Содержание
- 1 Примеры защиты от шпионов
- 2 Обнаружение, удаление и защита от слежения онлайн-мониторинга шпиона Kickidler.
- 3 1. Установка
- 4 2. Мониторинг происходящего на экране
- 5 3. Скринкасты с экранов сотрудников
- 6 4. Учет рабочего времени
- 7 5. Уведомления об аномалиях и инцидентах
- 8 6. Кейлоггер. Автоматический поиск по ключевым словам
- 9 7. Другие функции
- 10 8. Невидимость пользователям
Примеры защиты от шпионов
Шпион Kickidler автоматически ведёт мониторинг за работой интересующих компьютеров, отслеживает нажатия клавиш, движение мыши, ведёт запись видео. Всегда можно отслеживать и своевременно реагировать на действия пользователей параллельных компьютеров. Шпион сохраняет всё видео рабочих столов пользователей, получает информацию с какими программами и сайтами работал человек и сколько времени.
Обнаружение, удаление и защита от слежения онлайн-мониторинга шпиона Kickidler.
В этой статье будет рассмотрена очередная программа для онлайн шпионажа. Она для нас интересна ещё и тем, что в отличие от других, её разработчики, понимая угрозу для неё со стороны маскировщика, добавили внутренний функционал, который блокирует вход в защищенную платформу антишпиона Mask S.W.B. Конечно это интересный ход, для попытки защиты репутации своего продукта, но это не поможет, так как маскировщик спокойно выявляет и блокирует, различные методы слежки, не заходя в платформу. А онлайн-мониторинг, который использует Kickidler, считается простым для обнаружения из всех методов слежения. И так начнём, по пунктам:
Обнаружение слежки Kickidler:
Достаточно открыть программу Mask S.W.B и посмотреть в сетевой монитор главного окна. Если в нём процесс grabber.exe имеющий активное соединение, то это значит, за вами ведётся онлайн наблюдение, с помощью программы Kickidler.
При добавлении этого процесса в базу угроз, онлайн слежка моментально прервётся, на момент работы маскировщика. Во всех новых версия этот процесс занесён в базу угроз по умолчанию.
Компьютер наблюдателя не сможет восстановить с вами связь. Но пытаться сделать это, будет постоянно.
Так же программа Kickidler использует в системе службу для передачи данных с именем NGS, процессы grabberAgent.exe и grabberSubAgent.exe при открытии мониторов Mask S.W.B они выявляются сразу. Ниже в статье это будет продемонстрировано.
Отключение блокировки Kickidler входа в платформу защиты Mask S.W.B:
Нужно открыть окно “Процессы системы” в нём сразу увидим красным цветом три процесса от Kickidler, grabber.exe, grabberAgent.exe и grabberSubAgent.exe, нажимаем правой кнопкой мыши на процесс grabberAgent.exe и в контекстном меню выбираем пункт “Добавить в базу завершения процессов”. Такие же действия производим и с процессом grabberSubAgent.exe, подтверждаем всё кнопкой сохранить. Процесс grabber.exe не трогаем, оставляем работать и удаляем его имя из базы угроз, чтобы открыть доступ к системе в момент работы маскировщика.
После произведённых действий можно спокойно заходить в платформу защиты Mask S.W.B, при этом шпион Kickidler останется в работе. На экране следящего за вами, будет виден ваш рабочий стол до захода в защищённую среду. И то, что вы будите делать внутри платформы маскировщика, Kickidler увидеть не сможет.
Отключение слежки Kickidler:
Чтобы полностью отключить слежку от Kickidler на своём компьютере, даже с выключенным маскировщиком, и с возможностью при необходимости её восстановления. Нужно открыть монитор “Службы системы” и в списке, можно будет увидеть, пункт, выделенный красным цветом с названием службы ngs, которую использует Kickidler для сбора и передачи информации. Отключив этот сервис через контекстное меню программы, наблюдение будет, остановлено полностью.
После отключения шпионской службы, пропадут и вспомогательные процессы grabberAgent.exe и grabberSubAgent.exe, используемые программой Kickidler для сбора информации. Которые можно было увидеть в мониторе “Процессы системы” до её отключения, и так же по ним идентифицировать за собой слежку. Эти процессы скрывают себя от стандартного диспетчера задач Windows, но маскировщик видит их даже в своём обычном мониторе процессов системы, не прибегая к специальным функциям по поиску скрытых процессов.
Когда слежка нейтрализована полностью, можно спокойно входить в платформу защиты программы Mask S.W.B без каких либо преград, и получать полноценную комплексную защиту.
Восстановления слежки Kickidler:
Для восстановления за собой слежки, если это понадобится, в окне “Службы системы” нажать кнопку “Всё службы” в списке желтым цветом, будут выделены службы, находящиеся в базе угроз, не активные в данный момент. Нужно найти службу ngs и запустить её через контекстное меню списка, выбрав пункт “Изменить задачи служб” далее “Пуск”.
После произведённых действий шпионская служба заработает и запустит все дополнительные процессы, которые использовала ранее, но доступ к вашему компьютеру, получит только когда вы закроете программу маскировки Mask S.W.B.
Удаление слежки Kickidler:
Для полного удаления слежки от онлайн мониторинга Kickidler с вашего компьютера. В окне “Службы системы” программы Mask S.W.B, нужно нажать правой кнопкой мыши на шпионскую службу ngs и в контекстном меню списка, выбрать пункт “Открыть папку службы”.
Удалить всё содержание открывшийся папки, предварительно остановив эту службу, через контекстное меню списка служб системы.
Слежка от программы онлайн мониторинга Kickidler будет удалена полностью.
Таким образом, можно обнаружить, остановить, восстановить или удалить онлайн слежку от программы Kickidler.
Скачайте программу антишпион — маскировщик Mask S.W.B и проверьте – осуществляется ли за вами слежка при помощи онлайн-мониторинга Kickidler
Вернуться назад
Помню, как, будучи офисным ещё, по большей части, работником, я читал и хейтил обзоры подобных программ, включая некоторые из тех, про которые сам сегодня пишу (за 10 лет рынок софта этой категории не так уж сильно поменялся). Потому что офис, и работа на «дядю», и даже на родное государство уже тогда ассоциировались с несвободой и даже, в какой-то мере, принуждением. Для превращения этих грустных будней пост-советского инженера в настоящую тоталитарную антиутопию только слежки за тем, что я делаю за компьютером, и не хватало. Но времена менялись. Постепенно становясь крепче как специалист, приобретаешь некоторую свободу выбора задач и проектов, и, как следствие, работа становится интереснее, а условия труда эволюционируют в сторону поддержки продуктивности, а не посещаемости. Впрочем, не все должны быть фрилансерами, вот и я не стал, но удалённые проекты средней продолжительности стали моей более-менее регулярной подработкой. И отношение к трекерам, внезапно, тоже поменялось: я уже не только лояльнее отношусь к условию работы с трекером, но и сам могу предложить это в определённых случаях. Дело не только в требованиях рынка, который вынуждает подстраиваться — так я могу продемонстрировать и своё отношение к работе, и саму работу, включая её трудоёмкость, реальное количество времени, которое она требует. Один из заказчиков прислал мне собственный разбор-анализ приложений следящего софта CleverControl, Kickidler, StaffCop, Teramind, Time Doctor и «Стахановец». Они выбирали софт для контроля за сотрудниками для собственного офиса, поэтому, кроме прочего, в списке пунктов анализа есть «невидимость пользователям». В принципе, если не давать заказчику удалённо админского доступа к своему компу, то простым подрядчикам волноваться особо не о чем.
1. Установка
CleverControl.Kickidler Здесь подробно: kurets.ru/zanudnye-obzory/134-obzor-kickidlerStaffCop. После регистрации приходит письмо с ссылками на дистрибутив с сервером. Сервер базируется на ОС Ubuntu 16.04. Вариантов поставить на сервер с ОС от Microsoft нет. Кроме как использовать гипервизор Hyper-V или VmWare. Для простоты был выбран образ для VmWare. После запуска виртуального сервера настраивается сетевой интерфейс, если не знаком в ОС линукс могут возникнуть проблемы. После все настроек на виртуальном сервере, переходим на веб-интерфейс по адресу сервера. Выставляем пароль для администратора. На следующем шаге активируем программу. После можно приступать к работе. Для установки агента на компьютере, за которым будет вестись контроль, нужно скачать установочный файл из раздела “Панель управления” Сама установка агента трудностей не вызывает.Teramind. Есть возможность использовать сервер в облаке от Терамайнд, но стоимость лицензий в два раза выше, чем на Сервере. Поэтому выбрал вариант установки локального сервера. Устанавливается только как виртуальные сервер на гипервизоры Hyper-V или VmWare. При первом запуске виртуалки нужно выполнить настройки сети, выполняются настройки скриптом, который запускается при логине пользователя консольно на сервере. Установочный файл агента скачивается с веб-интерфейса сервера, установка простая.«Стахановец». После регистрации пришло письмо, ссылки в котором были не активны. Для перехода по ним пришлось залезть в тело сообщения и вытаскивать ссылки из него. На этом трудности не закончились. Прочитав инструкцию и то, что для работы необходимо иметь SQL сервер. Был выбран вариант установки “в один клик”. Скачав пакет установки и запустив его, кстати двумя кликами. Запустилась окно консоли виндовс и я стал ждать. В окне долго ничего не происходило, для проверки, а работает ли оно был нажат пробел. И о чудо в консоли появились сообщение о выполнении шагов скрипта. По ходу установки пришлось после каждого шага скрипта нажимать пробел для продолжения установки. После установки сервера на рабочем столе компьютера появилась папка с дистрибутивом агента. Установка самого агента трудностей не вызывает. При работе с веб интерфейсов необходимо установить дополнительный модуль, для использования полного функционала, который работает только на ОС Windows. А значит работать с веб-интерфейсом на MacOS не получится. В программе есть 2 веб-интерфейса: Босс-онлайн – для функций онлайн-просмотра и Босс-оффлайн (для функций просмотра истории).Наблюдение за экраном в «Стахановце»
2. Мониторинг происходящего на экране
CleverControl. Онлайн-мониторинг в принципе удобный. Как и в терамайнде экраны добавляются на дашборд (до 16 экранов). Можно настроить что будет показываться рядом с экраном. Можно настроить список показываемых уведомлений.Kickidler. Функция онлайн-мониторинга есть. Можно мониторить одновременно очень много пк, создавая вкладки по отделам. Можно настраивать алерты. Которые будут показываться под экраном пользователя. Например при посещении подозрительного сайта. Программы, файла с подозрительным заголовком. Можно переключиться на экран определенного сотрудника и увидеть, какие программы и сайты у него открыты. Онлайн-мониторинг доступен только во вьюере (программа просмотрщик). В веб-интерфейсе он недоступен. Вообще отличие кикидлера от других прог в том, что у него есть и вьюер и веб-интерфейс. Это и хорошо и плохо. Хорошо потому что можно мониторить сколько угодно экранов, вьюер дает дополнительные возможности. Плохо, что это лишние заморочки. StaffCop. До 9 мониторов, можно подключиться к любому из них, реалтайм алертов, уведомляющих о нарушениях, нет. Есть интеграция с AD – юзеры создаются автоматически. Главный минус – ограниченное число мониторов, за которыми можно наблюдать. Плюс – можно удаленно подключиться к любому из мониторов. Teramind. Мониторы всех сотрудников показываются на дашборде. Можно посмотреть, что делает сотрудник онлайн, растянуть его экран, не переключаясь на него. Уникальность функции в том, что сразу из онлайн-просмотрщика можно посмотреть, что делал сотрудник в прошлом. Как в плеере.Онлайн-мониторинг в Teramind«Стахановец». Есть возможность, но подключение только к одному монитору. Открывается на все окно. Никаких алертов нет, да и они не нужны. Когда смотришь на 1 экран. Можно открыть список скриншотов на данный момент активных экранов.Скриншоты экранов в «Стахановце»
3. Скринкасты с экранов сотрудников
CleverControl. Видеозаписи экранов нет, есть только скриншоты. Делаются автоматически при смене окон (сайт, программа). Есть фильтр по используемым приложениям. Вот в таких случаях могут делаться снимки:Kickidler. Программа записывает на видео всю историю действий персонала за пк. Уникальность ее в том, что видео хранятся в проиндексированной базе данных, то есть, к сохраненному видео можно применять фильтр по сайтам или программам. Это очень удобно, не нужно смотреть всю запись рабочего дня, чтобы что-то найти определенное. StaffCop. Программа делает скриншоты, с настраиваемой периодичностью. Возможно настроить программу так. Чтобы она делала скриншоты при смене окон (сайт, программа). Запись видео есть, по умолчанию выключено, нужно включить через панель управления. Видео нужно скачивать для просмотра, просмотр через веб-интерфейс программы невозможен. Видео пишется кусками по 1-10 минут, при необходимости посмотреть нужный отрезок – нужно выбрать его на шкале времени и скачать. Немного неудобно, особенно когда не знаешь точно, в какое время происходило событие.Видео рабочего стола в StaffCopTeramind. По умолчанию программа каждые 10 минут делает скриншоты экранов. Их можно посмотреть в разделе Screen snapshots. Также скрины можно распечатать. Видимо чтобы ткнуть нерадивого сотрудника в каку. Из скриншота можно выгрузить видео. Например, если вы нашли скиншот, на котором открыт сайт по поиску работы, можно ткнуть по нему и посмотреть видос, что реально искал на сайте сотрудник. Также можно посмотреть видео почти по каждому событию на дашборде, будь то сайт или приложение. Достаточно кликнуть на значок видео и прога покажет видео с момента начала взаимодействия с этим сайтом. «Стахановец». Скриншоты с заданной периодичностью делаются. Из них можно соорудить видео (ну если быть честным, то просмотр слайдшоу). Слайдшоу можно посмотреть в вебинтерфейсе программы. Слайдшоу можно посмотреть за выбранное время. Фильтра по взаимодействию с сайтами или программами нет. При необходимости можно опционально подключить запись видео. Которое в зашифрованном формате будет складироваться на ПК подопытного. Опять же – нет возможности смотреть это видео через веб интерфейс, — только конвертировать и смотреть в мп4.
4. Учет рабочего времени
CleverControl. Стандартного учета рабочего времени (с прогулами опозданиями и перерывом) в программе нет. Есть отчет по времени, с учетом активности, а также различные отчеты по использованию сайтов, приложений, принтеров, внешних носителей и т.д.Kickidler. Функция есть, неудобство в том, что она не интегрирована с рабочим календарем и в ней нельзя задавать перерывы.StaffCop. Все стандартно – назначаешь расписание каждому сотруднику: начало, конец дня, начало перерыва, конец перерыва, есть календарь, где можно назначать праздники и выходные. В целом – удобно. Есть отдельные отчеты по опозданиям и сверхурочным.Teramind. Данная функция есть, она объединена сразу с функцией анализа эффективности. То есть, отчет показывает приходы и уходы сотрудника вместе с тем, насколько продуктивно сотрудник использовал рабочее время. Там же можно задать индивидуальный шаблон рабочего дня для каждого сотрудника.График работы сотрудника в TeramindTime Doctor.
Зазкачик или начальник может посмотреть не только, сколько времени вы уделяли работе, но и где:«Стахановец». Есть интеграция со СКУД, что неплохо. При подключении к СКУД показывается, например, время когда включил комп и когда пришел на работу. И все это в веб интерфейсе программы. Индивидуальный календарь для каждого сотрудника можно задать через глобальные настройки или через мастер отчетов. Время начала и время окончания перерыва не назначается, просто задается перерыв, например. 60 минут.5. Уведомления об аномалиях и инцидентах
CleverControl. Функции уведомлений об аномалиях я не нашел, есть вкладка «Тревога», но она не настраивается и на сайте о ней не сказано. Единственный плюс программы в этом направлении – с помощью нее можно блокировать нежелательные сайты.Kickidler. Есть функция «Контроль нарушений», которая фиксирует посещение нежелательных сайтов, открытие программ и файлы с установленными заранее заголовками. Есть небольшой преднастроенный список. Уведомления о нарушениях видны в панели нарушений, при онлайн-мониторинге (внизу экранов сотрудников), а также при просмотре видео. Любопытно, что при тестовом заходе на xvideos программа отнесла сайт к категории “funny”. Видимо, так прога отреагировала на «video» в заголовке.StaffCop. Нашел только алерты на долгую неактивность и удаленное подключение. Наверняка есть что-то еще, но где спрятано – хз.Teramind. В принципе в программе это все интересно реализовано, можно для каждого сотрудника или отдела создать личный список аномалий и также настроить что делать с сотрудником при обнаружении аномалии. Либо уведомить шефа либо заблочить нахрен комп сотрудника. Есть 26 преднастроенных правил. Например, 50 минут сидишь в соцсетях или напечатал 20 страниц. Вот такие могут быть аномалии: А вот такое атата за них:«Стахановец». Есть анализатор рисков, с преднастроенной базой. Терроризм, наркотики, религия вот это все. Файлоообменники. Показываются уведомления, когда человек производит подозрительные действия или набирает подозрительный текст. Уведомления могут приходить на почту через смс или в телегу. Был реальный прикол, когда по слову «план» прилетали алерты на бухгалтерию. Программа отнесла это слово к нарко сленгу. Вот как это выглядит:
6. Кейлоггер. Автоматический поиск по ключевым словам
CleverControl. Кейлоггер в программе есть, есть поиск по словам. Настройки уведомлений, что сотрудник написал <начальникнейм козел> нет.Kickidler. Кейлоггер есть, он интегрирован с просмотром истории. То есть, можно одновременно смотреть видео что делал сотрудник и видеть, какие клавиши при этом он нажимал. Уведомлений при наборе слов <начальникнейм козел> не приходит, но есть поиск по ключевым словам.StaffCop. Кейлоггер есть, поиск по ключевым словам есть. Есть возможность выгрузить в эксель логи всех нажатий клавиш.Teramind. Функция кейлоггера в программе есть. Его можно разместить на дашборде в любом удобном месте. И поиск по ключевым словам – тоже есть. Единственная проблема – программа через раз схватывает кириллицу. Для нас это критическое замечание.«Стахановец». Отдельного кейлоггера как такового нет, но есть общая лента активности, где видно что сотрудник набирал на клаве. Ну и анализатор рисков присылает алерты по ключевым словам.
7. Другие функции
CleverControl. Запись диалогов в скайпе, скриншоты и видеозапись с вебки, отслеживание активности в соцсетях, запись микрофонов, мониторинг съемных носителей, контроль печати на принтере, удаленная деинсталляция. Kickidler. Анализ продуктивности, динамика продуктивности, рейтинг сотрудников, удаленный контроль пк, детали дня и т.д.StaffCop. Просмотр переписок, контроль файлов и процессов за ПК. Программа действительно показывает все запущенные даже системные процессы на ПК сотрудника, перехват паролей, перехват буфера обмена, Контроль сетевого трафика по протоколам HTTP/HTTPS, этакая мини DLP-система. Перехват писем и вложений, отправленных из почтовых веб-сервисов. Контроль файловых операций. Контроль подключений и отключений USB-устройств.Teramind. Анализ продуктивности, контроль передаваемых файлов, контроль почты, удаленный доступ к рабочему столу, контроль мессенджеров. Еще бы программа была русифицированной и схватывала кириллицу – цены бы ей не было. Самая современная, на мой взгляд, архитектура. Дашборды, на которых можно помещать удобные вам отчеты. Time Doctor. Куча разных интеграций: Включая пресловутый «Битрикс-24»: Но для меня главным бонусом оказался Payoneer: «Стахановец». Программа по функциональности похожа на Стаффкоп. Это этакая СУРВ и недо-DLP. Есть анализатор сайтов, программ, контроль буфера обмена, запись звонков, запись с вебкамеры, контроль usb, геолокация (показывает, где находится владелец ноута), и еще одна громкая функция – клавиатурный почерк, которая должна определять пьян человек или трезв. На самом деле пустышка – срабатывает, когда просто начинаешь медленнее печатать.
8. Невидимость пользователям
CleverControl. Скрытого режима нет, но прога хитро прячется. Обнаружить так:
Kickidler. У программы есть два режима работы: скрытый и открытый. При скрытом режиме прога в процессах не видна. Однако ее можно найти в службах;)StaffCop. Скрытого режима нет! Агент программы и директория вот такие 🙂 Teramind. Скрытого режима у программы нет. Подобно Стахановцу, прога прячется в реестре. Но следы ее найти удалось. Вот они: «Стахановец». Программа хитра и следов в процессах не оставляет. Прописывается в реестре. Но следы ее найти можно. Вот они: Используемые источники:- https://www.kumaser.com/ns35.html
- https://habr.com/ru/post/450236/