Profile
leo_sosnine
Page Summary
![[identity profile]](https://www.dreamwidth.org/img/silk/identity/openid.png)
http://users.livejournal.com/_nekto/ - (no subject)- proben.livejournal.com - (no subject)
- houblondobbelen.livejournal.com - (no subject)
- aurfin76.livejournal.com - из почти субтропиков
- ulrith.livejournal.com - (no subject)
- mancunian.livejournal.com - (no subject)
- nurmustermann.livejournal.com - (no subject)
- hordon.livejournal.com - (no subject)
Style Credit
- Style: Neutral Good for Practicality by
![[personal profile]](https://www.dreamwidth.org/img/silk/identity/user.png)
timeasmymeasure
Expand Cut Tags
No cut tags
no subject
Date: 2015-05-10 01:21 am (UTC)> Кентуцки!
Ну, что, начинается?
тролль гнет ель.jpg
>>начинается
Date: 2015-05-10 08:43 am (UTC)RE: >>начинается
Date: 2015-05-10 09:35 pm (UTC)Идиоты
RE: >>начинается
Date: 2015-05-10 11:07 pm (UTC)Re: >>начинается
Date: 2015-05-10 11:52 pm (UTC)Re: >>начинается
Date: 2015-05-11 01:05 am (UTC)Велели гавать на чеченов - гавкают на чеченов. Через минуту велели гавкать на "грызунов" - гавкают на "грызунов."
Вчера, буквально, заходились в лае на "нагличан." Где сейчас оно? Заспали-забыли.
Нынче - велят лаять "до рвоты" на "укропов."
Народ за океаном - ухохатывается: Чего завтра велят бесштанным, интересно?
no subject
Date: 2015-05-10 02:00 am (UTC)no subject
Date: 2015-05-10 02:36 pm (UTC)no subject
Date: 2015-05-10 06:37 pm (UTC)no subject
Date: 2015-05-11 04:52 pm (UTC)И самолёты там всё время с опозданием прилетают\улетают. :(
Один плюс - на подлёте к аэропорту очень красиво какой-то небоскрёб из облаков торчит.
no subject
Date: 2015-05-11 05:11 pm (UTC)no subject
Date: 2015-05-11 05:13 pm (UTC)no subject
Date: 2015-05-11 05:21 pm (UTC)no subject
Date: 2015-05-11 05:22 pm (UTC)no subject
Date: 2015-05-10 02:16 am (UTC)Лично я Вам бы рекомендовал Колорадо, или Northwest.
no subject
Date: 2015-05-10 02:36 pm (UTC)Увы, когда я сильно заинтересован я нередко волнуюсь и интервью проходит плохо, а когда через губу -- удивительное дело, но за меня начинается борьба
из почти субтропиков
Date: 2015-05-10 07:40 am (UTC)RE: из почти субтропиков
Date: 2015-05-10 11:45 am (UTC)Добрый день (или что там у вас)
RE: из почти субтропиков
Date: 2015-05-10 02:34 pm (UTC)ну и не насовсем же я туда, так, ступенька
no subject
Date: 2015-05-10 07:40 am (UTC)no subject
Date: 2015-05-10 07:51 am (UTC)no subject
Date: 2015-05-10 02:33 pm (UTC)no subject
Date: 2015-05-10 10:35 am (UTC)Слушай, раз тебя в ленте увидел, пару вопросов тебе по специальности. Объясни ребёнку что такое фрактал.
Вот есть фирма. На фирме сеть и в ней, в сети, лежат ценные данные. Злобный злоумышленник Оскар хочет эти данные украсть. Оскар сам сидит вне фирмы и предпринимает атаку на сеть фирмы. Но на пути у него встают Firewall, и даже не один - а два, внешний и внутренний, разделённые Bastion Host. И дальше Оскар таки сумел похитить даннные, используя "дыры", используя "уязвимости" в защите. Вот хотелось бы пример. Что за дыры такие? Что за уязвимости такие? Какие они вообще бывают? Пример можешь? Как именно Оскар прошёл через два Firewall и всё, гад, из фирмы вынес?
И вопрос второй. Вот фирма, вот защищена она системой Firewall. Но при этом всё равно используется application security, при этом всё равно внутри сети своя безопасность. На какой случай? Вопрос очень родственный вопросу первому, видимо.
Можешь на пальцах рассказать?
no subject
Date: 2015-05-10 02:26 pm (UTC)Основных векторов атаки у малефактора два: атака на публичные и полупубличные сервисы, которые фирма предоставляет энторнету и атака через тупого инсайдера (e-mail phishing, spear phishing, USB thumbdrives, рассылка компакт-дисков и т.п.).
Публичные сервисы у крупной компании дырявые, это аксиома. Потому что security patch management это дело хлопотное и часто ломает бизнес-процесс. Поэтому, сначала патчи выкатываются в тест/дев, потом в QA и только потом в прод. С момента релиза патча Майкрософтом (РедХэтом, ИБМ, подставить что угодно) проходит нередко МЕСЯЦ. Допустим, у Майкрсофта случается уязвимость класса RCE (оч. редко, но случается), выпускается патч. Патч диффится, анализируется, понимается что именно он патчит и через это познаётся уязвимость, под неё пишется код, который применяется для атаки на уязвимость. Код применяется. На это всё у малефактора есть около месяца, пока не пропатчат прод.
Но Майкрософт тяжело хакать, т.к. его всё-таки патчат ВООБЩЕ. Кучу вещей не патчат. Многие не патчат third-party software такой как адоби ридер, флэш, и т.п., об этом дальше, не патчат всякие мелкие плагины для веб-серверов, всякие сложные штуки. Допустим, ColdFusion может стоять на одном из веб-серверов старой версии -- и всё, приехали, там дыр как в решете. Заходи кто хочешь, бери что хочешь.
Если у Оскара с ассемблером туговато, он платит несколько тыщ бакинских правильным людям на хакерских форумах и они ему делают эту работу и он получает готовый экзешник. Запустил, снабдил айпишником, в ответ -- реверс шелл, делай что хочешь.
Почему файрволл малополезен? Основная задача файрволла это закрывать сервисы, которые мы имеем, но наружу не предоставляем. Но, во-первых, существуют способы сканировать сеть за файрволлом по косвенным данным (см. firewalking, их много, все закрыть трудно), во-вторых совсем сервисов не предоставлять бизнес не может, ибо как тогда вести бизнес? Что это за сервисы? Допустим (сильно ДОПУСТИМ) у них всё по уму (что навряд ли) и веб-серверы стоят ТОЛЬКО в ДМЗ. Если нет -- пиши пропало, эксплуатируется уязвимость в веб-сервере (который стоит за всеми файрволлами во внутренней сети) и мы внутри. Если да, то ему нужно общаться с серверами БД, которые почти верняк всё равно внутри. Как? Т.е. в любом случае у веб-серверов есть доступ к БД (которые, как правило, и нужно похитить), поэтому поимев сервер малефактор автоматом получает и как минимум доступ к БД, который требуется этому веб-серверу. Дальше -- разнообразный пивотинг, который может занять месяцы и т.п., но более чем возможен.
Но, допустим, организация функционирует в режиме подземного бункера и сервисов в энторнет не предоставляет (фантастический сценарий). В этом случае им можно рассылать имэйл и даже обычные мэйлы. Сотрудникам. Представь, приходит челу физическое бумажное письмо, там компакт-диск или флэшка и рекламный проспект, что ты, дорогуша, выбрана в качестве ограниченного набора лиц и у тебя есть возможность сюда подставить что угодно). Тупая овца обязательно вставит диск/флэшку в рабочий компьютер. С включенным автораном, а если нет -- запустит сама, ибо дура. Дальше -- дело техники.
no subject
Date: 2015-05-14 05:07 pm (UTC)Есть фирма. У фирмы есть внутреняя сеть, в ней база данных - она цель для хакера. Способов добраться до неё два:
1.) Через веб-сервис, который фирма предоставляет в открытую.
2.) Через тупых овец. Можно просто позвонить и сказать "я твой коллега из соседнего отдела, скажи мне пароль". Это не важно как именно мы троллим овцу - диском ли, письмом ли от менеджера +1 уровня, просто ссылкой на порно или якобы pdf в аттаче - не важно.
Мы на данном этапе вообще не будем рассматривать человеческий фактор. Нет тупых овец, нет выкинутых записных книжек с паролями, никто не ходит по линкам, никто не вставляет левые диски.
Интересует сугубо техническая сторона.
Я так тебя понял:
1.) Используется уязвимость веб-сервиса. Сервис этот всё равно имеет связь с БД на фирме. ТО есть, можно используя дыры (уязвимости) на веб-сервисе заставить его из БД выдать больше, чем он был готов выдать.
2.) Если веб-сервиса нет и фирма сидит в бункере подземном, а так же на фирме нет вообще тупых овец - всё, приехали, хакеры бессильны.
И тут вопрос по первому пункту. Уязвимости веб-сервиса. Дыры веб-сервисов. Публичные сервисы дырявые, это аксиома. Пример, пожалуйста. Что есть дыра публичного сервиса.
Ну и ещё я тебя так понял, что про дыры часто узнают по выпущенным патчам. То есть как-то так происходит:
1.) Фирма сама понимает, что у неё дыра в веб-сервисе.
2.) Выпускает патч и всем об этом говорит.
3.) Но патч пока не работает, а заработает только через месяц.
4.) За этот месяц Оскар анализирует патч и понимает что именно от патчит. А потом пишет на "ассемблере" .exe, который в сочетании с IP этого веб-сервиса даёт возможность...
Что такое "ревер шелл"?
И что такое "уязвимость класса RCE". Какие ещё классы бывают?
no subject
Date: 2015-05-15 12:44 pm (UTC)Лучший пример из прошлого года это heartbleed. Механизм работы отлично поясняется этой картинкой:
В итоге всю память сервера мелкими блоками можно утянуть. В памяти хранятся нешифрованные ключи, пароли и прочие данные. Эта уязвимость существовала вроде бы >10 лет. На момент её обнаружения white hat хакерами >90% всех серверов в интернет на линуксе были подвержены.
Это касалось не только веб-серверов, но и всего, что использовало openssl, например, OpenVPN серверы.
Механизм эксплуатации очевиден: дампим всю память сервера, ищем там credentials, используем их для аутентификации на сервере под видом легального юзера, лучше всего админа, дампим все БД.
Что такое "ревер шелл"?
Грубо говоря это просто командная строка удалённого сервера, но т.к. изнутри наружу режим фильтрации траффика более щадящий, то удалённый сервер настроен таким образом, что он сам ищет малефактора и когда находит устанавливает с ним сеанс. Малефактор при помощи командной строки полностью управляет сервером. Пример: meterpreter.
И что такое "уязвимость класса RCE". Какие ещё классы бывают?
Remote Code Execution, т.е. уязвимость эксплуатация которой позволяет выполнять на сервере произвольный код. Это самый высокий класс уязвимости. Те что попроще это различный DoS, локальное выполнение кода, повышение привилегий, directory traversal и прочее.
no subject
Date: 2015-05-16 05:16 pm (UTC)no subject
Date: 2015-05-10 02:26 pm (UTC)Spear phishing. Как работает электропочта простые юзеры не знают, да и незачем им это. И вот представь, приходит им письмо, от их менеджера +1 уровня. Непосредственного мендежера она бы спросила, а +1 уровня стесняется. А +1 менеджер известен тем, что нередко рассылает всякий бред. В письме написано задание: зайди на такой-то сайт, он спросит у тебя логин и пароль, введи, получи такой-то эксель спредшит, обработай, перешли мне. Что делает дура? Кликает на линк, переходит на сайт, и вводит свои доменные логин и пароль. Не введёт, думаешь? 9 не станет, а 10 обязательно введёт.
Или письмо с пдф файлом содержащим важную типа информацию. Т.к. адоби ридер не патчится в большинстве случаев, или патчится плохо, а эксплойтов для него вагон, юзер кликает на пдф, на той стороне Оскар получает реверс шелл с правами этого юзера.
Что дальше? Тыща возможностей. Допустим, юзер сидит на винде (а где он ещё сидеть-то может). По-умолчанию (читай, у 90% компаний так и есть), ADDS групповые политики хранят 10 последних кэшей логонов. Делается на случай "пропала сеть, а залогиниться нужно". Шансы неплохие, что среди них окажется пароль доменного админа, или на худой конец юзера техподдержки с плавами локальных админов на рабстанциях. Кэш тащим, брутфорсим у ребят на видеокартах (ваще дёшего), получаем логин/пароль админа, повышаем привилегии.
Что делает Оскар, если файрволл NGFW или UTM с реконструкцией до слоя приложений и анализом на сигнатуры? Существует масса техник, типа фрагментации, в которой malicious payload бьётся на несколько фрагментов и шлётся в разных, анализатор отсасывает, т.к. после пересборки полной сигнатуры не получается. Это если он её ещё знает, хехе, а скорее всего -- нет. Реверс-шелл шифрованным траффиком, против которого все пало альто и блукоты абсолютно бесполезны.
Оскар может копаться в потрохах месяцами. Среднее время обнаружения таргетед брича в крупных компаниях несколько месяцев. Т.е. в худшем случае его поймают где-то через месяц (и то, не его, а "что-то странное происходит в этом сегменте сети"), в лучшем -- через годы.
no subject
Date: 2015-05-10 08:31 pm (UTC)no subject
Date: 2015-05-15 07:04 am (UTC)no subject
Date: 2015-05-15 03:33 pm (UTC)no subject
Date: 2015-05-15 03:44 pm (UTC)но журнал хороший, годный
щас, канешно, не то что раньше, при никитоззе, когда туда ещё такие госу как Крис Касперски пописывали, но всё равно, я иногда с удовольствием читаю, надо вот подписку оформить
no subject
Date: 2015-05-10 03:07 pm (UTC)no subject
Date: 2015-05-10 03:15 pm (UTC)за этим надо подписываться на Сергей Доля или шкварламова
no subject
Date: 2015-05-10 03:26 pm (UTC)