Скажите, что это за зверь?
В частности, интересует, есть ли у этого софта, помимо собственно антивирусных функций, еще и функции слежки за пользователем, в особенности снятие скриншотов с какой-то периодичностью и отправка их на сервер организации.
Здравствуйте, a9000, Вы писали:
A>В частности, интересует, есть ли у этого софта, помимо собственно антивирусных функций, еще и функции слежки за пользователем, в особенности снятие скриншотов с какой-то периодичностью и отправка их на сервер организации.
Здравствуйте, wildwind, Вы писали:
W>Тут нужно уточнить, какой именно организации?
В которой работаю. По идее у админов может быть серверная часть, где в том числе возможен сбор информации с рабочих мест.
Кстати, возможно что сабжевая софтина и не имеет такой функции, но какие-то другие имеют, и они установлены. Есть какой-то список подобного софта, чтобы можно было по списку процессов или как-то еще проверить?
Просто на всех предыдущих работах мы сами себе были алмины, сами ставили винду и весь софт какой нужно. А сейчас все стало серьезно. Я знаю что они могут устанавливать софт дистанционно, причем без смены пользователя (возможно это происходит при старте системы). Имеют полный доступ к файловой системе. Ну это понятно и ничего страшного в этом нет. А вот скриншоты... не хотелось бы чтобы был такой уровень контроля, да и это уже несколько выходит за рамки "удаленного администрирования". По крайней мере хочется быть уверенным что его нет, или знать что он есть.
Поэтому пришла в голову мысль периодически проверять список процессов и служб, может быть поставить какой-то процесс менеджер который запоминает списки процессов и служб и отслеживает новые (например anvir task manager вроде такое умеет).
Здравствуйте, a9000, Вы писали:
A>Здравствуйте, wildwind, Вы писали:
W>>Тут нужно уточнить, какой именно организации?
A>В которой работаю. По идее у админов может быть серверная часть, где в том числе возможен сбор информации с рабочих мест.
A>Кстати, возможно что сабжевая софтина и не имеет такой функции, но какие-то другие имеют, и они установлены. Есть какой-то список подобного софта, чтобы можно было по списку процессов или как-то еще проверить?
A>Просто на всех предыдущих работах мы сами себе были алмины, сами ставили винду и весь софт какой нужно. А сейчас все стало серьезно. Я знаю что они могут устанавливать софт дистанционно, причем без смены пользователя (возможно это происходит при старте системы). Имеют полный доступ к файловой системе. Ну это понятно и ничего страшного в этом нет. А вот скриншоты... не хотелось бы чтобы был такой уровень контроля, да и это уже несколько выходит за рамки "удаленного администрирования". По крайней мере хочется быть уверенным что его нет, или знать что он есть.
A>Поэтому пришла в голову мысль периодически проверять список процессов и служб, может быть поставить какой-то процесс менеджер который запоминает списки процессов и служб и отслеживает новые (например anvir task manager вроде такое умеет).
Административные шары и установка софта через политики — это обычный функционал любой винды.
Что такого запретного вы собрались делать на рабочем месте?
Для начала, по дефолту всем на вас положить. Не храните на рабочем компе компромат на себя, на нерабочую деятельность найдите околорабочее или личное обоснование (под музыку лучше работается и т.д.) и не парьтесь.
Здравствуйте, a9000, Вы писали:
A>Скажите, что это за зверь? A>В частности, интересует, есть ли у этого софта, помимо собственно антивирусных функций, еще и функции слежки за пользователем, в особенности снятие скриншотов с какой-то периодичностью и отправка их на сервер организации.
Это антивирус с возможностями централизованного управления настройками и сбором статистики. Скриншоты он делать не умеет, это не по части антивирусов. Если надо делать скриншоты или каким-то другим способом следить за пользователем, то надо смотреть с в сторону разных DLP систем.
Кстати подобный софт обычно антивирусами классифицируется как вредоносный. Поэтому можно периодически сканировать каким-нибудь антивирусом свой компьютер.
Здравствуйте, a9000, Вы писали:
A>А сейчас все стало серьезно.
Если там все действительно серьезно, то в списке процессов ты ничего подозрительного не увидишь. Под "серьезно" я имею в виду не отсутствие админских прав, а настоящую слежку. Определить ее можно по случаям наказания или предупреждения коллег.
Работать, постоянно оглядываясь, я смысла не вижу. Нужно просто решить для себя, стоит ли работать в таком месте или нет, с учетов всех прочих обстоятельств. Если все же стоит, то просто принять реальность и расслабиться.
Я бывал в такой ситуации. Свалил, как только представилась возможность. Правда, представилась она не скоро .
Здравствуйте, a9000, Вы писали:
A>Скажите, что это за зверь?
антивирус с корпоративными фичами (централизованное управление, политики, и т.п.)
A>В частности, интересует, есть ли у этого софта, помимо собственно антивирусных функций, еще и функции слежки за пользователем, в особенности снятие скриншотов с какой-то периодичностью и отправка их на сервер организации.
Здравствуйте, wildwind, Вы писали:
A>>А сейчас все стало серьезно.
W>Если там все действительно серьезно, то в списке процессов ты ничего подозрительного не увидишь. Под "серьезно" я имею в виду не отсутствие админских прав, а настоящую слежку. Определить ее можно по случаям наказания или предупреждения коллег.
"Настоящей слежки" персонально за мной разумеется нет. Но в современных конторах все больше вводятся всякие системы контроля за сотрудниками. Не персонально за мной, а вообще. Я вполне могу предположить, что в какой-то момент кому-то из "эффективных менеждеров" может придти в голову мысль установить какую-нибудь систему для "повышения эффективности", которая в том числе будет снимать скриншоты с экранов.
Вот собственно наличие или отсутствие такой системы я и хочу определить (и сейчас и в будущем — т.к. даже если ее нет сейчас, я не могу гарантировать что ее не будет в будущем).
Здравствуйте, kaa.python, Вы писали:
KP>Если надо делать скриншоты или каким-то другим способом следить за пользователем, то надо смотреть с в сторону разных DLP систем.
Здравствуйте, a9000, Вы писали:
A>Скажите, что это за зверь? A>В частности, интересует, есть ли у этого софта, помимо собственно антивирусных функций, еще и функции слежки за пользователем, в особенности снятие скриншотов с какой-то периодичностью и отправка их на сервер организации.
Вот тут авер подробнее рассказывает обо всём этом.
Если кратко — нужно читать EULA, там написано что у куда отправляет антивирь (правда, в свете "на свои сервера", а не "сервера организации").
Здравствуйте, Rhino, Вы писали:
R>Вот тут авер подробнее рассказывает обо всём этом.
Тоже посмотрел недавно. Как-то мутно он рассказывает, больше хи-хи, ха-ха. От подробных ответов уходит, может специально, может нет.
В то же время я помню, как другой каспер рассказывал, что есть функция забора семплов задетекченной малвари, в т.ч. и с удаленным подключением оператора в особо сложных случаях.
Здравствуйте, wildwind, Вы писали:
W>Тоже посмотрел недавно. Как-то мутно он рассказывает, больше хи-хи, ха-ха. От подробных ответов уходит, может специально, может нет. W>В то же время я помню, как другой каспер рассказывал, что есть функция забора семплов задетекченной малвари, в т.ч. и с удаленным подключением оператора в особо сложных случаях.
Да там говорить особо не о чем, если сходить из следующих предпосылок верных для всех антивирусов:
а) любой антивирус перехватывает все системные события как минимум на Windows. На новых macOS есть некоторые нюансы, но в целом похоже.
б) любой антивирус подгружает "базы" со своих серверов.
в) "базы" — это не просто банальный набор сэмплов для сопоставления с образцом, а тем или иным способом исполнимый код.
Это значит что любой антивирус может, в теории, делать то, что захочет его производитель и это никак не подконтрольно конечному пользователю. При этом, насколько я знаю, еще ни одного производителя антивируса не поймали за руку или не видели даже косвенных подтверждений чему-то подобному.
Здравствуйте, kaa.python, Вы писали:
KP>При этом, насколько я знаю, еще ни одного производителя антивируса не поймали за руку или не видели даже косвенных подтверждений чему-то подобному.
Поймать не поймали. Но подозрения были пару лет назад, как раз против Каспера. После этого американцы запретили его использования в гос. организациях.
Здравствуйте, wildwind, Вы писали:
W>Тоже посмотрел недавно. Как-то мутно он рассказывает, больше хи-хи, ха-ха. От подробных ответов уходит, может специально, может нет.
Полностью согласен. Если в первой части было что-то интересное для олдов (типа 200 сэмплов за рабочий день), то вторая часть для домохозяек получилась.
Ну и пиар Каспера задолбал: ну не верю я, что специалист такого уровня пользуется хоть каким-то антивирусом.
Здравствуйте, wildwind, Вы писали: W>Поймать не поймали. Но подозрения были пару лет назад, как раз против Каспера. После этого американцы запретили его использования в гос. организациях.
Там было типичное "highly likely" без какого либо подкрепления фактами или поддержки со стороны ИБ сообщества.
Здравствуйте, wildwind, Вы писали:
W>Поймать не поймали. Но подозрения были пару лет назад, как раз против Каспера. После этого американцы запретили его использования в гос. организациях.
исходники каспера доступны для просмотра и анализа в центрах прозрачности, но highly likely все равно побеждает
Здравствуйте, kaa.python, Вы писали:
R>>Ну и пиар Каспера задолбал: ну не верю я, что специалист такого уровня пользуется хоть каким-то антивирусом. KP>Ты серьезно считаешь что специалист такого уровня на лету бинарнки дизасемблирует, JS в браузере анализирует и линки на фрод проверяет?
Конечно же нет, как ты мог такое подумать?!
Но если первая часть интервью вызывала хотя бы здоровый смех кто в теме, то вторая вызывает лишь раздражение. Об этом мой спич был.
Ну и да, я ему верю:
1) что привезли в БЦ искать всякое;
2) что снилась IDA/Hiew. Дизасм в уме — это байки для бедных. Максимум — пролог функции найти глазами, да и то если паттерн будет вида CC CC .. CC CC 55 8B EC
3) теоретически допускаю, что по графу вызовов можно определить семейство ВПО. О двухстах семплах за рабочий день речь не идёт само собой.