Microsoft 365 умеет сканировать запароленные ZIP в поисках вредоносов

Microsoft 365 умеет сканировать запароленные ZIP в поисках вредоносов

Microsoft 365 умеет сканировать запароленные ZIP в поисках вредоносов

ИБ-аналитики сетуют, что их возможности обмена образцами неуклонно сокращаются. В попытках оградить пользователей от известных угроз облачные провайдеры, такие как Microsoft, используют сканирование файлов, и подобные средства способны обойти парольную защиту.

Распространители зловредов, использующие имейл и скрытые загрузки (drive-by) зачастую помещают свой код в ZIP-файл, чтобы обойти антивирусную защиту. Некоторые злоумышленники идут дальше и запароливают такие архивы; как оказалось, это тоже не панацея: некоторые онлайн-сервисы пытаются преодолеть это препятствие и просканировать архив на предмет потенциально опасного контента.

ИБ-исследователь Эндрю Брандт (Andrew Brandt) случайно обнаружил, что такая возможность имеется у Microsoft. Он пытался по привычке расшарить очередные семплы через SharePoint, но веб-инструмент пометил ZIP-файлы, которые эксперт обычно защищает паролем «infected», как вредоносные, заблокировав таким образом любые действия с ними.

В комментарии к посту безутешного Брандта его коллега по цеху Кевин Бомон (Kevin Beaumont) отметил, что Microsoft использует различные методы обхода парольной защиты ZIP, притом не только на SharePoint, но на всех облачных сервисах-365.

С этой целью защита может, например, извлекать похожие на ключи данные из тела письма или имени прикрепленного файла. Если пароль уже засветился в атаках, его наличие можно выявить перебором по списку.

В ответ на запрос Ars Technica о комментарии Брандт рассказал о еще одном случае, когда облачные средства безопасности создали ему большие неудобства. В прошлом году исследователь решил сделать OneDrive-бэкап из вредоносных файлов — находок, которые он сохранял на портативном Windows-компьютере, создавая исключения для антивирусной защиты.

Впоследствии выяснилось, что после копирования в облако файлы на лэптопе исчезали, а в аккаунте OneDrive появлялись детекты вредоносов. Потеряв всю коллекцию, аналитик начал архивировать новые находки, создавая файлы под паролем; до недавнего времени SharePoint на них не реагировал, а теперь выставляет флаги.

Как оказалось, веб-сервисы Google тоже помечают запароленные ZIP как потенциально опасные, но внутрь архивов не заглядывают. Так, Gmail исправно отслеживает такие вложения во входящей корреспонденции, а аккаунты Workspace блокируют их отправку.

ИИ-контент в России предложили маркировать добровольно

В России готовят правила для маркировки контента, созданного с помощью искусственного интеллекта. Но без обязательной плашки позора: пользователь сам будет решать, указывать ли, что картинка, видео или аудио сделаны нейросетью.

Такие положения вошли в законопроект о поддержке развития ИИ-технологий, который правительство внесло в Госдуму. Об этом РИА Новости сообщили в аппарате вице-премьера Дмитрия Григоренко.

Согласно документу, сервисы на базе больших ИИ-моделей должны будут дать пользователям техническую возможность маркировать созданные с их помощью аудио-, фото- и видеоматериалы.

Аналогичная обязанность появится и у владельцев соцсетей: они должны предусмотреть инструмент для размещения предупреждения об искусственном происхождении контента.

Но важный момент: маркировка будет добровольной. Законопроект не заставляет пользователей обязательно ставить предупреждение на каждый сгенерированный ролик, картинку или аудиофайл. Решение останется за автором.

В аппарате Григоренко объясняют это попыткой сформировать культуру честного взаимодействия с ИИ-контентом. Особенно такая маркировка может быть полезна в рекламе, образовании и массовых коммуникациях — там, где синтетический контент легко может ввести аудиторию в заблуждение.

При этом перед внесением в Госдуму законопроект заметно доработали с учетом замечаний бизнеса. Из него убрали обязательный контроль маркировки ИИ-контента для соцсетей и маркетплейсов. Причина практичная: надежных, массово доступных и недорогих инструментов для автоматического выявления генеративного контента пока просто нет.

Судя по всему, пока ставка делается не на жесткий контроль, а на добровольную прозрачность.

RSS: Новости на портале Anti-Malware.ru