Всё даже проще. На том же Рутрекере уже полно сборок TV сконфигурированных с заранее заданным паролем в tv.ini или даже уже "вшитым" в exe каким-то образом (последние довольно резво исчезают, это прямое подтверждение того что исполняемый файл уже основательно поисследовали и кое-что нашли).
Задача состоит в том, чтобы определить, установлен ли TV и запущен на атакуемой машине, определить версию релиза, и каким-либо способом выгрузить/подменить файлы. После чего можно просто аккаунт сменить на свой,"угнать" пароль чужого сложнее-шифрование, надо брутить или сопоставлять с аккаунтами на других сервисах — те кто юзает везде одинаковые или похожие пароли — рано или поздно "попадет". Пришлось тут на PS скрипт наваять свой чтобы "гасить" TV у подконтрольных юзеров — ибо это огромная "дыра" в безопасности,если его начинают юзать с рабочих мест самостоятельно.
Политикой,консолями KSC, средствами Cisco ASA (Firewall Os) блокировать его запуск (не всегда помогает), "разворачивать" от него траффик обратно.
З.Ы. На первых порах когда еще TV 5 версии только появился — я пытался его дебажить и трассировать, с целью выловить опции командной строки, соответствующие положениям и значениям всяких радиобаттонов и кнопок в GUI, чтобы перезапускать при рестарте и прочее, или внешними командами запускать. Но потом появился TV Host, где это легально уже расписано в документации, а в TV Corporate есть и свои скриптовые механизмы автоматизации, если ее внимательно покопать, впервые увидел только в немецком оригинале.
Специалист по ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ играл на рабочем месте на рабочем компе в игру!
А потом побежал по лестнице вместо удалённого подключения!
Охренеть, дайте два!
Если акк взломали, то правильно, что ножками... Ибо уже скомпроментировано, могли и на лету его сессию оборвать, пароль может быть уже сменён и т.д...
Я в таких случаях бы ещё у компа физически кабель локалки выдернул и дальше в карантин, смотреть на активность... При необходимости вырубить выдернув кабель питания и вторым винтом в другую систему — ловить руткиты и трояны ручками...
Самое простое-удалённый рабочий стол.
В корпоративной сети у админов всегда есть доступ к машинам юзеров.
Тем более зачастую офисы физически находятся на приличном расстоянии друг от друга.
И думаете они там без домена работают что ли?
Видел много случаев, когда домен есть, но он только для галочки... Куча машин мимо него... И да, в корпорациях на ~10к и более не работал и не хочу — каждый чих фиксируется и нагибается... Но есть те, кого это привлекает...
И, да, даже при наличии распределённой сети офисов, мальчик-замени-шнурок по совместительству с чем-то ещё всегда есть... Домен в одном-двух местах, а в каждом офисе/в каждом городе есть куча мелкотекучки железной...
Видимо некоторые не понимают что одной из обязанностей специалистов по безопасности является ежемесячная смена ВСЕХ паролей.
А уж если где появилась информация о скомпрометированных паролях используемых учётных записей программ — то немедленно.
А не игрушки гонять.
Если это относится к Вашей работе (ежемесячная смена паролей всем юзерам и т.д.) то видимо Вы плохо понимаете основы безопасности работы в организации.
Если это личные Ваши домашние пароли-Вы вольны делать с ними что угодно, хоть везде 123 поставить.
pinnoplast сегодня, 08:06 "Специалист по ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ играл на рабочем месте на рабочем компе в игру!.... Охренеть, дайте два!" — и что? Специалисты тоже люди, почему бы и не поиграть на рабочем месте?
Работа Админа — это вам не цацки-пецки :https://www.youtube.com/wat...
Наверное потому что это не админ в конторе на 50 компов а специалист по информационной безопасности в крупной конторе, в IBM. Не "рога и копыта" в офисе на 10м2.
При нормальной работе безопасности не то что чтото левое поставить или скопировать на флешку нельзя, там и распечатанные на бумаге данные учитываются чтобы никто никуда ничего не вынес.
Напечатал вася 2 копии какой либо документации, одну сдал допустим в техотдел, а другая нигде не отметилась. В конце рабочего дня на выходе к васе будут вопросы по второй неучтённой копии.
А тут сидел игрался и вдруг его обидели.
Если дело происходило дома то это неточность написания статьи или перевода.
Вообще то когда речь идёт от непосредственно исполняемой человеком работе то пишут примерно так:
Иванов Иван Иванович, майор милиции
Если человек не находился в это время на работе, но выполнил что то связанное непосредственно с работой (например спас кого нибудь/задержал) то примерно так:
Иванов Иван Иванович, майор милиции, отдыхая от службы/находясь на отдыхе и т.д.
А если просто он выступает как обычный человек в кругу семьи/на отдыхе и т.д, занимается своими делами то просто:
Иванов Иван Иванович
Если в статье неточность. то конечно, в своё личное время человек имеет право заниматься всем чем угодно.
А всё потому, что жадность без меры у компании! Им мало денег клиентов! Им надо еще держать клиента постоянно под полным контролем. И для этого, их Тимвьюер прописывается в службы с автоматическим запуском при включении компьютера.
А чем они хуже Микрософт? Им, тоже, "хочется всего и сразу"!
Перед тем, как прописаться в автозагрузку, он десять раз спрашивает.
Про неслыханную жадность разработчиков — согласен. Пару дней назад корпоративный аккаунт TV был заблокирован. Не стали обновляться до 11 версии и получили результат. Техподдержка ответила — мы так решили. Ну и пускай идут в ...... На рынке полно подобных продуктов без таких запросов.
А можно варианты аналогов? А то только Радмин сейчас остался, а он через NAT не ходит, приходится пробрасывать...
ЗЫ. работать приходится не с 1-2 компами, а с несколькими десятками... В т.ч. и под сервачной виндой в режиме рабочей станции (только 1 локальный пользователь)...
Для начала скажу что используем приложения использующие собственный сервер noip (не так как тимвьювер), но у них есть возможность работы подобная TV
Сначала мы использовали AnyPlace Control anyplace-control.com но она нас не устроила, поскольку с трудом работала с числом клиентов более 2000.
Сейчас LiteManager litemanager.ru от отечественных разработчиков , с которыми плотно общаемся и они легко идут на встречу и добавляют нужный функционал.
также есть Аэроадмин aeroadmin.com , Ammy admin ammyy.com . В общем выбор достаточно богат.
aeroadmin тормозит местами и каждую минуту выкидывает рекламу с издевательской надписью — "Зарегистрируйся, чтобы отключить рекламу"! То есть, мне, чтобы продолжить работу, надо закрыть окошко рекламы у себя и у клиента!
Бл, все нервы вымотал этот "воздушный админ".
Комментарии
Задача состоит в том, чтобы определить, установлен ли TV и запущен на атакуемой машине, определить версию релиза, и каким-либо способом выгрузить/подменить файлы. После чего можно просто аккаунт сменить на свой,"угнать" пароль чужого сложнее-шифрование, надо брутить или сопоставлять с аккаунтами на других сервисах — те кто юзает везде одинаковые или похожие пароли — рано или поздно "попадет". Пришлось тут на PS скрипт наваять свой чтобы "гасить" TV у подконтрольных юзеров — ибо это огромная "дыра" в безопасности,если его начинают юзать с рабочих мест самостоятельно.
Политикой,консолями KSC, средствами Cisco ASA (Firewall Os) блокировать его запуск (не всегда помогает), "разворачивать" от него траффик обратно.
З.Ы. На первых порах когда еще TV 5 версии только появился — я пытался его дебажить и трассировать, с целью выловить опции командной строки, соответствующие положениям и значениям всяких радиобаттонов и кнопок в GUI, чтобы перезапускать при рестарте и прочее, или внешними командами запускать. Но потом появился TV Host, где это легально уже расписано в документации, а в TV Corporate есть и свои скриптовые механизмы автоматизации, если ее внимательно покопать, впервые увидел только в немецком оригинале.
А потом побежал по лестнице вместо удалённого подключения!
Охренеть, дайте два!
Я в таких случаях бы ещё у компа физически кабель локалки выдернул и дальше в карантин, смотреть на активность... При необходимости вырубить выдернув кабель питания и вторым винтом в другую систему — ловить руткиты и трояны ручками...
В корпоративной сети у админов всегда есть доступ к машинам юзеров.
Тем более зачастую офисы физически находятся на приличном расстоянии друг от друга.
И думаете они там без домена работают что ли?
И в этом ключе всё выглядит странно.
А уж если где появилась информация о скомпрометированных паролях используемых учётных записей программ — то немедленно.
А не игрушки гонять.
Вы — гигант мысли, сэр!
Если это личные Ваши домашние пароли-Вы вольны делать с ними что угодно, хоть везде 123 поставить.
Работа Админа — это вам не цацки-пецки :https://www.youtube.com/wat...
При нормальной работе безопасности не то что чтото левое поставить или скопировать на флешку нельзя, там и распечатанные на бумаге данные учитываются чтобы никто никуда ничего не вынес.
Напечатал вася 2 копии какой либо документации, одну сдал допустим в техотдел, а другая нигде не отметилась. В конце рабочего дня на выходе к васе будут вопросы по второй неучтённой копии.
А тут сидел игрался и вдруг его обидели.
Вообще то когда речь идёт от непосредственно исполняемой человеком работе то пишут примерно так:
Иванов Иван Иванович, майор милиции
Если человек не находился в это время на работе, но выполнил что то связанное непосредственно с работой (например спас кого нибудь/задержал) то примерно так:
Иванов Иван Иванович, майор милиции, отдыхая от службы/находясь на отдыхе и т.д.
А если просто он выступает как обычный человек в кругу семьи/на отдыхе и т.д, занимается своими делами то просто:
Иванов Иван Иванович
Если в статье неточность. то конечно, в своё личное время человек имеет право заниматься всем чем угодно.
А чем они хуже Микрософт? Им, тоже, "хочется всего и сразу"!
Про неслыханную жадность разработчиков — согласен. Пару дней назад корпоративный аккаунт TV был заблокирован. Не стали обновляться до 11 версии и получили результат. Техподдержка ответила — мы так решили. Ну и пускай идут в ...... На рынке полно подобных продуктов без таких запросов.
ЗЫ. работать приходится не с 1-2 компами, а с несколькими десятками... В т.ч. и под сервачной виндой в режиме рабочей станции (только 1 локальный пользователь)...
Сначала мы использовали AnyPlace Control anyplace-control.com но она нас не устроила, поскольку с трудом работала с числом клиентов более 2000.
Сейчас LiteManager litemanager.ru от отечественных разработчиков , с которыми плотно общаемся и они легко идут на встречу и добавляют нужный функционал.
также есть Аэроадмин aeroadmin.com , Ammy admin ammyy.com . В общем выбор достаточно богат.
Бл, все нервы вымотал этот "воздушный админ".