Год-полтора назад со мной связался человек, который работает в сапорте одной компании, производящая и внедряющая софт для контроля за действиями пользователей в компаниях. И на условиях анонимности он был готов ответить на любой вопрос, который я ему задам. На своём стриме я устроил интерактив, где подписчики задавали ему вопросы, на которые он потом ответит мне в личных сообщениях. У меня всё не дотягивались руки, чтоб довести сырой "вопрос-ответ" до вменяемого вида и эта статья была закинута в дальний ящик. Настало время разгребать старые обещания и дописать статью... Орфография сохранена.
-- Кто обычно заказывает подобный софт?
-- Заказчики разные. Госуха, бизнес, частники. В основном бизнес, как и крупный 5к агентов, так и мелкие 10 - 50 - 100. С госухой сложнее так там надо одорение ФСЭК и ФСБ, которого у нас нету, не все госухи могут работать без этого условия.
-- Какие данные больше всего интерсуют заказчиков?
-- Зависит от конторы. Больше всего всех интересует перехват переписки в почте, месседжерах, скайпе, SIP, перехват паролей и пр. Интересно обстоит по месседжерам. Например телегу перехватить изи, при условии что это десктоп-версия. Агент может свободно шариться в локальной БД клиента телеграм и дергать от туда, все что нужно. Толку от того, что трафшифрованый, когда там все открыто. Ватсап перехватить намного труднее, по сути перехват заключается в скринах и кейлогере. Дискорт тоже самое. Перехватывает на изи, тупое MITM он не замечает подмены сертификата. XMPP можно перехватить. Но даже если есть шифрование, то оно бесполезно, так как есть кейлогер + скрины. Так же часто хоят видеть учет рабочего вренени сотрудника и его продуктивности. Есть катализатор действий, который показывает чем был занят сотрудник - типа посещал развлекательные рессурсы, игрушки играл или как хороший сотрудник весь день чета делал в CRM, сколько писем отправил и сколько звонков совершил. По почте тож интересно. Ладно если это корпорат почта, но если сотрудник введет свои логин/пас от почты, то графер агента выкачеет с ящика письма. По перехвату посещений веба, то например что ггулхром, что фаерфокс - не замечают подмены серта. А вот Яндекс браузер, не открывает странички, так как сравнивает серты локальные с теми что у него в БД. Так же заказчиков интересует мнение сотрудников о руководстве. Директора фирм, часто хотят знать что о них пишут сотрудники. Можно настроить срабатывае на опреженные слова или сочетания. По перехвату файлов, по разному. ГуглДиск, мега, майл-облако перехватывается на изи. Трудно с Яндекс.Диском. Так же сисетма на лету пытается расшифровать архивы, если они под паролем, при условии слабых паролей. Для HR-менеджеров, особый интерес представляет посещение сотрудникам, сайтов по поиску работы. Те на это по разному реагируют, либо общаются почему и зачем искал, может что не устраивает, а бывает что это как красная тряпка для них и руковдтва, что с этим сотрудником пора прощаться и его под разными предлогами пытаются уволить или "выживают" с местра работы.
-- Какова мотивация внедрения подобных технологий?
-- Наша мотивация в заключается в после продажной установке и настройке системы. Т.е. чем больше агентов у заказчика, то больше шекелей и получиш. Вообще и так ЗП норм. Чтобы получить препию надо постараться, есть некий порог в сумме, которую надо переступить, чтобы тебе дали денег.
-- Отказывали ли вы заказчикам в установке софта и по каким причинам?
-- Я не заведую делами продажи. Да и такие вопросы не решаю. Мое дело, чтобы все работало. Частные случаи есть с зарубежными заказчикаи, например индусы. Они хирые и от них много проблем в техническом плане. На них уходит много времни работы тех поддержки.
-- Хочеца шобы вейланд на нвидию был
-- Да. Это было бы здорово) Но по секрету наш продукт отключает вейлент в гноме) с ним он работает очень криво и не перехватывает часть событий. Так что юзайте линуск с вейлондом)
-- Знаете ли вы конторы подобной направлености, и много-ли их?
-- Да. Этот сегмент рынка добольно большой. Есть порядка десятка вендоров такого ПО. У каждого свои фичи, ктото крупнее, кто меньше. Ну например, СОЛАР от Ростелекома, или СерчИнформ, или Контур безопасности
-- Информация остаётся в компании или передаётся куда-то ещё?
-- По соглашению, эта инфа заказчка, он может делать с ней все что угодно. Были заказчки, которые просили помочь разобраться c REST API и запросами в БД. Как понял, они пилили что то свое на основе нашей системы. ВОзможно это кудато и уходило. Так же есть случаи когда у заказчика нет мощностей и мы даем ему свои серваки. Тогда по соглашению, мы можем использовать данные в своих технических целях. Например для обучения нейронок. Нейронки учатся распазнаванию обектов на скринах, фоток с вебок, голосу. Сейчас есть особая задача, обучить нейронку распознавать факт фотографирования экрана. Когда чел что-то фотает с монитора. Ну и еще одна важная задача, это научиться определять подмену сотрудника на рабочем месте где нет вебок по его поведению при печати на клавиатуре. Типа все люди печатают по разному и уникально с разными таймингами, кол-вом ошибок и пр. На сколько знаю, такая разработка пока что есть только у ростелекома, но она еще в тестировании.
-- Какой самый популярный девайс с этим бэкдором софтом?
-- PC с Windows 10 и MacOS) C линем сложнее, большинство функций агента на лине работают только на Ubuntu. Но например был недавно интересный кейс с иследованием возможности работы на Gentoo) Но там не все так просто. Не все модули там работают нормально.
-- Были-ли случаи когда сотрудников ловили за руку с помощью этого софта? Если да, то чем заканчивалось?
-- Да, таких случаев много. В основном это вороство ресурсов и материалов. Было как то что спалили, воровство топлива с крупной сети АЗС. Там было интересное раследование. Айтишник заказчика, каким то образом нашел дырку в их софте, который управляет заправочными колонками и учетом топлива в их ПО. Он сделал некий патч, который надо было запускать перед тем как совершить злодеяние. Он договорился с операторами АЗС они запускали этот модифицированый софт, в то время как на заправке стояла тачка с бочками и сливали топливо. Но в системе учета это не отображалось. Таким образом, они напиздили сотни тон бензина и дизеля. Когда их СБ увидела, что куда то деется топливо просили помочь разобраться, мы увидели, что там где это происходит есть странная файловая активность с одними и тем же файлом. Натравили систему так, то когда это проиходит, запускалось запись экрана, вебки и звука. Что потом стало с этими людми не знаю, но заказчкик сказал, что раскрыв это они окупили систему в три раза. Еще было, что сработало обнаружение ключвых слов. Чел хотел получить откат - по настроеному фильру сработало оповещение. Ищи еше случай, была бухалтерша которая очень обиделать на руководство. Она скопировала важные файлы себе на флеху, а потом дропнула их с помощью спецальной тулзы по безвозвратному удалению (Не знаю откуда она про нее узнала - наверное подстказали). Так как был факт копирования на внешний носитель - файлы копирнулись и на сервак. От туда их быстро восстановили, а там дальше пошло какое то разбирательство.
-- Каково среднее количество девайсов в доме\офисе\итд?
-- Зависит от заказчка. Минималка 10, максимум 5к.
-- Как софт технически реализован?
-- По тех части все довольно просто. Агенты пишутся на С++, там есть сетевой и файловый драйверы, которые и выполняют большую часть работы. Серверная часть, на линухе, с postgresql, написана на питоне. Для ускорения постоения отчетов используется ClickHouse от яндекса. Всеп управляется через веб-морду. По перехвату посещений веба, то например что ггулхром, что фаерфокс - не замечают подмены серта. А вот Яндекс браузер, не открывает странички, так как сравнивает серты локальные с теми что у него в БД.
-- Как-то настраивал по работе чекпоинтовский маршрутизатор, который подменял сертификаты, чтоб слушать трафик. Довольно распространёная тема не только для различных CRM
-- Что бы именно ты хотел рассказать? По любому же была какая-то точка кипения, после которой ты начал думать о том, что хотел бы рассказать правду массам
-- Да, была такой момент. В целом посыл такой, чтобы люди были юридически подкованы и читали, что подписывают. А если без их ведома шпионят за ними - били треводу. Ну и за общее техническое развитие. Там где я работаю, очень интересные технические задачи, но то чем я занимаюсь - не этично, не смотря на кажущиюся важность дела, в виже пресечения краж, махинаций и прочего
-- Вот ещё у меня такой вопрос есть. Многие компании, производящие длп/ипс/ваф и прочие завязывают свои бюджетные разработки на облаках. Злоупотребляли ли хранением массива данных на централизованном облаке государства, компании или хакеры, как это делают с 365?
-- Почти все госы это закрытые сети, и этот софт крутится на их железке. Облака это в основном для бизнеса, т.к. там дешевле - не надо тратиться на админов. Xотя честно сказать, продукт бывает дыряв - xss присутсвуют)
-- Сертифицированные ФСТЭК и ФСБ решения, по идее, вообще должны крутиться только на железках компании заказчика
-- В плане фстек и фсб - заказчки используют астра линукс, либо росса. Был недавно закусь с альт линукс, они возмущались тем, что наш продукт стоит дороже чем их ОСь xD. Но например, одна из крупных нефтяных компаний, скоро будет использовать генту). Но наш продукт к этому не готов xD. Я думаю, такое решение связано с большим количество идинакового железа
-- Если есть что ещё рассказать, то не стесняйся этого делать
-- Ну и в целом, деньги там дикие крутятся. В общем, как будет стрим, дай знать
-- Спасибо огромное за интервью тебе