По двум статьям у меня наоборот создалось впечатление весьма подкованной группы, с четкими целями и техниками.
0деев нет, но некоторые техники соц. инженерии, используемые группой, вызывают восхищение, тот же трюк с трекинг-сайтом + смс или же скрытие файлов на флешке + подмена имени файла + иконка.
Видно хорошее финансирование и технический опыт, а исходя из того, что спред шел через truecryptrussia, целью группы является сбор скрываемой кем-либо информации.
Можно легко предположить, какому ведомству это интересно.
Всё упирается в мотивацию спамера.
Если у вас обычный сайт с сотней посетителей в сутки, спаммеру скорее всего не будет интересно затачивать решение — затраты время/профит несоразмерны, ему будет проще потратить время на другие сайты.
Если взять за пример сервисы Яндекса — то на следующий же день после ввода такой «капчи», без кавычек тут уж никак, в добрый десяток инструментов типо хрумера и яззла встроят автоматический обход.
Тоже самое и с массовым внедрением подобной «капчи» в CMS/форумы — обход данной «капчи» повысит профит, не тратя денег на распознавание графических капч людьми по 2$ за 1000 капч.
А для мелкого сайта с такой «капчей» идеально работает принцип неуловимого Джо. Вас не спамят только потому, что это никому не нужно.
Если из этого не делать основной способ защиты — то да, в этом нет ничего плохого. Вот только осознать и применять это можно только с опытом, новичкам лучше брать готовые протестированные методики и решения, чем велосипедить.
Я вообще не категоричен, и по мировозрению буддист.
Однако есть методики, которые приводят к правильным решениям, и есть методики, которые приведут к неправильным. В Ваших сообщениях и используемой Вами терминологии наблюдаются огрехи, которые говорят о некоторых пробелах в инфобезе.
Вы можете неверить мне, но другие комментаторы это подтвердят.
Поэтому советую прислушаться и взять из этого треда ценные мысли, это приведет к Вашему развитию не через метод проб и ошибок, который Вы бы получили, применяя неверные методики, а через опыт других.
У вас есть два варианта — вступить в полемику с каждым, или же просто прислушаться. Выбирайте.
Ерунда. Выше уже всё правильно написали — борьба со следствием, а не с причиной, попытка реализовать свой security through obscurity.
Если произошла компроментация сайта через хостинг, то причин оставаться на этом хостинге больше нет, а попытки ужиться с неожиданно появившимися «соседями», велосипедя с ксором паролей, уж извините, полный п___ц.
Начинать надо с оценки рисков, и если риск простоя, инфицирования, утечки для вашего бизнеса, завязанного на сайте, существенен, то минимизируйте его — используйте VPS, VDS, коло в конце концов, и конечно нанимайте адекватных специалистов по настройке серверов, используя всю мощь политик инфобеза, без велосипедов.
Увы, проблема финансовых компаний и банков в том, что они истинно веруют в аудиторскую часть 27001/PSI-DSS/Cobit, забивая на практическую часть этих же стандартов и рекомендаций, особенно в плане периодических пентестов.
В итоге в каждой «солидной» финансовой организации обязательно сидит свой безопасник, а то и два, жмякает раз в неделю на акунетикс, сканируя тот список узлов, который сам впишет, и создает красивый отчет для имитации бурной деятельности.
То, что эта деятельность далека от практической безопасности, понимают единицы в такой «солидной» финансовой организации, но их либо не слушают, либо они не хотят нести ответственность за новые расходы, которые нужно ещё обосновать и выбить.
В итоге имеем ту самую бумажную «безопасность», обвешанную сертификатами и бумажками, а с практикой фейл.
Вот вам ещё пара «игр» с хендлерами:
tel:callto:tel:callto:1 — креш на win7x64 при клике
tel:callto:tel:callto:tel:2 — ошибка посте отмены звонка «List index out of bounds (0)»
Не спорю, что реверс сумбурный, но ведь написано же:
Вредоносная программа не имеет особенных механизмов по компрометации других систем. Компрометации подвергаются только те из них, которые имеют слабые учетные данные входа в аккаунт. Moose не использует какие-либо уязвимости в ОС или ПО для компрометации других устройств.
Там было и детектирование посещения по времени отрисовки, и распознавание элементов страницы по view-source во фрейме при наложении фильтров, — и все это пофиксено в 13 году.
Интересно!
Также есть замечательное исследование тайминг атак с BH-13 media.blackhat.com/us-13/US-13-Stone-Pixel-Perfect-Timing-Attacks-with-HTML5-WP.pdf
Ребята заметили, что отрисовка элементов занимает некоторое время, увеличили это время с помощью фильтров и выводили среднее время задержки рендеринга для посещенной и непосещенной ссылки. На данный момент затронутая ими проблема пофиксена в ff/chrome/ie.
Да причем тут «минусите-не минусите», дело ж терминологии, а не в циферках на хабре.
Хотите быть вайтхатом — сообщайте все детали, не требуйте денег, просто поинтересуйтесь о наличии багбаунти.
Будете требовать компенсации за оказанную работу — вы грейхат.
Будете использовать уязвимости для своих целей без уведомления вендора или владельца сайта — вы блекхат.
Нет всё так, d00kie прав.
Требовать денег довольно «грязный» метод.
Приведу аналогию — мойщики лобовых стекол на перекрестках.
Да, МОЯ машина грязная. Но МНЕ решать, когда и как её мыть, а не ТОМУ человеку, кто подскочит, протрет 10 секунд лобовое стекло и тут же потребует денег.
Ведь любая работа должна оплачиваться?
0деев нет, но некоторые техники соц. инженерии, используемые группой, вызывают восхищение, тот же трюк с трекинг-сайтом + смс или же скрытие файлов на флешке + подмена имени файла + иконка.
Видно хорошее финансирование и технический опыт, а исходя из того, что спред шел через truecryptrussia, целью группы является сбор скрываемой кем-либо информации.
Можно легко предположить, какому ведомству это интересно.
Если у вас обычный сайт с сотней посетителей в сутки, спаммеру скорее всего не будет интересно затачивать решение — затраты время/профит несоразмерны, ему будет проще потратить время на другие сайты.
Если взять за пример сервисы Яндекса — то на следующий же день после ввода такой «капчи», без кавычек тут уж никак, в добрый десяток инструментов типо хрумера и яззла встроят автоматический обход.
Тоже самое и с массовым внедрением подобной «капчи» в CMS/форумы — обход данной «капчи» повысит профит, не тратя денег на распознавание графических капч людьми по 2$ за 1000 капч.
А для мелкого сайта с такой «капчей» идеально работает принцип неуловимого Джо. Вас не спамят только потому, что это никому не нужно.
Однако есть методики, которые приводят к правильным решениям, и есть методики, которые приведут к неправильным. В Ваших сообщениях и используемой Вами терминологии наблюдаются огрехи, которые говорят о некоторых пробелах в инфобезе.
Вы можете неверить мне, но другие комментаторы это подтвердят.
Поэтому советую прислушаться и взять из этого треда ценные мысли, это приведет к Вашему развитию не через метод проб и ошибок, который Вы бы получили, применяя неверные методики, а через опыт других.
У вас есть два варианта — вступить в полемику с каждым, или же просто прислушаться. Выбирайте.
Если произошла компроментация сайта через хостинг, то причин оставаться на этом хостинге больше нет, а попытки ужиться с неожиданно появившимися «соседями», велосипедя с ксором паролей, уж извините, полный п___ц.
Начинать надо с оценки рисков, и если риск простоя, инфицирования, утечки для вашего бизнеса, завязанного на сайте, существенен, то минимизируйте его — используйте VPS, VDS, коло в конце концов, и конечно нанимайте адекватных специалистов по настройке серверов, используя всю мощь политик инфобеза, без велосипедов.
www.forbes.com/sites/thomasbrewster/2015/06/02/video-shows-epic-russian-twin-hacker-arrest
В итоге в каждой «солидной» финансовой организации обязательно сидит свой безопасник, а то и два, жмякает раз в неделю на акунетикс, сканируя тот список узлов, который сам впишет, и создает красивый отчет для имитации бурной деятельности.
То, что эта деятельность далека от практической безопасности, понимают единицы в такой «солидной» финансовой организации, но их либо не слушают, либо они не хотят нести ответственность за новые расходы, которые нужно ещё обосновать и выбить.
В итоге имеем ту самую бумажную «безопасность», обвешанную сертификатами и бумажками, а с практикой фейл.
tel:callto:tel:callto:1 — креш на win7x64 при клике
tel:callto:tel:callto:tel:2 — ошибка посте отмены звонка «List index out of bounds (0)»
Также есть замечательное исследование тайминг атак с BH-13 media.blackhat.com/us-13/US-13-Stone-Pixel-Perfect-Timing-Attacks-with-HTML5-WP.pdf
Ребята заметили, что отрисовка элементов занимает некоторое время, увеличили это время с помощью фильтров и выводили среднее время задержки рендеринга для посещенной и непосещенной ссылки. На данный момент затронутая ими проблема пофиксена в ff/chrome/ie.
Хотите быть вайтхатом — сообщайте все детали, не требуйте денег, просто поинтересуйтесь о наличии багбаунти.
Будете требовать компенсации за оказанную работу — вы грейхат.
Будете использовать уязвимости для своих целей без уведомления вендора или владельца сайта — вы блекхат.
Требовать денег довольно «грязный» метод.
Приведу аналогию — мойщики лобовых стекол на перекрестках.
Да, МОЯ машина грязная. Но МНЕ решать, когда и как её мыть, а не ТОМУ человеку, кто подскочит, протрет 10 секунд лобовое стекло и тут же потребует денег.
Ведь любая работа должна оплачиваться?