Як перевірити чи варто якась програма для контролю співробітників
Доброго вам дня! Хочеться поділитися своїми спостереженнями - може комусь і знадобиться.
Все нижческазане буде стосуватися Falcongaze SecureTower. Незважаючи на те, що клієнт намагається будь-якими способами приховати свою присутність, все таємне, рано чи пізно стає явним.
1.Підміна сертифіката. Відриваємо у браузері будь-який ресурс, який використовуєhttpsі дивимося дані сертифіката. При встановленому DLP-клієнті, у розділі "Certification Path" буде присутній сертифікат, підписаний Falcongaze SecureTower. При установці, клієнт SecureTower додає свій сертифікат у довірене сховище кореневих сертифікатів (Trusted Root Certification Authorities). Взагалі, за будь-яких підозр, дане сховище можна періодично переглядати - раптом знайдете щось цікаве.
2.Розташування файлів. Якщо ви будете шукати файли та каталоги установки клієнта візуально, або використовуючи механізм пошуку в провіднику (будь-якому іншому файловому менеджері) -швидше за всенічого так і не буде знайдено. Але вихід є, все виявляється куди простіше - беремо шляхи:
Цей спосібперевіренийна OS Windows 7 і вище.
4.Мережа.За умовчанням, для зв'язку з сервером, Secure Tower використовує порт10500.
5.Процеси. Як і у випадку з каталогами та файлами, клієнт вміє відмінно маскувати свої процеси (якщо захоче) у Диспетчері завдань Windows. Ось списокнайбільш ймовірнихпроцесів:
Для того, щоб їх "вищемити", потрібно запустити старий добрийProcess Monitorі відкритиProcess Tree- від нього ще ніхто не уникав.
6.Skype Як відомо, багато DLP-системи можуть перехоплювати повідомлення (деякі, особливо просунуті - навіть записувати розмови) Skype. Ви, мабуть, хочете спитати: Як вони це роблять? Адже протокол Skype надійно зашифрований, і нікому (практично) не вдалося наблизитись до його розшифровки. Насправді, до дешифрування даних, переданих за закритими протоколами, справа таки не доходить зовсім. Клієнт Secure Tower отримує дані безпосередньо з самого Skype.
Спосіб номер разів: він (клієнт) реєструє один зі своїх модулів, як довірений додаток Skype. Останнє отримує дані, використовуючи документоване і відкрите API. Перевірити Skype на наявність непроханих гостей можна, вибравши пункт менюІнструменти->Налаштування.->Додатково->Розширені налаштування->Контроль доступу інших програм до Skype(перевірено для Skype 6.20.0.104). У вікні "Контроль доступу програмного інтерфейсу" будуть перераховані всі програми, які мають доступ до ваших даних у Skype. Можливо, у себе, відкривши це вікно, ви знайдете багато чого нового та цікавого! В даний час даний спосіб практично не використовується, т.к. всі (у край нахабніли) перейшли до способу номер два.
Спосіб номер два: Skype зберігає історію листування БДSQLiteу кращих традиціях жанру - у відкритому вигляді. Шлях розташування файлу БД:
Саме цей файл періодично і смикає DLP-клієнт.
Ставимо розтяжкуЗапуститиProcess Monitorі створити новий фільтр:
НатиснутиOKі чекати, доки спрацює. В ідеально чистій системі, крім самого Skype, до файлу ніхто звертатися не повинен. Якщо в системі завелася "живність" - чекати доведеться недовго.
ВисновокЗавжди варто враховувати той факт, щорозробники не сидять склавши руки, DLP-системи постійно удосконалюються (ускладнюються, породжується більше нових багів) і методи, описані вище, можуть спрацювати нових версій.
Крім цього, багато залежить від політик безпеки, згідно з якими налаштований клієнт. Окремі модулі (перехоплення повідомлень Skype, контроль https трафіку тощо) можуть бути відключені і відповідно кожен окремий пункт не може дати 100%-го результату.
Для виявлення ПЗ такого роду завжди слід використовувати комплексний підхід, який включає перевірку по всіх пунктах. Крім цього, використовуючи деякі з цих методів, існує можливість відстежити не тільки Secure Tower, але і його "конкурентів".