Опубликовано 11 марта, 200818 г Угрозы - фиксация, с помощью специального софта, всех действий пользователя на компьютере. Используются программы делающие "фото" с монитора, с определенной периодичностью; фиксирующие нажатие клавиш на клавиатуре; позволяющие удаленно подключаться к компьютеру. А защищать нужно факт выполнения в рабочее время, на рабочем компьютере не профильной работы. Этот специальный софт должен постоянно работать на компьютере, поэтому проблема его поиска становится аналогичной поиску шпионского ПО (нового трояна, неизвестного антивирусам). Надо с помощью AVZ провести инвентаризацию того, что установлено и прежде всего сетевых соединений программ - подозрительными будут те, кто либо слушает какой-то сетевой сокет. Можно "пробить" их по имени (хотя и имя производителя в отчете AVZ много может сказать). Плюс хорошо помогает в инвентаризации как программ, так и модулей ядра Seccheckui. Он показывает даже список нитей в процессе... Ну, а потом подозрительный процесс можно исследовать более подробно с помощью processexplorer, regmon и filemon
Опубликовано 11 марта, 200818 г Меня даже напрягает, когда мне внаглую деймваре ставят, и даже не заботятся о том, чтобы ее в трее не светить. Чем отличается негласный съем информации и аудит? Вы знаете, что к Вашему компьютеру есть удаленный доступ и в трее светится значок этого. А вот если еще и светится подключение/неподключение - это уже недоработка. Вообще-то я в инструкциях пользователя обязательно прописываю, что за работой пользователя ведется аудит, что СВТ и ТСПИ принадлежат работодателю и выдаются для выполнения трудовых обязанностей, что информация так же принадлежит работодателю и является частью его бизнес-процессов и т.д. и т.п.. И за ознакомление с данной инструкцией обязательная подпись. а зачем Вам вообще блютуфы на компьютере? Не советую... Ловится очень легко. А при желании (при допущенных Вами ошибках с настройкой) еще и нужный кое-кому софт Вам загрузят. Носите с собой ноутбук и телефон от Скайлинка, ну или просто трубу с EDGE. Защита, близкая к 100% от сисадмина корпоративной сети. Только придумайте объяснение для начальства, зачем Вам на работе эти устройства. + зачем с этими устройствами Вам права локального админа или разрешенное подключение телефона к ноуту. Угрозы - фиксация, с помощью специального софта, всех действий пользователя на компьютере. Используются программы делающие "фото" с монитора, с определенной периодичностью; фиксирующие нажатие клавиш на клавиатуре; позволяющие удаленно подключаться к компьютеру. А защищать нужно факт выполнения в рабочее время, на рабочем компьютере не профильной работы. LOL При грамотно поставленной службе информационной безопасности/аудите непрофильную работу без разрешения работодателя Вы сможете делать только с личного/не служебного компьютера и из дома/вне работы.
Опубликовано 11 марта, 200818 г Автор Этот специальный софт должен постоянно работать на компьютере, поэтому проблема его поиска становится аналогичной поиску шпионского ПО (нового трояна, неизвестного антивирусам). Надо с помощью AVZ провести инвентаризацию того, что установлено и прежде всего сетевых соединений программ - подозрительными будут те, кто либо слушает какой-то сетевой сокет. Можно "пробить" их по имени (хотя и имя производителя в отчете AVZ много может сказать). Плюс хорошо помогает в инвентаризации как программ, так и модулей ядра Seccheckui. Он показывает даже список нитей в процессе... Ну, а потом подозрительный процесс можно исследовать более подробно с помощью processexplorer, regmon и filemon Огромное спасибо, наконец-то услышал конкретный ответ. А что такое - "слушает какой-то сетевой сокет"?
Опубликовано 11 марта, 200818 г Огромное спасибо, наконец-то услышал конкретный ответ. А что такое - "слушает какой-то сетевой сокет"? Так как шпиону нужно получать команды от центра управления (хитрого администратора :smile3: ), то он открывает порт TCP/IP в слушающем режиме и ждет, когда центр управления даст ему команду Пример из seccheckui - программа 3proxy слушает порт 3128, чтобы принимать запросы как прокси-сервер PID 848 0.0.0.0:3128 LISTENING 3proxy.exe C:\3proxy\3proxy.exe
Опубликовано 11 марта, 200818 г Автор Так как шпиону нужно получать команды от центра управления (хитрого администратора :smile3: ), то он открывает порт TCP/IP в слушающем режиме и ждет, когда центр управления даст ему команду Пример из seccheckui - программа 3proxy слушает порт 3128, чтобы принимать запросы как прокси-сервер PID 848 0.0.0.0:3128 LISTENING 3proxy.exe C:\3proxy\3proxy.exe Огромное спасибо
Для публикации сообщений создайте учётную запись или авторизуйтесь