Vinni Опубликовано 11 марта, 2008 Поделиться Опубликовано 11 марта, 2008 Угрозы - фиксация, с помощью специального софта, всех действий пользователя на компьютере. Используются программы делающие "фото" с монитора, с определенной периодичностью; фиксирующие нажатие клавиш на клавиатуре; позволяющие удаленно подключаться к компьютеру. А защищать нужно факт выполнения в рабочее время, на рабочем компьютере не профильной работы. Этот специальный софт должен постоянно работать на компьютере, поэтому проблема его поиска становится аналогичной поиску шпионского ПО (нового трояна, неизвестного антивирусам). Надо с помощью AVZ провести инвентаризацию того, что установлено и прежде всего сетевых соединений программ - подозрительными будут те, кто либо слушает какой-то сетевой сокет. Можно "пробить" их по имени (хотя и имя производителя в отчете AVZ много может сказать). Плюс хорошо помогает в инвентаризации как программ, так и модулей ядра Seccheckui. Он показывает даже список нитей в процессе... Ну, а потом подозрительный процесс можно исследовать более подробно с помощью processexplorer, regmon и filemon Ссылка на комментарий Поделиться на другие сайты More sharing options...
Toparenko Опубликовано 11 марта, 2008 Поделиться Опубликовано 11 марта, 2008 Меня даже напрягает, когда мне внаглую деймваре ставят, и даже не заботятся о том, чтобы ее в трее не светить. Чем отличается негласный съем информации и аудит? Вы знаете, что к Вашему компьютеру есть удаленный доступ и в трее светится значок этого. А вот если еще и светится подключение/неподключение - это уже недоработка. Вообще-то я в инструкциях пользователя обязательно прописываю, что за работой пользователя ведется аудит, что СВТ и ТСПИ принадлежат работодателю и выдаются для выполнения трудовых обязанностей, что информация так же принадлежит работодателю и является частью его бизнес-процессов и т.д. и т.п.. И за ознакомление с данной инструкцией обязательная подпись. а зачем Вам вообще блютуфы на компьютере? Не советую... Ловится очень легко. А при желании (при допущенных Вами ошибках с настройкой) еще и нужный кое-кому софт Вам загрузят. Носите с собой ноутбук и телефон от Скайлинка, ну или просто трубу с EDGE. Защита, близкая к 100% от сисадмина корпоративной сети. Только придумайте объяснение для начальства, зачем Вам на работе эти устройства. + зачем с этими устройствами Вам права локального админа или разрешенное подключение телефона к ноуту. Угрозы - фиксация, с помощью специального софта, всех действий пользователя на компьютере. Используются программы делающие "фото" с монитора, с определенной периодичностью; фиксирующие нажатие клавиш на клавиатуре; позволяющие удаленно подключаться к компьютеру. А защищать нужно факт выполнения в рабочее время, на рабочем компьютере не профильной работы. LOL При грамотно поставленной службе информационной безопасности/аудите непрофильную работу без разрешения работодателя Вы сможете делать только с личного/не служебного компьютера и из дома/вне работы. Ссылка на комментарий Поделиться на другие сайты More sharing options...
vbl Опубликовано 11 марта, 2008 Автор Поделиться Опубликовано 11 марта, 2008 Этот специальный софт должен постоянно работать на компьютере, поэтому проблема его поиска становится аналогичной поиску шпионского ПО (нового трояна, неизвестного антивирусам). Надо с помощью AVZ провести инвентаризацию того, что установлено и прежде всего сетевых соединений программ - подозрительными будут те, кто либо слушает какой-то сетевой сокет. Можно "пробить" их по имени (хотя и имя производителя в отчете AVZ много может сказать). Плюс хорошо помогает в инвентаризации как программ, так и модулей ядра Seccheckui. Он показывает даже список нитей в процессе... Ну, а потом подозрительный процесс можно исследовать более подробно с помощью processexplorer, regmon и filemon Огромное спасибо, наконец-то услышал конкретный ответ. А что такое - "слушает какой-то сетевой сокет"? Ссылка на комментарий Поделиться на другие сайты More sharing options...
Vinni Опубликовано 11 марта, 2008 Поделиться Опубликовано 11 марта, 2008 Огромное спасибо, наконец-то услышал конкретный ответ. А что такое - "слушает какой-то сетевой сокет"? Так как шпиону нужно получать команды от центра управления (хитрого администратора :smile3: ), то он открывает порт TCP/IP в слушающем режиме и ждет, когда центр управления даст ему команду Пример из seccheckui - программа 3proxy слушает порт 3128, чтобы принимать запросы как прокси-сервер PID 848 0.0.0.0:3128 LISTENING 3proxy.exe C:\3proxy\3proxy.exe Ссылка на комментарий Поделиться на другие сайты More sharing options...
vbl Опубликовано 11 марта, 2008 Автор Поделиться Опубликовано 11 марта, 2008 Так как шпиону нужно получать команды от центра управления (хитрого администратора :smile3: ), то он открывает порт TCP/IP в слушающем режиме и ждет, когда центр управления даст ему команду Пример из seccheckui - программа 3proxy слушает порт 3128, чтобы принимать запросы как прокси-сервер PID 848 0.0.0.0:3128 LISTENING 3proxy.exe C:\3proxy\3proxy.exe Огромное спасибо Ссылка на комментарий Поделиться на другие сайты More sharing options...
Рекомендуемые сообщения
Заархивировано
Эта тема находится в архиве и закрыта для дальнейших ответов.