С 13 февраля Gmail будет фильтровать вложения в формате .js

[Meklon]

Буквально недавно обходил запрет на .exe файлом 7zip с паролем.

[Vanger13]

Хм. а я обычно порчу первый байт в HEX редакторе и убираю расширение.

[Bergtagen]

Можно тем же 7zip запаковать в архив .xz даже без пароля.

[LoadRunner]

Как будто это спасает от социнжиниринга. Ну разве что не только лишь все поймут, как открыть архив под паролем.

[abar]

Недавно нам на фирму пытались пропихнуть какой-то дроппер через письмо с .js вложением (который, в свою очередь, качал и запускал какие-то экзешники со взломанного сайта индийского магазина). Меня тогда очень сильно удивило, почему в виндоусе вообще есть такая штука, которая по умолчанию запускает джаваскрипт и дает ему права на работу с файловой системой? Просто какой процент пользователей пользуется ею для своих скриптов и какой — вообще слыхом о ней не слыхивал, и рискует получить себе из-за этого вирус?

[bertmsk]

Б — Безопасность

[mayorovp]

Это была довольно древняя попытка получить объект-ориентированный скриптовый язык, подходящий для автоматизации. Обычные пакетные файлы в том время исполнялись еще при помощи comand.com и могли очень мало.

Ну а поскольку те скрипты могут до сих пор использоваться, да и примеров работы с ними накопилось довольно много — то и отключать WHS нельзя.

[funca]

WSH + ActiveX местами очень удобны. их нельзя отключать.

[mayorovp]

Но powershell-то удобнее… И ActiveX там тоже поддерживается.

[dartraiden]

Для тех, кому не нужен запуск JS и VBS:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Script Host\Settings]
"Enabled"=dword:00000000


[mayorovp]

Это ж что-то совсем страшное… Не проще ассоциацию расширения удалить?

[dartraiden]

Документированный штатный способ лучше, как по мне…

[mayorovp]

Обратите внимание на последний абзац документации. Этот способ выключает весь WSH, независимо от способа запуска. А проблема ведь только в запуске двойным кликом!

[YMA]

Буквально на днях получил письмо с зловредом, упакованным в архив с паролем. В письме было стилизованное под официальный ответ указание, как открыть запароленный архив.

Так что надо гуглю проактивность наращивать — пробовать распаковать архив всякими разными паролями из текста письма (предсказываю — злыдни перейдут на картинки).

[Alex_ME]

Картинка из статьи

vb'совский WScript доступен из JS?

[mayorovp]

Два языка — один рантайм. Называется WSH (Windows Scripting Host)

[Alex_ME]

Спасибо, не знал раньше, что не только VBS поддерживается.

[ElectroGuard]

Где вы раньше были? :)
У меня компаньон по рассылке получил шифрующего трояна так по почте.

[foxmuldercp]

Что автоматически означает низкий уровень администраторов в компании, которые этот вариант получения вирусов не учли.

[gsaw]

Хотел написать «аттачмент в маиле 100% троян», потом включил мозг, подумал. Сколько картинок шлют, документы, pdf, всякие там лицензионные файлы. Как победить этот огромный зоопарк форматов файлов не убив белого и пушистого зайчика? Короче снимаю шляпу перед гуглом. За 12 лет ниразу не потерял вложения и ниразу не видел троянов.

[Ziptar]

Я вот видел за последние 4 года несколько раз. Спасает несколько вещей:
— отсутствие прав администратора у пользователей
— адекватный фильтр gmail'а, который всякое подозрительное отфильтровывает в спам
— пользователи, обученные ни при каких обстоятельствах не открывать вложения из писем в папке со спамом и не переходить по ссылкам из этих писем
— бэкапы как последний эшелон :)

[PlayTime]

Как я понимю, те у кого *.js по умолчанию открывается текстовым редактором могут чувствовать себя в безопасности от таких атак.

[devpreview]

Тот, кто не исполняет вложенные файлы от неизвестного отправителя может чувствовать себя в безопасности от таких атак.

[claymen]

Ха! Мне сегодня на работу позвонила тётенька (явно через ip телефонного) провайдера и сказала что она представляет компанию гугл, и что они хотят бесплатно разместить иныормацию о нашей компании на гугл-мапс что бы все могли найти нашу компанию и диктует мне адрес j.co/russite и грворит видите код подтверждения назовите мне его.
Всё это происходит очень быстро, явно давление что бы я не успел соориентироваться.
Нстественно я никуда не пошёл, а начал смотреть кому принадлежит домен j.co, параллельно разговаривая с девушкой.
На мои вопросы как она докажет что она из гугла, говорит что все так делали и всё получалось, и что перезвонить им нельзя, только исходящая связь…
Продолжал настаивать на номере телефона (думаю вообще страх потеряли, рассылают ссылки на криптовымагатели по телефону через колл центр), дала номер 8-800, звоню с другого телефона, оказался гугл-адворкс россия, но ни про какие сайты j.co они незнают.
Девушка продолжает настаивать на моём переходе по её ссылке.
На мои просьбы рассказать где эта волшебная ссылка размещена на сайте гугл упорствует.

В итоге оказалость что ссылку она диктовала g.co, но в нашей деревне нет идеального английского произношения и джей это j, а g это Гэ…
и нормальная ссылка это buisness.google.com

Но мораль сей сказки настораживает… Что средний юзер таки наберет ссылку и перейдёт, и нажмёт… и как тут поставить фаервол на телефонную линию непонятно…

[DistortNeo]

Из-за невозможности пересылки бинарников в gmail мне приходится выкладывать файлы на свой сервер, а в письмах указывать ссылку на них.

Но этот способ работает не всегда. Есть конторы, в которых правилами безопасности запрещены интернет и носители информации, например, Huawei. Единственный способ передать им файлы — это почта. Приходится отправлять письма с серверов, допускающих вложения произвольного формата.

[Ra-Jah]

Интересно, если запрещен интернет как работает почта? ftp есть еще. А вообще, любые ссылки подозрительны, да и сам протокол SMTP. Считать что в почте может быть что-то доверительное, это как-то очень неосмотрительно. Мы живем в век цифровой паранойи, надо бы уже и обычным пользователям втягиваться.

[mayorovp]

Как-как, как обычно. Почтовый сервер с двумя сетевушками и без маршрутизации.

[foxmuldercp]

А что, почтовый сервер должен стоять обязательно рядом с рабочим местом админа?
Могу, например, поделиться тайной — подозреваю, что такой штуке, как DMZ, лет больше, чем интернету в СНГ

[specblog]

Никогда такового не было, и вот опять нормальные люди (линуксоиды, фряховоды) должны лишаться удобства из-за виндузятнигов.

[Baton34]

Вообще напрягает их такая «забота». Мне иногда бывает нужно переслать самому себе с работы всякие файлы, иногда забываю, что гугл «заботится»…
Недавно ещё начали доставать сообщениями, что кто-то с подозрительного устройства в мою почту зашёл, а это у меня user-agent периодически меняется.
Как бы всю эту заботу отключить?

[funca]

Для файлов почта не практична. Мало-ли что не то или не туда можно отправить, а если отправишь, то назад уже не вернешь. Есть же диски, с диска хотя бы можно удалить.

[Baton34]

тогда почта вообще не практична «Мало-ли что не то или не туда можно отправить, а если отправишь, то назад уже не вернешь.»
Я обычно зипую и меняю расширение файла, но иногда забываю про «заботу».

[CoolCmd]

а если кодировать в base64 и отправлять как текст?

[funca]

Интересно, почему нет расширения ps1? ведь PowerShell тоже многое позволяет.

[Fa11en_Angel]

PowerShell автоматически не выполняется по двойному клику. Он лишь откроет текст скрипта.

[Anselm_nn]

интересное открытие, а я то пару раз видел в свой почте (отдельный сервис) письма в спаме со вложением js, открыл, посмотрел… откровенно говоря так и не понял, какой смысл пихать js'ник, а в винде они, оказывается, исполняемые