Chivas

пикабушник
поставил 5600 плюсов и 339 минусов
проголосовал за 0 редактирований
1249 рейтинг 230 комментариев 16 постов 1 в "горячем"
1 награда
5 лет на Пикабу
18

Мониторинг сотрудников. Третий, крайний, на сегодня, пост, логически завершающий цепочку "Как обнаружить - Как остановить - Как обмануть"

Предыдущий пост http://pikabu.ru/story/_2_samyikh_populyarnyikh_voprosa_3224609

Продолжаем разбирать подробнее самые популярные вопросы.

Как обмануть

Можно ли обмануть систему, отправляя на сервер данные о том, что вы весь день корпите народ отчетом, а на самом деле не вылезаете из World of Tanks?
В теории - да. Агент общается с сервером по сети одним из трех способов, по https, rpc или собственному протоколу. Если перехватить сертификат или расшифровать механизм аутентификации и сам протокол, то можно подменить агент, который будет отправлять только нужную вам информацию.
Хорошая новость в том, что большинство систем не используют аутентификацию между клиентом и сервером.
Плохая - процесс расшифровки протокола весьма нетривиален, хотя хороший специалист справится за неделю.
40

Мониторинг сотрудников. Вторая, довольно, краткая часть, с ответом на 2 самых популярных вопроса.

Как обнаружить

Программа мониторинга персонала всю информацию о деятельности сотрудника за своим ПК получает от небольшой программы агента, которая постоянно работает на ПК, собирает информацию и отправляет на центральный сервер.
Можно ли обнаружить агента? Можно. Ряд производителей подобного ПО уверяют, что используют новейшие секретные разработки, позволяющие сделать агент полностью невидимым, но это конечно не правда. Единственный способ спрятать агент - использовать технологию rootkit, но тогда первый же антивирус потребует его удаления из системы.
Поэтому агент функционирует как, обычная, небольшая фоновая программа, которую отлично видно в Task Manager. Понятно, что для каждого производителя название этой программы свое. Со временем, будет опубликован список (нужно время, чтобы его подготовить).
В ряде случаев программа-агент помещается в автозапуск, но чаще используется сервис, единственное назначение которого - запуск агента.

Как остановить

Если административных прав нет, то никак.
Если права есть, то очень просто - остановкой агента из Task Manager.
Стоит учитывать, что некоторые системы умеют проверять запущен ли агент и автоматически перезапускать его.
Делает это тот самый сервис, поэтому вместе с агентом нужно убить и сервис. Правда с помощью групповых политик можно настроить перезапуск и самого сервиса, но такой функционал пока экзотика.
Надежнее всего испортить код самого агента, например в текстовом редакторе. Тогда сервис может сколько угодно пытаться его запустить...
Правда сейчас начали появляться системы, которые умеют отслеживать на каких ПК агент установлен, но почему-то не работает. И вот тут к вам с разборками может пожаловать системный администратор, в лучшем случае ))

Если будут вопросы, пишите в комментариях, постараюсь их разобрать в следующих материалах.
357

Мониторинг сотрудников

Добрый день, пикабушники!
Я работал и работаю на рынке программ для мониторинга сотрудников. Могу запилить длиннопост о том, для чего и кому нужны такие программы, чем вы рискуете, когда за вами ведется мониторинг, насколько это законно, почему компании прибегают к программам такого рода, что о вас могут узнать и т.д. Если тема будет интересна и перечислите доп. вопросы в комментариях, постараюсь затронуть и их.
Отличная работа, все прочитано!