Pull to refresh
202.2
Karma
10
Rating
  • Followers 509
  • Following 4

Как обнаружить атаки на Windows-инфраструктуру: изучаем инструментарий хакеров

Спасибо за вопрос. Мы провели небольшое исследование на эту тему. Рассмотренные в статье инструменты используют системные директории – те же директории, которые разрешены в SRP с запретом на выполнение из всех папок кроме Program Files и Windows. Для неограниченной работы инструментов может быть необходим аккаунт с правами администратора.

На машинах без домена могут возникнуть проблемы с ошибкой access denied – это происходит потому, что по умолчанию на них отключен доступ к системных шарам, в том числе для локального администратора. Из-за этого некоторые модули, например, использующие RPC, не смогут выполниться. Эти проблемы решаются включением учетной записи встроенного локального администратора через удаленный реестр

Доступ к сетям сигнализации SS7 через радиоподсистему – теперь это возможно

Доступный SSH с дефолтным логином/паролем, отсутствие изоляции пользовательского сегмента.

Доступ к сетям сигнализации SS7 через радиоподсистему – теперь это возможно

А есть примеры?

Есть, но мы не можем разглашать информацию ни об операторах у которых они имеют подключения, ни об операторах/абонентах на которые они проводят атаки. Информация передана операторам.

Кем и когда он считался? В статье правильно написано — если создается канал от железки до железки, вполне логично предполагать, что удаленная железка может быть уязвима, что взломщики и продемонстрировали.

Операторами, т.к. они всегда утверждают что сегмент пользователей изолирован не только от любых внутренних железок оператора, но и пользователей между собой. В данном случае канала от железки до железки быть не должно.

Из статьи совершенно непонятно, зачем им было нужно «опенсорсное программное обеспечение для генерации сигнального траффика»?

Для осуществления атак SS7 необходимо крафтить пакеты и направлять их на определенные сетевые элементы.

Разрабатываем процессорный модуль NIOS II для IDA Pro

Ожидал комментарии по коду модуля, его основных частей (т.е. что-то типа Пишем >процессорный модуль), а не описание того, что в нём есть.

Сделан релиз модуля, он имеет много возможностей, прежде всего нужно было их описать. Возможно название не совсем точное.

Т.к. то что есть, по сути, описывает и многие другие имеющиеся модули.

То, что есть – описывает возможности процессорного модуля NIOS II. Поскольку это процессорный модуль, конечно он будет похож на другие. В нем на качественно другом уровне обрабатываются switch, реализован свой подход к 32 битным смещениям из 2-х частей и по количеству приятностей он ближе к более распространенным (x86, ARM, PowerPC, MIPS), чем к редким архитектурам, для которых есть примеры в IDA SDK.

Разрабатываем процессорный модуль NIOS II для IDA Pro

Нет, такое не делали. При задачах с периферией, если есть ее описание в виде включаемых файлов от производителя, например, STMicroelectronics, их содержимое обрабатывается отдельными скриптами, и в базе idb создаются необходимые области и обозначаются аппаратные регистры в них.

Примите участие в публичном тестировании сервиса Positive Technologies по поиску уязвимостей на сайтах

Проводились работы на почтовом сервисе и один из адресов поменялся, сейчас все работает штатно. Извиняемся за неудобства

Примите участие в публичном тестировании сервиса Positive Technologies по поиску уязвимостей на сайтах

Попробуйте еще разок сейчас. Там были небольшие проблемы, но теперь все должно быть ок — как раз в том числе и подобные вещи тестирование помогает исправить на будущее

Примите участие в публичном тестировании сервиса Positive Technologies по поиску уязвимостей на сайтах

Почему? Если у вас есть какие-то сложности или вопросы, то напишите — и мы поможем все разрулить

Автоматизация процессов разработки: как мы в Positive Technologies внедряли идеи DevOps

Большое спасибо, за высокую оценку! Мы рады, что добавили свою копеечку в общее дело! Насчёт Jenkins. В 2014 году мы не стали рисковать пересаживаться на опен-сорс решения в виде Jenkins – в то время, нам показалось, что может быть множество проблем с обновлениями самого Jenkins, его поддержкой и многочисленных плагинов, которые нам были нужны. Также, в то время были не очень хорошие отзывы о нём со стороны инженеров. Которые работали с ним более плотно, а TeamCity очень хорошо себя показал на пилотных испытаниях проектов, продемонстрированных тем, кто принимал тогда решение о его использовании.

Насчёт легаси. Как и у всех достаточно крупных компаний, есть оно и у нас, но, что касается CI/CD инфраструктуры – его у нас минимально: из «старья» на поддержке остался только 1 сборочный сервер, со своей самописной CI-системой. Всё остальное было переведено на новые рельсы, описанные в статье. Сборочные сервера у нас имеются различных типов с различными ОС, это зависит от требований разработчиков, собирающих тот или иной модуль. На каждом из них стоит сборочный агент, поэтому проблем с их дружбой с текущей CI-системой не возникает.

Автоматизация процессов разработки: как мы в Positive Technologies внедряли идеи DevOps

К сожалению, сейчас прокомментировать что-то по сценариям использования Kubernetes для DevOps-задач я не могу, т.к. активно он в нашей команде не применяется. Возможно, в статье нужно было уточнить, что Kubernetes используется в разработке (dev+test) некоторых наших продуктов, которым мы помогаем, но не непосредственно нами. Подробнее про эти продукты я пока рассказать не могу.

Автоматизация процессов разработки: как мы в Positive Technologies внедряли идеи DevOps

Спасибо за вопрос. Возможно я повторюсь, но мне кажется, в статье я уже подробно ответил на него:

«На TeamCity мы перешли после долгого периода эксплуатации и сборок на MS TFS. Переезд долго тестировался, обкатывался на небольших продуктах, и лишь затем его провели полностью. Основная причина — необходимость в простых типовых решениях и масштабируемости сборочной и тестовой инфраструктуры для многокомпонентных продуктов, написанных на различных языках программирования. TFS этого нам дать не мог.»

К этому могу добавить только то, что это был 2014 год (когда мы искали замену CI на базе TFS), а что-то вменяемое для CI на базе GitLab начинает появляться только сейчас. Мы тоже сейчас экспериментируем с GitLab-CI и переводом «простых» сборок на него, но TeamCity, всё-таки, сейчас гораздо приятнее внешне и мы хорошо отладили в нём масштабирование наших сборочных проектов. Можно долго спорить по этому поводу, но для больших многокомпонентных продуктов сейчас GitLab-CI ещё не очень удобен в эксплуатации. Но мы не теряем надежды на переезд в GitLab-CI и, кроме того, с помощью инструмента CrossBuilder мы надеемся сохранить и перенести все наши скриптовые наработки для TeamCity-метараннеров (которых у нас уже несколько сотен) в GitLab-CI.

Автоматизация процессов разработки: как мы в Positive Technologies внедряли идеи DevOps

Я удивился, увидев такой ваш комментарий. Возможно, возникло какое-то недопонимание сути статьи. Более того, когда-то я с удовольствием прочитал вашу статью про девопс. Ещё раз перечитав её, я не нашёл противоречия с нашей: у нас нет ни «отдела девопс из 35 человек», мы не «нанимаем сисадминов с кучей доп.компетенций», и в то же время мы и пытаемся в нашей большой компании создать и внедрять «простые работающие решения». Кроме того, мы уже 4й год, также как и описывали вы в своей статье, работаем в направлении взаимодействия между разработчиками, тестировщиками и ИТ-службами. За что отвечает наша служба автоматизации и какие на неё возложены роли, мы честно и подробно написали в 3-4-5 абзацах статьи.

Что касается названия «Open DevOps Community» и всего прочего – да, частично согласен, возможно мы немного поспешили с его анонсом. Но с другой стороны – где нашим парням выкладывать свой код? Кроме того, опять же, почему «Tools, best practices and examples for the open community of automation engineers» — это перебор? Если мы именно это и хотим сделать в итоге, то зачем писать что то другое? А как бы вы предложили назвать? Кроме того, как я и написал в статье, проект фактически только стартовал и не претендует на мега-систему девопса и истину в последней инстанции. Будем развиваться потихоньку.

Автоматизация процессов разработки: как мы в Positive Technologies внедряли идеи DevOps

Спасибо! Постараемся довести их до ума в следующем году. PS/ Надо же, я удивился увидев, что когда то читал и использовал вашу статью про гугл-апи – она была полезной.

Выключаем Intel ME 11, используя недокументированный режим

Не совсем так, ME встроен в PCH и на большинстве платформ. Но начинает функционировать до старта основного процессора в момент появления дежурного напряжения.

Выключаем Intel ME 11, используя недокументированный режим

1. Статистику по ошибкам конфигурации можно найти тут www.blackhat.com/docs/us-17/wednesday/us-17-Matrosov-Betraying-The-BIOS-Where-The-Guardians-Of-The-BIOS-Are-Failing.pdf

2. В книге Platform Embedded Security Technology Revealed, которая описывает внутренне устройство Intel ME заявляется, что доступ к коду модулей не должен компрометировать систему и не считается угрозой безопасности.

Как хакеры готовят атаки на банки

Поскольку первым начал использовать такие суффиксы великий русский писатель Николай Семенович Лесков («смолевые непромокабли» в рассказе «Левша» 1881 года), мы решили, что нам тоже можно.

И кстати, это именно суффикс, а не приставка, если вы так щепетильны к языку. Приставка располагается перед корнем, а не после него.

Как хакеры готовят атаки на банки

Большинство наших исследований связаны как раз с аудитом безопасности клиентов, включая и финансовые учреждения. В данной статье приведен общий пример анализа, но как правило мы показываем такие вещи именно конкретным организациям.

Хроники Противостояния: как взломать весь город за два дня

Защитники железной дороги (IBM) опубликовали свой обзор — взломать их не смогли, но атаки были (включая физические):
https://habrahabr.ru/company/ibm/blog/331672/

Как победить вирус Petya

PS. Подробности по шифрованию — в следующем посте Дмитрия Склярова:
https://habrahabr.ru/company/pt/blog/331962/

Information

Rating
Does not participate
Works in
Registered
Activity