Как стать автором
Обновить

Комментарии 19

Пароли.pdf? Ну ок :)

Встроенный маковский PDF-просмоторщик Preview.app открывает файл с закладкой без предупрежление и триггер срабатывает. А вот Adobe Acrobat уже блокирует запрос:



Вообще это конечно дико, от обычного документа не ждешь такой подставы. Ладно еще файл Word с макросами.

Пожалуйста уточните версию OS X, где у вас сработало во встроенном Preview.
Сижу на 10.13.6 и pdf не срабатывает. Адобом не пробовал.

Проверял на 10.14 (Mojave)

Вообще это конечно дико, от обычного документа не ждешь такой подставы.
Насчёт «подставы от обычных документов», вспомнил про свой пост десятилетней давности: Насколько опасна DRM-защита, или Видео-вирус часть 2.
У вас прям письмо пришло, когда открывали через preview?
Не могу понять как работает триггер для DNS запроса. Ведь запрос идет на какой-нибудь сервер вроде гугл 8.8.8.8 или DNS провайдера.
DNS сервера работают по иерархическому принципу. Владелец TLD (скажем, mysite.com) может указать для него любой nameserver, например, ns1.mydns.org. Таким образом, этот ns сервер зафиксирует факт запроса IP адреса у суб-домена kzm5igepvd.mysite.com.
$ dig +short NS habr.com
ns1.habradns.net.
ns2.habradns.net.
ns3.habradns.net.
Всё сводится к тому что домен знаете только вы и ваша жертва. Когда жертва сделает ресолв — вам на nameserver прилетит запрос.
Если жертва сама резолвит (точнее, не использует резолверы гугла и провайдера), вы узнаете ip жулика.
Если через гугл или провайдера, вы узнаете ip гугла или провайдера :)
О, круто
Делал похожую систему на коленке с помощью обычного веб-сервера и парсинга логов по крону. Генерировал ссылку вида /special_word/blabla
Если в логе проскакивало вхождение special_word, мне отправлялось письмо со всей сторокой вклюая IP адрес открывшего.

Дальше создавалась временная страница на livejournal или скрытый аккаунт на lastfm (там можно было вставлять свою картинку в html) и жертве присылалась ссылка. Адрес известного сайта не вызывал подозрений и жертва легко переходила по ней.
От этих ловушек легко защитится, просто открывая файлы в песочнице без доступа к интернету. И с распространением таких ловушек все больше хакеров станут так делать.

Согласен, но признайтесь, мало кто ждет подвоха просто перемещаясь по папкам или обращаясь к домену.

DNS-запрос все равно может проскочить, мне кажется (если фаервол с белыми списками по софту, системный dns-клиент скорее всего будет в списке).

Мне больше понравился ключ от aws. Тут уже офлайном не защититься. Либо проверять либо нет.

Внедрять триггеры в БД — очень опасно. Во-первых, на чтение данных триггеров не существует, а во-вторых, внедрение на модификацию, вызывающее по каждому чиху поход за файлом по UNC-пути, может драматически сказаться на производительности. И потом — изменение данных в БД — процесс постоянный, как отличить санкционированные изменения от несанкционированных?

Кто-то понял как сделать триггер на открытие фолдера кем-то?
Подскажите, как сделать так: хотел бы получать уведомления, елси кто-то удаленно в локальной сети открывает фолдер на моей машине? файл пдф?

Очень хорошая вещь для обычного пользователя.
В зрелой кампании это будет лишь как ещё один уровень защиты, в дополнение к различным honeypot'ам и прочее. А для домашнего использования самое то!
Вот только у меня вопрос к сообществу: если я таким образом пометил свои доки, сам себе их в почту скинул и через некоторое время прилетело оповещение что кто-то скачал и открыл эти файлы, могу ли я на основе этого срабатывания написать заявление об утечке данных?
И примут ли соответствующие органы эти оповещения как доказательство слива?
Я же могу и в гос.органы сканы своих документов направить и оператору связи и потом посмотреть откуда слив идёт?
Или в банк направить скан… Уверен, что у них нет закрытой зоны без интернета, куда доки на флешке заносят)))

Смотря кому и на слив чего.
Думаю, полиция примет заявление и будет активно заниматься привлечением виновных (в первую очередь вас), только в случае если утекших данных у вас не должно быть по закону или вы должны были их хранить.
Если же утекла ваша коллекция закладок или репозитарий с пет-проектом, то вряд ли.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий