Comments 26
Интересная у вас работа :)
Почему статьи хакеров-взломщиков банковских систем публикуются на Хабре?
Так у меня аккаунт на хабре, я взял и сам опубликовал, но банки тут не причем совсем. И вроде себя к «хакерам-взломщикам банковских систем» не отношу, хотя бывало сливал номера PAN через SQLi в прошлом и RCE мутили. А однажды даж через банальный XSS делал PoC для обхода токена подписи (MiTB атака, развод оператора)… с банками было много чего веселого (я уже молчу про море багов в ActiveX или там integer overflow в Inter-PRO), но давно уже не интерисуюсь этой темой, но баек много имею… ;)
На вопрос про хабр — видимо это интересно некоторой группе ИТ, в этом и причина… тут есть хаб ИБ, и такие темы время от времени тут публикуют, что бы другие могли почитать и получить (надеюсь) удовольствие или даж пользу.
На вопрос про хабр — видимо это интересно некоторой группе ИТ, в этом и причина… тут есть хаб ИБ, и такие темы время от времени тут публикуют, что бы другие могли почитать и получить (надеюсь) удовольствие или даж пользу.
Скорей бы тебя посадили в тюрьму.
Ого. Это довольно сильное и эмоциональное замечание. Но можно узнать, за что и зачем?
За что: за взлом.
Зачем: для исправления.
Конечно, если Вы как истинный хакер находите дыры и отправляете информацию разработчику (в данном случае банку), то этого не требуется, но тогда и оснований для публикации вроде бы нет. Поправьте меня, если я не прав.
Зачем: для исправления.
Конечно, если Вы как истинный хакер находите дыры и отправляете информацию разработчику (в данном случае банку), то этого не требуется, но тогда и оснований для публикации вроде бы нет. Поправьте меня, если я не прав.
Взлом — довольно понятие, чисто юридически. У нас есть статья, про неправомерный доступ, и во всех моих публикациях ее сложно применить. Есть статья за создание вредоносов — тут, конечно, все сложно. Но я считаю, что основным моментом должен быть «состав преступления», и тут его нигде нет. То есть я никого не ломаю, а если где-то нахожу дыру, которая на мой взгляд критична и опасна для пользователей, то, обычно, сообщаю об этом вендору, и никогда не использую «для себя» с ущербом для других честных людей. Просто потому что не интересно и не мое.
Что касается поиска дыр или слабых мест в софте, как, например тут, то я не вижу смысл сообщать вендору (Симантеку), так как лень и на мой взгляд это не стоит усилий.
Про банки — все эти истории были в прошлом, когда банк сам «меня» нанимал, когда я работал в Digital Security. То есть все взломы заказаны самими банками ;) До этого же, я тож немножко совсем ломал СОФТ для банков, и абсолютно без задней мысли, и без попрошайничества «баунти» отдавал вендорам баги просто так: BSS, Inist, R-Style. BSS мне вот подраили iPhone в 2009 за это. Остальные звали на собеседование ;) Никто, никогда негативно не относился. Один раз в XXXX-XXX, тех-деректор затупил, так как я хотел diclosure (ПиАра для DSEC), но там все равно сложный случай был… но затуп был прикольный, так как тех. директор не понял фразы «выполнение произвольного кода при переполнении буфера». Ответила она примерно так «Как можно выполнить произвольный код в нашем софте, если там есть только код нашего приложения, а произвольный-то откуда возьмется?»
Таким образом, я, надеюсь, развеял Ваши сомнения, по поводу моего криминального прошлого и настоящего. Конечно, я не буду врать и говорить, что в детстве не шалил или не использовал какие то «взломы» ради фана, но и тогда никто, никогда не страдал ни финансово ни (почти) морально 8)
Так что Мир! Дружба! Май!
Что касается поиска дыр или слабых мест в софте, как, например тут, то я не вижу смысл сообщать вендору (Симантеку), так как лень и на мой взгляд это не стоит усилий.
Про банки — все эти истории были в прошлом, когда банк сам «меня» нанимал, когда я работал в Digital Security. То есть все взломы заказаны самими банками ;) До этого же, я тож немножко совсем ломал СОФТ для банков, и абсолютно без задней мысли, и без попрошайничества «баунти» отдавал вендорам баги просто так: BSS, Inist, R-Style. BSS мне вот подраили iPhone в 2009 за это. Остальные звали на собеседование ;) Никто, никогда негативно не относился. Один раз в XXXX-XXX, тех-деректор затупил, так как я хотел diclosure (ПиАра для DSEC), но там все равно сложный случай был… но затуп был прикольный, так как тех. директор не понял фразы «выполнение произвольного кода при переполнении буфера». Ответила она примерно так «Как можно выполнить произвольный код в нашем софте, если там есть только код нашего приложения, а произвольный-то откуда возьмется?»
Таким образом, я, надеюсь, развеял Ваши сомнения, по поводу моего криминального прошлого и настоящего. Конечно, я не буду врать и говорить, что в детстве не шалил или не использовал какие то «взломы» ради фана, но и тогда никто, никогда не страдал ни финансово ни (почти) морально 8)
Так что Мир! Дружба! Май!
Я немного напрягся после фразы «и никогда не использую «для себя» с ущербом для других честных людей. Просто потому что не интересно и не мое.»
Вы как законопослушный гражданин должны были сказать, просто потому что это несправедливо и наказуемо. Пожалуйста, сообщите вендору о найденной дыре в его программе. Я сам лично программист (даже начальник отдела программистов), и я на такое сообщение обязательно отреагирую и ещё выплачу Вам вознаграждение.
Моя личная рекомендация: легализуйтесь и жизнь у Вас наладится. После Вашей легализации мы просто не сможем увидеть Ваши подвиги в виде статей на Хабре. Оно и к лучшему.
Вы как законопослушный гражданин должны были сказать, просто потому что это несправедливо и наказуемо. Пожалуйста, сообщите вендору о найденной дыре в его программе. Я сам лично программист (даже начальник отдела программистов), и я на такое сообщение обязательно отреагирую и ещё выплачу Вам вознаграждение.
Моя личная рекомендация: легализуйтесь и жизнь у Вас наладится. После Вашей легализации мы просто не сможем увидеть Ваши подвиги в виде статей на Хабре. Оно и к лучшему.
Ну вот, есть проблема — я не ДОЛЖЕН. Я потратил свое время, и согласно моей моральной установки «не навреди пользователям/гражданским» считаю, что сделал минимально полезное дело. Я довел до «общественности» информацию о проблеме, думаю ребята из Нортон, если заинтересованны, то уже давно прочитали мой корявый английский блог, и сделали выводы. Но сам я не должен искать их секурити и пытаться их в чем-то убедить, особенно из-за такой мелочи как обход хука.
Но были вещи и посерьезней, когда я решил, что не буду связываться-искать чью-то секурити команду, а просто промолчу (например SQLi в госзакупках Питерских или SQLi в сайте министерства оборона одной республики), в других случая я выкидывал инфу в FullDisclosure, и тогда фуллдисклоз помогал конкретно быстрее зафиксить проблемы, чем если бы я уведомлял так, например проблемы в JIT Safari или конкретные JIT-Spray PoC в ActionScript, пока это было в теории и в привате — никто не хотел фиксить). Но были и вещи, когда я без всякой корысти говорил о багах в сервисах, через которые, например, ломали Apple/Sony — https://habrahabr.ru/post/188222/.
В целом же я поддерживаю #NoMoreFreeBugs для корпораций (https://threatpost.com/no-more-free-bugs-software-vendors-032309/72484/). Но все зависит от конкретного случая — кто разработчик, какой продукт, кто пользуется, какая политика. В ОпенСорс проектах я уже по другому буду себя вести.
Что касается вознаграждений, то я сам всегда даю вознаграждения, за секурити-баг репорты: https://defcon-russia.ru/history/15/Nokia_reward_recognition.pdf (слайд 18, например… из работ прошлого, многие тут на Хабре получали от нас подарки). Сейчас тож активно поддерживаю тех, кто спонсирует нас багами, даже если официальное программы нет. Но не стоит путать теплое и мягкое.
А так я вполне легален и жизнь у меня налажена, спасибо 8)
Но были вещи и посерьезней, когда я решил, что не буду связываться-искать чью-то секурити команду, а просто промолчу (например SQLi в госзакупках Питерских или SQLi в сайте министерства оборона одной республики), в других случая я выкидывал инфу в FullDisclosure, и тогда фуллдисклоз помогал конкретно быстрее зафиксить проблемы, чем если бы я уведомлял так, например проблемы в JIT Safari или конкретные JIT-Spray PoC в ActionScript, пока это было в теории и в привате — никто не хотел фиксить). Но были и вещи, когда я без всякой корысти говорил о багах в сервисах, через которые, например, ломали Apple/Sony — https://habrahabr.ru/post/188222/.
В целом же я поддерживаю #NoMoreFreeBugs для корпораций (https://threatpost.com/no-more-free-bugs-software-vendors-032309/72484/). Но все зависит от конкретного случая — кто разработчик, какой продукт, кто пользуется, какая политика. В ОпенСорс проектах я уже по другому буду себя вести.
Что касается вознаграждений, то я сам всегда даю вознаграждения, за секурити-баг репорты: https://defcon-russia.ru/history/15/Nokia_reward_recognition.pdf (слайд 18, например… из работ прошлого, многие тут на Хабре получали от нас подарки). Сейчас тож активно поддерживаю тех, кто спонсирует нас багами, даже если официальное программы нет. Но не стоит путать теплое и мягкое.
А так я вполне легален и жизнь у меня налажена, спасибо 8)
Прочел и навеяло…
Вспоминаю себя лет 18, а то и 20 тому, когда мне еще была интересна подобная академическая деятельность и я мог часами и сутками что-то отлаживать, дизассемблировать и т.п., в общем кодить и взламывать.
А ведь тогда не то что интернетов не было, тогда Windows NT встречался один на тысячи машин, а остальные работали в лучшем случае на вин95. Тогда вся моя информация о полиморфных вирусах исчерпывалась парочкой изученных вдоль и поперек экземпляров, в PM практически никто еще не работал, никаких DEP и ASLR еще и в проекте не было ии… Ну в общем было огромное, прям таки непаханное поле в этой области.
Блин, ну почему интернет не придумали лет на 20 раньше???
Прошу прощения за явный оффтоп, но я действительно сожалею об этом.
Вспоминаю себя лет 18, а то и 20 тому, когда мне еще была интересна подобная академическая деятельность и я мог часами и сутками что-то отлаживать, дизассемблировать и т.п., в общем кодить и взламывать.
А ведь тогда не то что интернетов не было, тогда Windows NT встречался один на тысячи машин, а остальные работали в лучшем случае на вин95. Тогда вся моя информация о полиморфных вирусах исчерпывалась парочкой изученных вдоль и поперек экземпляров, в PM практически никто еще не работал, никаких DEP и ASLR еще и в проекте не было ии… Ну в общем было огромное, прям таки непаханное поле в этой области.
Блин, ну почему интернет не придумали лет на 20 раньше???
Прошу прощения за явный оффтоп, но я действительно сожалею об этом.
А можно попросить ссылку на Ваш твич? Чтобы была возможно понаблюдать за подобным в живую. Ну и возможно, там сохранилась видеозапись этого стрима?
Ссылку на твич можно? :)
А проверялась ли работоспособность метода против того же последнего EMET? Все-таки он, как минимум, хукает не настолько в лоб, как нортон.
Нет, не проверялось. Причин несколько: ЕМЕТ бесплатен, и мучать его не так мило. Вторая — его не поддерживают более, продукт RIP. Ну и третья — это Ad-Hoc стрим был, «заметил, проверил, победил» онлайн, а не целенаправленный ресерч против Симантека или АВ индустрии в целом.
Просто по тем данным, что приведены в статье, мне кажется, что у Нортона эти проверки сделаны уж очень халтурно. EMET, конечно, бесплатен, но сделан гораздо интереснее (если что, как работает EMET я как рах интересовался, утверждение не с потолка делаю :) ). При этом многие идеи из EMET используются в других продуктах.
Нортон просто не слишком показателен в качестве next-gen защиты.
Нортон просто не слишком показателен в качестве next-gen защиты.
Это и не про NexGen, хотя повторюсь, что точно так-же видел и обходил такие хуки в NetGen, но там NDA 8) Тут я просто наткнулся на своем лэптопе на триал Нортона и увидел, что он «тоже могёт!», и далее мы в режиме стрима прям на ходу это все ломали. ТО есть это не спецом «ресерч», а именно фан ради стрима.
про EMET — хороший продукт (бесплатный и от вендора ОС) и он использует МНОГО разных техник, но так или иначе EMET обходили довольно регулярно. Вот из последнего и про хуки: https://www.xorlab.com/blog/2016/10/27/emet-memprot-bypass/ (стратегия 'Обмануть логику «магической проверки»' )
про EMET — хороший продукт (бесплатный и от вендора ОС) и он использует МНОГО разных техник, но так или иначе EMET обходили довольно регулярно. Вот из последнего и про хуки: https://www.xorlab.com/blog/2016/10/27/emet-memprot-bypass/ (стратегия 'Обмануть логику «магической проверки»' )
И это вполне себе не только «лаба и стримы для задротов», вот как бы ребята реально по живому режут: https://www.fireeye.com/blog/threat-research/2016/06/angler_exploit_kite.html
Не, я не говорю про то, что emet — панацея.
Ссылок на вещи, которые он не контролирует, я тоже могу накидать, как и попытаться прокомментировать, что можно сделать лучше. )
Меня просто исходно удивил выбор Нортона в качестве цели, поскольку я не видел его упоминаний в качестве примера чего-то хорошего в плане next-gen
Ссылок на вещи, которые он не контролирует, я тоже могу накидать, как и попытаться прокомментировать, что можно сделать лучше. )
Меня просто исходно удивил выбор Нортона в качестве цели, поскольку я не видел его упоминаний в качестве примера чего-то хорошего в плане next-gen
не спорю, но почему жребий пал выпал именно на Нортонн я описал. И потом, это не про Нортон, как вендор, а про чисто архитектуру «давайте ринг3 хуки делать». Это не только Нортон, и про NexGen я писал тут, хоть и на кривом английском и без имен: https://asintsov.blogspot.de/2017/02/how-i-have-tested-endpointprotection.html Тут вышло 2 из 5 страдали такой же проблемой как и Нортон. Значит проблема ТИПОВАЯ, о чем я собственно и решил написать, просто на примере Нортона, так как он случайно попался под руку. Ну и ссылку от Cylance я тож привел, там так же есть упоминания этой проблемы с конкретными именами: https://2016.zeronights.ru/wp-
content/uploads/2016/12/You%E2%80%99re-Off-the-Hook.pdf
content/uploads/2016/12/You%E2%80%99re-Off-the-Hook.pdf
Sign up to leave a comment.
Как не надо делать защиту от эксплойтов на примере Norton Security