Как "выкупают" чем занимаются сотрудники в корпоративке?

Пустили слух, что в корпоративной сетке все компы под колпаком и контролируют, кто чем занят (одноклассники, порносайты, игры )
Какими методами это может быть реализовано?
Как отследить, что это действительно есть?
Какой процесс на компе может это делать?

Код:

Process   PID   CPU   Description   Company Name System Idle Process   0   96.92        Interrupts   n/a      Hardware Interrupts     DPCs   n/a      Deferred Procedure Calls     System   4            smss.exe   440             csrss.exe   496   1.54          winlogon.exe   520              services.exe   564   1.54            svchost.exe   748                wmiprvse.exe   2856                wmiprvse.exe   2964               svchost.exe   796               svchost.exe   880               Smc.exe   916                SmcGui.exe   2404      Symantec CMC SmcGui   Symantec Corporation      svchost.exe   1016               svchost.exe   1080               ccSvcHst.exe   1208               spoolsv.exe   1340               svchost.exe   1900               FwcAgent.exe   1988               PSIService.exe   180               SMAgent.exe   904               Rtvscan.exe   952               CcmExec.exe   1052              lsass.exe   576          explorer.exe   1744      Проводник   Корпорация Майкрософт  ccApp.exe   2260      Symantec User Session   Symantec Corporation  igfxtray.exe   2296      igfxTray Module   Intel Corporation  hkcmd.exe   2324      hkcmd Module   Intel Corporation  SMTray.exe   2436      SoundMAX System Tray   Analog Devices, Inc.  issch.exe   2580      InstallShield Update Service Scheduler   InstallShield Software Corporation  ctfmon.exe   2656      CTF Loader   Microsoft Corporation  FwcMgmt.exe   2744      Microsoft Firewall Client Management   Microsoft (R) Corporation  qip.exe   2396      Quiet Internet Pager   The Author of QIP  Totalcmd.exe   1740      Total Commander 32 bit international version, file manager replacement for Windows   C. Ghisler & Co.   procexp.exe   3448      Sysinternals Process Explorer   Sysinternals - www.sysinternals.com  FinMan.exe   2020           WUNION.EXE   2816

Просто смотрят логи посещенных сайтов на офисном файрволе. Отследить - скорее всего никак. Обойти можно, если использовать какой-нибудь свой прокси-сервер по SSH-туннелю или VPN.

sandro3, Корпоративка очень большая, охватывает все областные центры, естественно людей тоже очень много...
В инете все святятся под одним внешним айпишником ...
В принципе могут по логам, но это как то геморно сводить статистику по отдельному человеку, отделу, департаменту...
Вроде как есть программы, которые по расписанию делают скриншоты с рабочего стола... ? Их отследить можно?

Added after 3 minutes:

Задумался об этом, так как заметил, что регулярно курсор мыши срывается с предыдущей позиции и падает в район кнопки "пуск" или еще куда-то... Дома и на других, не рабочих компах такого не наблюдал никогда.. Вот и придумал - может в этот момент происходит снятие скриншота или еще какой способ контроля...

Радмином и тому подобными прогами. Так же админ может просто установить удаленное управление твоим компом. Вариантов куча. Но это смотреть что именно ты делаешь за компом.
Лог с сервера который раздет инет намного проще, кто и куда ходил.

Есть такое понятие как шлюз, а на нём сбор статистики.
И мне необязательно идти и удалённо глазеть что делает юзер, хотя возможность есть. Я просто открываю статистику и там есть все. Протоколы, запросы, кто куда и сколько.

"Обойти" конечно вариант, если открытые порты позволяют.

Evo VII, Радмин и подобные программы требуют установки "клиента" на машину... У нас не Радмин, а другая прога (забыл как называется - в трее значок синий и красный мониторчик), так процесс этого клынта я давно грохнул и админы не могут ко мне сейчас подключится ей...

Added after 1 minutes:



--знаю по крайней мере один открытый порт, как обходить?  

Vetall, самый действенный способ - дружить с админами . Иначе - только юзая свое собственное подключение к инету (МТС-каннект?) и внимательно следя чтобы не примостили к тебе на комп утилитку типа radmin.

medved, если  Vetall говорит, что сеть "большая и охватывает все областные центры" - то админы запросто могут сидеть где-то в другом городе (а то и в другой стране), и раз в неделю присылать начальству отчет с логами посещенных сотрудниками сайтов и т.д. и т.п.

А лучше дружить с начальством

sandro3, судя по подписи Веталя он из Киева, не верю что в Киевском бранче нету админов!

medved, поверь, если фирма серьезная - то никакая "дружба с админом" не прокатит Потому что есть дисциплина, корпоративная этика и отдел секьюрити

Поднимались темы эти уже не раз... Уже аж надоело повторять, исход всегда одинаков, в конце концов за самодеятельность получите по голове. И рекомендация всегда одинакова, дружите с админами и не будет возникать таких вопросов...

Vetall, какой?

П.С. чисто ради интереса. Реально хрен ты админа обманешь, если он толковый.

sandro3, отдел секьюрити не везде есть. По крайней мере дружба с админом позволит иметь объективную информацию и не попасть на санкции

Если вы посещаете ХМ, пишете подобные темы и до сих пор "на свободе", так не парьтесь насчет одноклассников.
ХМ то похлеще будет. Это вам не пару сообщений от "друзья друзей теперь друзья". Это массовая атака на мозг, куча тем и мыслей.

inetnum:        195.47.212.0 - 195.47.212.255
netname:        UNREN
descr:          Ukrainian National Research and Education Network

есть программки типа
http://www.maxapt.ru/screenshots.htm

причем есть такие которые ставятся как системные процессы по типу троянов - либо ограничиваются политиками домена ( если выневая сеть) - так что ты неможешь ее удалить/отключить.

тут можно вбивать линк и юзать заблоченных одноклассников, ггнуху итп, если уж настолько невтерпеж потерпеть додома
контролировать все некриптованные потоки можно вот этой софтенью. ловит траф от irc, icq почту итп со всеми мессаджами, незакриптованными паролями итп.
не опхвально ни одно ни другое

spud, спасибо. У себя заблочил

Значится так....
Админы сидят в дргом здании, их много.. познакомиться со всеми и дружить    непредставляется случая, да и боюсь особо не поможет....
По одноклассникам и прочей лобуде я не лажу, да и доступ к ним никто не блокирует...
Есть определенный список сайтов, посещение которых стало нормой жизни (как ежедневную газетку полистать), также есть несколько своих сайтов/форумов и инет магазинчик...
Бывают моменты когда с работой полное затишье и есть время поадминить, попостить, почитать и т. п.
Смущает, что если все пишется (логи посищения инета и принтскрины с фотошопом и дримвейвером на рабочем столе економиста) и в условиях кризиса станет вопрос сокращения штата, руководство возьмет эти логи к рассмотрению и тогда никого не будет интересовать, что благодаря своим знаниям и умениям я сделал свой участок работы быстро и качественно, в то время когда остальные на своих участках форматируют рабочие книги экселя каждую страницу отдельно и значения расчитывают на калькуляторах и т.п....
Поэтому хочу узнать, от каких процессов можно защитить свой комп или через какие порты (знаю что открыт порт №43# для аськи) и как можно выскакивать в инет по своим делам...

43 порт для аськи не используется.
Или 5190, или 80, или 443. Соксы тоже могут использоваться, но вряд ли.
Как выскакивать - ссылка чуть выше. Работает.
Скрины экрана...не знаю. Если процесс не скрыт (в списке), то нет у тебя этой приблуды.

Vetall, маловероятно использование клиентов на каждом рабочем месте - затратно и кому оно нафик надо следить, куда ты тыцаешь мышкой. сетка у вас большая.
а если большая, то админам и без "клиенсткого видео" достаточно забот.

самый вероятный случай - мониторинг на уровне прокси-файрвола. любой подобный софт имеет такую отчетность. в отчет входит локальный адрес (твоей машины), перечень посещенных сайтов, размер траффика по сайтам. возможно, выводится время. обойти ты можешь отдельным выходом в инет. если ведется статистика по трафику и она палевная - вруби кеш или на крайняк выруби картинки. нужна аська или че-то подобное - есть портал http://meebo.com/. Хочешь красиво - ставь http-туннель.
зы: как кто-то тут сказал - умного админа ты не обойдешь.
будут вопросы - стучись в личку, по мере сил поможем

кстати, а у тебя обычная железка или виртуальная машина? и

я бы не парился и юзал свои сайты. естественно, не видео там часами смотреть.
mpa, если у них открыт 43 "для аськи" это значит, то проброс идет с 43 на 443, по которому работает ася.

и еще:
FwcAgent - твое дело? какие процессы из перечисленных открыты прогами, которые ты юзаешь/ставил?

skirich, подозреваю простую опечатку.
Зачем пробрасывать внешние запросы? Внутрь сети извне я понимаю...но внешние то. Нелогично. Особенно для аськи.

FwcAgent - клиент ISA.

Added after 57 seconds:

кстати человек, который использует ISA в своей работе ...короче я бы с ним не шутил.

mpa,  skirich, я и писал "(знаю что открыт порт №43# для аськи)" 43#, имея ввиду 433 - типа хотел выпендриться..  
Координаты знатоков теперь знаю, если че, буду маяковать с вопросами в личку...

Спасибо!

Added after 8 hours 58 minutes:



- обычная железяка




c:\Program Files\Microsoft Firewall Client 2004\FwcAgent.exe
- нет это не я ставил, это все ОНИ...

из перечисленного в первом посту мое только вот это:

Код:

qip.exe   2396      Quiet Internet Pager   The Author of QIP  Totalcmd.exe   1740      Total Commander 32 bit international version, file manager replacement for Windows   C. Ghisler & Co.   procexp.exe   3448      Sysinternals Process Explorer   Sysinternals - www.sysinternals.com  FinMan.exe   2020          WUNION.EXE   2816

права мои на машине обрезаны до "бесправного пользователя", могу ставить софт только тот, которому не надо ничего писать в реестр.. поэтому стал активным пользователем Portable Soft  

Added after 4 minutes:



- ну так организация то аппарат управления Укrteleкоm...

Не знаю за механизм, но релизованы в моей конторе следующие возможности:
- все компы в домене (отключена возможность подключения любых внешних модемов, причем модем в оборудовании все красиво - только он не работает, забанена даж косынка с сапером  );
- радмин;
- скриншоты каждые 20 мин;
- формируется статистика пользования инетом, плюс превышение трафика свыше 20 Мб на каждом единичном сайте и соответственно по ушам за некорпоративные интересы;
- формируется статистика по точечному отключению компа от локальной сети или вмешательство в работу радмина...

Отакэ    

Кста, насчет модема - спецы, присоветуйте куда копать

копайте сначала в сторону ларька, а потом в сторону серверной...там сидит умный дядька админ, он знает
Хотя вы все так подробно описали, что я засомневался....не админ ли вы сами.