Comments 45
Когда я читаю такие новости то меня интересует один момент. мжет есть смысл работать с опасным контентом через виртуальную машину? то есть максимум что можно зашифровать это диск виртуальной машины. Ограничение на удаление файлов и постоянная синхронизация и сохранение версий как в дропбоксе. Я не эксперт, но не понимаю почему проблема стоит так остро. Неужели нельзя ничего сделать кроме как не открывать подозрительные файлы?
Запретить запуск исполняемых файлов из папки загрузки?
Зачем формат файлов типа Ворд позволяет хранить в них зловредный код? Ворд существует для писания текстов. Ничего кроме текста в этих файлах быть не должно и никакой код из них запускаться не должен. Зачем создали такую гигантскую дыру? Ведь, человек, привыкший получать десятки вородовых файлов в день не может их не открывать и не может гарантированно узнать о зловредном содержимом каждого не открыв.
Представьте себя в роли замученного сотнями сообщений в день менеджера среднего звена, который не слишком силен в информационной безопасности и уж точно не знает, что такое виртуальная машина.
Он получает письма от своего начальника, подчиненных, клиентов. Десятки и сотни приложений. И вот часа в 3 дня, поработав уже несколько часов, он видит письмо со своим ФИО, телефоном и описанием какого-то конфликта (как на скриншоте в анонсе). Думаете, он озаботится проверкой приложения? Если утром и было бы такое желание (возможно), то сейчас он хочет одного — побыстрее разобраться с этим «конфликтом».
Он получает письма от своего начальника, подчиненных, клиентов. Десятки и сотни приложений. И вот часа в 3 дня, поработав уже несколько часов, он видит письмо со своим ФИО, телефоном и описанием какого-то конфликта (как на скриншоте в анонсе). Думаете, он озаботится проверкой приложения? Если утром и было бы такое желание (возможно), то сейчас он хочет одного — побыстрее разобраться с этим «конфликтом».
Ознакомьтесь, пожалуйста, с моим комментарием ниже.
Ладно еще менеджеры среднего звена, есть секретари, которые обрабатывают не меньше корреспонденции и каждый по своему направлению.
>>мжет есть смысл работать с опасным контентом через виртуальную машину?
Так вроде как есть методы вырваться за пределы виртуалки/песочницы.
>>Ограничение на удаление файлов и постоянная синхронизация и сохранение версий как в дропбоксе.
Не ограничение, а полный запрет инициируемого извне удаления/изменения бэкапа. Т.е. скажем, бэкап-серверу сказано про недельную глубину бэкапа и он сам рулит удалением старых версий. А мы можем только или дать ему свежие данные или спросить про некоторый кусок этих данных.
Так вроде как есть методы вырваться за пределы виртуалки/песочницы.
>>Ограничение на удаление файлов и постоянная синхронизация и сохранение версий как в дропбоксе.
Не ограничение, а полный запрет инициируемого извне удаления/изменения бэкапа. Т.е. скажем, бэкап-серверу сказано про недельную глубину бэкапа и он сам рулит удалением старых версий. А мы можем только или дать ему свежие данные или спросить про некоторый кусок этих данных.
Острота проблемы в том, что как сказано выше — атака ориентирована на менеджеров среднего и высшего звена. А эти люди обычно не заморачиваются с безопасностью (по крайней мере по отношению к себе). И у таких людей широкА область доступа (сетевые папки и т.п.).
Многие уже сталкивались с такой ситуацией, когда такой менеджер или директор получает «важное» письмо, а после инфицирования зловред «тянет свои лапы» всюду, где есть доступ у этого менеджера/директора.
Во многих компаниях ИТ служба не сильно спорит с директорами в плане безопасности (редко возражают на желание директора иметь простой пароль или никогда его не менять). К тому же многие директоры не просят прислать им какой-то документ, а хотят сами (в удобный для них момент) посмотреть то что им захочется (иначе им кажется, что они своими запросами показывают «несамостоятельность»). Отсюда и широкий охват сетевых ресурсов и документов правами такого директора как пользователя.
Так что острота проблемы не надуманная. Она реальная.
Многие уже сталкивались с такой ситуацией, когда такой менеджер или директор получает «важное» письмо, а после инфицирования зловред «тянет свои лапы» всюду, где есть доступ у этого менеджера/директора.
Во многих компаниях ИТ служба не сильно спорит с директорами в плане безопасности (редко возражают на желание директора иметь простой пароль или никогда его не менять). К тому же многие директоры не просят прислать им какой-то документ, а хотят сами (в удобный для них момент) посмотреть то что им захочется (иначе им кажется, что они своими запросами показывают «несамостоятельность»). Отсюда и широкий охват сетевых ресурсов и документов правами такого директора как пользователя.
Так что острота проблемы не надуманная. Она реальная.
Похоже всё еще хуже, чем все думают. Вон даже винда собирается из ресурсов, расположенных на рабочем столе разработчика(https://habrahabr.ru/company/pt/blog/279215/ — «Также стоит отметить различные пути проектов для драйверов, которые, судя по всему, собираются где-то на рабочих местах разработчиков...»). А разработчики ПО как бы даже и не менеджеры, вроде должны соображать. Но нет.
Интересно было бы увидеть результаты опроса среди айтишников: «Храните ли вы важные данные на рабочем столе?». Думаю, можно было бы посмеяться, если бы так грустно не было.
Интересно было бы увидеть результаты опроса среди айтишников: «Храните ли вы важные данные на рабочем столе?». Думаю, можно было бы посмеяться, если бы так грустно не было.
В таком случае виртуальная машина очень быстро станет основным рабочим местом и вся рабочая информация станет храниться именно в ней
Чем больше я читаю про малварь в почте, тем больше не понимаю — как и откуда?
Пользуюсь gmx.com, (несколько алиасов, и коллектор) читаю только в txt. Что я делаю не так?
Пользуюсь gmx.com, (несколько алиасов, и коллектор) читаю только в txt. Что я делаю не так?
Очень интересно, как вы откроете в блокноте пришедший вам архивчик win-rar с вордовскими документами внутри, в которых зашил злой макрос. Да, вы не заразитесь, но и работать с документами не можете. Лучше вашего совета только совет — «я не пользуюсь компьютером и меня не заражают!»
Вы ерунду пишете. Очевидно же, что про почтовое сообщение было сказано в txt, а не html.
А если про приложение, это другой разговор.
Про уязвимости winrar только слепой не читал, это раз; вродекаг есть еще и 7ziip.
Адекватные клиенты/партнеры не шлют пакованные файлы, вродекаг даже гуглопочта не шлет паки? точно не скажу — не пользуюсь) это два.
В нормальных конторах у манагеров на почтклиентах ставят фильтры, только для адресатов из адресной книги, а прочие от х.з кого — на усмотрение секретаря/референта/рецепшена — это третье.
Буде даже и взбредет ей в голову посмотреть этот архив — на ее машине в ворде должны быть макросы — это обычная стандартная мера безопасности, да и файл/архив прежде подлежит досмотру антивирусом — это в четвертых.
Если эти правила в конторе не соблюдаются ( и это еще не все), то это не манагер, а балбес, в нормальной конторе эти задачи решает, и отвечает за них своим… местом соответствующий сотрудник, а если не в конторе а в сохо — это в пятых, и ему это ничем значит не грозит)
это называеца самсебезлобныйбуратина)
А если про приложение, это другой разговор.
Про уязвимости winrar только слепой не читал, это раз; вродекаг есть еще и 7ziip.
Адекватные клиенты/партнеры не шлют пакованные файлы, вродекаг даже гуглопочта не шлет паки? точно не скажу — не пользуюсь) это два.
В нормальных конторах у манагеров на почтклиентах ставят фильтры, только для адресатов из адресной книги, а прочие от х.з кого — на усмотрение секретаря/референта/рецепшена — это третье.
Буде даже и взбредет ей в голову посмотреть этот архив — на ее машине в ворде должны быть макросы — это обычная стандартная мера безопасности, да и файл/архив прежде подлежит досмотру антивирусом — это в четвертых.
Если эти правила в конторе не соблюдаются ( и это еще не все), то это не манагер, а балбес, в нормальной конторе эти задачи решает, и отвечает за них своим… местом соответствующий сотрудник, а если не в конторе а в сохо — это в пятых, и ему это ничем значит не грозит)
это называеца самсебезлобныйбуратина)
Вы очень крутой, раз можете в голове рендерить html-письма, читая их в txt-блокноте :) круче только яйца
Опять чушь пишете.
Раньше (когда то)был фильтр txt/html и на чтение. А сейчас таковой только на создание письма. А для чтения — отключение внешних и активных элементов — без подгрузки даже картинок, только с охранением форматирования, что собсно повторяет этот фильтр по функционалу. Только теперь можно еще и по ссылкам в письме перейти после подтверждения предъявленного предупреждения о переходе)
Раньше (когда то)был фильтр txt/html и на чтение. А сейчас таковой только на создание письма. А для чтения — отключение внешних и активных элементов — без подгрузки даже картинок, только с охранением форматирования, что собсно повторяет этот фильтр по функционалу. Только теперь можно еще и по ссылкам в письме перейти после подтверждения предъявленного предупреждения о переходе)
Ну так что, минусатели, или как Вас правильно называть?
Внятно есть что ответить, или способны только на засовывание <> в забор, как теще?
Внятно есть что ответить, или способны только на засовывание <> в забор, как теще?
Относитесь к минусам проще, Не обращайте внимание. Но тем более не надо здесь устраивать разборки «Кто на меня?». Минусы — Это лишь знак, что часть людей не согласны с вашим мнением. Но это не значит, что эта часть абсолютно права. Поэтому просто забейте
Да эти минусы не следствие разницы мнений ( хотя собственно здесь вопрос не мнения (субъективного), а оценки объективной ситуации; ну да ладно, пусть будет по вашему — мнений), в силу отсутствия такового ваще у минусателей, а тупо рефлексии.
А рефлексируют по простой причине, (равно как и не приводят внятных возражений, — отсутствия таковых) — прямо узнают свою обезбашенную рогатую) одминскую практику, основанную на безответственности.
А в части «обращения внимания» — я не обращаю на таковых внимания ващета, но приходица, когда эти освободненные) хипстеры с заткнутыми ушами и туго перевязанным моском жовтоблакитной ленточкой порскают под колеса.
А рефлексируют по простой причине, (равно как и не приводят внятных возражений, — отсутствия таковых) — прямо узнают свою обезбашенную рогатую) одминскую практику, основанную на безответственности.
А в части «обращения внимания» — я не обращаю на таковых внимания ващета, но приходица, когда эти освободненные) хипстеры с заткнутыми ушами и туго перевязанным моском жовтоблакитной ленточкой порскают под колеса.
Вот кстати, на днях получал писульку
Your PαyPαl account is Iimited
You may have noticed that some Iimitations have been placed on your PαyPαl account.
We know this can be frustrating but you can remove these Iimitations in a few step.
Log in to your PαyPαl account.
Provide the information we needed.
The sooner your provide the information we need, the sooner we can resolve the situation.
Remove Limitation
Extended Header Information
Return-Path: <support-limit@security.info>
Received: from mc-com-eu06.server.lan ([213.165.64.156]) by mx-ha.gmx.net (mxgmx011) with ESMTP (Nemesis) id…
From: =?utf-8?Q?PayPal=20Support?= <support-limit@security.info>
Subject: =?utf-8?Q?Your=20Account=20Has=20Been=20Limited=20Until=20We=20hear=20from=20you=20=20=21?=
ну и чо? скорее побежал аж волосы назад штоле?
Your PαyPαl account is Iimited
You may have noticed that some Iimitations have been placed on your PαyPαl account.
We know this can be frustrating but you can remove these Iimitations in a few step.
Log in to your PαyPαl account.
Provide the information we needed.
The sooner your provide the information we need, the sooner we can resolve the situation.
Remove Limitation
Extended Header Information
Return-Path: <support-limit@security.info>
Received: from mc-com-eu06.server.lan ([213.165.64.156]) by mx-ha.gmx.net (mxgmx011) with ESMTP (Nemesis) id…
From: =?utf-8?Q?PayPal=20Support?= <support-limit@security.info>
Subject: =?utf-8?Q?Your=20Account=20Has=20Been=20Limited=20Until=20We=20hear=20from=20you=20=20=21?=
ну и чо? скорее побежал аж волосы назад штоле?
Давно пользуюсь одноразовыми ящиками, для безопасности Proton, google mail для всего остального.
Как «вы» меня достали с этими криптовымогателями! Ну почему сложно пользоваться презервативами? Почему, переходя на зеленый, сложно снять капюшон и посмотреть, сбавив шаг, осторожно из-за автобуса (про нерегулируемый пешеходник я вообще молчу). Почему сложно не ходить по тонкому льду? Почему сложно не заплывать за буйки, в конце концов? Почему сложно просто следовать вменяемым правилам?
Ежедневно пешеходов сбивают на дорогах (и на перекрестках). Люди проваливаются под лёд или их уностит на льдине. Люди тонут, гибнут при пожарах… Стоит ли удивляться что в IT такая же ситуация?
Сударь, Вы точно предлагаете ПОЛЬЗОВАТЬСЯ презервативом? (Т.е. — иногда, по прямому предназначению)
Или (как можно подумать после прочтения Ваших рекомендаций) — надеть презерватив на голову и так жить?
Или (как можно подумать после прочтения Ваших рекомендаций) — надеть презерватив на голову и так жить?
Пару недель уже прилетает спам на английском (порой даже с удалёнными антивирусным модулем вложениями), где названия архивов содержат имя получателя или в теме письма содержатся последние 4 цифры банковской карты (что-то вроде «Ваш платёж отклонён, карта такая-то»), но вроде неверные — уточнял у получателя письма.
А ещё радует, что гендиректор все письма от незнакомых адресатов пересылает мне (по своей инициативе), и мне уже проще настраивать фильтры против спама, выделяя ключевые слова.
А ещё радует, что гендиректор все письма от незнакомых адресатов пересылает мне (по своей инициативе), и мне уже проще настраивать фильтры против спама, выделяя ключевые слова.
у меня генеральный директор соседней конторы так влетел на днях, шифровало не весь хард
а только вордовские доки и была попытка до 1с добратся еще вроде, теперь он и не в курсе что делать
а только вордовские доки и была попытка до 1с добратся еще вроде, теперь он и не в курсе что делать
Должно же быть относительно простое решение.
Может просто запретить на уровне фирмы макросы на документах и на архивах?
Или архивы поддерживающие макросы? Мол присылайте нам документы только в *.7z
(про запрет вложения экзешников и js в письма, вроде все уже знают)
Админы подключайтесь.
Может просто запретить на уровне фирмы макросы на документах и на архивах?
Или архивы поддерживающие макросы? Мол присылайте нам документы только в *.7z
(про запрет вложения экзешников и js в письма, вроде все уже знают)
Админы подключайтесь.
Топменеджменту не запретишь. Да и с той стороны могут не понять такого. И «мне работать надо!»
Меня минусуют за такое. Давно все придумано. Аж с 2002 года.
Тебя минусуют за рефлексию и саморекламу, дал бы лучше ссылку на подробное руководство.
Хотя там тоже забыли исключить PS с WSH, не говоря о том, что рано или поздно корпоративные трояны научат его обходить.
Хотя там тоже забыли исключить PS с WSH, не говоря о том, что рано или поздно корпоративные трояны научат его обходить.
И половина корпоративного софта перестанет просто работать. Для выгрузки данных из ERP-систем используются те самые макросы и OLE.
А использование только *.7z это сознательное отсеивание клиентов, почему не стандартный *.ZIP? Чем 7z настолько лучше что это стоит отказа от стандартного ZIP который поддерживается из коробки всеми операционками?
А использование только *.7z это сознательное отсеивание клиентов, почему не стандартный *.ZIP? Чем 7z настолько лучше что это стоит отказа от стандартного ZIP который поддерживается из коробки всеми операционками?
.7z исключительно в виде первого попавшего примера.
(причем, я даже не уверен в невозможности встраивания макросов там)
.zip конечно же предпочтительнее при условии, что в нем нет таких дыр.
(причем, я даже не уверен в невозможности встраивания макросов там)
.zip конечно же предпочтительнее при условии, что в нем нет таких дыр.
В архивы макросы встраивать пока не научились и присылают с обычными js/vbs/wsf внутри. Реже в виде эксплоитов для Office и Adobe Reader, так как с настройками по-умолчанию макросы выполняться не будут.
И человек прям запускает этот непонятный файл? Мда…
(Хотя если письмо будет замаскировано под что-то важное..)
Тогда как насчет запрета запуска этих типов файлов — кому они нужны кроме админов?
(Хотя если письмо будет замаскировано под что-то важное..)
Тогда как насчет запрета запуска этих типов файлов — кому они нужны кроме админов?
Выше был хороший пример про замученного менеджера.
Можно резать на шлюзе прямо в архивах (IronPort так умеет), можно запретить выполнение интерпретатора cscript.exe через AppLocker, но в каждой компании есть свои нюансы, которые надо учитывать.
Например, какая-то из тендерных площадок рассылала документацию в запароленном rar-архиве и поставив запрет на такие вложения можно продолбать тендер.
Можно резать на шлюзе прямо в архивах (IronPort так умеет), можно запретить выполнение интерпретатора cscript.exe через AppLocker, но в каждой компании есть свои нюансы, которые надо учитывать.
Например, какая-то из тендерных площадок рассылала документацию в запароленном rar-архиве и поставив запрет на такие вложения можно продолбать тендер.
Это проблема/задача вменяемости отправителя. Пусть тогда шифруют и подписываю для обеспечения секретности. Мы ведь говорим об известных отправителях, а неизвестные идут лесом вместе с раром.
А отправителя порой не волнует получили вы файл или нет, это уже ваша проблема получить файл. Не ответите на предложение так ответят более расторопные и денежки уйдут им. Поэтому «проблема отправителя» может очень дорого обойтись получателю.
Чушь какая. При чем здесь денежки?
Если вы про тендер, то это обязанность организатора воврямя предоставлять ДОСТОВЕРНУЮ и ПОЛНУЮ информацию.
Другой вопрос, что везде и всюду эффективные манагеры. То что сплошь и рядом госорганы включая налоговую косячат по полной это не вопрос корпоративного документооборота и иб.
Если вы про тендер, то это обязанность организатора воврямя предоставлять ДОСТОВЕРНУЮ и ПОЛНУЮ информацию.
Другой вопрос, что везде и всюду эффективные манагеры. То что сплошь и рядом госорганы включая налоговую косячат по полной это не вопрос корпоративного документооборота и иб.
Конечно, они предоставили полную и достоверную информацию, а то что не получилось её принять из-за слишком строгих ограничений безопасности это уже проблема принимающей стороны.
Sign up to leave a comment.
Не называй меня по имени: криптовымогатель распространяется в e-mail с точными данными получателя