Microsoft сканирует внутреннюю часть защищенных паролем zip-файлов на наличие вредоносного ПО

tjukken сказал:

Вредоносное ПО известно тем, что изменяет файл хостов, поэтому, вероятно, MS пометила его. Однако кажется надуманным предполагать, что из-за этого вы получаете BSOD.

Нажмите, чтобы развернуть...
Вы, конечно, упускаете суть. Во-первых, мои данные были удалены без предварительного уведомления, тайно и не вредоносное ПО совсем. Но самое главное — установленный принцип:

MS может собирать и/или удалять ЛЮБЫЕ персональные данные, В ЛЮБОЕ ВРЕМЯ, по ЛЮБОЙ ПРИЧИНЕ без предварительного уведомления по своему усмотрению в соответствии с Условиями использования. Никаких юридических средств правовой защиты нет.

Несмотря на ваш скептицизм, это чистая правда: за 4 года у меня было два ужасных обновления BSOD. Справочный пример:

Исправление ошибки синего экрана «0xc000021a» в Windows

Это действительно произошло. Они были с Windows 10. Недавно я прочитал, что некоторые люди получают обновления BSOD с... Виндовс 11.
www.laptopmag.com

Соберись, Microsoft!

www.laptopmag.com www.laptopmag.com

Дерьмовое шоу продолжается.

(Да, теперь я сторонник MacOS.)

VectorRevival сказал:

Я испытываю очень небольшую симпатию к исследователям безопасности, на которых это повлияло. Чтобы обойти это изменение, им придется перейти от смехотворно простого шифрования к чему-то едва правдоподобному.

Нажмите, чтобы развернуть...
На самом деле нет, этот конкретный исследователь просто ленился и использовал не только очень простой пароль, содержащийся в большинстве, если не во всех словарях. Хотя это все хорошо, если вам нужно хранить образцы на своих внешних устройствах, вам не следует применять ту же логику к облачным сервисам.
В конце концов, серверы являются собственностью вашего провайдера, поэтому они имеют право защищать свою инфраструктуру от вредоносных программ любым удобным для них способом.

Мы работаем так: всякий раз, когда мы хотим поделиться образцами вредоносного ПО новых и/или возникающих угроз с другие, мы размещаем его на GitHub в архиве 7zip с паролем и именами файлов, зашифрованными с помощью АЕС256. Затем мы отправляем электронное письмо всем участникам списка рассылки со словами «Эй, мы обновили нашу примерную базу данных» и напоминаем им пароль.
Любой, кто хочет получить доступ, может запросить добавление его в наш список доверенных исследователей, но сначала ему придется предоставить некоторые учетные данные.

FerociousLabRetriever сказал:
1. Подписка на Office дает вам 6 учетных записей по 1 ТБ в OneDrive за 99 долларов в год.
2. У меня никогда не было проблем с OneDrive за многие годы его использования.
3. Облачная безопасность и резервное копирование обрабатывается Microsoft, а не мной.

Существуют потенциальные причины конфиденциальности (например, в этой статье), чтобы не использовать коммерческие приложения для облачных хранилищ, такие как OneDrive, но лично я бы не стал развертывать свои собственные по какой-либо другой причине, кроме этой.

Нажмите, чтобы развернуть...
Хотя в OneDrive есть управление версиями файлов, это не полноценная резервная копия. Microsoft предоставляет избыточность, больше ничего. Вы застрахованы от аппаратного сбоя и (некоторых) ваших собственных ошибок, не более того.

Также стоит отметить, что это относится к OneDrive, а не, например, к Exchange Online, виртуальным машинам и многим другим службам. У них нулевая версия. Удалено/повреждено – удалено/повреждено.

Резервные копии твой ответственность, и если вы не используете какой-либо сторонний инструмент для очистки данных с основного хостинга в другое хранилище, у вас нет резервных копий. Резервные копии должны передаваться какому-то независимому арендатору или другому поставщику хранилища.

Это ошибочное представление о том, что «облако» обеспечивает резервное копирование, и важно развеять его, когда это возможно.

Voo42 сказал:
Если есть что-то, с чем, я думаю, мы все можем согласиться, так это то, что «обычным пользователям» нет необходимости отправлять вредоносное ПО друг другу.

Это крайний случай, и для подавляющего большинства людей прекращение отправки и получения вредоносного ПО является бонусом. Теперь, когда проблема известна, решение в любом случае довольно простое: использовать лучший алгоритм шифрования и отправить пароль по отдельному каналу. Больше работы и меньше удобства, но нет ничего непреодолимого.

Нажмите, чтобы развернуть...
Если бы у меня была копейка за каждый раз, когда друг присылал мне зашифрованный архив и пароль, а оказывалось, что это вредоносное ПО, я бы получал хотя бы копейку :). Но этим утверждением я имел в виду не это. «Обычный пользователь» читает эту статью и думает, что MS шпионит за ними, а не за тем, почему и как это делается. Обычный пользователь увидит «возмутительно, моя безопасность, моя конфиденциальность!», а более технически подкованные пользователи увидят, что ваша конфиденциальность уже определена в лицензионном соглашении, которое вы используете. принято давно, и вы уже вытерли пол с помощью безопасности, когда вставили пароль в то же письмо (даже на тот же канал), что и зашифрованный содержание.

Чтобы подкрепить это, я привожу личный опыт работы с крупными корпорациями, где «обычные пользователи» читают документ о том, как работает антивирус, прочитав все или часть содержимого файлы сканировались - и требовали на самом высоком уровне, чтобы AV работал по-другому, чтобы он не читал файлы, потому что они могут содержать или не содержать данные, которые не предназначены для AV видеть.

Я занимаюсь безопасностью и обязательно передаю вредоносное ПО в зашифрованных zip-файлах. Я понимаю, что здесь пытается сделать MS, и сочувствую этому.

Меня беспокоит созданный им прецедент: Microsoft может молча и в одностороннем порядке решить, что определенный тип контента неприемлем, а затем начать предпринимать активные действия по его поиску и искоренению. это. Теперь, когда было продемонстрировано, что у него есть такая возможность, будут ли правительства требовать, чтобы MS начала делать это для других? виды контента (для обеспечения соблюдения авторских прав, блокировки порнографии, удаления информации об абортах или гендерно-подтверждающей помощи). и т. д.)?

Кроме того, (и IANAL) многие законы о конфиденциальности в США основаны на понятии разумного ожидания конфиденциальности. Хотя встроенное шифрование zip — это чушь, это был решительный шаг, который кто-то предпринял, чтобы защитить что-то от частных глаз. Для сравнения: с технической точки зрения конверт представляет собой тонкую, как бумага, защиту конфиденциальности, но все же это считается частной и имеет юридическую силу в США, в отличие, скажем, от открытки, содержание которой незащищенный. В отсутствие ордера USPS не может открывать запечатанные конверты и проверять их содержимое, несмотря на наличие технических возможностей. Microsoft, видимо, решила, что может и будет. Что это означает для разумных ожиданий конфиденциальности в онлайн-сервисах? Хотя я сторонник того, чтобы не использовать облачные сервисы без необходимости, правда в том, что большинству людей не хватает возможности (из-за нехватки времени, навыков или денег) запускать и поддерживать свои собственные замены облачных сервисов, а также растущее количество технических навыков, необходимых для поддержания некоторого подобия конфиденциальности, поскольку эти сервисы становятся все более враждебными по отношению к своим собственным. пользователи.

Второй этаж сказал:
Бизнес хочет этого. Они платят за это, это не бесплатно.

Вместо того, чтобы так удивляться, исследователю следовало поговорить со своим администратором O365. В случае ложных срабатываний их администратор может восстановить файл через портал Защитника O365.

Нажмите, чтобы развернуть...

Как администратор O365 я собирался сказать, что считаю, что могу публиковать файлы, помеченные как вредоносные, но никогда не пробовал.

С другой стороны, я рад, что Microsoft делает это. Наш бизнес средний, но каждый день мы сталкиваемся с множеством вредоносных программ и попыток фишинга.

У исследователя есть варианты (например, GPG, упомянутый выше, они могут настроить FTP-сайт, к которому сможет получить доступ только его команда - я использую один для автоматической обработки файлов).

Логика ясно подсказывает, что потребности большинства перевешивают потребности немногих.

Затронуто несколько исследователей, в то время как «миллионы» пользователей защищены технологиями облачного сканирования. Удивительная новость, что они растрескивание файлы, защищенные паролем, для их сканирования (и сегодня я узнал, что Windows Zip легко взломать).

Но опять же, разве не об этом говорят нам все исследователи: «Не используйте простые пароли или небезопасные методы для защиты контента». И все же, вот они. Так работают воры: они знают, что люди не следуют рекомендациям.

Пакостакос сказал:

В статье рассказывается о предполагаемом исследователе безопасности, хранящем артефакты вредоносного ПО, которые представляют реальную угрозу в чужих руках; не рецепт торта твоей бабушки.

Нажмите, чтобы развернуть...
Файлы хранились на OneDrive исследователя, а не на каком-то общедоступном FTP-сайте или чем-то еще. Итак, объясните свою логику в том, как именно эти файлы волшебным образом оказались в руках других людей?

Также новость: вредоносное ПО уже попало в чужие руки! Я имею в виду, что исследователь не сделал их сам! Кот уже из мешка вышел, лошади уже вышли из сарая!

Вондак сказал:
разве там не говорилось, что MS просканирует электронное письмо и будет использовать содержащиеся в нем материалы, чтобы взломать пароль? отправьте 2 письма, я думаю. если только он не начнет связывать отдельные электронные письма.

Было бы забавно, если бы сканирование содержало ошибки и каким-то образом сохранило расшифрованные данные или пароль, и это утекло.

в любом случае.. почему метод шифрования имеет какое-либо значение, если пароль находится в электронном письме, а ms использует содержимое электронного письма, чтобы угадать пароль? это по сути брутфорс, нет?

Нажмите, чтобы развернуть...
OTP не является паролем почтового индекса. Очевидно, MS использует пароль zip, потому что злоумышленники, как правило, делают это. Люди редко отправляют файлы с OTP, и, конечно же, злоумышленники не будут рассылать людям спам «эй, просто выполните XOR этих двух файлов!» в ближайшее время. Таким образом, у MS нет причин пытаться деобфусцировать файлы OTP.

Очевидно, они мог сделайте это, но MS не пытается разрушить связь между исследователями безопасности, они пытаются разрушить связь между злоумышленниками и обычными людьми. Последние ограничены теми вещами, которые обычные люди хотят/могут делать, и «ввод пароля zip», по-видимому, находится в этой области.

Честно говоря, чувак мог бы просто закодировать двоичные файлы в Base64 и сохранить их в виде сжатого текста. Совершенно безвреден на тот момент. Тривиально раздать другим исследователям и расшифровать.

alansh42 сказал:

Они не хотят размещать незаконные предметы или вредоносное ПО.

Нажмите, чтобы развернуть...
Чтобы действительно серьезно попытаться добиться этого, им, по крайней мере, придется запретить загрузку всего, что они не смогут расшифровать. Я не говорю, что они бы этого не сделали, но именно к этому приводит такая точка зрения. И, кстати, следующим шагом после этого является отслеживание передаваемых данных в общедоступном Интернете. Вы не хотите находиться в этом Интернете.
alansh42 сказал:

Если вы не думаете, что они будут соблюдать свою политику конфиденциальности, или вы хотите чего-то сверх нее (например, не давайте правоохранительным органам, даже если у них есть ордер), вам придется поискать в другом месте.

Нажмите, чтобы развернуть...
Да, без шуток. И каждый клиент большинства крупных облачных сервисов всех видов должен «искать в другом месте», потому что большинство этих сервисов представляют собой опасный небезопасный мусор, которым управляют ненадежные субъекты.

Люди переходят в «облако», потому что думают, что крупномасштабное, централизованное, относительно организованное управление сделает его более надежным, чем делать что-либо самостоятельно. Зачастую это надежнее... пока он намеренно не станет бесполезным, что случается часто.

Люди также переходят в облако, потому что считают, что крупномасштабное, централизованное и относительно организованное администрирование сделает ситуацию более безопасной. Это совершенно неверно, потому что расширение доверия настолько велико, что оно полностью перевешивает все, что когда-либо мог сделать облачный сервис. А когда он ломается, он ломается в больших масштабах.

Сквозное шифрование — это базовая мера безопасности, и отказываться от него глупо, независимо от того, сколько людей этим занимается.

alansh42 сказал:

Многие компании используют O365 для своих личных документов. Если Microsoft нарушает свою политику конфиденциальности, их ждут очень крупные судебные иски.

Нажмите, чтобы развернуть...
Многие люди в этой теме говорят о политике, контрактах и ​​судебных исках.

Ничто из этого не убережет вас от ошибок людей, их общей некомпетентности и непонимания собственных машин или откровенно злонамеренных субъектов. И «злоумышленники» здесь не означают некую абстрактную сущность под названием «Майкрософт»; это означает, что любой живой, дышащий человек занимает доверенное положение в Microsoft или в одном из поставщиков услуг Microsoft. Между прочим, это включает в себя как намеренное доверие, так и случайное доверие. Всегда есть какое-то случайное доверие.

Угроза подать в суд на людей может быть своего рода сдерживающим фактором для совершения действительно сумасшедших поступков, но она не всегда эффективна. И на самом деле Подача иска на людей обычно является очень, очень плохой заменой тому, что вам не приходилось подавать на них в суд с самого начала, потому что вы предотвратили то, что они сделали.

Меня больше всего беспокоит история исследователя, чьи файлы были уничтожены. локально на своей машине.

Что касается файлов, которыми нельзя делиться в Office 365... Ребята, это на самом деле не то, чем являются обычные облачные сервисы, ориентированные на конечного пользователя. для. Разверните экземпляр Nextcloud или что-то в этом роде. И, возможно, не стоит напрямую зависеть от систем Windows для размещения и управления архивами вредоносных программ Windows, пока вы этим занимаетесь ???

Последнее сообщение в блоге

Обзор GeForce RTX 4060: не захватывающая, но сверхэффективная рабочая лошадка за 299 долларов
October 06, 2023

ScifiGeek сказал: У NVIDIA довольно плохая история снижения цен. Они еще не сдвинулись с места ни на одной из карт серии 4000. Нажмите, чтобы разве...

Обзор GeForce RTX 4060: не захватывающая, но сверхэффективная рабочая лошадка за 299 долларов
October 09, 2023

ScifiGeek сказал: У NVIDIA довольно плохая история снижения цен. Они еще не сдвинулись с места ни на одной из карт серии 4000. Нажмите, чтобы разве...

Обзор GeForce RTX 4060: не захватывающая, но сверхэффективная рабочая лошадка за 299 долларов
October 06, 2023

ScifiGeek сказал: У NVIDIA довольно плохая история снижения цен. Они еще не сдвинулись с места ни на одной из карт серии 4000. Нажмите, чтобы разве...