Задать вопрос
  • Какая CMS у сайта?

    webirus
    @webirus
    Тыжверстальщик! Наверстай мне упущенное...
    На какой движке реализован сайт?

    Все "определители" движков перерыл - не нашел ничего.

    То есть, это тебя не натолкнуло на мысль, что там нет CMS?

    ЗЫ: Хотя, похоже ты не искал https://itrack.ru/whatcms/ .

    Результат для домена ofeed.ru
    Обнаружена система управления сайтами MODx.

    ofeed.ru/manager страница не просто так закрыта htpasswd)))
    Ответ написан
    Комментировать
  • Как найти DLP агент в системе?

    @mink_h
    Доброго времени суток!
    Хочется поделиться своими наблюдениями - может кому и пригодится.

    Все нижесказанное будет относится к Falcongaze SecureTower.
    Несмотря на то, что клиент пытается любыми способами скрыть свое присутствие, все тайное, рано или поздно становится явным.

    1. Подмена сертификата.
    Отрываем в браузере любой ресурс, который использует https и смотрим данные сертификата. При установленном DLP-клиенте, в разделе "Certification Path" будет присутствовать сертификат, подписанный Falcongaze SecureTower.
    При установке, клиент SecureTower добавляет свой сертификат в доверенное хранилище корневых сертификатов (Trusted Root Certification Authorities).
    Вообще, при любых подозрениях, данное хранилище можно периодически просматривать - вдруг найдете что-то интересное.

    2. Расположение файлов.
    Если вы будете искать файлы и каталоги установки клиента визуально, или используя механизм поиска в проводнике (любом другом файловом менеджере) - скорее всего ничего так и не будет найдено.
    Но выход есть, все оказывается куда проще - берем пути:
    C:\Program Files\Falcongaze SecureTower
    C:\Program Files (x86)\Falcongaze SecureTower #для x64
    C:\Users\%username%\AppData\Local\Falcongaze SecureTower

    и по-очереди вставляем в адресную строку проводника - давим Enter.
    Если клиент присутствует - в открытом окне вы будете лицезреть его файлы и следы жизнедеятельности.

    Данный способ проверен на OS Windows 7 и выше.

    3. Реестр.
    При установке клиента Secure Tower, будет создан следующий раздел реестра:
    [HKEY_LOCAL_MACHINE\SOFTWARE\FalconGaze]
    Внутри данного раздела, если таковой существует, будет несколько подразделов. Из них можно почерпнуть немного дополнительной информации: путь установки, текущая версия, адрес сервера и порт подключения.

    4. Сеть.
    По-умолчанию, для связи с сервером, Secure Tower использует порт 10500.

    5. Процессы.
    Как и в случае с каталогами и файлами, клиент умеет отлично маскировать свои процессы (если захочет) в Диспетчере задач Windows.
    Вот список наиболее вероятных процессов:
    FgstEpaCss.exe
    FgstEpaCssHlp.exe
    FgStEPAgentSvcHost.exe

    Для того, что бы их "выщемить", нужно запустить старый добрый Process Monitor и открыть Process Tree - от него еще никто не уходил.

    6. Skype
    Как известно, многие DLP-системы умеют перехватывать сообщения (некоторые, особо продвинутые - даже записывать разговоры) Skype. Вы, наверное, хотите спросить: Как они это делают? Ведь протокол Skype надежно зашифрован, и никому (практически) не удалось приблизиться к его расшифровке.
    На самом деле, до дешифровки данных, переданных по закрытым протоколам, дело как-раз и не доходит вовсе. Клиент Secure Tower извлекает данные непосредственно из самого Skype.

    Способ номер раз: он (клиент) регистрирует один из своих модулей, как доверенное приложение Skype. Последнее извлекает данные, используя документированное и открытое API.
    Проверить Skype на наличие незваных гостей можно, выбрав пункт меню Инструменты -> Настройки... -> Дополнительно -> Расширенные настройки -> Контроль доступа других программ к Skype (проверено для Skype 6.20.0.104).
    В окне "Контроль доступа программного интерфейса" будут перечислены все приложения, которые имеют доступ к вашим данным в Skype. Возможно, у себя, открыв данное окно, вы найдете много чего нового и интересного!
    В настоящее время данный способ практически не используется, т.к. все (в край обнаглели) перешли к способу номер два.

    Способ номер два: Skype хранит историю переписки БД SQLite в лучших традициях жанра - в открытом виде.
    Путь расположения файла БД:
    C:\Users\%username%\AppData\Roaming\Skype\[имя_пользователя_Skype]\main.db

    Вот именно этот файл периодически и дергает DLP-клиент.

    Ставим растяжку
    Запустить Process Monitor и создать новый фильтр:
    ----------------------------------------
    | Column | Relation | Value   | Action |
    ----------------------------------------
     Path      contains   main.db   Include

    Нажать OK и ждать, пока сработает. В идеально чистой системе, кроме самого Skype, к данному файлу никто обращаться не должен. Если в системе завелась "живность" - ждать придется недолго.

    Заключение
    Всегда стоит учитывать тот факт, что разработчики не сидят сложа руки, DLP-системы постоянно совершенствуются (усложняются, порождается большее число новых багов) и методы, описанные выше, могут не сработать для новых версий.

    Кроме этого, многое зависит от политик безопасности, согласно которым настроен клиент. Отдельные модули (перехват сообщений Skype, контроль https трафика и т.д.) могут быть отключены и соответственно, каждый отдельный пункт не может дать 100%-го результата.

    Для обнаружения ПО такого рода всегда следует использовать комплексный подход, который включает проверку по всем пунктам. Кроме этого, используя некоторые из данных методов, существует вероятность отследить не только Secure Tower, но и его "конкурентов".

    P.S. В завершение обращаюсь ко всем, кого заинтересовал данный вопрос: если Вам известны другие способы (методы, действия и т.д.) по обнаружению DLP-клиентов - пишите здесь (думаю, что автор вопроса будет не против). Любая информация всегда будет полезной!
    Ответ написан
    1 комментарий
  • Разница между id и class?

    Комментировать
  • Разница между id и class?

    teotlu
    @teotlu
    Навёрстываю упущенное
    Во многих методологиях рекомендуется вообще не использовать id в CSS, чтобы избежать боли с весами селекторов. Лучше используйте в стилях всегда классы, а id оставьте под нужды программистов.
    Ответ написан
    Комментировать
  • Есть ли аналоги translate.google для озвучивания текста?

    @Larsen4893
    Самые лучшие на данный момент голоса по синтезу речи Татьяна и Максим от IVONA: https://www.ivona.com/ Сам прослушал множество книг таким образом.
    Ответ написан
    6 комментариев
  • VeraCrypt ломает флешку?

    @laxikodeje
    Объем информации что шифрованной, что нешифрованной - не шибко отличается.
    С большой вероятностью ломает флешку что-то другое: ваши дикие объемы данных, неисправный USB-порт на компьютере, статические электричество у вас в кармане и т.п.
    Ответ написан
    1 комментарий
  • Какой генератор паролей надежный?

    @LAG_LAGbI4
    keepass
    Ответ написан
    Комментировать
  • Есть ли другие способы двухфакторной аутентификации?

    RFC 4226
    RFC 6238
    оба реализуемы в виде ПО для телефона, оба не требуют "светить" номер

    следующий этап паранойи - они же, но в аппаратной реализации:
    https://yandex.ru/images/search?text=etoken%20otp
    Ответ написан
    Комментировать
  • Как хранить пароли удобно и правильно?

    saboteur_kiev
    @saboteur_kiev Куратор тега Системное администрирование
    software engineer
    Критичные сервисы - локальный менеджер паролей или файликами на маленьким криптодиске.
    Некритичные множественные сервисы - придумать алгоритм создания пароля, с участием примет ресурса.
    ssh - ключи и выкинуть пароли.
    Ответ написан
    Комментировать
  • Антивирус для сервера?

    amc
    @amc
    Быстрый, надежный, малотребовательный. Выберите любые два.
    Также, цены на память в 2011 году н.э. просто небывало низкие.
    Ну и в третьих — ставите Касперского, сканите все диски чтобы все файлы были проверены и не проверялись без модификации, переставляете в режим максимального быстродействия, без проверки архивов и прочего.
    Ответ написан
    Комментировать
  • Есть ли в природе виртуальная машина с диагностикой сети на уязвимости?

    @Klukonin
    Боже мой, сколько ответов и ни одного нормального.

    Возьмите OpenVAS. На сайте у них есть уже готовая виртуальная машина.
    Да, ее нужно немного подточить напильником и поставить кое-какие пакеты (внутри debian).
    Работает исправно. Обновлять базу уязвимостей лучше из консоли.
    Ответ написан
    Комментировать