Tl;dr: множество пользователей жалуются на то что их аккануты взломаны; сайт teamviewer.com не работал несколько часов из-за проблем с DNS.
За последние несколько дней появилось множество сообщений зарубежных пользователей о том, что их аккаунты Teamviewer были скомпрометированы злоумышленниками:
Многие пользователи утверждают что использовали 2FA авторизацию и белые списки, но, тем не менее, кто-то завладел управлением.
Short of using a white list I did everything teamviewer recommends for securing a computer.
With my phone in my pocket and it being the only authentication source and considering I disabled quick access on all other devices, I really can't see how their service is not compromised.
Tonight I turned on my monitor to find chrome open on Amazon and the TV thank you up. I never use chrome so they didn't get any money. They did access my user account for Windows however, so I had to change my password. But the log shows they were in for less than 2 minutes and walked away with nothing.
I can't emphasize this enough: remove TV until they admit there is a problem, and have fixed it. I was very lucky, but most people won't be! Wait to use it again until you can be sure this won't happen, not worth taking chances!
Служба поддержи TeamVeiwer уверяет что утечки не было:
Please know we have no security breach. We're experiencing issues in parts of our network. We’re sorry for the inconvenience.
Недоступность сайта teamveiwer.com в течение нескольких часов подняла градус накала пользовательских страстей. Предположительно, проблема была связана с DNS-серверами.
We are back up and running again. However it may take some time until all regions are back to regular service.
Хабрапользователи тоже сообщают о проблеме:
jamurai
22мая в 8 утра где-то подключились на комп жены, скинули прогу для просмотра паролей, зашли под моим аккаунтом, т.к. ничего сломать не смогли, везде почти подтверждение кодом с мобильника, смогли только войти в paypal, зарегистрировались в каких-то забугорных сайтах подарочных карт itunes… и начали снимать деньги покупая их через PayPal… часть сняли, далее пошли отказы из-за отсутствия средств… следы не подтирали… на компе жены ничего подозрительного из софта нет… Грешил именно на TeamVeiwer!… PayPal деньги вернули быстро, что так же навело на мысль, глобального взлома… и PayPal и TeamVeiwer я думаю в курсе событий… я ждал эту новость, странно что она идет с опозданием…Hedy 2 июня 2016 в 10:21 0
На рабочем компьютере вчера подключились и поочередно открывали/закрывали сайты paypal, amazon, ebay.Некоторые утверждения довольно спорны и даже сомнительны, но, тем не менее, стоит проявить лишнюю бдительность и усилить меры безопасности.
DefconRU — сообщество специалистов в области практической ИБ. Присоединяйтесь!
Комментарии (145)
Sergey6661313
01.06.2016 23:37-13Просто нах*й авторизацию. Особенно в таких сервисах где авторизация не результат усиления защиты, а результат попытки срубить бабла с пользователей.
rockin
01.06.2016 23:44-8Интересно, что даст злоумышленнику взломанный акк тимвьювера?
Увидит список контактов и групп? ну и чо?
Сможет покрутить мышкой у главбуха и потыкаться в файлы? ну и чо?
тимвьювер сам по себе такая палевная система, что тут можно сделать без богомерзкой драндулетки над часами?!
LukaSafonov
01.06.2016 23:48Народ пишет что сливают paypal (тоже без 2FA?) и т.д, используя сохраненные в браузерах пароли.
ydaf
01.06.2016 23:54+22FA у пейпала только в US, CA, UK, DE, AT и AU, причем необязательный.
centur
02.06.2016 06:08+1Причем он настолько неудобный, что каждый раз когда пользуюсь — плююсь и подавляю желание его выключить.
Они присылают только СМС, только на 2 минуты и никак не запоминают такую сессию, т.е. надо логиниться каждый раз. иногда по 2-3 раза если есть редирект из старого интерфейса в новый. Любая задержка с доставкой смс — не пустили, логинитесь 2 раза подряд и смс пришли в другом порядке — не пустили… они очень нехорошие редиски...
Noiwex
02.06.2016 11:39Google Authenticator ребятам из TeamViewer видимо не показывали.
ydaf
02.06.2016 11:47+1Как раз таки у TeamViewer 2FA есть и работает у всех, а не в ограниченном количестве стран. Просто к сожалению опять же — он необязательный.
dewil
03.06.2016 10:11как обычно, он есть, но юзеры о нем не знают.
кроме того, что есть, надо еще юзерам раз в 3 месяца напоминать о необходимости его использования.
Kju
03.06.2016 10:31+2О том что там есть 2FA я узнал из этой статьи — за все время использования мне ТВ ни разу не вывел предложение о том что «username — включи 2ФА обезопась себя»
rockin
02.06.2016 00:03-1эт как? используя передачу файлов? да там же «драндулетка над часами» вылетает…
у меня лично нет таких юзеров, что при возникновении этой проблемы, молча наблюдают
да и вообще, я ставлю тимвьювер исключительно на домашние компы (а как вы иначе туда прикажете подключаться? если есть некоторые «боссы», к компам которых лучше сразу подключиться, а не устраивать квест (для них) с передачей логина-пароля...)soniq
02.06.2016 22:34Сам я не админ, но админы нашей большой компании используют NetMeeting для таких случаев. Он, вроде как, через AD настроен так, что доступен только через VPN. И да, тимвьюер категорически запрещен на рабочих компах.
jamurai
02.06.2016 10:18+322мая в 8 утра где-то подключились на комп жены, скинули прогу для просмотра паролей, зашли под моим аккаунтом, т.к. ничего сломать не смогли, везде почти подтверждение кодом с мобильника, смогли только войти в paypal, зарегистрировались в каких-то забугорных сайтах подарочных карт itunes… и начали снимать деньги покупая их через PayPal… часть сняли, далее пошли отказы из-за отсутствия средств… следы не подтирали… на компе жены ничего подозрительного из софта нет… Грешил именно на TeamVeiwer!… PayPal деньги вернули быстро, что так же навело на мысль, глобального взлома… и PayPal и TeamVeiwer я думаю в курсе событий… я ждал эту новость, странно что она идет с опозданием…
9999lapka
03.06.2016 14:02А как вы заметили что подключались? в файле с incoming подключениями? или другие логи смотрели?
или заметили открытые посторонние сайты в журнале браузера?
у меня что-то подозрительное с тимвьювером но в его логах не могу разобраться если честно:(
тимвьювер пишет «не готов. проверьте подключения» и даже сайт его официальный не грузится, хотя и антивирус отключала и фаервол- ну мало ли исключения может, потом переустановила тимвьювер- все та же фигня- не работаетjamurai
03.06.2016 17:09Вывел компьютер из сна, была открыта прога типа passkey(на память) там были все мои логины от google chrome, так же папка c:/AMD/ где хранятся драйвера на радеон соответственно, в ней закинуты были три файла этой проги… ну т.е. явно моя кошка не могла такого натворить походив по клавиатуре :D… жена сказала что у нее была открыта вкладка с сериалами… её небыло… я тупо нажал ctrl+H посмотреть историю… и там да, было куча посещения сайтов с 8 00 до 8 30 где то примерно… регистрация и оформление на jerrycards com к примеру и похожие… у меня теамвьювер стоит чтобы помогать тёщё/тестю/родителям и пр родственникам/друзьям знакомым… видел так же такую активность в последние время когда кто-то просит добавится в друзья в теамвьювере… отклонял несколько раз… но уже было понятно что это не к добру) думаю теамвьевер давно щупали на взлом..)
trijin
07.06.2016 15:2226го мая в 11 подключились к ноуту, используемому как телевизионная приставка (потому и вьювер там стоит запароленый на прямое подключение буквы, регистр, цифры.несловарь) подключился. зашел на свежезарегиный аккаунт ебей и купил подарочную карту через paypal.
проснулся от СМС — подхожу, на экране открытая сессия тимвьювера. вырубил, достал логи, написал в PayPal (быстро отреагировали и вернули). Написал в TeamViewer —через неделю ответили, что сожалеют что такое произошло, я могу подать в полицию и по запросу полиции — они предоставят логи. По их мнению я скомпрометировал свой емейл и пароль, но логин то был не из под моего акканута)
Hedy
02.06.2016 10:21На рабочем компьютере вчера подключились и поочередно открывали/закрывали сайты paypal, amazon, ebay.
Londoner
02.06.2016 00:55+2А какие есть альтернативы Тимвьюеру в условиях когда сидим за NATом? Особенно бесплатные?
LukaSafonov
02.06.2016 00:57Проброс портов, DynDNS и аналоги, из софта типа TV — Ammyy admin и т.д.
Londoner
02.06.2016 01:00Кстати, да, в тему — какие есть надёжные и по-настоящему бесплатные аналоги DynDNS?
LukaSafonov
02.06.2016 01:03+5Собственный VPN надёжнее всего.
Londoner
02.06.2016 01:13+2Дано: комп на винде за натом, перед ним пользователь, умеющий лишь запустить браузер, нажать мышкой на пару кнопок и прочитать с экрана код. Надо получить к компу удалённый доступ. Будем обучать юзера установке VPN?
4dmonster
02.06.2016 09:53А самим собрать установочный пакет что не позволяет?
ilyaplot
02.06.2016 10:07Teamviewer как раз позволяет ничего не устанавливать, а просто запустить Quick support
4dmonster
02.06.2016 10:12Полностью согласен. Это вечная проблема: «Чем более безопасно — тем менее удобно.»
ilyaplot
02.06.2016 10:20На самом деле qs вполне безопасен, потому что запущен только в нужный момент. А вот если у человека все машины под одной учеткой с сохраненными паролями в списке компьютеров, тут все серьезнее.
akaChewy
02.06.2016 13:34+1Недавно на Гиктаймс пост с похожей темой был.
geektimes.ru/post/276586
Вот цитата оттуда.
«Для проникновения в систему необходимо получить физический доступ к машине. Но даже в этом случае хакеру будет трудно, ведь ему придётся использовать древнее оборудование, разбираться в программах на COBOL и FORTRAN. Архаичное железо и софт — это в каком-то смысле дополнительный уровень защиты.»4dmonster
02.06.2016 13:41+4Для начала он проверил собственный банк данных в поисках любого упоминания «Спектр», но, как и следовало ожидать, он вышел с пустыми руками. Ничего удивительного, поскольку он не мог припомнить, чтобы когда-нибудь слышал о ком-то, кто называл бы себя Спектром, и поэтому Брюс никогда не вводил в свою систему подобной информации. Затем он набрал серию команд и ввел программу поиска данных в архивах ФБР, ЦРУ, УНБ,[17] Британской MI-6, Израильского Моссада и Интерпола, где, наиболее вероятно, хранилась информация о международных террористах и наемных убийцах. Единственное, что его огорчало, — это невозможность добраться до архивов КГБ, и не потому, что русские были слишком умные, а потому, что их системы хранения подобных материалов были безнадежно устарелыми. Самые изощренные компьютерные программы в мире не смогут открыть ящик письменного стола.
inkvizitor68sl
02.06.2016 14:43Можно подготовить сборку openvpn для него на свой сервер. Ну и там по вкусу второй бинарник с нужным софтом.
shoguevara
02.06.2016 18:30Hamachi? Только вот сетка виртуальная, опять же, в их распоряжении… Свой VPN, конечно, оверкилл, но один из наиболее безопасных способов. К нему еще 2FA через radius с TOTP вполне можно подрубить. Если честно, то начал задумываться. А еще можно развернуть это все дело на облачной тачке и включать ее только по мере надобности, только тут еще надо на стороне машины, куда необходимо получить удаленный доступ, либо на роутере, куда она подключена, периодически опрашивать сервер с VPN и при наличии активности с его стороны — коннектиться автоматом. Ну, вы понимаете, это уже совсем для параноиков.
fahreeve
02.06.2016 11:07до этого пользовался noip.com, а после покупки домена понял, что у них бесплатно нельзя привязать свой домен. После этого нашел вот это: dynu.com. Функционал тот же, к тому же нет ограничений на бесплатное кол-во доменов 3 уровня
Londoner
02.06.2016 11:09Так, вот это уже полезный разговор пошёл, спасибо. У кого ещё какие идеи?
fahreeve
02.06.2016 11:22а по поводу NAT, я от него избалвился таким образом: купил тариф подороже и мне дали серый ip.
JerleShannara
02.06.2016 19:00Может всетаки белый? Серые это 10.0.0.0/8: 172.16.0.0/12 и 192.168.0.0/16
fahreeve
02.06.2016 19:05Именно серый. У онлайма, если на дешевых тарифах, то за натом сидишь, а в остальных дают серый айпи. А для белого надо рублей 200 платить вроде бы. Такая же система и у других операторов. но сходу я назвать их не смогу.
monah_tuk
04.06.2016 01:56Вас или обманули или вы что-то путаете: https://ru.wikipedia.org/wiki/%D0%A7%D0%B0%D1%81%D1%82%D0%BD%D1%8B%D0%B9_IP-%D0%B0%D0%B4%D1%80%D0%B5%D1%81
Частный IP-адрес (англ. private IP address), также называемый внутренним, внутрисетевым, локальным или «серым» — IP-адрес, принадлежащий к специальному диапазону, не используемому в сети Интернет. Такие адреса предназначены для применения в локальных сетях, распределение таких адресов никем не контролируется. В связи с дефицитом свободных IP-адресов, провайдеры всё чаще раздают своим абонентам именно внутрисетевые адреса — а не внешние.
собственно для такого адреса и нужен NAT.
Вот ещё ссылочка: https://zyxel.ru/kb/2730/
soniq
02.06.2016 22:47Наверное, имеется ввиду "рандомный публичный" адрес. 10.х и прочие — чернота же?
argz
02.06.2016 12:41Я использую https://freedns.afraid.org. У него можно через curl или wget обновить ip-адрес.
Londoner
02.06.2016 01:05Ammyy не катит — нет мобильного клиента, бесплатно не больше 15 часов в месяц.
Alexufo
02.06.2016 02:09+3по инсайдерской информации с касперского ами был скомпромитировал очень серьзно пол года назад. Этот троян стоит забыть. Есть аналоги типа aeroadmin тока все аналоги на xp не работают :-)
chelaxe
02.06.2016 07:56Каспер лочит его и обращение к серверу. Приходится вечно его добовлять в исключение и его сервер. Так же лочит его хром и Microsoft Edge. А так крутая вещь была. Мало весила, влет запускается и работаешь. Очень удобно, но что то разработчики их подзабили.
borisdenis
02.06.2016 10:23Ссылочку бы, почитать об этом интересно
Alexufo
02.06.2016 11:17родственник одного из аналитиков написал об этом, сказал у них через этот ами у весьма солидных фирм тырят бабло
AndrewFoma
02.06.2016 11:54сам лично сталкивался при разгребании ситуации и последствий кражи через ДБО в одной конторке, там как раз нашел следы этого ammyy.
Tokijirichirink
03.06.2016 17:09Тоже неоднократно сталкивался со взломом ДБО с использованием Ammy Admin.
Apatic
02.06.2016 10:32Году в 2011 подключался к клиенту через Амми. Тут кто-то перехватил управление, стал шариться по дискам, пытаться что-то удалить и т.д. Первая мысль была, что это местный админ просто сел за комп. Но потом вспомнил, что дело ночью происходит, да и подключаюсь к серваку, а не к обычному компу. В общем в тот раз обошлось без ущерба, слава богу, но с тех пор Ammyyстараюсь не пользоваться.
GenL
02.06.2016 11:38Хочу заметить, что в Ammyy есть возможность отключить использование внутренних ID. Т.о. использовать придется IP-адрес, что приемлемо если на другом конце он не динамический, и если порты уже проброшены. Зато нету ограничений, и работоспособность не зависит от сторонних серверов. Использую его уже несколько лет для доступа к домашнему компу. TV с белым списком — только как резерв.
KorDen32
06.06.2016 10:14В TV тоже есть возможность подключаться прямо по IP и запретить внутренние ID. Единственно — нельзя указать порт, таким образом если за роутером с одним IP два TV, нельзя настроить два перенаправления и подключаться по порту, только менять перенаправление с одного на другой.
rattlersnake
08.06.2016 13:03Вроде как сам ами невредоносен, просто его малварщики активно используют из-за некоторых особенностей, типа возможности его «бесшумной работы».
Jump
02.06.2016 13:34Хороших альтернатив практически нет.
Проброс портов поможет только тогда, когда у вас есть белый адрес и вы находитесь за NAT'ом своего роутера.
DynDNS абсолютно ничем не поможет — он просто резольвит имя в адрес.
Аналогов масса, но уровень исполнения низкий.
Например тот же Ammyy admin — они банально не могут подписать файлы цифровой подписью, в результате блокировка безопасности Windows срабатывает, и антивирусы.
Wingtiger
03.06.2016 09:47>LukaSafonov
>Проброс портов, DynDNS и аналоги, из софта типа TV — Ammyy admin и т.д.
есть амми, но у них время в месяц ограничено.
А вот радмин интересно [не]работает — нередко не подключается. Передача ip-а (мой клиент) на дин. днс работает отлично, порты проброшены… Но когда клиент радмина видит сервер, а когда нет. У кого-нибудь есть мысли на что материться?
CaptainFlint
02.06.2016 01:38LiteManager можно глянуть.
Alexufo
02.06.2016 02:10да… эти изощенне интерфейсы просто жесть какая то. уж если чего лучше aeroadmin
alex_ter
02.06.2016 04:55+1RMS Удаленный доступ https://rmansys.ru/
Там до 10 компов бесплатно, в т.ч. для юрлиц.ViceCily
02.06.2016 05:44Полностью поддерживаю. Имеется возможность настройки входа по «Internet-ID», т.е. работает за NAT. Причем можно поднять свой личный сервер, выдающий Internet-ID.
По функционалу, наверное самое навороченное решение, есть даже доступ к веб-камере, реестру, диспетчеру устройств (в удобном виде, без подключения к самому экрану).
Ghool
02.06.2016 10:00У лайтменеджера бесплатно 30 компов.
По сути лайтменеджер и рмс — одна прога.
Авторы решили разделиться несколько лет назад, с тех пор конкурируют чутка :)
Кстати, на форуме лайтменеджера автор активно отвечает на вопросы и допиливает функционал по запросам.ViceCily
02.06.2016 12:14Возможно неправильное мнение, но RMS, как я считаю, после разделения обрел больше функционала, чем Лайтменеджер. В частности все что касается удаленных устройств (камера, принтер, ТВ-тюнеры и т.д.).
Lelik13a
02.06.2016 09:47ultravnc и свой сервер (repeater).
Jump
02.06.2016 14:26-1Если бы все было так просто…
Да есть и ultravnc и куча других открытых решений построенных на базе VNC.
И они в принципе работают.
Но как замена тимвьюверу не подойдут.
Самая главная проблема — они требуют установки или прав администратора. Самый распространенный вид использования тимвьювера — быстрый доступ к компьютеру клиента, причем клиент ничего сложнее чем скачать файл и запустить его не понимает, и не факт, что у него есть права админа.
Далее — любая система удаленного управления является по сути трояном. Поэтому антивирусы и система будут блокировать такие программы, дабы этого избежать нужно подписывать файлы, причем сертификат должен быть от вызывающей доверие конторы.
zeronice
02.06.2016 10:23из vnc можно собрать аналог. обертка с интерфейсом типа ammyy пишется за день. ну и разместить промежуточный сервер где-то для обхода NAT. решение абсолютно рабочее. К сожалению, исходниками поделиться не могу, ибо NDA
kengaru
02.06.2016 10:23Из тех продуктов, чья инфраструктура находится в периметре компании более-менее на первый взгляд похож на то что нужно Solarwinds Dameware Remote Support.
Для относительно немелких компаний — и денег стоит и инфраструктура под него не из одного сервера, если поддержка оказывается удаленным пользователям тырнетов. Из преимуществ — интеграция с AD и ролевую модель с двухфакторной аутентификацией в каком-то виде поддерживает с смарткартами.
Есть и еще похожего вероятно, тот же Ammyy Admin.
Blasto0
02.06.2016 13:59Попробуйте это: www.radmin.com. Использую его более трех лет. Быстрая, а главное безопасная программа для удаленного управления компьютером. Преимущества — высокая скорость, надежность системы безопасности.
Mr_Floppy
02.06.2016 15:11Ага, и не разрабатывается уже 10 лет. В свое время очень удачная программа была, но на сегодняшний день уступает тому же TeamViewer — нет возможности подключения через NAT, нет версий под MacOS, Linux, Android, iOS.
Запустить же TeamViewer и продиктовать ID/пароль может любой «непродвинутый» пользователь, не нужно прокидывать порты и настраивать firewall.
А для локалки для подлючения к серверам есть RDC и удаленный помощник в Windows.
Natalia_Grigoryeva
02.06.2016 19:07Radmin хорош в качестве альтернативы для корпоративного использования. За всю историю существования продукта, а Radmin на рынке с 1999 года, ни разу не было найдено ни одной уязвимости в Radmin. Даже конкурс проводили в 2004 году: на компьютер с выходом в Интернет был установлен сервер Radmin, и тот, кому удалось бы взломать защиту и получить доступ к компьютеру, мог получить денежный приз. За шесть с лишним месяцев работы сервера взломать его не удалось никому, хотя хакерами были предприняты многочисленные попытки анализа протокола и дизассемблирования кода Radmin. Новая версия, Radmin 4, в разработке, сроки пока не раскрываются. Версии под мобильные платформы разрабатываются, будут после релиза Radmin 4.
Maxlinus
03.06.2016 09:47ChunkVNC и Intermix Support — Kind off a Chunk VNC Fork github.com/LFCavalcanti/intermix
POPSuL
06.06.2016 07:51Есть платный GPP Remote Viewer, и у него есть один минус — сам вьювер есть только под андроид.
PowerMetall
02.06.2016 06:49На оффсайте AMMY кстати в описание преимуществ перед TeamViewer пугают неким «teamviewer rat» (кстати, с юридической точки зрения — законно ли так «в лоб хаять» прямого конкурента?).
Не связаны ли настоящие утечки именно с аналогами этого, а оффсайт TeamViewer на самом деле лежал всего то из за DNS-серверов?
По первой ссылке в поисковике имеем:
Спойлерteamviewer rat — билдер бэкдора на базе TeamViewer с отсылкой id и пароля на фтп-сервер.
Лог шлет в корневую папку на фтп
winDeD
02.06.2016 08:04В TeamViewer минус в том что зная id + pass, тебе не нужны разрешения, и порой даже перезагрузив компьютер «собеседник» сможет переподключится к вам. В AMMY иначе устроено
slavius
02.06.2016 10:49Так вроде меняется пароль по завершению сеанса, если он не установлен через привязанную учетную запись.
BDI
02.06.2016 13:00По завершении сеанса меняется пароль разового доступа(при условии что такое действие прописано в настройках, может и не меняться :)). Но можно задать постоянный пароль(и не один). Плюс можно использовать белый список ID которым разрешено подключение(есть и чёрный список). Для подключений домработа белый список сойдёт, хотя с левого ID уже не подключиться будет :( — нужно предусмотреть альтернативные пути получения доступа к своему компу для расширения белого списка.
В моём случае я не имею возможности использовать двух факторную авторизацию, так как всё ещё вынужден сидеть на 7-ой версии(апгрейд не из дешёвых), а двух факторная авторизация требует версии не ниже 9-ой :(.
MAXXL
02.06.2016 10:52Иначе это как? Если AMMYY установлен как служба, и прописан постоянный пароль доступа, то можно сколько хочешь перегружать комп и снова подключаться удаленно, при этом никаких дополнительных действий от локального пользователя не требуется.
barsuksergey
02.06.2016 09:27Будет жалко отказываться от TV, если его постигнет участь Ammyy. Сейчас уже с Radmin-ом особо не хочется воевать, а VPN поднимать и подавно. Особенно если просто по-быстрому надо с андроида на комп зайти или пару файлов качнуть.
gimntut
02.06.2016 10:23+1[теория заговора]
Как-то слишком вовремя кто-то создал проблемы в работе Teamviewer и стал пугать всех, что угнали пароли.
Как раз в тот момент, когда Microsoft собирается раздать всем владельцам винды свой аналог, причём бесплатно: msoffice-prowork.com/microsoft-rabotaet-nad-analogom-teamviewer-dlya-windows-10
[/теория заговора]
А если серьёзно, то пароли стоит поменять в любом случае.
AndersonDunai
02.06.2016 17:21Однако, интересно. Действительно четкое совпадение. Shame, shame, shame! *звонит колоколом*
TheLonerD
02.06.2016 10:23Недавно на акк тимвьювера начали добавляться люди, которых до этого никогда не видел. Совпадение?
Avitale
02.06.2016 10:43Я вот одно не пойму: взломанные компьютеры были запаролены или нет? И если были, то каким образом злоумышленникам удалось залогиниться в систему? Просто интересен сам механизм взлома через ТМ, может кто объяснить?
daggert
02.06.2016 11:07Те кто ставят ТВ на компьютер — врядли озадачиваются и паролями и обычным уровнем доступа в систему, только админ без пароля, только хардкор.
Kju
02.06.2016 14:27На домашнем компе у очень маленького количества людей установлена блокировка сеанса пользователей по таймауту. Даже если есть пароль на учетную запись то домашний комп как правило включен постоянно и не заблокирован (а уж если живешь один то тем более — от кого блокировать?) — поэтому злоумышленику достаточно взломать тв и он оказывается на компе с правами текущего авторизованного пользователя.
daggert
02.06.2016 14:45Она-ж по умолчанию с winXP ставится. Много кто меняет? Оо
Kju
02.06.2016 15:15Эм таймаут блокировки локальных сеансов на клиентских версиях Windows вроде никогда не был включен по умолчанию.
Из GPO: Интерактивный вход в систему: предел простоя компьютера. По умолчанию: не применяется.
Блокируется только если комп уходит в Сон — а вот функцию сна как раз многие отключают.daggert
02.06.2016 15:47Вот сейчас под рукой WinXP SP3 prof. — блокируется после заставки сам, без настройки. Win7 home premium — блокирует после заставки. Win10 — блокирует после 10 минут. Специально не настраивал
EvgeniyKirov
03.06.2016 19:04Блокироваться-то может и блокируется (показывает окно с выбором пользователя), но Windows XP не заставляет ставить пароль на учётку.
whiplash
02.06.2016 11:38+2РАФИК НЕУИНОВЕН!!!
https://www.teamviewer.com/en/company/press/statement-on-potential-teamviewer-hackers/?utm_source=Twitter&utm_medium=social&utm_content=statementonpotentialhackers&utm_campaign=Social&pid=social_tw
ollisso
02.06.2016 12:44Есть подозрение, что это связано с недавными повторными утечками в том же LinkedIN:
Теория:
Допустим у взломанных используется один и тот же аккаунт на тимвиевере и на любом другом сайте.
Ломаем сайт, узнаём пароль и емайл.
Используем пароль и емайл от сайта для того чтобы зайти на тимвиевер и сделать то что нужно.
Профит.
Как вариант — стоит проверить, есть ли информация о том что пароль утёк в сеть например тут: https://haveibeenpwned.com/
molnij
02.06.2016 13:00Извините, я ведь правильно понимаю, что скомпрометированным оказался лишь доступ, который был сохранен в аккаунтах TV? id-пароли, которые не сохранялись не под ударом?
dmitryredkin
02.06.2016 13:46У меня пару месяцев назад случай был: каким-то образом взломали акк. товарища, у которого мой комп был в сохраненных, зашли на мой комп, пошарились по диску, зашли в браузере на мой пейпал (пароль к пейпалу не сохранен), затем зашли на чей-то еще пейпал и перевели что там было в биткоины.
Пришлось поменять пароль в teamviewer и поставить ввод пароля на скринсейвер.
ExplosiveZ
02.06.2016 14:02-1Зачем нужен TeamViewer, когда есть RDP?
tazepam
02.06.2016 14:55У вас у всех белые IP или возможность проброса портов?
Мы в своё время обслуживали множество бухгалтерий образовательных учреждений.
Так вот все они в ДС сидели во внутренней корп сети Департамента образования.
Всем приходит оптика с серыми IP откуда-то из центра.
Белых нет. Проброса нет и быть не может (ушел оттуда давно — может сейчас и не так ).
Как прикажете с ними работать?
Ammyy был спасением.
Alexander_O
02.06.2016 15:07А если у меня какая-нибудь домашняя редакция Windows, которая не может выступать в роли сервера RDP?..
Jump
02.06.2016 15:32+1Это абсолютно разные вещи.
RDP используется для удаленного доступа к предварительно настроенным машинам.
Тимвьювер используется для мгновенного доступа, без предварительной настройки.
Вам позвонил клиент, вы говорите ему — скачай файл тимвьювер, и запусти, после чего назови ID и пароль.
В итоге через пять минут вы имеете доступ к компьютеру клиента, причем клиенту не требуются права администратора, умение устанавливать софт. Все что нужно сделать клиенту — кликнуть по ссылке, дождаться пока скачается файл, и запустить его.
С RDP так не получиться — надо убедиться в наличии белого адреса, разрешить доступ, выяснить адрес, настроить файервол, все это требует знаний системы, и наличия прав администратора. Если белого адреса нет — нужно бежать к провайдеру и покупать его, а это время и деньги.
В общем не получиться за пять минут подключиться и решить проблему.
Коренное различие в том, что RDP может пользоваться только администратор, а тимвьювером может пользоваться любой человек умеющий нажимать кнопки на мышке.Ghool
03.06.2016 08:27А ещё, когда я работаю по рдп, клиент не видит, что я делаю.
И не может показать мне, чио у него на компеине так.
safari2012
02.06.2016 16:46Сменил пароль в TV, включил 2FA. PPL пароль не сохранял вроде, но на виртуальную карту денег всё равно всегда под покупку кладу.
Можно расслабиться?Avitale
02.06.2016 17:09Похоже, достаточно просто блочить компьютер — судя по всему, хакеры не могут удаленно взламывать пароль системы.
memtew
03.06.2016 09:41Я ещё в списке сохраненных компьютеров и контактов удалил сохраненные пароли у всех компьютеров. Теперь при каждом подключении надо ввести личный пароль.
nk11k
02.06.2016 18:51Можно ведь пользоваться TV только для того, чтобы настроить проброс портов, VPN, RDP самостоятельно (в случае, если юзер не в силах сделать это сам). А потом удалить TV с машины пользователя как «небезопасный канал связи».
UMAX
02.06.2016 19:25+1Меня сегодня ночью тоже так взломали. Компьютер был включён, TeamViewer тоже. Через PayPal увели 7000 руб с лишним покупками всяких ключей для подписки на X-box live и т.п. Так же были попытки купить подарочную карту iTunes 100$ и подписку на X-box live с сайта Microsoft. PayPal операции отменять не хочет, говорят, что ваш аккаунт взломан не был, доступ был с вашего компа. отправляют к продавцу. Тот говорит разбираться с пейпалом, ведь он то, что было куплено выслал. В итоге пейпал отправил меня в мой банк писать заявление на отмену транзакций и возврат средств. Написал заявление в банк о несанкционированных платежах, буду смотреть, что получится, удастся ли вернуть деньги.
Пароли все сменил и TeamViewer после этого, естественно удалил, хотя прога не раз выручала.Jump
02.06.2016 20:29А какой именно тимвьювер у вас взломали? Полная версия, или HOST? Пароль от учетной записи тимьвювера использовался где-то еще?
И самое главное — подключались ли вы к вашему компьютеру с мобильного по TV?
Есть подозрение, что это не взлом тимьювера как такового, а простой сбор паролей от учеток TV с помощью троянов на мобильниках.UMAX
02.06.2016 20:34Использовалась обычная полная 11 версия. Пароль нигде больше не использовался. Мобильная версия установлена на планшете, иногда подключался к компу с него. Лишней програмщины там нет, планшет не рутован.
Что интересно, окошка о благодарности за использование TV не было на экране (как обычно после закрытия соединения), был открыт бразуер и пара левых сайтов.KorDen32
06.06.2016 10:28Что интересно, окошка о благодарности за использование TV не было на экране
А у вас белый IP? Подключения по IP случаем не разрешены? Окошко не появляется, когда было установлено прямое IP-соединение. Впрочем, кажется, если у подключающегося белый IP, то TV вполне может соединиться напрямую в обратную сторонуUMAX
06.06.2016 10:45Нет, IP обычный динамический. В настройках TV ничего такого не ставил, чтобы по IP подключаться можно было.
xwild
03.06.2016 04:57А в paypal был сохранен пароль?
Не понимаю зачем там вообще эта функция, что угодно нажмешь и уже купил.UMAX
03.06.2016 11:26Использовали автозаполнение паролей браузера и latpass'а. Кроме меня и жены доступа к компу ни у кого нет (маленьких наших детей не считаем, им за рабочий комп нельзя), поэтому автозаполнением пользуюсь спокойно, не ожидал подвоха со стороны TV.
varnav
03.06.2016 16:16Чтобы посмотреть все сохранённые в браузере пароли нужно несколько кликов.
UMAX
03.06.2016 16:25Так я не спорю, но их даже смотреть специально не надо было. Открывали нужные сайты — сами логины подставлялись.
Avitale
03.06.2016 16:40Как вариант, можно поставить мастер-пароль на запоминаемые пароли в браузере (в мозилле точно так можно, насчет остальных рассуждать не берусь). Только если не закрывать браузер в конце сессии, это не спасет — мастер-пароль спрашивается один раз при первой необходимости залогиниться где-нибудь и запоминается до тех пор, пока браузер не будет закрыт.
UMAX
03.06.2016 17:01Дак сейчас-то уж смысла нет. TV я вообще удалил. Найду замену, если понадобится, и не буду такого рода проги оставлять включёнными круглые сутки.
А комп всё равно домашний и прямого доступа к нему другие люди не имеют.
Сейчас важнее, вернут ли всё-таки деньги или нет.
Kju
03.06.2016 22:04Тут основная проблема в том, что домашний комп считается доверенным — чужие люди дома не ходят. И скажем так при построении «модели угроз» защищаются от кражи паролей вирусом, шифровальщиков и тд,, например включением 2фа на аккаунты почты (даже если злобный вирус украдет пароль от утечки гугла войти не смогут) — но все это не важно так как тут пароли не крадут а сразу входят на доверенный комп.
И если на работе я например вставая от компа на автомате жму win+L, то дома блокировать комп идя пардон в туалет мне как-то в голову раньше не приходило.
То есть даже если поставить мастер пароль это не возымеет эффекта, так как дома человек не будет покидая комп закрывать браузер
OKYHb
03.06.2016 14:03может есть связь, а может и нет
платежи на али 24 и 27 мая (в эти дни заказывал — в остальные не знаю) проводились только с подтверждением одноразовым паролем по смс (карта сбера)
digger
04.06.2016 02:01А что, все поголовно используют учетки Teaмviewer и устанавливают его везде как host service? Есть же portable версия для себя и quick support для того, кому нужно помочь — запустил, порулил, закрыл и забыл.
AleksHyp
04.06.2016 12:43Себе сделал так:
На компе есть некий супервизор, он отслеживает некоторую работу. К нему прикрутил форму ввода Пин-кода. Теперь когда к компу подрубаются Тимвьювером, то вспывает окно ввода пин-кода. Если за n-секунд(ещё толком не оттестировал на медленных соединениях) не ввести верный, то убивается процесс тимвьювера, высылается аларм на е-мейл. Дальше можно ввести задержку перед новым запуском тимвьювера, но у меня в комп модем вставлен — звонит мне.
Можно развить идею и предложить тимвьюверовцам как опцию.
EminH
05.06.2016 08:55+1Странно что никто не упомянул logmein.com и их версию quick support: www.join.me
zencd
07.06.2016 12:02На реддите приведена большая таблица сравнения альтернатив TV: https://www.reddit.com/r/technology/comments/4m7ay6/teamviewer_has_been_hacked_they_are_denying
Ziptar
08.06.2016 15:42Никогда не держу установленным и/или запущенным постоянно tv; где вижу — сношу без лишних разговоров.
Всегда есть возможность скачать quick support, и всегда есть телефон.
Если нужен неконтролируемый доступ — только vpn и rdp/radmin/ammyadmin
Собственно то говоря, взлом tv — это вполне ожидаемый исход.Ziptar
08.06.2016 15:49* это сказано не в укор команде разработчиков
Абсолютно надёжных/безопасных систем не существует, а дальше вопрос лишь в целесообразности и отношении затраченных-усилий/финансов/рисков-сесть к вероятному профиту.
DjOnline
08.06.2016 18:49RDP превосходен, но хочется ещё и подключаться к уже открытым сессиям, а не только в фоне.
MnogoBukv
/Сетевой инженер главному сисадмину/
— у нас дыра в безопасности!
— хоть что-то у нас в безопасности…