Okiem wielkiego brata - inwiligacja pracowników w firmie.pdf - Haking - ddwrobel

Obrona

Okiem wielkiego brata

– inwigilacja pracowników

w irmie

Rafał Podsiadły

stopień trudności

Inwigilacja to dyskretne obserwowanie osób albo miejsc

przez system monitoringu cyfrowego, system kontroli wejścia

i wyjścia, a także przez prywatnych detektywów, policję. Pojęcie

to rozszerza jeszcze informatyka o zdalną kontrolę systemów

informatycznych.

mienia, stref strategicznych dla irm,

wojska i rządu. Chociaż stosowana jest

na szeroką skalę, zapobiegawczo i nagmin-

nie, bez naszej wiedzy, to jak mówi deinicja

dyskretnie. Istnieje także inwigilacja jawna, w

której osoba jest informowana o zamontowa-

nym monitoringu, niezależnie od wykorzysty-

wanych form: czy to jest monitoring, podgląd

urządzeń komputerowych, czy pomieszczeń

przez kamery przemysłowe, chociaż nie są to

jedyne formy inwigilacji.

Inwigilacje można podzielić ze względu na

wybrany system na:

tego rozwiązania należy wybrać miejsca, któ-

rych nie można ominąć, takich jak: korytarz w

irmie, krawędzie budynku, wejścia. Przed in-

stalacją takiego systemu należy dokładnie za-

planować rozmieszczenie kamer, następnie

dobrać ich parametry do konkretnego miej-

sca, wybrać rodzaj systemu oraz rodzaj ka-

mer. Na rynku jest bardzo dużo gotowych ze-

stawów, kamera/y + system zgrywający. Nie

jest to jednak rozwiązanie najlepsze, gdyż in-

ną kamerę zamontujemy na korytarzu, a inną

na podwórku – jeśli nie wiemy więc na co się

zdecydować, zalecam konsultację z fachową

obsługą. Sam montaż takich urządzeń nie jest

trudny, jednak trzeba pamiętać o odpowied-

• kamery przemysłowe (DVR),

• systemy dostępu, czytnika kart chipowych,

czytniki linii papilarnych, czytniki tęczówki

oka,

• systemy komputerowe – stanowisko pracy.

Z artykułu dowiesz się

• jak rozpoznać inwigilowany komputer,

• jak prowadzić inwigilacje,

• jak się zabezpieczyć.

Kamery przemysłowe

Jest to system monitoringu obrazowego; mo-

że opierać się o urządzenie zgrywające ob-

raz lub komputer, w którym zamontowana jest

karta DVR. System taki ma przede wszystkim

charakter dozoru. W przypadku korzystania z

Co powinieneś wiedzieć

• wiedzieć co to DVR,

• orientować się w zdalnej administracji.

hakin9 Nr 5/2007

www.hakin9.org

T a rozległa problematyka dotyczy ludzi,

Okiem wielkiego brata

nim ukryciu i umiejscowieniu kame-

ry w odpowiednim miejscu, tak, aby

złodziej nie mógł jej zniszczyć albo

przynajmniej utrudnić mu takie dzia-

łania, np: uchwycić jego sylwetkę

przed zniszczeniem kamery.

Oczywiście, taki system może

być zaawansowany, zawierać w so-

bie wiele kamer i urządzeń wspoma-

gających, jak chociażby czujniki ru-

chu. Jednak docelowe zadanie tego

systemu jest typowo defensywne,

nie zabezpieczy on stanowiska pra-

cy, może jedynie nadzorować prace

osób siedzących przy danym stano-

wisku. Uruchamiając system profe-

sjonalnego monitoringu dobrze jest

oprzeć go o dobrej jakości komputer

i solidną kartę DVR. Najnowsze kar-

ty umożliwiają wybór kodowania ob-

razu i dźwięku, jeśli istnieje taka po-

trzeba. Można także zarządzać ka-

merą włączając nagrywanie w przy-

padku pojawienia się ruchu, a wy-

łączając w razie jego braku. Moż-

na ustawić podgląd z kamery w taki

sposób, aby reagował na ruch w da-

nym miejscu, a omijał na przykład

poruszane przez wiatr drzewa. Do-

datkową opcją, już teraz spotyka-

ną w kartach DVR, jest automatycz-

ne wywoływanie alarmów, gdy na

kamerze pojawi się ruch w godzi-

nach zastrzeżonych. Można zdei-

niować określoną akcję, taką jak te-

lefon na Policję i odegrać komunikat

z wcześniej nagranego pliku. W za-

leżności od programu obsługujące-

go kartę, występują także opcje wy-

syłania powiadomienia na mail ze

zdjęciem z zaalarmowanej kamery,

a nawet powiadomienie przez sms.

Wszystko zależy od tego, ile gotów-

ki chcemy i możemy poświęcić na

taki system.

tych systemów ma swoje plusy i mi-

nusy. Czytniki kart chipowych moż-

na łatwo podrobić, wystarczy zdo-

być kartę z odpowiednimi upraw-

nieniami na kilka sekund i odczytać

jej zawartość lub skopiować na dysk

komputera (za pomocą SmarTach

D-Box v.USB lub RS232 – prostych

kart chipowych). Jest to dość nie-

bezpieczne, gdyż nasze karty ban-

komatowe są oparte na technologii

chipowej. Jednakże zabezpieczenia

kart chipowych do bankomatu cały

czas się rozwijają, wraz z duchem

czasu idą też crakerzy i wzrasta po-

ziom edukacji społeczeństwa. We-

dług specjalistów każda karta jest

do podrobienia, niezależnie od za-

stosowanych w niej zabezpieczeń.

Jednak w Polsce karta kredytowa

nie jest tak bardzo powszechna, w

związku z tym odnotowujemy ma-

łą liczbę przestępstw na tym polu.

W przypadku kart bezdotykowych

z kodami kreskowymi, wykonanie

nieautoryzowanej kopii jest łatwiej-

sze, gdyż wystarczy dobrej jakości

zdjęcie karty, jakie można wykonać

nawet za pomocą dzisiejszych tele-

fonów komórkowych.

Alarmy

Alarmy są najprostszym rozwiąza-

niem – składają się one z centrali

programowanej wewnętrznie przez

komputer lub moduł kontrolny. Do

takiego systemu dołączona jest

czujka ruchu. Podczas wystąpie-

nia zdarzenia taka czujka załącza

alarm, czasem jest to sygnał świetl-

ny, a czasem dźwiękowy. Często

zdarza się sytuacja, kiedy napast-

nik próbuje wyłączyć alarm, znisz-

czyć czujkę, dlatego osoba montu-

jąca taki system powinna zwrócić

na to uwagę.

Systemy dostępu

Systemy dostępu są to wszelkie-

go rodzaju czytniki linii papilar-

nych, wbijanych kodów, kart ma-

gnetycznych, czytniki tęczówki oka.

Ich schemat pracy jest podobny,

gdyż odwołują się do wzorca, któ-

ry jest gdzieś zapisany. Każdy z

System biometryczny

Podobnie jak w poprzednich przypad-

kach, system biometryczny wykorzy-

stywany jest do kontrolowania dostę-

pu, analogicznie korzysta on ze wzor-

ca, zmienia się tylko technika, jaką po-

sługuje się ów system. Jest on o wie-

le bardziej zaawansowany – składa się

z kamer, czytników dotykowych i ska-

nerów siatkówki, linii papilarnych. Naj-

nowsze laptopy przeznaczone dla biz-

nesu mają wbudowane czytniki linii

papilarnych Toshiba Tecra M5. Jest

to funkcja pozwalająca na zabezpie-

Monitor

CSW

synchronizacja

zmieniacz

Rysunek 1. Prosty system monitoringu przemysłowego

Rysunek 2. Czytnik kart

www.hakin9.org

hakin9 Nr 5/2007

Obrona

czenie komputera przed ewentualna

kradzieżą. Zabezpieczenie takie mo-

że być uruchomione nawet w trybie

uśpienia komputera, gdy odpowiednio

skonigurujemy BIOS. Podobny nieza-

leżny czytnik można zamontować w

komputerze stacjonarnym SX-Logon,

który pozwoli nam wyeliminować lo-

gowanie do systemu. Program te-

go urządzenia musi być zainstalowa-

ny na koncie administratora, jednym z

wymagań poprawnej pracy jest zapro-

gramowanie dwóch palców jako ko-

du dostępu, w przypadku gdyby je-

den palec uległ uszkodzeniu. System

biometryczny upraszcza wpisywanie

kodu bezpieczeństwa, tym samym

spada zagrożenie zapomnienia, elimi-

nuje jego zagubienie, lub przypadko-

we przekazanie informacji osobie nie-

powołanej, ponieważ wzorcem tego

sytemu jest człowiek, jego głos, cześć

ciała, zachowanie.

jąc wyliczanie pensji na podstawie

przyjścia pracownika i opuszczenia

przez niego stanowiska pracy. Sys-

temy takie eksportują dane do popu-

larnych programów tabelarycznych

np: Microsoft Ofice Excel.

System taki nadzoruje prace

wszystkich czytników kart w ir-

mie, zazwyczaj montowanych przy

drzwiach z zamkami magnetycz-

nymi, tym samym blokując dostęp

do pomieszczenia osobom nie posia-

dającym karty. Rysunek 4. przedsta-

wia zestawienie zebranych danych

dla jednego pracownika określają-

ce godziny przyjścia do pracy, go-

dziny wyjścia, ilość czasu spędzone-

go w pracy.

System kontroli czasu

pracy pomieszczeń

Do tych elementów dołączamy sys-

tem kontroli czasu pracy i w efekcie

uzyskujemy dane kto i gdzie przesia-

dywał oraz jak długo . Każde otwar-

cie drzwi można zabezpieczyć kartą,

większość programów pozwala nam

wyeksportować dane do głównych

systemów kadrowych, przyspiesza-

Komputer

W problemie stanowiska użytkow-

nika wyróżniamy kilka aspektów:

dostęp, nadzór, raportowanie, ad-

ministracja. Zakładając stanowisko

pracy, musimy zaplanować politykę

bezpieczeństwa danego komputera,

pod kontem osoby obsługującej ten

sprzęt:

Rysunek 3. System biometryczny

• Logowanie użytkownika – zwy-

kły użytkownik nie powinien

mieć praw administracyjnych w

systemie, gdyż mógłby dokonać

wówczas kontrolowanego wyłą-

czenia programu nadzorujące-

go jego pracę, a także zmianę

odpowiedniego hasła lub jedną

z wcześniej zastosowanych me-

tod. Możemy podłączyć czyt-

nik kart w taki sposób, aby do-

starczał energię do kompute-

ra tylko wtedy, gdy karta znaj-

duje się w czytniku. Wyciągnię-

cie karty powodowałoby natych-

miastowe wyłączenie kompute-

ra albo przejście w stan wstrzy-

mania, lub hibernacji, a następ-

nie odcięcie sieci elektrycznej od

stanowiska, zakładając że pra-

cownik wychodzi z pracy, musi

wyciągnąć kartę, aby wydostać

się przez drzwi. Takie uogólnie-

nie zabezpieczeń w przypadku

skopiowania karty daje niepo-

wołanej osobie dostęp do całego

systemu włącznie z komputerem

pracownika.

Rysunek 4. Wykaz czasu pracy

hakin9 Nr 5/2007

www.hakin9.org

Okiem wielkiego brata

• Do kontroli użytkownika na okre-

ślonym stanowisku można wyko-

rzystać kamerę podłączoną do

komputera, która przesyła realny

obraz do programu nadzorujące-

go pracę i tym samym sprawdza,

czy osoba siedząca przy biurku

jest właściwym użytkownikiem.

• Analogicznie z poprzednim punk-

tem możemy wykorzystać ten

sam program do nadzorowania

pracy na klawiaturze, szybkości

pisania, ilości zdań, czy popeł-

nianych błędów. Szybko wyłapie-

my użytkownika, który nie powi-

nien siedzieć przy danym stano-

wisku. System ten ma jednak wa-

dę, gdyż zmęczenie, ubiór, fryzu-

ra mają wpływ na prawidłowy od-

czyt danych z systemu.

rych aplikacji czy procesów. Wybie-

rzemy nadzór pełny, by przedstawić

wszystkie możliwości tego zagad-

nienia:

nie małej modyikacji w pliku C:\

WINDOWS.0\system32\drivers\

etc\host możemy skutecznie za-

blokować adres komunikato-

rów przez wpisanie jego IP z od-

wołaniem do adresu 127.0.0.1.

Jeśli mamy dużą ilość kompu-

terów, możemy ustawić serwer

proxy w irmie i tam zablokować

zakazane adresy dla wszystkich

komputerów.

• Procesy zestawienia informacji o

tym, jak długo komputer był włą-

czony, z dokładną informacją o

wszystkich przerwach oraz o cza-

sie spędzonym w poszczególnych

programach, w połączeniu z wie-

dzą o odwiedzanych stronach in-

ternetowych – co daje w sumie

obraz rzeczywistego czasu pracy.

Jak to kontrolować? Wykorzystu-

jemy oprogramowanie zarządza-

nia czasu pracy stanowisk. W In-

ternecie bardzo dużo irm zajmuje

się pisaniem programów tego typu

i wystarczy wpisać w google.pl od-

powiednie zapytanie.

• Internet, czyli przeglądane stro-

ny WWW. Aby poznać ich histo-

rię, wystarczą w tym przypadku

linki otwieranych stron, gdyż ar-

chiwum pełne wszystkich kom-

puterów może szybko zapełnić

nasze zasoby dyskowe, np: we-

block (składnik modułu weblook,

umożliwiający nie tylko śledze-

nie odwiedzanych stron interne-

towych, ale także pozwalający na

blokowanie określonych zasobów

dla wszystkich, bądź wybranych

użytkowników.

• Komunikatory. Jeśli zdecydujemy

się zablokować ich obsługę, bę-

dzie to najkrótsza droga, ale po-

zostają takie strony jak czat, czy

web gg. Jednak my także zna-

my ich adresy i przez zastosowa-

Nadzór

Należy się zastanowić, jakie aspek-

ty bezpieczeństwa przyjmiemy – czy

jest to pełny nadzór czy tylko niektó-

Raportowanie, czyli to, co nas inte-

resuje, ogólne założenia programów

prezentujących czas pracy to:

• statystyki aktywności pracownika,

• pełna historia logowań użytkow-

nika,

• pełna historia uruchamianych

aplikacji wraz ze stopniem ich

wykorzystania,

• historia aktywnych – pierwszo-

planowych aplikacji,

• statystyki stopnia wykorzystania

komputera przez użytkownika,

• statystyki aktywności komputera

w czasie,

• statystyki aktywności dowolnej

aplikacji w czasie,

• statystyki najczęściej wykorzy-

stywanych aplikacji,

• statystyki wykorzystania kompu-

tera przez poszczególnych jego

użytkowników.

Rysunek 5. Ustawienie wyświetlania ekranu

Każdy raport i statystyka powinna

być dostępna dla dowolnego prze-

działu czasu. Możemy sprawdzić,

ile czasu pracownik rzeczywiście

przepracował w konkretnym dniu,

www.hakin9.org

hakin9 Nr 5/2007

Obrona

tygodniu, miesiącu, a ile czasu

spędził na przerwach czy prowa-

dzeniu rozmów przez komunikatory

internetowe.

prędkością odrzutowca. Z pomocą

przychodzą wówczas programy do

zdalnej kontroli komputera, takie jak

Zdalny pulpit w Windows, VNC, tak

zwane programy zdalnego dostępu.

Można podzielić te programy na

dwie grupy, oferujące dostęp legal-

ny i dostęp nielegalny. Podstawo-

wa różnica między jednym typem,

a drugim ogranicza się do pytania,

czy użytkownik danego komputera

wie o tym, że jest szpiegowany. Je-

śli montując taki program informu-

jemy użytkownika, o tym że każdy

jego ruch jest śledzony, a w przypad-

ku zdalnego logowania, użytkownik

jest o tym dodatkowo informowany,

oznacza to, że program do zdalnego

dostępu jest legalny.

ministracja bezpośrednia staje się

coraz trudniejsza, a awarie zajmują

coraz więcej czasu. Zaczynamy się

więc zastanawiać nad zdalną admi-

nistracją, przyspieszeniem czasu,

jaki musimy poświęcić komputerom.

Rozwiązanie tego problemu znajdu-

je się w samym systemie, gdyż wer-

sje serwerowe, a teraz już wersje

XP Windowsa umożliwiają zdalną

administracje.

Windows udostępnia nam narzę-

dzie mstsc.exe , które pozwala na za-

logowanie się na zdalny komputer.

Zaraz po jego uruchomieniu jeste-

śmy proszeni o podanie nazwy kom-

putera, dodatkowo możemy ustawić

właściwości wyświetlania obrazu

– zwiększając obciążenia połącze-

nia, ustawić by podstawowe dźwię-

ki były przenoszone na ten kompu-

ter włącznie z kombinacją klawiszy;

podłączyć dyski twarde swojego

komputera i wykonywać na nich ope-

racje kopiowania, w zależności od

ustawionych zabezpieczeń. Możemy

także ustawić autouruchomienie pro-

gramu tuż po naszym zalogowaniu,

a także dostosować tak zwane wra-

żenia (opcje widoku) które także ma-

ją wpływ na szybkość wyświetlania.

Zdalna administracja

Systemy komputerowe wymagają

ciągłego nadzorowania, usuwania

usterek, wdrażania aktualizacji in-

stalacji dodatków, sprzątania w pli-

kach tymczasowych. Niektóre za-

dania można zautomatyzować, nie

warto jednak wprowadzać całkowitej

automatyzacji, ponieważ nierzadko

słyszeliśmy o wirusach podszywają-

cych się pod poprawki Windows lub

wyłączających procesy skanera an-

tywirusowego po zarażeniu. Warto

co jakiś czas zaglądać do systemu,

by dowiedzieć się co w trawie pisz-

czy . Kłopoty zaczynają się wtedy,

gdy nasza irma ma odziały odległe

od siebie o wiele kilometrów i cza-

sem trzeba być w dwóch miejscach

jednocześnie albo poruszać się z

Narzędzie

systemu Windows

Obecnie, gdy irmy mają liczne

odziały, gdy my sami opiekujemy

się większą ilością komputerów, ad-

Rysunek 6. Koniguracja zdalnego podglądu

Remote Administrator

Radmin przydać się może szcze-

gólnie tym użytkownikom, dla któ-

rych potrzeba przeprowadzenia ja-

kiejś zdalnej operacji wynika bar-

dziej z aktualnej potrzeby chwili,

niż ze stałych i regularnie przepro-

wadzanych doświadczeń. W odróż-

nieniu bowiem od wielu innych po-

dobnych programów, plik instalacyj-

ny Zdalnego Administratora jest bar-

dzo mały i można go szybko ścią-

gnąć ze strony producenta, jego in-

stalacja nie stwarza żadnych pro-

blemów, a obsługa jest niebywa-

le prosta – szczególnie, że aplika-

cję można spolonizować dogrywa-

jąc do jej katalogu odrębny plik języ-

kowy (znajdziemy go na stronie pro-

ducenta). Cały program jest jedno-

modułowy, co oznacza, że raz za-

instalowany może nam służyć za-

równo jako host (tutaj serwer), jak

i jako klient (tutaj viewer). Licz-

ba opcji serwera nie jest specjal-

hakin9 Nr 5/2007

www.hakin9.org

Okiem wielkiego brata - inwiligacja pracowników w firmie.pdf

Plik z chomika:

Inne pliki z tego folderu:

Inne foldery tego chomika: