TL;DR Если в ящике mail.ru вы смотрите аттач к письму в браузере, то для формирования превьюшки копия документа «улетает» на IP Майкрософт в Редмонд.
Хотелось бы конечно заголовок по кликбейтнее, а-ля «Mail.ru пересылает все ваши письма в США!» или «Microsoft знает содержимое всех вложений на вашем ящике!». Но давайте к фактам и конкретике. Отдельно хотелось бы поблагодарить О.Ю. Анциферова (ex-Dr.PornCop из «лампового» Хакера), который первым обратил внимание на «интересное» поведение почты.
Всё началось с тестирования нашей DLP-системы. Отрабатывая различные сценарии по перехвату «облаков», заметил подозрительное движение данных. Мы воспроизвели эту ситуацию на обычном ящике. Результаты на скриншоте.
Обратите внимание на строки 26-23. Идут обращения на какой-то «другой» айпишник. Ты чьих будешь?
Понятно. Да и «SkyDrive» в столбце «От кого» как бы намекало. И на первый взгляд кажется, что это сам сотрудник что-то шлёт за границу. Но в арсенале «КИБ» есть другой модуль – MonitorController, — который отвечает за захват картинки с монитора. Модуль можно настроить в том числе и на непрерывную запись видео (что мы и сделали перед воспроизведением «фичи»). Далее – дело техники.
Во-первых, сопоставили по времени действия пользователя и перехваченные данные по каналу Cloud. На видео было чётко видно: человек открывает письмо и кликает на приаттаченный вордовский документ. После этого открывается превью. При этом адрес страницы не «скачет». Как было …mail.ru\..., так и осталось.
Во-вторых, надо убедиться, что шлётся не какая-нибудь «телеметрия», а именно тот самый документ. Взглянем, что там за xml передаётся.
«КИБ» распарсил содержимое и для нас было очевидно – это документ из аттача. Вы и сами можете повторить эксперимент. Обращение на IP можно увидеть на каком-нибудь прокси. С перехватом и ковырянием xml может быть сложнее, но осуществимо.
На мой взгляд проблема в том, что «А мужики-то не знают!». Многие государственные учреждения, вузы и другие организации имеют официальные ящики на mail.ru. И пользуются ими, как рабочими, пересылая интересную и не очень информацию. При этом, как видите, могут непреднамеренно отправить копию в Штаты.
Этим постом хочется предупредить их о подвохе. Ведь могут пострадать невиновные сотрудники, которых ретивые, но не очень дотошные безопасники поспешат обвинить в сливе данных.
Да ничего. Всё у них в порядке. Можно глянуть пользовательское соглашение, в котором ситуация прописана «ясным и понятным» языком:
Так что формально они ничего не нарушают.
Забавно то, что они могли бы сделать нормальную реализацию и не гонять данные туда-сюда. К примеру, если загрузить тот же документ в их облако на cloud.mail.ru, то превьюшку формирует какой-то другой сервис и документ не улетает за границу. В конце концов, можно было развернуть этот генератор превьюшек в каком-нибудь отечественном ЦОДе. Почему же не сделали? Не знаю. Может кто-то из вас подскажет ответ в комментариях.
P.S. @bk.ru, list.ru, inbox.ru не проверяли, но мне кажется, что там тоже «фича» воспроизведётся.
Хотелось бы конечно заголовок по кликбейтнее, а-ля «Mail.ru пересылает все ваши письма в США!» или «Microsoft знает содержимое всех вложений на вашем ящике!». Но давайте к фактам и конкретике. Отдельно хотелось бы поблагодарить О.Ю. Анциферова (ex-Dr.PornCop из «лампового» Хакера), который первым обратил внимание на «интересное» поведение почты.
С чего всё началось?
Всё началось с тестирования нашей DLP-системы. Отрабатывая различные сценарии по перехвату «облаков», заметил подозрительное движение данных. Мы воспроизвели эту ситуацию на обычном ящике. Результаты на скриншоте.
Обратите внимание на строки 26-23. Идут обращения на какой-то «другой» айпишник. Ты чьих будешь?
Понятно. Да и «SkyDrive» в столбце «От кого» как бы намекало. И на первый взгляд кажется, что это сам сотрудник что-то шлёт за границу. Но в арсенале «КИБ» есть другой модуль – MonitorController, — который отвечает за захват картинки с монитора. Модуль можно настроить в том числе и на непрерывную запись видео (что мы и сделали перед воспроизведением «фичи»). Далее – дело техники.
Во-первых, сопоставили по времени действия пользователя и перехваченные данные по каналу Cloud. На видео было чётко видно: человек открывает письмо и кликает на приаттаченный вордовский документ. После этого открывается превью. При этом адрес страницы не «скачет». Как было …mail.ru\..., так и осталось.
Во-вторых, надо убедиться, что шлётся не какая-нибудь «телеметрия», а именно тот самый документ. Взглянем, что там за xml передаётся.
«КИБ» распарсил содержимое и для нас было очевидно – это документ из аттача. Вы и сами можете повторить эксперимент. Обращение на IP можно увидеть на каком-нибудь прокси. С перехватом и ковырянием xml может быть сложнее, но осуществимо.
В чём проблема?
На мой взгляд проблема в том, что «А мужики-то не знают!». Многие государственные учреждения, вузы и другие организации имеют официальные ящики на mail.ru. И пользуются ими, как рабочими, пересылая интересную и не очень информацию. При этом, как видите, могут непреднамеренно отправить копию в Штаты.
Этим постом хочется предупредить их о подвохе. Ведь могут пострадать невиновные сотрудники, которых ретивые, но не очень дотошные безопасники поспешат обвинить в сливе данных.
А что mail.ru?
Да ничего. Всё у них в порядке. Можно глянуть пользовательское соглашение, в котором ситуация прописана «ясным и понятным» языком:
4.5. Отдельные Сервисы Компании предоставляют Пользователям возможность размещать Материалы, которые будут находиться в открытом доступе для всех пользователей сети Интернет либо для всех пользователей определенного Сервиса Компании. Используя такие Сервисы, Пользователь понимает и соглашается с тем, что, загружая Материалы на Сервис, Пользователь предоставляет к ним доступ вышеуказанным лицам по умолчанию.
4.7. Пользователь, используя функционал Сервисов Mail.Ru, соглашается с тем, что некоторая информация может быть передана партнерам Mail.Ru исключительно в целях обеспечения предоставления Компанией Mail.Ru соответствующего Сервиса Пользователю, а равно предоставления Пользователю прав использования дополнительных функциональных (программных) возможностей соответствующего Сервиса, предоставляемых совместно с этими партнерами, и исключительно в объеме, необходимом для надлежащего предоставления таких Сервисов и/или функциональных возможностей, а также в иных случаях в целях исполнения условий настоящего Соглашения.
Так что формально они ничего не нарушают.
Забавно то, что они могли бы сделать нормальную реализацию и не гонять данные туда-сюда. К примеру, если загрузить тот же документ в их облако на cloud.mail.ru, то превьюшку формирует какой-то другой сервис и документ не улетает за границу. В конце концов, можно было развернуть этот генератор превьюшек в каком-нибудь отечественном ЦОДе. Почему же не сделали? Не знаю. Может кто-то из вас подскажет ответ в комментариях.
P.S. @bk.ru, list.ru, inbox.ru не проверяли, но мне кажется, что там тоже «фича» воспроизведётся.
Loxmatiymamont
Исключительно предположение: вся логика отвечающая за рендер вордовского документа находится на стороне майкрософта, а всем остальным они её отдают в виде апи. Ибо doc вроде как и открытый формат, но только для некоммерческих целей.
sw0rl0k
Дело не в открытости или закрытости формата, а в том, что mail.ru ещё с 2015 года использует именно MS Office Online. И не то, что бы скрывает это — blog.mail.ru/redaktor-microsoft-office-online-v-pochte-i-oblake
Собственно, если создать док в офисе онлайн, то он запрос так же уйдет на сервер в Редмонд
Loxmatiymamont
Мой вопрос был в том, что только-ли мейл это делает, или вообще все сервисы, где можно открыть офисный документ?
sw0rl0k
Есть как минимум onlyoffice и google документы, где движок рендера doc/docx файлов свой.
maxcat
google dock это издевательство вместо UI UX
kotov_a
Сходу:
vk.com/blog/documents
Dropbox www.microsoft.com/en-us/microsoft-365/blog/2015/04/09/office-online-and-dropbox-web-integration-now-available
Что рендер документа читается именно с серверов майкрософт — видно по консоли разработчика браузера, даже копать не надо.
Loggus66
Да нет, конечно. Nextcloud+onlyoffice — рабочая связка без привлечения внешних сервисов, хотя, может, с location'ами придётся покорпеть в проксирующем Nginx.
denisromanenko
Я майкрософт больше доверяю, чем мэйл.ру
eteh
Хм, я думал туда outlook данные шлет у коллег четко по расписанию с яндекс почты, а в итоге другое…
alex1t
Новость высосаная из пальца. Они используют движок office 365 для рендера документов. Это по моему даже так видно — где-то есть надпись. Не надо даже никакие ip и адреса искать. Видимо у них партнерское соглашение с MS.
labyrinth Автор
Не на то обращаете внимание. Главный вопрос: почему это не сделали локально? Движок можно было развернуть в РФ.
alex1t
Не знаю — позволяет ли это делать MS. Я так полагаю у них всё это развёрнуто в Azure. В лучшем случае в центре в Европе они могли инстансы поднять.
Хотя там есть такая вещь, что Azure можно поднять локально на своих мощностях.
Arris
Дешевле?
billyevans
А зачем? Я думаю это не такая частая операция и возможно лишние 200мс-300мс не будут так критичны для итак неторопливого интерфейса.
А их ворд наверное бежит в отдельном инстансе на их акаунте в Asure. Наверное его непросто, если вообще возможно от туда вынести.
xeim
Насчет MS может и беспокоится, не стоит…
Но вот что действительно вызывает лично мое беспокойство, это сотни и сотни рекламных и пр. фирмочек которым MailRu требует разрешение на предоставление ваших данных. И Microsoft в этом списке нет — www.xeim.ru/2020/02/mailru-group.html
402d
Вы думаете это только с вордовскими файлами? Старенький PDF формат до сих пор
в большинстве случаев конвертируется в картинку через сторонние сервисы.
mike4ip
Это таки немного другое. PDF нынче можно открыть прямо в браузере, причём функция доступна почти из коробки. Поэтому его многие отдают напрямую без какой-либо конвертации.
thefaeriedragon
Немного дополню, т.к. как раз занимаюсь безопасностью в mail.ru.
Как уже отметили в комментариях, для онлайн просмотра документов почта mail.ru, действительно, использует MS Office Online, это осознанное решение призванное обеспечить наилучший опыт работы с документами. При необходимости, документ всегда можно скачать напрямую из письма и открыть уже у себя локально, не используя онлайн просмотр.
Конечно, для клиентов требующих максимальной изоляции свои данных от любых внешних сервисов есть on-premise решение специально разработанное под подобные нужды. Развертывание в своей инфраструктуре позволяет контролировать и настраивать под свои нужны любые потоки данных.
labyrinth Автор
Но почему нельзя было MS Office Online развернуть в РФ? По франшизе, так сказать.
vnkr
А зачем?
gorilych
по той же причине, что нельзя у себя развернуть azure или aws или gmail — это услуга а не продукт (SaaS)
labyrinth Автор
Но они же смогли сделать в cloud.mail.ru превью без передачи информации за границу. Там тоже просмотр и редактор есть. Почему не повторили реализацию?
gorilych
вы когда mail.ru пользуетесь — вы доверяете свою переписку облачному сервису. office365 — ещё один облачный сервис, которому тоже можно доверять.
Если вам нужна большая безопасность с меньшим количеством серверов, через которые проходят ваши данные, то бесплатный облачный сервис не самый лучший выбор.
TimsTims
Вероятно, дело в разнице алгоритмов и качестве этих превьюшек. В почте читать Doc файл обычное дело, и критически важно чтобы оно выглядело также, как в MS Word. Ни одно строннее решение не может в деталях повторить всю разметку сложных документов.
Если файл будет отображаться криво, то почту просто заплюют, а им этого не надо.
В облаке ситуация другая, то документов таких гораздо меньше встречается, а если и встречаются, то их не пересылают туда-сюда регулярно изменяя. Поэтому, там можно использовать редактор попроще.
Busla
у MS есть вполне себе on-Premise продукт Office Online Server
Правда, не углублялся в вопрос лицензирования и открытости API. Обычно он используется для внутренних нужд SharePoint, Exchange, Lynk/Skype и покрывается лицензиями на обычный офис.
radtie
На просмотр, без редактирования, он бесплатный для тех у кого есть доступ к VLSC.
Мы использовали его без SharePoint и прочего, для просмотра офисных документов внутри нашей системы на собственных мощностях.
Abyss777
А что будет с "пользовательским опытом" в случае введения санкций США на Mai.Ru Group ?
Alexus819
отправится на помойку :)
AC130
Вероятно, отключат возможность делать превьюхи и редактировать документы онлайн, либо сделают/интегрируют что-то своё наколеночное для того же функционала. Это не настолько жизненно важная фича чтобы креститься до раскатов грома. И почему-то мне думается что использовать майкрософтовский сервис в данном случае и лучше и дешевле одновременно.
Serge3leo
Честно говоря. Проблема ж не потенциальной возможности санкций на Mai.Ru Group, а в потенциальной возможности санкций клиента Mai.Ru Group, т.к., как я понял, документ в MS загружается от имени клиента.
tyomitch
Более вероятно, что адреса MS попадут в «чёрный список» РКН, когда в тех же сетях Azure кто-то развернёт сайт наркотерропедофилов. И тогда у Mail.Ru отвалятся превьюшки.
Vitaly83vvp
Данные сейчас в цене. Есть власти потребуют прекратить сотрудничество, тем самым, отказать от данных, то такие большие корпорации как Microsoft, Google, Amazon и пр., скорее, уберут с поста того, кто это предложил, чем подчинятся. Власти, как и бизнес будут делать только то, что выгодно.
Если будет выгодно от чего-то отказаться — откажутся; нет — договорятся в свою пользу.
Abyss777
Уверен, что для Google, Microsoft, Qualcomm, Arm, AT&T и многих других было ооочень выгодно работать с Huawei. Что-то всё еще на посту, тот кто ппредложил.
Vitaly83vvp
Применить санкции к компании, чтобы надавить на руководство страны. Вы же помните, что у них ещё и, в некотором роде, торговая война: то повышают пошлины, то понижают. Кроме того, неужели вы думаете, что у компаний, сотрудничавших с Huawei, нет альтернативных вариантов? Это больше PR и показательный процесс.
И ваш пример не касается данных. Источнику физических ресурсов можно найти альтернативу. Источнику данных — не всегда. Кроме того, некоторые данные быстро теряют актуальность и, если вовремя не использовать их, можно потерять прибыль. В большинстве случаев, такие данные используются для рекламы.
apro
А что с неявным использованием? Например может при просмотре списка писем веб-интерфейс прокешировать "предпросмотр" вложений у новых писем так как пользователь скорее всего зайдет посмотреть новые письма? Или при наведении курсора на письмо и т.п.? Или отсылка документов в США работает только при явно клике на вложение?
safari2012
звучит, как прямой перевод цитаты с английского :)
kbool
Когда много кавычек, то пост тоже можно обернуть в них. Не нужно их так много.
Вы в своем блоге дали возможность прорекламироваться mail.ru)
majesttic
Больше похоже на рекламу своего продукта, пытаясь кого-то осквернить.
Смотрите у нас тут IP-шнечки американские, мы конечно не будем разбираться, что это и зачем, а еще xml-ки парсим.
labyrinth Автор
Интересно, что же навело вас на эту мысль? Может хаб «Блог компании SearchInform».
majesttic
Меня навело на эту мысль то, что вы не разобравшись в вопросе, написали статью на большую аудиторию. Сделать пару скринов с IP-шниками и указать их принаджлежность к США. Сколько у вас заняло это времени? 15 минут? Делалось по принципу «И так сойдёт.»
passkeeper
Вот вы работали с системами DLP?
Элементарный кейс:
— у вас настроена система на отлов передачи ПД в облака.
— происходит срабатывание правила — паспорт ушел во внешнее облако. Пользователь установлен, паспорт установлен, куда ушло — установлено. Сам сотрудник, категорически отказывается признавать этот факт.
— Если особо не разобраться в ситуации, можно сотрудника покарать, вплоть до увольнения.
Или еще. Вы покупаете квартиру, или кредит оформляете и т.д… Естественно, используете личный ящик. А тут, все ваши ПД, зачем-то отправляются в ЧЬЕ-ТО облачное хранилище и непонятно, кто потом будет иметь к этим данным доступ и для чего. Вас это устраивает? Меня нет.
А еще и трансграничная передача ПД…
majesttic
Я понял, запретить сотрудникам использовать облака в рабочих целях это не про вас, как и развернуть свой почтовый сервис on-premise.
passkeeper
Такое впечатление, что вы читаете только первую и последнюю строку в сообщении. Ну или как-то выборочно
spc
Давайте посмотрим с другой стороны.
У нас есть небольшая компания, в штате которой только непосредственные исполнители основной функции. ИТ нет в принципе, покупать не планируем (то ли не хотим, то ли денег нет, неважно).
Все с младых ногтей пользуются mail.ru, и по невероятному стечению обстоятельств ни у кого, что называется, «ни единого разрыва». То есть, как пишут в таких случаях «нет оснований не доверять».
А тут сидишь на кресле, оформляешь очередную путевку по паспорту, который чей-то корпоративный МФУ отсканировал в, скажем, Word (условно), а к тебе в дверь уже стучится 152-ФЗ.
ps. У меня в почте на Яндексе довольно писем от госучреждений (в основном школы), которые присылают мне письма а) по ошибке б) с адреса на том же Яндексе, который у них, насколько я могу судить, считается чем-то вроде рабочего.
То есть, «запретить сотрудникам использовать облака в рабочих целях это не про вас, как и развернуть свой почтовый сервис on-premise» — это не про государство, хотя оно, казалось бы, должно было это сделать в первую очередь.
pps. На мой взгляд, вопрос даже не в том, кто там кому чего запретил или где чего развернул. А в том, что есть довольно очевидная вещь, на которую не все обращают внимание. И за которую может вполне серьезно прилететь.
kotov_a
Тоже не понимаю проблемы. Данный сервис много кто использует для интеграции в свои приложения редактирования\просмотра офисных файлов. Например, dropbox и даже vk:
vk.com/blog/documents
У Майкрософт действительно есть отдельный продукт Office Online Server, который можно развернуть у себя. Но его жизненный цикл = релизному циклу SharePoint, то есть обновляется раз в несколько лет и исправление любого бага (а баги обязательно найдутся на объемах документов mail.ru) займет годы. Здесь же mail.ru\vk\dropbox и многие другие получают готовый сервис, обязательств перед гос. органами у них нет — могут использовать в своих решениях любые сторонние сервисы.
artemerschow
З.Ы.: им писал, когда наплыв писем большой был
Loggus66
Может, SPF в ~all у домена стоит? С такой настройкой первое письмо пропускается, у второго итд. репутация падает. Но это не относится к письмам, подписанным dkim, т. к. закрытый ключ хранится на почтовом сервере, то есть у сторонних спам-писем подпись не должна проходить проверку.
KivApple
Я верно понимаю, что речь о каких-то очень параноидальных организациях, которые любые коннекты юзера к зарубежным IP считают госизменой?
NTHub
В своё время на слайде АНБ из архива Эдварда Сноудена среди компаний находящихся под контролем АНБ был указан логотип и mail.ru. Среди хозяев mail.ru Мильнер который живёт в Калифорнии если его АНБ/ФБР «попросит по хорошему» то вряд ли он откажет.
lev
А нынче Сноуден сам в mail.ru работает))
DGN
Какая однако масштабная была операция по внедрению агента влияния.
Massacre
Не там корень проблемы, а вообще в использовании внешних сервисов типа того же вебмейла, корпорацией. Какая разница, мейл ру или MS будет сканировать вашу почту? Зачем использовать DLP, если всё равно используются чужие облака, которые и являются главной дырой? Некачественная реклама.
Правильный подход — считать все внешние сервисы недоверенными и опасными по умолчанию. И не удивляться потом утечкам данных через них… Но тут конечно вопрос, что важнее — экономия или контроль над своими данными.
valievkarim
Превьюшки (эскизы) аттачей на странице чтения письма рендерятся на серверах Mail.ru в Москве.
То что авторы статьи называют «превьюшками» — это если кликнуть на аттач, то документ откроется в Microsoft Office Online. См. скриншот. Т.е. отправляются в MS не все аттачи, а только те, что юзер открывает в браузере.
В cloud.mail.ru (в b2c варианте) используется тот же самый просмотрщик Microsoft Office Online.
Жаль, что авторы не захотели ни разобраться в вопросе сами, ни вставить в статью скриншот, чтобы технически грамотные читатели осознали ошибку авторов.
passkeeper
Что это меняет?
Например, я заполнил абстрактный договор на кредит, в котором были мои паспортные данные, отправил его вложением.
Потом, что-то вспомнил, решил зайти в отправленные и еще раз посмотреть вложение — вуаля, мои ПД уплыли в какое-то мутное облачное хранилище…
Eklykti
Эм, т. е. для того, чтоб посмотреть превью документа, надо скачать его целиком, потом так же целиком залить на сервис мс, и только после этого увидеть превью? Архитектура ОК, 3 раза одно и то же туда-сода гонять.
alexbalkan
Когда-то несколько лет назад я обнаружил интересный феномен. У меня крутился почтовик Exim (5.ХХ.ХХ.101). Поставил на лаптопе клиент Outlook привязанный к моему smtp. Доступ к smtp только через vpn. Не помню что я парсил и отлаживал, но вдруг заметил что мой мейл «Тест» отправленный мной пришел совсем не от моего сервера. Тогда я еще не очень разбирался в протоколах и в частности tcp/ip но стал тестить множество почтовых клиентов всяких платных, «хороших», «крутых» и печалька по результатам, почта приходила не моего сервера, а непонятно с каких почтовых серверов. Получалось, то что я отправлял, почтовые клиенты каким-то образом отправляли через какие-то другие сервера мою почту. Тогда я для себя после тестов решил использовать только Thunderbird, и клиент Mail для ios. В общем протестил около примерно две дюжины клиентов и все они отправляли почту через откуда-то, хотя был прописан мой smtp.
rvs2016
Проведи эксперимент:
1. Оутлуку скажи всё отправлять через твой почтовый сервер, в твоей локальной сети находящийся.
2. Локальную сеть с глобальной не соединяй.
3. Отправь Оутлуком письмо для получателя на твоём почтовом серевере.
4. Подивись — как будет выкручиваться Оутлук, если он полезет мимо твоего почтового сервера на какой-нибудь левый сервак для отправки письма, которому и за локальную-то сеть выходить не требуется.
PTsvn7
скорее всего уже наша цифровизация заработала…