Открыть список
Как стать автором
Обновить
106.5
Карма
0
Рейтинг
Николай @gorl

Пользователь

  • Публикации
  • Комментарии

Анастасия Тихонова: «Нам крупно повезло, что атаки APT пока еще не привели к массовым человеческим жертвам»

Блог компании Group-IBИнформационная безопасностьРеверс-инжинирингКиберпанк


У нас новый проект: начиная с этого поста мы будем знакомить вас с профессиями и ведущими специалистами Group-IB, расскажем об их работе, исследованиях и кейсах, о том, как и где можно пройти обучение и, конечно, дадим ссылку на актуальные вакансии. Первый гость — Анастасия Тихонова, ее интервью мы даем прямой речью и, что называется, без купюр.
Читать дальше →
Всего голосов 22: ↑16 и ↓6 +10
Просмотры12.6K
Комментарии 31

Тайны файла подкачки pagefile.sys: полезные артефакты для компьютерного криминалиста

Блог компании Group-IBИнформационная безопасностьIT-инфраструктураРеверс-инжинирингИсследования и прогнозы в IT


В одной крупной финансовой организации произошел неприятный инцидент: злоумышленники проникли в сеть и «пылесосили» всю критически важную информацию — копировали, а затем отправляли данные на свой удаленный ресурс. Криминалистов Group-IB призвали на помощь лишь спустя полгода после описываемых событий…. К тому времени часть рабочих станций и серверов была уже выведена из работы, а следы действий злоумышленников уничтожены из-за использования ими специализированного ПО и из-за неправильного логирования. Однако на одном из серверов, участвовавших в инциденте, был обнаружен файл подкачки Windows, из которого эксперты получили критически важную информацию об инциденте.

В этой статье Павел Зевахин, специалист Лаборатории компьютерной криминалистики Group-IB, рассказывает о том, какие данные можно обнаружить в ходе криминалистического исследования в файлах подкачки Windows.
Читать дальше →
Всего голосов 35: ↑35 и ↓0 +35
Просмотры27.2K
Комментарии 21

1. Group-IB. Комплексная защита сети. Архитектура TDS

Блог компании TS SolutionИнформационная безопасностьIT-инфраструктураСетевые технологии


Добрый день, коллеги! Сегодня начинаем новый цикл статей, посвященный решениям информационной безопасности от компании Group-IB. Компания работает на рынке информационной безопасности уже более 17 лет и за это время обросла весьма существенными компетенциями, выполняя проекты не только на территории России и стран СНГ, но и на международном рынке. Направление по защите инфраструктуры от сложных целевых атак закрывает комплекс Group-IB Threat Detection System (TDS), состоящий из нескольких различных модулей. Решение специализируется на защите корпоративной и технологической сетей и, главным образом, нацелено именно на противодействие современным атакам. В данной статье рассмотрим архитектуру и функциональные возможности всего комплекса.
Читать дальше →
Всего голосов 12: ↑11 и ↓1 +10
Просмотры3.3K
Комментарии 0

Попытки начать обучение ребенка программированию с Minecraft pocket edition

Open sourceИгры и игровые приставки
Из песочницы


На дворе осень и сын все чаще остается дома, уткнувшись в телефон или планшет, слабо реагируя на внешние раздражители. Меня это огорчает. Сам я начал программировать, как мне кажется, с того, что к моему первому компьютеру БК 0010-01 игры то на кассетах в комплекте шли, а вот магнитофон не шел. Пока добывали магнитофон с подходящим линейным выходом, я успел попробовать Бейсик, спасибо отцу за первые уроки. Так что, когда смог со скрипом загрузить первую графическую игру, то смотрел на нее уже не как на то, во что наконец буду играть, а очарованно думал, как бы сделать свою не хуже. Сына же, в его 8 лет, давно поглотил мир видеоигр и ютуба, так что начинать программирование с трели на встроенном динамике, похоже, впечатления не произведет.

Читать дальше →
Всего голосов 59: ↑56 и ↓3 +53
Просмотры49.5K
Комментарии 104

Схемы хищений в системах ДБО и пять уровней противодействия им

Блог компании Group-IBИнформационная безопасностьПлатежные системы
image

В мае этого года Управлением «К» МВД России при содействии компании Group-IB был задержан 32-летний житель Волгоградской области, обвиняемый в хищениях денежных средств у клиентов российских банков при помощи фальшивого приложения для интернет-банкинга, на деле оказавшегося вредоносной программой — Android-трояном. Ежедневно с его помощью у пользователей похищали от 100 000 до 500 000 руб., часть украденных денег для дальнейшего обналичивания и сокрытия мошеннической деятельности переводилась в криптовалюту.

Анализируя «цифровые следы» совершенных краж, специалисты Group-IB выяснили, что используемый в преступной схеме банковский троян был замаскирован под финансовое приложение «Банки на ладони», выполняющее роль «агрегатора» систем мобильного
банкинга ведущих банков страны. В приложение можно было загрузить все свои банковские карты, чтобы не носить их с собой, но при этом иметь возможность просматривать баланс карт на основе входящих SMS по всем транзакциям, переводить деньги с карты на карту, оплачивать онлайн-услуги и покупки в интернет-магазинах.

Заинтересовавшись возможностями финансового агрегатора, клиенты банков скачивали приложение «Банки на ладони» и вводили данные своих карт. Запущенный троян отправлял данные банковских карт или логины/пароли для входа в интернет-банк на сервер злоумышленникам. После этого преступники переводили деньги на заранее подготовленные банковские счета суммами от 12 000 до 30 000 руб. за один перевод, вводя SMS-код подтверждения операции, перехваченный с телефона жертвы. Сами пользователи не подозревали, что стали жертвами киберпреступников, — все SMS-подтверждения транзакций блокировались.
Читать дальше →
Всего голосов 17: ↑16 и ↓1 +15
Просмотры10.1K
Комментарии 21

Безопасность Microsoft Office: форматы документов

Блог компании Digital SecurityИнформационная безопасность
Всем привет!
Этой статьей мы открываем цикл, посвященный исследованию безопасности компонентов Microsoft Office. Речь в материале пойдет о форматах данных, шифровании и получении символов.
Когда в компании Microsoft задумывался и разрабатывался масштабный пакет офисных программ Microsoft Office, вероятно, создатели надеялись на успех. Сложно сказать, могли ли они рассчитывать на его триумфальное шествие по миру впоследствии, на то, что продукт станет фактическим стандартом, а существование его растянется на десятилетия. Однако можно уверенно утверждать, что массивность приложений, количество человеко-часов, затраченных на создание, развитие, поддержку обратной совместимости компонентов продукта способствовали появлению «тяжелого наследия» в виде устаревшего, написанного десятилетия назад программного кода, составляющего ядро приложений даже в последних версиях пакета. Требования, которые предъявлялись к коду двадцать лет назад, изменились. Сегодня во главу угла ставится кроссплатформенность, масштабируемость и безопасность. При этом, расходы на значительные изменения в продукте таковы, что Microsoft предпочитает подход «не сломано – не трогай», и старательно обеспечивает обратную совместимость с самыми древними форматами документов. Не обходится и без определенного давления со стороны коммерческих и государственных структур, которые также медленно и неохотно обновляют свои технологические парки, предпочитая привычные средства в ущерб развитию и безопасности.

Покопавшись в дебрях обработчиков файлов Microsoft Office, мы готовы представить вам это небольшое исследование.
Читать дальше →
Всего голосов 30: ↑30 и ↓0 +30
Просмотры11K
Комментарии 12

Баг компилятора? Линкера? Нет, баг ядра Windows

Блог компании Инфопульс УкраинаСистемное программированиеGoogle ChromeОтладкаСистемы сборки
Перевод
imageГейзенбаг — это худшее, что может произойти. В описанном ниже исследовании, которое растянулось на 20 месяцев, мы уже дошли до того, что начали искать аппаратные проблемы, ошибки в компиляторах, линкерах и делать другие вещи, которые стоит делать в самую последнюю очередь. Обычно переводить стрелки подобным образом не нужно (баг скорее всего у вас в коде), но в данном случае нам наоборот — не хватило глобальности виденья проблемы. Да, мы действительно нашли баг в линкере, но кроме него мы ещё нашли и баг в ядре Windows.

В сентябре 2016 года мы стали замечать случайно происходящие ошибки при сборке Хрома — 3 билда из 200 провалились из-за крэша процесса protoc.exe. Это один из бинарников, который при сборке Хрома сначала собирается сам, а затем запускается для генерации заголовочных файлов других компонентов. Но вместо этого он падал с ошибкой «access violation».
Читать дальше →
Всего голосов 146: ↑145 и ↓1 +144
Просмотры36.8K
Комментарии 32

По следам CyberCrimeCon 2017: Тенденции и развитие высокотехнологичной преступности

Блог компании Group-IBИнформационная безопасностьIT-инфраструктураКонференцииФинансы в IT
Десятого октября в Москве прошла ежегодная конференция Group-IB CyberCrimeCon 2017. В этом году эксперты отрасли — специалисты по кибербезопасности из банковской сферы, Интерпола, полиции Европы — обсуждали новые цели хакеров, говорили об эволюции атак и изучали практические кейсы.

На конференции мы также представили свой отчет о трендах киберугроз для финансового сектора. Сегодняшний пост — это резюме того, о чем мы говорили: о тенденциях развития преступлений в области высоких технологий.

Читать дальше →
Всего голосов 18: ↑17 и ↓1 +16
Просмотры9.2K
Комментарии 2

По следу Cobalt: тактика логической атаки на банкоматы в расследовании Group-IB

Блог компании Group-IBИнформационная безопасностьПлатежные системыРеверс-инжиниринг
image

В июле 2016 года работа First Bank, одного из крупнейших банков Тайваня, была парализована. Банк столкнулся с масштабной атакой: люди в масках одновременно опустошили три десятка банкоматов на $2 млн. Полиция терялась в догадках: на корпусах банкоматов не было ни следов взлома, ни накладных устройств — скиммеров. Злоумышленники даже не использовали банковские карты.

Как все происходило, зафиксировали видеокамеры: люди в масках подходили к банкоматам, звонили по мобильному — банкомат выдавал деньги, преступники складывали их в рюкзаки и убегали. После такого масштабного налета восемь крупнейших банков страны приостановили выдачу наличных в 900 банкоматах.

То, с чем столкнулся First Bank, называется логической атакой. Ее суть в том, что киберпреступники получают доступ к локальной сети банка и из нее устанавливают полный контроль над банкоматами. Удаленно они получают команду на выдачу денег. Сообщники взломщиков — “мулы” — забирают деньги и передают их организаторам атаки. Таким образом Cobalt — самая активная и опасная преступная группа — меньше чем за год атаковала банки в двух десятках стран мира.
Читать дальше →
Всего голосов 24: ↑24 и ↓0 +24
Просмотры38.4K
Комментарии 17

Аппаратные или программные блокираторы записи — что надежнее?

Блог компании BI.ZONEИнформационная безопасность

Являются ли аппаратные блокираторы записи более надежными по сравнению с программными?


Предисловие


Проведение криминалистических исследований при расследовании инцидентов информационной безопасности, производство судебных экспертиз и многие другие направления деятельности, связанные с компьютерной криминалистикой, требуют максимально возможного сохранения целостности исследуемых данных. Для этого используются блокираторы записи — программы или устройства, не позволяющие записать что-либо на исследуемый накопитель. Необходимость применения таких средств происходит как из требований процессуального законодательства (например, УПК РФ), так и из различных рекомендаций методического и иного характера, а также из стандартов (например, СТО БР ИББС-1.3-2016). Некоторые аспекты функционирования блокираторов записи и будут рассмотрены в настоящей статье.


Один из ранних аппаратных блокираторов записи (2002 год)
Читать дальше →
Всего голосов 15: ↑15 и ↓0 +15
Просмотры10.8K
Комментарии 9

Недокументированные возможности Windows: точки остановки для ключей реестра

Блог компании BI.ZONEОтладкаРеверс-инжиниринг
Иногда в процессе обратной разработки какой-либо программы (в том числе драйвера) может потребоваться прервать ее исполнение в момент совершения некоторого действия с определенным ключом реестра, в такой ситуации можно воспользоваться недокументированной функциональностью точек остановки для ключей реестра.

Впервые точки остановки для ключей реестра появились в Windows XP, где была реализована возможность исполнения ядром инструкции int 3 при открытии ключа реестра с пометкой (отладочным флагом) BREAK_ON_OPEN или при создании подключа в составе такого ключа.
Читать дальше →
Всего голосов 31: ↑31 и ↓0 +31
Просмотры12.4K
Комментарии 4

Недокументированные возможности Windows: скрываем изменения в реестре от программ, работающих с неактивным реестром

Блог компании BI.ZONEИнформационная безопасностьРеверс-инжиниринг
Можно ли создать такой ключ реестра, который будет виден в Windows в составе активного (подключенного) реестра, но не будет виден программам, работающим с неактивным (отключенным) реестром? Оказывается, если у вас есть возможность изменить лишь одну переменную ядра (например, с помощью драйвера), то да, способ есть.
Читать дальше →
Всего голосов 26: ↑24 и ↓2 +22
Просмотры17.3K
Комментарии 10

Безопасность средств безопасности: СКУД

Информационная безопасность
Из песочницы

Дисклеймер


Материалы, приведенные ниже, несут исключительно научно-исследовательский характер. Данное исследование проводилось автором исключительно в научно-исследовательских целях, его результаты не являются и не могут признаваться руководством к совершению каких-либо противоправных действий. При проведении исследования автор действовал в рамках законодательства Российской Федерации. Использование результатов исследования допускается исключительно в научно-ознакомительных целях. Использование результатов исследования для достижения противоправного или любого иного от научной деятельности результата может повлечь за собой уголовную, административную и (или) гражданско-правовую ответственность. Автор не несет ответственность за инциденты в сфере информационной безопасности, имеющие отношение к тематике исследования.

Вступление


Все привыкли выделять деньги на обеспечение безопасности компании, внедрять готовые решения и считать, что эти готовые решения полностью закрыли те или иные риски. Рынок предлагает комплекс различных решений от разных компаний-производителей, поэтому у покупателя есть широкий выбор аппаратных средств безопасности и ПО для управления ими. Вот именно об информационной безопасности такого ПО и пойдёт речь. Сегодня поговорим о системах контроля и управления доступом (СКУД).


Читать дальше →
Всего голосов 26: ↑21 и ↓5 +16
Просмотры43K
Комментарии 5

Как крадут деньги, которых нет. Или кое-что новенькое о криптовалютах

Блог компании Group-IBИнформационная безопасностьРеверс-инжиниринг
Привет, Хабр!

Безусловно, ты знаешь о криптовалютах очень много, но сегодня мы принесли тебе кое-что новенькое: исследование вредоноса, созданного для кражи кошельков 80 криптовалют, включая биткойн вместе со всеми реквизитами доступа к ним.

Обнаружили мы его в ходе программы непрерывного мониторинга безопасности сети Интернет и тут же разобрали на запчасти несколько семплов вредоноса. Таких комбайнов по автоматизированному уводу криптокошельков у владельцев пока мало, но будет больше, мы уверены.

Ниже мы расскажем о том, как вредонос работает, и как не оказаться в группе риска. И конечно ещё раз просуммируем информацию о самих криптомонетах и их родственниках.

Кстати, финансовые регуляторы считают биткойн и всех его друзей валютными суррогатами, и мы ни в коем случае не пропагандируем их использование, а наоборот, призываем пользоваться фиатными деньгами как надёжным и стабильным платёжным инструментом. (Тут мог бы быть смайл)
Читать дальше →
Всего голосов 23: ↑19 и ↓4 +15
Просмотры41.9K
Комментарии 30

Технический отчет о деятельности преступной группы, занимающейся целевыми атаками — Anunak

Блог компании Group-IBИнформационная безопасностьПлатежные системыРеверс-инжиниринг
Во второй половине 2014 года мы уже неоднократно упоминали про целевые атаки на крупные финансовые учреждения как новую ступень мошенничества. Ведь теперь денежные средства похищают не у «мелких юрлиц», а у крупных финансовых компаний, в которых, казалось бы безопасность должна быть на высшем уровне и сложность совершения преступления приближается к «Hell». Однако, учитывая не стихающий поток подобных преступлений, а также особую актуальность на фоне текущего финансового состояния страны, мы решили обновить пост и добавить новых подробностей касательно группы Anunak, которая использует одноименного трояна, также известного как Carbanak. Название Carbanak происходит от склейки двух слов Anunak+Carberp.

Краткий экскурс


После задержаний членов группы Carberp в России, некоторые участники остались без работы, однако, полученный за долгие годы работы опыт позволил им занять новую нишу. Один из участников быстро понял, что можно украсть тысячу раз по $2 000 и заработать 2 миллиона долларов, а можно украсть всего лишь один раз и сразу всю сумму.

С 2013г. активизировалась организованная преступная группа, нацеленная на банки и электронные платежные системы России и пост советского пространства. Особенностью является то, что мошенничество происходит внутри корпоративной сети, с использованием внутренних платежных шлюзов и банковских систем. Таким образом денежные средства похищаются не у клиентов, а у самих банков и платежных систем. Если доступ был получен злоумышленниками в сеть государственного предприятия, то целью злоумышленников является промышленный шпионаж.

Основной костяк преступной группы составляют граждане России и Украины, однако есть лица, оказывающие им поддержку из Белоруссии.
Читать дальше →
Всего голосов 81: ↑71 и ↓10 +61
Просмотры62.2K
Комментарии 20

Чтобы распознавать картинки, не нужно распознавать картинки

Обработка изображений
Посмотрите на это фото.



Это совершенно обычная фотография, найденная в Гугле по запросу «железная дорога». И сама дорога тоже ничем особенным не отличается.

Что будет, если убрать это фото и попросить вас нарисовать железную дорогу по памяти?

Если вы ребенок лет семи, и никогда раньше не учились рисовать, то очень может быть, что у вас получится что-то такое:
Осторожно, тяжелые гифки
Всего голосов 263: ↑258 и ↓5 +253
Просмотры227.7K
Комментарии 104

Еще немного реверс-инжиниринга UEFI PEI-модулей на другом полезном примере

AssemblerСистемное программированиеРеверс-инжинирингUEFI
И снова здравствуйте, уважаемые хабрачитатели.

В рамках борьбы за возможность модификации UEFI на ноутбуках HP пришлось отломать еще одну защиту, на этот раз более современную. Видимо, отдел разработки прошивок в HP догадался, что предыдущая защита была не ахти, и потому они решили радикально её улучшить, поэтому метод обхода защиты DXE-тома из предыдущей статьи перестал работать, и мне опять понадобилось вооружаться дизассемблером, разрабатывать конвертер из TE в PE и отвечать на те же вопросы: где находится цифровая подпись, кто именно ее проверяет и как сделать так, чтобы проверка всегда заканчивалась успехом.

Если вас интересуют ответы и описание процесса их поиска — прошу под кат.
Читать дальше →
Всего голосов 43: ↑42 и ↓1 +41
Просмотры27.3K
Комментарии 34

Вокруг Яндекса за 59 дней

IT-компании
Картинка-замануха

Не так давно у меня появилась жгучая необходимость найти работу в Москве. Одним из рассматриваемых вариантов стал Яндекс. Я всегда с симпатией относился к этой компании, считая их чем-то вроде русского Google (правда, Яндексоиды всегда начинают нервничать от такого сравнения).

Соответственно, я отправил им свое резюме и даже получил приглашение на первое собеседование. О том, что и как происходило дальше, я и хочу рассказать.

История будет интересна людям, которые рассматривают Яндекс, как потенциальное место работы, ну или которым просто интересно «а как там у них». Также статья должна быть интересна службе по подбору персонала самого Яндекса.
Читать дальше →
Всего голосов 284: ↑263 и ↓21 +242
Просмотры38.2K
Комментарии 188

Ускорение загрузки Windows for fun and profit

Разработка под Windows
image Пожалуй, начну с того, что если перегружаться 15 раз в год, то любой «тюнинг» процесса загрузки отнимает больше времени, чем будет выиграно на перезагрузках за все время жизни системы. Однако, спортивный интерес берет свое, тем более, что люди интересуется процессом оптимизации быстродействия. А загрузка оказалась самым очевидным кандидатом в примеры того, как на мой взгляд должен выглядеть этот самый процесс. Сразу скажу, что грузиться будем с 5400 rpm винта, грузиться будем в «рабочую» систему: помимо недобитой вендорской крапвари там стоит еще куча всякого типа вижуал студии, антивируса, скайпа, стима, гуглапдейтера и пр…

Про то, почему отключение pagefile-а скорее вредно, чем полезно — как нибудь в другой раз, а пока…
Под катом много однообразных картинок и немножко унылого текста
Всего голосов 532: ↑516 и ↓16 +500
Просмотры448.1K
Комментарии 363

Исследование факторов ранжирования в Яндексе

Поисковые технологииПоисковая оптимизация
Несколько десятков специалистов по поисковой оптимизации поучаствовали (своими ответами) в исследовании факторов ранжирования в Яндексе. Результаты вы можете лицезреть ниже на скриншотах или же на сайте топэксперт.рф вместе с комментариями и пояснениями. Думаю, что шпаргалка пригодится не только оптимизаторам, но и всем вебмастерам.

Начнем с внешних факторов. Критерии выбора внешних ссылок:



Читать дальше →
Всего голосов 167: ↑137 и ↓30 +107
Просмотры1.7K
Комментарии 67

Информация

В рейтинге
5,934-й
Работает в
Зарегистрирован
Активность