Tl;dr: множество пользователей жалуются на то что их аккануты взломаны; сайт teamviewer.com не работал несколько часов из-за проблем с DNS.

За последние несколько дней появилось множество сообщений зарубежных пользователей о том, что их аккаунты Teamviewer были скомпрометированы злоумышленниками:



Многие пользователи утверждают что использовали 2FA авторизацию и белые списки, но, тем не менее, кто-то завладел управлением.

Short of using a white list I did everything teamviewer recommends for securing a computer.
With my phone in my pocket and it being the only authentication source and considering I disabled quick access on all other devices, I really can't see how their service is not compromised.
Tonight I turned on my monitor to find chrome open on Amazon and the TV thank you up. I never use chrome so they didn't get any money. They did access my user account for Windows however, so I had to change my password. But the log shows they were in for less than 2 minutes and walked away with nothing.
I can't emphasize this enough: remove TV until they admit there is a problem, and have fixed it. I was very lucky, but most people won't be! Wait to use it again until you can be sure this won't happen, not worth taking chances!

Служба поддержи TeamVeiwer уверяет что утечки не было:
Please know we have no security breach. We're experiencing issues in parts of our network. We’re sorry for the inconvenience.

Недоступность сайта teamveiwer.com в течение нескольких часов подняла градус накала пользовательских страстей. Предположительно, проблема была связана с DNS-серверами.
We are back up and running again. However it may take some time until all regions are back to regular service.

Хабрапользователи тоже сообщают о проблеме:
jamurai
22мая в 8 утра где-то подключились на комп жены, скинули прогу для просмотра паролей, зашли под моим аккаунтом, т.к. ничего сломать не смогли, везде почти подтверждение кодом с мобильника, смогли только войти в paypal, зарегистрировались в каких-то забугорных сайтах подарочных карт itunes… и начали снимать деньги покупая их через PayPal… часть сняли, далее пошли отказы из-за отсутствия средств… следы не подтирали… на компе жены ничего подозрительного из софта нет… Грешил именно на TeamVeiwer!… PayPal деньги вернули быстро, что так же навело на мысль, глобального взлома… и PayPal и TeamVeiwer я думаю в курсе событий… я ждал эту новость, странно что она идет с опозданием…
Hedy 2 июня 2016 в 10:21 0
На рабочем компьютере вчера подключились и поочередно открывали/закрывали сайты paypal, amazon, ebay.
Некоторые утверждения довольно спорны и даже сомнительны, но, тем не менее, стоит проявить лишнюю бдительность и усилить меры безопасности.


DefconRU — сообщество специалистов в области практической ИБ. Присоединяйтесь!
Поделиться с друзьями
-->

Комментарии (145)


  1. MnogoBukv
    01.06.2016 23:35
    +38

    /Сетевой инженер главному сисадмину/
    — у нас дыра в безопасности!
    — хоть что-то у нас в безопасности…


  1. Sergey6661313
    01.06.2016 23:37
    -13

    Просто нах*й авторизацию. Особенно в таких сервисах где авторизация не результат усиления защиты, а результат попытки срубить бабла с пользователей.


  1. rockin
    01.06.2016 23:44
    -8

    Интересно, что даст злоумышленнику взломанный акк тимвьювера?
    Увидит список контактов и групп? ну и чо?
    Сможет покрутить мышкой у главбуха и потыкаться в файлы? ну и чо?

    тимвьювер сам по себе такая палевная система, что тут можно сделать без богомерзкой драндулетки над часами?!


    1. LukaSafonov
      01.06.2016 23:48

      Народ пишет что сливают paypal (тоже без 2FA?) и т.д, используя сохраненные в браузерах пароли.


      1. ydaf
        01.06.2016 23:54
        +2

        2FA у пейпала только в US, CA, UK, DE, AT и AU, причем необязательный.


        1. centur
          02.06.2016 06:08
          +1

          Причем он настолько неудобный, что каждый раз когда пользуюсь — плююсь и подавляю желание его выключить.
          Они присылают только СМС, только на 2 минуты и никак не запоминают такую сессию, т.е. надо логиниться каждый раз. иногда по 2-3 раза если есть редирект из старого интерфейса в новый. Любая задержка с доставкой смс — не пустили, логинитесь 2 раза подряд и смс пришли в другом порядке — не пустили… они очень нехорошие редиски...


        1. Noiwex
          02.06.2016 11:39

          Google Authenticator ребятам из TeamViewer видимо не показывали.


          1. ydaf
            02.06.2016 11:47
            +1

            Как раз таки у TeamViewer 2FA есть и работает у всех, а не в ограниченном количестве стран. Просто к сожалению опять же — он необязательный.


            1. dewil
              03.06.2016 10:11

              как обычно, он есть, но юзеры о нем не знают.
              кроме того, что есть, надо еще юзерам раз в 3 месяца напоминать о необходимости его использования.


            1. Kju
              03.06.2016 10:31
              +2

              О том что там есть 2FA я узнал из этой статьи — за все время использования мне ТВ ни разу не вывел предложение о том что «username — включи 2ФА обезопась себя»


      1. rockin
        02.06.2016 00:03
        -1

        эт как? используя передачу файлов? да там же «драндулетка над часами» вылетает…
        у меня лично нет таких юзеров, что при возникновении этой проблемы, молча наблюдают

        да и вообще, я ставлю тимвьювер исключительно на домашние компы (а как вы иначе туда прикажете подключаться? если есть некоторые «боссы», к компам которых лучше сразу подключиться, а не устраивать квест (для них) с передачей логина-пароля...)


        1. soniq
          02.06.2016 22:34

          Сам я не админ, но админы нашей большой компании используют NetMeeting для таких случаев. Он, вроде как, через AD настроен так, что доступен только через VPN. И да, тимвьюер категорически запрещен на рабочих компах.


      1. jamurai
        02.06.2016 10:18
        +3

        22мая в 8 утра где-то подключились на комп жены, скинули прогу для просмотра паролей, зашли под моим аккаунтом, т.к. ничего сломать не смогли, везде почти подтверждение кодом с мобильника, смогли только войти в paypal, зарегистрировались в каких-то забугорных сайтах подарочных карт itunes… и начали снимать деньги покупая их через PayPal… часть сняли, далее пошли отказы из-за отсутствия средств… следы не подтирали… на компе жены ничего подозрительного из софта нет… Грешил именно на TeamVeiwer!… PayPal деньги вернули быстро, что так же навело на мысль, глобального взлома… и PayPal и TeamVeiwer я думаю в курсе событий… я ждал эту новость, странно что она идет с опозданием…


        1. 9999lapka
          03.06.2016 14:02

          А как вы заметили что подключались? в файле с incoming подключениями? или другие логи смотрели?
          или заметили открытые посторонние сайты в журнале браузера?
          у меня что-то подозрительное с тимвьювером но в его логах не могу разобраться если честно:(
          тимвьювер пишет «не готов. проверьте подключения» и даже сайт его официальный не грузится, хотя и антивирус отключала и фаервол- ну мало ли исключения может, потом переустановила тимвьювер- все та же фигня- не работает


          1. jamurai
            03.06.2016 17:09

            Вывел компьютер из сна, была открыта прога типа passkey(на память) там были все мои логины от google chrome, так же папка c:/AMD/ где хранятся драйвера на радеон соответственно, в ней закинуты были три файла этой проги… ну т.е. явно моя кошка не могла такого натворить походив по клавиатуре :D… жена сказала что у нее была открыта вкладка с сериалами… её небыло… я тупо нажал ctrl+H посмотреть историю… и там да, было куча посещения сайтов с 8 00 до 8 30 где то примерно… регистрация и оформление на jerrycards com к примеру и похожие… у меня теамвьювер стоит чтобы помогать тёщё/тестю/родителям и пр родственникам/друзьям знакомым… видел так же такую активность в последние время когда кто-то просит добавится в друзья в теамвьювере… отклонял несколько раз… но уже было понятно что это не к добру) думаю теамвьевер давно щупали на взлом..)


        1. trijin
          07.06.2016 15:22

          26го мая в 11 подключились к ноуту, используемому как телевизионная приставка (потому и вьювер там стоит запароленый на прямое подключение буквы, регистр, цифры.несловарь) подключился. зашел на свежезарегиный аккаунт ебей и купил подарочную карту через paypal.
          проснулся от СМС — подхожу, на экране открытая сессия тимвьювера. вырубил, достал логи, написал в PayPal (быстро отреагировали и вернули). Написал в TeamViewer —через неделю ответили, что сожалеют что такое произошло, я могу подать в полицию и по запросу полиции — они предоставят логи. По их мнению я скомпрометировал свой емейл и пароль, но логин то был не из под моего акканута)


      1. Hedy
        02.06.2016 10:21

        На рабочем компьютере вчера подключились и поочередно открывали/закрывали сайты paypal, amazon, ebay.


    1. KonstantinSamsonov
      02.06.2016 11:39
      +1

      Посмотреть на заблокированный Windows тоже приятно…


  1. Londoner
    02.06.2016 00:55
    +2

    А какие есть альтернативы Тимвьюеру в условиях когда сидим за NATом? Особенно бесплатные?


    1. LukaSafonov
      02.06.2016 00:57

      Проброс портов, DynDNS и аналоги, из софта типа TV — Ammyy admin и т.д.


      1. Londoner
        02.06.2016 01:00

        Кстати, да, в тему — какие есть надёжные и по-настоящему бесплатные аналоги DynDNS?


        1. LukaSafonov
          02.06.2016 01:03
          +5

          Собственный VPN надёжнее всего.


          1. Londoner
            02.06.2016 01:13
            +2

            Дано: комп на винде за натом, перед ним пользователь, умеющий лишь запустить браузер, нажать мышкой на пару кнопок и прочитать с экрана код. Надо получить к компу удалённый доступ. Будем обучать юзера установке VPN?


            1. brunen9
              02.06.2016 06:19

              Chrome Remote Dektop?


              1. ilyuxa
                02.06.2016 09:21
                +3

                Если пользователь умеет только браузер запустить, то и браузер у него соответствующий — синенькая иконка с надписью «Интернет»


            1. 4dmonster
              02.06.2016 09:53

              А самим собрать установочный пакет что не позволяет?


              1. ilyaplot
                02.06.2016 10:07

                Teamviewer как раз позволяет ничего не устанавливать, а просто запустить Quick support


                1. 4dmonster
                  02.06.2016 10:12

                  Полностью согласен. Это вечная проблема: «Чем более безопасно — тем менее удобно.»


                  1. ilyaplot
                    02.06.2016 10:20

                    На самом деле qs вполне безопасен, потому что запущен только в нужный момент. А вот если у человека все машины под одной учеткой с сохраненными паролями в списке компьютеров, тут все серьезнее.


                  1. akaChewy
                    02.06.2016 13:34
                    +1

                    Недавно на Гиктаймс пост с похожей темой был.
                    geektimes.ru/post/276586
                    Вот цитата оттуда.
                    «Для проникновения в систему необходимо получить физический доступ к машине. Но даже в этом случае хакеру будет трудно, ведь ему придётся использовать древнее оборудование, разбираться в программах на COBOL и FORTRAN. Архаичное железо и софт — это в каком-то смысле дополнительный уровень защиты.»


                    1. 4dmonster
                      02.06.2016 13:41
                      +4

                      Для начала он проверил собственный банк данных в поисках любого упоминания «Спектр», но, как и следовало ожидать, он вышел с пустыми руками. Ничего удивительного, поскольку он не мог припомнить, чтобы когда-нибудь слышал о ком-то, кто называл бы себя Спектром, и поэтому Брюс никогда не вводил в свою систему подобной информации. Затем он набрал серию команд и ввел программу поиска данных в архивах ФБР, ЦРУ, УНБ,[17] Британской MI-6, Израильского Моссада и Интерпола, где, наиболее вероятно, хранилась информация о международных террористах и наемных убийцах. Единственное, что его огорчало, — это невозможность добраться до архивов КГБ, и не потому, что русские были слишком умные, а потому, что их системы хранения подобных материалов были безнадежно устарелыми. Самые изощренные компьютерные программы в мире не смогут открыть ящик письменного стола.


            1. TaHKucT
              02.06.2016 10:01
              +2

              https://habrahabr.ru/post/137723/


            1. parmactep
              02.06.2016 10:23
              +2

              Подключается тимвьювером
              Настраиваем vpn
              Удаляем тимвьювер
              Profit


            1. inkvizitor68sl
              02.06.2016 14:43

              Можно подготовить сборку openvpn для него на свой сервер. Ну и там по вкусу второй бинарник с нужным софтом.


            1. shoguevara
              02.06.2016 18:30

              Hamachi? Только вот сетка виртуальная, опять же, в их распоряжении… Свой VPN, конечно, оверкилл, но один из наиболее безопасных способов. К нему еще 2FA через radius с TOTP вполне можно подрубить. Если честно, то начал задумываться. А еще можно развернуть это все дело на облачной тачке и включать ее только по мере надобности, только тут еще надо на стороне машины, куда необходимо получить удаленный доступ, либо на роутере, куда она подключена, периодически опрашивать сервер с VPN и при наличии активности с его стороны — коннектиться автоматом. Ну, вы понимаете, это уже совсем для параноиков.


        1. fahreeve
          02.06.2016 11:07

          до этого пользовался noip.com, а после покупки домена понял, что у них бесплатно нельзя привязать свой домен. После этого нашел вот это: dynu.com. Функционал тот же, к тому же нет ограничений на бесплатное кол-во доменов 3 уровня


          1. Londoner
            02.06.2016 11:09

            Так, вот это уже полезный разговор пошёл, спасибо. У кого ещё какие идеи?


            1. ValdikSS
              02.06.2016 11:19
              +1

              dns.he.net


            1. fahreeve
              02.06.2016 11:22

              а по поводу NAT, я от него избалвился таким образом: купил тариф подороже и мне дали серый ip.


              1. JerleShannara
                02.06.2016 19:00

                Может всетаки белый? Серые это 10.0.0.0/8: 172.16.0.0/12 и 192.168.0.0/16


                1. fahreeve
                  02.06.2016 19:05

                  Именно серый. У онлайма, если на дешевых тарифах, то за натом сидишь, а в остальных дают серый айпи. А для белого надо рублей 200 платить вроде бы. Такая же система и у других операторов. но сходу я назвать их не смогу.


                  1. charliez
                    03.06.2016 16:49
                    +1

                    Путаете понятия белый/серый и динамический/статический.


                  1. monah_tuk
                    04.06.2016 01:56

                    Вас или обманули или вы что-то путаете: https://ru.wikipedia.org/wiki/%D0%A7%D0%B0%D1%81%D1%82%D0%BD%D1%8B%D0%B9_IP-%D0%B0%D0%B4%D1%80%D0%B5%D1%81


                    Частный IP-адрес (англ. private IP address), также называемый внутренним, внутрисетевым, локальным или «серым» — IP-адрес, принадлежащий к специальному диапазону, не используемому в сети Интернет. Такие адреса предназначены для применения в локальных сетях, распределение таких адресов никем не контролируется. В связи с дефицитом свободных IP-адресов, провайдеры всё чаще раздают своим абонентам именно внутрисетевые адреса — а не внешние.

                    собственно для такого адреса и нужен NAT.


                    Вот ещё ссылочка: https://zyxel.ru/kb/2730/


                1. soniq
                  02.06.2016 22:47

                  Наверное, имеется ввиду "рандомный публичный" адрес. 10.х и прочие — чернота же?


            1. argz
              02.06.2016 12:41

              Я использую https://freedns.afraid.org. У него можно через curl или wget обновить ip-адрес.


        1. tsklab
          02.06.2016 12:54

      1. Londoner
        02.06.2016 01:05

        Ammyy не катит — нет мобильного клиента, бесплатно не больше 15 часов в месяц.


        1. Alexufo
          02.06.2016 02:09
          +3

          по инсайдерской информации с касперского ами был скомпромитировал очень серьзно пол года назад. Этот троян стоит забыть. Есть аналоги типа aeroadmin тока все аналоги на xp не работают :-)


          1. chelaxe
            02.06.2016 07:56

            Каспер лочит его и обращение к серверу. Приходится вечно его добовлять в исключение и его сервер. Так же лочит его хром и Microsoft Edge. А так крутая вещь была. Мало весила, влет запускается и работаешь. Очень удобно, но что то разработчики их подзабили.


          1. borisdenis
            02.06.2016 10:23

            Ссылочку бы, почитать об этом интересно


            1. Alexufo
              02.06.2016 11:17

              родственник одного из аналитиков написал об этом, сказал у них через этот ами у весьма солидных фирм тырят бабло


            1. AndrewFoma
              02.06.2016 11:54

              сам лично сталкивался при разгребании ситуации и последствий кражи через ДБО в одной конторке, там как раз нашел следы этого ammyy.


              1. Tokijirichirink
                03.06.2016 17:09

                Тоже неоднократно сталкивался со взломом ДБО с использованием Ammy Admin.


          1. Apatic
            02.06.2016 10:32

            Году в 2011 подключался к клиенту через Амми. Тут кто-то перехватил управление, стал шариться по дискам, пытаться что-то удалить и т.д. Первая мысль была, что это местный админ просто сел за комп. Но потом вспомнил, что дело ночью происходит, да и подключаюсь к серваку, а не к обычному компу. В общем в тот раз обошлось без ущерба, слава богу, но с тех пор Ammyyстараюсь не пользоваться.


          1. GenL
            02.06.2016 11:38

            Хочу заметить, что в Ammyy есть возможность отключить использование внутренних ID. Т.о. использовать придется IP-адрес, что приемлемо если на другом конце он не динамический, и если порты уже проброшены. Зато нету ограничений, и работоспособность не зависит от сторонних серверов. Использую его уже несколько лет для доступа к домашнему компу. TV с белым списком — только как резерв.


            1. KorDen32
              06.06.2016 10:14

              В TV тоже есть возможность подключаться прямо по IP и запретить внутренние ID. Единственно — нельзя указать порт, таким образом если за роутером с одним IP два TV, нельзя настроить два перенаправления и подключаться по порту, только менять перенаправление с одного на другой.


          1. rattlersnake
            08.06.2016 13:03

            Вроде как сам ами невредоносен, просто его малварщики активно используют из-за некоторых особенностей, типа возможности его «бесшумной работы».


      1. ScoutUa
        02.06.2016 10:23

        Год-два назад Амми админ был лимитирован в часов 15 бесплатных в месяц


      1. Jump
        02.06.2016 13:34

        Хороших альтернатив практически нет.
        Проброс портов поможет только тогда, когда у вас есть белый адрес и вы находитесь за NAT'ом своего роутера.
        DynDNS абсолютно ничем не поможет — он просто резольвит имя в адрес.

        Аналогов масса, но уровень исполнения низкий.
        Например тот же Ammyy admin — они банально не могут подписать файлы цифровой подписью, в результате блокировка безопасности Windows срабатывает, и антивирусы.


      1. Sklif
        02.06.2016 22:48

        https://habrahabr.ru/company/eset/blog/270643/


      1. Wingtiger
        03.06.2016 09:47

        >LukaSafonov
        >Проброс портов, DynDNS и аналоги, из софта типа TV — Ammyy admin и т.д.

        есть амми, но у них время в месяц ограничено.
        А вот радмин интересно [не]работает — нередко не подключается. Передача ip-а (мой клиент) на дин. днс работает отлично, порты проброшены… Но когда клиент радмина видит сервер, а когда нет. У кого-нибудь есть мысли на что материться?


    1. CaptainFlint
      02.06.2016 01:38

      LiteManager можно глянуть.


      1. Alexufo
        02.06.2016 02:10

        да… эти изощенне интерфейсы просто жесть какая то. уж если чего лучше aeroadmin


    1. alex_ter
      02.06.2016 04:55
      +1

      RMS Удаленный доступ https://rmansys.ru/
      Там до 10 компов бесплатно, в т.ч. для юрлиц.


      1. ViceCily
        02.06.2016 05:44

        Полностью поддерживаю. Имеется возможность настройки входа по «Internet-ID», т.е. работает за NAT. Причем можно поднять свой личный сервер, выдающий Internet-ID.
        По функционалу, наверное самое навороченное решение, есть даже доступ к веб-камере, реестру, диспетчеру устройств (в удобном виде, без подключения к самому экрану).


      1. Ghool
        02.06.2016 10:00

        У лайтменеджера бесплатно 30 компов.

        По сути лайтменеджер и рмс — одна прога.
        Авторы решили разделиться несколько лет назад, с тех пор конкурируют чутка :)

        Кстати, на форуме лайтменеджера автор активно отвечает на вопросы и допиливает функционал по запросам.


        1. ViceCily
          02.06.2016 12:14

          Возможно неправильное мнение, но RMS, как я считаю, после разделения обрел больше функционала, чем Лайтменеджер. В частности все что касается удаленных устройств (камера, принтер, ТВ-тюнеры и т.д.).


    1. Lelik13a
      02.06.2016 09:47

      ultravnc и свой сервер (repeater).


      1. ValdikSS
        02.06.2016 10:53
        +1

        Тогда уж TigerVNC.


      1. Jump
        02.06.2016 14:26
        -1

        Если бы все было так просто…
        Да есть и ultravnc и куча других открытых решений построенных на базе VNC.
        И они в принципе работают.
        Но как замена тимвьюверу не подойдут.
        Самая главная проблема — они требуют установки или прав администратора. Самый распространенный вид использования тимвьювера — быстрый доступ к компьютеру клиента, причем клиент ничего сложнее чем скачать файл и запустить его не понимает, и не факт, что у него есть права админа.

        Далее — любая система удаленного управления является по сути трояном. Поэтому антивирусы и система будут блокировать такие программы, дабы этого избежать нужно подписывать файлы, причем сертификат должен быть от вызывающей доверие конторы.


    1. Ghool
      02.06.2016 09:53

      LiteManager имеет возможность подключения по ID. Сервер можно ставить свой — то есть можно полнгстью контролировать доступ на сетевом уровне.


      1. Ghool
        02.06.2016 09:55

        Пу функционалу он рвёт всех, а вот по стабильности и удобству в хвосте.

        Но уже напилили клиенты под мобилки.


    1. trx2012
      02.06.2016 10:23

      AnyDesk


    1. zeronice
      02.06.2016 10:23

      из vnc можно собрать аналог. обертка с интерфейсом типа ammyy пишется за день. ну и разместить промежуточный сервер где-то для обхода NAT. решение абсолютно рабочее. К сожалению, исходниками поделиться не могу, ибо NDA


    1. slavius
      02.06.2016 10:23

      LiteManager


    1. kengaru
      02.06.2016 10:23

      Из тех продуктов, чья инфраструктура находится в периметре компании более-менее на первый взгляд похож на то что нужно Solarwinds Dameware Remote Support.

      Для относительно немелких компаний — и денег стоит и инфраструктура под него не из одного сервера, если поддержка оказывается удаленным пользователям тырнетов. Из преимуществ — интеграция с AD и ролевую модель с двухфакторной аутентификацией в каком-то виде поддерживает с смарткартами.

      Есть и еще похожего вероятно, тот же Ammyy Admin.


      1. Ghool
        03.06.2016 08:16

        Но тут же речь про подключение за nat



    1. mikes
      02.06.2016 11:01

      правильная организация доступа к клиенту вполне альтератива.


    1. Noiwex
      02.06.2016 12:38

      SSH tunnel + RDP не открытый в сеть


      1. Noiwex
        02.06.2016 12:42

        А под Android можно скачать удобный SSH-клиент JuiceSSH, он также может настраивать тунели. В сочетании с официальным приложением RDP от Microsoft работает отлично.


        1. Ghool
          03.06.2016 08:21

          При этом через тот же туннель нормально работает радмин или litemanager


      1. Ghool
        03.06.2016 08:17

        Если туннель через putty делать — в 9 случаях из 10 rdp подключается, но видно только чёрнфй экран


    1. Blasto0
      02.06.2016 13:59

      Попробуйте это: www.radmin.com. Использую его более трех лет. Быстрая, а главное безопасная программа для удаленного управления компьютером. Преимущества — высокая скорость, надежность системы безопасности.


      1. Mr_Floppy
        02.06.2016 15:11

        Ага, и не разрабатывается уже 10 лет. В свое время очень удачная программа была, но на сегодняшний день уступает тому же TeamViewer — нет возможности подключения через NAT, нет версий под MacOS, Linux, Android, iOS.
        Запустить же TeamViewer и продиктовать ID/пароль может любой «непродвинутый» пользователь, не нужно прокидывать порты и настраивать firewall.

        А для локалки для подлючения к серверам есть RDC и удаленный помощник в Windows.


        1. Natalia_Grigoryeva
          02.06.2016 19:07

          Radmin хорош в качестве альтернативы для корпоративного использования. За всю историю существования продукта, а Radmin на рынке с 1999 года, ни разу не было найдено ни одной уязвимости в Radmin. Даже конкурс проводили в 2004 году: на компьютер с выходом в Интернет был установлен сервер Radmin, и тот, кому удалось бы взломать защиту и получить доступ к компьютеру, мог получить денежный приз. За шесть с лишним месяцев работы сервера взломать его не удалось никому, хотя хакерами были предприняты многочисленные попытки анализа протокола и дизассемблирования кода Radmin. Новая версия, Radmin 4, в разработке, сроки пока не раскрываются. Версии под мобильные платформы разрабатываются, будут после релиза Radmin 4.


      1. sigmatik
        07.06.2016 16:51

        Программа конечно отличная, но кто вам сказал что она бесплатная? )


    1. Maxlinus
      03.06.2016 09:47

      ChunkVNC и Intermix Support — Kind off a Chunk VNC Fork github.com/LFCavalcanti/intermix



    1. POPSuL
      06.06.2016 07:51

      Есть платный GPP Remote Viewer, и у него есть один минус — сам вьювер есть только под андроид.


  1. PowerMetall
    02.06.2016 06:49

    На оффсайте AMMY кстати в описание преимуществ перед TeamViewer пугают неким «teamviewer rat» (кстати, с юридической точки зрения — законно ли так «в лоб хаять» прямого конкурента?).
    Не связаны ли настоящие утечки именно с аналогами этого, а оффсайт TeamViewer на самом деле лежал всего то из за DNS-серверов?
    По первой ссылке в поисковике имеем:

    Спойлер
    teamviewer rat — билдер бэкдора на базе TeamViewer с отсылкой id и пароля на фтп-сервер.
    Лог шлет в корневую папку на фтп


    1. winDeD
      02.06.2016 08:04

      В TeamViewer минус в том что зная id + pass, тебе не нужны разрешения, и порой даже перезагрузив компьютер «собеседник» сможет переподключится к вам. В AMMY иначе устроено


      1. slavius
        02.06.2016 10:49

        Так вроде меняется пароль по завершению сеанса, если он не установлен через привязанную учетную запись.


        1. BDI
          02.06.2016 13:00

          По завершении сеанса меняется пароль разового доступа(при условии что такое действие прописано в настройках, может и не меняться :)). Но можно задать постоянный пароль(и не один). Плюс можно использовать белый список ID которым разрешено подключение(есть и чёрный список). Для подключений домработа белый список сойдёт, хотя с левого ID уже не подключиться будет :( — нужно предусмотреть альтернативные пути получения доступа к своему компу для расширения белого списка.
          В моём случае я не имею возможности использовать двух факторную авторизацию, так как всё ещё вынужден сидеть на 7-ой версии(апгрейд не из дешёвых), а двух факторная авторизация требует версии не ниже 9-ой :(.


      1. MAXXL
        02.06.2016 10:52

        Иначе это как? Если AMMYY установлен как служба, и прописан постоянный пароль доступа, то можно сколько хочешь перегружать комп и снова подключаться удаленно, при этом никаких дополнительных действий от локального пользователя не требуется.


      1. Ghool
        03.06.2016 08:23

        Есть галка «подтверждать подключения»


  1. barsuksergey
    02.06.2016 09:27

    Будет жалко отказываться от TV, если его постигнет участь Ammyy. Сейчас уже с Radmin-ом особо не хочется воевать, а VPN поднимать и подавно. Особенно если просто по-быстрому надо с андроида на комп зайти или пару файлов качнуть.


  1. gimntut
    02.06.2016 10:23
    +1

    [теория заговора]
    Как-то слишком вовремя кто-то создал проблемы в работе Teamviewer и стал пугать всех, что угнали пароли.
    Как раз в тот момент, когда Microsoft собирается раздать всем владельцам винды свой аналог, причём бесплатно: msoffice-prowork.com/microsoft-rabotaet-nad-analogom-teamviewer-dlya-windows-10
    [/теория заговора]
    А если серьёзно, то пароли стоит поменять в любом случае.


    1. AndersonDunai
      02.06.2016 17:21

      Однако, интересно. Действительно четкое совпадение. Shame, shame, shame! *звонит колоколом*


  1. TheLonerD
    02.06.2016 10:23

    Недавно на акк тимвьювера начали добавляться люди, которых до этого никогда не видел. Совпадение?


  1. pavel_mashanov
    02.06.2016 10:23

    Использую openvpn + ultravnc. Неудобно.


  1. Avitale
    02.06.2016 10:43

    Я вот одно не пойму: взломанные компьютеры были запаролены или нет? И если были, то каким образом злоумышленникам удалось залогиниться в систему? Просто интересен сам механизм взлома через ТМ, может кто объяснить?


    1. daggert
      02.06.2016 11:07

      Те кто ставят ТВ на компьютер — врядли озадачиваются и паролями и обычным уровнем доступа в систему, только админ без пароля, только хардкор.


    1. Kju
      02.06.2016 14:27

      На домашнем компе у очень маленького количества людей установлена блокировка сеанса пользователей по таймауту. Даже если есть пароль на учетную запись то домашний комп как правило включен постоянно и не заблокирован (а уж если живешь один то тем более — от кого блокировать?) — поэтому злоумышленику достаточно взломать тв и он оказывается на компе с правами текущего авторизованного пользователя.


      1. daggert
        02.06.2016 14:45

        Она-ж по умолчанию с winXP ставится. Много кто меняет? Оо


        1. Kju
          02.06.2016 15:15

          Эм таймаут блокировки локальных сеансов на клиентских версиях Windows вроде никогда не был включен по умолчанию.
          Из GPO: Интерактивный вход в систему: предел простоя компьютера. По умолчанию: не применяется.

          Блокируется только если комп уходит в Сон — а вот функцию сна как раз многие отключают.


          1. daggert
            02.06.2016 15:47

            Вот сейчас под рукой WinXP SP3 prof. — блокируется после заставки сам, без настройки. Win7 home premium — блокирует после заставки. Win10 — блокирует после 10 минут. Специально не настраивал


            1. EvgeniyKirov
              03.06.2016 19:04

              Блокироваться-то может и блокируется (показывает окно с выбором пользователя), но Windows XP не заставляет ставить пароль на учётку.


  1. whiplash
    02.06.2016 11:38
    +2

    РАФИК НЕУИНОВЕН!!!
    https://www.teamviewer.com/en/company/press/statement-on-potential-teamviewer-hackers/?utm_source=Twitter&utm_medium=social&utm_content=statementonpotentialhackers&utm_campaign=Social&pid=social_tw


  1. ollisso
    02.06.2016 12:44

    Есть подозрение, что это связано с недавными повторными утечками в том же LinkedIN:

    Теория:
    Допустим у взломанных используется один и тот же аккаунт на тимвиевере и на любом другом сайте.
    Ломаем сайт, узнаём пароль и емайл.
    Используем пароль и емайл от сайта для того чтобы зайти на тимвиевер и сделать то что нужно.
    Профит.

    Как вариант — стоит проверить, есть ли информация о том что пароль утёк в сеть например тут: https://haveibeenpwned.com/


  1. molnij
    02.06.2016 13:00

    Извините, я ведь правильно понимаю, что скомпрометированным оказался лишь доступ, который был сохранен в аккаунтах TV? id-пароли, которые не сохранялись не под ударом?


    1. LukaSafonov
      02.06.2016 13:01

      Похоже что затронуло тех, у кого был сохранен доступ к машине.


  1. dmitryredkin
    02.06.2016 13:46

    У меня пару месяцев назад случай был: каким-то образом взломали акк. товарища, у которого мой комп был в сохраненных, зашли на мой комп, пошарились по диску, зашли в браузере на мой пейпал (пароль к пейпалу не сохранен), затем зашли на чей-то еще пейпал и перевели что там было в биткоины.
    Пришлось поменять пароль в teamviewer и поставить ввод пароля на скринсейвер.


  1. ExplosiveZ
    02.06.2016 14:02
    -1

    Зачем нужен TeamViewer, когда есть RDP?


    1. tazepam
      02.06.2016 14:55

      У вас у всех белые IP или возможность проброса портов?
      Мы в своё время обслуживали множество бухгалтерий образовательных учреждений.
      Так вот все они в ДС сидели во внутренней корп сети Департамента образования.
      Всем приходит оптика с серыми IP откуда-то из центра.
      Белых нет. Проброса нет и быть не может (ушел оттуда давно — может сейчас и не так ).
      Как прикажете с ними работать?
      Ammyy был спасением.


    1. Alexander_O
      02.06.2016 15:07

      А если у меня какая-нибудь домашняя редакция Windows, которая не может выступать в роли сервера RDP?..


      1. jazzl0ver
        07.06.2016 15:03

        https://github.com/stascorp/rdpwrap/


    1. Jump
      02.06.2016 15:32
      +1

      Это абсолютно разные вещи.
      RDP используется для удаленного доступа к предварительно настроенным машинам.

      Тимвьювер используется для мгновенного доступа, без предварительной настройки.
      Вам позвонил клиент, вы говорите ему — скачай файл тимвьювер, и запусти, после чего назови ID и пароль.
      В итоге через пять минут вы имеете доступ к компьютеру клиента, причем клиенту не требуются права администратора, умение устанавливать софт. Все что нужно сделать клиенту — кликнуть по ссылке, дождаться пока скачается файл, и запустить его.

      С RDP так не получиться — надо убедиться в наличии белого адреса, разрешить доступ, выяснить адрес, настроить файервол, все это требует знаний системы, и наличия прав администратора. Если белого адреса нет — нужно бежать к провайдеру и покупать его, а это время и деньги.
      В общем не получиться за пять минут подключиться и решить проблему.

      Коренное различие в том, что RDP может пользоваться только администратор, а тимвьювером может пользоваться любой человек умеющий нажимать кнопки на мышке.


      1. Ghool
        03.06.2016 08:27

        А ещё, когда я работаю по рдп, клиент не видит, что я делаю.
        И не может показать мне, чио у него на компеине так.


    1. Elun
      02.06.2016 18:51

      По RDP просто так не запустить OpenGL или OpenCL приложение(да, иногда нужно)


  1. safari2012
    02.06.2016 16:46

    Сменил пароль в TV, включил 2FA. PPL пароль не сохранял вроде, но на виртуальную карту денег всё равно всегда под покупку кладу.

    Можно расслабиться?


    1. Avitale
      02.06.2016 17:09

      Похоже, достаточно просто блочить компьютер — судя по всему, хакеры не могут удаленно взламывать пароль системы.


    1. memtew
      03.06.2016 09:41

      Я ещё в списке сохраненных компьютеров и контактов удалил сохраненные пароли у всех компьютеров. Теперь при каждом подключении надо ввести личный пароль.


  1. nk11k
    02.06.2016 18:51

    Можно ведь пользоваться TV только для того, чтобы настроить проброс портов, VPN, RDP самостоятельно (в случае, если юзер не в силах сделать это сам). А потом удалить TV с машины пользователя как «небезопасный канал связи».


  1. UMAX
    02.06.2016 19:25
    +1

    Меня сегодня ночью тоже так взломали. Компьютер был включён, TeamViewer тоже. Через PayPal увели 7000 руб с лишним покупками всяких ключей для подписки на X-box live и т.п. Так же были попытки купить подарочную карту iTunes 100$ и подписку на X-box live с сайта Microsoft. PayPal операции отменять не хочет, говорят, что ваш аккаунт взломан не был, доступ был с вашего компа. отправляют к продавцу. Тот говорит разбираться с пейпалом, ведь он то, что было куплено выслал. В итоге пейпал отправил меня в мой банк писать заявление на отмену транзакций и возврат средств. Написал заявление в банк о несанкционированных платежах, буду смотреть, что получится, удастся ли вернуть деньги.
    Пароли все сменил и TeamViewer после этого, естественно удалил, хотя прога не раз выручала.


    1. Jump
      02.06.2016 20:29

      А какой именно тимвьювер у вас взломали? Полная версия, или HOST? Пароль от учетной записи тимьвювера использовался где-то еще?
      И самое главное — подключались ли вы к вашему компьютеру с мобильного по TV?
      Есть подозрение, что это не взлом тимьювера как такового, а простой сбор паролей от учеток TV с помощью троянов на мобильниках.


      1. UMAX
        02.06.2016 20:34

        Использовалась обычная полная 11 версия. Пароль нигде больше не использовался. Мобильная версия установлена на планшете, иногда подключался к компу с него. Лишней програмщины там нет, планшет не рутован.
        Что интересно, окошка о благодарности за использование TV не было на экране (как обычно после закрытия соединения), был открыт бразуер и пара левых сайтов.


        1. KorDen32
          06.06.2016 10:28

          Что интересно, окошка о благодарности за использование TV не было на экране

          А у вас белый IP? Подключения по IP случаем не разрешены? Окошко не появляется, когда было установлено прямое IP-соединение. Впрочем, кажется, если у подключающегося белый IP, то TV вполне может соединиться напрямую в обратную сторону


          1. UMAX
            06.06.2016 10:45

            Нет, IP обычный динамический. В настройках TV ничего такого не ставил, чтобы по IP подключаться можно было.


    1. xwild
      03.06.2016 04:57

      А в paypal был сохранен пароль?
      Не понимаю зачем там вообще эта функция, что угодно нажмешь и уже купил.


      1. UMAX
        03.06.2016 11:26

        Использовали автозаполнение паролей браузера и latpass'а. Кроме меня и жены доступа к компу ни у кого нет (маленьких наших детей не считаем, им за рабочий комп нельзя), поэтому автозаполнением пользуюсь спокойно, не ожидал подвоха со стороны TV.


        1. varnav
          03.06.2016 16:16

          Чтобы посмотреть все сохранённые в браузере пароли нужно несколько кликов.


          1. UMAX
            03.06.2016 16:25

            Так я не спорю, но их даже смотреть специально не надо было. Открывали нужные сайты — сами логины подставлялись.


            1. Avitale
              03.06.2016 16:40

              Как вариант, можно поставить мастер-пароль на запоминаемые пароли в браузере (в мозилле точно так можно, насчет остальных рассуждать не берусь). Только если не закрывать браузер в конце сессии, это не спасет — мастер-пароль спрашивается один раз при первой необходимости залогиниться где-нибудь и запоминается до тех пор, пока браузер не будет закрыт.


              1. UMAX
                03.06.2016 17:01

                Дак сейчас-то уж смысла нет. TV я вообще удалил. Найду замену, если понадобится, и не буду такого рода проги оставлять включёнными круглые сутки.
                А комп всё равно домашний и прямого доступа к нему другие люди не имеют.

                Сейчас важнее, вернут ли всё-таки деньги или нет.


              1. Kju
                03.06.2016 22:04

                Тут основная проблема в том, что домашний комп считается доверенным — чужие люди дома не ходят. И скажем так при построении «модели угроз» защищаются от кражи паролей вирусом, шифровальщиков и тд,, например включением 2фа на аккаунты почты (даже если злобный вирус украдет пароль от утечки гугла войти не смогут) — но все это не важно так как тут пароли не крадут а сразу входят на доверенный комп.
                И если на работе я например вставая от компа на автомате жму win+L, то дома блокировать комп идя пардон в туалет мне как-то в голову раньше не приходило.
                То есть даже если поставить мастер пароль это не возымеет эффекта, так как дома человек не будет покидая комп закрывать браузер


  1. OKYHb
    03.06.2016 14:03

    может есть связь, а может и нет

    платежи на али 24 и 27 мая (в эти дни заказывал — в остальные не знаю) проводились только с подтверждением одноразовым паролем по смс (карта сбера)


  1. digger
    04.06.2016 02:01

    А что, все поголовно используют учетки Teaмviewer и устанавливают его везде как host service? Есть же portable версия для себя и quick support для того, кому нужно помочь — запустил, порулил, закрыл и забыл.


  1. AleksHyp
    04.06.2016 12:43

    Себе сделал так:
    На компе есть некий супервизор, он отслеживает некоторую работу. К нему прикрутил форму ввода Пин-кода. Теперь когда к компу подрубаются Тимвьювером, то вспывает окно ввода пин-кода. Если за n-секунд(ещё толком не оттестировал на медленных соединениях) не ввести верный, то убивается процесс тимвьювера, высылается аларм на е-мейл. Дальше можно ввести задержку перед новым запуском тимвьювера, но у меня в комп модем вставлен — звонит мне.
    Можно развить идею и предложить тимвьюверовцам как опцию.


  1. EminH
    05.06.2016 08:55
    +1

    Странно что никто не упомянул logmein.com и их версию quick support: www.join.me


  1. zencd
    07.06.2016 12:02

    На реддите приведена большая таблица сравнения альтернатив TV: https://www.reddit.com/r/technology/comments/4m7ay6/teamviewer_has_been_hacked_they_are_denying


  1. Maxlinus
    07.06.2016 15:55

    а подскажите vnc сервер для android с функцией repeater


  1. Ziptar
    08.06.2016 15:42

    Никогда не держу установленным и/или запущенным постоянно tv; где вижу — сношу без лишних разговоров.
    Всегда есть возможность скачать quick support, и всегда есть телефон.
    Если нужен неконтролируемый доступ — только vpn и rdp/radmin/ammyadmin

    Собственно то говоря, взлом tv — это вполне ожидаемый исход.


    1. Ziptar
      08.06.2016 15:49

      * это сказано не в укор команде разработчиков
      Абсолютно надёжных/безопасных систем не существует, а дальше вопрос лишь в целесообразности и отношении затраченных-усилий/финансов/рисков-сесть к вероятному профиту.


  1. DjOnline
    08.06.2016 18:49

    RDP превосходен, но хочется ещё и подключаться к уже открытым сессиям, а не только в фоне.