Pull to refresh

Comments 10

Единственное, что может смутить атакующего — это разнообразие захардкоженных ключей и алгоритмов шифрования
Security through obscurity — второе имя SAP
:) Ну иногда некоторые продукты, делают громкие функции, но по факту написаны без учета требований к безопасности=)
Но, надо сказать, все это бинарное колдовство в корпоративных системах не очень интересно, ибо сложно в эксплуатации (необходимость писать рабочий эксплойт под различный парк серверных ОС) и редко применимо («ронять» энтерпрайз-системы в ходе теста на проникновение — не лучшая практика).


Для злоумышленника это может быть как раз вполне приемлемо, я полагаю. А значит, и при анализе защищенности продукта это упускать нельзя.

И еще хотел поинтересоваться, каким Java-декомпилятором вы пользуетесь? Давно ищу инструмент, который мог бы переименовывать все упоминания определенного класса/метода/переменной в какое-нибудь человекочитаемое название (вручную), это бы сильно упростило жизнь во многих случаях :-)
JEB хороший, но платный. Еще есть вариант экспортировать декомпилированый код из jd-gui в eclipse и пользовался там инструментами рефакторинга для переименования. IDA(которая в общем-то, тоже платная), если не ошибаюсь, позволяет переименовывать, но там только со smali получится работать. Зато благодаря тому что она рисует CFG, который можно править, в некоторых случаях получается понятнее всего
С wipe'ом по IMEI вообще отлично
Я надеюсь, подобных вариантов нет для телефонов, подключенных к MS Exchange?
MDM может: настроить разного рода политики на переносимых устройствах, найти телефон (если он был утерян сотрудником), контролировать установку приложений, разрешить использование девайса исключительно в рабочее время, заблокировать и даже удаленно стереть все данные. Очень полезный и интересный функционал, надо сказать.


Правильно я понимаю, что если телефон украсть, а затем программатором снять все данные, то вся безопасность коту под хвост?..

P.S> За статью спасибо!
Ради интереса, посмотрите, что там с MDM-ом от Comodo
Архитектор безопасник всей этой системы наверняка хранит ключ к входной двери под ковриком.
Был в одной серверной одной компании, где root-доступ к серверу осуществляется по iButton.
Так вот, связка всех iButton висела на гвоздике перед входом. ;)
Так что коврик — это продвинутое решение!
string EncryptString(string s) { return s; }


Вот это да, просто слов нет! Сколько стоит этот продукт? Это же явно недоделка, за попадание такого в прод выгонять надо из профессии.
Sign up to leave a comment.