Современные Android-приложения всё чаще работают с данными, утечка которых критична для пользователя: платёжной информацией, одноразовыми кодами, персональными сведениями и содержимым приватных экранов. При этом на практике защита таких интерфейсов нередко сводится только к запрету скриншотов или ограничению вывода изображения, хотя реальная проблема шире: злоумышленник может попытаться получить не снимок экрана, а его структурированное представление через механизмы специальных возможностей. В результате чувствительные данные становятся доступны для чтения, анализа и автоматизированного сопровождения действий пользователя. В статье рассматривается именно эта проблема и предлагается практический многослойный подход к защите чувствительных экранов в Android, который сочетает средства защищённого вывода, ограничение доступности данных в accessibility-дереве, очистку семантики интерфейса и дополнительные меры против побочных каналов утечки.

В первой статье цикла мы рассказали о том, что несет в себе понятие сетевых скрытых каналов. Во второй статье мы поговорим о том, как строятся сетевые скрытые каналы в реальных сетях пакетной передачи на примере протоколов IPv4, ICMP и HTTP.

Предположим, в вашей сети есть конфиденциальные данные, к которым имеет доступ только уполномоченное лицо. Система защиты мониторит трафик, чтобы эти данные не утекли за пределы сети. Средство следит за полезной нагрузкой пакета, проверяет определенные заголовки, и даже проводит некоторый эвристический анализ. Но что, если данные будут утекать в совершенно других контейнерах — например, в неиспользуемых заголовках или длинах межпакетных интервалов?

Скрытый канал (covert channel) — это непредусмотренный разработчиком автоматизированной системы поток информации, который нарушает политику безопасности системы. Проще говоря, это способ передать данные, минуя все фильтры и брандмауэры. Важно отметить, что скрытый канал не обязательно является сетевым. К примеру, в рамках одного компьютера информацию можно кодировать через изменение температуры процессора. Но в данном цикле статей речь пойдет именно о сетевых скрытых каналах, как наиболее интересных с точки зрения как построения, так и защиты от них.

Ниже представлена схема скрытого канала, определенная в нашем ГОСТ Р 53113.1–2008. Для существования скрытого канала необходим агент — закладка, внедренная в систему, и приемник информации — злоумышленник, прослушивающий канал связи. Задача закладки — встроить информацию ограниченного доступа в легитимный трафик, модифицируя его незаметным для средства защиты способом. Злоумышленник знает схему кодирования скрытой информации, а значит может декодировать ее на основе проходящих сетевых пакетов.

Стандартная обфускация больше не спасает от систем защиты. Сегодня битва за скрытность идет на уровне системных вызовов и манипуляций с библиотеками в реальном времени. В этой статье мы проследим динамику развития обходов: от классического патчинга AMSI до современных методов уклонения от EDR.

В этой статье речь пойдет об интересном кейсе захвата компании во время проекта по пентесту. Подробно разберем причины пробелов в безопасности и как предотвращать такие проблемы в будущем. Будет много практики по Active Directory, RBCD, PostgresSQL и реальных инструментов, которые используются современными специалистами по проникновению.