Недавно главный инфобезопасник конторы проболтался, что на офисные компьютеры некоторых избранных сотрудников нашей конторы (3 категории: особо отличившиеся, работающие с очень закрытой информацией и те, которых "готовят на выход") негласно устанавливается ПО infowatch, которое отслеживает всю их переписку, их походы в интернет, что они печатают и что они записывают на съемные носители. Слово "негласно" несколько напугало и в связи с подслушанным стало очень интересно, это ПО действительно может быть установлено так, что "жертва" ничего не заметит? Как можно обнаружить присутствие этого ПО на собственном ПК? Нужны ли админские права для выявления этих "троянцев"? Наконец, как можно их обезвредить, желательно так же негласно.
Нет, конечно всю "левую" (ту, которой у меня на компе не должно быть по моей работе, банальный пример — анкеты на визу) и закрытую (которую, по идее, я не должен забирать с работы но ведь иногда бывает необходимо что-то срочно сделать к следующему утру) информацию я пишу на носители, перезагрузившись с Hiren's boot CD (да, эту лазейку пока не перекрыли), но не хочется из-за каждой мелочи перезагружать комп.
Здравствуйте, teapot2, Вы писали:
T>это ПО действительно может быть установлено так, что "жертва" ничего не заметит?
Иначе оно не стоило бы своих денег, не так ли?
T>Как можно обнаружить присутствие этого ПО на собственном ПК?
Если это не твой профиль, то скорее всего никак.
T>Нет, конечно всю "левую" (ту, которой у меня на компе не должно быть по моей работе, банальный пример — анкеты на визу) и закрытую (которую, по идее, я не должен забирать с работы но ведь иногда бывает необходимо что-то срочно сделать к следующему утру) информацию я пишу на носители, перезагрузившись с Hiren's boot CD (да, эту лазейку пока не перекрыли), но не хочется из-за каждой мелочи перезагружать комп.
А почему лазейку не прикрыли, не задавался вопросом? Видимо, для того, чтобы отслеживать, кто ей пользуется. Вообще держать что-то левое на компе в конторе с такими порядками это главная ошибка. Наверное, ты уже либо в первой, либо в третьей категории.
Работал я в такой конторе. Очень неприятно. Свалил с радостью.
Здравствуй, wildwind, спасибо за ответ, но хотелось бы понять, ты ответил со знанием дела (то бишь обсуждаемого продукта) или исходя из общих соображений, которые показались тебе разумными во время составления ответа?
T>>это ПО действительно может быть установлено так, что "жертва" ничего не заметит? W>Иначе оно не стоило бы своих денег, не так ли?
Возможно, продукт и стоит тех денег, за которые его продают, но как из этого следует его недетектируемость на компьютере "жертвы", совсем не очевидно. Кстати, наш Главинфобез уверял, что стоит сия софтина сущие копейки. Так ты знаком с продуктом или так, мимо проходил?
T>>Как можно обнаружить присутствие этого ПО на собственном ПК? W>Если это не твой профиль, то скорее всего никак.
Да, это не мой профиль. Я не инфобезопасник, я рядовой программист с некоторыми навыками администрирования. И эти самые навыки дают надежду, что зловреда, внедренного на мой офисный комп, удастся обнаружить, если он действительно там есть. Вернемся к исходному вопросу: каковы признаки присутствия этого софта? Он ставится как сервис или как-то еще? По какому протоколу он общается со своим шпионским центром?
W>А почему лазейку не прикрыли, не задавался вопросом? Видимо, для того, чтобы отслеживать, кто ей пользуется.
Я загрузил древнюю XP-шку с сидюка, сеть в этой конфигурации не настроена, никакие проги с жесткого диска не запускаются и драйверы не грузятся. Не могу себе представить, что в этих обстоятельствах кто-то может контролировать инфообен компа с его периферийными устройствами типа USB-портов. В "подземные стуки" я не верю.
W>Вообще держать что-то левое на компе в конторе с такими порядками это главная ошибка. Наверное, ты уже либо в первой, либо в третьей категории.
Ну это массовое явление. Наоборот, вызовет подозрение, если у меня на компе не окажется чего-нибудь "левого", но при этом безобидного, типа камасутры с картинками. О категориях: в первой вряд ли, я мало выделяюсь на общем фоне, в третьей — может быть. Если так, то хотелось бы обнаружить этот факт прежде, чем мне о нем сообщат "кадры" Собственно, почему и написал сюда.
W>Работал я в такой конторе. Очень неприятно. Свалил с радостью.
Свалю, как только поступят более выгодные предложения. А пока приходится горбатиться да еще терпеть весь этот маразм.
Здравствуйте, teapot2, Вы писали:
T>Я загрузил древнюю XP-шку с сидюка, сеть в этой конфигурации не настроена, никакие проги с жесткого диска не запускаются и драйверы не грузятся. Не могу себе представить, что в этих обстоятельствах кто-то может контролировать инфообен компа с его периферийными устройствами типа USB-портов. В "подземные стуки" я не верю.
Я не знаю как устроена эта софтина и что она может, но в принципе предположение, что никакие проги не запускаются до загрузки с CD-ROM неверное. Это возможно, BIOS вполне может что-то такое запускать. В UEFI это даже почти штатная возможность.
T> Собственно, почему и написал сюда.
Если качествено сделано хрен простыми способами обнаружишь. Но для начала можно взять прогу вроде Process Explorer и изучить весь список запущенных процессов (и автостартуемых) после старта системы. Кто что чего и откуда. Отдельно не грех проверить процесс svchost — настоящий ли он, кем запущен.
Здравствуйте, teapot2, Вы писали:
T>Здравствуй, wildwind, спасибо за ответ, но хотелось бы понять, ты ответил со знанием дела (то бишь обсуждаемого продукта) или исходя из общих соображений, которые показались тебе разумными во время составления ответа?
Из общих соображений и личного опыта. С данным продуктом знаком только по описаниям.
T>каковы признаки присутствия этого софта? Он ставится как сервис или как-то еще? По какому протоколу он общается со своим шпионским центром?
Как правило, это драйвер или несколько, сервис и GUI процессы для информирования и управления. драйвера могут быть скрыты с использованием rootkit техник.
T>Я загрузил древнюю XP-шку с сидюка, сеть в этой конфигурации не настроена, никакие проги с жесткого диска не запускаются и драйверы не грузятся. Не могу себе представить, что в этих обстоятельствах кто-то может контролировать инфообен компа с его периферийными устройствами типа USB-портов. В "подземные стуки" я не верю.
T>... отслеживает всю их переписку, их походы в интернет, что они печатают и что они записывают на съемные носители.
Конкретно с этой системой не знаком, но, зачастую, они, помимо прочего, делают снимки экрана и отсылают на базу. При недоступности сети они их складывают в укромное местечко, чтобы потом, при появлении возможности, скинуть их куда надо. Соответственно, отключив на некоторое время сеть (возможно на несколько дней), можно получить на диске скопление определенных файлов. Затем утилитой от sysinternals (не помню как она называется, возможно FileMonitor) можно пробежаться по диску и найти области файлов. Нужные будут лежать большой заметной однотипной кучкой, утилита покажет где они находятся. Глянув эти кучки можно определить точно там скриншоты или что-то безобидное. Точной информации метод может не дать, но как один из вариантов расследования может применяться.
Здравствуйте, teapot2, Вы писали:
T>Недавно главный инфобезопасник конторы проболтался, что на офисные компьютеры некоторых избранных сотрудников нашей конторы (3 категории: особо отличившиеся, работающие с очень закрытой информацией и те, которых "готовят на выход") негласно устанавливается ПО infowatch, которое отслеживает всю их переписку, их походы в интернет, что они печатают и что они записывают на съемные носители. Слово "негласно" несколько напугало и в связи с подслушанным стало очень интересно, это ПО действительно может быть установлено так, что "жертва" ничего не заметит? Как можно обнаружить присутствие этого ПО на собственном ПК? Нужны ли админские права для выявления этих "троянцев"? Наконец, как можно их обезвредить, желательно так же негласно.
T>Нет, конечно всю "левую" (ту, которой у меня на компе не должно быть по моей работе, банальный пример — анкеты на визу) и закрытую (которую, по идее, я не должен забирать с работы но ведь иногда бывает необходимо что-то срочно сделать к следующему утру) информацию я пишу на носители, перезагрузившись с Hiren's boot CD (да, эту лазейку пока не перекрыли), но не хочется из-за каждой мелочи перезагружать комп.
T>Что скажет уважаемое сообщество?
* Весомая часть софта в корпоративной среде разворачивается прозрачно для пользователя, через групповые политики.
* Класс систем о которых ты говоришь называются DLP (data leak prevention). infowatch является производителем одной из (https://www.infowatch.ru/dlp).
* Великого смысла в проверке установлен ли у тебя агент dlp на компьютере не вижу. Если есть сомнения, считай, что установлен.
* Бороться и обходить их не надо, во избежание прямого конфликта с безопасниками. (Обоснование — взять документы домой, поработать, при разборе полётов будет выглядеть наивно.)
Upd. Необходимо понимать, что с точки зрения безопасника ситуации отключаются радикально:
* вынос документов
* вынос документов с предварительной попыткой отключения/обхода инструментов обеспечения безопасности
Здравствуйте, Michael7, Вы писали:
M>Если качествено сделано хрен простыми способами обнаружишь. Но для начала можно взять прогу вроде Process Explorer и изучить весь список запущенных процессов (и автостартуемых) после старта системы.
Это если есть права админа. И если они есть, то у их безопасников реально странные представления о безопасности (хотя, конечно, возможность загрузки не с системного диска на "защищённом" ПК — это уже facepalm).
О категориях: в первой вряд ли, я мало выделяюсь на общем фоне, в третьей — может быть. Если так, то хотелось бы обнаружить этот факт прежде, чем мне о нем сообщат "кадры" 
