– Добър ден, обаждам се от ваш клиент. Преинсталирахме тук компютъра, и ни е нужно малко съдействие за възстановяване на Интернет връзката.
– Разбира се. Отивате на My Network Places, от там избирате Connections…
– Тук сме под Линукс. Нямаме My Network Places и прочее. Просто ни дайте IP и прочее, ще си ги сложим.
– Амии… Трябва да си инсталирате LanClient – връзката към нас става чрез него. Слагате компютъра да си вземе IP адрес през DHCP, след това отваряте в браузера адрес еди-кой си, цъквате на “LanClient”, и казвате “Run”. Той се инсталира и тръгва.
– Ако е изпълним файл на Уиндоус, няма нито да се инсталира, нито да тръгне. Тук сме под Линукс.
– Ох… А, имаме версия на LanClient и за Линукс. Отивате на…
– Може ли да сваля изходния му код, и да си го компилирам?
– Как така изходният код?! Не може, естествено!
– Тук сме под Линукс най-вече за да имаме контрол върху това какво прави компютърът ни. Поставянето на програма със затворен код е извън обсъждане.
– Съжалявам. Няма как да се свържете към нас освен с LanClient. Не се безпокойте, той е изпробвана програма…
– И аз съжалявам. LanClient или този клиент – изберете сами. Възможностите са взаимноизключващи се.
– … … … Е добре де, можете да се свържете и през обикновено PPPOE, сигурно го имате под Линукс. Търсите един файл в /etc, казва се chap-secrets…
– Не се безпокойте, имам тук KPPPOE, с него се настройва лесно. (Опс! Забравил съм да го инсталирам. Нищо, и на ръка не е трудно. Да спестя на момъка обясненията.) Извинявайте, а след като може и с обикновено PPPOE, какъв е смисълът от LanClient? И Линукс, и Уиндоус имат чудесни вградени PPPOE клиенти…
– Много удобно е, включително за вас. Няма нужда да го настройвате. А и при нужда можем да ви помогнем чрез него.
– Да ни помогнете ли?! И за какво?
– О, за много неща. Да ви оправим омазани настройки, да ви почистим вирус, какво ли не. Много е удобно…
Малко съм шашнат от чутото. Оказва се, че LanClient е по същество backdoor… Вярно е, да се боиш от подобни неща си е параноя. Но нали съм (пишман) сисадмин, параноята за мен е професионално изискване.
Недоумявам защо един сериозен провайдер може да иска да използва LanClient. Не печели от него абсолютно нищо – удобствата за провайдера, които той предлага, са твърде дребни и вършат работа много рядко. Недостатъците обаче не са.
Ако от нечий компютър изтекат особено ценни данни, и на него е имало LanClient, провайдерът ще е под съмнение. А в някои случаи това може да означава и много големи ядове. В България има обичай да си държим най-секретните файлове на домашния компютър… Същото, ако от нечий компютър изтече персонална, финансова и пр. информация. Иди доказвай, че компютърът е бил заразен с вирус, пък после човекът си го е почистил.
Друго обаче е далеч по-вероятно. Бих бил здравата учуден, ако достъпът към “задната вратичка” на LanClient е с нещо различно от парола. Още по-юнашки бих бил учуден, ако паролата е по-дълга от четири знака (и ако не е в челната хиляда на речниците за разбиване на пароли). А ако не е една и съща за всички инсталации, бих бил направо изумен… Да бъде дебъгната програмката вероятно е въпрос на не повече от месец, дори ако е добре защитена, за съответен специалист. Да бъде разбита паролата с груба сила – на няколко часа, за съответен специалист. А да намери закъсал финансово или в личен план служител на провайдера вероятно е въпрос на минути, за съответния специалист…
Не зная на колко компютъра дори само в София седи тази програмка, вероятно на хиляди. Може би на десетки хиляди. Ух, каква сладка ботмрежа, на тепсийка поднесена! Всякакви други защити в LanClient, по MAC или IP, са преодолими от средна категория кракер за не повече от седмица-две… И бих бил ама тотално изумен, ако “черните” хакери не са се сетили за това много отдавна. И ако нямат от много време вече приготвено всичко, необходимо да лапнат цялата тази мрежа с един удар за секунди, ако внезапно им потрябва повече ботмрежова мощност.
А най-тъжното е, че зомбирането на машините дори не е нужно. Достатъчно е един злонамерен, купен или изнуден служител при провайдера – а кой провайдер може да подбере и гарантира персонала си на 100%? – и всички компютри в мрежата му могат да бъдат претърсени, изчистени, използвани, каквото щете. Достатъчен е един псевдо-БОП-аджия с фалшива съдебна заповед, или дори само с малко по-тежък поглед и убедителни думи. Достатъчно е провайдерът ви да е малко по-комерсиално ориентиран от общоприетото – нищо лично, просто бизнес…
Параноя? Може би. Но преди по-малко от месец един мой добър приятел гордо ми заяви: “Не може да имам вируси! Не държа на компютъра си нито банкови сметки, нито кредитни карти, нищо важно и финансово. Не разбирам за какво са се заяли и са ми спрели пощата.” А когато видя списъка на зловредията, изчистени от компютъра му, беше убеден, че са го сбъркали с някой важен, та затова. Как да му обясниш, че недържането на банкови сметки на компютъра го спасява толкова, колкото неносенето на пари в наличност го спасява от гладни вълци в гората?…
Разбирам, че за провайдера LanClient може да е улеснение. Можеш през него да видиш какъв е проблемът на компютърния идиот, който ти вдига пара по телефона. Можеш да почистиш вируса на другия компютърен идиот, който се кълне, че няма вирус, и не те пуска да идеш при него… Но пробие ли го някой черен кракер, нормалният провайдер би предпочел всички компютърни идиоти на света на главата си пред последиците. А пък е недопустимо лесно.
Затова съветът ми към всеки, тръгнал да си избира провайдер, е: НЕ се съгласявайте да си инсталирате специален несвободен софтуер от провайдера, за да се свържете с него. Кажете му това, което аз казах на провайдерите на приятеля ми: “LanClient или клиент – избирай сам. Двете са взаимноизключващи се.” Друг провайдер винаги ще се намери.
Интересно ми е коя е тази ‘сериозна’ фирма?
Иначе не смятам че ще ги осъдиш в БГ или че ще докажеш нещо на неграмотните съдии, да не говориме за това че те могат а си ‘изтрият’ следите и да ‘махнат’ ЛанКлиента и ти няма как да докажеш че изобщо е инсталиран на твоята машина, ако целта им е да ти съберат информацията.
Григоре, кой е тоя доставчик все пак? Сложи едно име, да го знаем.
Иначе – лошо е, като хора от тоя бизнес не могат да разберат къде е административното деление м/у тяхна собственост и тази на клиента. Тяхната свършва до входа на мрежовата карта (или какъвто-там-интерейс ползват) и толкова, да имаш достъп до машината на потербителя си _и да го играеш support_ за разни глупави проблеми като вируси и т.н. е по-скъпо, създава идиотски прецеденти и би трябвало да е противозаконно (въпреки че то това в нашата държава нищо не значи). Чудя се дали не съм обяснявал административните граници на мрежа в някоя лекция и дали не трябва да го направя…
Дежа ву!
Подобен разговор имах и аз с моя доставчик. По сходен начин отказах да инсталирам непознат и нетестван софтуер, още повече, когато се оказа, че наличните инструменти в ОС са абсолютно достатъчни за да осъществя връзката.
Разбирам, че момичето/момчето на касата не е задължително да е ИТ спец, и повтаря това, което са го инструктирали. По-странното е, че имат някакъв необясним инат да ескалират техно въпросите към по-компетентен служител.
Насоката ти на разсъждения силно се покрива с моята гледна точка. Виждал съм как явно скучаещ през ноща администратор/поддръжка се “закача” към компютъра на моя позната и прави … разни неща. Тя не е в състояние да усети подобна интервенция, и вероятно никога нямаше да узнае, че машината и е достъпна за неоторизирани лица. Нито в договора и, нито в някакъв друг документ е описана тази функционалност на софтуера, който я принуждават да инсталира. А като чух и обясненията на въпросният админ по телефона- вече съвсем параноичен взех да ставам. Пича първо опита да отрича, че се е включил, че прави нещо без да е упълномощен за него. По-късно опита да се измъкне с оправдане, че “понеже има много вируси в мрежата, през ноща ние се включваме и почистваме машините”. Аз пък съм авто-механик маниак, и през ноща ще дойда да ви направя преглед на служебните коли на паркинга, като ако открия проблем ще го фиксна :-).
Както е писал и Весо преди мен- ако нямаш изрично договорена клауза, че ще правиш подобни интервенции на клиентските машини (remote support)- си е живо наказателно отговорно деяние! С утежняващи вината обстоятелства, ако в документацията на софтуера, който ти предлагат липсва описание на такъв “feature”.
статията ме заинтригува
понеже моя доставчик също позлва такава програма, в началото беше на PPPoE
интересно ми е ако не е тайна кой е доставчика и как разбра че програмата е backdoor
find.bg i bgmreja.com ползват LanClient.
В София – да, доставчици колкото си искаш.
А на другите места в страната?
Освен това позицията ти е крайна.
Странно до абсурдност решение на блогосферата на в-к ДНЕВНИК
@Жилов – защо да е крайна? Доставчика няма грам прави да ти бърника по машината, и толкова, няма право и да те задължава да му го даваш това право – за тая работа има закон за защита на потребителя.
@test: Въпросът е колкото с това какви проблеми могат да си имат клиентите от недобронамерен доставчик (или недобронамерени негови служители), колкото и какви проблеми може да си има доставчикът с недобронамерени клиенти. Ако клиентът е мастит адвокат с връзки по съдилищата, който е решил да одере тлъста сума от гърба на провайдера, може просто да го покани да му пусне нет, после да заяви (със свидетели) че информация за милиони му е била открадната от компютъра, и…! (Да не говорим пък какви ядове могат и доставчикът, и клиентите да имат със злонамерени кракери.)
@Васил Колев: Конкретно моят опит беше с bgmreja. И според мен е абсолютно задължително на лекции да се обясняват административните граници на мрежа – заедно с наказателната отговорност, която се носи за прекрачването му. Ще е от полза както за (бъдещи) провайдери, така и за бъдещи или настоящи клиенти… 🙂
@Олег: Ето ти един първи пример за недобросъвестни служители. (Съмнявам се дали работодателят им е наредил да се забавляват нощем с компютрите на клиентите.)
@Николай Колев: Разбрах по обясненията му, че с тази програмка може да ми оправи настройките на компютъра, и да ми почисти вирус от него. 🙂
@Amber: Не само те, доколкото знам.
@Жилов: Местата в страната, където нет се предлага само през LanClient или подобна програмка, са наистина много малко – и се надявам след повечко публикации като тази да станат още по-малко.
А дали позицията ми е крайна – по-крайна ли е от позицията, че властите нямат право да ме подслушват или обискират без прокурорска заповед, или да ме арестуват без основание? Или от позицията, че портиерът еди-къде си няма право да ми взема в залог паспорта на влизане, или пък да ми иска наред с името и ЕГН-то и номера и паролата за банковата ми сметка?… Който иска да вляза при него през такъв портиер, ще си го смени, или ще излиза навън при мен, иначе няма да се видим. Много ли съм краен?
@AG: Съчувствам на проблема ти, но този ти коментар си е чист спам. Оставям го нарочно, за да преценят околните дали изключването ти от агрегатора на “Дневник” не е в някаква степен основателно…
Извинявай но това ми звучи смешно. Някой бил казал нещо. Предполагам знаеш какво е текучеството в отделите за телефонна подръжка на такива фирми, както и че такава работа се работи докато се намери нещо по-добро. Понеже и аз съм клиент на bgmreja от 3 г и нещо и също ползвам линукс мога да ти кажа, че диалозите с подръжката когато има проблем са меко казано идиотски. Те са учени че има windows xp и това е. Ако имаш някакви съмнения за кода мисля че може да пишеш на системният им администратор (мисля че се казва Ясен ) и да поискаш кода на програмата. Аз поразгледах колкото имаш време и не видях извиквания на фукции за listen на сокет, та ми стана интересно дали ти си правил някакъв дебъг или нещо подобно. Лично не бих заложил на това “накой ми каза нещо”
@Николай Колев: Прав си да не залагаш на “някой ми каза нещо” – и аз рядко го правя. Но още по-рядко обичам да се разпростирам за това какво правя…
Как така достаявчик ще ми кзва да си турам некъв си LanClient. това все едно в аптека да продават презервативи нанизани на безопасна игла…
служителте на тия т.нар. доставчици едва ли получават достатъчно пари та като предложи външен агент едно 10000евро за “една услуга” да могат да откажат… та ако ли клиент има чувствителна инфо по машината или му я ползват за ботмрежа вредите са налице…
“backdoor… Вярно е, да се боиш от подобни неща си е параноя”… Ами, не е параноя.
Особено когато става дума за компютър, на който се води счетоводството на фирма, влиза се в онлайн банкиране, пращат се пари… “Пращат се пари? Я колко интересно” си казва нощния дежурен админ в офиса на провайдъра, докато гледа в чуждия компютър. “Мога да им дръпна 15000 лв, това ми е десет пъти повече от заплатата…”.
Уви, изкушението не е малко. Особено ако нощният дежурен админ след няколко дни напуска, и не е ясно дали скоро ще си намери работа, примерно…
Pingback: dream keeper
Така.
Не знам, с кого точно от операторите на BgMreja сте говорили, но е очевидно, че ви е наговорил пълни, пълни глупости. Lan Client-а не е backdoor, през него не може да се влезе в компютъра на който и да е потребител и по никакъв, ама никакъв начин, не може да се има достъп до каквито и да е системни настройки настройки и/или налични файлове.
Единствената причина, поради която се използва програмата LanClient е за управление на акаунтите на потребител. Връзката се осъществява на принципа на потребителско име и парола. PPPoE, също разбира се е опция, но използването на LanClient има няколко плюса – примерно, по-подробна информация, какъв може да е евентуален проблем възникнал с интернета, напомняне за изтичане срока на плащане, настройки за автоматичен повторен опит за свързване, както и благодарение на въвеждането на статични IP адреси, използване на локалния сървър на BgMreja.
Единственото нещо, което облагодетелства техническия персонал на фирмата, е свързано колкото със статичните настройки толкова и с Lan Client-a, а именно наличието на физически (arping) до потребителското устройство (било то рутер, acces point или компютър)
Но пак повтарям – В НИКАКЪВ случай LC не е backdoor и не може, чрез него да се има достъп до клиентски компютър. Човекът, с когото сте разговаряли е бил напълно некомпетентени е жалко, че не можете да ни съобщите неговото име.
с най-добри пожелания:
Николай Облаков
BGMreja