Как Gmail (и не только он) хочет просмотреть ваши данные

Интересный момент наблюдается, когда почтовый сервис хочет внимательно просмотреть ваши файлы-вложения, а у него не получается…

Вы же наверняка осознаёте (после прочтения этой заметки теперь уж точно!), что всё содержимое вашего почтового ящика — тексты входящих, исходящих писем, картинки, документы — совершенно свободно доступно компании, где зарегистрирован ваш e-mail — Google Gmail, Яндекс, Мейл.ру и прочим. Да, это прописано в вашем пользовательском соглашении с почтовым сервисом. И да, эти данные будут переданы в компетентные органы по их первому запросу…

Ведь с точки зрения провайдера почты ваш ящик — та же самая папка на жёстком диске, где структурно разложено всё содержимое писем. И всё это содержимое запросто видно любому сотруднику почтового сервиса, имеющему санкционированный или несанкционированный доступ к этой «папке». Даже когда вы удаляете письмо из «входящих», «отправленных» и потом из «корзины» — ничто не мешает внутренним скриптам почтового провайдера сохранять «удалённое» сколь угодно долго.

Регистрация собственного домена и создание «корпоративной почты» решит эти проблемы? Нет, ведь виртуальный сервер стоит у хостера, и для него ваша «корпоративная почта» — та же, совершенно открытая папка. Купить свой сервер? Ха-ха, он тоже стоит в стойке у провайдера, какая тому разница, с какого жёсткого диска читать!

В мыслях обывателя формируется «метод противодействия» — шифроваться! Но и это не так просто. Вы помните свои основные пароли? От Фейсбука, Вконтакте, Госуслуг, почтовых ящиков? Как, сложные? Есть ли совпадающие — когда одним и тем же паролем, чтоб не забивать голову, вы авторизуетесь в куче мест? У меня для вас плохие новости. Полагаю, что даже архивируя отправляемые вложения (а может, заодно и текст) «бытовыми» архиваторами, вы вряд ли будете выдумывать что-то сверхсложное. Длинный пароль? С цифрами? Со спецсимволами? А вы поинтересуйтесь производительностью нынешних суперкомпьютеров — они готовы «сбрутить» ваш пароль за вполне земное количество времени!

Но это касается уже следственных или мошеннических мероприятий, направленных на обнажение ваших заархивированных данных. А вот второй, неочевидный вопрос: где предел заинтересованности и возможностей «взлома» у почтовой системы? Проведём несложный эксперимент:

Возьмём, к примеру, 4 файла, в сумме «весящих» 10-15 мегабайт: документ Word, файл PDF, фотографию JPEG и видеофайл AVI. Упакуем без пароля в архивы .zip и .rar, соответственно. Без пароля.

И Gmail, и Яндекс-почта и Mail.ru без проблем позволят добавить такой архив вложением к письму.

Усложним задачу. Те же 4 файла запакуем в те же форматы архивов, но с паролем из 8-10 латинских букв (прописных и строчных) и цифр — как рекомендуют при создании паролей те же почтовые системы и соцсети.

Ничего не изменилось — вся «популярная тройка» добавила эти архивы как вложения.

Ещё усложним: помимо прописных и строчных латинских букв, цифр, добавим спецсимволы, доступные на клавиатуре — скобки, значки доллара, процента и т. п. С точки зрения тех же почтовых систем и соцсетей, которые допускают в пароле спецсимволы, это уже суперсильный пароль!

Да без проблем! Вложения легко «приаттачились» к письму и теперь-то мы точно защитили пересылаемое!

Мы даже перестрахуемся! Чтобы «брутить» стало сложнее, мы увеличиваем длину пароля, например, до 64 символов! Теперь-то точно всё спрятано надёжно и секреты атомных бомб можно невозбранно переслать доверенному адресату.

Прилинковываем файлы и расслабляемся? А вот нет! Даже, казалось бы, такой длинный и сложный несловарный пароль не защищает ваши данные нисколько. Это лишь вопрос лишнего часа или дня машинного перебора, в то время как «забывший пароль» хозяин архива будет находиться в изоляторе…

Добавим при архивировании несложную опцию — архивирование имён вложений: теперь при входе в архив никому не будет показан список файлов, находящихся внутри — а ведь это значительная ценность для вскрывающего! Правда, такая опция есть только у rar-архиватора, zip так не умеет. И вот результат: мейл и яндекс без проблем приняли оба архива, а gmail не даёт присоединить архив .rar:

rejected

 

«Справка» Gmail сообщает нам, что почтовая система опасается вирусов в вашем непонятном вложении. А вы всего-то не показали почте, что за файлы собираетесь пересылать…

rejectedhelp

В нашем эксперименте не было ни «исполняемых файлов», ни «подозрительных ссылок», тут всего лишь чуть более сильно зашифрованный архив. И Гуглу это очень не нравится. Вы, с его точки зрения, слишком сильно печётесь о приватности. Зачем же так?

Как гласит политика Gmail в отношении вложений к письмам, «…Чтобы предотвратить распространение вирусов, в Gmail запрещено пересылать файлы определенного типа, а именно: файлы из списка запрещенных, включая сжатые (например, GZ или BZ2) и помещенные в архив (например, ZIP или TGZ); документы с вредоносными макросами; архивы, содержащие архивы и защищенные паролем…»

Наше вложение не подпадает под эти определения, в частности, в архиве нет архива, просто не обладая частью важной информации, полезной в дешифровке, корпорации проще совсем не дать вам возможности «закрыться» от неё, чем устраивать себе же сложности в аннулировании вашей приватности.

Обмануть систему, переименовав «спорный» файл, например, во что-то с расширением .pdf, не получится. Gmail настойчиво хочет ознакомиться с содержимым, анализирует сигнатуру вложения, видит, что это не PDF и всё равно отказывает:

rejectedpdf

Хотя, на самом деле, обмануть почтовую систему похожим образом всё-таки можно, хотя и несколько сложнее. Но это не рассматривается в рамках этой заметки. Кстати, если кто-то думает, что написав «самодельный» архиватор, он решит все проблемы — нет. Наоборот, такая деятельность идёт в конфликт с законодательством, как минимум, России: создание и использование средств шифрования, не сертифицированных госслужбами (вы же не рассказали им, как взламывать такие ваши архивы, и принципы работы архиватора), преследуется по закону. КоАП РФ Статья 13.12. Нарушение правил защиты информации. Ну и, по-видимому, паяльник в одном месте создателя/эксплуатанта таковых средств, до полного раскрытия принципов действия и выдачи паролей органам…

Напоследок, говоря о легальных средствах шифрования и методах усиления архива, можно отметить, что словарь парольной базы, сформированный из символов Unicode (а их там 65535…), длинное парольное слово и шифрование имён файлов в RAR могут свести усилия подборщиков пароля (и корпорации Google) по перебору практически к нулю. Что, в прочем, не исключает пресловутого «фактора паяльника».

Берегите себя, свои данные и свои нервы.

Как спамеры и мошенники актуализируют свои базы

Спамеру, либо мошеннику надо не только обмануть вас или «впарить» что-то ненужное. Им важен ещё и высокий КПД своей деятельности. В мире, где антиспам-алгоритмы стремительно совершенствуются, шансов на то, что вредоносное письмо дойдёт до получателя, всё меньше и меньше. И в ход идёт социальная инженерия…

Самописные парсеры веб-страниц регулярно собирают для рассыльщиков тысячи e-mail адресов, но часть почтовых ящиков «хостится» на хороших сервисах, которые заботливо не пропускают всякую дрянь извне, а владельцы многих адресов просто не реагируют на спам, и лишь регулярно чистят соответствующую папку. Как же спамеру понять, сколько из его миллионов разосланных писем дошло до адресатов? Он просит сообщить вас ему об этом самостоятельно!

Вот один из примеров:

«…Здравствуйте. Интересует настройка и ведение контекстной рекламы?
Если нет, напишите: «ОТПИСАТЬСЯ» в теме сообщения.

Если интересует, передайте пожалуйста данное предложение владельцу сайта…»

Как вы думаете, что сделает спамер, получив от вас ответ с темой «отписаться»? Примет к сведению ваше пожелание и поставит галочку «не беспокоить»?

Ага, и к сведению примет, и галочку поставит, но только в графе «Это живой e-mail, сюда доходят мои спам-рассылки, да ещё и хозяин ящика их читает и реагирует!» Возможно, сам не осознавая того, пользователь, откликаясь на такую провокацию, позволяет мошенникам создавать базы валидных адресов е-мейлов, которые не только прочитываются, но и хозяин, при правильной постановке вопроса (а это уже дело техники и всё той же пресловутой социнженерии), может среагировать на содержимое!

Надо думать, что после акта «отписки» в такой ящик повалится ещё больше спама, с более изощрённым и навязчивым содержанием. Более того, отвечая на письмо, попавшее под категорию «спам» (а роботы почтовых систем ведут статистику, сколько писем с похожим содержимым отвергнуты читателями, сколько удалено, и на сколько отвечено, и на основании этого формируют фильтры для подобных рассылок), пользователь невольно «обеляет» адрес отправителя, показывая почтовому роботу своей системы, что он вступает в переписку с теми, кого надо было бы безжалостно отфильтровать. И шансы спамеров на успешное прохождение их шлака сквозь интеллектуальные барьеры многократно возрастают…

Иногда предложение «отписаться» выглядит как приглашение перейти по какой-то ссылке внутри текста письма. Это, пожалуй, не лучший выбор. Мало того, что вы попадаете на веб-страницу с неизвестным кодом, который может прямо на старте подсадить вам вирусное ПО, так и вместо перехода на «страницу отписки» вас может ждать встроенный прямо в письмо исполняемый скрипт, генерирующий всплывающее окно с призывающим текстом вроде «для отписки нажмите «Ок». Что вы на самом деле подтвердите нажатием «Ок» — известно только создателю скрипта…

Так что не стоит поддаваться на провокации. Увидели спам в папке «спам» — смело удаляйте! Увидели спам, случайно попавший во входящие — не поленитесь отметить как спам — так вы поможете фильтрационным алгоритмам. А переходить никуда не надо.

Берегите себя, ваши данные и нервы.

«Мегафон» (и не только) подкладывает свинью

Тема данного вопроса больше затрагивает разработчиков сайтов, чем пользователей, хотя свою долю неприятных ощущений получит каждый.

Совершенно случайно недавно заметил, пока тестировал один из сайтов на этапе разработки, что при просмотре с мобильных устройств или даже на стационарном компьютере либо ноутбуке, подключенном к интернету через раздачу wi-fi от мобильного устройства, в текст и дизайн тестируемого сайта вклиниваются какие-то «левые» рекламные объявления с непонятным содержанием. При этом, в коде сайта априори не было ничего, что вызывало бы трансляцию рекламы. Несложный анализ довольно быстро показал, что виновником «лишнего» оказался оператор связи «Мегафон».

«На лету», пока страница подгружается с сервера в браузер пользователя, «Мегафон» совершает что-то вроде MITM-атаки, внедряя в текст страницы собственный код, содержащий вызов рекламных блоков каких-то рекламодателей, которые за подобный показ оплачивают в кассу сотового оператора. Опрос других разработчиков показал, что и «Билайн» и «Теле2″ в своё время грешили тем же самым.

С одной стороны, проблема лечится довольно просто — на сайт надо установить любой сертификат SSL — достаточно даже бесплатного от Let’s Encrypt, которым можно автоматически разжиться почти у каждого хостинг-провайдера. С другой стороны, удивляет крохоборство «Мегафона», гадящего себе в карму подобными выходками. Да, разумеется, в договоре владельца сим-карты есть пункт, согласно которому оператор связи оставляет за собой право показывать на мобильных устройствах подобную рекламу. Но это ни в какие ворота не лезет…

Если бы дело ограничивалось только рекламными модулями, иногда грубо разрывающими своим присутствием смысловую нагрузку запрограммированного контента, то можно было б просто устно отнести «Мегафон» к ярким представителям сексуальных меньшинств с низкой социальной ответственностью. Хотя, если пользователь не осведомлён о том, что всплывшая реклама к хозяину сайта не имеет отношения, то машинально и его отнесёт в ту же категорию. Проблема ещё и в том, что помимо «просто рекламы» ничего не подозревающему пользователю могут навязываться завуалированные предложения, случайный «клик» на который повлечёт за собой, например, инициацию платной подписки на никому не нужный «мобильный антивирус» или «замену гудка» и т. п. И вот тут, из-за незнания истинной ситуации, юзер, по его мнению, совершенно справедливо будет предъявлять претензии владельцу сайта «с дыркой».
— Платную подписку на чьём сайте «подцепил»? На твоём! Отвечай!

Конечно, где-то в недрах настроек «Мегафона» наверняка есть та самая заветная опция отключения навязчивого спама, для активации которой, конечно же, надо приходить в офис и писать заявления, но кто про неё знает… Поэтому владельцам сайтов, хотели они того, или не хотели, надо принудительно переходить на использование SSL.

Кстати, «гадить» подобным образом в реальности может не только ваш сотовый провайдер, а любой бесплатный (и платный, тоже) хотспот wi-fi, к которым вы так любите подключаться в общественных местах. MITM-атаки как раз и основаны на незащищённости http-соединения, позволяя как внедрять в просматриваемую вами страницу практически любой, в том числе, исполняемый, код, так и считывать вводимую вами в телефоне информацию — фрагменты переписки, пароли, личные данные…

Так что, пользователи — соблюдайте гигиену связи, а сайтостроители — все переходим на SSL! Берегите себя, свои данные, и свои нервы.

Старый способ заражения через e-mail развивается

Всё, как и раньше, основано на методах социальной инженерии: вам приходит письмо от «подрядчика/адвоката/соискателя вакансии/потенциального работодателя/непонятной организации» с темой «договор/акт сверки/счёт-фактура/досудебная претензия/исковое заявление/резюме/анкета для заполнения» и во вложении файл .pdf, .doc, zip-архив или ссылка на какой-то файл в интернете, при этом данный адресат вам ранее не писал.

письмо с вирусом письмо с вирусом письмо с вирусом

Это первые признаки мошеннического письма, направленного либо для внедрения на ваш компьютер/телефон вируса, либо для похищения ваших персональных данных (призыв заполнить достаточно подробную анкету с личными данными. Метод рассчитан на тех, кто из любопытства откроет/скачает вложение или перейдёт по ссылке и что-то заполнит.

Основные признаки вредоносного послания — явное смысловое несовпадение отображаемого имени отправителя и его почтового ящика (например отправитель «Иван Петров» или «Банк ВТБ», а ящик типа 7tdigogy@v0m6w1hn.net) и/или вложение в виде архива занимает буквально несколько килобайт, и/или ссылка на какой-либо файл ведёт на совершенно неосмысленное имя архива и сайта). Выявить сопоставление имени и e-mail отправителя в первом чтении несложно — достаточно нажать на подробное отображение данных отправителя в шапке письма (хотя изощрённые злоумышленники могут запросто подделать и эту информацию). Обычно для рассылки таких писем хакеры массово регистрируют доменные имена из букв и цифр, выстроенных в произвольном бессмысленном порядке в дешёвых доменных зонах — .cc, .net, .ws и прочих подобных.

Второй признак — архивирование вложений. Большинство почтовых систем давно позволяют добавлять к письму файлы размером от 10 до 25 мегабайт безо всяких проблем, а всё что превышает эти размеры — автоматически подгружается в виде ссылки на соответствующее почтовому сервису облако. К тому же, архивировать фотографии, звуковые файлы и файлы pdf в большинстве случаев бессмысленно — они и так обычно оптимизированы по максимуму.

Третий признак — получение от ранее неизвестного отправителя. Вряд ли кто-то не знакомый с вами или вашей компанией будет неожиданно присылать вам фотографии, договора, акты сверки или претензии. К тому же, большинство подобных писем не содержит никакой разъясняющей информации — обычно пара строк шаблонного текста «направляем вам договор» и простая подпись в виде имени и фамилии, зачастую не совпадающих с теми, что указаны в шапке письма. Ни контактного телефона, ни обратного почтового адреса там не будет. Хотя никто не гарантирует, что развивая индустрию внедрения вредоносного ПО, злоумышленники не будут вставлять в подобные письма платные номера телефонов, при звонке на которые у вас спишутся деньги, или не научатся автоматизированно отвечать на встречные запросы.

Ещё один признак «неправильного» письма — содержание в теме отметок «ответа» или «перенаправления» — Re: и Fwd: — это подразумевает, в первом случае, что отправитель отвечает на отправленное вами ранее ему сообщение (а вы, очевидно, ничего не отправляли) или переадресовывает вам чьё-то написанное ранее письмо (о чём в теле письма тоже, по логике, должны быть какие-то упоминания).

Так что, если вы не ждёте от незнакомцев письма с вышеупомянутым содержанием, лучше сразу отправить их в корзину. Кстати, почта gmail от google сразу отбраковывает большинство таких писем, даже не загружая их в спам.

gmail не пропускает часть таких писем

Пользователи, случайно открывшие такое письмо на платформе iOS — с айфона или айпада, — защищены от заражения самой закрытостью платформы от Apple, потому что на невзломанный (без установленного jailbreak) айфон невозможно установить вредонос извне, а вот открытые платформы Android и Windows под угрозой. Так что, берегите себя!

Таблица всех символов Unicode

Вы наверняка замечали, что иногда в веб-страницах используются нестандартные символы, характерные для того или иного алфавита. Я столкнулся с проблемой, когда верстал страничку на чешском языке. Если для немецких и французских букв есть стандартные коды умляутов и цедил, то для чешских символов «с крышечками» таких описаний нет. Я начал думать, как вывести такие буквы на экран, и смотреть примеры в других html-страницах. Оказывается в исконно чешских страницах верстальщик прямо в тексте кода пишет эти буквы, видимо ему позволяет раскладка клавиатуры и поддержка соответствующей кодовой страницы. Если скопировать такую букву из исходника и вставить, например, в блокнот, то символ разобъётся на два: основную букву и диакритический знак. Этот вариант, естественно, не подходит. Остается подбор символа вручную. На страницах Википедии, содержащих кучу разных символов различных алфавитов, я нашел некоторые коды, а остальное добил вручную. Ну и решил не останавливаться, мало ли какие символы еще понадобятся.

Как пользоваться таблицей

Выбираете необходимый вам символ, берете код справа от него, и вставляете в веб-страницу конструкцию типа &#КОД; , где КОД — цифровое обозначение символа.

Например, для того, чтобы отобразить символ йены ¥ вам надо в html-код страницы вставить конструкцию ¥

Сколько же здесь символов

Стандарт Юникод (Unicode) предусматривает отображение 65535 различных символов. Символы сгруппированы по языковым наборам: Базовые символы ASCII — Латинские — Греческие — Кириллические — Индийские — Тайские — Символы пунктуации — Кана — Корейские — Резервная область. Код символа принимается как в десятичном виде (этот метод я использую в таблице) так и в шестнадцатиричном — формата 0хXXXX. Обратите внимание, что не все шрифты поддерживают отображение всех символов Unicode. Шрифт, включающий в себя максимальное количество знаков — Arial Unicode MS, поставляется в комплекте с MS Office XP/2000. Именно в этой и следующих таблицах применяется шрифт Arial, если переключить на Times, то во-первых, изменится отрисовка символов, многие будут выглядеть гораздо симпатичнее, а во-вторых, часть символов станет неотображаемой, то есть будет представлена в виде квадратиков.

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66