четверг, 29 мая 2008 г.

Vista UAC: почему не выключать.

Да-да, я все же решил наступить на любимую мозоль IT сообщества. Такого количества нареканий не вызывала на моей памяти ни одна особенность ОС. Эпитеты даются от "великолепный" "ублюдочный" до "выключить его к чертовой бабушке". Самое проблематичное, что объяснить, как это работает, и каким образом Вас защищает без погружения в пучины океана сложные для любого непрограммиста рассуждения почти невозможно. Зато "неудобства" видны сразу, потому что как только мы пытаемся запустить приложение, которое написано без учета UAC, устаревшее приложение, некачественно написанное приложение или произвести административное действие - вот оно - UAC тут как тут. Однако сегодня можно привести понятный всем пример. Хотя и не удержусь, чтобы не проехаться по "неудобствам"

Если говорить о программах, то здесь все ясно - на самом деле нужно обращаться в поддержку программы и требовать версию, которая поддерживает UAC. В некоторых случаях, конечно, придется терпеть, потому что замены нет и не будет. Но таких случаев не так чтобы много.

Что касается административных действий... Я, как системный администратор даже не работе не так часто встречаюсь с необходимостью оных. Несколько инструментов у меня запущены весь день, остальные запускаются не так чтобы часто. Потому мне лично UAC просто помогает: нет необходимости производить дополнительные манипуляции, чтобы запустить нужные утилиты под учетной записью администратора (да-да, я работаю под обычным пользователем) - да здравствует легко и удобно применяемый принцип наименьших привилегий!!! =)

Однако вернемся, наконец, к тому, с чего я начал: сегодня мы можем показать наглядно, как нас может защитить UAC. Собственно, мне даже показывать ничего не придется, достаточно привести ссылку на статью в PCWorld, которая описывает результаты некоего теста, проведенного вполне уважаемой организацией - AVTest.org.  В этом тесте вполне очевидно проявила себя состоятельность UAC (несмотря на то, что цель теста была совершенно иной - испытание anti rootkit средств). Мало того, что встать на Vista смогли только 6 руткитов из 30 (что, само по себе ни о чем не говорит - ну не выпустили пока достаточного количества руткитов для Vista - еще успеют), так эти шесть вредоносных комплексов еще и смогли быть установленными на Vista только после выключения UAC. Отсюда вывод - выключите UAC - снизите защиту. Думаю, что хоть теперь это достаточно очевидно =)

Если же кто-то заинтересуется непосредственно тем, которое из антизловредных программ лучше вправляется с руткитами - добро пожаловать для прочтения самого отчета.

вторник, 27 мая 2008 г.

О "подарочном наборе граблей" и снова фишеры.

Мы с Владимиром Безмалым (надеюсь, он простит мне это "мы" ;) ) за пару дней выпустили несколько сообщений о фишинге и иже с ним. А сегодня, как назло, пришло мне еще одно письмо. Нет, прислали его не фишеры, прислал его регистратор российской зоны компания Ru-Center. В этом письме говорится о том, что, возможно (на самом деле я почти уверен, что не "возможно", а "наверняка"), в конце июня этого года будет одобрено введение IDN. Вкратце, IDN это то, что позволит делать сайты с русскими именами. Скажем, ввв.коматозо.ру. Лично я, как представитель поколения (и это в моем-то нежном возрасте! =) ), которое еще помнит, почему русские кодировки = "подарочный набор граблей", не совсем легко отношусь к этому новшеству. Впрочем, прогресс не остановить, да и это больше бухтение из области религии. В любом случае рано или поздно русским кодировкам в доменных именах - быть! Однако без проблем не обойдется, как без чисто технических, так и без социальных, правовых и т.д.

И вот в этом сообщении я бы хотел сказать об аспекте безопасности. Конкретно, о новом просторе для деятельности фишеров. Например, предположим, что можно будет вводить смешанный URL. То есть URL на базе как латинских символов, так и русских. Скажите мне тогда на милость, отличаются ли URL'ы www.microsoft.com & www.micrоsоft.cоm ??? Внешне - ничем. При подведении курсора к линку в любой программе тоже ничем отличаться не будут. А линки абсолютно разные. Я думаю, излишне говорить, какой простор откроет этопо началу фишерам. Потом, конечно, появятся поправки во всяком антифишерском софте, но поначалу...

Второй вариант обмана... В русском языке зачастую можно использовать несколько вариантов написания одного и того же англоязычного названия. Например, микрософт или майкрософт. Какой из них нужно выбрать пользователю? Это так же дает некий шанс обмана, хотя и меньший.

Есть еще один повод быть осторожнее. Впрочем, осторожность не мешала, насколько я знаю, никому.

понедельник, 26 мая 2008 г.

Вопрос из комментариев: что такое MCP Club и с чем его едят.

Собственно, вопрос звучал, "где можно узнать про MCP клуб поподробнее" (задано здесь), но почему бы не ответить более подробно? =)

Сначала было Слово. Ну, это чисто теоретически. Потом много чего случилось, что нас и заинтересовало бы, но только не в свете заданного вопроса, поэтому мы плавно перейдем к тому, что некоторое время назад в Misrosoft Rus была создана группа, сотрудники которой носят трудновыговариваемое и совсем непереводимое название: IT Pro Audience Marketing Manager Online Community Collaboration и, возможно, даже еще хуже. =) Эти господа и дамы развернули кипучую деятельность по налаживанию взаимодействия... Что-то меня опять в сторону Большого Взрыва потянуло... Короче, где-то год назад, а чтобы быть точнее 2 марта 2007 года в Нижнем Новгороде было проведено первое заседание клуба, темой которого были: MCP Club как таковой, а так же "Средства развертывания Windows Vista" и "Некоторые технологии обеспечения безопасности в Windows Vista".

Потом были Клубы во множестве городов (и этих городов уже 17!!!), и сейчас это уже вполне массовое явление, не взирая на относительную малочисленность посетителей =)

Теперь несколько более подробно о самих Клубах. Организационно это встречи по интересам для обладателей статуса MCP. То есть попасть туда так же просто, как сдать экзамен по Windows XP или Vista (это действительно несложно ;) ). На этих встречах просто выступает кто-то, желающий выступить. Тот, кому есть чем поделиться (ну или он (я?=) ) так думает) с аудиторией. А аудитория слушает, спрашивает и швыряет тухлые помидоры апплодирует. Как правило (хотя и не всегда) докладчики не являются сотрудниками компании MSFT, что, впрочем, совершенно не делает доклады неинтересными. Скорее наоборот - докладчики не скованы внутрикорпоративными правилами, потому вполне свободно рассуждают не только о достоинствах софта, но и о его недостатках. Кстати, мы ищем докладчиков: если Вам есть что рассказать - добро пожаловать.

Бывают и нетехнические встречи, как, например, последняя, посвященная вопросам карьеры. Вкратце это, собственно, все, что можно сказать о Клубах. Более подробную информацию можно получать в других местах.

Официальная страница Клубов

Блог основного куратора Клубов со стороны MSFT

Объявления о будущих встречах и обзоры прошедших бывают как на первом ресурсе, так и на форумах TechNet в разделе "Объявления" и более централизованно в блоге Антона Белоусова. Если есть вопросы - всегда пожалуйста =)

пятница, 23 мая 2008 г.

Фишинг в картинках

Собственно, я уже очень давно не получал фишинговых писем. В основном благодаря хорошему спам фильтру моего ящика, конечно, и нераспространенности моего рабочего адреса. Однако сегодня я оказался счастливым получателем такого:

image Теперь, я на собственном примере расскажу, как я определил, что этот фишерское письмо.

1) Я не являюсь клиентом никакого Colonial Bank.

2) В письме нет ни обращения по имени, ни обращения вообще.

3) При наведении на ссылку в письме появляется вот такое окошко (использовался MS Outlook):

image

4) При нажатии на ссылку появляется сайт с линком в адресной строке, который совсем не соответствует ожидаемому мной:

connect.colonialbank.c1b8r02whf495lx957xq.secureserv.onlineupdatemirror99920515.colonial.certificaterenewal.05.23.2008.nbmbeff.com

5) Открыв страничку, я увидел вот такое (кликабельно):

image

Собственно, ничего удручающего, однако, когда я попытался закачать "сертификат", то я увидел следующее:

image

Сертификат, упакованный в exe??? Что за бред? Кому это надо?

6) Ну и наконец, попробовав-таки его сохранить (первый фишер за столько лет ;))) ) я получил вот такое окошко:

image

Комментарии, как говорится, излишни. И, разумеется, ссылка в п.4 вполне закономерно ведет именно на сайт этого трижды неладного Colobial Bank. Чтобы Вы ввели туда свои учетные данные, а Ваш свежескачанный троян их отдал "куда надо" "Куда не надо".

Выводы:

1) Не все то Банк, что просит Вас что-то сделать от имени Банка.

2) Не все то нужно сразу тыкать, что просят.

3) Длинный и сложный URL - плохой URL.

4) Если Ваш Банк просит Вас скачать exe файл, то или это не Ваш Банк, или имеет смысл подумать о том, чтобы перевести Ваш банк в разряд не Ваших

5) Не отключайте антивирус. И обновляйте его регулярно

6) Просто будьте осторожны =)