С помощью чего обеспечивается безопасность пользователей teamviewer

Обновлено: 15.01.2025

26.05.2010 ( 11.10.2020 ) | Александр Притуленко | Комментарии

Вопрос информационной безопасности в наши дни стоит особенно остро. Честно говоря, первое знакомство с программой TeamViewer для удаленного управления компьютерами пользователей вызывает двоякое чувство. С одной стороны, мы понимаем, что это невероятно удобно, и готовы пользоваться разработкой. С другой стороны, возникает вполне адекватный вопрос: насколько применение TeamViewer безопасно. На самом деле, удивляет тот факт, что программа чересчур просто получает доступ к нашей машине, которую мы изо всех сил стараемся обезопасить, используя антивирусное ПО и firewall.

Область применения программного продукта TeamViewer

Мы не будем говорить о таком коммерческом применении программного продукта, как совместная разработка программ на продажу, поскольку для такого рода использования нужна отдельная платная лицензия. Не нужно быть специалистом в области коммуникаций, чтобы понять, насколько широки возможности применения коммерческой версии для бизнеса и консультаций клиентов.

Вероятно, самой потрясающей функцией продукта TeamViewer является возможность управления своим домашним компьютером или компьютером коллег с помощью iPhone и iPod. Система функционирует на всех возможных операционных системах: Windows (включая Vista и Windows 7), MacOS, Linux и мобильных ОС, что значительно расширяет круг применения программы. Предположим, удаленный компьютер на какой-либо автоматизированной точке работает при поддержке системы Linux. К примеру, именно к таким рабочим станциям подсоединяют кассовые аппараты с различными АРМ оператора. При помощи программы TeamViewer управление даже такими системами осуществляется достаточно просто.

Таким образом, применение описанного программного продукта существенно расширяет возможности глобальной сети. Что касается вопроса безопасности, то здесь можно быть абсолютно спокойным. Программа TeamViewer прошла проверку временем и более безопасна, чем многие сетевые проекты.

В текущей экономической ситуации мы все чаще обращаемся к средствам удаленного управления для доступа к рабочему месту сотрудника или заказчика. Еще не так давно, при словах «удаленный доступ» и «проброс портов» системные администраторы заметно грустнели. Сейчас уже не нужно искать совместимые продукты для подключения разных типов операционных систем, достаточно поставить Team Viewer (TV), элементарно запустить его, можно даже не устанавливать. Более того, в TV – можно еще и позвонить, увидеть собеседника, услышать его удивленный голос и вот ты уже «возишь» мышкой по чужому рабочему столу. Но как же он все-таки работает? Какие подводные камни тут могут грозить сисадминам? В статье я хочу рассмотреть принцип работы этого популярнейшего ПО, а также сравнить с аналогами – Anydesk, Ammyy Admin, Radmin, Google remote desktop, Dameware и Lite Manager.

Что мы знаем о Team Viewer

Компания Team Viewer GMBH основана в Германии в 2005 году.
Продукт имеет кросс-платформенный клиент, в том числе для Windows, Linux, MacOS, Android а также Chrome app плагин и даже решения для IoT enterprise — интернета вещей. Также существует веб-версия продукта для получения доступа с помощью веб-браузера (через регистрацию) для самых суровых политик безопасности. Веб-клиент требует Flash.
Коммерческую версию можно запускать еще и на серверных операционных системах.
Возможен видео, голосовой, текстовый чат между пользователями, сеанс зашифрован ключом AES-256, а передача ключей — RSA-4096.
Team Viewer работает с установкой или без, то есть даже без прав на установку ПО. Программный продукт должен быть запущен на обеих машинах – системного администратора и пользователя.

О NAT

Думаю, на Хабре много говорить про NAT излишне. Кратко – механизм транслирует локальные IP-адреса сетей во внешние публичные и маршрутизируемые в интернете и наоборот. Работает на границе сети.

Однако, говоря о TV, важно вспомнить основы и кратко пересказать RFC-классификацию сетей NAT для понимания возможных вариантов установки соединения:

О базовых принципах работы TV

Team Viewer – это одновременно и сервер, и клиент. Приложение TV использует сервера-посредники в интернете для keep-alive подключения. Тип VP-подключения выбирается и устанавливается TV самостоятельно.

Разработчики не раскрывают точный алгоритм, однако, по анализу лога в целом варианты такие:

Чем мы рискуем

Несмотря на огромное упрощение задач подключения, недостатки таких систем управления напрямую вытекают из их достоинств:

У TV есть версии quick support-поддержки, которые не требуют ни установки, ни прав администратора и стартуют даже с флешки. Достаточно передать человеку линк-ссылку на программу. Такую версию можно сгенерировать с заранее известным паролем и, хотя есть лимит на разовый сеанс в 5 минут, этого вполне достаточно, чтобы закрепиться и захватить контроль над ОС, либо получить секретные данные.

TV дал мощный толчок к развитию программ удаленного доступа и управления. Существуют десятки альтернатив – среди известных в нашей стране Anydesk, Ammyy Admin, Radmin, Google remote desktop, Dameware, Lite Manager. Хотя пандемия 2020 спровоцировала невероятное увеличение спроса, не все вендоры выросли так же значительно как TV, чтобы успеть озаботится проблемами безопасности.

Ammyy Admin. В 2016 году печально известен тем, что пережил атаку на свой сайт, в результате которой официальный дистрибутив ставился вместе с трояном Lurk. Хотя проблема давно исправлена, это помешало популярности продукта.

Anydesk. Нашумевший продукт и в России, и в мире, благодаря сфере около-банковского мошенничества и трейдинга. Известен случай обмана клиентов (фрода) в Reserve Bank of India в 2019. Anydesk предлагали поставить под видом чата для решения проблем. В 2018 неофициально модифицированные, замаскированные сборки Anydesk, используемые для киберпреступлений добавлены японцами из Trend Micro в качестве сигнатур вирусного ПО. С тех пор в разных антивирусах ПО может срабатывать как вирусное. По сути, Anydesk имеет даже технологические преимущества перед TV в виде более производительного видеокодека DeskRT, сжимающего трафик и выдающего 60 кадров/c против 30, а также более либеральную лицензию.

Chrome OS desktop – работает прямо из браузера, который к тому же можно запустить из виртуальной машины или контейнера. В качестве примера можно привести Google Chrome remote desktop в изолированной среде (технология application guard) для браузера Windows 10 Edge. При этом у приложения нет ни связи с основной ОС, ни доступа к дискам или буферу обмена, при закрытии окна контейнер полностью уничтожается.

Chrome OS desktop бесплатен и этим все сказано. Однако вы не сможете управлять мобильным устройством с ПК, равно как и настраивать телефон с телефона. В этом плане Chrome OS desktop значительно уступает TV.

Антивирусы по-прежнему классифицируют данные программы как riskware – потенциально опасные для предоставления удаленного доступа. Сообщество ИБ характеризует отдельную категорию преступников – technical support-скамеров. Это жулики, прикидывающиеся легитимной удаленной поддержкой крупных корпораций. Базовая схема строится на холодных звонках и социальной инженерии c целью добиться установки TV или аналога, далее их подходы изобретательны:

установка кейлоггера;
платное обновление «истекших лицензионных ключей»;
убеждение жертвы в том, что ее атакуют хакеры при помощи запуска команд в cmd — netstat или рекурсии dir /s;
скачивание или удаление конфиденциальных документов путем отвлечения внимания и требование выкупа;
блокировка ОС установкой пароля на запуск;
многое другое, выходящее за рамки этой статьи.

Самые действенные меры защиты подключений со стороны Team Viewer

ПО защищено подписью Verisign.
TV прошли сертификацию на соответствие стандарту ISO 27001.
Введена запись сессии.
Произошла смена протокола авторизации на SRP, в TV усилили ключи. Обмен ключами идет по RSA 4096 и сессия шифруется AES 256. TV уверяет, что «Man in the middle attack» невозможна.
Реализована двухфакторная аутентификация для входа в запись.
Введен лист блокировки для входящих подключений в том числе за пределами исходной сети.
Уничтожена возможность неограниченного тестового доступа без авторизации (с 2016 года).

Несмотря на меры по защите предприятий, для администраторов такие средства управления как TV – это потеря контроля и огромная головная боль. Наряду с бронированными воротами шлюзов корпоративной безопасности, с авторизацией и контролем удаленных пользователей, они получают постоянно распахнутую калитку, через которую можно получить доступ ко всей интра-сети, не открывая портов, не авторизуясь и не оставляя логов VPN-сессий.

Ссылка на ПО может прийти откуда угодно и от кого угодно, достаточно иметь хоть какой то доступ в интернет и уже можно вести зашифрованный диалог и управлять ПК. А ведь еще есть BYOD (личные) устройства, которые приносят на работу, где TV или его аналог может быть даже установлен по умолчанию.

Да, есть DLP решения, способные детектировать запуск процессов и новомодные шлюзы – вроде Checkpoint или Palo Alto, анализирующие и блокирующие трафик не по портам, а по сигнатурам приложений, но ведь их нужно выявить и добавить. А сколько таких версий может быть!

Если же вы пользуетесь по необходимости подобным ПО можно прийти к своду рекомендаций, которые пишут сами разработчики.

Основной проблемой при удаленном подключении является обеспечение безопасности, поэтому инженеры TeamViewer разработали самую современную систему безопасности для наших продуктов. Сертификация центров обработки данных согласно ISO и SOC 2 и шифрование сеансов передачи данных при помощи AES (256 бит) гарантируют полную защиту ваших устройств и данных при работе с нашими приложениями. Интенсивный мониторинг, подготовка отчетов, обнаружение нехарактерной активности и двухфакторная проверка подлинности обеспечивают дополнительный уровень защиты от вторжений.

Описание функций и поддерживаемых продуктов

Шифрование данных и программ

Двухфакторная проверка подлинности

TeamViewer помогает компаниям, которые хотят соответствовать требованиям HIPAA и PCI. Двухфакторная проверка подлинности создает дополнительный уровень безопасности для защиты учетной записи от несанкционированного доступа. При двухфакторной проверке подлинности помимо запроса имени пользователя и пароля на мобильном устройстве создается код для входа в учетную запись TeamViewer. Для создания этого кода используется алгоритм одноразового пароля с учетом времени входа в систему (TOTP).

Передача файлов и невидимая защита доступа для сеансов удаленной поддержки

Помимо идентификатора партнера TeamViewer создает пароль сеанса, который меняется при каждом запуске программного обеспечения, что формирует дополнительный уровень защиты от несанкционированного доступа к удаленной системе. Для функций, связанных с безопасностью устройства, например для функций передачи файлов, требуется дополнительное ручное подтверждение со стороны удаленного партнера. Кроме того, невозможно незаметно контролировать компьютер. С точки зрения защиты данных пользователь должен иметь возможность видеть, когда кто-то подключается к его компьютеру.

Доверенное устройство и процесс подтверждения

Параметр «Доверенное устройство» в TeamViewer предоставляет нашим заказчикам дополнительную защиту и помогает предотвратить доступ других пользователей к учетной записи. Эта функция гарантирует, что при первом входе с существующей учетной записью TeamViewer на любом устройстве программа попросит подтвердить, что новое устройство является доверенным, перед входом в систему. И на адрес электронной почты учетной записи отправляется запрос на подтверждение.

Принудительный сброс пароля при нестандартных действиях

Система постоянно контролирует наличие нестандартных действий в учетной записи TeamViewer (например, доступ из нового места), что может свидетельствовать о том, что такая учетная запись взломана. Чтобы защитить целостность данных, при обнаружении таких действий пароль учетной записи TeamViewer сбрасывается принудительно. Затем TeamViewer отправляет электронное письмо с инструкциями по изменению пароля.

Наверняка мы не раз сталкивались с необходимостью удаленного подключения к нашему компьютеру. Либо потому, что мы на работе, и нам нужен файл с нашего компьютера, либо потому, что мы путешествуем и нам нужно использовать ПК, благодаря Интернету можно почувствовать себя так, как будто мы сидим перед компьютером. Даже потому, что мы должны поддерживать человека или учить его делать что-то конкретное. Существует множество способов удаленного подключения к компьютеру, но один из самых простых - использовать программу, известную как TeamViewer .

TeamViewer - незаменимый инструмент для пользователей, которым требуется удаленный доступ к любому ПК. Эта программа, бесплатная для непрофессионального использования, позволяет нам подключаться к любому компьютеру без необходимости регистрации, настройки и без открытия портов. Все, что вам нужно сделать, это загрузить программу, открыть ее и предоставить другому лицу идентификатор и пароль, которые она генерирует автоматически.

Хотя сначала мы не должны рисковать при использовании этой программы, ниже мы дадим вам несколько советов, как избежать антипатий и предотвратить подключение к ПК без разрешения посторонних лиц.

Держите программу закрытой, когда она вам не нужна

Первый совет, который мы хотим вам дать, состоит именно в этом. Когда мы загружаем TeamViewer, у нас есть два варианта: либо установить его на компьютер, чтобы он всегда был доступен, либо запустить его без установки, чтобы не оставлять следов на ПК. Если мы установим его, у нас будет возможность настроить автоматический запуск программы при запуске компьютера. И это может быть опасно.

Время от времени меняйте пароль

Для удобства TeamViewer обычно сохраняет для нас один и тот же идентификатор и пароль. Таким образом, просто сохраняя эти данные в любом месте, мы можем подготовить наш компьютер к подключению к нему. Однако со временем вероятность того, что кто-то завладеет этим паролем, увеличивается.

Чтобы этого избежать, TeamViewer позволяет нам изменить используемый пароль другим случайным ключом в пару кликов. Таким образом, старый пароль больше не будет действителен, и мы сможем подключиться только с новым.

И если мы предпочитаем использовать персональный пароль , мы можем сделать это из дополнительных опций программы. Конечно, мы должны убедиться, что это надежный, длинный и уникальный пароль. В противном случае мы можем снизить безопасность TeamViewer вместо того, чтобы повышать ее.

Активировать двойную аутентификацию

Если мы хотим еще большей безопасности, мы должны включить еще одну функцию в настройках безопасности программы: двойная аутентификация . Эта мера безопасности позволит нам настроить дополнительный уровень безопасности в программе. Когда мы собираемся подключиться к нему, он будет запрашивать у нас дополнительный, совершенно случайный код безопасности, который мы не будем знать, но нам придется получить его другими способами, например, на нашем смартфоне с помощью приложения 2FA. .

Таким образом, даже если кто-то получит наш идентификатор и пароль, он не сможет подключиться к ПК без этого кода. И получить его можно будет только через приложение, установленное на нашем смартфоне.

Всегда обновляйте TeamViewer

Наконец, хотя это кажется очевидным, многие пользователи игнорируют это. Разработчики этой программы обычно периодически выпускают новые версии. Эти версии, помимо улучшения работы программы, обычно исправляют ошибки и уязвимости. Если мы не обновим программу, наш компьютер может подвергнуться риску возможных компьютерных атак. Таким образом, важно убедиться, что у вас всегда установлена последняя версия TeamViewer.

Последнюю версию, конечно же, можно бесплатно скачать с сайта свой веб-сайт .

Читайте также: