Bună ziua!
Vreau să împărtășesc observațiile mele - poate cineva va veni la îndemână.
Toate cele ce urmează se vor aplica Falcongaze SecureTower.
În ciuda faptului că clientul încearcă să-și ascundă prezența prin orice mijloace, tot secretul devine mai devreme sau mai târziu evident.
1. Înlocuirea certificatului.
Închideți orice resursă din browser. care utilizează https și uită-te la datele de certificat. Când clientul DLP este instalat, în secțiunea "Cale de certificare" va fi un certificat semnat de Falcongaze SecureTower.
Când este instalat, clientul SecureTower adaugă certificatul său autorităților de certificare a principalelor certificate de încredere.
În general, cu orice suspiciune, acest depozit poate fi vizualizat periodic - dintr-o dată găsiți ceva interesant.
2. Locația fișierelor.
Dacă căutați fișiere și directoare de instalare client vizual sau folosind mecanismul de căutare în Explorer (orice alt manager de fișiere) - cel mai probabil nu se va găsi nimic.
Dar există o cale de ieșire, totul se dovedește a fi mult mai ușor - noi luăm calea:
Această metodă este testată pe sistemul de operare Windows 7 și versiuni ulterioare.
4. Rețea.
Implicit. pentru a comunica cu serverul, Secure Tower utilizează portul 10500.
5. Procese.
Ca și în cazul directoarelor și fișierelor, clientul poate masca perfect procesele (dacă doresc) în Managerul de activități Windows.
Iată o listă cu cele mai probabile procese:
Pentru a le "strânge", trebuie să rulați Monitorul bun de proces vechi și să deschideți Arborele procesului - nimeni nu la lăsat încă.
6. Skype
După cum știți, multe sisteme DLP sunt capabile să intercepteze mesaje (unele, în special avansate - chiar și conversații de înregistrare) Skype. Probabil doriți să întrebați: Cum o fac? La urma urmei, protocolul Skype este criptat în siguranță, și nimeni (practic) nu se poate apropia de decriptare.
De fapt, înainte de decriptarea datelor transmise prin protocoale închise, cazul doar nu ajunge deloc. Clientul Secure Tower preia date direct din Skype în sine.
Metoda numărul unu. (clientul) înregistrează unul dintre modulele sale ca o aplicație de încredere pentru Skype. Acesta din urmă extrage datele utilizând un API documentat și deschis.
Puteți verifica Skype pentru invitații neinvitați selectând opțiunea de meniu Instrumente -> Opțiuni. -> Avansat -> Setări avansate -> Control accesul altor programe la Skype (verificat pentru Skype 6.20.0.104).
Fereastra "Program Access Control" va afișa toate aplicațiile care au acces la datele tale în Skype. Poate că, în tine, când ai deschis această fereastră, vei găsi multe lucruri noi și interesante!
În prezent, această metodă nu este practic folosită, deoarece toate (la marginea insolenței) s-au dus la metoda numărul doi.
Metoda numărul doi. Skype stochează istoria corespondenței SQLite DB în cele mai bune tradiții ale genului - în clar.
Locația fișierului bazei de date:
Acesta este fișierul pe care clientul DLP îl trage periodic.
Am pus întinderea
Porniți Monitorizarea procesului și creați un filtru nou:
Apăsați OK și așteptați să funcționeze. Într-un sistem perfect curat, cu excepția Skype în sine, nimeni nu ar trebui să acceseze acest fișier. Dacă sistemul are o "creatură vie" - așteptați nu va dura mult.
concluzie
Merită mereu în considerare faptul că dezvoltatorii nu sunt inactivi, sistemele DLP se îmbunătățesc în mod constant (mai complicate, se generează mai multe bug-uri noi) și metodele descrise mai sus pot să nu funcționeze pentru versiuni noi.
În plus, mult depinde de politicile de securitate, conform cărora clientul este configurat. Modulele separate (interceptarea mesajelor Skype, monitorizarea https-ului de trafic etc.) pot fi dezactivate și, în consecință, fiecare element separat nu poate da un rezultat de 100%.
Pentru a detecta software de acest tip, trebuie să utilizați întotdeauna o abordare integrată care include verificarea tuturor elementelor. În plus, folosind unele dintre aceste metode, este posibil să urmăriți nu numai Turnul Secure, ci și "concurenții" acestuia.
Articole similare
-
Cum să găsiți driverul de către sistemul de cod de dispozitiv
-
Întrebări de oftalmologie (viziune, sisteme de corecție etc.) - pagina 2
Trimiteți-le prietenilor: