Клиент работает в 1с 8.2 ут 10.3
Говорят что базу могут стырить
Необходимо при запуске базы отправить письмо по электронной почте с максимальным содержанием информации для идентификации злоумышленника.
..
Само собой сделаю проверку на имя компа, если не сервер то слать письмо.
..
Вопрос, что такого полезного можно изъять при запуске базы?
Имя компа...
Имя пользователя под которым запустили...
Внешний и внутренний IP можно, как?
Результаты Tracert, как?
Имя пользователя в винде, как?
Что еще можно повыдергивать?

(0) может доступ нормально организовать?

уйти от файловой версии ?

(0) Блокер в базу поставь - если не в своей сети - блокирует Windows и просит отправить СМС на номер для продолжения работы ;) Заодно ищи базы и документы там и шли себе - наверняка там есть что-то интересное.

закрыть флешки на запись ?

(0) А потом потыренную базу запустят на компе, где интернетов нет.

К доктору, лечить паранойю.

(5) Это возможно, но с каждым днем все менее вероятно
(4) Слить могут через файлообменник
(3) Ты походу тоже злоумышленник, от тебя тоже надо защищаться
(2,1) Не поможет, админы могут делать DT
(6) Это не параноя, факты на лицо, а надо в почту

(0) это (5) - раз. А два - ну отправил ты письмо, ну пришло оно, ну идентифицировали, чт это вася, которого на той неделе уволили. Дальше что?

(0) параноя?
что даст тебе внешний IP? имя провайдера
про внутренний вообще можно не говорить
имя пользователя в винде, например вася и имя ПК вася-ПК
много поможет?

(7) 1050 раз говорю, вся безопасность начинается с определения 3 параметров

1. Объект защиты (например база)
2. Периметр защиты (например локальная сеть, если база ушла из локалки - это взлом)
3. стоимости объекта за периметром (сколько готовы заплатить за взлом)

примерно оцени последний пункт и я тебе скажу чего дальше делать

(9) имя провайдера, имя зареганого на этот ип домена

(7) > Не поможет, админы могут делать DT

смысл что-то защищать, если админ крыса ?

(11) с какого бы?

+ (9) особенно, если внешний IP будет серым, как у ёпты например.
Да и хрен с ним, даже пусть белый, даже пусть в письме написано, что тот самый вася пупкин и его домашний адрес и скан паспорта. Дальше что?

Лучше накидайте еще вариантов выдергивания данных из сеанса, которые помогут найти плохиша

(14) с органами контакт налажен, не волнуйстесь ни за Васю ни за наше бездействие

(16) в каком суде электронное письмо является доказательством?

(15) зачем? ты все равно слышиш только то что хочется.

Любой совет для тебя сейчас бесполезен...

озвуч сумму которую Вася готов заплатить за вашу базу, без этого все бесполено

916) ну ну
лучше логин/пароль под роспись, и доступ к базе определенному кругу лиц

+(17) в особенности письмо, отправленное через учетку на каком-нить майлру, логин-пароль от которой в открытом виде в спёртой базе хранится

Блин, да как получить внешний IP и т.п.
Что вы меня пытаетесь переубедить то в полезности этой затеи.
Вора нужно найти и обезвредить.
Для того чтобы его найти данных из (0) достаточно.

(21) а может просто файловый аудит включить? и потом читать кто копировал на внешний носитель?

(21) лучше оключи базу от сети или вообще не включай комп
вора ты такими средставми не найдешь.

(19) логин/пароль подобрать невозможно ?

(24) еще один, прочитавший журнал хакер

(22) конечно, для пресечения таких случаев ваши сообщения полезны, эти меры тоже нужно применять. Но сейчас речь о другом, как получить сигнал о том что базу сперли и хотя бы минимальные сведения о новом владельце.
Кстати, в системе где-то хранится электронный адрес который срабатывает на команду mailto: ?

"Самый надёжный способ предохраниться от сифилиса при половом акте:
- одеть презерватив;
- обмотать поверх марлей, пропитанной крепким раствором марганцовки;
- поверх - ещё один презерватив.
И ни в коем случае не трахаться!"
(c) старый анекдот

(0) Читай, что тебе vde69 пишет. Внимательно читай и вдумчиво.

(26) если базу УЖЕ сперли - то как ты туда свой код воткнешь?

а если базу ЕЩЕ не сперли - влючи файловый аудит...

(23) а какими найдешь? Напишите...
1. у него права админа
2. логи удалить может

(28) Файловый аудит не поможет, т.к. пароль может быть у третьего лица

(26) предпринять меры надо "до преступления", а  не с тем, что делать, когда уже базу стырили. согласен?

(29) Может, лучше озаботиться тем, чтобы у "него" не было прав админа?

(29) от админа защится НЕВОЗМОЖНО, можно только контролировать его действия. Например рядом с ним сидит дядя и пишет все его действия в бумажный журнал (подобные решения в жизни бывают, например в банках). Но это стоит денег (зп и т.д.).

бесплатно от админа или 1с ника НЕТ ЗАШИТЫ !!! по этому я и начал с определения суммы взлома.

(31)(32) Капитаны очевидность, вопрос то в другом, как понять кто он...

Такое чувство, что базу уже того-с... И теперь автор спешно заколачивает двери конюшни, из которой лошадь давным давно уже увели.

(30) если нужен доступ третимо лицам то делается виртуалка на нее заливается база обработаная обработкой для обезлички баз (на ИТС) и с ней работает третье лицо.

опять это все расходы, но бесплатного не сделаешь!

(33) Ну почему же невозможно? Админов может быть несколько. С разными правами. И чтобы спионерить чего - им надо вместе собраться.
А 1Сника - можно к боевой базе вообще не пущать.

(35) Базу клиента регулярно уводят, в очередной момент надо чтобы код был в базе для отправки данных
И лошадь ему дается с нарисованными пятнами (база уже фиктивная и в ней левые данные)

И вообще, каким предполагается способ похищения базы?
Скопировать на внешний носитель?
Скопировать по сети?
Скопировать не саму базу, а бэкап?
И т.д.

(34) В общем случае - никак.
Имхо есть противоречие, с одной стороны злоумышленник достаточно хитер и продвинут, чтобы стырить базу.
При этом настолько наивен, чтобы запускать ее в среде, имеющей доступ во внешний мир с правами достаточными на отправку сообщений во вне.
Если база ушла, то все. Имхо. Надо усилия фокусировать на увеличение затрат на несанкционированное получение базы.

(39) я бы конечно бэкап уводил, скорее всего так и делается
победить можно сменой пароля админа и прочими описанными здесь мероприятиями, но надо найти вора то

(41) Почему слово "вор" ты используешь в единственном числе? Судя по (не) принимаемым мерам безопасности, базу не тырит только ленивый.

(41) Пусть сворованная база по скайпу тебе позвонит втихоря. Есть какие то там обработки и компоненты.

+(42) Да и не всё ли равно, по большому счёту, кто вор? Ну, найдёте одного из - на его место встанут легионы.

(43) Или кейлоггер пусть установит. И отправляет тебе логи при наличии интернета.

(40) Все верно, на наивность и неопытность хакера вся надежда, поэтому и нужно собрать по нему информацию. А заказчиков может и не быть, он может шифрануть потом базу рабочую и продать ее этой же компании, как вариант.
(45) Это уже интересно..., спасибо за идею

(38) Как Вы определяете что её регулярно!!! уводят ???

(0) Слей сам, а то уж больно сложная дробь получается.

(21) Ну определишь ты что базу украли. По IP определишь что база в Пентагоне. Пользователь от имени которого запущена база - Администратор.
Что дальше?
Сначала ответь на вопрос из (10). Может так случиться, что и защищать нечего.

а откуда у найвного и неопытного хакера пароль админа?
и неужели он настолько тупой, что бы себя под статью подставлять?

Была такая замечательная кинокомедия - "Старики-разбойники"...

(49) Он получит премию! А дальше руководство когда поймет, что с этим данными сделать нехера не может, начнут выдумывать новые способы. ИМХО.

что мне ИМХОется, что ТС написал нетленку и старается так узнать, кто его произведением еще пользуется
потому как база кроме конкурентов и налоговой больше нахрен никому не нужна

Защищать базу от несанкционированного доступа - надо.
Отслеживать постфактум, кто этот самый доступ поимел - вариант расово некорректный. Если некто ЗЛОуМышленник может получить данные, которые ему получать не следует, значит существует брешь в защите, это, в свою очередь, значит, что никакие иные превентивные меры не есть успешные, за исключением действий по устранению тех самых брешей.
В число брешей следует включать не только алгоритмы доступа к базе, но и разграничение прав и регламента доступа к разным данным, что решается уже на уровне руководства. И многое, многое другое, не имеющее отношения к программированию

(16) Не верю! Был бы контакт с органами - уже бы давно нашли плохиша и прижали его.

(46) И чем это лучше блокера? Точно такая же зловредная программа, и точно такой же несанкционированный доступ к информации...

(0) Тут нужно особая винда у пользователей.
Если растет шиза, то ставить пользователям проги для логирования действий, лишать их админских прав и тд и тп.

(0) Никаким образом изнутри сети, ты не найдешь - на каком внешнем IP-шнике находится контора. Поэтому, если реально хочешь узнать IP злоумышленника, то:
1. Ставишь свой сервак в Интернете, который логгирует попытки доступа к нему (в частности - с какого IP пытались зайти). И отсекает доступ из своего предприятия.
2. В 1С-ке добавляешь код, который стучится на этот интернет-сервер.
Для исключения всяких левых срабатываний (типа вирей, поисковых роботов и проч.) можно сделать анализ по типу port knocking, т.е. 1С-ка пытается открыть определенные порты в каком-то зафиксированном порядке, а сервак ловит только события последовательного обращения к своим портам в указанном порядке, а все левое просто отбивается.

1. определите объект, (база, бекап, бумажка в принтере и т.д.), то есть то что охраняется! например список контрагентов в екселевском файле нужно охранять или нет?

2. определить периметр (например для бекапа периметр являестя сервер бекапов, а для базы терминальный сервер)

3. определить стоимость каждого объекта.

4. определить круг лиц которые по факту имеют доступ к объектам.

5. привести права к "достаточная необходимость".

6. зафиксировать текущую ситуацию документально (например издать приказ или служебное положение).

7. ввести аудит действий пользователей с объектами

8. составить план действий на случай ЧП (что делать если аудит показал нарушение действий), план действий оформить в виде распоряжения и довести до ответсвенных.

можно и продолжать..... но пока автор не определит первые 3 пункта делать ничего не имеет смысла

А для остальных, метод "HoneyPot" является одной из разновидностей борьбы с киберпреступлениями.
P.S. Я искренне надеюсь, что автор из (0) спрячет реальную базу от доступа, а "на съедение" отдаст специально заготовленное.

(58) он как раз похоже план действий и составляет. По крайней мере чтобы получить более достоверный ответ на вопрос "кто?" чем та информация что дадут логи аудита.
А приказы ИМХО это все "от лукавого". Да и привести права к "достаточная необходимость" в отношении к админам 1С на мой взгляд тупиковая задача.

(59) В 1С-ке добавляешь код, который стучится на этот интернет-сервер. этот момент самый забавный, а если, например, это ip анонимника? дальше что?

(61) тут без связей с "органами" никак. Только они у провайдера могут логи запросить - кто, когда, но и то скорее всего если дело заведено. Либо немного в обход закона "по дружески" так сказать :)

Все эти предложения от лукавого,
тут, если все серьезно, целый комплекс мер, и 1С ну никак в этом не поможет
начинать надо от (10)(58) и потом определятся
а ваши логи = нотариально заверенному скриншоту

(59) при получении любой базы перед ее открытием я ВСЕГДА
1. смотрю код при запуске
2. ищу ЗапуститьПриложение, КомандаСистемы.
3. если не доверяю источнику - запускаю с правами обрезаного пользователя (самого обрезаного), при этом все хитропопые закладки выдают ошибку :)

кстати один раз видел подобную закладку, по этому нифига это не работает.....

(0) базу могут увести используя и камеру сотового телефона. Нафотят экран монитора и все твои меры "к чертям собачьим". Лет 10 назад телевидение пыталось практиковать "компактную" рекламу. Типа включайте свои видики и пишите быстро проносящийся текст, а потом типа в режиме стоп-кадра просматривайте. Хрень полная :)

(64) а если в компоненту NativeAPI встроиться? Например в печать штрихкодов. Тут уже только если внешним софтом блокировать.

(37) это как? архивная копия режится на N частей по числу админов? И каждый кусочек копии хранится на своем отдельном серваке (каждый админ имеет доступ только к своему серваку)?

(57) а разве антивирусы всякие и брендмауэры не сработают?

(66) на компе "злоумышлиника" компонента не установлена

гы, прикрутить к базе механизм подключения к вебке и транслировать физиономии потирающих руки злоумышеленников в инет ))

(69) установится без прав администратора на автомате, даже под Linux.

(70) и девок им голых на экране накидать чтобы все "рожи" сами к экрану прибежали :)

(71) с фига ли установится без прав админа? UAC же её и заблокирует

феерическая ветка. Тема "как защитить от угона", но автор начисто игнорирует варианты защиты и сосредоточился на вопросе: "Что делать, когда уже угнали". Да ни чего не делать - всё уже просрано

(68) Тут опять же... Например, если у 1С-а есть права на загрузку "Курсов валют", то значит и на выход в сеть есть. Анализ можно делать и не по доступу на NN-й порт, а, например, по 80-му порту (обычно открытому), и на доступ к странице "http://my-site.com/supersecretpage";, которой фактически нету. Т.е. поисковый робот по ошибке на эту страничку не зайдет, и только из 1С-ки будет доступ по указанному адресу.
(74) Может у него уже угнали, просто (0) хочет, чтобы угнали еще раз с более свежими данными, и оттуда узнать, кто же это сделал.

(73) так она в профиль пользователя распакуется native-компонента в реестр запись не требует, может содержать версии х32 и х64 под винду и линукс, и спец переходники под разные браузеры.

(79) да пускай распакуется, права у нее будут пользовательские, и любой брандмаузер сразу спалит....

Самый верный способ защититься это уйти от стандартных систем и зашифровать некоторые важные поля. Чтобы потом злоумышлинник не смог или с трудностями раскодировал данные
Шифрование тоже хитроумное - оно как бы хотя бы сохраняет сортировку)

(0)
// доступные поля
    //  SELECT [DisplayName], [objectGUID], [distinguishedName], [objectCategory], [groupType], [samAccountType],
    //[UserAccountControl], [ADsPath], [objectSID], [sAMAccountName], [Drink], [whenCreated], [lastLogon], [Name],
    //[Cn], [photo], [managedBy], [givenName], [middleName], [Sn], [Initials], [title], [mail], [physicalDeliveryOfficeName],
    //[streetAddress], [countryCode], [postOfficeBox], [L], [St], [C], [Co], [postalCode], [TelephoneNumber], [facsimileTelephoneNumber],
    //[mobile], [ipPhone], [homePhone], [pager], [profilePath], [scriptPath], [info], [homeDrive], [homeDirectory], [manager], [company],
    //[department], [departmentNumber], [division], [employeeID], [employeeNumber], [employeeType], [Enabled]

Особо прикольно [photo] если конечно заполнено

+ Мак адреса для предъявления претензий
wiki:MAC-адрес

Зашифровать кусок кода.
Расшифровать при запуске - потом Выполнить() этот кусок кода
в выполнить запуск функции внутренней обработки - чтобы vde69 сразу не заметил

Еще лучше - записать элемент спец справочника в процедурах инициализации.
В обработчик ПередЗаписью этого  элемента - вставить отсылку.

Тогда точно не найдет

(0) Необходимо при запуске базы отправить письмо по электронной почте с максимальным содержанием информации для идентификации злоумышленника. - однако...

Ну а в мекеты обработки - разные вирусы программки зазипованные - после отсылки сообщения последовательно попытки взять комп под контроль

(0) фото с камеры делать если на ноуте запустили предлагали уже? так же скрин рабочего стола.

(0) Способ защиты информации: строишь подземный бункер, ставишь туда комп. Заливаешь на комп свою базу. КОМПЬЮТЕР НЕ ВКЛЮЧАТЬ! Защита - 100%!

Детский сад какой-то ))

Еще + дополнительная защита от дотошных программистов
При старте брать количество секунд текущей даты.
Если положим делится на 7 - производить отсылку.
Тогда даже если прог сидит в отладчике код не сработает .

Точнее сработает с вероятностью 1/7, когда он уже успокоится и забудет про бдительность

(77) так операция может выполнятся с отсрочкой, прописав себя в автозапуск. Может создать отдельные процессы, пускай пользовательские. Тогда уж лучше под правами гостя запускать.
(83) а если комп не подключён к сети?
(89) это интереснее.

Смешная ветка. Сразу видно, никто баз не тырил. :)

Начнем с того, что в базу нужно зайти, чтобы что-то сработало. Поэтому, когда базу стырили, первым делом делают что? Сбрасывают пароли в v8users. Потом Конфигуратор и выгрузка. А тот, кто будет это делать, думаю не настолько глуп, чтобы не глянуть, что при запуске происходит. Так что шансы, что локушка сраобтает, близки к 0.

Кстати, автор секретных отсылок и кейлоггеров имеет неплохие шансы сесть вместе с вором; и по той же статье - НСД. Ментам чем больше палок, тем лучше.

Возможно вопрос не по теме. Но что такого можно украсть в базе? У мня их в свое время под сотню было.

(91)+1

да, кстати, IP. В случае интернета через 3ж-модем или например Йоту, что он даст? Это будет адрес шлюза. А провайдеры никогда  не сообщат свои сессии по внутренним динамическим IP, на какой мак-адрес какого устройства какой IP был выдан. Инфа 146 процентов, если только вы не из отдела "К"

(93) У меня и сейчас их дофига, и тоже ничего ценного. Те, кому доверяют действительно ценные базы, тут не треплются.

(95) защитой действительно ценных баз занимаются специалисты, не недоумки-1сники...

непонятно, за что радеет ТС - за хитрые ценные доработки типовой УТ или за данные базы?
Если первое, то еще куда ни шло - все какая-то защита, хотя попадутся на эту удочку разве что свои же проги, которые были не в теме и унесли базу домой.
Если второе, то смысла в этих почтовых рассылках мало, т.к. нужные данные злоумышленник может вытащить через отчеты или xml без похищения самой базы, в таком случае заявленная система предупреждений о несанкционированном доступе будет попросту бесполезна.

(97) моя задача найти вора
(79) спасибо за подсказки, было бы здорово конечно получить фото с камеры и мак адрес
Только вот я не знаю каким кодом все это можно получить...

(98) а есть ли вор? скорее всего начальник - отставной прапор милиции по пьяни очередной раз проиббал портфель с флешкой с базой, которую нес к надомному буху и по дороге завернул в пивнуху..

100

Что особенно умиляет - обсуждение способов поимки вора ТС ведёт на родном из самых популярных 1Совских форумов. Видимо, для того, чтобы вор заранее был в курсе, как его ловить будут.

Ну а декларированная в (98) цель - "найти вора" (а не "обеспечить безопасность данных" - просто не может не радовать.

(91)
99% Программистов не заметят код который выполняется вероятностно да еще в ПередЗаписью некого объекта.

Либо ему надо быть сверхподозрительным и досконально изучить весь код загруки а это несколько тысяч строк во многих конфигурациях.

Сомневаюсь что Вы делали подобное хоть в одной скачанной
Переубедите

(0) Человеку, который покажет мне такое письмо, я б сказал, что у меня тоже письмо есть, что он мне должен 100500$ там и его фио будет и ip 127.0.0.1
Потом бы письмо скопировал, фио поменял, и сказал, что еще вон тот тоже должен - ведь у меня письмо есть...

Где бы себе найти работу, где можно за деньги заниматься всякой муйней?

(98) Ты найдешь не вора, а его клиента скорее всего, вор может эту базу сливать не кому-то одному, а всем конкурентам вместе взятым. И как написано в (103) вся твоя информация, ничего абсолютно не доказывает, так как эту информацию ты можешь сгенерировать сам.

Тебе уже много раз сказали, подойди к своему вопросу с другой стороны, ну или объясни своим шефам.

"Найти вора", лол.
Не будем заморачиваться орг. вопросами, обратимся к программным.
Вор запустил базу на компе без инета под виндовым "неопытным пользователем", выгрузил справочник контрагентов (или отчеты, или что там секретного) в ексель и передал его кому надо. Ищи его, да.

Простыми словами - если базу уже свистнули, задача нерешаема вообще. Подходить надо - правильно говорят - с той стороны, чтоб усложнить воровство базы.

(106)
Прям не вор а хакер

Скорее всего стырит - Тетя Глаша бух / младший помошник старшего админа/ тупой 1С ник

Не защита конечно, но полезняшка

Лучший способ защиты базы сделать ее размер в несколько экзобайт, чтоб ни у кого не стало такой флешки чтоб ее физически утащить, а через инет одмины бы по трафику увидели.

уголок параноика

(108) а под носители с бэкапами ангар арендовать

(108) Кстати, очень хорошее решение - если в базу писать каждый чих пользователей, то размер её будет достаточным, чтобы ни у кого не возникало желания что-то выносить.
100 Гб - это уже размер, который и скопировать на несколько минут не получится.

(102) Делал. Один раз нашел не только маячок, но и бэкдор. При запуске сразу шло обращение на сайт разработчика по HTTP, якобы за обновлениями. И всякая инфа попутно отсылалась. А если сервер возвращал какой-то текст, он просто выполнялся в системе как команда.

Ставить такой код в ПередЗаписью чего-то смысла нет, если нужно гарантированное срабатывание.

(112) Это не значит, что я стырил ту базу :).

(96)Ценные базы не на 1С крутятся.

(98)Искать вора задача правоохранительных органов, им за это деньги платят.
А то приходили тут ко мне крутые, разобраться. Не удалось.

Хм, я не пойму что народ так возмущается.
Идея нормальная, хотя я вместо почты использовал бы http запросы на свой сервер.


Разумеется это никак не защитит базу от похищения и не повысит безопасность данных, но вот тот факт что база была похищена вполне покажет, плюс даст пищу к размышлению насчет того как, когда и кем она была похищена.

(0)Думаю лучше сделать http запрос на свой сервер - сразу будет виден айпишник.
Трасерт - запустить из 1с в скрытом режиме направив вывод в файл, файл прочитать и передать POST запросом на сервер, так же неплохо бы узнать актуальность базы (например последний проведенный документ) и тоже сообщить на сервер, чтобы можно было узнать когда ее увели, а так же пользователя базы под которым зашли в базу (откуда злоумышленники узнали его пароль)

(91)Не согласен.
Конечно против классного специалиста, да еще и сверхподозрительного это не сработает.

Однако давай подумаем - кто скорее всего будет тырить базу, и кому она нужна?
Стырит базу скорее всего кто-то из работников организации, скорее всего пользователь базы, по просьбе заинтересованного лица.
И скорее всего никаких особых плясок с базой не будут устраивать - просто запустят, посмотрят и все.
Никто там в коде не будет лазить.
Да и пароль скорее всего сбрасывать не придется, т.к пароль вместе с базой отдадут.

(116)То что законы нарушаются, это я так понимаю не важно?

(118)Какие законы нарушаются?

(98)Получить мак - выполнить getmac и прочитать вывод.

поздно, Вася, пить боржоми
когда печень отвалилась.

(119)Получение персональный даных, слежка, наблюдение.

(122)
Какие персональные данные защищенные законом получаются ?
Почта и ip - прописаны в законе ?
Все остальное - особенности конфигурации

как там дела с продажей трусов в Нижне Задрищенске? Еще не утащили базу фетишисты?

(122) заметь тут нет факта распространения вредоносного софта :)
Это всеравно что из лаборатории Касперского троян спереть а потом жаловаться что он инфу слил.

(123)То есть, сбор данных без разрешения владельца -разрешено законом?

(126) ты когда с рабочего компа в офисе данные по софту и т.д. получаешь ты тоже занимаешься незаконной деятельностью? А софт предназначен только для использовании внутри компании. А то что он оказался за пределами компании и выполнял свои "административные" функции как бы не вина компании.

(126) короче закон что дышло ..., дальше сам знаешь

Станете преступниками прямо в зале суда ;)

(116) Ура, встретил нормального человека, который помог реальными советами. Давай сделаем такой код, готов за него рассчитаться пивом.

(127) Есть такая статья в УК - несанкционированный доступ к информации. Почитай на досуге.

Вот полезная команда
КомандаСистемы("ipconfig /all >>c:\log.txt");
..
Там и мак и айпи, правно внутренний.
..
Подскажите, как получить внешний ip ?

(132) А может, вам скинуться конторой по чуть-чуть. И нанять _специалиста по безопасности_, который сделает всё, как надо, а не как шило в заднице подсказывает?

(133) что сделает, найдет вора?
так он и так есть, надо его только иденифицировать.

(132) Испытай еще:

(134) Есть способ проще. Прокатить всех на полиграфе. Но это стоит денег. А играться с базой бестолку. Если она УЖЕ ушла, то это не означает, что она еще раз уйдет.

+(135) КомандаСистемы("pathping -n 8.8.8.8 >>c:\log.txt");
и КомандаСистемы("tracert -d 8.8.8.8 >>c:\log.txt");

но надежнее всего получить внешний IP, как уже было сказано, http запросом на свой сервер

(134) идентифицировать ? бугагашеньки !

если тока при обыске найдете носитель с базой, либо он чистосердечное напишет.

Вор же не работать с базой будет. Ему лишь надо вынуть оттуда нужную информацию.
После обсуждение в этой ветке вор будет знать, что курочить базу надо на компьютере, не имеющем выхода в Интернет.
Какие следующие рекомендации вору желает получить уважаемый ТС?

(139)
Рано или поздно выйдет.
Он же выбрасывать комп на почве параноидальной подозрительности не собирается
Инфу можно хранить в текстовом файле. Бат файл на запуск попытки отсылки.
В автозагрузку или т.п.

(140) можно видео на айфон снять ;)

Для отсылки рекомендую бесплатную blat.exe - не требует регистрации в реестре
http://www.blat.net/
Нужно будет распаковать в какую нибудь папку

(140) Ну получил ты айпишник, чо с него толку? Ну допустим, ты даже узнал провайдера. Что дальше?

(140) Выйдет. С арендованного на Каймановых остовах сервера.

(143) говорил же
именно эти данные и ждут от меня силовики
..
Ах если бы с вэбки еще фотку получить и код узнать

(144) Да пусть даже в Москве. Что дальше-то? Смысл изображать Экрюля Пуаро, если ты не он? Самый простой (он же и практически единственный) способ выяснения кто свистнул - то, что милиция называет "оперативно-розыскные мероприятия". И оно к компам имеет очень слабое отношение.
(145) А еще ключи от квартиры и адрес. Мозгу включи. Ну получили они айпишник провайдера, что дальше? Ну даже дорылись до ближайшего макдака (ну или еще какой свободной сетки). Дальше? И что за "силовики"? МВДшники без вопросов устроят допросы, а частникам вполне по силам нанять полиграфполиграфыча и прокатить всех. Тебе уже 100500 раз объясняли, что толку нет никакого с этой информации.

ждут от меня силовики - съехал под стол, пишу оттуда..

(145) Ну вот тебе IP: 10.10.143.117
Дальше что?

(147) Съехать не могу, так по полу катаюсь. Силовики блин...

(145) аааааааааааааааа

ну нельзя же так

(145) для того, чтобы получить фотку, надо базу на телевизоре от ЛГ запустить - он, зараза, в новостях писали, сам все данные о пользователе отправляет куда-то.. только нужно будет злоумышленника уговорить вебку подключить заранее.

А пока идёт обсуждение в этой ветке - очередной злоумышленник нагло тырит базу. Ибо закрыть к ней доступ никто так и не позаботился.

(152) Есть подозрение, что база эта, что-то типа неуловимого Джо. Потому как если оно хоть сколько-то стоит, то руководство компании ее сохранностью озадачится.

А откуда известно, что база - стырена? Именно _ИБ_?
Куда ведь проще запустить внешний отчётик/обработку, которая нужные данные извлечёт, аккуратно упакует и выложит в коробочке, перевязанной золотистой ленточкой.

А поскольку ТС уверен, что стырена - именно ИБ... Чего-то ТС не договаривает...

(148) на мак адреса я буду знать, имя компа в сети, домен если есть...
Если все срастется то и фотку сделаем с вэбки

(156) Мда... Это уже серьезно...

(156) И когда по графику состоится очередное похищение базы?

(158) как только объявим сотрудникам о новой сделке, думаю любопытные не заставят себя долго ждать

(156)
IP: 192.168.1.106
Имя компа - test
мак 08-00-27-EA-04-С8

Дальше что?

(160) Дальше силовики садятся в чорный воронок и едут по мак-адресу :)

Третий день ветка висит. Периодически смотрю. Что не могу понять, кому нужна ваша база? Похититель будет отгрузки с ваших складов проводить и инвентаризации делать? Перлы кода дрожащими руками копипастить? В базе самое ценное это список клиентов. В общем случае это отчет в экселе на ХХ строк. Забирается за 5 минут. Отправляется на почту, ядиск, флешку.

(160) это не внешние данные

(162) Да тупо на телефон можно с экрана сфоткать.

(163) вот и я не понимаю чего тут обсуждать
вопрос был про кодинг в получении данных для вычисления обладателя базы

(163) Что такое внешние данные и как их получить? Мне любопытно просто

(164) Лет много назад меня с дисками ИТС на завод один не пускали, проход с носителями информации запрещён политикой безопасности. Фото/видео техника тоже запрещена. Правда у всех телефоны с камерами и флешками, но CD проносить запрещено

(166) Молодой чулавек думает, что узнав по ip название провайдера, он позвонит туда, там падут ниц, и выдадут все пароли и явки, и он весь такой на белом коне...

(167) т.е. им даже в голову не приходило, что на ИТСный диск нельзя ничего дописать? Безопасники такие безопасники иногда бывают :)

(169) Как нельзя? А фломастером?

(169) им что ИТС, что ПМС - без разницы )

(170) Точно. Про такой метод записи я не подумал. Но, тогда получается, что ты можешь фломастером на себе данные вынести, следовательно, кожа тоже носитель информации и должна изыматься при входе :)

(165) А он - существует? Он слил из базы нужную ему инфу - и выкинул всё остальное. Причём слил прямо на рабочем месте, не нося с собой гигабайты мусора.

(165) А мы может хотим понять, почему Вы такой умный и не хотите поделиться информацией с тем как Вы или Ваши руководители будут её использовать ! Но Вы этой информацией делиться не хотите, но зато хотите что бы Вам рассказали как её получить !

Может многие то же будут наказывать злоумышленников, благодаря той информации которую Вы хотите получить !

(137) запустил у себя pathping , прождал пару минут, она так и не закончила работу. И в любом случае там нет моего внешнего IP
Трасировка тоже секунд 15 думала и выдала результат, но опять таки без внешнего IP

(172) На костях тож можно. И на одежде. ;) Так шта как грицца "перед прочтением уничтожить".

как правило подобные темы возникают не когда нужно защитить, а когда нужно

СВЕСТИ ЛИЧНЫЕ СЧЕТЫ!!!

правда остается тайной кто под кого копает...

(165) так что такое внешние данные и как их получить (для начало не средствами 1С)

(177) Никакой тайны. Копает топикстартер, и копает под админов.

Мне кажется, нужно заморачиваться не защитой базы а лояльностью сотрудников и доступом к жизненной важной информации именно сотрудников, чья лояльность достаточно подтверждена. А давать доступ любой к информации непонятно кому = 100% что ее стырят.

(175) внешний ип получить крайне просто
достаточно отправить кодом из 1с письмо
а в заголовке письма будет внешний ip адрес и хост

А чем занимается клиент, у которого постоянно тырят базу, уже озвучивали?

(175) вот мой запуск, чего автор в нем найдет?
-------------------------------------------

C:\Users\Дмитрий>pathping 8.8.8.8

Трассировка маршрута к google-public-dns-a.google.com [8.8.8.8]
с максимальным числом прыжков 30:
  0  comp34[192.168.30.26]
  1     *        *        *
Подсчет статистики за: 0 сек. ...
           Исходный узел     Маршрутный узел
Прыжок  RTT   Утер./Отпр.   %   Утер./Отпр.  %   Адрес
  0                                           comp34[192.168.30.26]

Трассировка завершена.

(183) да, эта команда бесполезна
в принципе уже все подсказали
но жутко понравилась идея про фотку с вэбки
как бы это кодом реализовать...

(182) Торгует логанами или обработками. 146%.

(184) а если вебки нет?

е-мое, пятница же только завтра, вы чо?

(184) Есть код какой то - поищи..готовое решение для скайпа...там смысл тот же.

(186) Выдать сообщение вору, чтобы подключил, а потом сфоткать.

(184) Ну или формат ц: на крайняк.

(186) Всем сотрудникам закупить вебки, и обязать ходить с ними даже в заведение с двумя нулями.

(162)
Что вы все зациклились на ip
В Active Direktory данные куда интереснее
Получаются элементарно
В компаниях там и почта и фамилия
Также можно попробовать сунуться в почту - там все письма

Также можно просканировать текстовые документы на компе

Чтобы утянуть данные, даже доступ к базе не нужен. Даже к серверной.

http://infostart.ru/public/182849/

(189) да в том то и дело, что клиенту можно даже при запуске сказать
Нет соединения с интернет, установите соединение и запустите базу заново )

(194) У клиета нет веб камеры...установите и продолжайте работать....

(187) Разогрев пошел. Кстати четверги както последнее время поугарнее удаются.

(192) Ты прав, я сканю файлы *паспорт*.jpg
а как из актив директори получить сведения?

(192) и дальше то что? ну получили какие-и=то мифические "силовики" данные от тебя. И с чем они к клиенту поедут? С твоими данными, которые ты мог сам в том же ворде набить? и нарвутся на иск сами. Клиент заявит что он вообще ничего не знает, а базу ему вирус на автомате слил и установил. Все.

(198) -> (192) ой, прошу прощения, не к тебе , это к (181)

(198) да я и хочу найти больше данных, в чем особой помощи тут не вижу

(200) вопрос не в том что найдешь больше0-меньше данных, вопрос в том что использовать их нормально все равно не сможешь

(198) Скорее горе "силовики" нарвутся на вызов ГНР, и сядут за разбой, так как есть подозрение, что под силовиками дядька имеет в виду обыкновенных "быков", которые сначала кулаками машут, а потом сидят (так как мозгов нету).

(196) тогда надо в "Юмор" топик перенести

(200) Проще назначать вора приказом. Никакие данные тебе всё равно не помогут. Тебе всю ветку пытаются это объяснить.

(203) Это не юмор, а суровая реальность.

Я так понял база кроме ТС никому не нужна. Нужна бы была, лоб морщили серьезные дядьки, которые на форуме не сидят.
А так получается у ТС острый приступ паранойи и мании величия. У меня этих баз со старых времен вагон и маленькая тележка, кто купить? Оптом дешевле.

(201)Это почему не сможешь?
Еще как сможешь при грамотном подходе.

(207) Ключевое слово "грамотный".

(207) Смог бы - не создавал бы ветку.

(207) интересно как

(210)Элементарно!
Получаем айпишник, видим что он не равен айпишнику нашего сервера, - значит базу стырили, нужно лишить ответственных за безопасность премии.
Получаем логин под которым зашли в базу - нагибаем юзера, с этим логином, чтобы не разбазаривал пароли, тоже пару месяцев без премии.

(211) а если пароль тупо подобран а не спижжен?

(211) опять же  "лишить ответственных за безопасность премии" <>  направить "силовиков" к клиенту как хочет ТС

(211) Ответственный за базу Иванов,
Петров отвечает за бекапы
Сидаров отвечает за контакты с франчайзерами
Гусев отвечает за копию разработчика...


кого наказывать?

+ (213) что-то мне подсказывает что функции ответственного за безопасность ТС и исполняет

(212)Ну это уже юзер объяснять будет, если хорошо объяснит, значит отмажется.

(213)Силовиков к клиенту? Не смешите мои тапки. На каком основании? Чтобы до такого додуматься надо быть неадекватом оторванным от реальности.

(214)Всех, чтобы не повадно было, а там уж пусть между собой разбираются и ищут кто реально виноват.

(216) ну (15) перечитай, (21)

(216) про это и речь

Прочитал... это эпично )))

У меня вот пользователя зовут Steel или tv. И что можно понять с этих данных? )))

Вообще идея кстати отличная.
Особенно для мелких контор у которых нет ни желания ни возможности сильно тратится на безопасность.
Банальная сигнализация о факте слива базы, это уже немалого стоит.

о, пока ржал над веткой придумал в тему. База при запуске проверяет наличие чего нибудь в сетке. Если ее запустили и она не нашла, запускается обработка меняющая всю важную инфу на "тисочки меховые для гениталий"

(221) А потом в один прекрасный момент, убощица выдёргивает шнур из девайса, наличие которого в сети проверяется и привет рабочей базе :)

(221) Да че там инфу менять, лучше враз диск отформатировать...

(223) тогда уж пожечь комп нах

(224) тоже вариант :)))), но сложнее...

(222)А бэкапы нафига?

(226) смотря с какой периодичностью и куда они делаются

(226) А бэкапы уже украдены ранее :)

(228) блин, точно пятница)))

самое смешное из (211) если оккажется что вошли под твоим логином и паролем :)

(230) Вово. Особо если учесть, что админ практически всегда знает все пароли...