Можно как-то вычислить, кто в сети сообщения аськи прослушивает?

← →
vajo (2007-12-05 08:59) [0]

← →
Ega23 © (2007-12-05 09:04) [1]

1. Админ.
2. Сотрудник Службы Безопасности предприятия.
3. Товарищ Майор из ФСБ.

Остальные неважны.

← →
vajo (2007-12-05 09:07) [2]

Это все не подходит.
Надо узнать с какого компьютера.

← →
KSergey © (2007-12-05 09:10) [3]

> Ega23 © (05.12.07 09:04) [1]
> Остальные неважны.

Как это так??! А подружка жены?
Или даже так: муж подружки жены. Тоже "не плохо" работает.

← →
Ega23 © (2007-12-05 09:14) [4]

> Надо узнать с какого компьютера.

Ну админа можно подпоить пивом. Он тебе расскажет, с какого он компа твою асю слушает. Кстати, если пиво будет хорошее и много - он тебе и комп сотрудника СБ сдаст.
Вот с товарищем Майором гораздо сложнее, админ не знает его адреса.

← →
vajo (2007-12-05 09:19) [5]

Не, я серьезно.

← →
vajo (2007-12-05 09:26) [6]

Функции админа на мне лежат.

← →
Ega23 © (2007-12-05 09:26) [7]

А если серьёзно, то будешь этим заниматься - отгребёшь и от Админа, и от Сотрудника СБ.
А будешь пытаться Товарища Майора вычислить - вообще проблем выше крыши станет.

← →
vajo (2007-12-05 09:28) [8]

В конторе 50 компов, отдела СБ с майорами у нас нет.

← →
Думкин © (2007-12-05 09:28) [9]

> Ega23 © (05.12.07 09:26) [7]

Можно в переписке назвать их редисками. Тогда есть вероятность узнать.

← →
Ega23 © (2007-12-05 09:30) [10]

> В конторе 50 компов, отдела СБ с майорами у нас нет

А товарищ Маор и не обязан у вас сидеть. Он сидит на Лубянке.

← →
boriskb © (2007-12-05 09:31) [11]

> [6] vajo (05.12.07 09:26)
> Функции админа на мне лежат.

ЧОй-то они тебя совсем придавили
Вылазь оттуда

← →
Правильный_Вася (2007-12-05 09:40) [12]

воспользоваться шифрованными протоколами
обиженные неспособностью читать себя проявят

← →
KSergey © (2007-12-05 10:08) [13]

А) точно ли тебе это надо? Т.е. в чем именно задача?
Б) Я понимаю так: если сеть построена на хабах - то только "человеческий инжениринг", о котором уже писалось выше. Если же на свичах - то для прослушки надо специальным образом сеть нагибать - да и то только в пределах своего свича как я понимаю - но нагибатель этот вычисляется сразу.

← →
KSergey © (2007-12-05 10:09) [14]

Гу я это все в предположениях, что раз ты и админ - то все шлюзы тебе доступны, надо полагать.

← →
DrPass © (2007-12-05 10:18) [15]

> vajo (05.12.07 09:28) [8]
> В конторе 50 компов, отдела СБ с майорами у нас нет.

Если сеть коммутируемая, и постороннего шпиёнского софта на компьютерах нет, то вероятнее всего, что никто ничего не прослушивает.

← →
Romkin © (2007-12-05 10:28) [16]

Мирабилис и прослушивает, что тут такого?
http://ru.wikipedia.org/wiki/ICQ#.D0.9A.D1.80.D0.B8.D1.82.D0.B8.D0.BA.D0.B0
Не хочешь - переходи на jabber, там и шифрование есть.

← →
vajo (2007-12-05 10:33) [17]

> KSergey © (05.12.07 10:08) [13]

Один пользователь пожаловался, что кто-то узнал о его сообщениях по аське (утверждает, что никто без него за комп не садится и прочитать аску за его компом не мог).
Сеть на хабах. Что не совсем понял про ""человеческий инжениринг"?

← →
TUser © (2007-12-05 10:40) [18]

Какой-такой майор? Младший лейтенант, скорее. Станет майор такой фигней страдать, технической работой занимаются подчиненные. Имхо.

← →
Eraser © (2007-12-05 10:44) [19]

> vajo (05.12.07 10:33) [17]

> что никто без него за комп не садится

а есть в домене?

← →
vajo (2007-12-05 10:47) [20]

Eraser © (05.12.07 10:44) [19]
домен есть, но этот комп не в домене.

← →
Eraser © (2007-12-05 10:48) [21]

> vajo (05.12.07 10:47) [20]

я б, в первую очередь, проштудировал список сервисов на наличие какого-нибудь RAT. Скорее всего кто-то просто скопировал историю переписки и все.

← →
Loki (2007-12-05 10:57) [22]

Какая сеть - без разницы, что на хабах, что на свичах. Тупо набираем в поисковике "ICQ Sniffer" и видим вагон ссылок. Ловит ВСЁ (проверял). Ну а уж если vajo (05.12.07 09:26) [6] Функции админа на мне лежат. то тогда тебе и флаг в руки - все порты позакрывай, кто первый прибежит - тот и гад. ИМХО, с сетью из 50 машин - найти злоумышленника несложно. Вот если 350 (как у меня) - набегаешься...

← →
KSergey © (2007-12-05 11:10) [23]

> Loki (05.12.07 10:57) [22]
> набираем в поисковике "ICQ Sniffer" и видим вагон ссылок.
> Ловит ВСЁ (проверял).

Безусловно, но применяются разные методы для прослушки всего траффика сети. Это важно: при хабах это можно сделать незаметно, при свичах - нет.

Ну а уж как могли утырить историю переписки - так шары С$ - мало кто закрывает, равно как и делает не пустым пароль админа :) Это ка квариант.
Так что как таковое шпинство именно сниффером тут вовсе не при чем.
К стати, гед горантия, что тот чел сам не рассказал подружке/другу некоторые моменты, которые как раз и стали достоянием глассности? :)

> vajo (05.12.07 10:33) [17]
> Что не совсем понял про ""человеческий инжениринг"?

Самй надежный - паяльник. Любые пароли вскрываются на раз, вне зависимости от сложности.

← →
vajo (2007-12-05 11:12) [24]

> Loki (05.12.07 10:57) [22]
порты icq закрыть?
Тогда прибегут все у кого она стоит.

← →
Ega23 © (2007-12-05 11:15) [25]

> Тогда прибегут все у кого она стоит.
>

Нехрен на работе ерундой заниматься

← →
boriskb © (2007-12-05 11:39) [26]

> vajo

Причин, по которым разговор в аське стал доступен другим, несколько.
Ты выбрал самую невероятную (да еще со слов кого то)

Если все же она, то:
ты админ - какого... у тебя в сети кто хочет, то и ставит (сниффер)?
Если же не админ, а "обязанности возложены", то ...
тогда не знаю что и присоветовать :)

← →
Сергей Суровцев © (2007-12-05 11:53) [27]

>vajo (05.12.07 10:33) [17]
>Один пользователь пожаловался, что кто-то узнал о его сообщениях по
>аське (утверждает, что никто без него за комп не садится и прочитать
>аску за его компом не мог).

Если "кто-то узнал", значит этот кто-то известен и у него есть имя. А раз есть имя, то и комп.на рабочем столе у него найдешь. Вряд ли кто-то будет шариться по чужим компам, чтобы слушать чужую переписку в режиме реального времени. Это долго, лучше со своего. Ну а если этот кто-то неизвестен, то больное воображение не админ лечит, а отдельный специалист.

← →
DrPass © (2007-12-05 12:04) [28]

> Loki (05.12.07 10:57) [22]
> Какая сеть - без разницы, что на хабах, что на свичах.

Большая разница. Если сеть на хабах, каждый компьютер получает все пакеты в своем сегменте сети, и может прослушивать чужие разговоры. Если на свичах - то только те, которые предназнаются конкретно ему. И подслушать может только себя.
Другое дело, если завалить среднестатистический свич пакетами, чтобы его память переполнилась, он перестанет их разгребать и переключится в режим хаба. Но такое непотребство администратор должен заметить.

← →
Loki (2007-12-07 11:05) [29]

DrPass ©
Большая разница. Если сеть на хабах, каждый компьютер получает все пакеты в своем сегменте сети, и может прослушивать чужие разговоры. Если на свичах - то только те, которые предназнаются конкретно ему. И подслушать может только себя.Давайте не будем спорить о приципах построения сетей? Сниффер одинаково хорошо ловит ВСЁ (я-ж специально написАл для тех, кто НЕ знает), а Вы мне кажетесь человеком, который знает... Во всяком случае - работу сети. Или я опять не прав?

← →
KSergey © (2007-12-07 11:18) [30]

> Loki (07.12.07 11:05) [29]
> Сниффер одинаково хорошо ловит ВСЁ

Вот же упорный человек, если не сказать хуже.
Уже же много раз объяснили ограничения, которые действуют на это ваше "ВСЁ"!
А ваш частный эксперимент на конкретной сети - это оочень далеко не ВСЁ, понимаете??!!

← →
KSergey © (2007-12-07 11:28) [31]

Ну а раз сеть у вас на хабах - то, на сколько я понимаю - невозможно вычислить машину, сетевуха которой глотает и передает драйверу все пакеты а не только те, которые предназначены ей, т.к. на все машины и так приходят все пакеты. Т.е. каждый может легко слушать абсолютно все. Абсолютно.

← →
Skier © (2007-12-07 11:50) [32]

А вот, кстати, кто подскажет как бы так извернуться чтобы использовать
аську если её запретили злобные админы?
какие есть рекомендации ? :)

← →
Сергей М. © (2007-12-07 11:58) [33]

> Skier © (07.12.07 11:50) [32]

Что значит "запретили" ? Подробней ..

← →
Skier © (2007-12-07 12:07) [34]

> Что значит "запретили" ? Подробней ..

Порты забанили...

← →
Сергей М. © (2007-12-07 12:10) [35]

Какие ?

← →
Skier © (2007-12-07 12:15) [36]

> Сергей М. © (07.12.07 12:10) [35]

Короче, есть хост и порт с которыми аська работала раньше.
Так вот теперь она с ними не работает - не коннектится...

← →
Amoeba © (2007-12-07 12:21) [37]

> Skier © (07.12.07 11:50) [32]
>
> А вот, кстати, кто подскажет как бы так извернуться чтобы
> использовать
> аську если её запретили злобные админы?
> какие есть рекомендации ? :)
>

Тут только "человеческий инжениринг" может помочь.

← →
Сергей М. © (2007-12-07 12:21) [38]

> есть хост и порт с которыми аська работала раньше

Это какой ? Уж не знаменитый login.icq.com:5900 ли ?

← →
Skier © (2007-12-07 12:26) [39]

> Уж не знаменитый login.icq.com:5900 ли ?

а чем он знаменит ? :)
вопрос-то можно решить ?

← →
KSergey © (2007-12-07 12:34) [40]

> Skier © (07.12.07 12:26) [39]
> вопрос-то можно решить ?

Или пивом или паяльником. Смотря что вам ближе.

← →
Сергей М. © (2007-12-07 12:34) [41]

http://www.freeproxy.ru/ru/free_proxy/faq/what_is_connect_proxy.htm

> вопрос-то можно решить ?

Если злобные админы не блокируют твой ICQ-траффик в рез-те его анализа на предмет отношения к оному, решение налицо - использовать любой незабаненый U>внешний прокси-сервер из списка тех, которым ты доверяешь.

← →
Skier © (2007-12-07 12:39) [42]

>Сергей М. © (07.12.07 12:34) [41]
Доступ к указанному сайту тоже запрещен. :o)

← →
b z (2007-12-07 12:41) [43]

> Skier © (07.12.07 12:39) [42]

Как вариант, если навароты клиента не важны, можно веб вариан ICQ использовать.

← →
Сергей М. © (2007-12-07 12:44) [44]

> Skier © (07.12.07 12:39) [42]

Мало ли в Тырнете анонимных прокси !
Упарятся админы перекрывать доступ ко всем оным)

← →
Skier © (2007-12-07 12:47) [45]

>b z (07.12.07 12:41) [43]
веб вариант использовали одно время - потом запретили. :)
>Сергей М. © (07.12.07 12:44) [44]

> Мало ли в Тырнете анонимных прокси !

а как их найти например ?

← →
@!!ex © (2007-12-07 12:53) [46]

> [44] Сергей М. © (07.12.07 12:44)

У нас делали проще...
Запрещали ВСЕ, кроме указанного списка адресов, необходимых для работы.

← →
Anatoly Podgoretsky © (2007-12-07 12:53) [47]

> какие есть рекомендации ? :)

Лучше самому написать заявление об увольнение.

← →
Anatoly Podgoretsky © (2007-12-07 12:55) [48]

> Упарятся админы перекрывать доступ ко всем оным)

Не упарятся, смотри [47] если он это не сделает, то это сделает администрация и уже с другой формулировкой.

← →
b z (2007-12-07 13:00) [49]

> Skier © (07.12.07 12:47) [45]

А миранды всякие тоже запрещены? Они вроде супортят ICQ.

← →
Сергей М. © (2007-12-07 13:01) [50]

> Anatoly Podgoretsky © (07.12.07 12:55) [48]

Чел просто спросил, я и ответил, как просто и без хлопот обойти злобноадминские засады)

А по поводу увольнения - это уж на свой страх и риск)

← →
Сергей М. © (2007-12-07 13:02) [51]

> Skier © (07.12.07 12:47) [45]
>
> а как их найти например ?

Всяких программулин, сканирующих Тырнет на предмет поиска хостов с прокси-сервисами, немеряно. Поищи сам)

← →
Сергей М. © (2007-12-07 13:07) [52]

> Skier © (07.12.07 12:47) [45]

Другой вопрос, что все это может оказаться бесполезным, если злобные админы пускают тебя в Тырнет искл-но через локальный прокси.

← →
Сергей М. © (2007-12-07 13:10) [53]

> Skier

Т.е. неплохо было бы выяснить, какая конкретно подсистема участвует в блокировке - то ли лок.прокси, то ли файрвол на шлюзе ..

← →
Loki (2007-12-09 10:18) [54]

KSergey © (07.12.07 11:18) [30]
> Уже же много раз объяснили ограничения, которые действуют на
> это ваше "ВСЁ"!А ваш частный эксперимент на конкретной сети
> - это оочень далеко не ВСЁ, понимаете??!!
Нет, извините, не понимаю, может объясните дураку?
KSergey © (07.12.07 11:28) [31]
> Ну а раз сеть у вас на хабах
НЕТ, там и то и другое.Гигабитные свитчи тоже есть.
KSergey © (07.12.07 11:28) [31] на сколько я понимаю - невозможно вычислить > машину, сетевуха которой глотает
> и передает драйверу все пакеты
Да как нефиг делать. :)
KSergey © (07.12.07 11:28) [31]а не только те, которые предназначены
> ей, т.к. на все машины и так приходят все пакеты. Т.е. каждый
> может легко слушать абсолютно все. Абсолютно.
Вам подсказать, где можно пройти курс по основам сетевой безопасности?

← →
YurikGL © (2007-12-09 15:14) [55]

> DrPass ©
> Большая разница. Если сеть на хабах, каждый компьютер получает
> все пакеты в своем сегменте сети, и может прослушивать чужие
> разговоры. Если на свичах - то только те, которые предназнаются
> конкретно ему. И подслушать может только себя.Давайте не
> будем спорить о приципах построения сетей? Сниффер одинаково
> хорошо ловит ВСЁ (я-ж специально написАл для тех, кто НЕ
> знает), а Вы мне кажетесь человеком, который знает... Во
> всяком случае - работу сети. Или я опять не прав?

Он может ловить ВСЕ, если применяется ARP-заражение, когда на твоей сетевой карте генерируются mac-адреса, совпадающие с mac-адресами прослушиваемых компьютеров.
Однако, компьютер, который так делает, можно легко обнаружить с помощью соответствующих средств.

← →
DrPass © (2007-12-09 15:40) [56]

> YurikGL © (09.12.07 15:14) [55]

> Он может ловить ВСЕ, если применяется ARP-заражение, когда
> на твоей сетевой карте генерируются mac-адреса, совпадающие
> с mac-адресами прослушиваемых компьютеров.
> Однако, компьютер, который

Разве свич такую ситуацию не отловит? Он же mac-адрес в таблице сопоставляет конкретному порту, а не нескольким.

← →
YurikGL © (2007-12-09 15:41) [57]

Кто хочет найти прослушивающего, или не верит, что в сети со свичами можно слушать - пожалуйста сюда:
http://www.11region.ru/pe4ora/index.php?name=Files&op=view_file&lid=42

← →
YurikGL © (2007-12-09 15:45) [58]

> Разве свич такую ситуацию не отловит? Он же mac-адрес в
> таблице сопоставляет конкретному порту, а не нескольким.

Свич работает тупо.
1) Если на порт пришел пакет, он заносит mac-source в таблицу соответсвующего порта. (На самом деле, он заносит не сам mac, а специальный хеш, но это не важно)
2) Если на порт пришел пакет и его mac-destination не является широковещательным, то этот пакет отправляется на те порты, в таблицах которого есть mac-destination. Если таких порта два - отправится на оба. Если таких портов нет, насколько я знаю, отработается как широковещательный.
3) Если на порт пришел пакет и его mac-destination является широковещательным, то этот пакет отправляется на все порты, кроме того, с которого он пришел.

← →
Loki (2007-12-09 16:02) [59]

> YurikGL © (09.12.07 15:14) [55]
>Он может ловить ВСЕ,
> если применяется ARP-заражение, когда на твоей сетевой карте
> генерируются mac-адреса, совпадающие с mac-адресами прослушиваемых
> компьютеров.

Можно и так, но это уже "brute force". Вы не угадали. Всё гораздо проще. (кстати, это не "заражение", а "метод перехвата").

> YurikGL © (09.12.07 15:14) [55]
>Однако, компьютер, который так делает, можно
> легко обнаружить с помощью соответствующих средств.

Бесспорно, что и делалось.

← →
ANTPro © (2007-12-09 16:16) [60]

> [58] YurikGL © (09.12.07 15:45)

Произошла ошибка:
Анкета не найдена!

> [42] Skier © (07.12.07 12:39)

Меня иногда toonel.net выручает :)

← →
YurikGL © (2007-12-10 15:56) [61]

>
> Можно и так, но это уже "brute force". Вы не угадали. Всё
> гораздо проще. (кстати, это не "заражение", а "метод перехвата").

Это не брут форс... Брут форс, это - взлом с прямым перебором.
А по поводу заражения - ищем в яндексе "ARP poison"... А потом в англорусском словаре слово poison

← →
KSergey © (2007-12-10 16:14) [62]

> Loki (09.12.07 10:18) [54]

Предлагаю отвечать на предложения целиком, а не на их куски, которые не передают полный смысл сказанного.
Иначе это не понятно зачем тогда надо. Крутость свою показать? Да мне как-то пофик.

К стати, все же автор говорил, что сеть у него на хабах (я немного подпутал вас с автором, сорри, есть такое дело).
Именно про этот случай я и писал (сеть на хабах), что, к стати, отражено в тексте, который вы зачем-то разбили на кусочки и на кусочки без контекста и ответили.
Предлагаю так не делать.

← →
Pazitron_Brain © (2007-12-10 16:36) [63]

Господи. Скопировали у этого сотрудника папку с хистори и все. А аську прослуживать можно только на гейте.

> Pazitron_Brain © (10.12.07 16:36) [63]

Еще раз повторяю, что если пользовать ARP Poison, то можно не только на гейте.
Это если говорить о сети, построенной на неуправляемых свичах.
Что же до хабов, их уже лет наверное 10 не продают... Сомневаюсь, что у автора сеть на хабах.

Свитч же не посылает пакеты всем компьютерам в сети?
Т.е. пакеты от юзера идут сразу к гейту, а к хакеру не попадают.
][акер--
|
-свитч-гейт-интернет-icq
|
user----
В чем я заблуждаюсь?

> Свитч же не посылает пакеты всем компьютерам в сети?
> Т.е. пакеты от юзера идут сразу к гейту, а к хакеру не попадают.

Если хакер гененирует со своей сетевой карты пакеты с MAC-source равными MAC-адресам шлюза и юзера, то все пакеты, которые направлены юзеру и шлюзу будут сдублированы еще и хакеру.

> Pazitron_Brain © (10.12.07 20:10) [69]
> Понятно...

Наконец-то. Это было написано давным давно в этой ветке, почти теми же словами.

Skier © (12.12.07 10:01) [72]
А каким образом?

Играет роль прокси, я полагаю. Да еще и сжимающего, что можно хоть и с изрядной натяжкой, но все же назвать шифрованием.

>Virgo_Style © (12.12.07 11:09) [73]

> Играет роль прокси, я полагаю

Видимо...
Хотелось бы узнать подробнее, как этим делом пользоваться...

> Skier © (12.12.07 12:51) [74]

> как этим делом пользоваться

Оч просто.
Инсталлируешь на своей машине JRE, скачиваешь с toonel.net нужный тебе jar-модуль, запускаешь его и настраиваешь своего аськина клиента на использование http-прокси c адресом localhost:8080

> Skier

Но если злые админы не пускают тебя в Тырнет непосредственно через шлюз (только добровольно через свой прокси или принудительно заворачивают все твои запросы к шлюзу на свой прокси), то скорее всего затея с toonel.net не удастся.

Для админов это прозрачно

1. Клиент -> прокси1:port1
2. Клиент -> прокси2:port2 -> прокси1:port1

Только при обнаружение таких действий последствия могут быть плачевными.

Выход-то есть?
Ну привык я к Аське, блин. :)

← →
shlst (2007-12-12 13:30) [79]

подслушивают известно кто - сервера в израиле!

> Выход-то есть?

Лазейка всегда найдется.
Надолго ли и надежно ли - этого тебе никто гарантировать не может.

Для начала таки выясни, как ты ходишь в Тырнет - непосредственно через шлюз или через злобноадминский прокси.

> Выход-то есть?

Самый простой и надежный - к админу с пивом.
Потому как все остальные пути, при условии официального запрета, чреваты чем угодно...

>boriskb © (12.12.07 13:58) [81]

> при условии официального запрета, чреваты чем угодно...

официального запрета - нет.
просто типа "не желательно"

>Сергей М. © (12.12.07 14:31) [83]

> Пробуй тот же toonel.net

Пытался - не фурычит.

>KSergey © (12.12.07 14:33) [84]

> Аську пользовать или шифроваться?

Аську пользовать

> Пытался - не фурычит.
>

Рассказывай в подробностях, как пытался ...

>Сергей М. © (12.12.07 14:46) [86]
запустил java аплет.
и сказал клиенту ICQ чтобы он использовал proxy
localhost:8080
всё как ты сказал :)

> чтобы он использовал proxy

Какого типа ?
Там их в списке с пол-десятка разных ..

А как твой браузер настроен с т.з. доступа в Тырнет ? Начни, пожалуй, с этого ..

> Сергей М. © (12.12.07 15:20) [88]

> Какого типа ?
> Там их в списке с пол-десятка разных ..

Http

> А как твой браузер настроен с т.з. доступа в Тырнет ?

А что именно смотреть?

> что именно смотреть?

Обозначь свой браузер ..

Можно как-то вычислить, кто в сети сообщения аськи прослушивает? Найти похожие ветки