Часто запитують, яка є заміна Skype у бізнес-середовищі. Здається, тепер я маю відповідь. Якщо колеги мене підтримають, можемо зробити це фірмовою порадою.
TL;RD: WhatsApp group chats.
Тепер докладніше: чому не Skype, та чому саме WhatsApp.
Не Skype з багатьох причин, але назву дві. По-перше, у Microsoft ну дуже високий профіль загроз, адже їхні продукти використовуються чи не усіма компаніями та урядами на планеті. Тому, зважаючи на сучасний геополітичний клімат в кібер-просторі, сподіватися на те, що мережі цього вендора не заражені імплантатами основних учасників кібер-війни — що найменше наївно. По-друге, у Microsoft дуже широка та лояльна програма співпраці з правоохоронними органами тих держав, де у вендора є ключові сегменти ринку. Продовжуйте думку.
Чому ж WhatsApp, а не, скажімо, Telegram, Slack або Signal чи ще щось? Не Telegram, тому ж чому й не Skype. Закритий код, сумнівне походження, тісні зв’язки з геополітичними гравцями. Не Slack, тому що, вибачте, але старші люди до нього звикають дуже болісно. Молода команда користується залюбки, олдфаги — лише страждають. Не Signal, тому що, при всій повазі до рівня захисту, десктопний клієнт у вигляді Chrome-розширення — це жалюгідно. Розумію, що в противному випадку треба йти на компроміси між безпекою та зручністю, але ми хлопці дорослі і до цього готові.
Тому, WhatsApp. Достатній рівень захисту (шифрування з кінця в кінець, двохетапна автентифікація, використання Signal API тощо) + достатній рівень зручності (нормальний десктопний застосунок). З особливостей — ваш смартфон завжди повинен бути поруч, але куди зараз без нього?
Сподіваюся, це допоможе комусь позбавитися залежності від Skype в корпоративному середовищі та почати використовувати більш цивілізовані засоби спілкування. Бережіться.
Originally published at blog.styran.com on September 22, 2017.
Various stories about malware spreading over SVG files sent on Facebook were circulating over the interwebs lately. You can read more about this vector and the methods used by malicious hackers in this post, but what caught my interest was not the attack itself.
As you probably know, SVG is a vector image format that is, in fact, an XML file containing various drawing instructions and, surprisingly to some, capable of containing and running JavaScript code. For example, when opening in most modern browsers, this SVG will show you a blue circle and run an external script loaded from the redacted host.
SVG file containing external JavaScript code.
This will work only when the browser is explicitly pointed to the SVG file URL or if the file is open from the disk; <img src= does not work anymore for obvious reasons.
So, when this SVG topic has popped up again, this time in the context of poor content filtering in Facebook Messenger, I instinctively thought about privacy implications introduced by this (apparently inefficient) security measure. I thought it could be a good idea to use JavaScript code delivered in SVG to check how modern instant messengers process this file format.
After a series of messages sent to my wife and colleagues, I feel a subtle hope that I will not be banned from using the messengers I’ve tested. And, of course, I have some results to share.
The good news is that Signal, Viber, WhatsApp, and both Facebook Messenger and Telegram in their “secret” modes, all five claiming end-to-end encrypted communications, were not caught cheating. Although in WhatsApp and Telegram, pasted URLs resulted in some activity originating from the client, no one else appeared in the web-server logs.
Bad news is that that’s pretty much all good news.
Starting from expected obvious: Slack does an active preview of the linked content to show it in the GUI. That’s cool; we all know that, so I use it as an example of how this kind of activity looks like for this post. So, when you send a link, the web-server serving it registers this request in the log:
As you can see, first, some Facebook-owned host fetches the SVG, and after that, there is a series of requests to “embedded” script URL, which demonstrates that the script is actually run at some “browser.”
Strangely enough, Google Hangouts haven’t shown any sign of interest in my links.
This leaves a lot of questions open. However, one thing is obvious: privacy policies are correct, and we don’t really own the stuff we send over Instant Messengers unless our comms are encrypted end-to-end.
During these tests I used awesome JavaScript keylogger by John Leitch.
