Copyright © 1998-2024 CDR server s.r.o.
Všechna práva vyhrazena.
ISSN 1213-2225.
Copyright © 1998-2024 CDR server s.r.o.
Všechna práva vyhrazena.
ISSN 1213-2225.
S E.D. jsem se setkal už několikrát a poprvé zrovna ve dvou nezávislých případech najednou, tudíž sem hned věděl oč jde:)
Díky Jirkovi za super článek - jeho články jsou na CDR ty nejlepší, co znám!
Díky! :)
v sprave sa hovori o obrazku a v prilohe dokument.
je myslim na prvy pohlad jasne, ze sa jedna o nejaky podraz :)
nazov prilohy screenshot.doc .... hovori za vsetko :)
jasne, ze bezny uzivatel na to skoci, ale tu hovorime o prevadzkovateloch stranok, ak na to skoci aj on, tak si nejaku tu infikaciu zasluzi :)
No, já bych zase řekl, že by se na to mohl chytit nejenom "běžný uživatel". Jeden čas jsem pracoval na IT podpoře, kde stálou klientelou jsou právě běžní uživatelé počítačů. Věřte, že pokud poprosím někoho, aby mi poslal screenshot obrazovky nebo chyby, kterou právě řeší, abych mu s tím mohl pomoci, tak téměř ze 60 % mi přijde právě DOC dokument. Žádný JPG či jiný obrázkový formát. Je prostě fakt, že "obyčejný" uživatel lupne PrtSc a klikne na ikonku na ploše od kancelářského balíčku (kterou tam jednoznačně má) a vloží to do toho. A tak to pošle. Neřeší formát, dělá to cestou, kterou umí.
Přesně tak. Typicky přijde DOC se zprzněným obrázkem, kde lze těžko něco přečíst. Mám jediného klienta, který to dělá opačně. Udělá PrintScreen, otevře malování, vloží tam zachycený obrázek a oplácá to textem, který červeně orámuje. :-)
Škoda, že všechny hlášky v našem SW mají tlačítko "odeslat emailem"...
ano, s tym som sa uz stretol, a niektore podobne desive zvyklosti by som mohol sam hodit do placu :)
ale ako odpovedam inde, pripomienky takych uzivatelov obvykle neberiem vazne, v drvivej vacsine pripadov ide o nezmysel sposobeny uzivatelom a nie aplikaciou/webom.
ale chapem ze niekedy clovek nema na vyber, a ked si je isty sam sebou, tak nech sa paci :)
Četl jste ty vlákna na viry.cz a dalších fórech? Většina webmasterů na tuto zprávu naprosto nevinně odpovídala (takže doc otevřela). Ne nadarmo je logo-obrázek tohoto článku takový, jaký je. Chtěl bych vás vidět v situaci webmastera webu, kterému přišel tento mail ;)
no, otazka znie, ci brat vazne pripomienky k webu od cloveka, ktory nie je ani schopny normalne poslat obrazok.
obzvlast ked uz v texte mejlu je napisane v com je problem, a prijemnca si to moze lahko
overit, (a podla clanku si aj overil) ci ide naozaj o nieco vazne :)
ale samozrejme, nech sa paci, kazdy nech otvara prilohy ake len chce :)
Se slovy "Co jí to ***** může psát?" jsem stáhl dokument a otestoval jej antivirem. Nulová detekce mi dodala odvahy k otevření dokumentu.
Takže jste dokument v klidu otevřel mimo jakékoli zabezpečené prostředí a zachránil Vás firewall? Pokud ano, tak tohle není zrovna učebnicový příklad bezpečného chování.
To bohužel není učebnicový příklad, ale v tu chvíli mi to přišlo jako odpovídající řešení, opravdu jsem nepočítal s tím, že se jedná o dokument, který obsahuje škodlivý kód a dokáže současně obejít antivir (av evasion). Firewall mám nastavený stylem fail close - při spuštění něčeho komunikujícího data automaticky zablokuje a teprve pak se dotazuje na povolení. Může tak dojít k analýze dat z mé strany před odesláním na vzdálený server.
Jinak při analýze potenciálně nebezpečných souborů (ať už html, binárek, dokumentů atd atd) používám REMnux Lennyho Zeltsera ve virtuálu s omezeným nebo žádným přístupem na internet (podle potřeby). Tím je vytvořeno poměrně zabezpečené prostředí přímo určené k analýze nebezpečných souborů..
Jake obchazeni antiviru? To, ze dokument vola do internetu, ma varovat prohlizec, ne antivir.
Měl jsem na mysli spíše škodlivý kód, který dokument potenciálně mohl obsahovat - české slovo "obejít" není ideální proto jsem použil angl. ekvivalent. Pokud heuristika ani pasivní srovnání s databází není pozitivní, kód je prezentován jako čistý - v případě viru je to dost zásadní problém :)
Zaujimalo by ma co sa stane ked sa ten dokument uploadne na Google Docs alebo MS Office Live, z ktorej adresy sa to dostane von a ci tieto online baliky na to upozornia. (Ja Office nemam a spolieham sa na taketo levne online nahrazky ;-) )
Otevíral jsem to v Google Docs a ty to ani neotevřou, vyhodí to chybu - problém s formátem.
Vytvořil jsem stejný druh dokumentu a protáhl jej přes Google Docs i MS Office Live.
Z pohledu serveru
-----------------
Ani jedna služba se nepokusila k obrázku přistoupit.
Z pohledu klienta
----------------
Google Docs zobrazí prázdnou stránku, nic víc.
MS Office Live se chovají stejně jako jejich offline verze, když je jí zamezen přístup. Pokud si odmyslíte hlavičku, tak zobrazí přesně toto: http://blogs.msdn.com/cfs-filesystemfile.ashx/__key/communityserver-blog....
Kromě výše uvedeného jsem při testování v době psaní komentáře nejaktuálnější verze Outpost Firewall 8.0 (4164.652.1856) narazil na problém s blokováním přístupu. Pokud je firewall nastaven na Rules Wizard při otevření dokumentu v MS Word sice zobrazí hlášení oznamující pokus o odchozí spojení, ale i přes přání uživatele komunikaci dočasně blokovat je tato povolena. Stejně tak při nastavení trvalého pravidla pro blokování této komunikace. Stejně tak při nastavení firewallu na Block Most. Jediné řešení zaručující blokování této komunikace je nastavení na Block all activity přímo v pravidlech aplikace WINWORD.EXE. Celkem bych ocenil, kdyby se našel uživatel Outpost Firewall, který potvrdí nebo vyvrátí stejné chování na jeho straně.
Dokument v MS Word si vytvoříte snadno pomocí následujícího postupu:
1. Vložení -> Rychlé části -> Pole
2. Kategorie -> Propojení a odkazy
3. Názvy polí -> IncludePicture
4. Vyplnit adresu URL, zatrhnout Data neuložená s dokumentem, OK
Pro psaní komentářů se, prosím, přihlaste nebo registrujte.