Как стать автором
Обновить

Комментарии 30

А они не желают заодно рассказать в чем проблема нажимания на любую ссылку в Интернете?

При обновленном ПО и более-менее адекватных настройках этого ПО на компе пользователя. И то и другое задача IT департамента.

Люди любят ещё логины-пароли вводить на левых сайтах, без второго фактора это уже беда.

Или вот в тексте вообще про загрузку бинарников есть...

Так и исследовать надо сколько процентов ввели логин/пароль на фишингом сайте. Эта цифра уже имеет значение.

Загрузка бинарника это растяжимое понятие. Можно померить количество кликов по ссылке которая открывает приглашение скачать файлик. Или даже количество завершенных загрузок. Это все ни о чем. Если никто в итоге не запустил, то жалко что ли?

Мерять количество запусков бинарника уже есть смысл, но не похоже что они этим занимались.
вот в тексте вообще про загрузку бинарников есть...
у грамотных ребят пользователи могут запускать только то, что им разрешили.
А на директории типа /users/username/ навешиваются стоп-параметр запуска бинарников.
Это уже довольно давно придумали и массово работает.

Для разработчиков это подпортит качество жизни.

То, о чём вы говорите, относится к вопросу возможного ущерба от фишинга. А вопрос стоит совершенно иначе: стоит ли тратить время и деньги на тренинги, которые ни от чего не помогают, как выясняется.

А такой вывод об эффективности тренингов может иметь весьма широкое приложение. Независимо от того, представляет или нет угрозу, например, загрузка бинарников. В самом широком смысле, это означает, что сопротивляемость сотрудников обману путем проведения тренингов такого типа, повысить невозможно.

А статья ничего не говорит о полезности тренингов. Померили два параметра которые не значат ничего и на их основе сделали вывод не означающий ничего. Garbage in, garbage out.

Я, например, с удовольствием пройду по любой ссылке с рабочей почты и скачаю любой бинарник там. Надо же безопасникам его прислать. Вдруг у них его нет?

И как это вредит безопасности?

В наше время и просто запуск яваскрипта на сайте может быть опасно

Примерчик покажете? Звучит очень смело.

Современный Хром на любой современной платформе с дефолтными настройками.

Я не слежу пристально за темой, но новости о дырах в браузере бывают.
Пример есть здесь: habr.com/ru/post/256793
Уязвимость, которую получает Алиса – уязвимость нулевого дня в браузере Google Chrome. Например, недавно открытые дыры CVE-2015-1233 или CVE-2014-3177, CVE-2014-3176, CVE-2013-6658 и сколько их еще не закрыто и о них известно только в ограниченных кругах — большой вопрос.
А теперь посчитайте количество серьезных CVE. Что-то вроде уровня RCE. В год.
У меня примерно одна получается.

Гугл за них платит 100к долларов. Значит цена на рынке минимум лям будет. Плата за риск. Меньше дешевле Гуглу продать.

Отсюда можно сделать вывод что стоимость попытки поломать за лям баксов. Ну путь два. Возьмем скромно. Это просто за попытаться. С хорошей вероятностью ничего не выйдет.

Ваши данные точно столько стоят? Чтобы взломщик с бюджетами в миллионах долларов пришел и заплатил? Я бы без 10 миллионов бюджета даже не подходил к задаче. Один CVE — одна попытка. Исправят точно после одной попытки.
Иногда оно действительно того стоит. На память сразу приходит случай, когда злоумышленники успешно украли $40 миллионов из «горячего» кошелька криптовалютной биржи Binance. Со слов Binance CEO, хакеры использовали «комбинацию фишинга, вирусов и других видов атак», в т. ч. сумели обойти 2FA. Так что если говорить не о конкретно вашем или моём проекте, а о best practice для произвольной организации, то от переходов по ссылкам из писем действительно лучше воздержаться — особенно если вы являетесь сотрудником большой компании, имеющим доступ к большим деньгам или инфраструктуре продакшна. Разумеется, если будет способ взлома попроще, злоумышленники попробуют сначала его, и перейдут к сложному, если только данная цель будет намного более привлекательнее других более лёгких целей. Но на этот счёт лучше не гадать, а принимать меры предосторожности. Проект, в котором я работаю, ничего особенного из себя не представляет, но и его продакшн пытались ломать через фишинг сотрудников.
ЗироДей уязвимость это не масс спам рассылки. Таких рассылок валом и от них обновленный Хром полностью спасает. Именно вас ломать никто не пытался, это массовая рассылка на весь мир.
Бинарники запускать понятно что нельзя.

ЗироДей уязвимость это точечная атака стоящая миллионы долларов. Она ровно только в вас может быть направлена. Такие бабки просто так на масс рассылку тратить никто не будет.

Вероятность получить такое письмо стремится к нулю в любой компании. И опасность ссылок в типичном фишинговом письме ничуть не больше чем опасность ссылок на второй странице Гугла. А я изредка даже на третью захожу. Там такое творится.

А уж про рабочий ноут в рюкзаке я даже не говорю. Меня очень легко силой уговорить его разблокировать и показать где приватный ssh ключик подходящий ко всему лежит и какой от него пароль. Это точно будет стоить дешевле чем миллион долларов. Такая атака надежнее, дешевле и проще реализуется.

С атакой через ЗироДей уязвимости могут бороться только безопасники вашей компании. Со стороны пользователя сделать нельзя вообще ничего. Спасает только высокая цена таких атак.
Мне кажется, мы говорим о разных вещах. Всё, что я хотел сказать выше — это то, что следует избегать перехода по ссылкам из писем из ненадёжных источников, поскольку в общем случае, целенаправленная атака на организацию не может быть исключена. Если за вашу/мою организацию возьмутся всерьёз, то таки да, запуск яваскрипта при открытии фишинговой ссылки может быть опасен. С технической точки зрения, возможность есть. Вероятность получить такую атаку — варьируется в зависимости от контекста. Вы мой контекст не знаете, и по непонятной мне причине переводите разговор с опасности фишинговых писем вообще на частный случай фишинговых спам-рассылок. В моём случае, имела место не спам-рассылка, а нацеленная конкретно на нас атака. Нас таки именно пытались ломать, хоть и довольно тупым образом. Так же не следует игнорировать контекст больших компаний, в которых крутятся по-настоящему большие деньги и есть довольно много сотрудников, имеющих доступ к чувствительной информации. И как будто бы эти сотрудники не читают порой Хабр. Им вы тоже скажете, что открывать ссылки в подозрительных письмах — нормальная практика?

По поводу стремящейся к нулю вероятности словить эксплойт zerо-day уязвимости — скажите это сотрудникам Бинанса, и как им следует работать со ссылками в письмах тоже. Редкость использования zero-day и целесообразность беспокоиться о них — два совершенно разных вопроса, и не следует подменять одно другим. Я не спорю с вами насчёт того, что использование zero-day встречается довольно редко. Но утверждать, что переходить по ссылками из подозрительных писем — нормальная и вполне безопасная практика — не стоит. Могу ошибаться, но мне кажется, именно эту практику вы и отстаиваете.

Можете более детально ознакомиться со случаем Бинанса, в котором мы видим, что злоумышленникам по какой-то причине оказалось проще не красть ноут и не вымогать силой секретный ключ, а прибегнуть к тщательно спланированной многоходовке. С вашим утверждением, что только безопасники компании должны нести ответственность за обеспечение безопасности, я согласиться никак не могу, поскольку в любой компании есть люди, которые по долгу службы имеют доступ к чувствительной информации, и потому обязаны соблюдать инструкции при работе с этой информацией. При этом, безопасность в этом случае зависит, во-первых, от неукоснительного следования сотрудником инструкциям, во-вторых, от полноты инструкции, и в-третьих, от грамотно спроектированных и реализованных безопасниками техническим мер. При этом не забываем, что даже если безопасники работают идеально слаженно, все патчи и обновления накатываются своевременно (что, кстати, нечасто встретишь), то это не даёт полной гарантии от того, что именно в результате неосторожных действий сотрудника, компания потеряет сорок миллионов долларов, с zero-day или без него. Потому что сначала проходит время от открытия уязвимости до её опубликования, потом — до исправления вендором (который не всегда спешит, иногда из-за недооценки критичности, иногда по другим причинам), потом — когда компания обновит своё ПО. Поэтому от всех участников процесса, включая конечного пользователя, требуется соблюдение определённых принципов, и вовсе неслучайно доступ к особо чувствительной информации обеспечивают только на специально выделенных для этого устройствах, порой даже с отключенной/изолированной сетью, выключенными USB-портами и прочими наворотами. Не соглашусь так же с утверждением, что от zero-day ничего не может спасти. Может спасти полная изоляция критической инфраструктуры от «внешнего мира». Разумеется, при соблюдении пользователем должностных инструкций. Сотрудники, пользующиеся браузером и приносящие софт на флэшках, открывают доступ для всех zero-day.

И таки да, ниже уже писали, что в инструкции, составленной безопасниками, явно сказано, что надо переслать само письмо, а не скачивать бинарник самостоятельно. Наверное, все же следует их послушать?
Криптовалютная биржа это же синоним слова мошенник. Им доверия примерно столько же сколько цыганке на вокзале которая предлагает снять порчу со всем моих денег.

Защитится от всего нельзя. Да и не ставится такой цели никогда. Модель угроз, модель злоумышленника вот это вот все. Это не пустые слова.

Представим что мы хотим защищаться от ЗироДей RCE в Хроме активируемом через js код. Судя по тому сколько платит Гугл за такие уязвимости у атакующего есть милиион долларов или больше и все что ему надо это запустить js код на ноуте нашего сотрудника.
Какие есть варианты?

Ну например найти любой http сайт на который ходит этот сотрудник с ноута и заинжектить туда свой скрипт. Это совсем несложно с миллионом на траты. Нужен контроль над любым прибором поумнее на канале между ноутом и сайтом.

Ладно. HTTP строго настрого запретили.

Какие еще есть варианты? Найти любой небольшой сайт на который ходит сотрудник достаточно регулярно и дать денег любому его админу чтобы он этому человеку отдал вот этот js. Миллион долларов это большие деньги, уговорить можно много кого.

Ладно и тут не вышло. Белые списки. Работают у нас роботы и не лазят по не очень крупным сайтам.

У сотрудника дома небось есть роутеры, пылесосы, лампочки и прочее не очень защищенное? Уязвимости в них покупаются заметно дешевле миллиона. Покупаем, ломаем аккуратненько, вероятность того что человек откроет морду своего устройства посмотреть с рабочего ноута достатоно велика. Время для ломания подобрать получше и с массовой удаленкой шансы хороши.

Ладно, ничего умного дома тоже нет.

Тогда просто покупаем рекламу таргетированную на работающих вот в этом здании. Делаем чистые и красивые лендинги. Скрипт надо один раз одному человеку подсунуть. Это не так сложно. Точно ведь кликнет хоть кто-нибдуь. Рекламировать можно все подряд, бюдет большой. Попадем рано или поздно.

Я не настоящий безопасник. Те еще пяток векторов придумают. Запуск js браузером слишком распространен, чтобы от него надежно защищаться.

И после всего этоговы все еще боитесь ссылок в почте?
Модель угроз просто орет что бесполезно от такого защищаться такими способами. При этом ловить необычную активность, необычные бинарники запущенные на ноутах и подобное есть смысл. Среди кучи мусора можно вполне найти реальную угрозу.

Правда это сложно. Проще написать запретов побольше, и если что «безопасники» в домике. А виноват вот этот Вася. Который вообще не в курсе и не делал ничего плохого. Открыть в браузере любой сайт в интернете это нормально. И этого действия не должно быть среди запрещенных.
Наши безопасники говорят, что им надо само письмо переслать. А кое-где для этого даже специальные почтовые ящики есть.

Хочется верить что везде есть. Ну хотя бы в тех местах где я по закону оставляю свои паспортные данные.

В аутлуке есть специальная кнопочка для сообщения о фишинге, её полагается нажимать.

Как всегда проблема в измерении результатов обучения - забыли контрольную группу и группу плацебо для сравнения (((

Почти уверен, что в расчеты вмешался тот факт, что больше обучения и симуляций фишинга назначали на более рискованные отделы: или те кто в принципе получает очень много внешней почты, или те кто в не очень дружит с компом (сотрудники с низкой квалификацией).

Ну и заканчивается все обратным объяснением корреляции (которую вообще нельзя использовать для объяснения "если одно, то другое") - это не те кто больше тренингов прошел хуже принимают решения в жизни, а те у кого больше проблем с распознание фишинга получали больше тренировочных писем.

Читаем


В компании отметили, что пользователи с менеджерами паролей в 19 раз реже загружают или запускают вредоносные программы, чем пользователи без них

И сразу осознаём, кто заказал это исследование. Ну да, знаете, "менеджеры паролей наше всё, без них жизни нет, так что покупайте наших слонов", ога.


(Хотя казалось бы — какая, нафиг, связь между менеджером паролей и скачиванием бинарников).

Хотя казалось бы — какая, нафиг, связь между менеджером паролей и скачиванием бинарников

Мм… Тот кто дорос до менеджера паролей уже знает, что не стоит качать и запускать всё подряд?

Ага. Или в компаниях, в которых централизованно установили и научили пользоваться менеджерами паролей ещё и бинарники запретить не забыли...

Со скачиванием бинарников - только косвенная, и то - если человек использует менеджер по своей инициативе (как результат более высокой грамотности/осознанности). А вот с вводом паролей непонятно куда - прямая, потому что менеджер не предлагает его ввести на странице, которая похожа только внешне. И запрет ручного ввода можно формализовать в простой инструкции.

Ну как говориться — годы исследований и миллионы затраченных $ понадобились, что бы осознать тот факт, что нельзя полагаться на человека и защиту надо строить техническими средствами.
Можно проводить хоть каждый день тренинги где объяснять, что нельзя скачивать и запускать бинарники [сразу вопрос из аудитории — что такое бинарник?]. А можно взять и запретить запуск посторонних бинарников техническими средствами. Что будет эффективнее интересно?
Можно дать пользователю пароль и проводить тренинги, что бы он не ввел этот пароль на фишинговой странице. А можно не давать ему пароль, а ввести его в парольном менеджере откуда он автоматом вставится только на правильной станице.
Я вообще не знаю с какой параллельной вселенной всё это идет, но я в качестве практикующего сисадмина работаю с реальными пользователями и скажу так, что с 95% из них какие тренинги не проводи результат будет околонулевой в силу крайне низкой компьютерной грамотности. И поделать с этим ничего нельзя — нельзя их всех из-за этого уволить и набрать других. Другие будут такие же.
вставится только на правильной станице.

кто и как определяет «правильные» страницы?
у нас просто есть менеджеры паролей, но че-то они такое не умеют.
Самый простой пример это менеджер встроенный в браузер. Он не подставит пароль от mail.ru на nail.ru.
За прочтение исследования того, что вода мокрая, надо еще и ПД сдать по форме.

Не то чтобы тренинги совсем бессмысленные. Это как правила дорожного движения — большинство их все же соблюдает и без их знания на улицах было бы значительно хуже. Но технические методы контроля быть должны, без вариантов.
Однажды Сисадмин пожаловался Учителю:
– Мы выдали всем нашим пользователям индивидуальные пароли, а они не желают хранить их в тайне. Записывают на листочках и приклеивают к мониторам. Что нам делать? Как заставить их?
Инь Фу Во спросил:
– Сначала скажи, почему они это делают.
Сисадмин подумал и ответил:
– Может быть, они не считают пароль ценным?
– А разве пароль сам по себе ценный?
– Не сам по себе. Ценна информация, которая под паролем.
– Для кого она ценна?
– Для нашего предприятия.
– А для пользователей?
– Для пользователей, видимо, нет.
– Так и есть, – сказал Учитель. – Под паролем нет ничего ценного для наших работников. Надо, чтоб было.
– Что для них ценно? – спросил Сисадмин.
– Догадайся с трёх раз, – рассмеялся Учитель.
Сисадмин ушёл просветлённый и сделал на корпоративном портале персональные странички для всех работников. И на тех страничках был указан размер зарплаты. Узнав об этом, все пользователи забеспокоились о своих паролях. На другой день в курилке обсуждали размер зарплаты Главбуха. На третий день ни у кого не было видно листочков с паролями.

Это я к чему? А к тому, что у сотрудников нет мотивации учиться защищаться от фишинга. Поэтому и тренинги не помогают. Даже сказал бы больше – тренинги на самом деле помогают. Сотрудники обучаются по сути правильно. Только свои знания они не используют. Потому что им до убытков начальства дело нет.

С этими обучающими фишингами получается как «волки, волки».
На пятом-шестом начинаешь уже открывать ради интереса, играть с параметрами, всё такое.
Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.