Комментарии 138
В общем, к чему это я: уделяйте внимание всем аспектам информационной безопасности.
Яд — по фармакологии/биохимии.
Арбалет — физика или сопромат, возможно (не знаю).
Вирусы писать — программирование.
Убить безнаказанно — уголовное право (см. сериал «Как избежать наказания за убийство»… ой блин, меня за этот коммент посодют тоже)
:)))
У нас, кстати, есть две лабы про вирусы и антивирусы. Надо как-нибудь написать пост и об этом.
В крайнем случае, если у человека есть умысел, но нет знаний, он просто наймёт исполнителя, только и всего.
При обучении в МАИ вопрос «а не вломится ли ОМОН в общежитие за такие запросы в Гугл» возникал не один раз. Например, лаба «рассчитать минимальную высоту бомбометания чтобы не подорвать себя же для заданных параметров состава». К слову, найти фугастность некоторых смесей не так уж и просто. Да черт, у меня даже дипломная работа о том, как оптимальным образом доставить специфичный груз квадрокоптерами. Пожалуй, не буду говорить каким является критерий оптимальности, скажу только что он очень далёк от гуманного. Я бы даже сказал, что критерий оптимальности является минимумом от функции гуманности, если так подумать.
Впрочем, это не мешает мне быть пацифистом, но в истории поиска лучше все же не капаться.
Это же Георгий Клунин!
Сам недоумеваю. Ведь реалистичность была так близка.
P.S. В Америке Джон аналог Ивана
Звучит лучше, чем затасканные Иванов-Петров и непонятный Сидоров.
Прелестно. Теперь знаю, что добавить своим на следующий семестр!
Единственное письмо, которому я сначала поверил. Даже зная, что это контролируемый тестовый ящик, и что сюда не может прийти ничего от mail.ru. В последний момент поймал свою руку, которая вела мышь к ссылке.
Это магия котика!
Фотография "Артема Жигалова" — мем.
По-идее, это — самый опасный вектор атаки, особенно если атаковать реальных, а не вымышленых людей, да с почтовых адресов тех, кто у них в friend-листе.
Надо посмотреть. Проверю и отпишусь в эту ветку.
По крайней мере у меня Гмаил так работает.
А в некоторых случаях Гмаил вообще письмо не примет и просто reject его.
Еще, кстати, интересный момент — спам-фильтр гугла иногда пропускал, если убрать из типового письма от стима пометку «Это письмо сгенерировано автоматически».
Я просто как-то пытался отправлять письма с такой подменой адреса, с дев-сервера. Сервер Гмаил просто реджектил письма под предлогом несовпадения IP домена и моего дев-сервера. Возможно это связано с настроенными SPF + DKIM, не проверял.
Я тогда пол дня не мог понять, почему почта не работает. Потом посмотрел логи :)
Еще Mail.ru таким грешит. Но у них это больше похоже на баг, чем на фичу :)
А Яндекс принимает все и вся, им вроде вообще пофиг.
Хреновый у них фильтр. Массу легитимных рассылок пихает в спам. Да и не только рассылок, а, к примеру, обычные письма от добропорядочных серверов. При этом, это со времнем исправляется путем нажатия "не спам", однако, по моим наблюдениям у Гугл отсутсвует (по понятным причинам) персональная политика для каждого пользователя. Т.е. на принятие решения "спам" / "хам" влияет и оценка не связанных с вами пользователей системы.
Гыы… На днях разбирался с одной из проблем у клиента заметил что этот Outlook/Hotmail натурально контент при доставке повреждает. Т.е. проверка DKIM не проходит.
Про такие мелочи, как несоответствие имени в HELO имени хоста я вообще молчу. Это у них норма.
"М" — мастерство мэйлинга Майкрософт.
На 'обеспокоина' нарочно опечатка? Не спрашивали?
В планах на следующий год устроить аналог CTF с турнирной таблицей и дуэлями 1 на 1. В этом не хватило времени технически реализовать.
Будете на эту тему предпринимать что-то такое?
Однажды вел урок по инфобезу в школе, спросил у класса, у кого сколько страниц в VK. Оказалось, что у всех минимум по две, а максимум — семь. Естественно, о безопасности там мало заботятся — не подключишь же двухфакторку на виртуальную симку. В итоге, эти страницы угоняют, просят денег, а другие такие же школьники с радостью делятся.
ну он и послал 100 рублей. :)— с карты другой, менее подкованной жертвы))
Попросить у студентов мейлы друзей/родственников добровольцев, которые не учатся и не учились вирусологии. Либо набрать добровольцев среди студентов и сотрудников университета. Добровольцев тщательно предупредить! По выбору преподавателя, студенты либо получают информацию о добровольце, либо находят ее сами (отдельная лаба).
По результатам лабы вручить добровольцам красивые грамоты, чтобы им было приятно.
Ну, опять без учета кривой реализации. Не зайдешь в аккаунт — не сбросишь пароль.
Можно его восстановить — опять по СМС или Email. Но блин — «просрал Email — твои проблемы», уж извините. Хотя в аккаунт все равно зайти не получится.
Сейчас достаточно сервисов, где единственный внешний идентификатор/средство связи — телефон. Собственно, если не ошибаюсь, тот же gmail по умолчанию. И сброс пароля — это, обычно, by design, средство войти в аккаунт, не зная (забыв) пароль.
И дело даже не в кривой реализации, а в несогласованности процедур входа в аккаунт и восстановления доступа к нему. Каждая из реализаций может быть близка к идеальной, пользователи постоянно могут пользоваться двухфакторной, но на самом деле, защита однофакторная, поскольку безопасность системы в целом равна безопасности её самого слабого звена.
– Правда ли, что любой шифр можно сломать?
Учитель ответил:
– Можно. Но не «шифр», а систему из четырёх: алгоритм, реализация, окружение и оператор.
Сисадмин ещё спросил:
– А что из этих четырёх самое непрочное?
– Стыки между ними, – ответил Учитель.
Вот получил я доступ к почте юзверя.
Восстанавливаю пароль. Пароль приходит на почту.
Я захожу на сервис, логинюсь и с меня требует СМС с кодом для входа.
Конец — «взлом» не удался.
Если при восстановлении пароля пользователя сразу логинит в сервис при этом еще и в обход СМС — то это как раз кривая реализация. В остальных случаях одно другому не мешает.
А серьезно, не советую пользоваться монитором. Злоумышленник может удаленно получить с него изображение. Так же не советую пользоваться клавиатурой, в нее могли встроить физический кейлоггер. Надежнее всего будет пользоваться в компьютере в бункере со стенами из метра бетона + метра свинца. Кислород лучше не брать из вне, а генерировать внутри растениями. Но я не знаю где вы возьмете растение, в которое не могли бы встроить ГМО-жучек для слежки :(
/сарказм
Насчёт смс — некоторые модели телефонов позволяют просмотреть полученную только что смс без разблокировки. Сразу два варианта: домашние/коллеги и укравшие телефон
Стороннего — да. А близкого?
При должном подходе двухфакторная аутентификация только усиливает защиту, т.к. подразумевается что телефон физически всегда находится у владельца и получить доступ к аппарату существенно сложнее, чем удаленно выуживать пароль или брутфорсить систему. Если же индивид не обладает достаточным количеством серого вещества в черепной коробке, а извилины не столь извилистые чтобы осознавать это, то его уже ничего не спасёт.
Паспорт (по крайней мере классический) не требует какой-либо защиты, он является идентификатором, но не аутентифицирующим признаком. Например, я даже затрудняюсь сказать сколько раз с моих паспортов копии снимали.
А вообще совершенно не понимаю почему посыл относится к телефону ответственно находит подобные отклики…
Интересно, какие мысли по поводу надежной защиты есть у вас?
С точки зрения безопасности, паспорт прежде всего идентификатор, логин, если угодно. Для аутентификации, для совершения действий от имени владельца паспорта, вы должны предъявить аутентифицирующие признаки, такие как внешность, примерно совпадающая с фотографией и подпись, также примерно совпадающая с образцом — это ваши пароли к "учётке". Сейчас вот ещё добавляют отпечатки пальцев, сканы радужки в новые паспорта, но не повсеместно пока. Вангую, скоро структуру ДНК будут повсеместно добавлять, а с широким появлением биологических клонов — какие-то сканы ментальной деятельности мозга. Дальше уже, при клонировании методом "снэпшота", само понятие "личность" становится под сомнение в текущем смысле слова, чтобы говорить об её аутентификации.
Копии, кстати, снимали и без разрешения, например, при допросах в МВД. И явно не добра мне желая, пытаясь обвинить меня в противоправных действиях, которых я не совершал. А паспорт всем не даю лишь потому, что не даю и другие свои вещи, или чужие, доверенные мне (паспорт — скорее второе) — не хочу и всё. Но с точки зрения безопасности, информации в паспорте считается априори доступной широкому, пожалуй даже неограниченному кругу лиц, хотя и охраняется законом как персональные данные.
Безопасность через владение телефоном, даже не телефоном, а информацией, относящейся к выделенному вам оператором номеру, априори менее надежна чем безопасность по секретному паролю. Коды из смс доступны широкому, пускай и ограниченному законом, кругу лиц в открытом виде. Номер вам не принадлежит даже в теории, он лишь за вами закреплён. Типичная же реализации безопасности по паролю предполагает, что пароль знаете только вы, в открытом виде он может быть только в виртуальной памяти вашего устройства.
Фальшивые истории, написанные середнячками, получаются слишком правильными: подробными и последовательными. Мысль излагается стройно и буквально, как в детских учебниках. Тогда как реальные сообщения живых людей пишутся в спешке, на ходу, между делом — в них всегда полно косяков, алогизмов, сокращений, скачков мысли, опечаток и корявых речевых оборотов. Люди вообще довольно непоследовательны в мыслях и речи.
То же касается сленга и неформальных «свойских» выражений. Их трудно адекватно сымитировать в длинных письменных фразах, потому что люди сочиняют тексты совсем не так, как говорят устно. Даже если вы используете правильный сленг и реальные фразы из живой речи, в письме они будут выглядеть гротескно и ненатурально. Я про все эти «Слушай, чувак, мы тут написали приложуху...».
Возьмите пример с письмом приятеля по страйкбольному клубу. Живой человек в личном письме скорее напишет название кириллицей, да еще и просклоняет: «играли в Сам Сусаме», чем использует официальное «Sam Susam» с дополнительными кавычками. Объясняющие детали избыточны: «связь ещё плохо ловило», «ты ж в айти работаешь», «время пришло», «помнишь меня?» и т.п. Это всё слишком искусственно для неформального письма. Характерные рекламные обороты про «приведи 5 друзей» тоже не нужны, они сходу снижают рейт доверия и настраивают человека на оборону от навязчивой рекламы.
Реальное письмо выглядело бы скорее так:
Андрей, это Саня Шевцов (страйкбол). Ты планируешь играть в Самсусаме после НГ? Запускаем расписание игр на телефон для своих, там можно забивать места на выходные, на себя или на группу 7 чел. Тока не больше :) {link} Если с тобой кто-то ездит, сбрасывай им ссылку тоже. Или пусть мне на почту пишут
То есть там должен быть некоторый сумбур: и недостающая недосказанная информация, и даже лишняя «ненужная». Читатель должен сам достроить историю. «Вспомнить» Саню, додумать имена «разработчиков», связать «расписание на телефон» с приложением и т.п. Человеку проще верить в ту информацию, которая исходит от него самого. Поэтому ему нужно скармливать отдельные факты и подводить к мыслям, а не втюхивать готовые истории как из книжки.
Ну а вторая имитаторская болезнь в том, что подводки и схемы слишком сложные. Например, для того, чтобы заставить 9 из 10 молодых женщин перейти по левой ссылке, достаточно просто узнать имя любого их друга и написать одну строку «Вася Пупкин отметил вас на 2 фотографиях». Всё. Простое человеческое любопытство само по себе мотивирует в 20 раз лучше любого копирайтера. Там не нужно долгих предысторий с сюжетами.
P.S. Я не фишер :) Просто был чуток копирайтерского опыта.
Есть мысль, что нужно бы читать такие тексты вслух перед отправкой, и, если хоть чуть-чуть язык цепляется, переписывать. Хотя плохо представляю себе человека, бубнящего в офисе «Уведомляем вас об обновлении..».
Тут просто свежее пришло, никак нарадоваться не могу.
"Приведи 5 друзей", очевидно, попытка отвлечь внимание, чтобы человек задумался о каких-то купонах, промо-кодах и как он это всё делать не будет. И проворонил главное.
В остальном комментарий — грамотное дополнение к статье.
К сожалению, законных способов собрать реальную статистику нет. Поэтому оценивать студентов по не выдуманной шкале не получится.
Всё же без проверки на реальных людях нельзя сказать, что на них лучше сработает.
Если вкратце, получил в пятницу с корпоративного адреса письмо на свой корпоративный же ящик, который мной используется только для переписки внутри компании. В письме было обращение по имени от шефа отдела разработки (я не разработчик, переводчик, и у меня другой отдел), лично с которым я не знаком. В написанном в достаточно формальном тоне письме говорилось о том, что мы отныне будем использовать новый облачный сервис от Гугла (я и старым корпоративным не пользовался), и была ссылка.
Так как письмо было с нашего адреса и направлено мне, я ничтоже сумняшеся кликнул на ссылке и перешёл на сайт в дизайне гугловского сервиса. На сайте была форма с полями для ввода корпоративной почты и пароля (у нас эта пара тогда использовалась для входа во внутренние сервисы). Ни то, что URL был левый (я вообще на него не посмотрел), ни то, что браузер мне не подсказал логины/пароли на сайте «гуглового сервиса», моего внимания тогда не привлекло. Как баран ввёл в поля свои данные и получил сообщение о том, что я «взломан» (как оказалось, это был аудит безопасности по заказу компании). Чувствовал себя полным дураком.
Будьте бдительны. Никто случайно не пришлет вам письмо с годовым финансовым отчетом или зарплатами сотрудников компании
Да ладно! :) С зарплатами, возможно, нет, а так эксель файл в котором, как минимум, сам список сотрудников интересен. Присылается с заметкой — вы кой чего не доделали, найдите себя в файле и посмотрите что именно :)
При этом присылают "проверочные" фишинговые письма — идёшь по ссылке, а там вывеска — это проверка бдительности, вы — идиот (как и остальные 80%, которые попались на эту удочку), больше так не делайте ;)
поздравления разлетаются по внутренней сети только в путь:
То есть два письма из семи не поздравления, а день только начался. И на 23 февраля / 8 марта / 9 мая абсолютно то же самое. Но дальше будет лучше, смотрим одно из писем.
То есть на ящик info@институт приходит письмецо, состоящее из дефолтной подписи и пары аттачей, и оно тут же рассылается всем пользователям во внутриинститутской рассылке.
Справедливости ради, тут правильный домен отправителя и аттачи открываются. Но я вполне себе получал такие же письма с гугла/яндекса/мейлру или с приложениями типа «Скриншот пауэрпойнтовской презентации, вставленный в документ ворда; а ещё тот же самый слайд, экспортированный в PDF; и в пауэрпойнтовском формате, чтоб два раза не вставать; и вся эта выставка форматов в архиве». И ничего, спокойно ушло на allusers@институт.
Это ж прекрасный вектор атаки. Посылаем на, скажем, 9 мая какому-нибудь не в меру патриотичному кадровику/бухгалтеру письмо типа «Поздравляем всех сотрудников ООО Вектор с Днём Победы!» и прилагаем что-нибудь заражённое в аттаче вместе с жипегом георгиевских ленточек и танков. И оно таки дойдёт половине коллектива, потому что родина же, подвиг и всё такое, какие тут домены и форматы файлов.
Если есть форма для сбора логинов-паролей, прощались какие-то огрехи в оформлении.
Если письмо отличное само по себе, можно было даже на форму особо не смотреть.
Плюс всегда с первого взгляда понятно, кто постарался и заморочился, а кто тяп-ляп.
А по поводу тестирования — можете выполнить короткое упражнение. Пройдите по списку «горячих» у Ольги Мазаевой и подумайте, на какие из писем вы бы кликнули на ее месте. Вот я делал примерно так.
«Здравствуйте. Мы особая секретная группа ФСБ. Пройдите по ссылке и введите свои логин и пароль от сервиса NNN. С уважением, старший лейтенант Иванов.»
Увы.
Тут очень кстати новость про то, что всего 16% учителей в России умеют пользоваться компьютером.
Никто случайно не пришлет вам письмо с годовым финансовым отчетом или зарплатами сотрудников компании.
Вы незаслуженно хорошего мнения о людях.
Как-то раз позвонила главбух и при помощи истеричных воплей потребовала, чтобы я удалил только что отправленное ею письмо И НИ В КОЕМ СЛУЧАЕ НЕ ЧИТАЛ ЕГО11!!!1
В приложении к письму было что-то типа "зряплатная ведомость апрель 1995.xlsx"
Письма рассылались единично, не массово.
Попробуйте пульнуть хотя бы по 5000 тыс. примерно одинаковых писем на все три почтовых сервиса.
Очень скоро фильтра поймаете (если конечно почтовый акк не раскачен) и потом будет труднее аналогичное содержимое выдумать.
Никто случайно не пришлет вам письмо с годовым финансовым отчетом или зарплатами сотрудников компании.
Я довольно долго получал ежемесячно ведомость от какой-то конторы. В конце-концов написал им письмо с благодарностью за информацию и просьбой больше не присылать. После этого прекратили:)
Причем первое выглядит правдоподобно если не всматриваться. Открыл в песочнице — редиректит на авито :)
или вариации на тему.
Не ходите туда.
Единственное письмо, которому я сначала поверил. Даже зная, что это контролируемый тестовый ящик, и что сюда не может прийти ничего от mail.ru. В последний момент поймал свою руку, которая вела мышь к ссылке. Пожалуйста, не будьте как я.
Вот уж что-что, а приложенные к письму исполняемые файлы напрягают меня моментально больше всего. Если бы ссылка на сайт, откуда надо скачать приложение, да еще предварительно выбрав свою ОС и т.п. располагающие реалистичные детали…
Как я попросил студентов написать фишинговые письма