В блогах одной фрилансерской биржи чуть ли не ежедневно пишут о том, как очередному фрилансеру прислали «вирус» — в смысле, трояна для увода электронных денег или что-то вроде того. И действительно, иногда таки рассылают зловредов (сам на днях получил архив с подозрительным исполняемым файлом).
Некоторые тамошние фрилансеры теперь настолько перестраховываются, что не открывают даже простые текстовые файлы (с расширением .txt), как будто уже вообще никому и ничему нельзя верить... Я правильно понял, что это паранойя овладела неокрепшими умами? Или это я дурак, что еще не сделался полноценным параноиком и не шарахаюсь от всякого-разного...
Не может ли кто-нибудь из специалистов прояснить ситуацию? (Потом размещу там в блогах ссылку на эту ветку, авось кому-то пригодится.)
Если что, извиняюсь за ламерский вопрос, и заранее спасибо.
Re: Могут ли представлять опасность текстовые файлы?
Здравствуйте, Lazytech, Вы писали:
L>Не может ли кто-нибудь из специалистов прояснить ситуацию? (Потом размещу там в блогах ссылку на эту ветку, авось кому-то пригодится.)
Постараюсь.
Надо понимать, что одним из путей проникновения вредоносного кода на рабочие станции является эксплуатация уязвимостей прикладного ПО, которые, как правило, эксплуатируются путем специально созданных входных данных (файлов, сетевых пакетов и т.п.). Т.е., если находят дыру в каком-нибудь Notepad.exe (а прецеденты, кстати, известны), то открытие зловредного txt файла может привести к печальным последствиям. Правда дыры в том же Notepad'е, мягко говоря, не каждый день находят — чем примитивнее программа, тем меньше потенциальных мест для ошибок.
Но есть еще и другая проблема — "особенности" графической оболочки. Например, в свое время можно было послать по почте файл "XXX-photo-prosto-super.jpg .exe" — в почтовом клиенте было невозможно увидеть, что это на самом деле не картинка, а exe файл. Дальше понятно.
Или другой пример — когда-то кто-то (вроде MS отличился) решил открывать почтовые вложения руководствуясь не расширением, а прописанным в заголовках письма типом MIME. Только проблема в том, что клиент расширение тебе показывает всегда (либо соответствующий значок файла), а чтобы увидеть, что там прописано в MIME надо открывать какое-нибудь raw представление письма, непонятное чуть более, чем всем пользователям. Ну и опять получили — присылают файл с именем XXX-photo-prosto-super.jpg, а MIME-type у него application/exe.
Поэтому какой вывод? Очень простой: вероятность эксплуатации чего-то на подобие описанного — есть. Однако, уж наверное все почтовые клиенты текстовые вложения показывают прямо в тебе письма — так что либо ты сразу поймаешь что-то "приятное", либо сразу увидишь, что текстовый файл не такой уж и текстовый.
Re[2]: Могут ли представлять опасность текстовые файлы?
немного уточнений:
DOO>Но есть еще и другая проблема — "особенности" графической оболочки. Например, в свое время можно было послать по почте файл "XXX-photo-prosto-super.jpg .exe" — в почтовом клиенте было невозможно увидеть, что это на самом деле не картинка, а exe файл. Дальше понятно.
Вот именно. Из-за этого теперь на воду дуют и на свечку надевают.
Хотя по-нормальному надо было бы просто перейти на альтернативные почтовые клиенты (тут уже неважно, мыш, громоптица или gmail — все умеют показать суть с полным именем, а не обманку).
DOO>Или другой пример — когда-то кто-то (вроде MS отличился) решил открывать почтовые вложения руководствуясь не расширением, а прописанным в заголовках письма типом MIME.
Во-первых, не расширение, а суффикс. Расширение может быть только одно (и было на FAT), а суффиксов может быть несколько. В случае superpr0n.jpg.exe их два
Во-вторых, это как раз достаточно логично — если по MIME чётко задан тип, лучше соответствовать ему. Проблема возникает тогда, когда при показе ещё и отрезается последний суффикс, тогда из интерфейса нельзя понять, а что же это было, а также когда оно не показывает или невнятно показывает то, что на самом деле оно хочет выполнить программу.
DOO> Только проблема в том, что клиент расширение тебе показывает всегда (либо соответствующий значок файла), а чтобы увидеть, что там прописано в MIME надо открывать какое-нибудь raw представление письма, непонятное чуть более, чем всем пользователям. Ну и опять получили — присылают файл с именем XXX-photo-prosto-super.jpg, а MIME-type у него application/exe.
Вот именно — тут "простота интерфейса" пересиливает безопасность.
DOO>Поэтому какой вывод? Очень простой: вероятность эксплуатации чего-то на подобие описанного — есть. Однако, уж наверное все почтовые клиенты текстовые вложения показывают прямо в тебе письма — так что либо ты сразу поймаешь что-то "приятное", либо сразу увидишь, что текстовый файл не такой уж и текстовый.
Не совсем. Может зависеть от размера вложения и от содержания Content-Disposition (IETF RFC 2183, 2231, 2184) в описании MIME entity. Скажут `Content-Disposition: attachment' — и текстовый не будет показан, или наоборот — кортинко с `Content-Disposition: inline' может быть показана в обычном показе сразу за телом письма. Некоторые при этом могут пытаться ещё и выполнять встроенные типы вроде флэша, хотя это уже диверсия.
The God is real, unless declared integer.
Re[2]: Могут ли представлять опасность текстовые файлы?
Небольшая правочка для наглядности: DOO>Но есть еще и другая проблема — "особенности" графической оболочки. Например, в свое время можно было послать по почте файл
"XXX-photo-prosto-super.jpg .exe"
в почтовом клиенте было невозможно увидеть, что это на самом деле не картинка, а exe файл. Дальше понятно.
Re[2]: Могут ли представлять опасность текстовые файлы?
Здравствуйте, DOOM, Вы писали:
DOO>Т.е., если находят дыру в каком-нибудь Notepad.exe (а прецеденты, кстати, известны), то открытие зловредного txt файла может привести к печальным последствиям. Правда дыры в том же Notepad'е, мягко говоря, не каждый день находят — чем примитивнее программа, тем меньше потенциальных мест для ошибок.
Насколько я понял, настоящие текстовые файлы (действительно имеющие расширение .txt), независимо от их содержимого, реальной опасности всё же не представляют. Или таки могут что-то натворить?
Re[3]: Могут ли представлять опасность текстовые файлы?
Здравствуйте, netch80, Вы писали:
N>немного уточнений:
Чтобы не вдаваться в обсуждение особенностей почтовых клиентов, ситуацию можно упростить: присылают по почте архив, а уже в нем находится текстовый файл. Можно сохранить архив на жесткий диск, а потом открывать текстовый файл (распаковав архив или прямо из него) без опаски?
Re[3]: Могут ли представлять опасность текстовые файлы?
Здравствуйте, Lazytech, Вы писали:
L>Насколько я понял, настоящие текстовые файлы (действительно имеющие расширение .txt), независимо от их содержимого, реальной опасности всё же не представляют. Или таки могут что-то натворить?
Файлы любого формата не могут ничего натворить, поскольку являются лишь способом кодирования той или иной информации. Уязвимыми являются не форматы, а обработчики этих форматов, т.е. приложения в которых ты их открываешь.
Мне неизвестно о сколь-нибудь серьезных уязвимостях в текстовых редакторах, связанных с обработкой plain-text, но это не значит, что таких уязвимостей быть не может.
Здравствуйте, Lazytech, Вы писали:
L>Чтобы не вдаваться в обсуждение особенностей почтовых клиентов, ситуацию можно упростить: присылают по почте архив, а уже в нем находится текстовый файл.
Ничего себе упростил Теперь придется вдаваться в особенности архиваторов Потому что, если в plain-text редакторах (связанные с обработкой формата) мне неизвестны, то в архиваторах их уже чуть побольше: http://secunia.com/advisories/product/890/?task=advisories
Здравствуйте, kochetkov.vladimir, Вы писали:
KV>Мне неизвестно о сколь-нибудь серьезных уязвимостях в текстовых редакторах, связанных с обработкой plain-text, но это не значит, что таких уязвимостей быть не может.
Как ни странно, даже такое бывает. Вот пример: http://www.juniper.net/security/auto/vulnerabilities/vuln41185.html
Re: Могут ли представлять опасность текстовые файлы?
Здравствуйте, Lazytech, Вы писали:
L>Не может ли кто-нибудь из специалистов прояснить ситуацию? (Потом размещу там в блогах ссылку на эту ветку, авось кому-то пригодится.)
Отнюдь не претендуя на звание спеца по безопасности.
Эксплоит (так эта штука называется) может использоваться везде, хоть в текстовых файлах, хоть в avi.
Возможность или невозможности внедрения напрямую зависит от программ, которыми открываются такие файлы.
Злоумышленники используют специальные инструменты, например, фаззинг, чтобы найти последовательность входных данных,
которая сломает исследуемое приложение. Входные данные — те же текстовые, музыкальные и другие файлы, которые
использут популярные программы. При фаззинге эти данные генерируются и варьируются программами-фазерами в большом
количестве и подаются на вход исследуемого приложения. Ненадежно написанная программа с некоторой долей вероятности
рано или поздно "упадет". Дальше злоумышленник, имея на руках исходную комбинацию, отладчик и некоторый опыт,
тщательно исследует внутреннюю причину краха. Его задача — тонко повлиять на ход событий таким образом,
чтобы программа выполнила некий код. Как правило, вредоносный. Для этого определенные байты входной комбинации
изменяются, превращаясь в процессе эксплоита в машинные инструкции (все-таки, любая информация — всего лишь
набор байт, команды процессора тоже). Гуглить "переполнение буфера".
Популярные лазейки для эксплоитов — PDF-файлы, флэш и уязвимости в браузерах.
Защищаться от этого, как я считаю, нужно не параноей по отношению к текстовым документам, архивам, и
остальным безвредным сущностям, а надлежащим образом обезопасив свою систему от самих вторжений.
Например, лазить в интернет не из-под администраторской учетной записи, как это обычно делается, а
создать для этого отдельный пользовательский профиль, сильно ограниченный в правах.
Если программы, запущенные под таким профилем, не будут имеют прав на запись в системные разделы реестра,
не смогут перезаписывать файлы в папках Windows или Program Files и не будут владеть достаточными
привилегиями, то и эксплоиты, само собой, тоже — выполнение вредоносного кода произойдет, но без последствий.
Microsoft выпускает обновления для своих операционок, в которых регулярно закрываются некоторые дыры.
Существует технология DEP (Data Execution Prevent), запрещающая выполнение "данных", хоть от нее пользы немного.
А еще существуют всякие "песочницы", реализуемые антивирусным ПО — советую обратить внимание.
В них большинство потенциально опасных операций виртуализируется и никакой реальной опасности для
"настоящего" компьютера нет. Как в виртуальных машинах.
Закончу, все же, известной поговоркой, что на хитрую ж... найдется болт с резьбой.
P.S.
Все это очень хорошо расписано в книжках и статьях Криса Касперски, и странно, что он еще тут не появился...
Re[4]: Могут ли представлять опасность текстовые файлы?
Здравствуйте, kochetkov.vladimir, Вы писали:
KV>Мне неизвестно о сколь-нибудь серьезных уязвимостях в текстовых редакторах, связанных с обработкой plain-text, но это не значит, что таких уязвимостей быть не может.
Пардон, тогда файлы каких форматов вообще можно открывать без опаски? Только не будем о частных случаях вроде просмотра по F3 в Far Manager и прочих «железобетонных» просмотрщиках — это, как я по-дилетантски догадываюсь, вроде бы упрощает задачу по защите от зловредов.
Re[2]: Могут ли представлять опасность текстовые файлы?
Здравствуйте, Lazytech, Вы писали:
L>Здравствуйте, kochetkov.vladimir, Вы писали:
KV>>Мне неизвестно о сколь-нибудь серьезных уязвимостях в текстовых редакторах, связанных с обработкой plain-text, но это не значит, что таких уязвимостей быть не может.
L>Пардон, тогда файлы каких форматов вообще можно открывать без опаски? Только не будем о частных случаях вроде просмотра по F3 в Far Manager и прочих «железобетонных» просмотрщиках — это, как я по-дилетантски догадываюсь, вроде бы упрощает задачу по защите от зловредов.
Единственный ответ на поставленный вопрос, который гарантировано будет правильным всегда: "ни в каком", т.к. файл по сути является информацией, полученной из недоверенного источника, который (при наличии уязвимостей в обработчике его формата) может быть использован для компроментации системы. Чем проще формат (а следовательно, и код его обработчика), тем менее вероятно появление в нем уязвимостей. Но нулевой эта вероятность вряд ли когда-нибудь станет для любого из них. Именно это и является причиной того, что в PDF нашли зашкаливающее количество уязвимостей, в то время как для plain-text — их единицы. Мы недавно, как раз обсуждали это в КСВ: Существует ли безопасный формат для документов?
Поэтому, как уже сказали выше: лучше не париться по поводу безопасности того или иного формата, а строить защиту своей информации исходя из того, что атака возможна всегда, уделяя вопросам защите от тех или иных обработчиков форматов внимание, прямо пропорциональное их функциональной сложности и объективно оценивая риски, обусловенные возможными успешными атаками.
Здравствуйте, kochetkov.vladimir, Вы писали:
KV>Мне неизвестно о сколь-нибудь серьезных уязвимостях в текстовых редакторах, связанных с обработкой plain-text, но это не значит, что таких уязвимостей быть не может.
Была какая-то прикольная уязвимость в линуксовом less, исполняющая код. И, говорят, был работающий эксплойт log poisoning Apache'а. Админы на серверах лезли смотреть в access_log, а посколько действие выглядело ну совсем уж безопасным, то делали это из-под root'а, — и тут им наступал превед.
Это, правда, быстро нашли, и с тех пор апач тщательно санитайзит свои логи
Курица — это инструмент, с помощью которого одно яйцо производит другие.
Re[6]: Могут ли представлять опасность текстовые файлы?
Здравствуйте, kochetkov.vladimir, Вы писали:
L>>Пардон, тогда файлы каких форматов вообще можно открывать без опаски? Только не будем о частных случаях вроде просмотра по F3 в Far Manager и прочих «железобетонных» просмотрщиках — это, как я по-дилетантски догадываюсь, вроде бы упрощает задачу по защите от зловредов.
KV>Про просмотрщик не знаю, но в фаровском редакторе с установленным плагином раскраски синтаксиса colorer, уже могут быть проблемы: http://sourceforge.net/tracker/?func=detail&aid=2360079&group_id=34855&atid=413324
Да уж... Я-то думал, никто будет не заморачиваться делать эксплоиты под такие программы.
KV>Единственный ответ на поставленный вопрос, который гарантировано будет правильным всегда: "ни в каком", т.к. файл по сути является информацией, полученной из недоверенного источника, который (при наличии уязвимостей в обработчике его формата) может быть использован для компроментации системы. Чем проще формат (а следовательно, и код его обработчика), тем менее вероятно появление в нем уязвимостей. Но нулевой эта вероятность вряд ли когда-нибудь станет для любого из них. Именно это и является причиной того, что в PDF нашли зашкаливающее количество уязвимостей, в то время как для plain-text — их единицы. Мы недавно, как раз обсуждали это в КСВ: Существует ли безопасный формат для документов?
Читал. Правда, не заметил, чтобы там обсуждали уязвимости текстовых файлов, из чего сделал (неверный) вывод, что уж их-то можно считать вполне безопасными.
KV>Поэтому, как уже сказали выше: лучше не париться по поводу безопасности того или иного формата, а строить защиту своей информации исходя из того, что атака возможна всегда, уделяя вопросам защите от тех или иных обработчиков форматов внимание, прямо пропорциональное их функциональной сложности и объективно оценивая риски, обусловенные возможными успешными атаками.
В общем, надо исходить из того, что чувство абсолютной безопасности присуще только полным идиотам, а все здравомыслящие люди должны быть немного параноиками.
Re[4]: Могут ли представлять опасность текстовые файлы?
Здравствуйте, kochetkov.vladimir, Вы писали:
KV>Файлы любого формата не могут ничего натворить, поскольку являются лишь способом кодирования той или иной информации. Уязвимыми являются не форматы, а обработчики этих форматов, т.е. приложения в которых ты их открываешь.
KV>Мне неизвестно о сколь-нибудь серьезных уязвимостях в текстовых редакторах, связанных с обработкой plain-text, но это не значит, что таких уязвимостей быть не может.
DOO>Надо понимать, что одним из путей проникновения вредоносного кода на рабочие станции является эксплуатация уязвимостей прикладного ПО, которые, как правило, эксплуатируются путем специально созданных входных данных (файлов, сетевых пакетов и т.п.). Т.е., если находят дыру в каком-нибудь Notepad.exe (а прецеденты, кстати, известны), то открытие зловредного txt файла может привести к печальным последствиям. Правда дыры в том же Notepad'е, мягко говоря, не каждый день находят — чем примитивнее программа, тем меньше потенциальных мест для ошибок.
не каждый день? а вообще хоть раз находили дырку в notepad чтобы текстом можно было бы что-то сделать?
это из области фантастики.
проще предположить что написанный текст особым образом воздействует на параноидальный мозг фрилансера, он впадет в транс и сам раздаст всем свои пароли/секреты.
DOO>Но есть еще и другая проблема — "особенности" графической оболочки. Например, в свое время можно было послать по почте файл "XXX-photo-prosto-super.jpg .exe" — в почтовом клиенте было невозможно увидеть, что это на самом деле не картинка, а exe файл. Дальше понятно.
если почтовый клиен outlook (express или полный), то он во1ых, показывал несоответствующую иконку (как для exe), во2ых, ставил ... показывая что не все имя влезло.
Re[6]: Могут ли представлять опасность текстовые файлы?
Здравствуйте, kochetkov.vladimir, Вы писали:
KV>Здравствуйте, Lazytech, Вы писали:
L>>Здравствуйте, kochetkov.vladimir, Вы писали:
KV>>>Мне неизвестно о сколь-нибудь серьезных уязвимостях в текстовых редакторах, связанных с обработкой plain-text, но это не значит, что таких уязвимостей быть не может.
L>>Пардон, тогда файлы каких форматов вообще можно открывать без опаски? Только не будем о частных случаях вроде просмотра по F3 в Far Manager и прочих «железобетонных» просмотрщиках — это, как я по-дилетантски догадываюсь, вроде бы упрощает задачу по защите от зловредов.
KV>Про просмотрщик не знаю, но в фаровском редакторе с установленным плагином раскраски синтаксиса colorer, уже могут быть проблемы: http://sourceforge.net/tracker/?func=detail&aid=2360079&group_id=34855&atid=413324
у меня колорер регулярно выбрасывает исключение при просмотре разных текстовых файлов. там просто ужос сколько багов. правда, представить себе сплоит, нацеленный на far+colorer...
KV>Единственный ответ на поставленный вопрос, который гарантировано будет правильным всегда: "ни в каком", т.к. файл по сути является информацией, полученной из недоверенного источника, который (при наличии уязвимостей в обработчике его формата) может быть использован для компроментации системы.
кстати, выяснилась любопытная особенность маков. html переименованный в .txt маки в некоторых случаях распознавали как html и пытались выполнить. тоже самое произошло когда я послал коллеге с маком файл PoC_pdf.txt, представляющий собой сплоит pdf, набранный в "блокноте" и представляющий собой текстовой файл. моей фатальной ошибкой было то, что он начинался с %PDF- и утилита file распознала его как PDF и запустила pdf-просмотрщик. коллега заразился. дальнейшие эксперименты привели к тому, что file не опознает это как PDF, если туда всобачить %%%%%%%%%PDF-, а акробату это по фиг. то есть это уже можно открывать как txt по щелчку и использовать как реальный сплоит после переименования .txt --> .pdf
тоже самое относится и к предварительному просмотру разными программами, которые могут самостоятельно опознавать, например, скрипты. так же в гугле десктопе был баг в индексировании pdf, приводящий к возможности передачи управления на зловредный код и расширение файла не играло никакой роли. это мог быть и .txt -- коллега под вынью с гуглом десктопом открыл plain text в котором приводилось содержимое зловредного pdf. гугл десктоп тут же скомпроментировал систему.
так что к приложениям для _явной_ обработки документов я бы добавил и службы, которые обрабатывают файлы в фоне. ой, да... тут еще вспомнил. Clamav (антивирус) так же имел багу в парсере pdf и пытался найти pdf во всех файлах по сигнатуре %PDF-, которая согласно спеккам может быть и не в начале. самый популярный российский антивирус (не буду называть его имени) так же сканируя файлы может игнорировать расширение и распознавать их по контенту. а потому если в .txt записать скрипт, то антивирус _может_ интерпретировать его как скрипт, задействовав довольно сложный парсер не свободный от ошибок.
> в то время как для plain-text — их единицы.
гм, ну я что-то не помню уязвимость ни одного plain-text редактора. без подсветки синтаксиса. с подсветкой -- txt становится очень сложным форматом, который нужно парсить (а как еще иначе подсвечивать?!), а парсеры всегда источники багов.
KV>Поэтому, как уже сказали выше: лучше не париться по поводу безопасности того или иного формата, а строить защиту своей информации исходя из того, что атака возможна всегда, уделяя вопросам защите от тех или иных обработчиков форматов внимание, прямо пропорциональное их функциональной сложности и объективно оценивая риски, обусловенные возможными успешными атаками.
целиком с вами согласен. дело ведь не в формате. дело в инфраструктуре. есть ли бэкапы? а они актуальные? сколько времени займет восстановление? есть ли у нас системыы обнаружения вторжения, утечки информации... а доступ к информации регламентирован или мы на персональном ноуте держим всю клиентскую базу и этот ноут могут банально увести...
americans fought a war for a freedom. another one to end slavery. so, what do some of them choose to do with their freedom? become slaves.
Re[3]: Могут ли представлять опасность текстовые файлы?
Здравствуйте, vitasR, Вы писали:
R>не каждый день? а вообще хоть раз находили дырку в notepad чтобы текстом можно было бы что-то сделать? R>это из области фантастики. R>проще предположить что написанный текст особым образом воздействует на параноидальный мозг фрилансера, он впадет в транс и сам раздаст всем свои пароли/секреты.
Меня больше всего именно этот вопрос интересует. Если выяснится, что текстовые файлы (пока) можно считать относительно безопасными, то моя обострившаяся паранойя перейдет в стадию ремиссии.
Re[7]: Могут ли представлять опасность текстовые файлы?
Здравствуйте, мыщъх, Вы писали:
М>гм, ну я что-то не помню уязвимость ни одного plain-text редактора. без подсветки синтаксиса. с подсветкой -- txt становится очень сложным форматом, который нужно парсить (а как еще иначе подсвечивать?!), а парсеры всегда источники багов.
Ценное замечание! Теперь буду тексты в старом Akelpad (который без подсветки синтаксиса) просматривать.
Или это я дурак, что еще не сделался полноценным параноиком и не шарахаюсь от всякого-разного... 
Теперь придется вдаваться в особенности архиваторов 
Потому что, если в plain-text редакторах (связанные с обработкой формата) мне неизвестны, то в архиваторах их уже чуть побольше: http://secunia.com/advisories/product/890/?task=advisories
