Почему сотрудники осознанно или невольно раскрывают секреты своих компаний — это предмет отдельного разговора, к тому же выходящего за рамки тематики журнала. Цель же данной статьи  — познакомить читателей с методами выявления утечек.

Компания «СофтИнформ» предлагает линейку специализированных программ для наблюдения за электронными информационными потоками. Одна из них, SearchInform MailSniffer, отслеживает электронную корреспонденцию. Письма перехва-
тываются и сохраняются в базе данных, из которой информацию в любой момент можно извлечь, отфильтровав по требуемым признакам.

Установочный дистрибутив SearchInform MailSniffer содержит две части: серверную MailSniffer Server и клиентскую MailServer Client. Серверная отвечает за перехват сетевого трафика и сохранение полученной информации в базе данных. Клиентская предназначена для обращения к базе данных и просмотра информации. Управление же самой базой данных осуществляется еще одним программным продуктом компании «СофтИнформ» — SearchInform Server. Рассмотрим работу этого комплекса подробнее.

Первым на компьютер, на котором будет вестись перехват (о некоторых нюансах его размещения в сети предприятия будет сказано далее), следует установить SearchInform Server, затем пакет MailSniffer и после этого серверную и клиентскую часть. По завершении установки нужно вызвать SearchInform MailSniffer Administrator Console (терминал управления серверной частью MailSniffer) и создать новую базу данных (раздел «База писем•Активная база данных»). Далее вновь созданная база данных подключается к SearchInform Server (раздел «Индексы»). На этом этапе основная настройка комплекса завершена. При желании можно дополнительно установить критерии перехвата сетевого трафика и выполнить еще ряд незначительных операций, но при первоначальной настройке системы увлекаться этим не стоит.

Убедиться в том, что перехват корреспонденции ведется, можно по показаниям параметров раздела «База писем» терминала управления MailSniffer. При получении нового письма их показатели соответственно увеличиваются.

Кроме письма сохраняется и дополнительная информация

А чтобы непосредственно увидеть результаты перехвата, необходимо подключиться к SearchInform Server либо через веб-интерфейс, либо с помощью клиентской части пакета MailSniffer. Для работы с веб-интерфейсом сначала придется активировать веб-сервис SearchInform Server (раздел «HTTP Сервер»). Далее в адресном поле интернет-браузера надо набрать сетевой адрес компьютера, на котором используется SearchInform Server (для подключения с того же компьютера это будет адрес: 127.0.0.1).

При работе с базой перехваченных писем посредством клиентской части пакета MailSniffer в настройках программы первоначально понадобится указать сервер, требуемую базу данных, пароль и имя пользователя, зарегистрированного на этом сервере.

Следует помнить, что по умолчанию на сервере данных в списке пользователей уже есть одна учетная запись с именем Administrator и пустым паролем, который имеет доступ ко всем письмам в базе. Соответственно после установки системы следует изменить администраторский пароль и зарегистрировать новые учетные записи пользователей.

После получения доступа к базе данных из нее уже можно извлекать информацию. Особо следует отметить, что разработчики предоставили весьма мощный инструмент для поиска и фильтрации данных. Поиск ведется не только по тексту письма, но и по всем атрибутам, а также по содержимому присоединенных файлов. В запросе можно задавать положение разыскиваемого слова или словосочетания в строке, можно отбирать переписку по конкретным адресатам, а также выполнять еще ряд весьма сложных поисковых запросов.

Помимо самого письма, в базе сохраняется еще и сопутствующая информация: сетевые адреса отправителя или получателя корреспонденции, адрес сервера, пароли доступа к почтовым ящикам и прочие, уже не столь значимые данные.

Ограничив этим комментарием обзор функций программы, уделим внимание архитектурным проблемам. Программу следует устанавливать с учетом топологии сети, а именно на том компьютере, через который проходит весь трафик сети (шлюз), либо же сконфигурировать сетевое оборудование таким образом, чтобы весь трафик анализируемой сети дублировался на некий порт, прослушиваемый данной программой.

Данные можно импортировать из разных источников

В большинстве случаев небольшая офисная сеть выглядит примерно следующим образом: компьютеры объединяются (по технологии Ethernet) через один или несколько сетевых коммутаторов (жаргонный термин «свитч»). В одном из ПК установлены две сетевые платы, одна подключена к локальной сети офиса, другая — к каналу интернет-провайдера. Именно этот компьютер и выполняет функции шлюза, и устанавливать программу-перехватчик следует на него, поскольку весь интернет-трафик офиса проходит через него транзитом. В случае же установки программы на другом компьютере перехватываться будет лишь его собст-венный трафик (если только вместо «свитча» не стоит «хаб» — еще один жаргонизм, обозначающий ряд более примитивных по сравнению со «свитчами» сетевых устройств. В настоящее время они практически не выпускаются, но когда в сети все-таки стоит «хаб», MailSniffer можно устанавливать на любой из компьютеров, подключенных к нему). Углубляться далее в нюансы сетевых решений мы не будем. Нет смысла рассматривать, например, применение программируемых сетевых коммутаторов, поскольку это обходится довольно дорого и потому редко используется в малых сетях. К тому же мы сильно отклонились бы от заявленной темы статьи.

Вся информация хранится в базе данных

К базе можно подключаться через веб-интерфейс

Завершая обзор средств анализа электронной корреспонденции, которыми располагает данный программный комплекс, отметим основное его ограничение: отсутст-вие возможности перехвата данных, передаваемых по шифрованным протоколам (SSL, TLS, STARTLS и т. п.). Письмо, отправленное через какой-либо веб-сервис (Mail. ru, Gmail и проч.), также не будет перехвачено. И дело тут не в недостатках программы или недосмотре разработчиков. Всему виной технологические ограничения, обойти которые в рамках применения только лишь MailSniffer нельзя. Для разрешения данной проблемы следует привлекать сторонние средства. Например, блокируя сетевым фильтром доступ к публичным почтовым серверам для клиентов локальной сети и запрещая прохождение трафика криптозащищенных почтовых протоколов. Но и эту защиту при желании можно обойти — поединок меча и щита пока далек от завершения.

Механизм поиска весьма гибок


Искусство прятать

«Девушка, ваша пейджинговая компания правда гарантирует конфиденциальность сообщений?» — примерно так начинался один анекдот начала 90-х. За редким исключением вряд ли можно ожидать, что переписка злоумышленников будет вестись открытым текстом. Возможно применение шифров, но кодированная переписка сама по себе притягивает внимание к адресатам, одна из основных целей которых, пожалуй, — оставаться вне подозрений. Применение условных фраз и жаргона имеет свои ограничения по возможностям и также привлекает внимание. И потому вероятен более изящный ход  — сокрытие важной информации внутри иной, обмен которой подозрений не вызывает.

Первое упоминание о методике сокрытия самого факта существования секретного послания встречается в трудах древнегреческого философа Геродота, описавшего, как Гистий, грек, живший при дворе правителя Персии Дария, написал на обритом затылке доверенного раба письмо и, выждав, пока у того отрастут волосы, отправил его к своему брату Аристагору, тирану города Милет, призывая к восстанию против персов. Было это примерно в 440 г. до нашей эры. Послание адресат прочитал. Восстание началось и было жестоко подавлено.

Геродот упоминает и иные способы маскировки секретных посланий, сейчас больше представляющие исторический интерес. Из того же времени пришло и общее название подобных методик  — стеганография, образованное от греческих слов «стеганос», что означает «скрытый», и «графо» — «пишу».

Компьютерный век внес заметное разнообразие в методики стеганографии. Один из наиболее распространенных приемов  — сокрытие информации в графических или музыкальных файлах путем подмены данных, описывающих мало различимые человеком цветовые оттенки или звуковые тона, информацией, которую требуется скрытно передать. Качество изображения или звука при этом несколько ухудшается, но разница остается почти незаметной для человеческого восприятия. (Подробнее об этом см. «Мир ПК», № 11/04, с.62, http://www.osp.ru/pcworld/2004/11/169154 ).

Разумеется, есть и методики обнаружения скрытой информации, но неких универсальных инструментов для этого нет.

Выявление стеганографических посланий далеко не простая задача. Методик сокрытия данных в электронных документах немало, и они постоянно совершенствуются. Соответственно велико и число контрдействий. Их знание и применение требует опыта и времени.


Программы, проекты и ресурсы

Компания «СофтИнформ» также предлагает:

  • PrintSniffer — перехватывает отправленные на печать документы;
  • DeviceSniffer — перехватывает информацию, записываемую на устройства через порты USB и на CD/DVD-диски;
  • IMSniffer — подобным образом поступает с сообщениями интернет-пейджеров (ICQ, QIP и проч.).

Среди сторонних программ аналогичной тематики отметим:

  • MailSniff (проект SECUREinf);
  • EtherBoss Monitor (проект EffeTech);
  • Give Me Too;
  • Cain & Abel.

Подробнее о подобных продуктах можно прочитать на страницах:


SearchInform MailSniffer

Системные требования: процессор 2 ГГц, 2-Гбайт ОЗУ.
Поддерживаемые ОС: Windows 2000/XP/2003 Server.
Размер дистрибутива: 8,33 Мбайт.
Язык интерфейса: Русский.
Условия распространения: 30 дней бесплатного использования.
Стоимость: 30 тыс. руб.
Разработчик: «СофтИнформ», http://www.searchinform.ru