Search
Write a publication
Pull to refresh

Comments 19

Cubes OS и, в большой степени, iOS и Андроид - запускают софт в изолированных песочницах, остальные ОС имеют общее дисковое пространство к сожалению. Попытки Windows и Linux ограничить программы пользователя в его домашней папке привели к тому, что большинство софта научилось устанавливаться в домашнем окружении, не требуя разрешений админа, но потеряв при этом защиту от соседей.

Для себя сделал вывод - банковские и финансовые приложения держу в отдельном окружении.
А помню, как пришёл молодым сисадмином на предприятие, и удивился, что в бухгалтерии был выделен отдельный ПК с банковскими клиентами.

Если кому интересно разобраться, еще одно тестовое:
I will share a demo version of the project to discuss the project in more detail in the meeting, so review and participate before the meeting.It'll give you a clearer idea of ​​what features we've developed so far and where we're headed in the future. And please review the current UI, then give us your feedback based on your role.
https://drive.google.com/file/d/1NHOaRuvWk_UWJBb3t0qOmosQ5bQSrgkn/view?usp=sharing

PS: Запускал в Docker

Я в докере каждый в своем проекты запускаю с доступом только к папке проекта. Вопрос коллегам безопасникам - какие возможны опасности в этом кейсе?

ПС: также запускаю VSCode со всеми его плагинами также в докере и использую через браузер.

Я не безопасник но... побег из песочницы никто не отменял. Нельзя взломать ваш компьютер только если его у вас нет.

Я не безопасник, но Docker-контейнер по умолчанию запускается с root-правами внутри, и если не сброшены лишние привилегии или не настроена изоляция (через seccomp, AppArmor, user namespaces и т.д.), то уязвимое приложение внутри может получить доступ к ядру хоста или через volume внести изменения (например, подложить скрипт, изменить файлы и т.п.).

Фактически, запуск потенциально опасного кода в контейнере опаснее, чем запуск того же кода от непривилегированного пользователя на хостовой системе, если не отключены лишние capabilities или, что хуже, используется --privileged.

Если нужно безопасно запускать контейнеры, стоит использовать:

USER в Dockerfile,

сбрасывать все привилегии (--cap-drop=ALL),

включить --security-opt no-new-privileges,

не монтировать чувствительные ресурсы вроде docker.sock,

и по возможности - запускать rootless Docker.

Ого, спасибо! Я вот думал что там только его демон под рутом, а контейнеры запускаются в юзерспейсе. Сам уже давненько сижу на подмане как раз по этой причине на всякий случай.

Ну и дела. Не зная о таком, не сможешь вычислить.

Есть определенные области работы которые привлекают злоумышленников. И неудивительно что разработчики которые связанны с финансами представляют ценность для направленых атак, и не важно крипта или работа с банке.

Обычный зловред. Смысл простой: не надо запускать чёрт пойми что, чёрт пойми от кого, из-под ~рута на машине с ценными данными. Единственное удивляет, что антивири и всякие прочие нейросетки не стригеррились на произвольный require в коде.

Ну тут вон пишут, что даже git pull может вызвать враждебный код, хотя кажется, что gigt-то уж не "нипойми что".

У меня огромная просьба ко всем, кто попадёт в такую ситуацию из статьи: пожалуйста, не спешите сразу блокировать рекрутёра/HR агентство, которые вас пригласили. Сначала сообщите им что компания занимается обманом/скамом и предоставьте доказательства, а уже потом блокируйте, если хотите.

Почему это важно: Рекрутёры часто не знают о содержимом "тестового" задания. В то же самое время они занимаются распространением. Я уверен, что у таких "работодателей" нет цели трудоустроить человека, а потому и рекрутёр, зарплата которого обычно зависит от числа трудоустроенных, в конце тоже не получит никакой зарплаты. Если сообщить рекрутёру о скаме, он наверняка догадается, что нет смысла тратить время на этого "работодателя" и прекратит сотрудничество=распространение зловреда.

Можно ещё репортить такие репозитории и NPM-пакеты — их удаляют быстро

Очень интересная информация. Скинул паре знакомых этот пост, только недавно обсуждали подобную тему. 👍🏻

статья отличная, спасибо. я всегда опасаюсь всяких там предложений с "заманчивыми предложениями и сделать тестовое задание, особенное в каком то там проекте а не своим кодом" но очень полезная инфа. я тут скинул вверху предоставленную картинку с дизассемблированного бинарника в чатжпт и тот выдал кучу подозрительного и резюме:

"на картинке однозначно присутствует потенциально опасный код. Если он вызывается напрямую без ограничений, это может быть: часть вредоносной вставки (если файл был изменён), или небезопасный участок в легитимной программе, особенно если она компилировалась с небезопасными флагами."

Мне только что прислали ссылку на сайт, где нужно было заполнить информацию о себе и записать короткое видео. На странице с якобы камерой предлагалось решить проблему подключения путем выполнения скрипта. После того как я написал в LinkedIn мошеннику, что фокус не удался - он сразу меня заблокировал.

Странно, что ChatGPT не сказал ничего плохого про домен и саму компанию. https://apply.waventic.com/

Есть вопрос по поводу запуска таких проектов. Вот, говорят, через докер можно (с соблюдением разных условий). А если у меня мак, на нем виртуалка, на ней винда - так безопаснее?)

К сожалению, пока я понял, что это взлом, я запустил десяток таких проектов на своём маке 🫣 мак вообще не ругался ни на что( и лишь когда один из проектов не запустился, потому что репа нпм уже заблокировала один пакет, я полез смотреть зависимости, потом сносил систему, и обнаружил два файла похожих логов, которые пытались подключиться к расширению кошелька Тон в хроме, предварительно скачав питон скрипт, несколько раз захешированный base64...

Так и есть: бесплатного сыра не бывает, нужно быть осторожным. Не сталкивался с подобным. Спасибо за статью.

Сталкивался с таким пару раз, думаю если у вас в профиле есть работа в web3 то больше внимания привлечёте, так как больше вероятность своровать ключи. А так стандартно: очень вкусное предложение по зарплате + настойчивое предложение запустить тестовый проект и подебажить его. А внутри проекта запускаются скрипты, которые сканируют доступные пути нв предмет приватников кошельков или данных браузера и выгружают найденное на их сервера.

Sign up to leave a comment.

Articles