Комментарии 51
не входит в мою личную модель угроз
и так скажет каждый, кто попался или почти попался на удочку
Мораль, в общем, в том, что код, позволяющий что-то не то сделать в одном браузере, может быть не опасен в другом. И только волей случая можно объяснить, что кто-то попадется, а кто-то нет.
Будь у чувака FF любимым браузером — он бы писал более матерный пост (ну а m1rko бы переводил). Окажись 0-day дыра в Хроме — тоже тон поста бы был совсем не "фу, пронесло!"
Одно радует: производители часто обновляют браузеры, а сами браузеры научены стараться обновляться поактивнее. Так что, даже если бы FF и был у человека любимым, но человек бы добрался до чтения почты сутки-двое спустя, хорош шанс, что дыра бы оказалась заткнутой, а браузер (как FF, ничтоже сумнящесь, делают без вариантов) сказал бы, что без установки обновления он отказывается работать. Если подумать, немалые силы уходят у разрабов именно на такую оперативность, за что им огромное спасибо!
Иногда очень бесит эта особенность Firefox, вот надо тебе срочно открыть сайт, но нет, надо обновиться!
P.S. После этого да, отключил обновления браузера, как советует комментарий ниже.
1) иметь принудительное обновление (читаем «для всех юзеров, даже для самых незнающих/тупых»), и как бы более-менее иметь защиту от свежих дыр, или
2) не обновляться, иметь стабильную среду, и чуть больше переживать по поводу шанса «попасть» на ровном месте. Причем ни один вариант не закрывает варианты для всех ситуаций.
Мне кажется, в ОС просто должна быть галочка в настройке «я опытный, принимаю риск на себя, хочу иметь право настраивать обновления по своему выбору».
P.S. А пост лично мне больше всего понравился логикой. Т.е. мне вот придет предложение написать про ядерную физику (я не ядерщик, если что), все признаки будут указывать, что это развод, но я пойду до конца и
Кстати, проверить официальне мероприятия можно и по телефону. Описанное в статье ничего крамольного не содержит, но, коль скоро человек решил нахаляву поработать, кто мешал ему отзвониться оргам в универ, и просто голосом спросить: «вы точно меня не спутали с другим человеком?»
А так приходится использовать групповые политики, чтобы OS блокировать установку обновлений.
На самом деле да. Но, как кажется, это просто статью переводчик брал не с технического ресурса, а с чего-то менее умного. Из Космо, может, или из американской Мурзилки...
Ну а что, заработать надо, а текста толкового под рукой нет, что поделать?
Автор говорит, что крипты у него нет (точнее есть в следовых количествах с утерянным доступом). Но это не значит, что у него не было аккаунта на Coinbase.
Это наиболее логичное объяснение.
И если бы мне предложили сменить браузера для прочтения письма, меня бы это больше всего заинтересовало и взволновало. А какого они мне указывают как читать и где…
Насчёт письма с биржи… именно оно и было настоящей попыткой взлома, но так как у автора не было коинов, его взломали, посмотрели, и ушли. А он и не заметил :)
Не знаю, какова мораль этой истории.Не работайте с правами суперпользователя/администратора, не выключайте UAC (Windows) и автоматическое обновление. В этом случае, даже если вы попадётесь на удочку до того, как разработчики выпустят обновление, вредоносный код будет выполнен с пониженными правами (а если он выполнен с правами администратора, то да поможет вам бог).
Кроме того, защитите свой криптокошелёк паролем и не пренебрегайте двухфакторной авторизацией на биржах.
Для защиты от разных атак есть разные средства (не работать с повышенными правами, шифровать данные с задействованием TPM, включить Secure Boot, настроить автоблокировку при удалении на расстояние от определенного Bluetooth-устройства (часы, браслет, телефон)).
Нужны более гибкие политики разделения привилегий и удобный пользовательский интерфейс для них. Андроид в этом плане обходит дескотопный виндовс или линукс, но и там всё далеко от идеала.
Наверное, главный вывод в том, что следует сохранять бдительность при общении с незнакомцами в интернете,
И не только в интернете…
но почему-то я сейчас сижу на Хабре и читаю этоЯ понимаю, что для русского человека письмо из Самого Кембриджского Университета выглядит довольно нелепо, наравне с письмом из Нигерии. Но для целевой группы читателей Хабра фишинговое письмо, вероятно, выглядело бы по-другому, например оно бы от лица администрации Хабра сообщало вам, как недавно зарегистрировавшемуся пользователю, что ваш комментарий к публикации был одобрен. Разумеется, со ссылкой на публикацию.
Эксплоит для 0-day уязвимости браузера на поддомене cam.ac.uk не входит в мою личную модель угроз, и я думаю, что это разумно.
Если бы обмен письмами немного продолжился, вероятно, я бы включил макросы для документов Microsoft Office, которые прислал Грегори Харрис, и мог бы даже запустить программу, которую он прислал, если бы он сказал, что это часть процесса регистрации.
Невозможно всё в мире подписать GPG-подписью в сети доверия, которая ведёт к Брюсу Шнайеру. Впрочем, мой твиттер уже готов к желчной критике этого утверждения, в личных сообщениях.
Мда… эксперт по безопасности 80 lvl, путающий GPG и PGP (который кстати не имеет никакого отношения к слабым местам его "модели угроз") и считающий, что требовать запустить какую-то "программу" для регистрации — это нормально. Случившееся, судя по всему, ничему его не научило и он имеет все шансы радостно хватануть не то что 0-day, но и любую другую банальную уязвимость.
Не знаю, какова мораль этой истории.
Мораль простая:
NoScript. JS должен быть отключен по умолчанию и включен для индивидуальных доверенных сайтов, и только если он им необходим.
Технические требования, неадекватные с ТЗ безопасности (такие как требование запуска программы), ВСЕГДА должны быть подвергнуты вопросам/критике. Это не зависит от того, доверенное или недоверенное лицо их выдвинуло.
Отдельное доверенное устройство для чувствительных данных (финансы, приватные ключи PGP).
NoScript. JS должен быть отключен по умолчанию и включен для индивидуальных доверенных сайтов, и только если он им необходим.
Извините, но мне кажется это не выход. Наверное 99% сайтов используют JS, и уж точно буквально все достаточно крупные и интересные созданные за последние пару лет, учитывая последние тенденции сайто-строительства (SPA, React, Angular, etc). Сайты которые работают без JS и имеющие более менее современный вид и функционал это скорее исключения/эксперименты/произведения искусства (выбрать по вкусу). Вот мы сидим на Хабре и неожиданно он таки использует JS.
«Ваша» (абстрактно) позиция тоже понятная — жить с шапочкой из фольги на голове, это крайне на любителя, много дискомфорта.
пропустил “the” в предложениитак себе метод определения фишинга. Как будто у фишеров всегда английский не родной и наоборот.
Не соглашусь. В западном научном сообществе активно финансоао и карьерно мотивируют учёных переезжать в другие страны 'для развития международной коопераци'. Поэтому в Великобританских университетах шансов встретить человека из других стран ЕС очень даже большой.
у учёных даже с другим родным языком английский обычно вполне на уровне.могу с легкостью опровергнуть это утверждение
мне какого то учёного с плохим английскимтак навcкидку около 20 могу с акаунта easychair (из выборки порядка ста).
Если придираться, даже у нейтивов можно найти шероховатости
Вы слишком высокого мнения об уровне организации подобных мероприятий. Пруфридинг научных статей часто не случается из-за безалаберности и подачи в последний момент. А уж пруфрид почтовых рассылок совсем уж звучит как фантастика.
действительно большинство фишеров не англофоны и, вообще говоря, не очень грамотны в языкахинтересно посмотреть на чем основано это мнение?
Я был в семи словах от того, чтобы стать жертвой таргетированного фишинга