobě
vymazat stopy po surfování (nebo, samozřejmě, jak hledat, když pátráte po
provinilci), se ukázala stránka nazvaná Julias Teen Crossdressing Page, která
je zasvěcena úkolu pomáhat mladistvým skrýt jejich on-line aktivitu před
rodiči. Nakonec jsem našel utilitu, kterou potřebuji: je to program, který
vytáhne webové adresy ze souboru netscape.hst a převede je na formát seznamu v
textovém souboru. Program pracuje naprosto perfektně. Můžete si ho najít a
stáhnout ze stránky www.rapca.org, což je webová stránka regionální agentury
pro kontrolu čistoty ovzduší v Daytonu. Jak bizarní jsou někdy souvislosti mezi
tím, čemu jsou stránky zasvěceny, a co na nich skutečně najdete!
Poštval jsem takto získanou utilitu na podezřelý počítač. Ano, máme ten správný
počítač, ale stále ještě nevím, kdo ho kdy užíval.
Ale nyní mám již situaci téměř úplně pod kontrolou. Skenování a velká většina
vygenerovaných reportů se nyní provádí automaticky a jediné, co musím dělat
"ručně", je ohlásit nálezy nahoře u vedení. Předám jim přehled stránek a
označím pravděpodobného viníka. Více se v takovém případě udělat ani nedá.
Dokažte někomu, že seděl v určitou hodinu u nějakého počítače!
Potom budu mít trochu času k tomu, abych se mohl zabývat důležitějšími věcmi a
normálnější prací jak o ní píšu v následujících odstavcích.

Nastal čas pro kontroly
Těším se, až dostaneme nový kontrolní a monitorovací software sítě a začneme s
ním pracovat. Když jsem sem nastoupil, udělalo na mě velký dojem, že firma
koupila globální podnikovou licenci na software, o kterém si myslím, že je
vůbec nejlepší v oblasti kontroly a monitoringu: RealRescue (software pro
řízení bezpečnosti), a dále různé skenovací balíky SafeSuite od firmy Internet
Security Systems (ISS).
RealRescue pracuje téměř jako poplachové zařízení proti lupičům. Má své agenty
sedící na klíčových serverech a klíčových segmentech sítě a neustále skenuje
veškeré využívání systému v reálném čase na výskyt čehokoli, co program
považuje za podezřelou činnost. Když zjistí příznaky, že probíhají akce, které
představují porušení bezpečnosti, může reagovat mnoha různými způsoby.
Upozorněním klíčových zaměstnanců počínaje a automatickým přerušením všech
uživatelských relací konče.
Internet Scanner, System Scanner a Database Scanner v balíku ISS pracují jako
programy technické kontroly. Hledají a nalézají slabá místa v technice
bezpečnostních opatření v cílových systémech, nahlásí, jaké technické slabiny
jsou na kterém systému a jaká z toho plynou rizika. Potom podají podrobné rady,
jak slabiny odstranit.
Jakmile systém začneme používat, samozřejmě se s vámi podělím o nabyté
zkušenosti.
Blesk z čistého nebe: Chlapík, který měl na starosti nákup, implementaci a
zavedení ISS softwaru podal výpověď. A k projektové dokumentaci se prý zatím
nedostal...

Stručný slovníček použitých pojmů
DNS: Domain Naming System je služba, která umožňuje přiřadit ke jmenné adrese
počítače na Internetu jeho IP adresu. Pro zajištění této služby existuje řada
produktů (Domain Name Serverů). Podrobný popis DNS naleznete v RFC 1101, 1183 a
1637.
DHCP: Dynamic Host Configuration Protocol umožňuje dynamické přidělování IP
adres jednotlivým počítačům v síti podle předem stanovených pravidel. Některé
počítače tak mohou např. pracovat pokaždé s jinou IP adresou, jiným může být
přidělována adresa fixní.
0 2739 / pen









Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.