Работодатель способен в рамках договора разрешить проникновение на территорию офиса и взаимодействие с техникой компании для сбора пруфов и демонстрации векторов проникновения, но личные пространства и устройства сотрудников неприкосновенны и разрешить пентестеру их использование способен только сам пользователь (маловероятно, правда?).
Если удалённые сотрудники используют корпоративную технику, то есть достаточное количество нефизических социальных векторов на проверку, но проникновение в жилище неприемлемо.
Выше уже написали про функциональность как важную составляющую, определяющую в том числе и популярность мессенджера. А популярность — это возможность найти в пользователях половину своей записной книжки и написать примерно каждому из них. Статья призвана ответить на вопрос, какому из популярных мессенджеров можно довериться больше остальных.
Для внутрикорпоративных конфиденциальных сообщений, конечно же, можно придумать кучу парноидальных решений или собрать конструктор из готовых и полуготовых. Тут всё верно.
Ну а лучше сообщать страшные тайны в шумной экранированной комнате тихим шёпотом собеседнику прямо в ухо.
А ещё лучше, ничего никому не рассказывать. Никогда.
А совсем классно вообще не иметь никаких секретов. Но это тоже вид утопии, к сожалению.
Считать можно вообще что угодно. Делать, в принципе, тоже. Разумеется, кроме размещения более чем одного комментария в час, этого ваша карма не позволяет. Не считайте за агрессию, пожалуйста. Вы пошутили, я пошутил, кто удачнее — непонятно, да и не важно.
Если серьёзно, то собирать адреса для социалки через вебинар о социалке — не самый изящный ход. Толсто. Жирно. Использовать эти адреса для имитации атак всё равно никто не будет и не сможет без явного выражения желания со стороны вашей компании (в виде легитимного договора), а в рамках собственно проекта ранее накопленные таким способом адреса не имеют высокой ценности. Не очень такой подход вписывается в формат OSINT.
В рамках проектов мы изначально ищем то, что «плохо лежит» или недостаточно хорошо скрывается, или неумело засвечено в паблике, затем предоставляем свои находки заказчику на фильтрацию и утверждение. Адреса с пометкой «собрано нами с помощью вебинара о социалке» плохо применимы для определения потенциальной поверхности социнженерной атаки. Сама имитация в большинстве случаев (кроме редтим-активностей) проводится строго по согласованному списку аккаунтов. И в него попадают не все адреса обнаруженные в паблике, но и не только те, что обнаружены там.
Иными словами, не стоит переживать, если ваш начальник захочет тестово профишить конкретно вас, ваша регистрация на этот вебинар ему никак не поможет. Зато, может помочь вам. Мало ли, вдруг что-то новое для вас обсудим?
Уверен, когда-нибудь, вебинар проведёт наш маркетинг (согласитесь, он у нас хорош?) и вот тогда есть смысл уточнить, почему именно корпоративные ящики, и что потом делают с адресами, и почему от этого сбора никто не страдает.
А пока не ищите большого заговора там, где его нет. И не злитесь, пожалуйста, если вы просто хотели пошутить, а я вывалил многобуквенный занудный комментарий.
Спасибо за отзыв. Негативные мнения куда полезнее для развития, чем позитивные.
В каком виде Вам было бы удобнее читать листинги? Специально посмотрел Вашу публикацию, примеров не нашёл, расскажите, пожалуйста.
Что касается информации по файлу, Вы как исследователь малварей прекрасно знаете сколько сегодня стоит закриптовать семпл и сколько раз на дню это можно делать. Хэш файла, созданного в январе 2014-го едва ли будет полезен кому-либо, но тем не менее, вот он: 830FED2ACA9DF73B7CF55FD7051ED5CD
Антивирусники же по понятным причинам не детектят его сигнатурно, адекватной эвристики для его поведения на момент проведения исследования тоже никто не предоставлял.
Тут Вам виднее, но мне всегда казалось, что прибыль финансовых площадок существенно меньше суммы оборотных средств на хранении и хищение даже небольшой части доверенных в управление средств больно ударит по карману. Иными словами, не обязательно выводить всё, площадка может накрениться и от небольших воздействий. Это в формате софистики.
А прятать неиспользуемые активы подальше — хороший подход, вносящий свой немалый вклад в защищённость.
Банки работают с легальными валютами в правовом поле и несут ответственность за вклады (добровольную или вынужденную). Банки вкладывают серьёзные деньги в безопасность и регулярно проводят пентесты и аудиты всего. Даже пользовательские хосты банки начали защищать как только мы и наши соседи по рынку предложили достаточно эффективные и изящные решения, работающие без установки на клиентские ПК (Кстати, если будут реквесты, мы, вероятно, даже сможем рассказать кое-что про технологию). И может быть удивлю, но по итогам 2014-го года мы зафиксировали снижение количества хищений. Наконец, банки могут преследовать взломщиков в законном поле и в перспективе возвращать часть украденного (Пример — группа Carberp).
Держатели онлайн-хранилищ в массе своей лишены этих преимуществ и если владелец ресурса не уйдёт в ночь по достижении некоторой суммы в активе, то весьма подвержен атакам, по результатам которых может лишиться всех доверенных в управление средств. Инцидент с Mt.Gox, пожалуй, самый известный, но далеко не единственный.
Семплы, которые мы исследовали, отстукиваются на f8b2b9.su
Естественно, сейчас домен снят с делегирования.
Ну и Вы же знаете, что систему, оперирующую крупными суммами, следует файерволлить белыми списками, а не чёрными? И фильтровать лучше внешним устройством.
Порталы-холдеры для криптокошельков — это, вероятно, очень удобная в использовании вещь, которая со временем накапливает существенную валютную массу и превращается в лакомый кусок для взломщиков.
Как уже писали в статье, мы не одобряем использование денежных суррогатов и ценим только фиатные валюты (опять-таки смайл был бы уместен), но если предположить, что всё же стали бы хранить деньги в криптокойнах, то скорее всего, не стали бы доверять свои кошельки сторонней площадке.
Атаки на криптокошельки сейчас в растущем тренде и следует ожидать дальнейшего увеличения таких активностей и миграции ряда технологий из банковских троянов в вирусы, подобные описанному. Появятся и автозаливы, и специфические зловреды для мобильных устройств. Защищённость онлайн-транзакций определяется защищённостью клиентской машины (логическое и) операторской части, а для клиента вторая составляющая всегда покрыта флёром тайны. В общем, самостоятельно защитить файл с платёжными данными, на мой взгляд, проще.
Про btcbank могу сказать, CentOS, Apache 2.2, PHP, JQuery. Судя по WHOIS, домен принадлежит Вам. Ещё могу сказать, что внутри Вас живёт талантливый маркетолог, который умело заносит ссылку на онлайн-холдер в тему про опасность хранения кошельков на домашнем/рабочем ПК.
Судя по входным данным, в ресурсе есть куда копать в плане безопасности, обратитесь к нам или другому крупному техаудитору, сможете выявить и устранить дыры, повесите на главной логотипчик «security tested by..» и повысите доверие пользователей. Кстати, мы не принимаем оплаты в криптовалютах. >smile type=«coin» /<
P.S. Извиняюсь за коммерческие настроения в комментариях.
Верно предполагаете, форки биткоина потому и называются форками, что они ветвятся от единого кода и обладают общими характеристиками. Иными словами, при верной методологии написать малварь, похищающую 80 видов кошельков совсем не в разы сложнее чем создать таковую под один форк. Мы постоянно видим примеры взлётов и падений разных валют, поэтому жадность вирусописателей можно понять: кто знает, сколько будет стоить через год монетка, которую сегодня можно взять даром?
Продвинутые пользователи на ресурсах посвящённых криптокоинам активно убеждают друг друга что шифрованный кошелёк — гарантия безопасности. И они не голословны, большинство специализированной малвари ограничивается кражей кошельков с надеждой на то, что они не защищены паролем.
А типичному пользователю под спойлером мы рассказали про криптовалюты немного общих вещей и порекомендовали отличную книгу.
Что касается сокращения статьи до «А вы знали...», не соглашусь с Вами, малварь из ряда вон выходящая по ряду параметров. Тут и охват разных видов криптовалют, и возможность похищения реквизитов доступа к шифрованным кошелькам, и ещё куча удивительных вещей.
Особенно любопытно, на наш взгляд то, что функция strlen, в общем-то реализующая функции защиты данных через контроль длины пароля к кошельку сама стала источником компрометации реквизитов доступа. Функцию хучат и перехватывают посылаемый на её вход пароль в открытом виде. Ну не забавно ли?
Мы могли бы назвать статью «Just Another Malware» (Согласитесь, JAM — удачная аббревиатура), но решили привлечь немного внимания. Надеюсь, желтизна никого не оскорбила.
Извините, но не по делу совсем комментарий. Борис Иванов сделал блестящую презентацию (не только моё мнение, пример отзыва есть даже в комментариях выше, если Вам так хочется линков — habrahabr.ru/company/dsec/blog/245203/ — оценили коллеги из DSec). Использование жаргона — личное дело Бориса, не находите? И к данному посту или комментарию этот вопрос едва ли имеет отношение.
Мой запрос пруфлинков относится к нижеприведённой цитате, которая явно нуждается в подтверждении:
А еще кто не вкурсе основатель этой компании в свое время был известным в узких кругах хакером-кардером специализирующимся на краже денег, интернет не даст соврать, каждый может нагуглить информацию и поднять из вебархива.
Впрочем, если ваша задача — потроллить в комментариях — то Вы уже победили, поздравляю!
Работодатель способен в рамках договора разрешить проникновение на территорию офиса и взаимодействие с техникой компании для сбора пруфов и демонстрации векторов проникновения, но личные пространства и устройства сотрудников неприкосновенны и разрешить пентестеру их использование способен только сам пользователь (маловероятно, правда?).
Если удалённые сотрудники используют корпоративную технику, то есть достаточное количество нефизических социальных векторов на проверку, но проникновение в жилище неприемлемо.
И сидим там один)
Выше уже написали про функциональность как важную составляющую, определяющую в том числе и популярность мессенджера. А популярность — это возможность найти в пользователях половину своей записной книжки и написать примерно каждому из них. Статья призвана ответить на вопрос, какому из популярных мессенджеров можно довериться больше остальных.
Для внутрикорпоративных конфиденциальных сообщений, конечно же, можно придумать кучу парноидальных решений или собрать конструктор из готовых и полуготовых. Тут всё верно.
Ну а лучше сообщать страшные тайны в шумной экранированной комнате тихим шёпотом собеседнику прямо в ухо.
А ещё лучше, ничего никому не рассказывать. Никогда.
А совсем классно вообще не иметь никаких секретов. Но это тоже вид утопии, к сожалению.
Считать можно вообще что угодно. Делать, в принципе, тоже. Разумеется, кроме размещения более чем одного комментария в час, этого ваша карма не позволяет. Не считайте за агрессию, пожалуйста. Вы пошутили, я пошутил, кто удачнее — непонятно, да и не важно.
Если серьёзно, то собирать адреса для социалки через вебинар о социалке — не самый изящный ход. Толсто. Жирно. Использовать эти адреса для имитации атак всё равно никто не будет и не сможет без явного выражения желания со стороны вашей компании (в виде легитимного договора), а в рамках собственно проекта ранее накопленные таким способом адреса не имеют высокой ценности. Не очень такой подход вписывается в формат OSINT.
В рамках проектов мы изначально ищем то, что «плохо лежит» или недостаточно хорошо скрывается, или неумело засвечено в паблике, затем предоставляем свои находки заказчику на фильтрацию и утверждение. Адреса с пометкой «собрано нами с помощью вебинара о социалке» плохо применимы для определения потенциальной поверхности социнженерной атаки. Сама имитация в большинстве случаев (кроме редтим-активностей) проводится строго по согласованному списку аккаунтов. И в него попадают не все адреса обнаруженные в паблике, но и не только те, что обнаружены там.
Иными словами, не стоит переживать, если ваш начальник захочет тестово профишить конкретно вас, ваша регистрация на этот вебинар ему никак не поможет. Зато, может помочь вам. Мало ли, вдруг что-то новое для вас обсудим?
Уверен, когда-нибудь, вебинар проведёт наш маркетинг (согласитесь, он у нас хорош?) и вот тогда есть смысл уточнить, почему именно корпоративные ящики, и что потом делают с адресами, и почему от этого сбора никто не страдает.
А пока не ищите большого заговора там, где его нет. И не злитесь, пожалуйста, если вы просто хотели пошутить, а я вывалил многобуквенный занудный комментарий.
Спасибо и заходите на ивент!
В каком виде Вам было бы удобнее читать листинги? Специально посмотрел Вашу публикацию, примеров не нашёл, расскажите, пожалуйста.
Что касается информации по файлу, Вы как исследователь малварей прекрасно знаете сколько сегодня стоит закриптовать семпл и сколько раз на дню это можно делать. Хэш файла, созданного в январе 2014-го едва ли будет полезен кому-либо, но тем не менее, вот он: 830FED2ACA9DF73B7CF55FD7051ED5CD
Антивирусники же по понятным причинам не детектят его сигнатурно, адекватной эвристики для его поведения на момент проведения исследования тоже никто не предоставлял.
А прятать неиспользуемые активы подальше — хороший подход, вносящий свой немалый вклад в защищённость.
Банки работают с легальными валютами в правовом поле и несут ответственность за вклады (добровольную или вынужденную). Банки вкладывают серьёзные деньги в безопасность и регулярно проводят пентесты и аудиты всего. Даже пользовательские хосты банки начали защищать как только мы и наши соседи по рынку предложили достаточно эффективные и изящные решения, работающие без установки на клиентские ПК (Кстати, если будут реквесты, мы, вероятно, даже сможем рассказать кое-что про технологию). И может быть удивлю, но по итогам 2014-го года мы зафиксировали снижение количества хищений. Наконец, банки могут преследовать взломщиков в законном поле и в перспективе возвращать часть украденного (Пример — группа Carberp).
Держатели онлайн-хранилищ в массе своей лишены этих преимуществ и если владелец ресурса не уйдёт в ночь по достижении некоторой суммы в активе, то весьма подвержен атакам, по результатам которых может лишиться всех доверенных в управление средств. Инцидент с Mt.Gox, пожалуй, самый известный, но далеко не единственный.
Естественно, сейчас домен снят с делегирования.
Ну и Вы же знаете, что систему, оперирующую крупными суммами, следует файерволлить белыми списками, а не чёрными? И фильтровать лучше внешним устройством.
Как уже писали в статье, мы не одобряем использование денежных суррогатов и ценим только фиатные валюты (опять-таки смайл был бы уместен), но если предположить, что всё же стали бы хранить деньги в криптокойнах, то скорее всего, не стали бы доверять свои кошельки сторонней площадке.
Атаки на криптокошельки сейчас в растущем тренде и следует ожидать дальнейшего увеличения таких активностей и миграции ряда технологий из банковских троянов в вирусы, подобные описанному. Появятся и автозаливы, и специфические зловреды для мобильных устройств. Защищённость онлайн-транзакций определяется защищённостью клиентской машины (логическое и) операторской части, а для клиента вторая составляющая всегда покрыта флёром тайны. В общем, самостоятельно защитить файл с платёжными данными, на мой взгляд, проще.
Про btcbank могу сказать, CentOS, Apache 2.2, PHP, JQuery. Судя по WHOIS, домен принадлежит Вам. Ещё могу сказать, что внутри Вас живёт талантливый маркетолог, который умело заносит ссылку на онлайн-холдер в тему про опасность хранения кошельков на домашнем/рабочем ПК.
Судя по входным данным, в ресурсе есть куда копать в плане безопасности, обратитесь к нам или другому крупному техаудитору, сможете выявить и устранить дыры, повесите на главной логотипчик «security tested by..» и повысите доверие пользователей. Кстати, мы не принимаем оплаты в криптовалютах. >smile type=«coin» /<
P.S. Извиняюсь за коммерческие настроения в комментариях.
А типичному пользователю под спойлером мы рассказали про криптовалюты немного общих вещей и порекомендовали отличную книгу.
Особенно любопытно, на наш взгляд то, что функция strlen, в общем-то реализующая функции защиты данных через контроль длины пароля к кошельку сама стала источником компрометации реквизитов доступа. Функцию хучат и перехватывают посылаемый на её вход пароль в открытом виде. Ну не забавно ли?
Мы могли бы назвать статью «Just Another Malware» (Согласитесь, JAM — удачная аббревиатура), но решили привлечь немного внимания. Надеюсь, желтизна никого не оскорбила.
Мой запрос пруфлинков относится к нижеприведённой цитате, которая явно нуждается в подтверждении:
Впрочем, если ваша задача — потроллить в комментариях — то Вы уже победили, поздравляю!