Fin7: Как компания из Москвы оказалась связана с международной хакерской группировкой FIN7

[sporaw]

Киберпреступники все чаще маскируются под ИТ-компании и ищут сообщников на популярных сайтах по поиску работы. По такой схеме московская фирма несколько лет нанимала людей, которые не подозревали, что окажутся «русскими хакерами

Comments

[scdm]

Владимир Дрюков говорит, что «исследование уязвимостей, тестирование на проникновение и разработка специализированного софта могут использоваться во вред без ведома самого сотрудника, особенно если он не слишком опытный. Вредоносное ПО обычно имеет сложную составную структуру, и некоторые функциональные модули могут не содержать явных признаков того, что их планируется использовать в нелегитимных целях».

Сказочный долбоёб.
Написать эксплоит, будучи "неопытным" (т.е. не понимая что делаешь) - это из серии спамы-куки-закладки.

[ext_2038817]

Вообще-то он дело говорит. Куча софта по безопасности мимикрирует под всякие анализаторы и тестеры, тогда как по факту применяют хакерские приемы -- от эксплойтов до брутфорса.

Это же касается и "эксплойтов", которые в свое время были доступным любому школьнику в том же метасплойте -- причем пользоваться можно было буквально несколькими кликами/командами, комбинирую эксплойты и нагрузку под любые задачи. Пентагон не взломать, а вот локалки и офисные сети -- как два пальца об асфальт.

[scdm]

ответил ниже

[sporaw]

Вообще-то, он все нормально сказал в этой истории.
И эксплоит можно написать для целей проникновения, но не знать, как оно будет далее использоваться.
Здесь не зря написано про red team.
Кроме того, без всяких red team эксплоиты могут разрабатываться и даже для контролируемого пентестинга.

Либо я не понимаю твой комментарий

[scdm]

Невозможно написать эксплоит, не понимая что ты при этом делаешь. Даже пофиксить/веапонизировать готовый. Не говоря уж про поиск 0day.

Поэтому ситуация выглядит как с пойманным взломщиком дверей: "я шёл, проволокой в зубах ковырял, споткнулся, проволока воткнулась в замок и погнулась, но это не отмычка".

Формально можно оправдываться как угодно, но я никогда не поверю что люди не понимали что они делают.

[sporaw]

Ты, видимо, все же недопонимаешь идею. Никто не говорит, что тот, кто (условно) писал эксплоит, не понимал что пишет. Вопрос в том, что можно представлять ложные цели его использования. Например, легальный pentesting. А не то, что человек не понимал, что он пишет эксплоит.

[scdm]

Строго говоря, для пентестинга не обязательно чтобы проникновение приводило к запуску осмысленного кода. Факта того, что приложение свалилось с AV/SIGFAULT (т.е. произошло вмешательство в ход исполнения, сработал RCE) уже вполне достаточно

[sporaw]

Ты, видимо, не знаешь как работает pentesting и какая конечная цель (при разных подходах она разная, но итог такой - что ты описываешь фактически материалы к которым смог получить доступ [предъявляешь их]; бизнес не интересуется "технологическими факторами", бизнес интересуется результатами).

Иначе бы pentesting был не нужен. Можно было бы просто сказать: в приложениях и сетевых сервисах есть уязвимости - их можно взломать, люди неидеальны - их можно отфишить. Все, pentest завершен.

[scdm]

Результат - наличие или отсутствие дыры. А калькулятор ты при этом запустил, или файл на диске создал - совершенно похуй.

[sporaw]

Я тебе выше описал схему как работат pentest, а не как работают технари между собой: "Ооо, я крэш нашел! Скорее всего эксплоитируемый! Ура! Победа! Конец"

Бизнесу это совершенно не интересно и за это он платить (тем более - много) не готов.

[scdm]

угу, "описал"

конечная цель (при разных подходах она разная

>> Иначе бы pentesting был не нужен. Можно было бы просто сказать

Не годится. Нужно ещё доказать наличие и показать где именно.

[sporaw]

Да, ты дальше читай.

Но итог один - это комплекс мер (различных) на проникновение и получение доступа к информации или возможности ее изменения. Это не поиск какой-то уязвимости в чем-то, это - комплекс мер и действий (совокупность). Фактически - это реальная атака на проникновение. Поэтому оно и называется penetration testing.

>> Иначе бы pentesting был не нужен. Можно было бы просто сказать
> Не годится. Нужно ещё доказать наличие и показать где именно.Думаю, тебе удастся открыть свой pentesting (по описанной схеме), не тот, что на рынке. Делать нужно будет в десятки раз меньше, а получать в десятки раз больше. Как только ты научишься продавать его бизнесу и зарабатывать на этом - все, кто занимаются другим (неправильным pentesting'ом) тебе начнут завидовать. У них пока удается продавать в основном фактический взлом с демонстрациями

[scdm]

>> это комплекс мер (различных) на проникновение и получение доступа к информации или возможности ее изменения. Это не поиск какой-то уязвимости в чем-то, это - комплекс мер и действий (совокупность). Фактически - это реальная атака на проникновение.

Возможность запускать код на устройстве - всё, вектор есть. Дальше его можно развивать не прыгая себе по яйцам. А моделируя работу кода, запущенного вручную.

>> Как только ты научишься продавать его бизнесу и зарабатывать

%спервадобейся% detected

[sporaw]

> Возможность запускать код на устройстве - всё, вектор есть. Дальше его можно развивать не прыгая себе по яйцам. А моделируя работу кода, запущенного вручную.

Демонстрация атаки - это демонстрация атаки с результатами.
Технические возможности никого не интересуют. В принципе, я уже повторяю то, что писал выше.

>> Как только ты научишься продавать его бизнесу и зарабатывать
> %спервадобейся% detected

Нет. Мне все равно будешь ты это делать или не будешь. Это намек на то, что весь рынок делает иначе. И тут возникает вопрос почему. Возможно, они дураки и что-то не понимают...

[scdm]

>> Демонстрация атаки - это демонстрация атаки с результатами. Технические возможности никого не интересуют.

Чем тебя не устраивает результат обрушения атакуемого приложения ?

Т.е. если мы (пентестеры) знаем о дыре, знаем где и как она находится и как триггерится, но не потратили кучу ресурсов на зрелищную эксплуатацию (или потратили, но работа ещё в прогрессе) - то дыра не считается ?

>> Это намек на то, что весь рынок делает иначе.

Говорить за "весь рынок" это круто. Впрочем соглашусь, что зрелищные спецэффекты нравятся большему количеству народа, и можно успешнее прозозохивать даже тех, кто вообще ничего не понимает.

Примерно как фильм "Континуум", буквально вчера смотрел. Вот он - чёткая разница между требованием вооружения эксплоита (взрывы, дрожащие предметы). И реальностью (такую дикую чушь несут. "для фикса синхронизации меду айпадами возьми библиотеку второго уровня" и т.д.)

[sporaw]

>> Демонстрация атаки - это демонстрация атаки с результатами. Технические возможности никого не интересуют.
> Чем тебя не устраивает результат обрушения атакуемого приложения ?

Он не меня - он рынок не устраивает. Потому что 1000 технарей в мире знают, что с этим можно что-то сделать. А все остальные люди видят в этом какую-то хрень типа заставки "Матрицы", и вопрос один: "И чего?". Ты на это: "Ну вот, можно эксплоит сделать и ваши доки спереть или доступ к базе получить". А тебе в ответ: "Ясно. Ну как-то вот не понятно. Покажешь?".

> Т.е. если мы (пентестеры) знаем о дыре, знаем где и как она находится и как триггерится, но не потратили кучу ресурсов на зрелищную эксплуатацию (или потратили, но работа ещё в прогрессе) - то дыра не считается ?

Продать ты эту дыру бизнесу не сможешь. Поэтому в понятиях экспертов типа тебя - считается, а в понятиях бизнеса - нет. Так устроен окружающий мир.

Я обо всем этом утрировано уже писал здесь. Можно приходить к любой компании требовать оплату по следующей схеме