• Как злоумышленники могут читать вашу переписку в Telegram. И как им в этом помешать
    0
    Отнюдь. Как могут заходить в чужие аккаунты — понятно. А вот, как перехватывают СМС, есть несколько гипотез: нелегальное использованием специальных технических средств, инсайд у операторов или новый вектор атаки на протоколы SS7 сотовой связи (на стандартную схему не похоже).
  • Как злоумышленники могут читать вашу переписку в Telegram. И как им в этом помешать
    –2
    это не самоцель)
  • Как злоумышленники могут читать вашу переписку в Telegram. И как им в этом помешать
    –1
    Не совсем так. СМИ ссылаются на релиз новости www.group-ib.ru/media/telegram-two-factor. А текстом на Хабре мы решили предупредить об угрозе читателей нашего блога.
  • Как злоумышленники могут читать вашу переписку в Telegram. И как им в этом помешать
    –2
    Мы сейчас получаем много сообщений об аналогичных случаях. Рекомендуем вам:
    на устройствах iOS и Android для Telegram необходимо перейти в настройки Telegram, выбрать вкладку «Конфиденциальность» и назначить «Облачный пароль\Двухшаговую проверку» или «Two step verification». Детальное описание по включению этой опции дано в инструкции на официальном сайте мессенджера: telegram.org/blog/sessions-and-2-step-verification
  • Как злоумышленники могут читать вашу переписку в Telegram. И как им в этом помешать
    –5
    Это верно подмечено — проблема не только у Telegram, это вообще глобальная проблема доверия к СМС как к безопасному каналу связи. Мессенджеры оказались первыми под угрозой, поскольку там основная авторизация идет через СМС.
  • Как злоумышленники могут читать вашу переписку в Telegram. И как им в этом помешать
    –4
    в этих случаях клона симки не было.
  • Явка провалена: выводим AgentTesla на чистую воду. Часть 1
    –1
    спасибо, enjoy!
  • Кейлоггер с сюрпризом: анализ клавиатурного шпиона и деанон его разработчика
    0
    Закрепляться в системе или нет — это опция. Клиент может ее не выбрать. Тогда малвара закрепляться в системе не будет. А во-вторых, если антивирус не делает этого автоматически, то эта функция не принесет пользы, потому что датастиллер начинает кражу данных сразу, как только запустился.
  • Убийца iOS: джейлбрейк с помощью checkra1n в вопросах и ответах
    0
    Проблема специфическая, это правда.
    Для обычного пользователя основная проблема — это краденые айфоны с поломанной системой активации, которые скоро заполонят доски объявлений.
    Для необычного пользователя проблема в том, что, зная код-пароль, можно извлечь значительно больше данных, чем позволяет стандартная процедура iTunes backup.
    Про перебор паролей: как и было отмечено, скорее всего, iPhone 4S и 5 позволят перебрать код-пароли полностью. Для новых, в которых есть security enclave, перебор будет ограничен (по некоторым данным, быстрый перебор порядка 600 000 значений, потом «медленный режим»). На данный момент это не реализовано, но, очевидно, не за горами.
    Для параноиков — теперь возможна загрузка в недоверенную ОС, поэтому можно осуществить загрузку iPhone в некую левую OS (например, модифицированную iOS, но на самом деле загружаться можно во что угодно, ждем Android для iPhone), которая до перезагрузки будет отправлять данные пользователя куда угодно и следить как угодно. Для этого достаточно оставить устройства где угодно на несколько минут. При этом обход пароля не требуется — просто загрузка в недоверенную ОС, а пользователь потом сам разблокирует её своим код-паролем, расшифровав устройство.
  • Это всё, что останется после тебя: криминалистические артефакты шифровальщика Troldesh (Shade)
    0
    Нет, не существует.
  • Это всё, что останется после тебя: криминалистические артефакты шифровальщика Troldesh (Shade)
    +1
    спасибо, пофиксили
  • Ключ на старт: лучшие программные и аппаратные средства для компьютерной криминалистики
    0
    Это какие-то старые скандалы. Они были обусловлены не невозможностью взлома подобных устройств в принципе, а в цене, которую компании просили за эту услугу.
    В 2018 году было анонсировано аппаратное средство GrayKey, извлекающее данные из запароленных iPhone. После этого о «громких скандалах» мы не слышали. Сейчас на рынке появилось решение другой компании – Cellebrite UFED Premium, которое имеет даже больший функционал чем GrayKey.
    Технически, извлечение данных из заблокированного iPhone и восстановление PIN-кода, это две разных не связанных друг с другом задачи. Т.е., успех извлечения данных из заблокированного iPhone не связан с тем, будет ли восстановлен PIN-код.
  • Ключ на старт: лучшие программные и аппаратные средства для компьютерной криминалистики
    –1
    Экспертная деятельность в России регламентируется федеральным законом «О государственной судебно-экспертной деятельности в Российской Федерации», часть положений которого распространяется на негосударственных экспертов.
  • Ключ на старт: лучшие программные и аппаратные средства для компьютерной криминалистики
    –1
    Похоже, это что-то из серии «вредных советов».
  • Ключ на старт: лучшие программные и аппаратные средства для компьютерной криминалистики
    0
    Live CD сейчас используются очень редко по причине отсутствия CD/DVD-приводов в исследуемых устройствах. Обычно, используется загрузочная флешка. Контрольную сумму можно посчитать, например, использовав соответствующую команду Linux. Криминалистические утилиты, как правило, делают это автоматически при клонировании накопителя.
    Если мы говорим о проведении неких процессуальных действий (а откуда иначе возьмутся понятые), то еще в конце 90-х годов прошлого века, существовали методические рекомендации, в которых было написано, что привлекать к подобным действиям надо граждан, которые имеют профильное образование (программисты, системные администраторы, иные IT-специалисты) и понимают, что происходит.
    Достоверность создания криминалистической копии и отсутствие модификации данных при копировании подтверждается предварительным тестированием аппаратных и программных средств, используемых для осуществления подобной процедуры. Отчеты о тестировании открыты для всех желающих. Вы можете их найти, например, на сайте NIST (National Institute of Standards and Technology), в разделе ‘Disk Imaging’. Там находится огромное количество отчетов с результатами тестов.
  • Ключ на старт: лучшие программные и аппаратные средства для компьютерной криминалистики
    0
    image
  • Ключ на старт: лучшие программные и аппаратные средства для компьютерной криминалистики
    0
    Частично, ответ на этот вопрос будет дан в последующий статьях. Следите за нашими публикациями. Если же вас интересует конкретная ситуация, напишите об этом (с указанием производителя устройства, модели, версии ОС и т.д.).
  • Ключ на старт: лучшие программные и аппаратные средства для компьютерной криминалистики
    0
    Подобный случай произошел с одним из наших коллег несколько лет назад. Все было точь-в-точь как вы написали. Файл «Главный Секрет.rar» неожиданным образом появился на рабочем столе профиля владельца компьютера. Доказательство того, что файл был подброшен было построено экспертом на анализе временных штампов, хранящихся в метафайлах файловой системы NTFS.
  • Ключ на старт: лучшие программные и аппаратные средства для компьютерной криминалистики
    –2
    Вопросы о том, что мы рекомендуем купить из криминалистического софта и какие продукты (в определенной категории, например, для исследования мобильных устройств) лучше других и почему, нам задают постоянно. Как минимум раз в неделю. Собственно, это и послужило стимулом для написания этой статьи.

    Chain of custody представляет собой бланк, в котором описывается движение вещественного доказательства с момента изъятия до момента поступления в суд. В действующем российском законодательстве наличие такого бланка не регламентировано. Обычно в России вещественные доказательства передаются по правилам, установленным ведомственными (межведомственными) приказами по документообороту (передаче вещественных доказательств). В ряде случаев, при передаче вещественных доказательств может быть задействована фельдъегерская служба.

    Если же вас интересуют системы менеджмента, применяемые в криминалистических лабораториях, напишите об этом. Мы осветим эту тему в одной из последующих статей.

    Для того чтобы случайно или намеренно не изменить данные на исследуемом носителе информации применяются аппаратные (программные) блокираторы записи или автономные дубликаторы. Часть подобных устройств описана в нашей статье.
    Неизменность цифровых доказательств, в классическом случае, обеспечивается сравнением хеш- суммы созданной копии исследуемого носителя информации с хеш-суммой данных, находящихся на носителе.
    Иногда, подсчитать подобную хеш-сумму для носителя информации невозможно. Например, если подсчитывается хеш-сумма жесткого диска на котором «сыпется» поверхность. Для такого диска хеш-сумма каждый раз будет разная. В этом случае, применяются другие криминалистические техники.

    Как бы это не прозвучало банально, подброшенные цифровые доказательства часто просто видно. Если у вас (ваших друзей, знакомых и т.д.) случилась подобная беда, вы можете обратиться в нашу компанию. Мы постараемся помочь.
  • Ключ на старт: лучшие программные и аппаратные средства для компьютерной криминалистики
    0
    Уточните, пожалуйста, что вы имели ввиду?
    Можно ли сбросить счетчик Knox? Для ряда моделей это возможно.
    Возможно ли прочитать данные, зашифрованные Knox? Успех/ не успех извлечения данных будет зависеть от того: какая модель устройства исследуется, какая версия ОС на нем установлена, какие обновления безопасности установлены на устройстве и какая версия Knox используется.
  • Четыре JavaScript-сниффера, которые подстерегают вас в интернет-магазинах
    0
    Вы правы, этот скрипт — представитель одного из семейств JS-снифферов. Брутфорс-атаки на административные панели CMS и веб-интерфейсы систем управления БД (phpMyAdmin) являются одним из способов установки снифферов на целевой сайт, это достигается за счет того, что многие структурные элементы сайта хранятся именно в БД, к примеру, нам известны случаи, когда атакующие перезаписывали в базе данных сайта элемент, соответствующий footer-у и внедряли в него вредоносный скрипт для кражи карт. Именно поэтому так важно использовать стойкие пароли, регулярно ставить обновления и ответственно относиться к безопасности, особенно когда пользователи доверяют магазину свои платежные данные.
  • Четыре JavaScript-сниффера, которые подстерегают вас в интернет-магазинах
    +1
    Зачастую установить способ заражения сайта без проведения криминалистической экспертизы почти невозможно. Как было описано в части «Анализ сайта злоумышленников» для сниффера Illum, на их сайте мы обнаружили два эксплоита, которые могут применяться для внедрения вредоносного кода в Magento-сайты. Также, помимо эксплоитов, злоумышленники используют брутфорс-атаки на phpMyAdmin и административные панели Magento.

    К сожалению, пользователь перед этой угрозой почти беззащитен, вы правы. Мы рекомендуем для платежей в Интернете использовать либо виртуальную карту, либо отдельную карту для онлайн-платежей, на которой всегда будет только та сумма, которая необходима для конкретного онлайн-платежа.
  • По следам RTM. Криминалистическое исследование компьютера, зараженного банковским трояном
    0
    Олег Скулкин: «Тут зависит от конкретного инцидента. Если ты имеешь ввиду, что была компрометация терминального сервака, а потом с определенной учеткой начали лэтэрить по сети, тут, конечно, другое (такое, кстати, возможно, был на моей практике случай, когда заветное письмо открыл как раз доменный админ). Тем не менее, если у тебя есть имя учетки, ты уже примерно знаешь (а то и точно), каким имэйлом она пользуется, если доступ к PDD мылу осуществляется через браузер, можно копнуть туда, если используется почтовый клиент, всегда можно попробовать письмо восстановить. Более того, у многих трет акторов довольно определенный первоначальный вектор компрометации, что позволит тебе делать довольно неплохие предположения на основе анализа иных криминалистических артефактов».
  • WhatsApp на ладони: где и как можно обнаружить криминалистические артефакты?
    0
    Хакер — это святое, а мы тут вообще про другое.
    В этой статье мы описываем криминалистические артефакты WhatsApp, которые можно найти в разных операционных системах. А в проекте, на который вы ссылаетесь, приводится программа, которая расшифровывает ТОЛЬКО резервные копии WhatsApp и ТОЛЬКО под ОС Андроид.
    Мы про это тоже расскажем чуть позже и с нашей колокольни — в части «Расшифровка зашифрованных баз WhatsApp». Оставайтесь с нами.
  • Спецкурс Group-IB: “Безопасность мобильных приложений”
    0
    Добрый вечер! Курс стартует 4 октября. Занятия будут проходить на базе НОЦ ИУ-8 МГТУ им.Баумана еженедельно по четвергам с 19:10 по 20:45. Продолжительность — два месяца.
  • Спецкурс Group-IB: “Безопасность мобильных приложений”
    0
    Добрый вечер. Да, пока у нас только очная форма обучения.
  • Деньги на ветер: почему ваш антифишинг не детектирует фишинговые сайты и как Data Science заставит его работать?
    0
    Верно, если поменять 1 байт — то алгоритм, описанный в данном посте, не будет работать.
    Для решения этой проблемы нужно использовать перцептивные функции хеширования.
    Но это тема отдельной статьи.
  • Деньги на ветер: почему ваш антифишинг не детектирует фишинговые сайты и как Data Science заставит его работать?
    0
    1) Каждая построенная группа проверяется вручную, поэтому точность кластеризации оценивается так: количество утвержденных групп, разделённое на общее количество построенный групп. Что касается качества классификации, то оно, очевидно 100%, т.к. все работающие группы утверждены вручную.
    2) Конечно. После построения группы, она начинает использоваться «в боевом режиме». Все новые URL, попавшие под утвержденную группу отправляются на дальнейшую обработку в CERT.
    3) Верно, Spark, Dask тут совсем не применимы. Объем данных — по 10 000-20 000 новых урлов. При этом для каждого урла свои ресурсы. Если создавать матрицу наличия или отсутствия ресурсов, то она даже в оперативную память не поместиться. Прикидывали (на бумаге, естественно), примерно около 1 ТБ будет ;)
  • Схемы хищений в системах ДБО и пять уровней противодействия им
    0
    Добрый день, спасибо за вопросы. Давайте попорядку.

    1) В отчете за 2017 год ФинСЕРТа (https://www.cbr.ru/StaticHtml/File/14435/survey_transfers_17.pdf) такая статистика отсутствует. В статье РБК (https://www.rbc.ru/finances/05/12/2016/5841a0d09a7947609e31b649) утверждается, что “Как свидетельствует статистика ЦБ, банкам и регулятору в этом году удается предотвратить хищение не более чем 2–3% средств”. Эта статистика разнится от банка к банку.
    2) Антивирусная защита срабатывает не сходу. Тому немало примеров. Вот один из них — www.group-ib.ru/blog/android. К сожалению, трояны пробираются и в официальный Google Play — www.symantec.com/blogs/threat-intelligence/persistent-malicious-apps-google-play. Мы зафиксировали 136% рост ущерба от мобильных зловредов в период с 2 кв. 2016 по 1 кв. 2017 года по отношению к предыдущему периоду. Цифры говорят сами за себя.
    3) Это смотря с чем сравнивать. Мы видим устойчивую тенденцию по снижению ущерба от банковских троянов под десктопы из года в год. Во-вторых, эта малварь вторая по распространенности в почтовом трафике, канале который используется для инфицирования десктопов. Сложно судить, насколько ее много по сравнению с мобильными троянами и насколько велик ущерб от нее по сравнению с другими мошенничествами (соц. инженерией).
  • Схемы хищений в системах ДБО и пять уровней противодействия им
    0
    Верно, платежная информация из скрипта (или Mobile SDK) в облачную инфраструктуру не поступает.
  • Схемы хищений в системах ДБО и пять уровней противодействия им
    0
    Нет, это полностью делается на серверной стороне.
  • Схемы хищений в системах ДБО и пять уровней противодействия им
    +2
    Подробнее о кейсе «Банки на ладони» можно прочитать здесь www.group-ib.ru/media/fake-bank-app-detention. Если вас интересуют расследования, как выслеживают и ловят киберпреступников, посмотрите вот эти публикации: vc.ru/38583-true-cyberdetective и habr.com/company/group-ib/blog/412895
  • Схемы хищений в системах ДБО и пять уровней противодействия им
    +1
    Обходим очень просто — мы не собираем банковскую тайну. И для гарантии мы передаем js-код заказчику для размещения и распространения в составе веб-приложения с его ресурсов. Так же заказчик имеет возможность самостоятельно ознакомиться с содержимым передаваемых данных. Часть данных может быть отнесена к пользовательским данным, поэтому мы рекомендуем внесение собираемого перечня данных в соглашение с пользователем. Часто это делается в форме оферты.
  • Схемы хищений в системах ДБО и пять уровней противодействия им
    +1
    Отличный вопрос. Во-первых, JavaScript-код обфусцирован и в нем не так-то просто разобраться. Во-вторых, запросы закодированы и содержат код проверки целостности. Очевидно, что можно потратить время и разреверсить обфусцированный js-код. Для того, чтобы отбить аппетит делать это, в арсенале есть динамическая обфускация с переменными параметрами кодирования и вычисления кода целостности отправляемых данных.
  • Схемы хищений в системах ДБО и пять уровней противодействия им
    +1
    Нет, не мешают. Использование KeePass или иных менеджеров паролей детектируется, и отличается от использования копирования из буфера обмена мышкой или клавиатурой. Это все так же учитывается в индивидуальном профиле пользователя и используется при выявлении аномалий в поведении.
  • Когда хакеры быстрее антивирусов
    0
    Андрей Зосимов: «Антивирусы используют сигнатурный и эвристические методы обнаружения вредоносных файлов. С сигнатурным вроде как всё понятно — злоумышленники изменили документ, пусть и незначительно, и этого хватило. В этом, как мне кажется, их главная ошибка здесь, необходимо было изучить уязвимость и правильно написать сигнатуру. Другой, эвристический, разделяется на два — статический и динамический. Статический анализ тут осуществить довольно проблематично, так как сам по себе документ не является исполняемым, поэтому сложно определить к чему в конечном итоге приведет запуск файла. Остается динамический — но тут, как я полагаю, антивирусы не умеют исполнять документы ввиду некоторых особенностей своей песочницы.
    Получается, что их единственной возможностью (в данном случае) является сигнатуный анализ, который не справился со своей задачей. Я думаю, что Ваш вопрос не совсем корректен — нельзя сравнивать нашу собственную железку с обычным антивирусным решением, которое разрабатывается под среднестатистические компьютеры с большими ограничениями в ресурсах.С другой стороны, возможно, антивирусное решение могло бы обнаружить подозрительное поведение при запуске документа, я не проверял.
    Кстати, существует эксплоит, который перед запуском нагрузки предварительно эскалирует привилегии до system. Вряд ли антивирус сумеет такой файл блокировать уже в момент работы».
  • По следу Cobalt: тактика логической атаки на банкоматы в расследовании Group-IB
    0
    Возможно, декодирование не получается из-за того, что строка пароля в вашем Groups.xml не кратна 4, следует добавить к ней символы "=". И декодировать следует в файл (обычные онлайн декодеры могут не подойти, нужно использовать Base64 to file или Base64 to Hex)
  • По следу Cobalt: тактика логической атаки на банкоматы в расследовании Group-IB
    +1
    Используется DNS туннелирование с периодом ожидания, инкапсулированный траффик шифруется — при отправки информации с зараженных машин в логах просто периодически возникают DNS запросы «длинных» случайных поддоменов.