Pull to refresh

Под колпаком: обзор программы StaffCop Standard

Reading time 5 min
Views 72K
Контроль за деятельностью сотрудников за компьютерами на рабочем месте — обычная практика во многих компаниях. И не всегда даже дело в том, что начальник службы безопасности в в детстве тайно грезил о форме СС. По своему опыту могу сказать, что многие сисадмины по умолчанию доверяют рядовым пользователям не больше, чем обезьяне со связкой гранат на центральном пульте управления атомной электростанцией.

Однако, мой рассказ будет не с точки зрения наёмного сотрудника, а «с обратной стороны зеркала», потому как, вне зависимости от персональной этической желания требования определённых руководителей не только наблюдать за сотрудниками в рабочее время на рабочих местах, но и видеть «их глазами» то, что видят они на своих мониторах, — факт остаётся фактом: речь идёт о масштабах спроса достаточных для возникновения на рынке корпоративного ПО целого сегмента софта для надзора за работниками, и программа StaffCop — лишь одна из нескольких доступных заинтересованному покупателю альтернатив.



Программа существует в нескольких конфигурациях — StaffCop Standard, ориентированная на корпоративных пользователей (компании, ВУЗы, школы), домашняя версия StaffCop Home Edition и самый мощный набор Security Curator. Я протестировал «золотую середину» — StaffCop Standard. Для тестов был использован нетбук следующей конфигурации:



Начало


Первое, что сразу бросается в глаза – программа предназначена для корпоративного использования. Это, в первую очередь, видно по интерфейсу, ориентированному на профессиональных пользователей — рядовой юзер вряд ли с ходу разберётся во всех его тонкостях. StaffCop Standard работает по сети, что также видно уже при первом запуске.


Главное окно панели администрирования

Внизу панели администрирования расположены вкладки и первая из них «Экран».

Снятие скриншотов с экрана и просмотр активности пользователя в реальном времени


Здесь вы можете в режиме реального времени следить за любым пользователем:


«Ваша карта бита!»

Следующая возможность, которую мне посчастливилось опробовать – мониторинг процессов на удалённом компьютере. Она расположена на вкладке «Процессы».

Сразу бросается в глаза группировка приложений по типам:


Группировка программ

— и я готов был бы даже похвалить эту функцию, если бы не зашёл в настройки и не обнаружил, что определение приложения и группировка идёт по списку имён процессов (skype.exe, soffice.bin). Соответственно, в список можно добавить любое приложение, а-ля wow.exe и внести в список «Интернет-приложения». А тем более, если игра защищена от снятия скриншотов, то на её запуск никто и не обратит внимания (особенно, если слежением занимается не системный администратор, а непосредственный начальник).

Полезной дополнительной функцией здесь можно выделить возможность удалённого завершения процесса.


Списки имён исполняемых файлов

Клавиатурный перехватчик (keylogger)


Keylogger тоже входит в набор функций Standard-версии. По своей сути, это потенциально-опасная возможность, ведь недобросовестный сотрудник может использовать её, как и всю программу, для шпионажа за нами. Но наша цель благородна – не допустить утечку конфиденциальных данных. И эта часть программы успешно справляется со своей задачей. Есть возможность посмотреть, какие горячие клавиши нажимал пользователь:


Встроенный кейлоггер

Помимо этого программа способна запоминать данные, внесённые в буфер обмена. Опять же фича достаточно полезная – с её помощью можно выяснить, что копирует пользователь. Возможно, он нарушает правила корпоративной системы безопасности и копирует пароли, чтобы вручную не печатать или же, этот злосчастный пользователь распространяет коммерческие тайны конкурентам.


Содержимое буфера обмена

Помимо всех вкусностей, о которых я уже писал выше, программа способна вести запись событий файловой системы и создавать отчёт использования USB-устройств компьютера.


Запись событий файловой системы

Соответственно, всегда можно посмотреть, кто и во сколько принёс троянскую программу, что положила всю сеть предприятия.


«Кто там флешку вставил?»

А ещё меня очень порадовала система генерации отчётов, которая поддерживает импорт отчёта в HTML, PDF, CSV. При подробном режиме в HTML отображается диаграмма, которая показывает, сколько времени было отдано активности того или иного окна. Это позволяет быстро проанализировать занятость пользователя. Так, например, всегда можно обнаружить, если пользователь проводит 70% рабочего времени с открытой «Косынкой».


Диаграмма активности пользователя

Другие плюшки


Помимо всего вышеперечисленного разработчики заявляют ещё и теневое копирование файлов, попадающих в буфер обмена (когда юзер что-то копирует или вырезает), отправляемых на печать (теневая копия сохраняется в виде изображения), а также файлы, отправляемые в социальные сети: фотографии, музыка, видео.

Безопасность


Изучая программу, я обнаружил две уязвимости, позволяющих заблокировать её работу — первая касается доступа к настройкам антивируса, вторая — 64-битные системы.

Во-первых, Kaspersky Internet Security 2012 позволяет добавить основные модули в группу «Недоверенные» в контроле программ, и StaffCop перестаёт запускаться. Хотя в гостевом доступе, под которым сидят практически все офисные сотрудники в крупных компаниях, сделать ничего не получится, — иметь в виду это нужно.


Запрет от антивируса

Вторая уязвимость связана с возможностью её обнаружения в 64-битных системах. В скрытом режиме работы система должна быть максимально спрятана от пользователя ПК, чтобы было сложно определить, что за компьютером ведётся мониторинг, в процессах её обнаружить нельзя. Но в 64-битных системах полностью спрятать её не получится, поэтому её можно обнаружить и отключить в службах, и запретить автоматический запуск. Таким образом можно заблокировать StaffCop: он перестаёт передавать какие-либо данные на сервер, при этом определяясь «в сети», то есть, как будто какая-то ошибка связи между компьютером и сервером.


Убитая служба приложения

Впрочем, Windows x64, в корпоративном сегменте практически не распространены, а в 32-битных системах процессы StaffCop обнаружить нельзя, поэтому уязвимость это весьма условная. Отсюда вывод: админский доступ к компьютеру и контроль за его пользователем — несовместимы. Впрочем, это итак должно было быть понятно.

Другие версии


Для дома есть более дешёвая Home-версия, позиционируемая как родительский контроль. От Standard-версии она отличается возможностью установки лишь на 1 ПК и, соответственно, невозможностью использования функций управления по локальной сети. В остальном же она повторяет все функции старшей версии.

Кроме того, есть более «продвинутая» версия приложения, позволяющая более подробно вести аудит персонала — Security Curator. В ней отключена возможность скрытой работы и пользователи знают, что за ними следят, и добавлены такие полезные функции, как, к примеру, мониторинг активности FTP, уведомления о нарушении политики по SMS, блокировка подключения USB-устройств и блокировка запуска приложений.

Конкуренты


Основные конкуренты приложения: LanAgent Standard, который предоставляет практически те же функции по чуть более высокой цене, а также Mipko Personal Monitor, который, в отличие от вышеуказанных программ имеет поддержку Mac OS X.

Сравнение возможностей программ.

Изучая тему, я нашёл комментарий по теме на Хабре (пунктуация и орфография автора сохранены):
LanAgent — ужас ужас ужас — ставится тяжко удаляется еще тяжелее. Кроме того иногда грузит систему как рендеринг Аватара… Хотя отчеты вроде бы даже и ничего. Mipko — этот ужас не умеет нормально удаленно устанавливаться. StaffCop — ставится просто — но толи у меня что то не так — толи в самой программе — но наблюдать компьютеры в консоли — нереально — они то пропадают — то исчезают.


По гамбургскому счёту


функция снятия скриншотов
отправка сообщений по сети
построение графиков активности
возможность удалённого завершения процессов

не полностью реализованная поддержка 64-битных систем

Конечно, подобные программы не панацея от безответственности или злого умысла. StaffСop Standard способен лишь указать источник утечки. Предотвратить её он не может. В конечном итоге, самое важное — грамотно выстроенные процессы и управление кадрами. Тогда работодатель сможет быть спокоен за корпоративную тайну и занятия сотрудников в рабочее время. А StaffСop нужен, чтобы подтвердить его уверенность.
Tags:
Hubs:
If this publication inspired you and you want to support the author, do not hesitate to click on the button
+2
Comments 50
Comments Comments 50

Articles