информационная безопасность
без паники и всерьез
 подробно о проектеRambler's Top100
Сетевые кракеры и правда о деле ЛевинаПортрет посетителя
BugTraq.Ru
Русский BugTraq
 Анализ криптографических сетевых... 
 Модель надежности двухузлового... 
 Специальные марковские модели надежности... 
 С наступающим 
 Серьезная уязвимость в Apache Log4j 
 Крупный взлом GoDaddy 
главная обзор RSN блог библиотека закон бред форум dnet о проекте
bugtraq.ru / форум / sysadmin
Имя Пароль
ФОРУМ
если вы видите этот текст, отключите в настройках форума использование JavaScript
регистрация





Легенда:
  новое сообщение
  закрытая нитка
  новое сообщение
  в закрытой нитке
  старое сообщение
  • Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
  • Новичкам также крайне полезно ознакомиться с данным документом.
Грустно сие... 06.12.02 11:45  Число просмотров: 1197
Автор: Lurga Статус: Elderman
<"чистая" ссылка>
> Когда удается поймать, то конечно, но не будешь же целыми
> днями сидеть в "засаде" и ловить этих хакеров недоделаных.
А деньги им за что платят?

> Да и вообще, народ как известно, халяву любит и стремится
> заполучить ее любыми способами, несмотря ни на что...
Дык менталитет...

> Так что в данном случае бить по рукам, как мне кажется,
> способ неэффективный...
А какие методы борьбы ты в таком случае предлагаешь? Насилие -- штука та ещё, но опыт говорит о том, что с её действенностью мало что потягается. 8))))
<sysadmin>
Клавиатурные шпионы, воровство паролей и т.п. 06.12.02 04:20  
Автор: alien <Андрей> Статус: Member
Отредактировано 06.12.02 04:27  Количество правок: 1
<"чистая" ссылка>
Привет. Для начала объясню ситуацию: есть ЛВС (соединения через коммутаторы /Switch/) примерно на 50 компов, которые разбросаны по четырем компьютерным классам, в каждом из которых есть свой техник. С каждого из этих компов выход в инет через прокси (Squid. ОС - Mandrake Linux 8.1). Каждый юзер может выходить в инет с любого цампутера в сети, пройдя авторизацию на прокси-сервере. Инет продаем за деньги, по мегабайтам.

Теперь проблема: Все пользователи делятся на ламеров и несовсем. Так вот, которые "несовсем", ставят на компах клавиатурные шпионы (на клиентах стоит в основном Windows 98 /W2000 и XP не тянут/, так что проблем с установкой шпионов нет), на которые и попадаются вышеупомянутые ламеры. Техники классов не в состоянии контролировать это дело (а может просто не хотят).

Ну и наконец, собственно, вопрос: есть ли какие-либо средства или способы для пресечения вышеописанного явления (может быть какие-либо альтернативные способы авторизации или что-нить в этом роде)

Заранее спасибо!
Клавиатурные шпионы, воровство паролей и т.п. 16.12.02 07:22  
Автор: StepeR Статус: Незарегистрированный пользователь
<"чистая" ссылка>
> Ну и наконец, собственно, вопрос: есть
> ли какие-либо средства или способы для пресечения
> вышеописанного явления (может быть какие-либо
> альтернативные способы авторизации или что-нить в этом
> роде)

реально все просто - ставишь программу управления классом которая запускает свой shell из которогу доступны только назначенные админом функции - например только запуск интернет эксплоера и возможность сохранять свои данные только на диск сервера и все. Если интересно подробней на мыло.
Клавиатурные шпионы, воровство паролей и т.п. 09.12.02 17:38  
Автор: ale Статус: Незарегистрированный пользователь
<"чистая" ссылка>
> Привет. Для начала объясню ситуацию:
> есть ЛВС (соединения через коммутаторы /Switch/) примерно
> на 50 компов, которые разбросаны по четырем компьютерным
> классам, в каждом из которых есть свой техник. С каждого из
> этих компов выход в инет через прокси (Squid. ОС - Mandrake
> Linux 8.1). Каждый юзер может выходить в инет с любого
> цампутера в сети, пройдя авторизацию на прокси-сервере.
> Инет продаем за деньги, по мегабайтам.
>
> Теперь проблема: Все пользователи
> делятся на ламеров и несовсем. Так вот, которые "несовсем",
> ставят на компах клавиатурные шпионы (на клиентах стоит в
> основном Windows 98 /W2000 и XP не тянут/, так что проблем
> с установкой шпионов нет), на которые и попадаются
> вышеупомянутые ламеры. Техники классов не в состоянии
> контролировать это дело (а может просто не хотят).
>
> Ну и наконец, собственно, вопрос: есть
> ли какие-либо средства или способы для пресечения
> вышеописанного явления (может быть какие-либо
> альтернативные способы авторизации или что-нить в этом
> роде)
>
> Заранее спасибо!

Самый жестокий способ от клавиатурных шпионов eToken,
но на компе должен быть USB порт, Это дорогое решение.
Других способов нет.
Очевидное решение в данной ситуации таково: 09.12.02 16:05  
Автор: Andr Статус: Незарегистрированный пользователь
<"чистая" ссылка>
Ищи работу.

1. Судя по реакции техников, тем, с чем ты борешся, занимаются они. И если ты найдёшь защиту - тебе не жить.
2. Судя по тому, что компьютеры не тянут w2k - фирма не процветает.
3. Судя по реакции начальства - оно крутит какие-то другие дела, более интересные.
4. Судя по тому, что ты администрируешь какие-то там сервера - ты специалист.

Вывод: ищи работу. Срочно.
К сожалению, все так и есть... 10.12.02 06:47  
Автор: alien <Андрей> Статус: Member
<"чистая" ссылка>
> Ищи работу.
>
> 1. Судя по реакции техников, тем, с чем ты борешся,
> занимаются они. И если ты найдёшь защиту - тебе не жить.
> 2. Судя по тому, что компьютеры не тянут w2k - фирма не
> процветает.
> 3. Судя по реакции начальства - оно крутит какие-то другие
> дела, более интересные.
> 4. Судя по тому, что ты администрируешь какие-то там
> сервера - ты специалист.
>
> Вывод: ищи работу. Срочно.

На самом деле все куда более запущено! Контора эта - Университет, начальство - заведующая кафедрой (> 50 лет), а серваки администрирую только по собственному энтузиазму (сначала, когда еще не знал ничего, все это было очень интересно, а сейчас прощают то, что не хожу на пары и все такое - я еще и учусь в ентом университете), а вообще перед тем как прочитать это сообщение, мне уже предложили такую же работу, но с зарплатой в несколько раз больше, так что, конечно же, пошлю я этот университет на х..

З.Ы. Спасибо за совет!
Господа, прошу обратить внимание!!! 07.12.02 11:20  
Автор: alien <Андрей> Статус: Member
<"чистая" ссылка>
Всем конечно огромное спасибо, что отозвались на мой вопрос, но дело в том, что я спрашивал про коренное решение проблемы, т.е. изменение механизма авторизации. Сейчас авторизация пользователя на прокси проходит после того, как он наберет какой-нить урл в бровзере и введет правильные логин. Т.е. процедура авторизации проходит тогда, когда уже работает сеанс пользователя.

Попробовав несколько кейлоггеров я обратил внимание, что в 98-й Винде они работают только когда запущен сеанс пользователя. НО их нет, когда на экране висит окно ввода сетевого пароля, т.е. после завершения сеанса убиваются все процессы пользователя и, конечно же, кейлоггер.

Вообще говоря, у меня такая мысль, чтобы сделать процедуру авторизации унифицированной, т.е. чтобы пользователь входил один раз в сеть и получал доступ ко всем ресурсам сервера(ов). Таким образом решается проблема кейлоггеров (по крайней мере их большинства) и пользователю предоставляется более качественный сервис и т.д. и т.п. (все же они деньги платят).

Не помню источник, но где-то читал, что нечто подобное можно реализовать установив PDC на Samba, прикрутив ко всему этому OpenLDAP. А другие приложения (Squid, Apache и т.п.) обращались бы в метакаталог (или как его там) LDAP и получали оттуда информацию об авторизованных пользователя. Не знаю, может я чего напутал, но читал я про это где-то около года назад.

Вобщем, посоветуйте плз, подойдет ли такое решение проблемы. А может кто предложит что-нить другое...

Еще раз спасибо за предыдущие ответы!
Вот тебе черновик. 09.12.02 13:15  
Автор: Night Knight [HZTeam.msk] <George Fedosejev> Статус: Member
<"чистая" ссылка>
Не детальное описание, но хоть принцип пронятен.

OpenLDAP
Вот тебе черновик. 10.12.02 07:24  
Автор: alien <Андрей> Статус: Member
<"чистая" ссылка>
> Не детальное описание, но хоть принцип пронятен.
Спасибо, примерно это мне и надо!!!
<без заголовка> 07.12.02 08:30  
Автор: Killer{R} <Dmitry> Статус: Elderman
<"чистая" ссылка>
Короче система такая. Клавиатурные шпиены обычно вешают хуки на клавиатуру. Процедура хука в свою очередь после обработки своего вызова передает управление (должна), а если не передает - то все остальные получаюг фигу без масла. Значит нужно написать прогу которая грузиться раньше всех троянов и вешает такой кривой хук.
http://killprog.narod.ru/hookblock.dll - грузится она строкой rundll32 hookblock.dll,init .Напиши плз сюда ответ - получиться ли что из этого. Единственное условие - она должна грузиться раньше шпионов. В списке процессов по ктрлальдел под 98 ее не видно (только в спец таскманагерах увидишь rundll32.exe). У себя под w2k проверил - netbus отдыхает. Вот не уверен насчет старых 16ибитный троянов, и против VXD точно не поможет.
интересно, а если логгер ставит драйвер клавиатуры, с этим что то вообще можно сделать ? 07.12.02 09:53  
Автор: ggg <ggg> Статус: Elderman
Отредактировано 07.12.02 09:56  Количество правок: 1
<"чистая" ссылка>
кстати, свой хук имхо не спасёт от хуков логгеров

логгер просто грузит свой хук, а в DllMain перехватывает нужные ему функции, например, GetMessage, и нафиг ему не нужна CallNextHookEx

и вообще в винде столько мест, куда можно воткнуть логгер
интересно, что предлагают "самые крутые" антилоггеры?
интересно, а если логгер ставит драйвер клавиатуры, с этим что то вообще можно сделать ? 07.12.02 14:04  
Автор: Killer{R} <Dmitry> Статус: Elderman
<"чистая" ссылка>
> логгер просто грузит свой хук, а в DllMain перехватывает
> нужные ему функции, например, GetMessage, и нафиг ему не
> нужна CallNextHookEx
Та длл спасает. NetBus для управления клавиатурой и мышью вешает хук WH_GETMESSAGE - и если мой кривой хук загружен раньше нетбаса то он отдыхает (проверено).

> и вообще в винде столько мест, куда можно воткнуть логгер
> интересно, что предлагают "самые крутые" антилоггеры?
Ну поставить vxd драйвер можно. В таком случае как вариант - настраиваешь комп юзера, копируешь реестр (system.dat/user/dat)и всякие system.ini/win.ini в теплое и темное место (вкаталог system под красивыми именами файлов). Затем пишеться на паскале прога которая копирует все назад, Win.com переименовываеться скажем в syscom.exe прога записывается вместо win.com и при каждой перезагрузке прога будет востанавливать конфигурацию системы и грузить старый win.com. Недостаток - юзер ничего не сможет инсталлировать на комп
интересно, а если логгер ставит драйвер клавиатуры, с этим что то вообще можно сделать ? 07.12.02 20:38  
Автор: ggg <ggg> Статус: Elderman
<"чистая" ссылка>
> Та длл спасает. NetBus для управления клавиатурой и мышью
> вешает хук WH_GETMESSAGE - и если мой кривой хук загружен
> раньше нетбаса то он отдыхает (проверено).

я имел в виду, что логгер вешает хук только для того, чтобы загрузить длл во все проги
потом он перехватывает функции работы с сообщениями (GetMessage, PeekMessage ...)
т.е. заменяет адреса вызовов
нажатия клавиш он ловит не в хуке, а в этих перехваченных функциях
может быть сейчас и нет таких, но написать его не сложно
Нет предел извращениям 08.12.02 00:40  
Автор: Killer{R} <Dmitry> Статус: Elderman
<"чистая" ссылка>
можно повесить другую прогу которая фиксит точки входа.. но это уже к маразму ближе
Хм-м-м... А я вот такой вариант надыбал: 06.12.02 14:48  
Автор: Lurga Статус: Elderman
<"чистая" ссылка>
Запрещение запуска программ

Windows позволяет ограничить доступ к программам, кроме разрешенных в специальном списке.

Для ограничения запускаемых программ надо открыть раздел HKEY_CURRENT_USER\SOFTWARE\Microsoft\ Windows\CurrentVerson\Policies\Explorer и создать там ключ RestrictRun типа DWORD со значением 0х00000001. Затем тут же надо создать подраздел с аналогичным именем RestrictRun и в нем перечислить список РАЗРЕШЕННЫХ к запуску программ для текущего пользователя. Записи в этом подразделе пронумеровываются, начиная с 1, и содержат строки с путями (необязательно) и именами приложений. Файлы должны быть с расширением. Например, Word.exe, Excel.exe ...

Не забудьте указать файл Regedit.exe, иначе Вы сами не сможете больше запустить редактор реестра! Для сброса ограничения на запуск программ надо установить значение ключа RestrictRun в 0



--------------------------------------------------------------------------------

© 2002 А.Климов, И. Чеботарев
http://www.webhowto.ru/reg
http://winchanger.narod.ru
Более просто это сделать через PolEdit.exe. И не только это :) 06.12.02 15:26  
Автор: Night Knight [HZTeam.msk] <George Fedosejev> Статус: Member
<"чистая" ссылка>
Ну уж, знаете ли, чего нашёл. 8))) 06.12.02 15:38  
Автор: Lurga Статус: Elderman
<"чистая" ссылка>
Про Poledit и прочее.. (админам - читать обязательно!) 06.12.02 20:15  
Автор: !mm <Ivan Ch.> Статус: Elderman
Отредактировано 06.12.02 20:16  Количество правок: 1
<"чистая" ссылка>
Сейчас решил проверить, смогу ли я получить фулл доступ к компу w2k AdServer sp2, с открытым терминальным доступом.. Комп висит в серой сети с замапленым на белый адрес портом, насколько я понимаю.

Как вы понимаете, терминальный доступ, это несколько более защищенная штука, чем просто комп с перекрытыми возможностями настройки и запуска всякой неавторизированной дряни.

Так вот :) для начала (открывал доступ в Сеть) - мой компутер - хелп - хелп в веб (открылся эксплорер), интернет опшинс, лан сеттингс (был прокси 1.1.1.1 с портом 1111), переставил, поставил прокси нужный, порт 8000 (просто 80порт был перекрыт, спрашивал пасс), все. Ок. Скачиваю от себя GetAd - вуаля, казалось бы - ан нет, нету NDDE-агента тама.. Ладно.. мы подём другим путем.

Пошли путем другим. На терминале вертится "софта" - следовательно разрешен запуск ентого файла.. счолкаю по ярлыку (один ярлык на рабочем столе, корзина и "мой комп"), говорю "чек ентот файл АнтавируалТоолкитомПро", антивирь запускается, при выборе, чего сканить, дает мне посмотреть, какие файлы и директории существуют (просмотр ВСЕГО кроме рабочего стола был запрещен).

Оки. Фар на обычном месте.

Счолкаем по ярлыку - говорим, адд ту архив - в опшинсах ставим "c:\program files\far\far.exe", архивить в "путь к рабочему столу/файл.рар", заархивился. замечательно. Теперь разархивируем прямо на рабочий стол, меняем имя файла с far.exe на разрешенное для запуска (access.exe например), архивим обратно, и распаковываем в "програм филес/фар/"..
Собственно и все..
Теперь делаем ярлык с указанием чего запускать..
Вот такая защита..

Был бы GetAd не под NDDE, был бы админом сразу, а так, для админства надо еще чуток напрячься.. но влом, да и пора уже идти мне :))

респекты, замечания, пожелания? ;)
Пермишены! 07.12.02 02:21  
Автор: Ktirf <Æ Rusakov> Статус: Elderman
<"чистая" ссылка>
> Сейчас решил проверить, смогу ли я получить фулл доступ к
> компу w2k AdServer sp2, с открытым терминальным доступом..
> Комп висит в серой сети с замапленым на белый адрес портом,
> насколько я понимаю.
>
> Как вы понимаете, терминальный доступ, это несколько более
> защищенная штука, чем просто комп с перекрытыми
> возможностями настройки и запуска всякой неавторизированной
> дряни.
До тех пор пока система будет стоять на FAT, или к настройкам прав доступа будут относиться так, как будто вся система стоит на FAT, говорить о безопасности не приходится. Гораздо эффективнее и надежнее в данном случае будет работать бюрократический метод (см. соседнюю поднить).
А самое простое -- Веба поставить? Он кейлоггеры ловит на-раз. 06.12.02 10:13  
Автор: Lurga Статус: Elderman
<"чистая" ссылка>
Или я не понял сути проблемы?
А самое простое -- Веба поставить? Он кейлоггеры ловит на-раз. 06.12.02 11:24  
Автор: alien <Андрей> Статус: Member
<"чистая" ссылка>
> Или я не понял сути проблемы?
Как я уже упоминал, в этих класса рулят другие техники, а я занимаюсь администрированием серверов. А эти техники не особо рвутся обеспечить безопасность и т.п. Короче все сводится к ежеНЕДЕЛЬНОЙ профилактике, которая только и заключается в развертывании образов дисков. Т.е. целую неделю каждый комп находится в полном распоряжении юзеров.

На мои предложения установить какой-либо антивирусный монитор мне было предложено два вида ответов: 1) тачки и так тормозные, еле шевелятся, а тут еще и ты со своей безопасностью и 2) пошел на х$%!

Короче все ограничивается установкой антивирусных сканеров, которые пользователи-ламеры запускать перед началом работы и не хотят и ума не хватает. Короче говоря, проблема, как и в большинстве случаев, в человеческом факторе :-(((

Попытки решить эту проблему через начальство также не увенчались успехом.

Короче, за то что бабки со счетов пользователей утекают в "известную неизвестность" трахают меня, а очевидное решение проблемы мне практически недоступно...
1  |  2 >>  »  






Rambler's Top100
Рейтинг@Mail.ru


  Copyright © 2001-2022 Dmitry Leonov   Page build time: 0 s   Design: Vadim Derkach