Infowatch personal monitor руководство

Infowatch как обнаружить на компьютере

Недавно главный инфобезопасник конторы проболтался, что на офисные компьютеры некоторых избранных сотрудников нашей конторы (3 категории: особо отличившиеся, работающие с очень закрытой информацией и те, которых «готовят на выход») негласно устанавливается ПО infowatch, которое отслеживает всю их переписку, их походы в интернет, что они печатают и что они записывают на съемные носители. Слово «негласно» несколько напугало и в связи с подслушанным стало очень интересно, это ПО действительно может быть установлено так, что «жертва» ничего не заметит? Как можно обнаружить присутствие этого ПО на собственном ПК? Нужны ли админские права для выявления этих «троянцев»? Наконец, как можно их обезвредить, желательно так же негласно.

Нет, конечно всю «левую» (ту, которой у меня на компе не должно быть по моей работе, банальный пример — анкеты на визу) и закрытую (которую, по идее, я не должен забирать с работы но ведь иногда бывает необходимо что-то срочно сделать к следующему утру) информацию я пишу на носители, перезагрузившись с Hiren’s boot CD (да, эту лазейку пока не перекрыли), но не хочется из-за каждой мелочи перезагружать комп.

Что скажет уважаемое сообщество?

	От:	wildwind
Дата:	17.02.17 21:23
Оценка:	+2

Здравствуйте, teapot2, Вы писали:

T>это ПО действительно может быть установлено так, что «жертва» ничего не заметит?

Иначе оно не стоило бы своих денег, не так ли?

T>Как можно обнаружить присутствие этого ПО на собственном ПК?

Если это не твой профиль, то скорее всего никак.

T>Нет, конечно всю «левую» (ту, которой у меня на компе не должно быть по моей работе, банальный пример — анкеты на визу) и закрытую (которую, по идее, я не должен забирать с работы но ведь иногда бывает необходимо что-то срочно сделать к следующему утру) информацию я пишу на носители, перезагрузившись с Hiren’s boot CD (да, эту лазейку пока не перекрыли), но не хочется из-за каждой мелочи перезагружать комп.

А почему лазейку не прикрыли, не задавался вопросом? Видимо, для того, чтобы отслеживать, кто ей пользуется. Вообще держать что-то левое на компе в конторе с такими порядками это главная ошибка. Наверное, ты уже либо в первой, либо в третьей категории.

Работал я в такой конторе. Очень неприятно. Свалил с радостью.

	От:	teapot2
Дата:	23.02.17 18:00
Оценка:

	От:	Michael7
Дата:	23.02.17 23:10
Оценка:

Здравствуйте, teapot2, Вы писали:

T>Я загрузил древнюю XP-шку с сидюка, сеть в этой конфигурации не настроена, никакие проги с жесткого диска не запускаются и драйверы не грузятся. Не могу себе представить, что в этих обстоятельствах кто-то может контролировать инфообен компа с его периферийными устройствами типа USB-портов. В «подземные стуки» я не верю.

Я не знаю как устроена эта софтина и что она может, но в принципе предположение, что никакие проги не запускаются до загрузки с CD-ROM неверное. Это возможно, BIOS вполне может что-то такое запускать. В UEFI это даже почти штатная возможность.

T> Собственно, почему и написал сюда.

Если качествено сделано хрен простыми способами обнаружишь. Но для начала можно взять прогу вроде Process Explorer и изучить весь список запущенных процессов (и автостартуемых) после старта системы. Кто что чего и откуда. Отдельно не грех проверить процесс svchost — настоящий ли он, кем запущен.

	От:	wildwind
Дата:	24.02.17 12:42
Оценка:

Здравствуйте, teapot2, Вы писали:

T>Здравствуй, wildwind, спасибо за ответ, но хотелось бы понять, ты ответил со знанием дела (то бишь обсуждаемого продукта) или исходя из общих соображений, которые показались тебе разумными во время составления ответа?

Из общих соображений и личного опыта. С данным продуктом знаком только по описаниям.

T>каковы признаки присутствия этого софта? Он ставится как сервис или как-то еще? По какому протоколу он общается со своим шпионским центром?

Как правило, это драйвер или несколько, сервис и GUI процессы для информирования и управления. драйвера могут быть скрыты с использованием rootkit техник.

T>Я загрузил древнюю XP-шку с сидюка, сеть в этой конфигурации не настроена, никакие проги с жесткого диска не запускаются и драйверы не грузятся. Не могу себе представить, что в этих обстоятельствах кто-то может контролировать инфообен компа с его периферийными устройствами типа USB-портов. В «подземные стуки» я не верю.

	От:	Vasiliy2
Дата:	27.02.17 09:03
Оценка:

Здравствуйте, teapot2, Вы писали:

T>. отслеживает всю их переписку, их походы в интернет, что они печатают и что они записывают на съемные носители.

Конкретно с этой системой не знаком, но, зачастую, они, помимо прочего, делают снимки экрана и отсылают на базу. При недоступности сети они их складывают в укромное местечко, чтобы потом, при появлении возможности, скинуть их куда надо. Соответственно, отключив на некоторое время сеть (возможно на несколько дней), можно получить на диске скопление определенных файлов. Затем утилитой от sysinternals (не помню как она называется, возможно FileMonitor) можно пробежаться по диску и найти области файлов. Нужные будут лежать большой заметной однотипной кучкой, утилита покажет где они находятся. Глянув эти кучки можно определить точно там скриншоты или что-то безобидное. Точной информации метод может не дать, но как один из вариантов расследования может применяться.

	От:	ShaggyOwl	http://www.rsdn.org
Дата:	07.03.17 19:35
Оценка:	+4

Здравствуйте, teapot2, Вы писали:

T>Недавно главный инфобезопасник конторы проболтался, что на офисные компьютеры некоторых избранных сотрудников нашей конторы (3 категории: особо отличившиеся, работающие с очень закрытой информацией и те, которых «готовят на выход») негласно устанавливается ПО infowatch, которое отслеживает всю их переписку, их походы в интернет, что они печатают и что они записывают на съемные носители. Слово «негласно» несколько напугало и в связи с подслушанным стало очень интересно, это ПО действительно может быть установлено так, что «жертва» ничего не заметит? Как можно обнаружить присутствие этого ПО на собственном ПК? Нужны ли админские права для выявления этих «троянцев»? Наконец, как можно их обезвредить, желательно так же негласно.

T>Нет, конечно всю «левую» (ту, которой у меня на компе не должно быть по моей работе, банальный пример — анкеты на визу) и закрытую (которую, по идее, я не должен забирать с работы но ведь иногда бывает необходимо что-то срочно сделать к следующему утру) информацию я пишу на носители, перезагрузившись с Hiren’s boot CD (да, эту лазейку пока не перекрыли), но не хочется из-за каждой мелочи перезагружать комп.

T>Что скажет уважаемое сообщество?

* Весомая часть софта в корпоративной среде разворачивается прозрачно для пользователя, через групповые политики.
* Класс систем о которых ты говоришь называются DLP (data leak prevention). infowatch является производителем одной из (https://www.infowatch.ru/dlp).
* Великого смысла в проверке установлен ли у тебя агент dlp на компьютере не вижу. Если есть сомнения, считай, что установлен.
* Бороться и обходить их не надо, во избежание прямого конфликта с безопасниками. (Обоснование — взять документы домой, поработать, при разборе полётов будет выглядеть наивно.)

Upd. Необходимо понимать, что с точки зрения безопасника ситуации отключаются радикально:
* вынос документов
* вынос документов с предварительной попыткой отключения/обхода инструментов обеспечения безопасности

	От:	Somescout
Дата:	10.03.17 19:44
Оценка:

Здравствуйте, Michael7, Вы писали:

M>Если качествено сделано хрен простыми способами обнаружишь. Но для начала можно взять прогу вроде Process Explorer и изучить весь список запущенных процессов (и автостартуемых) после старта системы.

Это если есть права админа. И если они есть, то у их безопасников реально странные представления о безопасности (хотя, конечно, возможность загрузки не с системного диска на «защищённом» ПК — это уже facepalm).

Источник

InfoWatch Traffic Monitor. По лезвию багов и фич

«Игорь, у него ДВА сердца. »

Анна Попова, руководитель Блока DLP ГК Инфосекьюрити, продолжает делиться своими впечатлениями от использования разных DLP-систем. В прошлой статье она рассказала о плюсах и минусах решения КИБ SearchInform. Сегодня, как и было обещано, поговорим про линейку продуктов InfoWatch. Только давайте сразу определимся, что на объективное сравнение мы не претендуем.

Вообще сложно понять, что такое объективное мнение о системе. Объективные характеристики – это соответствие DLP-системы техническим требованиям заказчика, требованиям ФСТЭК и т.п., а также соотнесение их с необходимыми мощностями. Все прочее – субъективно, ибо реальность такова, что функциональность, которая у одного клиента «взлетела», у другого упадет. И уж тем более не приходится говорить об объективном превосходстве одной системы над другой, если речь идет о её эксплуатации аналитиками. Кому-то нравится один интерфейс, кому-то другой, кому-то не нравится выгрузка событий, кому-то она не важна.

Про продукт DLP от компании InfoWatch сказано много; много копий сломано вокруг него. Мнения встречаются самые разнообразные – от самых полярных до нейтральных. С течением времени и компании, и продукту довелось пройти долгий и тернистый путь развития, отрастить не одну полезную функцию и даже попасть в «магический квадрант» Gartner. Так попробуем же разобраться, чего удалось достигнуть продукту, так ли он хорош (или плох), как о нём говорят.

Архитектура (who is who)

Прежде всего нужно понять, с чем мы работаем. Программный комплекс InfoWatch Traffic Monitor состоит из следующих компонентов:

InfoWatch Traffic Monitor – основной компонент, отвечающий за сетевой перехват и анализ перехваченных данных (собранных по сети и с агентов). Работает на RHEL/CentOS 6. Также отвечает за отрисовку веб-интерфейса, который является основной точкой входа для офицера ИБ при работе с системой.

InfoWatch Device Monitor – этот компонент отвечает за управление агентами (в том числе за агентские политики). Работает на Windows Server. Имеет отдельную консоль управления, которую можно инсталлировать на любую машину с Windows – главное, чтобы был открыт сетевой доступ до сервера Device Monitor.

InfoWatch Crawler – модуль, дающий возможность сканирования указанных пользовательских каталогов и сетевых директорий. Работает на Windows Server (может быть установлен на машину с сервером Device Monitor), но интерфейсно интегрируется в веб-консоль Traffic Monitor и управляется оттуда же.

InfoWatch Vision – опциональный компонент, позволяющий существенно упростить процесс расследования инцидентов ИБ за счёт визуализации. Представляет события из Traffic Monitor в виде автоматически перестраиваемых интерактивных графиков. Работает на Windows Server и базируется на платформе QlikSense.

InfoWatch Person Monitor – также опциональный модуль, предоставляющий функционал контроля рабочего времени. Работает на Win Server, берёт свои корни от легендарной, в некотором роде, системы «Стахановец».

Функционал блокировки

Так как система носит гордый статус DLP (что, напомним, означает Data Leakage Prevention – предотвращение утечки данных), в первую очередь рассмотрим «классический» функционал для таких систем – предотвращение. Что же может предложить нам рассматриваемый программный комплекс?

Даже в минимальной инсталляции (Traffic Monitor, Device Monitor) функционал достаточно богат: возможна блокировка почты, предотвращение записи на съёмные носители по результатам контентного анализа или по белым спискам носителей, запрет запуска приложений, запрет использования FTP. С подключением модуля Person Monitor функционал несколько расширяется: добавляется возможность очистки буфера обмена, запрет загрузки файлов в интернет.

Неподготовленному пользователю будет сперва непросто разобраться во всём многообразии различных консолей управления: так, одной из особенностей при работе с системой является необходимость «включения» некоторых каналов перехвата в Device Monitor.

В целом, функционал предотвращения не вызывает вопросов, здесь есть, где разгуляться; хотя самым требовательным клиентам, наверное, всё же придётся обратиться к более гибким конкурирующим продуктам. Что касается функционала учета рабочего времени, то в IWTM он реализован оригинальным, но достаточно удобным способом.

Функционал контроля рабочего времени

Рынок DLP, особенно в странах СНГ, сегодня не ограничивается исключительно функционалом предотвращения. Системы DLP мало-помалу вбирают в себя функционал другого класса продуктов – систем мониторинга рабочей деятельности сотрудников.

Рассматриваемый продукт не стал исключением и тоже вобрал кое-что. Насколько качественно?
Контролировать сотрудников можно при помощи модуля Person Monitor – начиная с кейлогера и заканчивая видео с рабочего стола, а также контролем веб-камеры и звука с микрофона. Однако не всё так радужно. Выше упомянуто, что данный модуль является интерпретацией нашумевшего «Стахановца». Отсюда и минусы – например, абсолютное отсутствие интеграции с остальными модулями комплекса и гарантированное покрытие «полным контролем» лишь пятидесяти машин. Особое умиление доставила защита БД – шифрование не нужно, данные в базе хранятся всего лишь в изменённой кодировке. «Чтобы никто не догадался. »

Кстати, касательно умилений: при первом открытии веб-интерфейса Person Monitor предупреждает, что соединение не зашифровано (обычный http, то бишь) и предлагает ссылку на мануал, по которому каждый может сам себе настроить https. Почему этого было не сделать «из коробки» – неясно.

Ещё есть очень интересная функция распознавания голоса в текст. Реализовано это через API Google, что для многих заказчиков будет проблемой: во-первых, требуется подключение сервера к интернету, а во-вторых, не каждый согласится передавать свою конфиденциальную информацию третьей стороне.

При проведении расследований по собранной Person Monitor’ом информации мы испытывали дискомфорт, потому что привыкли работать со всей доступной информацией со всех доступных каналов и по всем сотрудникам. К тому же местный поиск по насниффанным кейлогером данным обладает лишь самым базовым функционалом – например, есть морфология, но интересные и сложные правила текстового поиска построить не удастся. Тем не менее, на небольших объёмах трафика и в малых компаниях с этим всем вполне можно жить.

С технической точки зрения Person Monitor состоит из агента, собирающего данные с рабочей станции пользователя, сервера с БД (MSSQL), где эти данные потом хранятся, и Apache для Windows, отрисовывающего веб-интерфейс системы. По запросу пользователя составляется SQL-запрос, и его результат предстаёт перед юзером в виде html-страницы отчёта.

Говоря о малых и больших компаниях, плавно переходим к ещё одному модулю – Vision. Он был словно создан по нашему заказу – позволяет упорядочить перехваченные Traffic Monitor’ом данные для наглядного представления и помимо этого даёт возможность на лету перестраивать запросы. Всё это возможно не в последнюю очередь благодаря платформе QlikSense, оперирующей вытянутыми из Traffic Monitor событиями в оперативной памяти сервера Vision.
События нужно подгружать раз в определённый промежуток времени – например, каждую ночь, поскольку выгрузка больших объёмов данных занимает продолжительное время.

Общее впечатление

Рассматриваемая система, как и любая другая, не лишена недостатков. К сожалению, до сих пор остаются некоторые «детские болячки», тянущиеся с ранних версий (например, перечисленные проблемы Person Monitor’а); некоторые решения выглядят спорно – не всегда понятно, баг это или фича (разобщённость консолей и использование разных БД для хранения событий). Если вам необходим упор на какой-то конкретный функционал, а не комплексное решение, рекомендуется продолжить изучение рынка DLP.

Когда-то мы начали изучение рынка DLP именно с InfoWatch Traffic Monitor, поэтому минусы сразу бросились в глаза:

Нас порадовало стремление вендора реализовывать доработки для потенциальных клиентов, т.е. без наличия обязывающих договорных отношений. Это абсолютно реальный пример: через полгода после обсуждения кучи доработок, заявленных нами на пилоте в одном из клиентов, мы увидели их в реализованном функционале, что было крайне приятно.

Причем, IW один из немногих вендоров, который внимательно относится к обсуждению таких проблем, не отфутболивает по тегу – а зачем это нужно, вы первые, кто спрашивает об этом и т.п. (Саша Клевцов, передаем тебе отдельный привет и самые лучшие пожелания :)).

В сухом остатке имеем достаточно сбалансированную систему, закрывающую большинство требований самых занудных заказчиков и не обладающую завышенными системными требованиями. InfoWatch последовательно «прокачивает» свой комплекс, добавляя новые крутые функции. Остаётся только аккуратно сшить их между собой :).

Анна Попова, руководитель Блока DLP, ГК Инфосекьюрити
Никита Шевченко, руководитель группы инженерного сопровождения Блока DLP, ГК Инфосекьюрити

Источник

Обходим DLP систему или как обмануть безопасников, которые читают почту на работе

Самым популярным способом обмена корпоративной информацией на сегодняшний день остается электронная почта. Именно там работники отправляют скан-копии документов, проекты на согласования, приглашают на встречи, информируют о событиях и т.д. Иногда переписку по электронной почте приравнивают к официальной переписке между организациями на уровне писем от первых лиц. Поэтому этот канал передачи информации является объектом пристального внимания со стороны представителей отделов/служб ИБ (они следят за утечкой конфиденциальной информации) и экономического блока безопасности (они следят за перепиской, ищут откаты, сговоры, поиски новой работы, подделку документов и т.д.)

Немного о теории. Вы наверняка замечали что ваша почта не доходит сразу до контрагентов и/или же злые дяди из службы безобразности интересуются той или иной вашей отправкой спустя какое-то время, особенно если вы отправляете какие либо персональные данные без использования принятых мер защиты. Эти обстоятельства говорят о том, что в вашей организации установлена какая либо так называемая DLP-система. Не вдаваясь в технические подробности приведу информацию из вики :

Система предотвращение утечек (англ. Data Leak Prevention, DLP ) — технологии предотвращения утечек конфиденциальной информации из информационной системы вовне, а также технические устройства (программные или программно-аппаратные) для такого предотвращения утечек.DLP-системы строятся на анализе потоков данных, пересекающих периметр защищаемой информационной системы. При детектировании в этом потоке конфиденциальной информации срабатывает активная компонента системы, и передача сообщения (пакета, потока, сессии) блокируется или проходит но оставляет метку.

Давайте посмотрим как можно определить установлена ли одна из таких систем у Вас в организации. Для того чтобы узнать установлена ли у Вас в организации такая система слежения в первую очередь можно посмотреть заключенные договора на покупку или сопровождение таких систем. Среди них ищем самые популярные компании разработчики:

и менее популярные:

Если же и эти способы не помогают, то понять что за вами следят можно уточнив у получателя по телефону – долго ли к ним поступают письма (только в случае блокировки письма до отправки), а можно спросить у друзей-айтишников установлена ли система контроля почтовых сообщений в организации. Можно еще конечно попытаться найти запущенные процессы на вашем компьютере, т.к. агенты системы (компоненты системы) слежения устанавливаются персонально на все АРМ’ы работников, но дело в том, что эти процессы умело скрываются под стандартные процессы MS Windows и без должного уровня знаний определить процесс запущенный агентом будет довольно сложно.

Теперь давайте рассмотрим каким образом, мы сможем обойти эту систему. Помните, что реализация приемов из статьи зависит от конкретных настроек DLP и возможна к реализации только путем проб и ошибок. Так что на своей страх и риск.

Самое главное не пытайтесь обойти системы, попытавшись сделать шрифт документа белым или пытаясь скрыть листы и сроки в документах MS Exel, все это сразу увидят товарищи чекисты!

1. Отправка после окончания рабочего дня.

Самое простое и банальное, что может получится это просто отправить Ваше письмо на нужный адрес электронной почты после окончания рабочего дня. Данный метод успешен в случае, если система настроена на перехват почтовых сообщений, например, с 9-00 до 18-00 по рабочим дням и их блокировку в указанное время. Это связано с тем, что товарищи безопасники, которые смогут в случае чего разблокировать застрявшее письмо также как и Вы работают по трудовому договору те же часы, что и Вы, поэтому после окончания рабочего дня они отключают систему или она останавливается автоматически. Вы можете проверить актуальна ли эта настройка отправив пару безобидных сообщений после 18-00 и посмотреть дойдут ли сразу сообщения, которые например не доходили сразу втечении рабочего дня. Сразу скажу не самый лучший вариант, т.к. в независимости от результата отправки в системе останется след того, что Вы отправили, и в случае грамотного мониторинга системы безопасниками они увидят Вашу отправку.

2. Удаление слов маячков

3. Архив с паролем.

Данный метод заключается в шифровании документа в стандартном *.rar архиве и направлении на электронную почту. Сразу отмечу, что архив под паролем сразу вызывает подозрения и во многих системах блокируется, и даже расшифровывается. Чтобы максимально обезопасить себя необходимо:

а) При установке пароля на архив поставить галочку на значении “шифровать имена файлов”. Это необходимо для того чтобы имена файлов в архиве были не видны до открытия архива паролем.

Таких виртуальных клавиатур полно в интернете. Стоит отметить что Вы можете как угодно экспериментировать – набирать неправильный пароль, стирать, перемещать символы, при этом в системе слежения будет отображаться полная каша.В поле отображать пароль при вводе галку лучше не ставить – так как в системе может быть установлен модуль фотографирования вашего монитора.

3. Кодируем онлайн

Для передачи документа проще всего использовать онлайн-сервисы обмена файлами, для примера мы рассмотрим www.rgho.st

Заливаем наш файл “База контрагентов.docx” туда и получаем ссылку:

Теперь нам необходимо зашифровать ссылку и передать ее письмом. Для примера шифрования используем онлайн-сервис http://crypt-online.ru/crypts/aes/ с симметричным антигоритом AES. В поле текста вставляем адрес нашей ссылки, выбираем размер ключа шифрования 128-256 бит. Вводим пароль, в данном случае “itsecforu.ru”, нажимаем кодировать и получаем шифрованный текст:

Копируем полученный результат и отправляем в электронном сообщении, сообщив пароль и длину ключа по альтернативному каналу связи (телефону). Получатель проделывает обратное преобразование, вводит шифрованный текст и пароль и получает ссылку:

4. Cтеганография онлайн

Для того чтобы не отправлять подозрительный зашифрованный текст мы также можем использовать стеганографию онлайн. Подумайте какие документы Вы чаще всего отправляете контрагентам (акты сверок, счета и т.д.) и вставляйте в тело этих файлов код. Для примера мы будем использовать карточку предприятия и онлайн сервис http://stylesuxx.github.io/steganography/. Карточка предприятия в формате обычной картинки, где указаны реквизиты организации. Загружаем карточку (файл karto4ka.png), вставляем текст, который хотим зашифровать (все та же наша ссылка) и жмем “Encode”

Далее идем вниз страницы и сохраняем полученный файл, отправляем контрагенту электронным письмом.

Получатель проделывает обратное действие. Загружает файл “karto4ka2.png” и нажимает “Decode” и получает желанную ссылку.

Вдобавок можно использовать portable утилиты стеганографии, рассмотрим их в следующих статьях

Примечание: Информация для исследования, обучения или проведения аудита. Применение в корыстных целях карается законодательством РФ.

Источник