Пропаганда, цензура и IT-безопасность по Voennich-у на фоне коронавируса в мире

Zenitchik> Это Ваши отраслевые тараканы.
Именно. В отрасли ИБ ровно так и считается.
Действия пользователей - главная уязвимость.
Социальная инженерия - исконный инструмент злоумышленника.

Vоеnniсh> Отчёты любого из ИБ ведра + какого нибудь IDC.
Ну так где они?

Полл>> А почему бы не вбить в поисковик сочетание "Информационная Безопасность Зайцев" и не ознакомится
Vоеnniсh> И обнаружить как минимум несколько Зайцевых.
Несколько Александров Петровичей Зайцевых, работающих в ИБ?
Вау!
Познакомь меня с ними?

Vоеnniсh> Ради чего?
Vоеnniсh> Что бы закрыть целых 46 сайтов .ru на не фоне 2500+ всего?
Тебе не надо лезть в зону, где ты ничерта не понимаешь.

Vоеnniсh> Я там добавил выше результаты сканирования сайта. Иди читай что им не нравится.
Во-первых, это не им, а другой компании. Во-вторых, подобная предъява из пальца высосана, так как обвиняют сайт на основании того, что скрипт на нем написан "не достаточно красиво": "Too low entropy detected in string".
Как я сказал - чисто политическая цензура.
Спасибо, что подтвердил.

Полл> Антивирусы безусловно обнаружат выполнение опасного кода в системе раньше, чем производители броузера,

Погодите. Чтобы в системе начал выполняться опасный код, злоумышленник должен обнаружить уязвимость браузера и написать код, её эксплуатирующий.

Антивирус, чтобы на это среагировать, должен иметь паттерн обнаружения такой угрозы, т.е. тоже знать об уязвимости.


Полл> которые данную проблему в принципе отслеживать не будут - их Программный Продукт ведь работает хорошо и правильно!

Простите, это так не работает. Разработчики обычно следят за новостями относительно своего продукта. А в наше время, на коротком цикле выхода версий, багу можно закрыть чуть ли не мгновенно.

Zenitchik>> Но в браузере, а не в Nodejs. И это клиентский код, а не серверный. Серверный код - на клиент не отправляется. А клиентский - на сервере не запускается.
Полл> Класс уязвимостей - общий. Запроси в поиск уязвимости выполнения клиентского кода Явы

Причём тут Ява? Её в браузерах уже несколько лет как нет.

Zenitchik> Это Ваши отраслевые тараканы.
Ну вообще-то тут Военных прав.

Zenitchik> В терминах здорового человека, если для реализации атаки требуются действия пользователя - то это не атака.
От этой модели ИБ ушли еще в 90гг:

Zenitchik> Погодите. Чтобы в системе начал выполняться опасный код, злоумышленник должен обнаружить уязвимость браузера и написать код, её эксплуатирующий.
Или броузера, или Ява-скрипта, или одного из адобовских форматов - стандартов де-факто на сегодня много.

Zenitchik> Антивирус, чтобы на это среагировать, должен иметь паттерн обнаружения такой угрозы, т.е. тоже знать об уязвимости.
Антивирус может отловить получение рута - повышение прав процесса в системе в обход пользователя. Изменение, вносимые в файловую систему. Выполнение процессов, требующих админских привелегий, без входа админа в систему.

Полл> От этой модели ИБ ушли еще в 90гг:
Полл> Рядовой пользователь как угроза ИБ: практические советы по решению проблемы)

Концептуально - это верно. Если моя работа - защищать тупых пользователей, которые не смотрят, куда тыкают, то я буду классифицировать угрозы так же, как Vоеnniсh.

Но для нормального человека, который смотрит что делает, наличие какой-то там угрозы, которая "требует действий пользователя для реализации атаки" - это не повод сраться заходить на сайт.

Полл>одного из адобовских форматов

Вот это другое дело. Открывать файлы - в принципе небезопасно.

Полл> Ну так где они?
Вежливо попроси - подумаю.

Полл> Несколько Александров Петровичей Зайцевых, работающих в ИБ?
Несколько "Зайцевых", в т.ч О.В. z-oleg и "коммерческий директор компании «Траст Технолоджиз» Александр Зайцев." Это только на первой странице.

Полл> Тебе не надо лезть в зону, где ты ничерта не понимаешь.
Так научи меня
Кроме болтовни у тебя ничего нет.
У меня отраслевые отчёты и результаты сканирования.
Угроза - дать слишком большой объем данных и выйти за пределы стека, где уже выполнить зловред, тебе знакома?

Полл> Во-первых, это не им, а другой компании.
А с чего ты решил, что forti и trend-micro действуют только на основе bkack-list'а госов+?

> Во-вторых, подобная предъява из пальца высосана, так как обвиняют сайт на основании того, что скрипт на нем написан
Потенциально угрожающе.

Полл> Как я сказал - чисто политическая цензура.
В чем политика забанить 2500 сайтов про всему миру?
Попробуй обоснуй хоть чем то кроме "это пиндосы и бриташки"

Zenitchik> Открывать файлы - в принципе небезопасно.
Все верно, есть только одно маленькое "но": любой сайт, который ты просматриваешь в интернете, это открытый на твоем компьютере скачанный из Интернета файл "*.html", как минимум один.
В "Адобовских" форматах сегодня очень много анимации на сайтах.

Vоеnniсh> Вежливо попроси - подумаю.
У тебя сутки, чтобы привести доказательство своих слов.
После каждый твой пост будет внимательно рассматриваться, штрафоваться и сносится в "Тартар".
Время пошло.
Бредоносец будет счастлив.

Vоеnniсh> Несколько "Зайцевых", в т.ч О.В. z-oleg и "коммерческий директор компании «Траст Технолоджиз» Александр Зайцев." Это только на первой странице.
Да, никто не делает для дискриминации либерального движения в России больше, чем либералы.

Полл> Все верно, есть только одно маленькое "но": любой сайт, который ты просматриваешь в интернете, это открытый на твоем компьютере скачанный из Интернета файл "*.html", как минимум один.

Вот об этом мы и говорим с самого начала. *.html и сопутствующие ему форматы - находятся в песочнице. Сами по себе они уязвимостей не имееют - им не в чем их иметь. Если есть уязвимость браузера - это вопрос отдельный. И, не знаю, как на счёт остальных, но гугл свою "песочницу" изо всех сил анально огораживает.

Полл> В "Адобовских" форматах сегодня очень много анимации на сайтах.

Это какие, например? Я как-то больше с гугловскими сталкиваюсь.

Zenitchik> И, не знаю, как на счёт остальных, но гугл свою "песочницу" изо всех сил анально огораживает.
Но если приходится стараться огораживать "изо всех сил" - согласись, что-то требует напряжения этих самых сил, верно?

Полл>> В "Адобовских" форматах сегодня очень много анимации на сайтах.
Zenitchik> Это какие, например? Я как-то больше с гугловскими сталкиваюсь.
В качестве примера:

Полл> У тебя сутки, чтобы привести доказательство своих слов.
Т.е. аргументы кончились, включил админ ресурс.
Быстро Паша.

Встречное предложение
Я доказательства (дня через три, на выходные у меня другие планы) - ты вешаешь себе на аватарку "Военныч прав, Полл нет"?;)
Слабо?

Полл> Да, никто не делает большего для дискриминации либерального движения в России больше, чем либералы.
Ты опять тащишь политику туда где её нет.
Будешь утверждать что поиск "Зайцев Информационная безопасность" не даёт на первой странице никого кроме, не имеющего к современному корпоративу, Александра Петровича?
Серьезно?

Vоеnniсh> Я там добавил выше результаты сканирования сайта. Иди читай что им не нравится.
> Я там добавил выше результаты сканирования сайта. Иди читай что им не нравится.

/scripts/region/region.js
Severity:	Potentially Suspicious
Reason:	Detected procedure that is commonly used in suspicious activity.
Details:	Too low entropy detected in string [['<!DOCTYPE html><html lang="ru"><head><meta charset="UTF-8"><meta name="viewport" content="width=devi']] of length 32917 which may point to obfuscation or shellcode.
...

Ну что же, это то самое детектед, "highly likely"

"Reason: Detected procedure that is commonly used in suspicious activity."
Обнаружена процедура, которая часто используется в подозрительной деятельности.
Хотя и не только в ней...

Полл>>> В "Адобовских" форматах сегодня очень много анимации на сайтах.
Zenitchik>> Это какие, например? Я как-то больше с гугловскими сталкиваюсь.
Полл> В качестве примера:
Полл> Adobe устранила 42 бага, 34 из которых были критическими — «Хакер»

Ай, блин, Вы про флеш? Он же уже года два как в браузерах отключен по умолчанию. Я и не знал, что он до сих пор где-то есть. Сам не подключал, потому что от флеша и без уязвимостей вреда больше, чем пользы.

Для меня флеш - это где-то рядом с ява-апплетами и актив-икс-компонентами. Дела давно минувших дней, преданья старины глубокой.

Zenitchik> Вот об этом мы и говорим с самого начала. *.html и сопутствующие ему форматы - находятся в песочнице.
Предположу, что ты опять неверно используешь терминологию.
"Песочница" ака Sandbox - это другое.

>Сами по себе они уязвимостей не имееют - им не в чем их иметь. Если есть уязвимость браузера - это вопрос отдельный.
У любого ПО находят уязвимости.
В т.ч. у браузеров и их движков.
Например

Не нравится касперский - можно прочитать этих

Раздел "Исследования"

Vоеnniсh> Я доказательства (дня через три, на выходные у меня другие планы) - ты вешаешь себе на аватарку "Военныч прав, Полл нет"?;)
Принимается.
Трое суток. Жду доказательств до 20.04.2020, до 24:00 по Новосибирскому времени.

Vоеnniсh> Будешь утверждать что поиск "Зайцев Информационная безопасность" не даёт на первой странице никого кроме, не имеющего к современному корпоративу, Александра Петровича?

Буду утверждать, что Александр Петрович Зайцев к современной корпоративной ИБ относится прямо и непосредственно.
Впрочем, что с тобой реальность обсуждать бессмысленно, я уже понял. Жду доказательств.

Полл>> Как я сказал - чисто политическая цензура.
Vоеnniсh> В чем политика забанить 2500 сайтов про всему миру?
Vоеnniсh> Попробуй обоснуй хоть чем то кроме "это пиндосы и бриташки"

Ой, вряд ли тут есть политическая или какая-то ещё "человеческая" причина. Думаю, мы имеем дело со срабатыванием какого-то формального признака, по которому сайты забанили автоматически.

SEA> Обнаружена процедура, которая часто используется в подозрительной деятельности.
Две процедуры (и это бесплатный анализ показал)
+ Использование хайповой темы
+ Регистрация домена на частное лицо
+ Сервисы "присоединиться"

Вот и получили итоговую рекомендацию "держаться подальше".

В ИБ часто "подозрения но не гарантии".
Никакой политики тут нет.

Zenitchik> Ой, вряд ли тут есть политическая или какая-то ещё "человеческая" причина.
С одной стороны, с практической точки зрения ты прав - не надо искать диверсантов там, где достаточно глупости.
С другой стороны, приведенные в первом сообщении Военныча конторы - предельно вонючие, созданы именно под пропаганду, цензуру и прочие "информационные войны".

Полл> Принимается.
Полл> Трое суток. Жду доказательств до 20.04.2020, до 24:00 по Новосибирскому времени.
Договорились.
Критерии - чему должны соответствовать предоставленные отчёты?

Полл> Буду утверждать, что Александр Петрович Зайцев к современной корпоративной ИБ относится прямо и непосредственно.
Имя-Отчество ты добавил когда?
Сколько Зайцевых на первой же странице поиска?

Профессор уже 8 лет в другом мире-к актуальным угрозами и методами противодействия ...

Полл> Впрочем, что с тобой реальность обсуждать бессмысленно, я уже понял.
Это тебе политические шоры мешают.
Бывает.

Vоеnniсh> Критерии - чему должны соответствовать предоставленные отчёты?
В отчетах должен делаться вывод, что "львиная доля" (© твой), то есть больше 50% сайтов по данной теме - сделаны злоумышленниками.
Согласен даже на 25%.

Vоеnniсh> Имя-Отчество ты добавил когда?

Второй мой пост с этим именем.

Vоеnniсh> Профессор уже 8 лет в другом мире.
А я уже 8 лет не ведущий специалист отдела ИТ на НПО "Сибсельмаш".

Vоеnniсh> к актуальным угрозами и методами противодействия...
Относится примерно на Вселенную ближе, чем ты.

Vоеnniсh> Предположу, что ты опять наверно используешь терминологию.
Vоеnniсh> "Песочница" ака Sandbox - это другое.

Я о том, что окружение в котором выполняется клиентский скрипт, не имеет никаких прав для воздействия на систему пользователя. Ну, всю память может под себя зарезервировать, или, там, процессор нагрузить по самое немогу, и то пока браузер не закроют.

>>Сами по себе они уязвимостей не имееют - им не в чем их иметь. Если есть уязвимость браузера - это вопрос отдельный.
Vоеnniсh> У любого ПО находят уязвимости.

Язык - это не ПО.
Vоеnniсh> В т.ч. у браузеров и их движков.
Vоеnniсh> Например
Vоеnniсh> U.S. Government Says Update Chrome 80 As High-Rated Security Flaws Found

Простите, но опять-же беллетристика.
Я с этим обновлением взаимодействовал самым непосредственным образом. Нам, для того, чтобы правильно работать, нужно было выставить директивы кук в соответствии с новыми правилами, что повлекло за собой новую логику: для http и для https и так разная работа с куками, а тут ещё для локальных систем пришлось отдельную логику проставления директив писать.
Читать портянку "общих слов" на эту тему - мягко говоря, неприятно.

Причём, это вообще не про уязвимость, а про дополнительную фичу, позволяющую разработчикам сайта лушче управлять своими куками.

Vоеnniсh> Positive Technologies — безопасность, консалтинг, compliance management
Vоеnniсh> Раздел "Исследования"

Слегка пошерстил статьи. Всё найденное про уязвимости браузеров - это либо кросссайтовый скриптинг (знаю, практикую), либо устаревшие браузеры, либо скачанные и запущенные файлы (ума не приложу, причём тут уязвимость браузеров).

Vоеnniсh> Две процедуры (и это бесплатный анализ показал)
Vоеnniсh> + Использование хайповой темы
Vоеnniсh> + Регистрация домена на частное лицо
Vоеnniсh> + Сервисы "присоединиться"

В принципе, каждый из этих признаков сам по себе ни о чём не говорит. И о безопасности тоже.
Но лично для меня, совокупности первого и третьего пунктов достаточно, чтобы не захотеть иметь дел с этим "частным лицом".

Zenitchik> Я о том, что окружение в котором выполняется клиентский скрипт, не имеет никаких прав для воздействия на систему пользователя. Ну, всю память может под себя зарезервировать, или, там, процессор нагрузить по самое немогу, и то пока браузер не закроют.
Эксплоиты это и есть инструменты выхода за пределы ограничений того окружения, в котором они запускаются.
Используя дыры браузера/ОС.

Zenitchik> Язык - это не ПО.
Можно рассказать как ты себе представляешь запуск html/JS в браузере.
Что - где их запускает?


Zenitchik> Простите, но опять-же беллетристика.
Это конкретное уведомление об угрозах.
Что случилось вперёд
- Гугл их закрыл
- антивирусы его прикрыли/защитили
Или злоумышленники успели воспользоваться
Вопрос - открытый

Vоеnniсh>> Раздел "Исследования"
Zenitchik> Слегка пошерстил статьи.
Не надо "слегка" если вопросы технические и желание разобраться.
Надо подробно.
А когда реанимируют PosutiveHackDays - посетить их.
Там расскажут-покажут.

Zenitchik> В принципе, каждый из этих признаков сам по себе ни о чём не говорит. И о безопасности тоже.
И без принципа - тоже ни о чем не говорит.

Zenitchik> Но лично для меня, совокупности первого и третьего пунктов достаточно, чтобы не захотеть иметь дел с этим "частным лицом".
Зайди на обсуждаемый сайт, посмотри, как выглядит функционал "присоединиться": апплет для сторонних сайтов и регистрация для комментариев на сайте.