Всё даже проще. На том же Рутрекере уже полно сборок TV сконфигурированных с заранее заданным паролем в tv.ini или даже уже "вшитым" в exe каким-то образом (последние довольно резво исчезают, это прямое подтверждение того что исполняемый файл уже основательно поисследовали и кое-что нашли).
Задача состоит в том, чтобы определить, установлен ли TV и запущен на атакуемой машине, определить версию релиза, и каким-либо способом выгрузить/подменить файлы. После чего можно просто аккаунт сменить на свой,"угнать" пароль чужого сложнее-шифрование, надо брутить или сопоставлять с аккаунтами на других сервисах — те кто юзает везде одинаковые или похожие пароли — рано или поздно "попадет". Пришлось тут на PS скрипт наваять свой чтобы "гасить" TV у подконтрольных юзеров — ибо это огромная "дыра" в безопасности,если его начинают юзать с рабочих мест самостоятельно.
Политикой,консолями KSC, средствами Cisco ASA (Firewall Os) блокировать его запуск (не всегда помогает), "разворачивать" от него траффик обратно.
З.Ы. На первых порах когда еще TV 5 версии только появился — я пытался его дебажить и трассировать, с целью выловить опции командной строки, соответствующие положениям и значениям всяких радиобаттонов и кнопок в GUI, чтобы перезапускать при рестарте и прочее, или внешними командами запускать. Но потом появился TV Host, где это легально уже расписано в документации, а в TV Corporate есть и свои скриптовые механизмы автоматизации, если ее внимательно покопать, впервые увидел только в немецком оригинале.
Если акк взломали, то правильно, что ножками... Ибо уже скомпроментировано, могли и на лету его сессию оборвать, пароль может быть уже сменён и т.д...
Я в таких случаях бы ещё у компа физически кабель локалки выдернул и дальше в карантин, смотреть на активность... При необходимости вырубить выдернув кабель питания и вторым винтом в другую систему — ловить руткиты и трояны ручками...
Видел много случаев, когда домен есть, но он только для галочки... Куча машин мимо него... И да, в корпорациях на ~10к и более не работал и не хочу — каждый чих фиксируется и нагибается... Но есть те, кого это привлекает...
И, да, даже при наличии распределённой сети офисов, мальчик-замени-шнурок по совместительству с чем-то ещё всегда есть... Домен в одном-двух местах, а в каждом офисе/в каждом городе есть куча мелкотекучки железной...
Если это относится к Вашей работе (ежемесячная смена паролей всем юзерам и т.д.) то видимо Вы плохо понимаете основы безопасности работы в организации.
Если это личные Ваши домашние пароли-Вы вольны делать с ними что угодно, хоть везде 123 поставить.
pinnoplast сегодня, 08:06 "Специалист по ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ играл на рабочем месте на рабочем компе в игру!.... Охренеть, дайте два!" — и что? Специалисты тоже люди, почему бы и не поиграть на рабочем месте?
Работа Админа — это вам не цацки-пецки :youtube.com...
Наверное потому что это не админ в конторе на 50 компов а специалист по информационной безопасности в крупной конторе, в IBM. Не "рога и копыта" в офисе на 10м2.
При нормальной работе безопасности не то что чтото левое поставить или скопировать на флешку нельзя, там и распечатанные на бумаге данные учитываются чтобы никто никуда ничего не вынес.
Напечатал вася 2 копии какой либо документации, одну сдал допустим в техотдел, а другая нигде не отметилась. В конце рабочего дня на выходе к васе будут вопросы по второй неучтённой копии.
Если дело происходило дома то это неточность написания статьи или перевода.
Вообще то когда речь идёт от непосредственно исполняемой человеком работе то пишут примерно так:
Иванов Иван Иванович, майор милиции
Если человек не находился в это время на работе, но выполнил что то связанное непосредственно с работой (например спас кого нибудь/задержал) то примерно так:
Иванов Иван Иванович, майор милиции, отдыхая от службы/находясь на отдыхе и т.д.
А если просто он выступает как обычный человек в кругу семьи/на отдыхе и т.д, занимается своими делами то просто:
Иванов Иван Иванович
Если в статье неточность. то конечно, в своё личное время человек имеет право заниматься всем чем угодно.
А всё потому, что жадность без меры у компании! Им мало денег клиентов! Им надо еще держать клиента постоянно под полным контролем. И для этого, их Тимвьюер прописывается в службы с автоматическим запуском при включении компьютера.
А чем они хуже Микрософт? Им, тоже, "хочется всего и сразу"!
Перед тем, как прописаться в автозагрузку, он десять раз спрашивает.
Про неслыханную жадность разработчиков — согласен. Пару дней назад корпоративный аккаунт TV был заблокирован. Не стали обновляться до 11 версии и получили результат. Техподдержка ответила — мы так решили. Ну и пускай идут в ...... На рынке полно подобных продуктов без таких запросов.
А можно варианты аналогов? А то только Радмин сейчас остался, а он через NAT не ходит, приходится пробрасывать...
ЗЫ. работать приходится не с 1-2 компами, а с несколькими десятками... В т.ч. и под сервачной виндой в режиме рабочей станции (только 1 локальный пользователь)...
Для начала скажу что используем приложения использующие собственный сервер noip (не так как тимвьювер), но у них есть возможность работы подобная TV
Сначала мы использовали AnyPlace Control anyplace-control.com но она нас не устроила, поскольку с трудом работала с числом клиентов более 2000.
Сейчас LiteManager litemanager.ru от отечественных разработчиков , с которыми плотно общаемся и они легко идут на встречу и добавляют нужный функционал.
также есть Аэроадмин aeroadmin.com , Ammy admin ammyy.com . В общем выбор достаточно богат.
aeroadmin тормозит местами и каждую минуту выкидывает рекламу с издевательской надписью — "Зарегистрируйся, чтобы отключить рекламу"! То есть, мне, чтобы продолжить работу, надо закрыть окошко рекламы у себя и у клиента!
Комментарии
Задача состоит в том, чтобы определить, установлен ли TV и запущен на атакуемой машине, определить версию релиза, и каким-либо способом выгрузить/подменить файлы. После чего можно просто аккаунт сменить на свой,"угнать" пароль чужого сложнее-шифрование, надо брутить или сопоставлять с аккаунтами на других сервисах — те кто юзает везде одинаковые или похожие пароли — рано или поздно "попадет". Пришлось тут на PS скрипт наваять свой чтобы "гасить" TV у подконтрольных юзеров — ибо это огромная "дыра" в безопасности,если его начинают юзать с рабочих мест самостоятельно.
Политикой,консолями KSC, средствами Cisco ASA (Firewall Os) блокировать его запуск (не всегда помогает), "разворачивать" от него траффик обратно.
З.Ы. На первых порах когда еще TV 5 версии только появился — я пытался его дебажить и трассировать, с целью выловить опции командной строки, соответствующие положениям и значениям всяких радиобаттонов и кнопок в GUI, чтобы перезапускать при рестарте и прочее, или внешними командами запускать. Но потом появился TV Host, где это легально уже расписано в документации, а в TV Corporate есть и свои скриптовые механизмы автоматизации, если ее внимательно покопать, впервые увидел только в немецком оригинале.
А потом побежал по лестнице вместо удалённого подключения!
Охренеть, дайте два!
Я в таких случаях бы ещё у компа физически кабель локалки выдернул и дальше в карантин, смотреть на активность... При необходимости вырубить выдернув кабель питания и вторым винтом в другую систему — ловить руткиты и трояны ручками...
В корпоративной сети у админов всегда есть доступ к машинам юзеров.
Тем более зачастую офисы физически находятся на приличном расстоянии друг от друга.
И думаете они там без домена работают что ли?
И в этом ключе всё выглядит странно.
А уж если где появилась информация о скомпрометированных паролях используемых учётных записей программ — то немедленно.
А не игрушки гонять.
Вы — гигант мысли, сэр!
Если это личные Ваши домашние пароли-Вы вольны делать с ними что угодно, хоть везде 123 поставить.
Работа Админа — это вам не цацки-пецки :youtube.com...
При нормальной работе безопасности не то что чтото левое поставить или скопировать на флешку нельзя, там и распечатанные на бумаге данные учитываются чтобы никто никуда ничего не вынес.
Напечатал вася 2 копии какой либо документации, одну сдал допустим в техотдел, а другая нигде не отметилась. В конце рабочего дня на выходе к васе будут вопросы по второй неучтённой копии.
А тут сидел игрался и вдруг его обидели.
Вообще то когда речь идёт от непосредственно исполняемой человеком работе то пишут примерно так:
Иванов Иван Иванович, майор милиции
Если человек не находился в это время на работе, но выполнил что то связанное непосредственно с работой (например спас кого нибудь/задержал) то примерно так:
Иванов Иван Иванович, майор милиции, отдыхая от службы/находясь на отдыхе и т.д.
А если просто он выступает как обычный человек в кругу семьи/на отдыхе и т.д, занимается своими делами то просто:
Иванов Иван Иванович
Если в статье неточность. то конечно, в своё личное время человек имеет право заниматься всем чем угодно.
А чем они хуже Микрософт? Им, тоже, "хочется всего и сразу"!
Про неслыханную жадность разработчиков — согласен. Пару дней назад корпоративный аккаунт TV был заблокирован. Не стали обновляться до 11 версии и получили результат. Техподдержка ответила — мы так решили. Ну и пускай идут в ...... На рынке полно подобных продуктов без таких запросов.
ЗЫ. работать приходится не с 1-2 компами, а с несколькими десятками... В т.ч. и под сервачной виндой в режиме рабочей станции (только 1 локальный пользователь)...
Сначала мы использовали AnyPlace Control anyplace-control.com но она нас не устроила, поскольку с трудом работала с числом клиентов более 2000.
Сейчас LiteManager litemanager.ru от отечественных разработчиков , с которыми плотно общаемся и они легко идут на встречу и добавляют нужный функционал.
также есть Аэроадмин aeroadmin.com , Ammy admin ammyy.com . В общем выбор достаточно богат.
Бл, все нервы вымотал этот "воздушный админ".