Пропаганда, цензура и IT-безопасность по Voennich-у на фоне коронавируса в мире

Zenitchik>> Язык - это не ПО.
Vоеnniсh> Можно рассказать как ты себе представляешь запуск html/JS в браузере.
Я расскажу. Но суть от этого не меняется. Язык - это не ПО.

Vоеnniсh> Что - где их запускает?
Итак, в состав браузера входит HTML-интерпретатор, который парсит html, строит DOM-структуру и документ в браузере.
Кроме того, имеется JS-интерпретатор, который выполняет JS в окружении, предоставляемом браузером.

Vоеnniсh> Это конкретное уведомление об угрозах.

Очень условных угрозах.

Vоеnniсh> Что случилось вперёд

Гугл почему-то решил, что это угроза, и закрыл её.
Чтобы отправка куков самому себе чем-то кому-то мешала, я право ни разу не слышал.

Vоеnniсh> Не надо "слегка" если вопросы технические и желание разобраться.
Vоеnniсh> Надо подробно.

Простите, но я не горю желанием искать в разделе без подразделов статьи по браузерной тематике (в основном там статьи не о ней).
Например, одна из статей, которую я нашёл по запросу "уязвимости браузеров" оказалась про вредоносный Shell-скрипт.

Полл> В отчетах должен делаться вывод, что "львиная доля" (© твой), то есть больше 50% сайтов по данной теме - сделаны злоумышленниками.
По ковид? Или про чел. Метеорит? Или про любую другую хайповую тему?

Полл> Второй мой пост с этим именем.
Именно второй.
Первый без имени. А просто "Зайцев ИБ" - минимум три на первой странице поиска. Но признать даже этот простейший факт ты - не можешь.

Полл> А я уже 8 лет не ведущий специалист отдела ИТ на НПО "Сибсельмаш".
И как это тебя приблежает к актуальным угрозами/защите/расследованиям?
Никак. Только удаляет.

Полл> Относится примерно на Вселенную ближе, чем ты.
Это твоя гордыня, подпитывая политическими пристрастиями говорит.
Типичная деформация.

Vоеnniсh> По ковид? Или про чел. Метеорит? Или про любую другую хайповую тему?



Vоеnniсh> Первый без имени. А просто "Зайцев ИБ" - минимум три на первой странице поиска. Но признать даже этот простейший факт ты - не можешь.
Какая разница, если тебе, чтобы узнать этих Зайцевых - нужно лезть в поиск?
То есть ты к теме корпоративной ИБ в России вообще не относишся.

Полл>> А я уже 8 лет не ведущий специалист отдела ИТ на НПО "Сибсельмаш".
Vоеnniсh> И как это тебя приблежает к актуальным угрозами/защите/расследованиям?
Ты только никому не рассказывай, строго по секрету! Есть такой научный труд "Искусство программирования" Дональда Кнута, впервые изданный в 1968 году.
Так вот, почти все актуальные угрозы/защиты/расследования в сфере ИБ происходят в строгом соответствии с этим трудом. Притом, что он вообще не про ИБ, представляешь?
И несмотря на его "моральную устарелость", он ажно более, чем полвека назад в первой редакции вышел.

Zenitchik> Итак, в состав браузера входит HTML-интерпретатор, который парсит html, строит DOM-структуру и документ в браузере.
Интерпретатор - это не ПО?

Zenitchik> Кроме того, для выполнения JS имеется JS-интерпретатор, который выполняется JS в окружении, предоставляемом браузером.
JS-интерпретатор - это не ПО?

Zenitchik> Очень условных угрозах.
О которых даже Форбс решил сообщить?;)


Zenitchik> Простите, но я не горю желанием искать в разделе без подразделов статьи по браузерной тематике (в основном там статьи не о ней).
Либо есть желание разобраться, либо нет.
Я назвал два вендора, активно рассказывающих - объясняющих.

Vоеnniсh> Интерпретатор - это не ПО?
Интерпретатор - это не язык программирования.

Vоеnniсh> О которых даже Форбс решил сообщить?;)
А он что, великий авторитет в ИБ, чтобы его решение что-то значило?

Полл> То есть ты к теме корпоративной ИБ в России вообще не относишся.
Это твое мнение, что для понимания отрасли/угроз надо знать труды профессора.
Типичная деформация специалиста.

Я всего лишь скромно заказываю услуги и продукты у отраслевых экспертов.
И держу в штате соответствующих инженеров.
Которым доверяю.


Полл> Так вот, почти все актуальные угрозы/защиты/расследования в сфере ИБ происходят в строгом соответствии с этим трудом. Притом, что он вообще не про ИБ, представляешь?
Докажи, что отдел расследования Инцидентов ИБ работает по Кнутту:)

Ещё раз - я работаю с соответствующими отделами и продуктами Касперского/ГрИБ/Позитива/..

А ты рассказываешь про ушедшего профессора без которого якобы никуда.
И про то, что fortinet вместе с trend micro это инструмент англоязычной цензуры.

Полл> Интерпретатор - это не язык программирования.
Угу. Это ПО.


Полл> А он что, великий авторитет в ИБ, чтобы его решение что-то значило?
Авторитет? Решение? Ты заговариваешься?
Если не-отраслевое издание вынужденно писать про отраслевой инцидент - значит реально что то громкое.

Vоеnniсh> + Использование хайповой темы

Это в точку. Баннеры, которые я видел, продают средства защиты.

Vоеnniсh> + Регистрация домена на частное лицо

Верно, кто то пожелал заработать на хайпе.
Но!!!
1. Информация о короновирусе правдивая.
2. Зловредов не найдено.

А в итоге бан как за то ли виросованный (не ковидом) сайт, то ли за неправдивую информацию.

В интернете полно американских сайтов, рекламирующих товар аналогично.
То есть, просто кто-то не хочет, чтобы покупали в России?


Vоеnniсh> В ИБ часто "подозрения но не гарантии".
Vоеnniсh> Никакой политики тут нет.

Ну да, как бы просто глупость.

SEA> 2. Зловредов не найдено.
Готов гарантировать, что пара странных region и statistics .js - безопасны?
Поставить свое мнение против forti/trend micro/..?

SEA> В интернете полно американских сайтов, рекламирующих товар аналогично.
Если обратить внимание на первое сообщение Полла, и найти ссылку на "Activity Alert: AA20-099A" то обнаружится, что большая часть сайтов заблокированных - не имеют никакого отношения к РФ.

Выводы понятны

Vоеnniсh> Интерпретатор - это не ПО?

Интерпретатор - это не язык.

Vоеnniсh> Я назвал два вендора, активно рассказывающих - объясняющих.

Но, в основном, не то, о чём речь.

Vоеnniсh> Готов гарантировать, что пара странных region и statistics .js - безопасны?

Готов биться об заклад, что они безопасны. В крайнем случае - подрисовывают рекламу.

>Поставить свое мнение против forti/trend micro/..?

Чьё-то там мнение - это пустой звук. Доказательство опасности - это процитированный участок кода, совершающий конкретное вредоносное действие.

Vоеnniсh> Если не-отраслевое издание вынужденно писать про отраслевой инцидент - значит реально что то громкое.

Совсем не показатель. Вы должны быть знакомы с термином "журламер". Отраслевые-то СМИ регулярно хрень пишут, что уж говорить про неотраслевые...

Zenitchik> С этим борются производители браузеров. Вряд ли производители антивирусов могут среагировать на обнаруженную уязвимость в браузере быстрее, чем производители самого браузера.
а как происходит реакция, понимаешь?
чтоб закрыть некую дыру, надо выпустить обновление, достаточно стабильное, не рушащее остальной код, то есть, требующее тестирования на всех возможных средах. Сначала разрабами на виртуалках, потом бета тестерами, а потом деплой всем.
И это толкьо в идеальном случае, считая, что от выхода заплатки до попадания её на машину ноль времени. Нередко люди отказываются обновлять браузер по тем или иным причинам. Напр, потому что разрабы делают любимый аддон неработоспособным в новой версии. Или потому что разрабы банальный фтп в новой версии закрывают. Или http без s ))
Или потому что новый банально тормозит на более слабой машине, а разрабы на своём железе не экономят, и не видят этого (или им пойух)

А антивирь - просто внес сигнатуру виря в базу - и готово, лови.

Zenitchik> Но в браузере, а не в Nodejs. И это клиентский код, а не серверный. Серверный код - на клиент не отправляется. А клиентский - на сервере не запускается.
А зачем лишние сущности, как называть код?
Тебе в сущности передается код. Пакетами.
7 уровней OSI помнишь?
физический понятно, что вычеркиваем,но далее начиная с канального можно комп обманывать
Обработчики кода на каждом уровне имеют свои ограничения. А некоторые ограничения, к примеру, разрабы просто не додумались описать, и они приводят к выгрузке обрабатывающего модуля.
Там, как отфонарный пример, опять же (не надо считать, что это некая реальная дыра, я ими сто лет как не интересуюсь) - превышение размера пакета, вызывающий переполнение входного буфера, что вызывает выгрузку защищенного модуля, после чего машину можно заставить исполнить произвольный код. А произвольный код - это хоть формат цэ. Хоть скачка с адреса хттп://ёклмн.ком некоего файлика и запуск его. Хоть что.

Вот эта хрень образно называется "дырами". Уязвимостями. И стоит достаточно дорого, потому что на их основе можно сделать зловредов, при помощи которых заработать.
Некоторые люди очень хорошо живут с всего лишь поиска и торговли на черном рынке этими уязвимостями.

То есть, возвращаясь к теме, сама по себе мысль, что произвольный сайт может быть опасен, верна.
Смешна только попытка неуча заявить, что "опасны те, на кого показал его цензор"
То есть, в общем и целом на стадо юзверей это действует: юзверь видит красненькую страшную надпись, пугается, и не идет читать то, чего дядя цензор не хочет.
Но когда претендующий на некие "знания в ит" клоун пытается эти проскрипционные списки толкать как святое евангелие - это фейспалмово.

Vоеnniсh> Я там добавил выше результаты сканирования сайта. Иди читай что им не нравится.

/scripts/region/region.js
Severity: Potentially Suspicious
Reason: Detected procedure that is commonly used in suspicious activity.
Details: Too low entropy detected in string of length 32917 which may point to obfuscation or shellcode.

 

Отличная иллюстрация " хамить, лгать, нести некомпетентную чушь и откровенную х-ню. "
© подпись кой-кого )))

оказывается, "опасность" сайта в том, что строка, описывающая заголовок страницы и ссылающаяся на всевозможные стили, жабаскрипты, ключевые слова для поисковиков, и прочие материалы, необходимые для отображения страницы или правильного её индексирования, "слишком мало похожа на шум".

Это писец, товарищи. Ничтоже сумняшась, вот это выносить на всеобщее обозрение как некий "пруф"...
Вероятно, даже не прочтя, просто веруя. В связи с полным отсутствием понимания смысла.

Vоеnniсh>> Готов гарантировать, что пара странных region и statistics .js - безопасны?
Zenitchik> Готов биться об заклад, что они безопасны. В крайнем случае - подрисовывают рекламу.

ну ты же понимаешь английский?
Что значит regions переводить не требуется, наверно?
А что на заглавной сттанице?
Оппа! Внезапно карта. Поделенная на регионы. С параметрами размера кружочка, цифирью в нем, и прочих данных на некую конкретную дату
Если ты откроешь сам файл https://coronavirus-monitor.ru/scripts/region/region.js - ты увидишь тоже характерную структуру координат,дат, т.д.
Нет, разумеется, спрятать в любом достаточно длинном жс что-нибудь можно.
Но помимо вот этого "если у вас есть енг, то вы - потенциальный насильник!"©упоротые феминистки - ни о какой опасности речи не идет.
То есть, имеем банально цензуру.

Bredonosec> чтоб закрыть некую дыру, надо выпустить обновление

Так они и так чуть не каждую неделю выходят.

Мы же о браузерах говорим?

Bredonosec> А зачем лишние сущности, как называть код?

Дело не в названии. А в том, что я спросил одно, а мне ответили совсем другое. "А что, тоже же ява-скрипт".

Bredonosec> То есть, имеем банально цензуру.

Скорее автоматизированную паранойю.
Вот, например, у меня в проекте был файл с именем analyse.js. В нём находились процедуры для проверки СЛАУ на совместность и поиска наибольшей линейно-независимой подсистемы.
Так вот, этот файл был заблокирован баннерорезкой за подозрительное имя. Подозреваю, что и здесь что-то типа этого.

Bredonosec>> То есть, имеем банально цензуру.
Zenitchik> Скорее автоматизированную паранойю.
Это легко проверить. Владелец ресурса должен написать им письмо с просьбой убрать из черного списка. А вот если откажут - то тогда цензура Но в целом, скорее именно твоя версия правильная. Сам встречался с подобным.

Bredonosec>> чтоб закрыть некую дыру, надо выпустить обновление
Zenitchik> Так они и так чуть не каждую неделю выходят.
Zenitchik> Мы же о браузерах говорим?
раз в неделю в лучшем случае.
Антивири (имею в виду с корп.подержкой) скачивают обновления баз пару раз в день, могут чаще. Этот процесс пользователь никак не может контролировать.

Zenitchik> Дело не в названии. А в том, что я спросил одно, а мне ответили совсем другое. "А что, тоже же ява-скрипт".
скрипт, выполняемый на клиентском компе. И?
К чему ты вообще про серверные скрипты вспомнил? Их задача - по полученным от тебя данным (собранным пользовательскими скриптами, кстати), собрать из массива, баз, или как организован ресурс (не суть важно) страницу, которая будет у тебя отображаться согласно твоим персональным возможностям (ака наличие в системе шрифтов, размер экрана (в плане разрешения и физического размера) и его соотношение, язык твоей локали, твой регион, некие спец-возможности, если они включены, и т.д.
То есть, ты получаешь страницу, и далее серверные скрипты тебя не волнуют от слова совсем.

Zenitchik> Скорее автоматизированную паранойю.
нет, не автоматизированную.
И не паранойю.
А банально организацию мероприятий, целью которых является ограничить доступ аудитории к ресурсам-конкурентам.
Это на русском называется цензура.

Zenitchik> Так вот, этот файл был заблокирован баннерорезкой за подозрительное имя. Подозреваю, что и здесь что-то типа этого.
одно дело баннерорезалка, которая ставится клиентом для избавления себя от рекламной шелухи.
При некорректной её работе может что-то ломаться, и это чисто выбор каждого конкретного человека, ставить ли себе её.
Браузер - это инструмент для серфинга, для получения в удобочитаемом виде инфы из инета.
Не для организации цензуры на дому.
И повторюсь, случаи типа избирательных банов ресурсов в неких якобы "аффторитетных" системах - это можно было б сбросить на "случайность", не происходи оно столь часто и столь ярковыраженно.

>Это легко проверить. Владелец ресурса должен написать им письмо с просьбой убрать из черного списка. А вот если откажут - то тогда цензура
А к письму приложить свои фио, подпись, фото паспорта, номер соцстраховки, счета в банке и фото жены голой. И если им понравится - они может быть вычеркнут. А может и нет.
Это из разряда "как накормить кота горчицей"

Bredonosec> К чему ты вообще про серверные скрипты вспомнил?

Так про них не я вспомнил. Я как раз говорил, что они не в тему.

Bredonosec> нет, не автоматизированную.

Именно что автоматизированную. Вы ж не думаете, что всерьёз кто-то руками это всё в базу вносил?

Bredonosec> одно дело баннерорезалка, которая ставится клиентом для избавления себя от рекламной шелухи.
Bredonosec> При некорректной её работе может что-то ломаться, и это чисто выбор каждого конкретного человека, ставить ли себе её.

Ну вот! А при некорректной работе программы анализатора - безобидные сайты помечаются как опасные. Причём по чисто формальным признакам, типа минифицированных скриптов с подозрительными именами.

ReST> Упс.

Ну это правильно. Пост-запрос отправлять по HTTP - небезопасно. Работая на таких сайтах надо иметь в виду, что всё, что Вы отправляете видят все, кто сидит посередине. В том числе пароли.
Поэтому нельзя отправлять на такие сайты никакой критической информации.

Zenitchik> Именно что автоматизированную. Вы ж не думаете, что всерьёз кто-то руками это всё в базу вносил?
ну, в случае, к примеру, авиабазы, когда она еще что-то значила в информационном поле рунета, - думаю, да. И с паралаем аналогично.
А что там также могут находиться и действительно подозрительные ресурсы - так логично же. Если маскируешься под якобы легальную деятельность, надо выполнять её хоть время от времени, иначе никто не будет пользоваться твоими услугами и твоя цензура не будет иметь эффекта

Zenitchik> Ну вот! А при некорректной работе программы анализатора - безобидные сайты помечаются как опасные. Причём по чисто формальным признакам
и такое тоже вполне возможно.
Но помнишь анекдот про апельсиновую корку?
Подсудимый ваше слово
- Ваша честь, я не собирался никого убивать! Я мирно сидел на лавочке, чистил апельсин ножичком. А он шел мимо, поскользнулся на апельсиновой корке, и упал на мой ножичек! Я прям весь в ужасе, что это случилось, ваша честь...
- И так 19 раз подряд, да?

Bredonosec> Но помнишь анекдот про апельсиновую корку?

Вообще не похоже.