Привет всем!

Пользуюсь Мирандой. Есть подозрение, что наши переписки просматривает админ в офисе. Как проверить это?
В вопросах по сетям я новичок :)

Могу только сказать, что мы подключаемся к и-нету через прокси. Также у нас есть локальная сетка и сервер. По видимому через этот сервак сливается инфа (как я понимаю).

Есть ли специальная прога, сканирующая сеть на поиск сниферов (кажись :))?

есть программы для поиска сниффера в сети
но он не обязательно читает сообщения отловленные сниффером
он может просто читать их с твоей машины и ты этого не заметишь

Дык, а можно линк в студию?! :)
Ну, или хотя бы название...

> он может просто читать их с твоей машины и ты этого не заметишь
т.е. получается я могу никак и не узнать об этом?

прямой ссылки нету
но где тут видел http://www.securitylab.ru/
на то он и админ чтобы иметь полный доступ к машине

> он может просто читать их с твоей машины и ты этого не заметишь
т.е. получается я могу никак и не узнать об этом?
В том смысле,что это дело не сниффера,а чего-то локального.К примеру,килогера.

Я бы посоветовал тебе использовать SecureIM в данной ситуации.

> Я бы посоветовал тебе использовать SecureIM в данной ситуации
Это плагин или альтернативный IM-клиент?

YooogI, а если у него на машине стоит какой нибудь radmin или просто стоит администраторская шара всего диска?
тут не чего не спасёт

Народ, вы хоть что-нить скажите, что я могу реально сделать, чтобы проверить... Если нет, то нет :) Если да, то как?

YooogI, а если у него на машине стоит какой нибудь radmin или просто стоит администраторская шара всего диска?
тут не чего не спасёт
Ну это уже банальные вопросы безопасности,вопрос стоял в защите от снифферов.

Это плагин или альтернативный IM-клиент?
Плагин для миранды.

Скачал с сайта SecureIM 1.0.4.5.

В ридми (SecureIM Readme.txt) написано следующее:

> 3) Download and install PopUp plugin from miranda web site

На запрос 'PopUp' в поиске вылетело куча линков. Какой мне нужен и что он (PopUp plugin) делает?

DruiD

Не получится снифером, я в своей сети пробовал ни чего не получилось, стоит защита!

Да какой тут нафиг снифер!? Речь же идёт о прослушке админом с офиса, а в таком случае зачем же извращатся, и даже radmin иметь не обязательно, если можно на корпоративном прокси или шлюзе вести лог и его просматривать. Избежать этого никак нельзя, никуда ни денешься с подводной лодки, а проверить, ведётся ли лог, может лишь человек имеющий доступ к серверу, и если он ведётся, может его читать. Это иногда необходимая расплата за пользование icq и инетом вообще за счёт предприятия, где работаешь.

Да какой тут нафиг снифер!? Речь же идёт о прослушке админом с офиса, а в таком случае зачем же извращатся, и даже radmin иметь не обязательно, если можно на корпоративном прокси или шлюзе вести лог и его просматривать. Избежать этого никак нельзя, никуда ни денешься с подводной лодки, а проверить, ведётся ли лог, может лишь человек имеющий доступ к серверу, и если он ведётся, может его читать. Это иногда необходимая расплата за пользование icq и инетом вообще за счёт предприятия, где работаешь.
Получается, что единственный вариант укрытия траффика - это шифрование?
Насколько я понял, чтобы мессаги шифровались между двумя клиентами, необходимо установить и настроить одинаковый плагин (например, тот же SecureIM), так?

6epkyT, если даже ты зашифруешь он может получить расшифровку разговоров с твоей машины

offtop а зачем тебе прятать разговоры от админа?
если будешь сильно прятать это вызовет подозрение

А чтобы проверить — читает ли, сообщи кому-нибудь информацию о фирме, нежелательную к распрастранению, по асе. Если потом никто не задаст вопросов, значит не читает. Хотя есть вариант, что за тобой еще последят немного и только потом вызовут на разговор.

А чтобы проверить — читает ли, сообщи кому-нибудь информацию о фирме, нежелательную к распрастранению, по асе.
Отличный совет :thumbsup:

Да какой тут нафиг снифер!? Речь же идёт о прослушке админом с офиса, а в таком случае зачем же извращатся, и даже radmin иметь не обязательно, если можно на корпоративном прокси или шлюзе вести лог и его просматривать. Избежать этого никак нельзя, никуда ни денешься с подводной лодки, а проверить, ведётся ли лог, может лишь человек имеющий доступ к серверу, и если он ведётся, может его читать. Это иногда необходимая расплата за пользование icq и инетом вообще за счёт предприятия, где работаешь.
Что тебе мешает криптовать сообщения?Это является хорошей защитой от "локального мониторинга".

Теперь о антиснифферах(если ты все-таки думаешь,что тебя сниффят).Не могу посоветовать тебе что-то конкретное,поскольку не знаю устройства твоей сети,а это важно,так что почитай очень интересную статью на тему снифферов\антиснифферов.
http://www.nag.ru/2003/0405/0405.shtml
С места Рекомендации по ослаблению угрозы снифинга,хотя рекомендую прочесть всю статью.

1. Криптуй сообщения
2. Зашифрованный траффик и есть самое большое подозрение
3. тебе разве есть что шифровать вообще ?
4. надо больше информации о локалке

1. поставить фаервол (хотя бы Norton internet security) просмотреть в процессах RAdmin, посмотреть включено ли удаленное управление рабочим столом

2. ставишь не сохранять хистори в асе

2. Зашифрованный траффик и есть самое большое подозрение
Подозрение пусть будет,но читать ничего не будет,а предъявить,что человек шифрует траф - это признание того,что траф прослушивают,что есть нарушение=>говорить этого не будут и все норм.

3. тебе разве есть что шифровать вообще ?
Личная переписка :D

Статья об обнаружения сниферов,самая подробная из всех что я видел должно помочь (http://www.opennet.ru/base/sec/detect_sniff.txt.html)

2 .мєґcџґєє.
А чтобы проверить — читает ли, сообщи кому-нибудь информацию о фирме, нежелательную к распрастранению, по асе. Если потом никто не задаст вопросов, значит не читает. Хотя есть вариант, что за тобой еще последят немного и только потом вызовут на разговор. Мы так с одним челом хотели сделать поначалу, но потом передумали...

2 YooogI
Спасибо за статью, обязательно прочитаю! :)

2 ducky
1. Криптуй сообщения
Так и буду делать... Киньте плиз линк на форуме на тред, где написано как правильно настроить плагин SecureIM, если уже обсуждалось конечно. Скачал его с сайта miranda-im.org, только в ридми написано, что еще какой-то плагин нужен.

2. Зашифрованный траффик и есть самое большое подозрение3. тебе разве есть что шифровать вообще?
Я конечно понимаю мотивацию "прослушки", но мне как-то не по себе становится... неважно даже о чем я пишу.

4. надо больше информации о локалке
Тут я бессилен (по понятным причинам) :)

1. поставить фаервол (хотя бы Norton internet security) просмотреть в процессах RAdmin, посмотреть включено ли удаленное управление рабочим столом
И то, и другое отключено (проверял).

2. ставишь не сохранять хистори в асе
Периодически чищу, т.к. хистори мне все таки нужна :)

2 YooogI
Подозрение пусть будет,но читать ничего не будет,а предъявить,что человек шифрует траф - это признание того,что траф прослушивают,что есть нарушение=>говорить этого не будут и все норм.

...
Личная переписка


Патпесался! Верно замечено... :)

2 gemaglabin
Тоже обязательно посмотрю, спасибо! :)

Мы так с одним челом хотели сделать поначалу, но потом передумали...
Смысла нет.

Так и буду делать... Киньте плиз линк на форуме на тред, где написано как правильно настроить плагин SecureIM, если уже обсуждалось конечно. Скачал его с сайта miranda-im.org, только в ридми написано, что еще какой-то плагин нужен.
Я видел подробное описание по установке тут (http://micgame.mgn.ru/forum_wwf/forum_posts.asp?TID=440&PN=12&get=last) .
Также прочитай вот эту статью (http://forum.asechka.ru/showthread.php?t=6417).

В статье, которую привел gemaglabin, рассказывается метод "определение сниффера на локальном компьютере"... Дык вот могу ли подручными средствами проверить на своем компьютере в каком режиме работает сетевуха. Речь идет о цитате из данной статьи:
... Флаг PROMISC говорит о том, что интерфейс находится в режиме прослушивания...

P.S. На машине установлен вынь2000

Там же все описано.

... Флаг PROMISC говорит о том, что интерфейс находится в режиме прослушивания...

hme0: flags=863<UP,BROADCAST,NOTRAILERS,RUNNIN G,PROMISC,MULTICAST> mtu 1500
inet 192.0.2.99 netmask ffffff00 broadcast 192.0.2.255
ether 8:0:20:9c:a2:98

2 YooogI (http://forum.asechka.ru/member.php?u=5111)
Дык, а как мне вытащить эту инфу?
Запускаю ipconfig -a - он ругается, что "Настройка протокола IP для Windows 2000
Ошибка. Не распознается ключ командной строки 'a'".

Added at 19.08.2005, 12:16
Вот список ключей:
Настройка протокола IP для Windows 2000

Ошибка. Не распознается ключ командной строки "a"


ИСПОЛЬЗОВАНИЕ:
ipconfig [/? | /all | /release [адаптер] | /renew [адаптер]
| /flushdns | /registerdns | /showclassid адаптер
| /setclassid адаптер [устанавливаемый_код_класса_dhc p] ]

адаптер Полное имя или имя, содержащие подстановочные знаки "*" и "?" из
допустимого множества:
* - любое количество символов, ? - один любой символ.
ключи:
/? Отобразить это справочное сообщение.
/all Отобразить полную информацию о настройке параметров.
/release Освободить IP-адрес для указанного адаптера.
/renew Обновить IP-адрес для указанного адаптера.
/flushdns Очистить кэш разрешений DNS.
/registerdns Обновить все DHCP-аренды и перерегистрировать DNS-имена
/displaydns Отобразить содержимое кэша разрешений DNS.
/showclassid Отобразить все допустимые для этого адаптера коды (IDs)
классов DHCP.
/setclassid Изменить код класса DHCP (ID).
Какой мне нужен?

Запускаю ipconfig -a - он ругается, что "Настройка протокола IP для Windows 2000
Ошибка. Не распознается ключ командной строки 'a'".
А причем здесь ipconfig? :D
В статье написано про ifconfig.ifconfig-это конфигурирование сетевого интерфейса в Linux.

А причем здесь ipconfig? В статье написано про ifconfig.ifconfig-это конфигурирование сетевого интерфейса в Linux.
бррр... ничо не понял :)
Так айпиконфигом можно посмотреть или нет? Если нет, то какой утилитой?

Так айпиконфигом можно посмотреть или нет? Если нет, то какой утилитой? Ты юзаешь команду ipconfig,а в статье написана команда ifconfig,которой нет в Windows. (статья-то для Linux)
Поэтому см. выше,что я писал.

Ты юзаешь команду ipconfig,а в статье написана команда ifconfig,которой нет в Windows. (статья-то для Linux) Поэтому см. выше,что я писал. Виноват... действительно был невнимателен.

Zone Labs IMsecure Pro - новая разработка от Zone Labs,
производителя брандмауэра Zone Alarm. IMsecure предназначен
для шифровки ваших разговоров через различные коммуникаторы
(ICQ, AOL Instant Messenger, MSN Messenger, Yahoo! Messenger) и защиты уязвимых соединений между собеседниками.

ZoneLabs.IMsecure.Pro.v1.5.0.3 9
http://download.zonelabs.com/bin/free/9901_zl/imsecureproSetup_15_39.exe

Серийник удалил
варезник тут не устраивать
с Уважением ДруидЫЧ

стучите в приват коли кому что

Вот прочитал. С точки зрения админа, ты от прослушки ничем не спасешься, если этого захочет админ.
Для этого (если мне нужно просмотреть переписку) я бы сделал следущее:
Поставил бы сниффер. Согласен при использовании SecureIM трафик шифруется и в снифере не будетничего видно. НО! Если идет шифрованный трафик - это подозрение раз! Далее просто следим за шифрованной перепиской до тех пор пока она не станет реже - это два. И в третьих, посылаю команду на твой комп чтобы прибил процесс miranda32.exe. Пока очухаешься я успею слить твой dat-файл к себе на комп. Далее дело техники.
Как защититься? Ну думаю, после каждой отправленной фразы удалять историю. Паролить плагином типа Hystory++ не поможет, так как просто его отключаем и получаем доступ к истории.
Во-вторых, юзаем arp. arp -s IP_адрес MAC_адрес, это привяжет твой айпи адрес к мак адресу сетевухи, вследствии чего будет затруднен arp-спуфинг.
свой айпи и mac адрес можно увидеть введя команду ipconfig /all
Да и потом, если в процессах нет радмина, то не факт что он у тебя не установлен:-) Я допустим могу запустить radmina удаленно, а потом войти в комп, после чего выключить радмин.
Так что отсутствие радмина в процессах - не факт отсутствия его в компе. Даже если он и установлен, то можно получить доступ к его настройкам через реестр, где можно указать, что бы радмин сам сообщил тебе что к нему подключаются и установить время в секундах по прошедствии которого либо принять подключение, либо отклонить.
Использовать утилиты такие как TcpView и постоянно следить за подключениями, так же поможет команда netstat.
В случае с qip (это одна из причин по которой он мне не нравиться) историю можно скачать в любой момент времени, достаточно скопировать текстовый файл с номером твоего уина.
И вообще если админ грамотный, то доступ к управлению системными настройками, службами, реестром запрещен политиками безопастности.
Вообщем и в целом, если админ решит прослушать твой трафик (тем более, что через прокси) то ты тут бессилен и это надо принять как должное.

может быть не все поняли правильно, я хотел сказать о том, что программа Zone Labs IMsecure Pro (не путать с неизвестной мне "SecureIM" ) работает и с официальными клиентами тоже ( в первую очередь), а не только с мирандой ;-)