Pull to refresh

Comments 51

не входит в мою личную модель угроз

и так скажет каждый, кто попался или почти попался на удочку

Мораль, в общем, в том, что код, позволяющий что-то не то сделать в одном браузере, может быть не опасен в другом. И только волей случая можно объяснить, что кто-то попадется, а кто-то нет.


Будь у чувака FF любимым браузером — он бы писал более матерный пост (ну а m1rko бы переводил). Окажись 0-day дыра в Хроме — тоже тон поста бы был совсем не "фу, пронесло!"


Одно радует: производители часто обновляют браузеры, а сами браузеры научены стараться обновляться поактивнее. Так что, даже если бы FF и был у человека любимым, но человек бы добрался до чтения почты сутки-двое спустя, хорош шанс, что дыра бы оказалась заткнутой, а браузер (как FF, ничтоже сумнящесь, делают без вариантов) сказал бы, что без установки обновления он отказывается работать. Если подумать, немалые силы уходят у разрабов именно на такую оперативность, за что им огромное спасибо!

Иногда очень бесит эта особенность Firefox, вот надо тебе срочно открыть сайт, но нет, надо обновиться!

Неделю-две назад (точно не помню) словил BSOD в процессе этого самого обновления… IDEA в итоге «запорола» проект. Хорошо, что «откат» произошел только на стуки. Но вот оно, то самое, «мы лучше вас знаем, что вам надо обновляться — задолбаем попапом до победного».
P.S. После этого да, отключил обновления браузера, как советует комментарий ниже.
Ну вот и вопрос: что лучше,
1) иметь принудительное обновление (читаем «для всех юзеров, даже для самых незнающих/тупых»), и как бы более-менее иметь защиту от свежих дыр, или
2) не обновляться, иметь стабильную среду, и чуть больше переживать по поводу шанса «попасть» на ровном месте. Причем ни один вариант не закрывает варианты для всех ситуаций.

Мне кажется, в ОС просто должна быть галочка в настройке «я опытный, принимаю риск на себя, хочу иметь право настраивать обновления по своему выбору».

P.S. А пост лично мне больше всего понравился логикой. Т.е. мне вот придет предложение написать про ядерную физику (я не ядерщик, если что), все признаки будут указывать, что это развод, но я пойду до конца и запущу зловреда только несовместимая со зловредом версия браузера мне помешает — отличный повод писать в ключе «я ни разу не идиот», правда?

Кстати, проверить официальне мероприятия можно и по телефону. Описанное в статье ничего крамольного не содержит, но, коль скоро человек решил нахаляву поработать, кто мешал ему отзвониться оргам в универ, и просто голосом спросить: «вы точно меня не спутали с другим человеком?»
Да, этот «вопрос-дилему» я для себя уяснил уже очень давно. И решение хочется аналогичное — дали бы галку «я не дурачок, сам за себя буду отвечать».
А так приходится использовать групповые политики, чтобы OS блокировать установку обновлений.
Тут когда-то давно был пост про потерянный айфон, где автор дошёл до победного конца, отдав злоумышленнику данные от учётной записи iCloud с мотивацией, в духе «ну телефон всё равно мне не вернут, терять уже нечего, а я посмотрю, что дальше будет». Концовка была предсказуема.
М… похоже не для всех. И чем кончилось?

Лишился учётной записи, и разблокировал найденный телефон злоумышленникам.

У FF есть настройки обновления и он позволяет работать без обновлений. Вы о чём?
Увы, это не так. FF 52.9 ESR, в about:config всё, что связано с апдейтами, установлено в false, но он всё равно иногда делал попытки обновиться, даже когда я «испортил» ему updater.exe
Крайне странно, я вот сейчас с него пишу, не было никаких попыток обновления очень давно уже. Собственно, и не на что уже обновлять.
А плагины да, иногда пытаются, если не запретить.
Тут все правдиво, кроме письма с Coinbase — на кой им слать письма непонятно кому? Он даже не их клиент, он сам говорит что у него нет крипты… Вообщем, похоже на художественное произведение.

На самом деле да. Но, как кажется, это просто статью переводчик брал не с технического ресурса, а с чего-то менее умного. Из Космо, может, или из американской Мурзилки...


Ну а что, заработать надо, а текста толкового под рукой нет, что поделать?

есть ненулевая вероятность что SecTeam coinbase совместно с админами университетской сети послали предупреждение всем получателям фишинговых писем, так как атакующие не потрудились почистить логи SMTP сервера?
Ненулевая есть, но с трудом представляю, как большая компания рассылает подобные письма массово по какому-то списку из логов. Кстати, как к ним попали эти логи? Это ж сервера универа вынесли, а не коинбейзовские…

Автор говорит, что крипты у него нет (точнее есть в следовых количествах с утерянным доступом). Но это не значит, что у него не было аккаунта на Coinbase.
Это наиболее логичное объяснение.

Вообщет для кошельков и переписки желательно иметь два мыла или больше. А так просто беспечность. И да, мне тоже показалось странным письмо с биржи. Я давно на этой бирже, но никогда мне подобных писем не приходило.

И если бы мне предложили сменить браузера для прочтения письма, меня бы это больше всего заинтересовало и взволновало. А какого они мне указывают как читать и где…
Была бы формулировка «к сожалению, страница работает только в firefox», многие бы даже скачали браузер для этого.
Ну не знаю, видимо зависит от рода занятий, я-бы орал на бухгалтера, который попросил-бы поставить браузер для прочтения письма, а не то-что сам запустил-бы. Вот если-бы угадали браузер, то да, хотя нет. Я-бы не повёлся на подобное письмо, не такое у меня раздутое самомнение)
изначально есть 12% шанс, что атакуемый пользует Лису. среди продвинутых юзеров этот процент ещё выше. так что шанс успешной атаки вполне приличный.
Да-да. Страница работает только в firefox», и сразу ссылку на скачивание. Тогда никаких 0-day уязвимостей и не надо.
Какой-то очень сложный алгоритм похищения коинов. Ладно бы автор был известным их держателем. Но вести живой диалог со случайным потенциальным владельцев редкой криптовалюты, взламывать сеть университета, — как-то всё неправдоподобно.

Насчёт письма с биржи… именно оно и было настоящей попыткой взлома, но так как у автора не было коинов, его взломали, посмотрели, и ушли. А он и не заметил :)
Не знаю, какова мораль этой истории.
Не работайте с правами суперпользователя/администратора, не выключайте UAC (Windows) и автоматическое обновление. В этом случае, даже если вы попадётесь на удочку до того, как разработчики выпустят обновление, вредоносный код будет выполнен с пониженными правами (а если он выполнен с правами администратора, то да поможет вам бог).

Кроме того, защитите свой криптокошелёк паролем и не пренебрегайте двухфакторной авторизацией на биржах.
И сделав все это вы на несколько процентов повысите шанс, что вашу крипту не уведут.
Это не имеет отношения к сценарию «пробили песочницу и выполнили код». Нет «серебряной пули», которая защитит от онлайн-атаки, от оффлайн-кражи, от всего.

Для защиты от разных атак есть разные средства (не работать с повышенными правами, шифровать данные с задействованием TPM, включить Secure Boot, настроить автоблокировку при удалении на расстояние от определенного Bluetooth-устройства (часы, браслет, телефон)).

Нужны более гибкие политики разделения привилегий и удобный пользовательский интерфейс для них. Андроид в этом плане обходит дескотопный виндовс или линукс, но и там всё далеко от идеала.

С запущенным в браузере вы ничего не сделаете нигде, а во всем остальном линукс предельно гибок.
и удобный пользовательский интерфейс для них
Наверное, главный вывод в том, что следует сохранять бдительность при общении с незнакомцами в интернете,

И не только в интернете…
image
Я, конечно, извиняюсь, но на кой черт вообще реагировать на такие письма?) Тем более человек сам себе противоречит: «Я инженер-программист, но иногда читаю экономические статьи и подобное». Простите, что? И ты настолько доверчивый и подумал, что снял куш в лотерее, что тебя, человека от «балды» решили позвать из самого Кембриджского университета на конкурс? У меня в спаме лежит 30 писем от вдов и от детей-сирот, которые хотят мне на сохранение оставить миллиарды долларов, но почему-то я сейчас сижу на Хабре и читаю это, вместо того, чтобы отдыхать на Мальдивах, попивая винишко. Мораль, я считаю, такова: не будьте доверчивыми лохами =)
но почему-то я сейчас сижу на Хабре и читаю это
Я понимаю, что для русского человека письмо из Самого Кембриджского Университета выглядит довольно нелепо, наравне с письмом из Нигерии. Но для целевой группы читателей Хабра фишинговое письмо, вероятно, выглядело бы по-другому, например оно бы от лица администрации Хабра сообщало вам, как недавно зарегистрировавшемуся пользователю, что ваш комментарий к публикации был одобрен. Разумеется, со ссылкой на публикацию.
UFO just landed and posted this here
Работаю админом. Сейчас наблюдаю просто вал писем с шифраторами. Причём «работают» очень тонко. Находят сотрудников предприятия, работают под конкретного человека, представляются реальными людьми (иногда пишут с реально существующих почтовых адресов, видимо скомпроментированных), предлагая лакомые условия для пользователя лишь бы файлик открыл. Тупого спама с вирусами теперь мало. И антивирусы не панацея, я уже с десяток файлов на анализ разработчикам антивирусов отправлял, каждый раз что-то новое.
Эксплоит для 0-day уязвимости браузера на поддомене cam.ac.uk не входит в мою личную модель угроз, и я думаю, что это разумно.

Если бы обмен письмами немного продолжился, вероятно, я бы включил макросы для документов Microsoft Office, которые прислал Грегори Харрис, и мог бы даже запустить программу, которую он прислал, если бы он сказал, что это часть процесса регистрации.

Невозможно всё в мире подписать GPG-подписью в сети доверия, которая ведёт к Брюсу Шнайеру. Впрочем, мой твиттер уже готов к желчной критике этого утверждения, в личных сообщениях.

Мда… эксперт по безопасности 80 lvl, путающий GPG и PGP (который кстати не имеет никакого отношения к слабым местам его "модели угроз") и считающий, что требовать запустить какую-то "программу" для регистрации — это нормально. Случившееся, судя по всему, ничему его не научило и он имеет все шансы радостно хватануть не то что 0-day, но и любую другую банальную уязвимость.


Не знаю, какова мораль этой истории.

Мораль простая:


  • NoScript. JS должен быть отключен по умолчанию и включен для индивидуальных доверенных сайтов, и только если он им необходим.


  • Технические требования, неадекватные с ТЗ безопасности (такие как требование запуска программы), ВСЕГДА должны быть подвергнуты вопросам/критике. Это не зависит от того, доверенное или недоверенное лицо их выдвинуло.


  • Отдельное доверенное устройство для чувствительных данных (финансы, приватные ключи PGP).


NoScript. JS должен быть отключен по умолчанию и включен для индивидуальных доверенных сайтов, и только если он им необходим.

Извините, но мне кажется это не выход. Наверное 99% сайтов используют JS, и уж точно буквально все достаточно крупные и интересные созданные за последние пару лет, учитывая последние тенденции сайто-строительства (SPA, React, Angular, etc). Сайты которые работают без JS и имеющие более менее современный вид и функционал это скорее исключения/эксперименты/произведения искусства (выбрать по вкусу). Вот мы сидим на Хабре и неожиданно он таки использует JS.
Ну лично я конкретно хабру доверяю. Да, у меня стоит тот самый NoScript и работаю в режиме White-list. Далеко не все и не везде разрешено.
«Ваша» (абстрактно) позиция тоже понятная — жить с шапочкой из фольги на голове, это крайне на любителя, много дискомфорта.
Ну лично я конкретно хабру доверяю.
Собственно, вот и ответ. И NoScript здесь никак не поможет.
пропустил “the” в предложении
так себе метод определения фишинга. Как будто у фишеров всегда английский не родной и наоборот.
В качестве одного из методов вполне сойдёт. Потому что таки да, действительно большинство фишеров не англофоны и, вообще говоря, не очень грамотны в языках. И получая официальное письмо из британского университета ожидаешь не просто отсутствие грамматических ошибок, а текста написанного в стиле хорошего литературного английского.

Не соглашусь. В западном научном сообществе активно финансоао и карьерно мотивируют учёных переезжать в другие страны 'для развития международной коопераци'. Поэтому в Великобританских университетах шансов встретить человека из других стран ЕС очень даже большой.

Это же не просто письмо, а официальное, которое пишут, или хотя бы проверяют перед отправкой адресатам, специальные люди. И да, у учёных даже с другим родным языком английский обычно вполне на уровне.
у учёных даже с другим родным языком английский обычно вполне на уровне.
могу с легкостью опровергнуть это утверждение
Каким образом? Продемонстрировав мне какого то учёного с плохим английским? Ну так я и не сказал, что у всех поголовно он хорош.
мне какого то учёного с плохим английским
так навcкидку около 20 могу с акаунта easychair (из выборки порядка ста).
Если придираться, даже у нейтивов можно найти шероховатости

Вы слишком высокого мнения об уровне организации подобных мероприятий. Пруфридинг научных статей часто не случается из-за безалаберности и подачи в последний момент. А уж пруфрид почтовых рассылок совсем уж звучит как фантастика.

действительно большинство фишеров не англофоны и, вообще говоря, не очень грамотны в языках
интересно посмотреть на чем основано это мнение?
Я регулярно просматриваю спам и вижу, что в большинстве фишинговых писем язык не просто плохой, он откровенно ужасный. Так даже малограмотный англоязычный школьник не напишет.
сомнительная статистика. с такой логикой можно предположить что фишинговые письма с идеальным английским все поведутся не раздумывая… поверьте что на сайтах типа fivver можно найти нэйтива который за пару долларов все поправит
Интересно, какой-нибудь NoScript, с включенной по-умолчанию политикой блокировки, защитил бы от 0-day?
Sign up to leave a comment.

Articles