9000 euro di bolletta

[albgen]

Originariamente inviato da Caleb
bè il lato burocratico se lo smazzeranno loro
io sono lì un po' per amicizia col direttore generale e un po' perchè il loro tecnico interno è in mutua

ma può un programma malevolo decidere autonomamente di spedire all'esterno una tale mole di dati (di qualunque cosa si tratti)?

si, che può !!
è quello lo scopo principale, e cioè rubare dati o cmq capire il tipo di utente e le sue "abitudini"...

Originariamente inviato da Caleb
....
perchè una connessione dall'esterno verso un'eventuale porta aperta da un trojan su quel pc mi sembra pressochè impossibile, avendo il router blindato
io comunque gli installerei un firewall

il router anche se blindato ti lascia passare tutto il traffico dalla azienda verso l'esterno (altrimenti non riusciresti a navigare in internet !!!).
la soluzione è usare una macchina (per es pc con linux e squid) come un proxy !!!
cmq, bel casino...

[Caleb]

ma il proxy già c'è (ISA server)

allora mi sa che il router ha qualche baco nelle access list perchè per quanto ho letto dalla config accetta traffico dall'interno verso l'esterno solo se proveniente dall'ip del proxy*... dovrei provare a metterci le mani; o gli metto un firewall e buonanotte

*può anche essere che qualcuno non me la conti giusta, nel senso che ci vuole poco a staccare il cavo di rete del proxy (la macchina è in un locale aperto a cani e porci), entrare su un pc con l'account locale di administrator (quindi fuori dal dominio) e assegnare a quel pc l'indirizzo del proxy in modo da essere accettato dal router, senza così essere tracciato dal proxy stesso

perchè, non so se l'ho già scritto, ma nessuno di quegli ip risulta essere nei log del proxy; e la presenza di tutti sti virus sul pc citato mi fa pensare che quella persona proprio in buona fede non lo sia molto...

cioè, io nella mia fervida fantasia mi sto figurando sto quadro:

il tizio è un pippaiolo di prima categoria ma non lo vuole far sapere a nessuno, tecnici compresi, quindi non potendo bypassare il proxy perchè il suo account non glielo permette trova il modo di loggarsi con l'administrator locale (per recuperare la password basta uno dei tanti strumentini online), in modo da potersi cambiare le impostazioni del browser; a questo punto scopre che anche bypassando il proxy non naviga, perchè il router non accetta connessioni provenienti dal suo ip; il tizio chiedendosi perchè il proxy sì e lui no fa due più due, quando in ditta non c'è nessuno va a staccare il cavo di rete dal proxy e assegna a sè stesso quell'indirizzo; naviga tutto felice e senza nessun controllo, scarica tutte le porcherie di sto mondo, magari disabilita anche l'antivirus perchè navigando sui siti porno gli rompe i coglioni ogni volta che IE tira giù un dialer, e la frittata è fatta: il pc si riempie delle stronzate più inumane e tanti saluti; aggiungo che in ditta nonostante abbiano una trentina di client non c'è quasi mai nessun dipendente, sono tutti promoter che lavorano fuori ufficio... quindi chi rimane in sede fa il bello e il cattivo tempo, avendo gli strumenti giusti...

boh, domani mi metto all'opera e tento di blindare il blindabile

[albgen]

non vorrei farla troppo semplice, ma per accedere come admin in xp basta andara in modalità prov entrare con nome utente Administrator e aggiungere un altro admin....
e da li può fare tutto....

[young]

Originariamente inviato da albgen
non vorrei farla troppo semplice, ma per accedere come admin in xp basta andara in modalità prov entrare con nome utente Administrator e aggiungere un altro admin....
e da li può fare tutto....

se non è stata impostata una password per l'amministratore. In questo caso basta richiamare il logon classico e accedere come amministratore senza bisogno di ripartire in modalità provvisoria. In ambito aziendale è un errore non impostare la password dell'amministratore (oppure disabilitarlo in un dominio AD), la password del bios e l'impostazione dell'hard disk come periferica primaria di boot.

[albgen]

Originariamente inviato da young
se non è stata impostata una password per l'amministratore. In questo caso basta richiamare il logon classico e accedere come amministratore senza bisogno di ripartire in modalità provvisoria.

io intendo l'account Administrator in modalità provvisoria (che non si vede nella schermata di logon, se appunto il boot è normale) e nel 99% nessuno imposta pass per tale account..

[young]

l'account administrator può accedere al computer anche in modalità normale: basta digitare CTRL+ALT+CANC per pochi secondi alla schermata del logon di Xp e appare la maschera classica di logon. In ambito domestico normalmente non si imposta la password (anche se è sbagliato), ma in ambito aziendale è un suicidio!

[albgen]

tanti lo fanno

[albgen]

tanti lo fanno..

[Caleb]

dunque, gli ho messo uno zywall2 a valle del router e ho bloccato tutto il traffico in uscita all'infuori di http, smtp e pop

inoltre l'http è bloccato per tutti tranne che per il proxy (se serve...)

sullo zywall ho abilitato i log per i tentativi di traffico che non rispondono ai requisiti di cui sopra

ora i pc sono tutti puliti, vedremo come va...

[albgen]

ottimo...
ti consiglio di creare qualche regola nel zywall, tipo: blocca tutti gli ip di alice,libero,tin
basta creare 1 regola per ogni gruppo di ip appartenenti a ogni operatore...
cosi' sei sicuro che blocchi tutto..