Ошибка резидента.

[reytsman]

Многие условно правильно согласны с тезисом:

Гуглоамазоны относительно немногочисленны и вынуждены кое-как соблюдать видимость приличия. А вот мелких шакальчиков, готовых за лишние 0.001 цента затрахать тебя ковровыми "холодными звонками" и прочей лабудой - миллионы. Ну и какой-то процент от них реальные неадекваты, если вспомнить историю "Центра американского английского" например, там упорно шедшего к успеху бизнесмена утихомирила только удачная подача в черепушку.

И это правильно. Но вот шакальчики, могут только "затрахать", а вот другие ребята могут оставить без работы. Вот вам второй камент, про нашу реальность от наших читателей.
Только что получил новую IT Policy компании: "Browsing or downloading any material that could be offensive, discriminatory, illegal or pornographic"

Так что на рабочем компе твиттер, жж, дрим и фейсбук лучше не смотреть. Не говоря уже о том что б всякие Фокс Ньюз и Гейтвейта открывать.

Так, что "добровольно и с песней"

Comments

[alpinebear]

Тащемта ходить на подобные ресурсы с рабочего компа - изначально плохая идея. Нечего оставлять лишний повод к себе же приколупаться. Даже если там нет ничего предосудительного, неча работодателю давать лишние данные о себе.

Все то же самое отлично доступно со смартфона, если уж настолько надо.

[reytsman]

Всё так... но рабочий монитор больше.

[qvb]

RDP сессию на домашнюю машину - и браузить там.

Или можно создать виртуальную машину и сконфигурировать сеть так чтобы эта виртуальная машина работала через твой телефон.

Но ни в коем случае не добавлять ее в корпоративный домейн - там всякие нехорошие полиси могут быть.

[reytsman]

Это не у нас.... наши пока наверное просто смотрят...
Кстати, обычно к тех кто косо смотрит на разные сайты RDP тоже не очень любят.

[sivka2006]

Ага. Наши нетворкщики тоже выходящий RDP запретили, причем на уровне RDP протокола, смена портов не помогала. Пришлось им аудит устроить. Даже не пришлось, просто намекнул. Сразу оказалось, что для правильных пацанов есть отдельный канал. :-)

[reytsman]

Удобно. Наши в основном все в Индии...

[pan_netnet]

В ssh завернуть? Уж его-то кто блочить будет.

[sivka2006]

та хоть в DNS. Но его-же кто-то на той стороне должен разворачиват? А там просто винда стоит.

[pan_netnet]

Стоп. Какя полял проблема в том шо компани режет RDP. А вам надо подключиться к домашнему компу\впске\ еще чему-нить подобному, находящемуся вне юрисдикции провайдера. Следовательно поднимаем на домашнем ssh-сервер, пробрасываем порты - и подколючаемся. Данный протокол фиг блочить будут ибо так и корпоративную сеть похерить можно.

Ну или я не въехал в суть проблемы.

[sivka2006]

тут Винда7 и дома Винда7. Кто будет тут заворачивать, а дома разворачивать?

[pan_netnet]

Ну домашний мы заранее включаем и настраивам кошерно. Не делал такого на винде, но на бубунте ошень даже просто. Кстати, как раз для того шоб следить шо у работничков на мониторе делается так извращаться пришлось)))

[qvb]

>>>Кстати, обычно к тех кто косо смотрит на разные сайты RDP тоже не очень любят.

RDP надо делать через SSL, в этом случае на уровне нетворка будет виден только стандартный SSL траффик на 443, и понять что там внутри (RDP или просто веб браузинг) практически нельзя. Конечно если специально копать то можно заметить что паттерны траффика какие-то не такие, но отличить их от например прослушивания музыки затруднительно.

Делается такая инкапсуляция довольно элементарными средствами, тем же stunnel'ом или RD GW.

…
Кстати, еще один очень простой вариант - приноси собственный лэптоп на работу, и подключай к монитору - либо кабелем, либо используя Миракаст который сейчас поддерживается виндой.

На рабочей машине запускаешь Миракаст приемник (команда Connect), а на лэптопе включаешь wireless projection на эту рабочую машину. И все :-)

P.S. Но понятно что если контора полностью ебанутая и просто мониторит картинку на рабочих машинах то такого делать тоже не стоит - тогда только отдельный лэптоп/таблет.

[pan_netnet]

А ssh чем плох? Кто в здравом уме и твердой памяти его блочить-то будет.

[qvb]

>>>А ssh чем плох? Кто в здравом уме и твердой памяти его блочить-то будет.

В параноидальных конторах где блочат outbound RDP - там и ssh будет обычно закрыт.

Плюс SSH работающий через стандартный порт вызывает нездоровый интерес, поскольку сразу ясно что это такое. То же самое и с RDP.
А если в обертке SSL - то это выглядит как просто веб браузинг или прослушивание музыки через https.

Не говоря уже о том что поскольку в подавляющем большинстве контор используется винда, то для запуска веб браузинга через ssh нужно что-то вроде putty + Xming, плюс линукс хост на другой стороне. Тогда как RDP клиент в винде есть (почти) всегда.

[pan_netnet]

SSH блочат... Это ж любимый протокол админов. Куды они без него. И куды корпоративная сеть без админов? Не понимаю, как можно резать ssh... Ретроград и фашызд я)))))))

[qvb]

>>>SSH блочат... Это ж любимый протокол админов. Куды они без него.

Речь идет о простых офисных пейзанах а не об админах. Понятно что админы под ограничения обычно не подпадают - для них это все рабочие инструменты.

А вот простому офисному пейзанину SSH как бы без надобности, как впрочем и RDP (если VDI в конторе не используется).

[pan_netnet]

Стоп. А как на практике заблочить ssh?
Можно запретить все порты кроме 80 и 443, но тогда ssh-сервер можно повесить на 443 и проблема решена.
Можно поставить dpi, но это... скажем так затратно. И ради чего такой игрушкой обзаводит компани?

[reytsman]

Мне это дискуссия начинает напоминать старую историю... про хитрых товарищей, которые pdf привязали к первой машине на которой его открываешь и разрешили распечатку одной копии (если я правильно помню).
Мой шеф человек далёкий на тот момент от компьютеров, он тупо распечатал файл и отсканировал распечатку обратно в pdf.

Так и тут. Вся эта мышиная возня обнаруживается двумя тупыми действиями первое сканирование портов, что у нас куда идёт и не качают ли торренты. А вторая, это сброс списка запущенного софта (или вообще тупо просто установленного) с удалённых машин после чего сразу всё становиться понятно.

[pan_netnet]

Вот!!! Единствкнный рабочий вариант мотиторить установленный софт.

[qvb]

Как я сказал выше, SSH на стандартном порту вызывает нездоровое любопытство, да и закрыт порт 22 часто.

Но даже если SSH работает на нестандартном порту - то он элементарно ловится по определенной последовательности установления коннекшн, точно так же как и SSL. Детектировать такие вещи вовсе не дорого, потому что отслеживается только последовательность установления сессии, анализировать весь траффик не требуется.

Но SSL используется и для стандартных ежедневных вещей которые любой юзер делает (веб браузить, музыку слушать), тогда как SSH нет.

[pan_netnet]

Таки спасибо за просвещение.

Как понимаю ваш вариант rdp-сервер на условном дом. компе с поддержкой ssl,висящий на 443 порте.
Либо, что еще лучше, свой нет ввиде смарта.
?

[qvb]

Да, именно так.

В идеале - свой лэптоп/таблет со своей сим картой, как паллиатив - RDP через SSL.

[sivka2006]

только вот клавиатура и экраны этой виртуальной машины будут выдаваться через физическую, которая не под вашим контролем.

[qvb]

>>>только вот клавиатура и экраны этой виртуальной машины будут выдаваться через физическую, которая не под вашим контролем.

Речь не идет о создании защиты от прямой слежки прямо на десктопе, а о том как избежать рутинного мониторинга на уровне нетворк траффика (как это обычно и делается для веб браузинга).

Конечно если конторка настолько ебанутая чтобы гонять что-то вроде ObserveIT на всех рабочих местах, то тогда надо просто приносить свой лэптоп/таблет и пользоваться им, при надобности переключая кабелек монитора (можно добавить KVM за 25 долларов для удобства).

Но честно говоря если конторка настолько ебанутая что напрямую мониторит картинку на юзер десктопах - то непонятно зачем там вообще работать. Это уже за гранью добра и зла.

[sivka2006]

Еще раз, медленно. Если вы пускаете СВОЮ VM на корпоративном хипервизоре, то ваша VM пользуется неподконтрольными вам:
- клавиатурой
- видеовыводом
- сетью
- стораджем, включая всякие усб флешки
Короче, весь ввод-вывод не ваш и легко снимается.

Правильное решение - перегнать рабочую воркстейшн в VM, а на десктопе установить свой хипервизор. Тогда можно ставить свои неподконтрольные компании VM или браузить на самом хипервизоре.
Естественно, надо иметь свой канал и свой vpn дома.
Итого имеем свою VM на своем хипервизоре, открывший vpn домой через свой телефон. А рабочая воркстейшн крутится как VM,если вдруг захочется поработать.

[qvb]

>>>Правильное решение - перегнать рабочую воркстейшн в VM, а на десктопе установить свой хипервизор.

Это стандартное решение для повышения секьюрити и для создания chain of trust, но в данном случае так делать не нужно, и даже опасно.

Дело в том что если конторка настолько ебанутая чтобы мониторить экраны на рабочих станциях, то там наверняка стоят и системы детектирования не-домейнных машин. Если на рабочей станции будет стоять система не подключенная к домейну, то ее вычислят на раз-два, и юзера который так делает как минимум отпинают ногами, а как максимум - заберут машину, проверят что там есть, и выгонят с позором. Не за незаконный браузинг выгонят, а за то что подключал к компанейской сети левую машину на которой может быть все что угодно не одобряемое местными админами.

Я уже не говорю о том что в компании где настолько ебанутое руководство у юзеров возможности быть админом на своей машине просто не будет - именно для того чтобы не могли избавиться от домейных полиси и мониторингового софта.

…
Секьюрити - это риск менджмент, и для создания адекватной системы секьюрити нужно продумать от каких именно рисков хочется защититься, и какие constrains имеются. Из этого надо и исходить.

[sivka2006]

-- Если на рабочей станции будет стоять система не подключенная к домейну, то ее вычислят на раз-два,
Хе-хе. Еще раз хе-хе. А ведь для офиса представляться будет какраз та самая виртуализированная офисная VM, если нетворкинг в хипервизоре правильно настроить :-) А моя VM вообще в офисную сетку никак, у нее и интерфейса то туда не будет. А будет у нее интерфейс только в тот проводок, куда я свой телефон втыкаю, когда побраузить хочу. Ну или в блутусную затычку, вокнутую в усб слот прямо на мамку.

-- Секьюрити - это риск менджмент
Ухты. А в учебниках пишут, что это CIA. И последние лет 20 на всех трейнингах говорят, что CIA. :-)

А вообще мы все сильно усложняем. Надо просто стребовать отдельный ящик для производственных нужд и поднять на нем что-то принципиально не поддерживаемое IT, какаой-нибудь КАЛИ. И все.

[qvb]

>>>А вообще мы все сильно усложняем. Надо просто стребовать отдельный ящик для производственных нужд и поднять на нем что-то принципиально не поддерживаемое IT, какаой-нибудь КАЛИ. И все.

Можно конечно. В принципе это ничем не отличается от приноса личного лэптопа-таблета. Что я собственно и предлагал :-)

Просто для мэйнстримных случаев когда компания мониторит только нетворк траффик и RDP будет вполне ОК.

Да, и еще стоит подумать о том что случайно проходящий SJW ведь может заметить ненавистную картинку Брейтбарта на экране и побежать к руководству, и в этом случае наличие такой картинки на компанейской машине будет нарушением той самой полиси, тогда как личная машина есть личная машина. :-)

>>>Хе-хе. Еще раз хе-хе. А ведь для офиса представляться будет какраз та самая виртуализированная офисная VM, если нетворкинг в хипервизоре правильно настроить :-)

Вы что, думаете что я о такой конфигурации не подумал? :-)
Таких прошаренных умельцев вычислить тоже можно, и гораздо проще чем кажется :-)

Например - компанейская система работающая внутри VM будет ведь репортать информацию о хосте именно как о VM. Тот же SCCM или чем там данная компания пользуется соберет эту информацию, и она попадет в отчеты.
А вот реальная железная машина которая за этим пользователем числится как раз из инвентории исчезнет - что вызовет нездоровый интерес IT, потому как инвентори их как раз интересует.
А при первой же попытке прояснить эту непонятку все и выяснится.
Есть и другие моменты.

>>>Ухты. А в учебниках пишут, что это CIA. И последние лет 20 на всех трейнингах говорят, что CIA. :-)

Секьюрити - это именно риск менеджмент. Есть множество угроз для CIA triad, и дизайн системы должен защищать от этих самых угроз.
Для этого нужно вдумчиво проанализировать виды угроз для данной системы, и придумать как от них адекватно защититься. Это не гарантирует абсолютной защиты (абсолютной защиты вообще не существует), но можно уменьшить вероятность проблем.

Кстати, в обсуждаемом случае угрозой является в первую очередь обнаружение особо прыткого юзера админами, а также последующие кары от руководства (если админы найдут что-то предосудительное).
С точки зрения минимизации данной угрозы нужно:

а. Не создавать прямого нетворк-траффика к "нехорошим" хостам, поскольку скорее всего IT мониторит траффик
б. Не привлекать внимание необычными конфигурациями или левыми VM
в. Не иметь на машине ничего компроментирующего, или чего-то что может создать проблемы при обнаружении.

Личный лэптоп с интернетом через телефон с этой точки зрения оптимален - он ведь
личный (т.е. не в инвентори), к компанейской сети не подключен, да и потребовать его на обследование при проблемах IT не может - личное имущество.

RDP - тоже ОК, но только если картинка на десктопах не мониторится.

[sivka2006]

Секьюрити - это именно риск менеджмент.
-- все, я прекращаю спор.

(абсолютной защиты вообще не существует),
Хе-хе.

[qvb]

Так спорить тут не о чем. Я знаю что я прав, вы это собственно тоже знаете, так что обсуждать особо и нечего:-)

[reytsman]

Интересная у вас дискуссия... интересно, правило что "пароль должен быть достаточно коротким чтобы его успеть набрать до того как нагреется паяльник" оно исключительно российское или интернациональное?

[sivka2006]

исключительно российское

тут когда рассказываешь про анальный термокриптоанализ, глаза квадратные делают.

[reytsman]

Ну да, знание специфическое... говорят ЦРУшникам аж в Польше пришлось искать специалистов, по данному методу.

[sivka2006]

.. и польские специалисты оказались русскими гопниками..

[pan_netnet]

А зачем ЦРУ термо-ректальный? У них свои методы, не менее эффективные. Сенсорная депривация+сутки не спавши - все шо хоть раскажешь.

[reytsman]

Я сутки не спавши не то, что вспомнить пароль не смогу, а даже его в слепую набрать. ;)

[pan_netnet]

Вколют амфа и напечатаешь. Комплексная депривация - штука хитрая, посторять снова мало кто захочет.

[qvb]

Ну так к этому дело и шло.

Собственно - большие компании обычно мониторят кто что браузит, но если включили в официальную полиси - значит собираются устраивать репрессии.

[reytsman]

Ну теперь можно уже и у гугла спросить... все ходы то записаны.

[qvb]

>>>Ну теперь можно уже и у гугла спросить... все ходы то записаны.

Это спецслужбы у гугла могут спрашивать (и наверняка спрашивают), а отдельные компании пока что спросить чем там занимается JonhDoe пока что не могут (и думаю что долго не смогут).
Но вот мониторить траффик - это все делают, и давно делают. Для этого и продукты всякие есть, которые составят красивый репорт по каждому юзеру.

Но если включили в официальную полиси - это значит собираются устраивать репрессии. Может увольнять сразу и не будут, но это как предупреждение что мол теперь вы все под надзором.

[reytsman]

"Сам сознаешься, сволочь" HR ласково попросит загрузиться на их компе чтобы они могли сами посмотреть. ;)

[qvb]

>>>"Сам сознаешься, сволочь" HR ласково попросит загрузиться на их компе чтобы они могли сами посмотреть. ;)

В штатах?
Не верю (ц)

[reytsman]

При приёме на работе говорят уже случаи были.

Хотя самый хитовый случай при приёме на работу был, когда одна контора хотела нанять консультантов. Обо всём договорились скоро начинать, и тут они предлагают проверить консультантов на наркотики.... Контора которая поставляла консультантов сказали "конечно, безусловно, можете, ваше право... только не наших консультантов, найдите себе других и проверяйте до позеленения".

[qvb]

>>>Контора которая поставляла консультантов сказали "конечно, безусловно, можете, ваше право... только не наших консультантов, найдите себе других и проверяйте до позеленения".

В нашем штате такое говорят бывает - у нас МарьИванна разрешена, но в некоторых особо упоротых компаниях до сих пор старые правила и они пытаются требовать проверку на наркотики для нанимаемых людей. Говорят что у таких компаний большие проблемы людей искать :-)

Хотя есть и легитимные исключения. Например получение секьюрити clearance требует сертификации что кандидат не нарушает федеральных законов, а МарьИванна хоть и разрешена в штате но до сих пор формально является преступлением по федеральным законам. Так что желающим получить clearance приходится выбирать - или clearance или МарьИванна:-)

[pan_netnet]

Загрузить странички в соцсетях?

[reytsman]

Угу, прецеденты уже были... всего несколько, но в новостях проскальзывало.

[cybernatic_cat]

Странно, что только сейчас. Во всех трёх штатовских конторах, в которых мне довелось поработать, этот пункт был в полисях с самого начала.

[reytsman]

Ну может только сейчас вслух зачитали... а может было что и решили всем напомнить.

Но разделение будет как в совке (и до совка) один стукнет другой сошьёт дело третий вынесет приговор четвёртый отправит дальние края.