Vlákno názorů k článku Postřehy z bezpečnosti: velké zneužívání malé zranitelnosti od Wasper - Kdyby mě někdo před čtvrt stoletím majznul šutrem...

Kdyby mě někdo před čtvrt stoletím majznul šutrem po hlavě a já se teď probudil z kómatu, a zřízenec by mi říkal, že pořád wokna v mailu pouštěj LNK, takže se to musí blokovat na gatewayi a užovky se musí školit aby na to neklikaly, tak si budu myslet, ze se dočísta zbláznil...

Jako že Linux, Mac OS, nebo android neumí z mailu stáhnout a spustit spustitelnou přílohu, bash script, .desktop soubor? Wokna to dávno označujou za stažené z internetu, což je obdoba toho, že na linuxu musím udělat chmod +x ... Mentální nedostatečností trpí vždy uživatel, nikoli kterýkoli OS.

Nevšiml jsem si, že by v Outlooku člověk musel pustit něco jako <i>streams.exe -d c:\users\uzov­ka\AppData\Lo­cal\Temp\tempo­rarymail2834778432­468151978259123451435834­63426.lnk</i>

A ano, už snad v době staré BSky se mluvilo o nutnosti whitelistace při předání jako parametr (spuštění vůbec), nikoli o tom, že dáme nekvalifikovanému uživateli hlášku (naprosto stejnou jako těch dalších deset, které musí každou hodinu odklikávat kvůli něčemu jinému) a všechno hodíme na něj.

srov. s jinými odvětvími. Pila musí být vybavena chráničem a dělňas rukavicemi, nikoli pravidelným školením "nestrkejte prsty do pily".

Offtopic: Cirkulárka a rukavice se rádi přitahují. Na prst zkrácený pilou po zachycení rukavice nebyl pěkný pohled. Bez rukavic by stačilo ucuknout a pila by pravděpodobně jenom škrábla.... S rukavicí je to naprostá tutovka.

Standardně se rukavice k točivým strojům zakazují.

Protože dodnes Windows by default skrývá přípony.

24. 3. 2025, 09:09 editováno autorem komentáře

To jsem chtěl zrovna říct, že defaultní skrývání přípon ve Windows je jedna z nejstarších a permanentně neřešených bezpečnostních děr v tomhle OS. MS otravuje v rámci bezpečnosti uživatele se spoustou jiných pitomostí, ale tohle ausgerechnet ne a ne vyřešit. Prostě defaultně zobrazit a nazdar. Uživatel musí vědět, který soubor je k čemu dobrý a jaké je jeho celé jméno, tím spíš dneska, když drtivá většina aktivně zneužívaných bezpečnostních děr sedí mezi klávesnicí a židlí.

Ale vypadá to přece hezky :-)

skrývanie prípon mi lezie na nervy a vypínam ho, ale je ilúzia myslieť si, že bežný používateľ si prezerá inštalačné adresáre a vie, čo znamená prípona exe. Alebo že si kontroluje parametre v LNK súboroch. On si spustí inštalátor a potom kliká na ikonu, ktorá sa vytvorí v start menu. Skrytá prípona ho chráni pred tým, že si ju pri premenovávaní súboru zmení a potom mu ten dokument nepôjde otvoriť kliknutím

Mimochodem jsem si teď testem ověřil, že Windows skrývá příponu .lnk i v případě, že máte přípony zobrazované. A ikonu jde nastavit do nějaké knihovny ikon v systémové DLL.

Vždy si vzpomenu na zážitek starší více než 30 let. Počítačový kroužek. Kamarád poslechl instrukce, spustil program... a na PC naběhla hra. No a druhý kamarád ihned reagoval památnou větou "Ty vole co jsi to spustil? Měli jsme spustit golden.exe!"

A ty si myslis, ze jakejkoli user bude resit, jakou to ma priponu? lol ...

Pernamentni problem widli je ten, ze na cokoli kliknes, tak misto aby zavolali akci open, zavolaji exec.

A bonus ... nedavno sem na to narazil, lol ... (urcite ve win 11) pridali "alias" = v registrech je napsano, ze (treba) kdyz chces spustit notepad.exe ... nespusti se tohle, ale neco uplne jinyho.

Raceji si to vsichni testnout ... pusti se "novy notepad" (ten puvodni tam stale je) vybaveny samozrejme smirovanim a odesilanim dat do cmoudu.

Jinak receno, staci to prepsat na neco vlastniho ... a voiala.

alias pro aplikace existuje dlouho, ve windows xp určitě, možná je to i starší ... je to něco jako alternativa za nutnost aktualizovat systémovou variable PATH ... protože PATH mívala ve starších systémech limit na celkovou délku ...

No vidis ... emaily obsahujici (mimo jine) lnk rovnou ma vsech serverech mazu, stejne jako ty, co obsahuji iso atd. Jenze to samo o sobe je stejne naprd, protoze spustit se da i jpg.

Na svém služebním počítači mažu z plochy *.lnk soubory - automatem každých pět minut, protože co čtvrt hodiny mi je tam firemní politika vrací.
Tedy: ne, že bych se bál, že mi admini podhodí nějakou vyloženě škodlivou aplikaci, ale už se mi mockrát stalo, že jsem klikl na desktop a náhodným stiskem [Enter] aktivoval prohlížeč interních předpisů nebo animovaný návod, jak požádat helpdesk o pomoc.
Desktop má prostě být (pokud možno) prázdný, toleruji dočasně krátkodobě odložené soubory!

Chci te jako uzivatele ... nejmin tak v tisicovce kopii ...

Ti mi cpou na desktop data ... coz ve widlich vede k tomu, ze login trva klidne hodinu i dyl, protoze dokud se desktop nesyncne, usera to neprihlasi. A nekteri jsou schopni tam mit klidne i desitky GB.

tak ten desktop nesynchronizuj ale přesměruj na síťovou složku ...