понедельник, 23 мая 2016 г.

Знакомство с отправителями

Давно известно, что многие малвари приходят пользователям по почте. Для борьбы с такими опасностями обычно предусмотрены разные меры: технические (антивирусы, антиспам, контентная фильтрация и тд) или организационные (регламентация работы с почтой, обучение и тд).
Не секрет, что технические средства в целом бессильны против почтовых малварей: почта доставляется до того, как выпущена сигнатура малвари, эвристика не особо надежна (да и не у всех небось включена), жестким антиспамом можно недосчитаться легальных писем ибо технически разница между опасным письмом и безобидным стремится к нулю. Поэтому в большинстве случаев письма с малварями благополучно проходят технические средства и попадают юзерам на компы.
И тогда должны вступать в действие оргмеры.
К чему обычно сводится регламентация и обучение в части защиты от почтовых опасностей?
Ну там где-нить в антивирусной политике или в правилах информационной безопасности будут написаны волшебные фразы:
  • "проверяйте письма и вложения антивирусом"
  • "не открывайте письма от незнакомых отправителей"
  • "не открывайте исполняемые вложения"
  • "не переходите по ссылкам в письмах извне"
  • ну и тд.
Что здесь не так?

Антивирусы.
Во-первых, антивирусы да, какую-то часть малвари могут обнаружить, но только ту часть, которая распространялась когда-то более-менее массово. Если файл с малварью редкий или новый, то для него просто сигнатуры не будет, детекта соответственно тоже. В современном мире практически ничего не стоит менять файлы перед рассылкой.
Во-вторых, в малварных письмах шлются не сами малвари, а их загрузчики (или вообще ссылки на них), которые зачастую слеплены из легальных компонент, на которые антивирус и не должен возбуждаться, если он хороший.
Так что рекомендация проверять антивирусом в случае чистого результата скорее понизит бдительность пользователя, чем его защитит.

Незнакомые отправители.
Зачастую работа пользователя заключается в обработке писем от незнакомых отправителей: выставление счетов, техподдержка, любая сфера обслуживания предполагает переписку с незнакомыми лицами. 
Легальные пользователи часто пишут письма, которые больше похожи на малварные, чем реально малварные. Реальность такова, что в легальном письме может отсутствовать любой текст, тема пуста, а будет только вложение и неизвестный отправитель.
При этом не открыл письмо = не сделал работу. Кому нужны пользователи, которые не делают работу? Так что требовать от пользователей не открывать или чето подобное не делать при незнакомых отправителях заведомо невыполнимо.
Второй момент незнакомых пользователей это то, что знакомство/незнакомство на факт получения малвари никак не влияет. Многие малвари умеют тырить адресные книги, многие умеют рассылать себя через популярные вебпочты, многие умеют отвечать в существующие переписки, так что у малварного письма будет и отправитель "знакомый" и вполне себе понятный контекст, не вызывающий подозрений. Если вы делаете более-менее массовые рассылки, то сами можете убедиться, что часть ответов после таких рассылок это малварные письма с зараженных компов.
Что еще умеют малварщики? Для большей убедительности в малварные письма включаются дополнительные файлы и документы: например, если ваша деятельность предполагает подключение абонентов, то вам в письме придет набор файлов типа: заявка на подключение, левый скан паспорта из интернета, какая-нибудь "выписка" и среди всего этого будет бонусом подмешан бинарник или скрипт, который должен быть запущен двойным кликом среди прочего.
Еще бывает шлются рассылки, где отправитель = получатель, то есть будто вы сами себе послали письмо.
Так что ваше "знакомство" с отправителем реально не защитит вас ни от чего, такие дела.

Исполняемые вложения.
В чем проблема с этим? Казалось бы, это очевидные вещи: если вам шлют программу, не надо тупо ее запускать.
Проблема здесь в том, что хоть ваш юзер и написал в своем резюме "уверенный пользователь пк", реально это не так, и в компах он умеет разве что двойным кликом открывать файлы, заполнять таблицы в экселе или лазить по сайтам в енторнете. Файлов, которые можно "исполнить" двойным кликом десятки форматов, о большинстве из них пользователь даже и не слышал никогда. Однозначно отнести к исполняемым он сможет разве что .exe. А как насчет файла экранной заставки, джаваскрипта, вижалбейсикскрипта, шифрованного джаваскрипта, панели управления? Ваш пользователь по умолчанию не силен в этих тонкостях (да он и не обязан в этом разбираться) и не сможет отличить исполняемый файл от неисполняемого. Так что реально рекомендация не запускать исполняемые файлы - сферическая в вакууме.
К тому же никто не отменял манипуляции с расширениями файлов (двойные расширения, километровые пробелы, невидимые спецсимволы и тд). Частенько чтоб не пугать пользователя (плюс чтоб не напрягать техподдержку после "переименования" файла пользователем), расширения файлов в виде папок скрывают, поэтому для пользователя реальная малварь будет выглядеть как док или экселька, в его восприятии (по расширению, по иконке) это будет документ, который можно открыть без опаски.

Ссылки.
Более чем уверен, что все безопаснички, которые требуют от пользователей не переходить по незнакомым ссылкам, сами переходят по незнакомым ссылкам бесстрашно, неважно, короткая она, длинная, с сократителем или нет. В век интернета не ходить по ссылкам невозможно. Проявлять бдительность, смотреть, что скачивается, какие пароли запрашиваются, думать головой - да, никто не отменял. Ну тогда так и нужно советовать.

итак, вкратце пробежались как делать не надо.
теперь пара слов, как надо делать и что нужно советовать, регламентировать в правилах пользователя, чему учить вкратце:
  1. 1. не полагаться на антивирус. так и говорить пользователям, мол, не надейтесь на антивирусы, их недостаточно для защиты, вообще забудьте, что антивирус есть. если он сработал - хорошо, если не сработал - бдите.
  2. 2. не доверять никому, в том числе знакомым отправителям, известным сайтам, или даже самому себе - ко всем письмам надо подходить с одинаковой осторожностью. если письмо "не по теме" получателя или в письме просят "переслать главному бухгалтеру", юристу, кадровику - насторожиться, не пересылать, как просят, а например обсудить с техническими специалистами.
  3. 3. как выглядят обычные вложения в письме, как его отображает ваш корпоративный почтовый клиент. как выглядит ссылка в письме. как вредоносные ссылки маскируются под вложения (примеры текстов писем, приемчики малварные, то, сё).
  4. 4. сохранять вложения и файлы по ссылкам локально, прежде чем запускать и открывать.
  5. 5. не доверять расширению или иконке, проверять тип файлов через свойства правым кликом. тыкайте пользователю на картинках, куда нужно смотреть, и что должно быть написано.
  6. 6. донести КОНКРЕТНУЮ инфу о заведомо опасных типах файлов (приложение, js, rtf и тд) и менее опасных (doc, docx, xls, ...), учить распознать документ от исполняемых файлов.
  7. 7. если скачался архив, то распаковывать архивы через контекстное меню правым кликом, без двойных кликов. если зип, то лучше распаковывать через встроенный виндовый распаковщик, а не сторонний архиватор. если в письме по тексту или в имени архива указан пароль к архиву - насторожиться (это нехороший сигнал).
  8. 8. после распаковки файлов не тыкать по распакованным файлом двойным кликом, а тоже первым делом проверить свойства, повторить пункт 5.
  9. 9. документы открывать правым кликом через "открыть с помощью..." а не двойным кликом. если файл например приложение exe, то в меню даже пункта такого не будет - должно насторожить.
  10. 10. если после открытия документа просят включить макросы или обновить программу - насторожиться. не включать макросы, не обновлять. даже если кнопка будет похожа на иконку адоб акробата или подобную безобидную вещицу.
  11. 11. знать, что всегда можно обратиться за консультацией к техническим спецам при малейших сомнениях, к примеру пересылать на определенный ящик, при этом обращаться к ним не стыдно и не зазорно. стыдно запускать малвари. к этому же пункту полезно  научить сохранять письма как вложения, чтобы пересылать не форвардом, а с сохранением всех заголовков и тд.
  12. 12. ну и еще список подобных штук, думаю, суть понятна, а законченного списка быть не может, потому что технологии не стоят на месте, малварщики сегодня шлют так, завтра сяк, и универсально научить на будущее нельзя, но повышением компьютерной грамотности, от которой зависит безопасность, заниматься можно и нужно. и самому не надо отставать, а постоянно вникать в суть работы ваших пользователей и суть малварных технологий, искать между ними баланс.
ну и напоследок протип: не поленитесь, наделайте скринов из ваших корпоративных окружений и софта, как выглядит окошко с просьбой о макросах или обновлении, как выглядят свойства файлов в вашей версии винды и т.д., можно хоть по всем пунктам наделать скринов, иначе вы оставляете пользователя наедине с опасностью, сам он эти вещи не узнает, если он не безопасник или малварный аналитик.
пока все.