Comments 19
Cubes OS и, в большой степени, iOS и Андроид - запускают софт в изолированных песочницах, остальные ОС имеют общее дисковое пространство к сожалению. Попытки Windows и Linux ограничить программы пользователя в его домашней папке привели к тому, что большинство софта научилось устанавливаться в домашнем окружении, не требуя разрешений админа, но потеряв при этом защиту от соседей.
Для себя сделал вывод - банковские и финансовые приложения держу в отдельном окружении.
А помню, как пришёл молодым сисадмином на предприятие, и удивился, что в бухгалтерии был выделен отдельный ПК с банковскими клиентами.
Если кому интересно разобраться, еще одно тестовое:
I will share a demo version of the project to discuss the project in more detail in the meeting, so review and participate before the meeting.It'll give you a clearer idea of what features we've developed so far and where we're headed in the future. And please review the current UI, then give us your feedback based on your role.
https://drive.google.com/file/d/1NHOaRuvWk_UWJBb3t0qOmosQ5bQSrgkn/view?usp=sharing
PS: Запускал в Docker
Я в докере каждый в своем проекты запускаю с доступом только к папке проекта. Вопрос коллегам безопасникам - какие возможны опасности в этом кейсе?
ПС: также запускаю VSCode со всеми его плагинами также в докере и использую через браузер.
Я не безопасник но... побег из песочницы никто не отменял. Нельзя взломать ваш компьютер только если его у вас нет.
Я не безопасник, но Docker-контейнер по умолчанию запускается с root-правами внутри, и если не сброшены лишние привилегии или не настроена изоляция (через seccomp, AppArmor, user namespaces и т.д.), то уязвимое приложение внутри может получить доступ к ядру хоста или через volume внести изменения (например, подложить скрипт, изменить файлы и т.п.).
Фактически, запуск потенциально опасного кода в контейнере опаснее, чем запуск того же кода от непривилегированного пользователя на хостовой системе, если не отключены лишние capabilities или, что хуже, используется --privileged.
Если нужно безопасно запускать контейнеры, стоит использовать:
USER в Dockerfile,
сбрасывать все привилегии (--cap-drop=ALL),
включить --security-opt no-new-privileges,
не монтировать чувствительные ресурсы вроде docker.sock,
и по возможности - запускать rootless Docker.
Ну и дела. Не зная о таком, не сможешь вычислить.
Есть определенные области работы которые привлекают злоумышленников. И неудивительно что разработчики которые связанны с финансами представляют ценность для направленых атак, и не важно крипта или работа с банке.
Обычный зловред. Смысл простой: не надо запускать чёрт пойми что, чёрт пойми от кого, из-под ~рута на машине с ценными данными. Единственное удивляет, что антивири и всякие прочие нейросетки не стригеррились на произвольный require в коде.
У меня огромная просьба ко всем, кто попадёт в такую ситуацию из статьи: пожалуйста, не спешите сразу блокировать рекрутёра/HR агентство, которые вас пригласили. Сначала сообщите им что компания занимается обманом/скамом и предоставьте доказательства, а уже потом блокируйте, если хотите.
Почему это важно: Рекрутёры часто не знают о содержимом "тестового" задания. В то же самое время они занимаются распространением. Я уверен, что у таких "работодателей" нет цели трудоустроить человека, а потому и рекрутёр, зарплата которого обычно зависит от числа трудоустроенных, в конце тоже не получит никакой зарплаты. Если сообщить рекрутёру о скаме, он наверняка догадается, что нет смысла тратить время на этого "работодателя" и прекратит сотрудничество=распространение зловреда.
Очень интересная информация. Скинул паре знакомых этот пост, только недавно обсуждали подобную тему. 👍🏻
статья отличная, спасибо. я всегда опасаюсь всяких там предложений с "заманчивыми предложениями и сделать тестовое задание, особенное в каком то там проекте а не своим кодом" но очень полезная инфа. я тут скинул вверху предоставленную картинку с дизассемблированного бинарника в чатжпт и тот выдал кучу подозрительного и резюме:
"на картинке однозначно присутствует потенциально опасный код. Если он вызывается напрямую без ограничений, это может быть: часть вредоносной вставки (если файл был изменён), или небезопасный участок в легитимной программе, особенно если она компилировалась с небезопасными флагами."
Мне только что прислали ссылку на сайт, где нужно было заполнить информацию о себе и записать короткое видео. На странице с якобы камерой предлагалось решить проблему подключения путем выполнения скрипта. После того как я написал в LinkedIn мошеннику, что фокус не удался - он сразу меня заблокировал.
Странно, что ChatGPT не сказал ничего плохого про домен и саму компанию. https://apply.waventic.com/

Есть вопрос по поводу запуска таких проектов. Вот, говорят, через докер можно (с соблюдением разных условий). А если у меня мак, на нем виртуалка, на ней винда - так безопаснее?)
К сожалению, пока я понял, что это взлом, я запустил десяток таких проектов на своём маке 🫣 мак вообще не ругался ни на что( и лишь когда один из проектов не запустился, потому что репа нпм уже заблокировала один пакет, я полез смотреть зависимости, потом сносил систему, и обнаружил два файла похожих логов, которые пытались подключиться к расширению кошелька Тон в хроме, предварительно скачав питон скрипт, несколько раз захешированный base64...
Так и есть: бесплатного сыра не бывает, нужно быть осторожным. Не сталкивался с подобным. Спасибо за статью.
Сталкивался с таким пару раз, думаю если у вас в профиле есть работа в web3 то больше внимания привлечёте, так как больше вероятность своровать ключи. А так стандартно: очень вкусное предложение по зарплате + настойчивое предложение запустить тестовый проект и подебажить его. А внутри проекта запускаются скрипты, которые сканируют доступные пути нв предмет приватников кошельков или данных браузера и выгружают найденное на их сервера.
Head Hunters на LinkedIn — они очень хотят, чтобы вы сделали тестовое задание