• А был ли взлом «Госуслуг»? Гипотеза Яндекса
    0
    Интересно одно, была ли какая-либо утечка любой инфы с госуслуг?

    Вряд ли

    Если что-то проникло на серверную строну, могли ли пострадать юзеры, которые в этот период времени не посещали сей ресурс?

    Что-то было встроено в контент, который мог работать на клиентской стороне. Посетители могли бы пострадать, но никто ничего подобного не обнаружил, насколько я знаю.
  • А был ли взлом «Госуслуг»? Гипотеза Яндекса
    +1
    О вкусах не спорят. Кроме того, к чему это все упоминать в данном треде (с достаточным упорством) — неясно.

    По-моему, прежде всего, лого продукта не должно вызывать столько эмоций, чтобы его комментировать в обсуждениях, которые к дизайну не имеют никакого отношения.
  • А был ли взлом «Госуслуг»? Гипотеза Яндекса
    0
    Да нет, сами сайты и ссылки были живые (не помню, все ли). Но они ничего не отдавали, кроме 200. Поэтому и есть предположение, что могут быть счетчиками.

    Так же они себя вели и когда мы их находили в расширениях, до этой истории.
  • А был ли взлом «Госуслуг»? Гипотеза Яндекса
    +2
    Охотно верю :)
  • А был ли взлом «Госуслуг»? Гипотеза Яндекса
    +5
    Может просто комментарий неоригинален и поднадоел (короче, баян)?
  • А был ли взлом «Госуслуг»? Гипотеза Яндекса
    0
    Плохо с подменами или анализом логов? :)

    С анализом все неплохо, было хуже, но вносились изменения, чтобы проще анализировать было и чтобы мы сами себе не стреляли в ногу, встраивая загрузку того, что по CSP не разрешили.

    Про подмены кратко упоминали — по нашим сервисам до 1% пользователей с ним имеют дело. Но было сильно (в разы хуже). Положительно влияют и наши действия, и действия других компаний, чьи браузеры популярны. А в нашем браузере подмен сильно меньше этого 1% — усилия различных команд приносят свои плоды (минутка рекламы и маркетинга, который так не нравится, но из песни слов не выкинешь — что есть, то есть).

    Что касается «трекать», то если вы можете определить, что у пользователя осуществляется подмена контента, то можете «намекать» ему. Мы не намекаем, мы открытым текстом сообщаем :)
  • А был ли взлом «Госуслуг»? Гипотеза Яндекса
    0
    Честно говоря, думаем, что не нужно это объяснять злым умыслом :)
  • А был ли взлом «Госуслуг»? Гипотеза Яндекса
    0
    Не очень понятно о каком сомнительном источнике речь? Мы предполагаем, что редактировался контент сайта в браузере, в котором стояло расширение, вставляющее нежелательный контент в страницы.

    А ответственные за Госуслуги, надеюсь, сделают какие-то выводы, чтобы не допустить подобных и других проблем в будущем.
  • А был ли взлом «Госуслуг»? Гипотеза Яндекса
    0
    Вряд ли код, скорее содержание (судя по тому, где встречались эти фрагменты).
  • А был ли взлом «Госуслуг»? Гипотеза Яндекса
    0
    Поиск Яндекса — сайт с «нормальной посещаемостью»? ;) Мы следим за этими логами, полезное он дает.
  • А был ли взлом «Госуслуг»? Гипотеза Яндекса
    0
    Я же про .bat написал «в свое время».

    Что касается proxy, то в теории да, сложнее, но на практике часто встречается.
  • А был ли взлом «Госуслуг»? Гипотеза Яндекса
    0
    Да, должно, но все же подобных случаев хватает. Антиврусы не всегда оперативно реагируют, не любой вредноносный код они быстро замечают. Например, простой proxy на Pyhton может заметное время оставаться незамеченным. В свое время эффективными были .bat-файлы, меняющие hosts.
  • А был ли взлом «Госуслуг»? Гипотеза Яндекса
    0
    Подумаем про это, но мы тщательно следим за подобными расширениями и блокируем их. В результате в нашем браузере проблема с подменой контента в разы меньше, чем в других.

    Запрещение такой возможности может сделать невозможной работу расширений, которым подобные действия нужны. Например, расширениям, которые используют разработчики или те, кто анализирует работу браузера с конкретным сайтом (тем же специалистам по ИБ).
  • А был ли взлом «Госуслуг»? Гипотеза Яндекса
    0
    Безусловна валидация ввода нужна, но можно и поменять файлы на сервере. В этому случае валидация не поможет. Нужно контролировать изменения файлов на сервере, но и CSP полезно иметь.
  • А был ли взлом «Госуслуг»? Гипотеза Яндекса
    0
    Речь шла не о серверной стороне, а о клиенте. Способы, которыми на клиенте модифицируют содержимое страниц — расширения, установленные локально прокси (браузер конфигурируется на работу через них, для работы с https делается MitB), сетевые драйверы на системе, которые меняют контент (с https аналогично, как и в случае с proxy). Но, расширения — один из самых простых вариантов, конечно.

    Драйверы и прокси попадают на систему при установке инфицированных файлов или как дополнительный нежелательный контент с другими программами (со всяких download-ресурсов).
  • А был ли взлом «Госуслуг»? Гипотеза Яндекса
    0
    В полном объеме CSP внедрить очень непросто, особенно на работающем в production сервисе.

    Да, к сожалению, от расширений, меняющих заголовки это не спасет. Даже если бы расширениям этого нельзя было делать, то все равно оставались бы с изменением заголовков через proxy или сетевые драйверы.
  • А был ли взлом «Госуслуг»? Гипотеза Яндекса
    0
    Конечно, CSP — не панацея, слабые места, если говорить о работе подобных расширений очевидны.

    Но, в данном случае, мониторинг отчетов CSP (даже, если CSP не в режиме блокировки работает), позволил бы проблему увидеть.
  • А был ли взлом «Госуслуг»? Гипотеза Яндекса
    0
    У Браузера функции безопасности есть с самого начала. Более того, мы работаем по поиску различных угроза на сайтах с 2009 года, используем эти данные в наших сервисах, интегрировали через API со специальными сборками других браузеров.

    Но с появлением своего браузера мы смогли сделать намного больше — для реализации многих возможностей требуется поддержка со стороны клиента, что со своим браузером сделать сильно проще. В результате в Яндекс.Браузере появилось много уникальных возможностей по защите, как реализованных исключительно на клиенте, так и в связке клиент-сервер.

    А новые люди со своим опытом и наработками усилили это направление.
  • А был ли взлом «Госуслуг»? Гипотеза Яндекса
    0

    Неработоспособность не объяснялась. Для чего именно эти ссылки используются, неясно. Возможно, что это счетчики использования расширений.


    Речь была о том, что "владельцы" сайтов, куда ссылки указывают, могли осознать, что у них есть "шанс" использовать их на массовой аудитории.

  • А был ли взлом «Госуслуг»? Гипотеза Яндекса
    0

    Речь о том, что сам сайт не ломали, а попадание кода — невнимательность, небрежность, отсутствие мониторингов, csp и т.п.


    Еще мы не ожидали найти на сайте фрагменты, которые нам были известны по активностям противодействия подмене контента.

  • А был ли взлом «Госуслуг»? Гипотеза Яндекса
    0

    Есть разница в размере аудитории. У расширения аудитория скорее всего небольшая. А если наша гипотеза верна, то код начал исполняться у значительно большего количества пользователей, пользователей, которые расширения с рекламой не ставят, пользователей разных браузеров. Тут открываются бОльшие возможности для "злоупотреблений".

  • А был ли взлом «Госуслуг»? Гипотеза Яндекса
    0

    Мы смотрели, что случилось, после появления новости от Dr.Web. Многие делали то же самое. А подготовка текста для Хабра заняла время.

  • А был ли взлом «Госуслуг»? Гипотеза Яндекса
    0

    Какая версия более вероятна?

  • А был ли взлом «Госуслуг»? Гипотеза Яндекса
    +5

    Администратор, тут не очень удачно использовано, конечно. Имелся в виду кто-нибудь типа контент-менеджер или кто-то еще, кто на госуслугах менял содержимое.

  • Стабильный доход без вложений, или Как Яндекс начал охоту на фальшивый заработок
    +2
    Было бы здорово получить примеры потенциально ложных срабатываний, чтобы механизмы защиты можно было улучшить.

    Но относительно «100% нормальных» сайтов можно сказать, что даже опытный аналитик не всегда сходу может определить, что, например, на сайт был внедрен код, использующий уязвимость клиента. И даже популярные сайты взламывают, чтобы такой код внедрить. Или он «прилетает» через рекламу.

    Ну и страницы-предупреждения Яндекс.Браузера имеют возможность проигнорировать его и перейти на сайт.
  • О детектировании атак типа drive-by download и новых векторах распространения вредоносного ПО через Flash-баннеры
    0
    Это повлияет только на сигнатуры, но не спасет от поведенческого анализа.
  • Использование Safe Browsing API Яндекса в Firefox
    0
    Все опасные сайты вообще никому не известны, так же как нет антивируса, который защищает на 100%. Поэтому важно насколько хорошо и полно проверяются сайты, которые посещаются большинством пользователей, в данном случае, из России.

    Сейчас заражение пользоватлей по большей части происходит через сайты, куда внедрен вредоносный код и через уязвимости в браузере и компонентах. Скачивание файлов — не основной метод инфицирования.

    По SB API браузер проверяет ссылки, по которым переходит пользователь, чтобы предупредить и предотвратить заражение drive-by-download.