Editoren und allgemeine Bibliotheken, die von Editoren verwendet werden, können Schwachstellen wie Pufferüberläufe aufweisen. Ihr Angreifer muss wissen (oder raten), welchen Editor Sie verwenden, und einen Exploit speziell für diesen Editor erstellen (es ist unwahrscheinlich, dass verschiedene Editoren dieselben Sicherheitsanfälligkeiten aufweisen, es sei denn, die Sicherheitsanfälligkeit befindet sich in einer Bibliothek, die sie gemeinsam haben). Ein Angriff kann auf einen beliebten Redakteur gerichtet sein und an so viele Personen wie möglich gesendet werden, wodurch er im Wesentlichen zu einem "Spray-n-Pray" -Angriff wird.

Angriffsfläche

Ein sehr einfacher Editor wie Microsoft Notepad hat eine kleinere Angriffsfläche als ein fortgeschrittener Editor (wie Visual Studio Code). Mehr Code bedeutet im Allgemeinen mehr potenzielle Schwachstellen.

Schadensbegrenzungen

Bestimmte Schadensbegrenzungstechniken wie Adressraum-Layout-Randomisierung (ASLR), Datenausführung Prävention und ein Antivirenprogramm mit einem "Exploit-Blocker" (diese können im Allgemeinen unter anderem grundlegende Überlaufangriffe erkennen) können dazu beitragen, bestimmte Angriffe unbrauchbar zu machen.

Software-Updates

Alle diese Techniken sind natürlich kein Ersatz dafür, Ihre Software ( ALLE Ihre Software, die ich hinzufügen könnte) auf dem neuesten Stand zu halten. Die Aktualisierung Ihrer Software ist die beste Sicherheitsstrategie. Dies wird manchmal übersehen oder trivialisiert, da es an Feedback mangelt. Ein Antivirenprogramm, das Sie anschreit: "Sie sind geschützt!" sendet ein viel stärkeres Signal als ein Software-Update, das Schwachstellen im Hintergrund stillschweigend behebt. Ich neige dazu, ein Antivirenprogramm mit einer Person zu vergleichen, die ihre Finger in die Löcher eines Deichs steckt, um zu verhindern, dass Wasser durchkommt. Es tut sein Bestes, um die Flut draußen zu halten, aber es besteht die Möglichkeit, dass es nicht genug Finger hat, um alle Löcher zu füllen (oder ein paar zu verpassen). Software-Patches beheben diese Lücken.

Fazit

Sie können nie sicher sein, dass Sie keinen schlechten Tag haben werden, wenn Sie irgendeine Art von Datei in irgendeiner Art von Programm öffnen. Einige Programme (wie Editoren) sind jedoch aufgrund ihres geringen Platzbedarfs oder ihres sicheren Designs viel schwerer anzugreifen und daher weniger anfällig für Massenangriffe (insbesondere, weil ein Angreifer wahrscheinlich davon ausgeht, dass es sich um eine böse HTML-Datei handelt in einem Browser geöffnet, nicht in einem Editor).

Oh, diese Antworten sind viel zu raffiniert für Ihre Situation. Es ist höchst unwahrscheinlich, dass Ihre IT-Abteilung eine ausgefallene Problemumgehung verwendet, vorausgesetzt, sie weiß, welchen Editor Sie verwenden. Es geht nicht darum, Ihre Systeme tatsächlich durcheinander zu bringen. Notepad wird mit keinem Bild oder Anhang etwas anfangen, egal was passiert, und der Text, den Sie gesehen haben, hat Ihrem System sicherlich nichts Verwerfliches angetan. Es wäre auch nicht wahrscheinlich gewesen, selbst wenn es ein echter Angriff gewesen wäre, da Redakteure sehr persönliche Werkzeuge sind und es sehr viele von ihnen gibt, die abgedeckt werden müssten, damit so etwas einen erkennbaren Effekt hätte.

Sagen Sie Ihren Mitarbeitern, sie sollen sich von Ihrem Rücken lösen und selbst vorsichtiger sein. Lassen Sie mich nur darauf hinweisen, dass Sie sich in dieses Loch eingegraben und das Gegenteil von dem erreicht haben, was beabsichtigt war… Wenn Sie nicht angekündigt hätten, dass Sie schauen und was Sie gesehen haben, würden Leute, die eindeutig nichts über IT-Sicherheit wissen, Sie nicht belästigen und sich überlegen fühlen. Stattdessen hätten einige von ihnen den Anhang geöffnet und die Nachricht gesehen und sich selbst ein bisschen gezüchtigt. Sie haben also den IT-Test auf der ganzen Linie durcheinander gebracht und den Mahn-Krüger-Effekt hervorgehoben, der zweifellos die Ursache für das Versenden dieser Tests ist. Hör auf!

Okay, technisch sind Sie nie 100% sicher. Ja, es könnten Angriffe auf Ihren Texteditor / ASCII-Viewer versucht werden. Ja, jemand hätte auf magische Weise eine DLL in Ihr temporäres Verzeichnis schleichen können, um das Laden von MS Notepad-Verzögerungen zu beeinträchtigen.

Aber in der Praxis , wenn Sie eine HTML-Datei in a erhalten Phishing-E-Mails enthalten schädliches JavaScript oder leiten Sie mit größerer Wahrscheinlichkeit auf eine Online-Website weiter, die Sie davon zu überzeugen versucht, Ihre Kreditkartendaten / -anmeldungen zu übergeben.

Also, in der Praxis Wenn Sie eine solche Datei in Notepad ++ untersuchen, können Sie auf vernünftige Weise feststellen, was an Sie gesendet wurde. Die Reaktion Ihrer Kollegen scheint unfair zu sein, es sei denn, Sie arbeiten in einem nuklearen Silo… und wenn Ihr Job wirklich diese Mission / Sicherheitskritik ist, warum gibt es überhaupt E-Mails? Warum sollte es einen Internetzugang geben? Und wenn nicht, warum benötigen Sie dann Phishing-Audits / Tests / Honeypots? Jemand irgendwo ist übermäßig paranoid.

Wir können versuchen, unser Risiko auf Null zu reduzieren, aber der einzige Weg, dies zu erreichen, besteht darin, keinen Computer zu verwenden.

Alles, was gesagt wird Sie werden immer mit dummen Leuten zu tun haben, also behalten Sie diese Aktivität vielleicht beim nächsten Mal für sich. ;)

Im Allgemeinen ist dies nicht sicher, da eine verdächtige oder unerwartete E-Mail unabhängig vom Anhang nicht geöffnet werden sollte. Das ist das Sicherste. Vor allem, wenn Sie unter Windows arbeiten, das dafür berüchtigt ist, Dinge auszuführen, wenn dies nicht der Fall sein sollte, und das von Angreifern das am meisten angesprochene Betriebssystem ist und die am meisten anvisierten Anwendungen ausführt.

Aber wenn Sie es trotzdem öffnen möchten, vielleicht weil Sie ein INFOSEC-Enthusiast sind oder denken, Sie sind (oder wollen) schlauer als der durchschnittliche Benutzer, hier einige Ratschläge:

• Lesen Sie den Quellcode der E-Mail, anstatt sie zu öffnen. Möglicherweise können Sie dies direkt über die Webmail-Oberfläche oder durch Lesen der Textdateien auf Ihrem Server usw. tun.
• Laden Sie den Anhang von der Quelle herunter, indem Sie seine base64-Darstellung kopieren und einfügen. Dies ist nur einfacher ASCII-Text. Sie können es dann mit einigen Tools wieder in Binärdateien konvertieren.
• Erwägen Sie, die Datei umzubenennen und sie als potenziell böswillige.txt anstelle von .html oder einem anderen Namen und einer beliebigen Erweiterung zu speichern.
• Erwägen Sie, die txt-Datei mit sehr einfachen Texteditoren oder sogar Hex-Editoren oder sogar mit sehr einfachen grundlegenden Tools in der Befehlszeile zu öffnen, die nur ASCII-Zeichen anzeigen. Ein Beispiel könnte cat file.txt | sein weniger unter Linux. (Hinweis: Warum cat vor less ? Weil mir aufgefallen ist, dass less manchmal standardmäßig einige Dinge analysiert und konvertiert, z. B. das Konvertieren von PDFs in TXTs Seien Sie vorsichtig und überprüfen Sie besser, was die Befehle auf Ihrem System standardmäßig tun.
• Öffnen Sie die Datei in einer virtuellen Maschine, die auf dem neuesten Stand sein und auch nicht mit dem Netzwerk verbunden sein sollte.
• Erwägen Sie, das meiste davon zu Hause zu tun, und erzählen Sie Ihrem Chef oder Ihren Kollegen niemals davon. Sie sehen es möglicherweise als gefährliches Verhalten, als Verstoß gegen die Sicherheitsrichtlinie oder als etwas, das Ihnen ohnehin Probleme bereiten könnte.

In solchen Situationen, in denen das Risiko für bestimmte Objekte eine unbekannte Größe ist, zeichnet sich ein stark unterteiltes Betriebssystem wie Qubes aus. Qubes verwendet einen gehärteten Bare-Metal-Hypervisor, um riskante Dinge von sensiblen Bereichen (wie persönlichen Dateien und dem Kernbetriebssystem) isoliert zu halten. Es isoliert sogar riskante Geräte. Diese Isolation wird über die GUI auf ziemlich benutzerfreundliche Weise ausgedrückt und gesteuert:

Klicken Sie im obigen Beispiel mit der rechten Maustaste auf In einer HTML-Datei in KDE Dolphin können Sie Optionen wie "In DisposableVM bearbeiten" und "In DisposableVM anzeigen" auswählen. Wenn Sie auf eine dieser Optionen klicken, wird automatisch eine virtuelle Einwegmaschine (dispvm) instanziiert. Anschließend wird die Datei an dispvm gesendet und in die zugehörige App geladen. Dies dauert nur Sekunden. Wenn Sie mit der Bearbeitungs-App fertig sind, wird die bearbeitete Version an die aufrufende VM zurückgegeben und die dispvm wird sofort zerstört. Beachten Sie jedoch, dass dieser Prozess selbst keine nicht vertrauenswürdige Datei in eine vertrauenswürdige Datei umwandelt.

Für bestimmte Dateitypen (derzeit Bilder und PDFs) gibt es auch eine Menüoption für Konvertieren einer Datei in einen vertrauenswürdigen Status ... dh ein dispvm wird verwendet, um ein nicht vertrauenswürdiges PDF zu verarbeiten und eine bereinigte Version zu erstellen, die zurückgeladen wird und ohne Risiko für Ihre regulären VMs verwendet werden kann, auf denen Sie normalerweise arbeiten. Dies ist möglich, weil das ursprüngliche Desinfektionstool nur die vorhersehbarste Darstellung der angeforderten Daten vom Dispvm akzeptiert, z. B. unkomprimierte Bitmaps mit genau einer erwarteten Anzahl von Pixeln und Bytes. Sobald die bereinigte Rohversion zurückerhalten wurde, wird sie erneut in das erwartete Format komprimiert.

Es ist erwähnenswert, dass Sie den oben beschriebenen Typ der Sicherheit mit vertrauterem Verhalten emulieren können Tools wie VirtualBox und VMware, aber es ist unwahrscheinlich, dass der Grad und die Qualität der Isolation den von einem dedizierten System wie Qubes erreichten Niveaus entsprechen.

Während andere auf Mängel hinweisen, würde ich sagen, dass Sie das Richtige getan haben.

Während Ihre anderen Kollegen davon ausgegangen sind, dass es schlecht ist, haben Sie Ihre Fähigkeiten genutzt, um die Situation zu analysieren und zu überprüfen böswillige Absicht.

Sie hatten das Verständnis, dass Sie dem Browser nicht erlauben sollten, die Datei zu öffnen, sondern etwas verwenden, mit dem der Empfänger sie nicht öffnen wollte. Sie haben den Code analysiert und konnten überprüfen, ob er böswillige Absichten hatte (in diesem Fall nur eine Warnung Ihres IT-Teams).

Wenn Sie geschickt genug sind, um die Dateien zu analysieren und die richtigen Änderungen vorzunehmen Ich würde feststellen, dass dies mehr dafür sorgt, dass Sie ein gutes Verständnis dafür haben, sich vor böswilligen Benutzern zu schützen und Ihre Fähigkeiten zu nutzen, um Ihre Sicherheit zu gewährleisten.

Wie auch immer, wenn Sie nicht über die Fähigkeit verfügen, den HTML-Code zu überprüfen und JavaScript-Code ist nicht böswillig. Sie sollten ihn nur nicht öffnen und davon ausgehen, dass er böswillig ist, da Sie seine Sicherheit nicht garantieren können, selbst wenn Sie ihn im Editor geöffnet haben.

Versuchen Sie nur, eine Situation zu analysieren, in der Sie sich befinden die entsprechenden Fähigkeiten zum Analysieren und nur zum Analysieren der Situation, wenn Sie die E-Mail erwarten oder sie aus einer bekannten Quelle stammt.

Ja, beim Herunterladen und anschließenden Öffnen der Datei im Editor / einem anderen weit verbreiteten Texteditor können Verstöße auftreten, da Nutzdaten speziell für die Interaktion mit Editoren wie Notepad erstellt werden können.

Beispiel: Notepad.exe verwendet wie viele Windows-Programme Systembibliotheken. Eine dieser Systembibliotheken lädt shdocvw.dll (Internet Explorer-bezogene Komponente). shdocvw.dll hat eine Abhängigkeit vom Laden von Verzögerungen von einer Bibliothek namens 'ieshims.dll'.

Diese DLL könnte im aktuellen Verzeichnis durchsucht und von dort geladen werden. Wenn ein Angreifer es also zusammen mit der TXT-Datei bereitstellen würde, könnte er dieses Setup als Exploit verwenden, um seine DLL zu laden und dann von dort fortzufahren.

Die Lösung hierfür: Verwenden Sie Ihre eigener Texteditor / Viewer, der nicht von Windows-Komponenten / Bibliotheken abhängig ist. Meins heißt einfach Edit.ExE, 100% unabhängig von externen Ressourcen und 100% sicher in Bezug auf verarbeitete Inhalte (liest alles direkt als ASCII / Text ohne Inhaltserkennung). Du hast keinen; Verwenden Sie eine sehr dunkle, die niemand ausnutzen würde.

Wenn Sie ein paranoider Nuklearwissenschaftler sind, der in einer geheimen Basis in der Antarktis arbeitet, vielleicht. Andernfalls wird niemand die Zeit damit verbringen, Pufferüberläufe usw. zu implementieren.

Das erste, was den meisten Menschen in den Sinn kommt, wenn sie eine HTML-Datei sehen, ist wahrscheinlich, sie mit einem Browser zu öffnen . Wenn sie Sie dazu bringen wollten, es mit Notepad ++ oder ähnlichem zu bearbeiten, wäre es wahrscheinlich eine Textdatei, eine JSON-Datei usw.

Also nein, Sie sind wahrscheinlich nicht gefährdet, aber ja, Sie könnten sein.