Pull to refresh
64K+
333

Пользователь

150,7
Rating
1 179
Subscribers
Send message

Это все равно, как по мне, уход от проблемы вместо решения ее причины. Если у вас большое доверие клиенту, то как ни обфусцируй код, все равно найдется упертый хакер, который это расковыряет и будет эксплуатировать. А если система спроектирована грамотно и на клиенте никаких решений не принимается, то можно хоть исходники в паблик выкладывать, это ничего не даст хакеру.

Вы рассуждаете как человек, умеющий писать безопасный код. В реальности таких людей - единицы. Фокус разработчика в первую очередь на фичах, которые помогают зарабатывать, а безопасность - это расходы. В идеальном мире все знают, как делать безопасно, но за 10 лет практики я редко встречал такие приложения.

Вот хороший пример, когда обфускация кода никак не поможет. Заметки должны храниться зашифрованными, а ключ должен лежать в системном хранилище, откуда его не достать, если подпись приложения и bundle id отличается. Все! Хоть в опенсорс эти заметки выкладывай, достать из них данные без взлома операционной системы не выйдет. Ну и если приложение хоть трижды обфусцировано, но при этом заметки в плейнтексте, даже пытаться расковыривать приложение не придется.

В вашем примере есть одно важное допущение: приложение не содержит других уязвимостей к описанной вами безопасной реализации у меня наберется с десяток примеров прочих уязвимостей, которые позволят сломать даже такую защищенную реализацию: манипулирование фрагментами, небезопасное межпроцессное взаимодействие во всех вариациях, атаки через диплинки, трюки с webview и многое-многое другое...

К чему я это все: предложенная вами схема действительно правильная, вот только на просторах мобильных приложений идеальных реализаций я не встречал еще ни разу.

Добрый день! Мы призываем исследователей выстраивать сотрудничество с производителями ПО согласно политике ответственного разглашения — сообщая об этом вендорам для своевременного устранения уязвимостей до того, как это станет известно реальным злоумышленникам.

Мы непрерывно работаем над повышением безопасности своих продуктов. В числе мер по улучшению их защищенности, например, наша программа вознаграждения за найденные уязвимости. В область действия программы входит и продукт MaxPatrol VM. За обнаруженные недостатки в защите исследователи могут получить до 2 млн рублей. С условиями участия можно ознакомиться на сайте.

Команда работает над решением данного вопроса. Пользователям продукта мы рекомендуем перед отправкой логов удалять чувствительные данные.

По сути, Themida, используемая криптором, не имеет каких-то модификаций, следовательно он поддается распаковке с помощью open-source утилит.

Да, всё так. Там в архиве явно не документы Word, и пользователь чаще всего не придает этому значение. Действительно, сценарий фишинга достаточно простой и часто используемый.

Не совсем. Пользователь под Windows должен скачать архив со зловредом, открыть его в 7-Zip, затем открыть вложенный архив и во вложенном архиве запустить зловредный файл. Тогда этот запуск не заблокируется функцией SmartScreen Microsoft Defender-а. То есть атака упрощается.

Спасибо за комментарий. Вообще, основная цель исследования в том, чтобы показать актуальное состояние именно рынка киберпреступных услуг и товаров. Хотим показать, как развивается преступный хакерский рынок и к чему может привести такое развитие.
Также обращаем внимание в статье, к чему уже проявляют интерес киберпреступники. Так сказать, какие наметились тренды в этой сфере..

Спасибо за внимание к статье. Она посвящена именно инфобезу. Расширенную версию можно посмотреть здесь: https://www.ptsecurity.com/ru-ru/research/analytics/rynok-kiberprestupnosti/

В данном случае речь шла не о правилах детектирования вредоносных файлов endpoint-решениями, а о правилах обнаружения аномалий и поиска угроз средствами киберразведки. Подходы указанных направлений к обнаружению угроз несколько отличаются и имеют свою собственную специфику.

Сертификаты Х.509, использованные APT-группировкой DarkGaboon, являются именно поддельными, т.к. в действительности они не выпускались никаким из удостоверяющих центров и были изготовлены с использованием специализированных утилит, дублирующих содержимое оригинальных валидных сертификатов. Подобные утилиты доступны как в Интернете в виде исполняемых файлов и Python-скриптов, так и в рамках пакета услуг, предоставляемых сервисами-крипторами. Исследование показало, что обнаруженные сертификаты являются изготовленными подобным образом поддельными дубликатами оригинальных сертификатов, использованных при подписании программного кода легитимного программного обеспечения, в т.ч. доступного в настоящий момент на официальных сайтах ряда российских разработчиков, бренды которых были незаконно использованы APT-группировкой DarkGaboon. Факт подделки вскрывается при проверке валидности сертификатов. Подобная техника способна ввести в заблуждение ряд средств защиты информации.

Правильные ответы такие:

1.       Группировка называется «Ленивые коалы»:

https://habr.com/ru/companies/pt/articles/805087/

2.       Рубрика называется «Оголяемся технологически»:

https://habr.com/ru/companies/pt/articles/829956/

https://habr.com/ru/companies/pt/articles/831106/

https://habr.com/ru/companies/pt/articles/857760/

3.       По подсчетам наших экспертов, самыми опасными уязвимостями отличились продукты Microsoft

4.       Мы не зря дали подсказку скрытым текстом. Всё написано на обложке к статье:

https://habr.com/ru/companies/pt/articles/840266/

Это, конечно, частный случай, и отрезок времени для каждого бизнеса будет свой.

5.       В иллюстрации мы зашифровали такие статьи:

-          «Баг в ВК, или Как поступить на факультет пиратов»

https://habr.com/ru/companies/pt/articles/864616/

-           «Любовь в каждой атаке…» (конверт с сердечком)

-          https://habr.com/ru/companies/pt/articles/807393/

-          «Почту на прокачку…» (буквы MS на сугробе :))

-           «Профессия “Белый хакер”» (на кнопке перехода написано «Следуй за белым хакером», ну, а дальше ассоциации с белым кроликом и – погнали!)

https://habr.com/ru/companies/pt/articles/813137/

-          «Опасное цифровое наследство» (бегущая, или пьяная (?) «симка»)

https://habr.com/ru/companies/pt/articles/856538/

-           «Ледибаг в деле…» (божья коровка)

https://habr.com/ru/companies/pt/articles/847740/

 

А также две статьи про багхантинг (летящие жуки), несколько статей с упоминанием матрицы MITRE ATT&CK (зеленый код на экране ноута), рубрику «Оголяемся технологически» (скелет на экране планшета), статьи про методологию ХардкорИТ (гитара с надписью Rock&Roll Forever) и EDR (щит). Черные коты встречаются в названиях и в картинках сразу в трех статьях – «Почему котику лучше в коробке», «Killchain из восьми шагов и котики», а также «Создание GitHub бота для сообщества»:

https://habr.com/ru/companies/pt/articles/802697/

https://habr.com/ru/companies/pt/articles/841072/

https://habr.com/ru/companies/pt/articles/851940/

 

6.       Это «Хулиномика», можете проверить:

https://habr.com/ru/companies/pt/articles/835758/

7.       Тату. С татуировками не принято пускать в японские бани, такая у них борьба с якудза, у которых есть татуировки. Людей с татушками как бы отфильтровывают на входе, это похоже на работу файрвола. С другой стороны, и на файрвол бывает проруха, поэтому недопуск европейца с татухой похоже на типичное ложное срабатывание, считает наш коллега. Вот здесь подробнее можно почитать про другие занятные сравнения и параллели:

https://habr.com/ru/companies/pt/articles/828472/

8.       Стеганография, а причем тут романтика можно почитать здесь:

https://habr.com/ru/companies/pt/articles/807393/

9.       Тут требовалась смелость ответить «Все три пункта подходят».

 https://habr.com/ru/companies/pt/articles/793648/

10.   В железе. Таня сама задаётся этим вопросом в названии:

https://habr.com/ru/companies/pt/articles/854290/

Привет всем!

 

Понимаем, что абсолютно точно ответить на все вопросы, включая зашифрованную обложку, сложно, поэтому мы и решили, что победит тот, кто максимально полно ответит на вопросы.

Итак, абсолютно точно победителями становятся fnatikjke и DiaTDS111. Оба сразили наповал редакцию блога упорством и волей к победе, а fnatikjke еще и оказался очень близок к разгадке «пасхалки от дизайнера», как мы ее тут у себя назвали. Нужно было просто идти от обратного и вспомнить музыкальный стиль, противопоставленный рок-н-роллу, и найти/вспомнить материалы про одну там методологию.

С третьи победителем было сложно, и все-таки мы решили, что это AVX. Пусть ответы были неполные, «ленивые» как коалы :) и местами неверные, но внимание к статье в канун Нового года само по себе заслуживает уважения и подарка.

По-здра-вля-ем!

Дорогие победители, присылайте в личку свои контакты.

Еще раз спасибо всем участникам. Было весело, как-нибудь обязательно повторим.

Всем привет! Стоп, игра! Спасибо большое за участие всем. Мы изучим ответы и вернемся в скором времени.

зы. все-таки пасхалку дизайнеров не разгадали:)

Видим правильные ответы:) Спасибо всем, кто участвует и отвечает, особенно так подробно.

Кстати, с черным котом получается целых три правильных ответа, и все они были на обложках к статьям (две статьи уже назвали). И ещё на картинке пока никто не обратил внимание на особенного жука. Играем дальше!

зы а вот гитара на обложке -- это уже наш прекрасный иллюстратор, кажется, решил поиграть с модератором :)

Спасибо, дельное замечание. Расскажете подробнее?

Спасибо за внимание к статье. Подробности раскроем во второй части.

Спасибо за комментарий. Обязательно напишем вторую часть, где расскажем все подробности.

Связи с группой, которую вы назвали, нет.

Спасибо за внимание к статье и вопрос. При изначальном подходе первая линия собирала данные, решала типовые проблемы, а в ином случае отдавала запрос дальше, где уже вторая линия начинала анализ, а это затягивало срок решения. Теперь инженер, который взял запрос, продолжает анализ, консультируясь (при необходимости) внутри команды и только в особо тяжелых случаях будет передавать запрос на эксперта внутри команды. Что должно сокращать время решения обращений и улучшать качество их обработки.

Information

Rating
Does not participate
Works in
Registered
Activity