SyavaSyava: Если человек прошареный, то он сразу заметит, что сертификат поддельный, потому что вчера он был выдан GoDaddy, а сегодня - Рога и Копыта, Inc
SyavaSyava: Еще как определю - по сертификату выдавшего его УЦ. Коситься могут оттого, что данный УЦ выдает сертификаты например без достаточной проверки.
Сертификаты выдаются не только домену. Сертификат доменного имени - частный случай. И к МитМ ("человек посередине") сертификат имеет опосредованное отношение - его задача подтвердить, что ты зашел на www.google.com, если говорить под доменные имена, что ты получил письмо от Уильяма Гейтса, если говорить про почту, что ты соединился с тем узлом, который тебе нужен, если говорить про VPN-сертфиикаты.
Сертификаты от Let's Encrypt опасны тем, что им могут тупо не доверять. Потому что доверять или не доверять определенному УЦ - дело производителя и не во всех устройствах можно добавить свой корневой сертификат.
Вытащить можно только имея админские права. Потому как сертификат состоит из двух частей - собственно сертификата и ключа сертификата и работать одна часть без другой не будет. Собственно сертификат он вообще всем рассылается при установлении соединения.
Василий: Я всегда на мониторе яркость чуть ли не в ноль выставляю. Сейчас у меня на том мониторе, за которым я это пишу - ViewSonic VP2365-LED яркость - 10, контрастность - 66
Дмитрий Байчапанов: Да я уже дядя взрослый, мне секретарь в дочери годится :) "Был бы ты моложе лет хотя б на тридцать..." :) тогда бы наверное и салфетка понадобилась...
У Стахановца есть одна проблема, про которую я много тер по ушам разрабам, но нифига не сдвинулось. Слушающего порта у агента нет. Поэтому определить, что на таком-то компе агент был, но пропал можно только проверив наличие службы. Пришлось наваять скриптец на VBS, который сканит "Сетевое окружение" и чекает каждый комп. Если мыло скажешь - могу отправить.
andrey71: Отдельного перехвата почты по веб-мордам нет - это слишком надо глубоко копать, да и SSL не позволит. Можно два варианта - 1) настроить захват экрана почаще на отдельных юзеров 2) найти среди клавиатурного ввода пароль к почте и смотреть просто в самой морде. Захват клавиатурного ввода довольно кривенький - но пароли опознаются обычно как повторяющиеся комбинации.
ЛанАгент ацтой. Я его тестил и сразу понял, что на него даже время жалко.
Вряд ли. Там совет сводится к включению безопасного режима, который активируется для залогиненного пользователя. Достаточно просто не логиниться - и не будет безопасного режима.
Focster: Похоже на NAT на роутере. Я OpenWRT не знаю, но полагаю есть у нее вебморда, где можно NAT либо вырубить - но тогда внутренние IP окажутся снаружи, либо настроить чтобы проходило снаружи
lacredin: Про то, какой дистрибутив. Потому что он него существенным образом зависит, как запускаются программы при старте. Если есть /etc/.rc.d или /etc/init.d - то в них обычно стартовые скрипты или ссылки на них, имя скрипта обычно совпадает с именем программы
Ключевой момент "где нет винды" понятен? На шлюзе порт открывается на роутере - следовательно атакующий должен проломить ось роутера, то есть найти уязвимость в ядре. RDP открывает порт прямо на винде - и атакующий имеет возможность атаковать саму винду. Винда такая штука загадочная и настолько там все друг с другом повязано, что дыра в одном месте, казалось бы совершенно не относящимся сюда, может вылезти внезапно.
pavlyk: значит отправка без авторизации, только и всего. В корпоративных сетях такое сплошь и рядом. Это как бы не нормально, но когда писали RFC822 - не предполагали, что найдутся люди, которые этим воспользуются. Изначально Интернет был сетью профессионалов...
