>идеи заюзать несколько антивирусов сразу и их реализации были еще…
>ну лет 5 назад точно. Так что ничего нового и толку мало. Хотя, желаю удачи.
Колесо тоже изобрели давно, однако же автомобильные компании как-то умудряются делать востребованный продукт.
Проблема в том, что польза от проверки несколькими антивирусами есть (многие компании этот подход используют, а в банковской отрасли вообще есть принятая практика использования в своих системах защиты решения не менее 3-х вендоров), но вендоры между собой договариваться вряд ли будут и вероятность появления такой «многоядерной» системы от какого-то вендора невелика. Так что идея конечно не новая, но ее реализации не торопятся появляться.
>Здесь кратно повышается только вероятность ложноположительного срабатывания.
Да, конечно, проблема ложных срабатываний никуда не девается. Мы и не пытались ее решить — хотя в системе с несколькими ядрами чисто математически вероятность ложных срабатываний уменьшается (вспомним про умножение вероятностей независимых событий из школьного курса).
>Антивирусные вендоры перманентно обмениваются сэмплами.
>Конечно, это не означает, что детект появляется одновременно у всех,
>но всё равно, бОльшая часть начинает детектится относительно быстро (сутки).
Это как раз не так. Средняя по индустрии задержка появления сигнатуры в базе антивируса относительно времени появления угрозы составляет недели две. А некоторые вирусы могут ГОДАМИ жить необнаруживаемыми. Если есть доступ к VirusTotal, там это очень ясно видно бывает. Сами вендоры прекрасно осведомлены об этой проблеме и выстраивают целые облачные технологии для улучшения оперативности реагирования на угрозы.
>Риск, что анализ сэмпла антивирусом приведет к заражению?!
>Такое можно практически исключить, не бывало такого.
Если внимательно почитать статью, там как раз рассматривался такой сценарий с Comodo, когда эмуляция некоторого зловреда была реализована так, что часть инструкций выполнялась прямыми вызовами API-функций операционки (да еще и с привилегиями системы).
>А вот создать хорошую виртуальную среду, эмулировать пользовательскую ОС, вот это задача та еще.
>Поддержка таких песочниц — весьма трудоемкое занятие.
Да, именно такие песочницы у нас есть. Динамический анализ – это одна из технологий, которая используется в PT Multiscanner (не сочтите за рекламу).
>>… желательно, чтобы защитная система давала возможность ретроспективного анализа.
>Это вообще не понял.
Это как раз просто. Если есть задержка между появлением угрозы и ее детектированием антивирусным движком, и движок не хранит файлы, которые через него проходят, то возможен сценарий, когда на периметре установлено антивирусное средство, но в нем ещё нет записи о зловреде, и зловред проникает за периметр.
Чтобы обнаружить заражение нужно, чтобы (а) антивирусное средство обновилось и (б) зловред еще раз попытался проникнуть через периметр — или был отловлен уже на рабочей станции. Если (б) не происходит, то зловред может жить внутри годами, несмотря на то, что его уже все детектят (очень частый сценарий для APT-атак).
Ретроспективный анализ работает так: все проверяемые файлы сохраняются, и при изменении баз антивирусных движков в фоне перепроверяются. Если вердикт меняется – админу приходит оповещение и можно начинать разбираться с последствиями. Да, заражение уже может произойти, но время реакции на него сокращается существенно.
>Вы знали например, что на айфонах могут скапливаться болезнетворные микробы?
Во-первых, не только болезнетворные, но и полезные. Во-вторых, что более интересно — микробное сообщество на ваших пальцах / клавишах идентифицирует вашу личность не хуже, чем отпечаток пальца. А может даже и лучше: отпечатки можно подделать куском мармелада, а вот персональный набор кожных микробов подделать практически невозможно.
Но Онищенко об этом пока не знает. Да и мы не будем пока палить тему. Об этом все начнут писать в 2019-м году, ну тогда и мы напишем. А пока тссссс.
Тому, кто верит бумагам с печатью — наверное, не нужна.
Хотя до сих пор непонятно, почему из этой бумаги следует такое уверенное «участие спецслужб». Отключить абоненту SMS можно по разным причинам. Например, чтобы остановить уже идущую атаку. Представьте, что система безопасности оператора фиксирует массовую утечку, а затем — массовую рассылку SMS с запросами на авторизацию. Вы бы что сделали в этом случае? Подождали бы до завтра, пока у всех ваших абонентов уведут аккаунты?
А почему вы решили, что «только»? Атаки, о которых сразу же становится известно и жертве, и прессе — это лишь небольшая часть успешных атак. Согласно исследованию FireEye (M-Trends 2015) сейчас среднее время нахождения хакера во взломанной сети до обнаружения составляет более 200 дней. Так что советуем подождать — может быть, всплывёт и более интересная переписка.
Да, Telegram присылает код на девайс с открытой сессией, но при попытке авторизации на другом устройстве можно нажать «не получил код», и тогда он придет в виде SMS. Кроме того, после перерегистрации абонент теряет доступ к GPRS/3G/LTE, и если у него нет подключения к WiFi в текущий момент, то и активной сессии тоже нет. Мы не закрывали сессию специально, доступа к аппарату жертвы не нужно.
Извините, мы не отвечаем за отдел безопасности МТС. Цель статьи — показать возможность атаки без лишней «теории заговора».
Но кстати, если уж вы любите конспирологию, то должны понимать, что при недостатке информации можно всегда сочинить контр-теорию.
Например: отдел безопасности телекома мог отключить SMS именно для того, чтобы *предотвратить* развитие атаки. Мы ведь не знаем, когда и на каком уровне их ломанули, и сколько абонентов были атакованы. Возможно, что они обнаружили подозрительные транзакции и на всякий случай заблокировали ряд сервисов (но было уже поздно).
И это далеко не единственный возможный вариант. Но ещё раз: здесь статья об одном реальном варианте атаки. А не о всех гипотетических вариантах.
— сообщаем, что этот абонент теперь зарегистрировался у нас» -именно;
— «оппа, я уже в Намибии, шлите все сюда» -именно так;
— «кстати, не вижу ответа на updateLocation среди скриншотов» -пакет номер 8;
— «если в промежутке между ложным updateLocation и входящим SMS придет настоящий updateLocation?» — периодические updateLocation происходят раз в 6 часов, чтобы совершить атаку нужно несколько десятков секунд. Есть еще вариант что абонент переместится и сменит LAC, но это происходит тоже достаточно редко, на всю Москву десяток LAC. Но если вдруг допустить такое событие, то просто нужно будет отправить еще один updateLocation.
Подробнее есть здесь https://www.ptsecurity.ru/upload/ptcom/SS7_WP_A4.ENG.0036.01.DEC.28.2014.pdf
или на русском- http://www.ptsecurity.ru/download/PT_SS7_security_2014_rus.pdf
Если коротко, регистрации никакой нет, это воздействие на роутинг — мы просто сообщаем железкам оператора о том, что этот абонент теперь зарегистрировался у нас, и все служебные сообщения, предназначенные этому абоненту, адресуются нам.
Необходимо подключение к сети SS7, собрать девайс можно на коленке из ПО свободно распространяемого в интернете, к абоненту возить его не нужно, наоборот, можно находиться на другом конце земного шара.
В нашем тесте мы получали SMS в Wireshark, при этом, для того чтобы сообщение считалось доставленным мы должны были отправить подтверждение о получении, мы такого не отправляли, поэтому на скриншоте видно второе сообщение с тем же SMS (сеть пытается доставить его посылая снова и снова, до тех пор пока не получит подтверждение). Мы могли отправить подтверждение, что сообщение получено, тогда реальный абонент никогда его не увидит, а могли оставить так как есть, тогда абонент получит это SMS через некоторое время когда у него пройдет периодический Location Uppdate.
Для осуществления атаки нужен доступ к SS7 в любой точке мира, местонахождение абонентов не имеет никакого значения. Затирать логи можно по разным причинам. Подключать и отключать услуги можно через ту же SS7, например посредством USSD.
Одна из наших недавних публикаций была как раз о том, как перехватываются одноразовые пароли банка, а также эмулируется отправка команд SIM-карты:
https://habrahabr.ru/company/pt/blog/280095/
Ну и в прошлом году в «Позитиве» делали исследование на ту же тему:
https://habrahabr.ru/post/243697/
Такой комментарий у нас появляется из года в год.И ответ всегда одинаковый. Мы проводим конференцию для специалистов по безопасности. И наших в конкурсах участвуют не какие-то «школьники», а известные специалисты по безопасности, работающие в известных компаниях и государственных организациях. Представители правоохранительных органов также являются постоянными участниками и докладчиками наших конференций. Никто просто так «с улицы» у нас ничего не ломает.
Кроме того, все участники конкурсов подписывают политику ответственного разглашения, согласно которой информация о найденных уязвимостях в первую очередь отправляется производителям ПО. И разглашается только после того, как производитель исправил уязвимости. В результате мы регулярно получаем благодарности вендоров, которым мы помогли устранить уязвимости:
https://habrahabr.ru/company/pt/blog/255929/
Что же касается школьников, они гораздо легче получают хакерские знания через Интернет, где всё это доступно безо всяких регистраций и политик неразглашения. Точно так же через Интернет доступны реальные (а не игровые) интерфейсы многих систем управления. Едва ли наша конференция поможет школьникам в доступе к этим возможностям — и так уже всё открыто. А вот потренировать и обучить защитников мы действительно можем.
У нескольких российских банков было желание внедрить подобный механизм. Они отказались после нашего исследования. По зарубежным данных нет.
Основная причина — предотвратить возможность перехвата одноразовых паролей с помощью вредоносных приложений для андроида.
Не понял вопроса.
Сложно сказать почему. Во время тестирования я генерировал окна SIM Toolkit menu, при нажатии на кнопки Ok и Cancel в сим карту отправлялись соответсвующие команды. Возможно это как то повлияло на неё. К сожалению, без доступа к исходникам ПО сим карты, назвать точную причину я не могу. Под вышли из строя — подразумевается прекращение работы SIM Toolkit, в остальном же сим карта продолжала работать исправно, принимать звонки и т.п
Пока нет (что, кстати, повод пролоббировать присоединение со стороны студентов). Но вы все равно напишите нам на edu@ptsecurity.com, попробуем что-то придумать
На самом деле с большой долей вероятности ваш ВУЗ в программе участвует — их уже много десятков. Узнать об участии можно у нас. Кроме того, на сайте перечислены разные способы попадания на форум бесплатно — к примеру, можно будет поучаствовать в одном из множества соревнований. В общем, для увлеченного ИБ студента есть все возможности попасть на интересное ему мероприятие.
>ну лет 5 назад точно. Так что ничего нового и толку мало. Хотя, желаю удачи.
Колесо тоже изобрели давно, однако же автомобильные компании как-то умудряются делать востребованный продукт.
Проблема в том, что польза от проверки несколькими антивирусами есть (многие компании этот подход используют, а в банковской отрасли вообще есть принятая практика использования в своих системах защиты решения не менее 3-х вендоров), но вендоры между собой договариваться вряд ли будут и вероятность появления такой «многоядерной» системы от какого-то вендора невелика. Так что идея конечно не новая, но ее реализации не торопятся появляться.
>Здесь кратно повышается только вероятность ложноположительного срабатывания.
Да, конечно, проблема ложных срабатываний никуда не девается. Мы и не пытались ее решить — хотя в системе с несколькими ядрами чисто математически вероятность ложных срабатываний уменьшается (вспомним про умножение вероятностей независимых событий из школьного курса).
>Антивирусные вендоры перманентно обмениваются сэмплами.
>Конечно, это не означает, что детект появляется одновременно у всех,
>но всё равно, бОльшая часть начинает детектится относительно быстро (сутки).
Это как раз не так. Средняя по индустрии задержка появления сигнатуры в базе антивируса относительно времени появления угрозы составляет недели две. А некоторые вирусы могут ГОДАМИ жить необнаруживаемыми. Если есть доступ к VirusTotal, там это очень ясно видно бывает. Сами вендоры прекрасно осведомлены об этой проблеме и выстраивают целые облачные технологии для улучшения оперативности реагирования на угрозы.
>Риск, что анализ сэмпла антивирусом приведет к заражению?!
>Такое можно практически исключить, не бывало такого.
Если внимательно почитать статью, там как раз рассматривался такой сценарий с Comodo, когда эмуляция некоторого зловреда была реализована так, что часть инструкций выполнялась прямыми вызовами API-функций операционки (да еще и с привилегиями системы).
>А вот создать хорошую виртуальную среду, эмулировать пользовательскую ОС, вот это задача та еще.
>Поддержка таких песочниц — весьма трудоемкое занятие.
Да, именно такие песочницы у нас есть. Динамический анализ – это одна из технологий, которая используется в PT Multiscanner (не сочтите за рекламу).
>>… желательно, чтобы защитная система давала возможность ретроспективного анализа.
>Это вообще не понял.
Это как раз просто. Если есть задержка между появлением угрозы и ее детектированием антивирусным движком, и движок не хранит файлы, которые через него проходят, то возможен сценарий, когда на периметре установлено антивирусное средство, но в нем ещё нет записи о зловреде, и зловред проникает за периметр.
Чтобы обнаружить заражение нужно, чтобы (а) антивирусное средство обновилось и (б) зловред еще раз попытался проникнуть через периметр — или был отловлен уже на рабочей станции. Если (б) не происходит, то зловред может жить внутри годами, несмотря на то, что его уже все детектят (очень частый сценарий для APT-атак).
Ретроспективный анализ работает так: все проверяемые файлы сохраняются, и при изменении баз антивирусных движков в фоне перепроверяются. Если вердикт меняется – админу приходит оповещение и можно начинать разбираться с последствиями. Да, заражение уже может произойти, но время реакции на него сокращается существенно.
Во-первых, не только болезнетворные, но и полезные. Во-вторых, что более интересно — микробное сообщество на ваших пальцах / клавишах идентифицирует вашу личность не хуже, чем отпечаток пальца. А может даже и лучше: отпечатки можно подделать куском мармелада, а вот персональный набор кожных микробов подделать практически невозможно.
Но Онищенко об этом пока не знает. Да и мы не будем пока палить тему. Об этом все начнут писать в 2019-м году, ну тогда и мы напишем. А пока тссссс.
Хотя до сих пор непонятно, почему из этой бумаги следует такое уверенное «участие спецслужб». Отключить абоненту SMS можно по разным причинам. Например, чтобы остановить уже идущую атаку. Представьте, что система безопасности оператора фиксирует массовую утечку, а затем — массовую рассылку SMS с запросами на авторизацию. Вы бы что сделали в этом случае? Подождали бы до завтра, пока у всех ваших абонентов уведут аккаунты?
А почему вы решили, что «только»? Атаки, о которых сразу же становится известно и жертве, и прессе — это лишь небольшая часть успешных атак. Согласно исследованию FireEye (M-Trends 2015) сейчас среднее время нахождения хакера во взломанной сети до обнаружения составляет более 200 дней. Так что советуем подождать — может быть, всплывёт и более интересная переписка.
Но кстати, если уж вы любите конспирологию, то должны понимать, что при недостатке информации можно всегда сочинить контр-теорию.
Например: отдел безопасности телекома мог отключить SMS именно для того, чтобы *предотвратить* развитие атаки. Мы ведь не знаем, когда и на каком уровне их ломанули, и сколько абонентов были атакованы. Возможно, что они обнаружили подозрительные транзакции и на всякий случай заблокировали ряд сервисов (но было уже поздно).
И это далеко не единственный возможный вариант. Но ещё раз: здесь статья об одном реальном варианте атаки. А не о всех гипотетических вариантах.
— «оппа, я уже в Намибии, шлите все сюда» -именно так;
— «кстати, не вижу ответа на updateLocation среди скриншотов» -пакет номер 8;
— «если в промежутке между ложным updateLocation и входящим SMS придет настоящий updateLocation?» — периодические updateLocation происходят раз в 6 часов, чтобы совершить атаку нужно несколько десятков секунд. Есть еще вариант что абонент переместится и сменит LAC, но это происходит тоже достаточно редко, на всю Москву десяток LAC. Но если вдруг допустить такое событие, то просто нужно будет отправить еще один updateLocation.
или на русском- http://www.ptsecurity.ru/download/PT_SS7_security_2014_rus.pdf
Если коротко, регистрации никакой нет, это воздействие на роутинг — мы просто сообщаем железкам оператора о том, что этот абонент теперь зарегистрировался у нас, и все служебные сообщения, предназначенные этому абоненту, адресуются нам.
https://habrahabr.ru/company/pt/blog/280095/
Ну и в прошлом году в «Позитиве» делали исследование на ту же тему:
https://habrahabr.ru/post/243697/
Кроме того, все участники конкурсов подписывают политику ответственного разглашения, согласно которой информация о найденных уязвимостях в первую очередь отправляется производителям ПО. И разглашается только после того, как производитель исправил уязвимости. В результате мы регулярно получаем благодарности вендоров, которым мы помогли устранить уязвимости:
https://habrahabr.ru/company/pt/blog/255929/
Что же касается школьников, они гораздо легче получают хакерские знания через Интернет, где всё это доступно безо всяких регистраций и политик неразглашения. Точно так же через Интернет доступны реальные (а не игровые) интерфейсы многих систем управления. Едва ли наша конференция поможет школьникам в доступе к этим возможностям — и так уже всё открыто. А вот потренировать и обучить защитников мы действительно можем.