НовостиСобытияКонференцииФорумыIT@Work
Безопасность:

Блог

Обучение пользователей как решение технических проблем

Владимир Безмалый
18.02.2016 16:55:50

Не так давно я писал о вирусах. Для ПК таким примером может послужить вирус-вымогатель Locky. Для мобильных – вредоносное ПО BOT Mazar.
Казалось бы что может объединять абсолютно различное вредоносное ПО, мало того что для разных операционных систем (Locky – Windows, Bot Mazar – Android), так и для разных аппаратных систем. Более того, Locky относится к классу Ransomware, а BOT Mazar – троян.
А давайте подумаем.
Bot Mazar.
Этот троян никогда не смог бы заразить ваше устройство, если вы сами не сделали следующих действий:
1. Разрешили установку ПО из третьих хранилищ
2. Кликнули по ссылкам в полученных SMS или MMS
3. Забыли установить антивирусное ПО
Итог, вы сами сделали все, чтобы облегчить установку трояна на свой смартфон (планшет). Подчеркиваю. САМИ!!!
Locky.
Наиболее распространенный способ заражения:
1. Вы получаете электронное письмо, содержащее присоединенный документ (Troj/DocDl-BCF) с текстом, похожим на набор символов.
2. Документ советует вам включить макросы, «если кодирование данных неправильное».
3. Если вы включаете макросы, то выполняете код, который сохраняет вредоносное ПО на диск.
4. Сохраненный файл (Troj/Ransom-CGX) служит загрузчиком вредоносного ПО на ваш ПК.
5. Далее производится загрузка вируса-вымогателя Locky (Troj/Ransom-CGW).

Рисунок 1 Вирус Locky
Итак, вы уже увидели сходство? А ведь оно очевидно.
ЕСЛИ БЫ ПОЛЬЗОВАТЕЛЬ БЫЛ ЧУТЬ ВНИМАТЕЛЬНЕЕ ИЛИ ЧУТЬ БОЛЕЕ ОБУЧЕННЫМ, ЗАРАЖЕНИЕ БЫЛО БЫ НЕВОЗМОЖНЫМ!
Потому вынужден повторить еще раз. Учите своих пользователей. Если вы будете надеяться только на технические средства или организационные меры, то заведомо ставите себя в проигрышное положение! Помните об этом.

Комментариев: 9

Только зарегистрированные и авторизованные пользователи могут добавлять комментарии

Donat Lipkovsky
18.02.2016 18:53:48

Попунктно:
1. Письмо получили. Допустим, что Касперский или DrWeb его пропустили (0,1% что пропустит Доктор, у касперского вероятность больше). Вероятномть получения мала.
2. Настройки офисного пакета определяются в Групповых политиках. Там работа с макросами и Active-X. Запреты пользователь менять не может. Документо-ооборот упорядочивается. Если приходит документ, с вышеописанным запросом на включение макроса, он пересылается в ИТ-отдел. И это единственное правило, которое доводится до пользователей. Впрочем, они и так это сделают, ибо банально не смогут вклчить макросы т.е. не смогут обойти ограничения групповых политик. Вероятность начала процесса выолнения деструктивных дейстий- нулевая. Собственно для данного случая всё и заканчивается. Но... продолжим.
3. Сохранили вредоносное ПО на диск - ОК.
4. Сохранённый файл (исполняемый) не запустится по ограничению групповых политик на запусе программ. Запуск разрешён только из конкретных системных областей, куда пользователь, как известно, не имеет прав на запись. И да пользователь работает в системе с минимальными правами. Вероятность продолжения выполнения диструктивных действий - нулевая.
5. Помимо того, что закачка не запустится, на стадии вышеуказанного запрета, она ещё должна блокироваться правилами на исходящие соединения фалов без цифровой подписи доверенных поставщиков, а так же правилами на выход в Интернет определённым приложениям.
В общем долго писать. Все вышеуказанные телодвижения со стороны ИТ-отдела это часть рутинной, но обязательной работы, которая, как правило игнорируется в подаляющем числе организаций. Где-то видел, на страницах данного издания как ответственный за безопасность описывал подобный случай в Билайне, если не ошибаюсь. После инцидента, вместо того, что бы пере...ть всё стадо в ИТ-отделе, он с группой товарищей отправился с проповедями по поьзователям.
В голове был один вопрос - откуда набирают в Билайн таких безопасников. Не иныче, как и эфективных манагеров - по блату.

18.02.2016 18:57:14

Для корпоративных пользователей - может быть. А персональным кто поможет? smile:)

Donat Lipkovsky
18.02.2016 19:18:43

С персональными, без партийно-политической работы полный мрак. Это да. smile:(

18.02.2016 23:28:00

Выскажусь от "персональных", поскольку буквально на днях получил от неизвестного письмо с похожим .doc-вложением.
1. Сначала увидел его в почтовом клиенте на iPad. Вложение для просмотра просто не открылось (естественно, без каких-либо приглашений включить макросы).
2. Потом увидел это же письмо на Windows-десктопе. Вложения в нем вообще не было, но Касперский написал, что он его удалил как "нехорошее" (точных выражений не помню).

Мой вывод: воспитательная работа необходима, но и хорошие технические средства защиты на компьютере пользователя должны быть.

20.02.2016 06:37:54

Отлчиный ответ!
Конечно, обучать пользователей нужно. Это нужно делать в школе.
Правилам "обеспечения безопасности". Как переходит дорогу ("посмотри налево, потом направо", "только на зеленый свет"), как работать на компьютере, как вести себя вне дома ("не общаться с незнакомыми людьми"...)
Но все равно - главное, создание изначально правильный средств.

Конечно, зимой можно развешивать объявления "осторожно сосульки" и объявлять по радио "сегодня - гололед",
Но правильнее - строить дома таким образом, чтобы сосулек просто не было, и заниматься уборкой дорог...

20.02.2016 09:53:33

Вспомнил в связи с этим замечательную книгу Николая Смелякова «Деловая Америка (Записки инженера)», вышедшую аж в 1967 г. и ставшую тогда абсолютным откровением для советской технической и экономической интеллигенции. Там рассказывалось о том, как устроена экономика и бизнес в США, какие технические решения (у нас, к сожалению, никому не известные) там широко используются. Жаль, и автор (он в то время был замминистра внешней торговли) и его книга сегодня незаслуженно забыты: в свое время она сыграла колоссальную роль.

Так вот, там в качестве одного из примеров обеспечения технологической безопасности была приведена конструкция гладильного пресса, применявшегося в прачечных. Поскольку всегда есть риск, что при нажатии кнопки пресса одной рукой он может "припечатать" другую руку, по небрежности не убранную с разглаживаемой простыни, в прессе было две кнопки, расположенные далеко друг от друга. Пресс срабатывал только при одновременном нажатии обеих кнопок, а значит рука ни в каком случае на гладильной поверхности оказаться не могла. Можно было, конечно, оставить одну кнопку и повесить большой транспорант "Береги руки" или проводить раз в месяц тренинги по технике безопасности.

20.02.2016 09:55:37

Ну и чем это противоречит тому что пользователя нужно учить?

20.02.2016 10:59:15

Не противоречит. Просто дополняет.

20.02.2016 10:18:44

Да, книга отличная! Интересная и поучительная.

Только зарегистрированные и авторизованные пользователи могут добавлять комментарии