Cyril "isox" Ermakov, QIWIs Chief Security Officer, spricht über seine Arbeit, Blackout, Anonymität und Informationssicherheit für Erwachsene




    Es gibt eine Meinung, dass Banking-CISOs langweilig sind. Sie wissen überhaupt nicht, wie sie mit ihren Händen arbeiten sollen, sie beraten sich endlos und beschäftigen sich im Allgemeinen mit allen Arten von Unsinn. Der Held der heutigen Geschichte, Isox, kann nicht als langweilig bezeichnet werden. Er ist einigen als der beste Yandex-Bugs-Jäger bekannt, einigen als der Schöpfer der offenen Vulner-Datenbank und anderen, genau wie der coolste coole Typ im Corps. Isox sprach sehr ehrlich über seine Arbeit, über das Verblassen, über Anonymität und über die Informationssicherheit für Erwachsene im Allgemeinen. Machen Sie sich mit Cyril "isox" Ermakov, dem Hauptwächter von QIWI, bekannt!



    Fakten


    • Verwendet Nano, erkennt Vim nicht
    • Kann Pfadüberquerung sogar in einer Teekanne finden
    • Immer zur Hand:
    • Gitarrist Spielen Sie weiter
      • Gibson Les Paul No. 384 Pre-Historic von einem Sammler aus Japan gekauft
      • Fender Stratocaster
      • Gibson SG Standard 2000

    • Ein leidenschaftlicher Rennfahrer. Fährt einen Porsche 911



    Tatsächlich mag ich Computer nicht wirklich. Ich liebe Rennen. Aber Sie müssen Geld verdienen, um Rennen zu fahren. Also wurde ich ein Hacker.


    Ich war gern Zeitangriffsrennen. Dies ist eine sehr schnelle Fahrt im Kreis rechtzeitig. Das heißt, Sie müssen nur Ihren eigenen Kreis schneller fahren als die anderen.


    Ich hatte einen Subaru STI, alles ist wie in einem Handyspiel. Im Auto gab es Rennbegeisterungen für 3.000 Euro, aber für sich wussten sie fast nichts. Am besten starten Sie einfach das Auto. Es gab jedoch keine Rennfunktionalität wie die Entfernung von Ferntelemetrie oder ein System zur Aufrechterhaltung des Ladedrucks (Anti-Lag). Damit Ihr Auto weiß, wie man etwas macht, müssen Sie Ergänzungen dazu kaufen.


    Gehirne haben eine eindeutige Seriennummer.Sie senden es an den Verkäufer, zahlen das Geld und erhalten einen Freischaltcode. Steigen Sie ins Auto ein und Sie haben die eine oder andere Option aktiviert. Das heißt, alle Rennfunktionen sind bereits anfangs mit dem Gehirn verbunden. Sie müssen sie nur noch freischalten. Hier habe ich mir gedacht: geht das auch ohne Verkäufer?


    Ich kann selbst Maschinen programmieren.Wenn Sie wissen, wie die Engine funktioniert, können Sie sie konfigurieren. Natürlich wird es Sie gleichzeitig verstopfen. Aber du bist ein Hacker, du bist stur, oder? Also klettere ich ins Auto und stelle fest, dass die Steuerung mit einem Passwort gesperrt ist. Es passierte genau dort in meinem Kopf: "Durch ein Passwort gesperrt" und "Informationssicherheit" - das ist irgendwo in der Nähe. Ich stopfte die Firmware dieser Gehirne in OllyDbg (in der IDA konnte ich dann nicht) und sah, dass das Passwort auf dem Client überprüft wurde. Das heißt, es wird nicht zur Überprüfung an einen Remoteserver gesendet, sondern direkt im Steuerprogramm auf einem in C ++ Builder erstellten Computer überprüft. Ein JMP hat das Problem behoben. Also bin ich in meine Firmware eingestiegen.


    Die zweite Aufgabe bestand darin, genau die Schlüssel zu finden, mit denen zusätzliche Funktionen aktiviert wurden.In Subaru gab es Köpfe eines berühmten Verkäufers. Ich hatte das Glück, dass hinter meinem Rücken zwei sehr coole Reverser saßen - Dima Sklyarov und Sasha Plex. Ich sagte den Jungs: „Und lasst uns die Gehirne meines Autos knacken?“


    Dima drehte schnell die gesamte Gehirn-Firmware um, es war Motorola 68000. Aber die zerlegte Firmware reichte nicht: Aktivierungscodes für Super-Features lagen natürlich in einem geschützten Speicherbereich, der nur im Gehirn vorhanden war. und es würde unmöglich scheinen, es zu subtrahieren.


    Auf der Suche nach Informationen bin ich auf die Website des Anbieters gegangen und versehentlich auf einen interessanten Fehler gestoßen. Wenn Sie eine Datei mit neuer Firmware von ihrer Website herunterladen, sieht die URL folgendermaßen aus:/download-file?id=315. Ich versuchte 316, 317 zu ersetzen und nummerierte schnell alles, was war. Unter den zusammengeführten Schätzen befanden sich auch die Developer Tools, mit denen der Bootloader neu gestartet werden konnte! Es blieb noch das Image des Bootloaders selbst zu finden.


    Wir haben Hilfe von den beschafften Entwicklertools erhalten. Durch dieses Devkit haben wir gelernt, die von uns modifizierte Firmware zu flashen. Dima Sklyarov hat das einzige XOR in der Firmware gefunden. Es war dieser Code, der für die Überprüfung der Schlüssel verantwortlich war. Als Nächstes haben wir einfach das Feld geändert, in dem sich die Seriennummer befand, sodass wir für drei Blinkzeichen den gesamten Bereich subtrahieren, in dem sich die magischen Bytes befanden, und die erforderlichen Aktivierungscodes berechnen. Also bekam ich die Schlüssel und aktivierte alle Rennfunktionen in meinem Auto.


    Wir haben uns alle beim Verkäufer gemeldet. Es war ihnen jedoch egal. Sie haben diese Sicherheitsanfälligkeit seit fünf Jahren nicht behoben. Sogarhielt einen Vortrag über PHDays zu diesem Thema. Wir sagten ihnen: "Nun, bitte, wir schämen uns", aber sie taten es nicht. Aber ich fühlte mich wie ein echter Hacker. Das echte Schwarze ist, dein eigenes Auto zu backen :).


    Wie es passiert ist




    Mein „kreativer Weg“ begann damit, dass ich im Budget Geld gefunden habe, das ich richtig eingesetzt habe. Nämlich - sich selbst zu erziehen. Ich habe dann bei einem staatlichen Unternehmen gearbeitet und es geschafft, etwas Geld für das Studium zu bekommen. Schnell gab RHCSS, RHCT und RHCE. Überraschenderweise ist dieses Wissen bisher praktisch. In diesem Moment fand mich Positive Technologies.


    Ich wusste, wie man die Nyx- und Windows-Sicherheit konfiguriert, hörte von allen Arten von Center of Internet Security, wusste, wie man irgendwo ein Zitat schreibt, und konnte sogar einen Debugger ausführen. Kurz gesagt, sie hörten mir zu und sagten, dass ich, wie sich herausstellte, ein sicherer Mann war und dringend als Safe arbeiten gehen musste. Na gut, dann lass uns gehen :). Zuerst arbeitete er


    einfach an MaxPatrol , fand aber schnell das, was man als „sein Thema“ bezeichnen kann.Ich wollte nicht einzelne Fälle lösen, sondern etwas tun, das das Problem des Auffindens von Schwachstellen durch versionierte Überprüfungen global lösen könnte. Wir haben mit Sasha Leonov (jetzt bei Mail.Ru) zusammengearbeitet und so etwas wie OVAL komplett herausgefunden . Und dann habe ich ein Framework für Parser erstellt, eine Datenbank zum Sammeln von Informationen über Sicherheitslücken und zum Umwandeln dieser in gültigen OVAL-Inhalt, der für Sicherheitsscanner geeignet ist.


    Im Allgemeinen habe ich einen Abschluss in Informationssicherheit von MIREA.Dies wurde jedoch kein Wachmann. Was uns am Institut beigebracht wurde, war völlig uninteressant. Eine Art ISO, 152-FZ, PCI DSS, schien unsinnig. Erst viele Jahre später wurde mir klar, dass all diese Dokumente in Blut und Blut geschrieben waren. Insta bietet eine Basis, mit der Sie die Unternehmenssicherheit irgendwie aufbauen und verstehen können, wie alles funktionieren sollte. Dies wird alles am Institut unterrichtet, aber sie erklären nicht, warum dies notwendig ist. Wenn Sie als einfacher Einzelgänger oder Sicherheitsbeamter in Ihrem Unternehmen arbeiten, wissen Sie auch nicht, warum dies alles notwendig ist. Bildung versucht, Ihnen einen systematischen Ansatz beizubringen, ohne zu erklären, wo und wie Sie ihn anwenden werden.


    Die Ausbildung hat sich als nützlich erwiesen, als ich anfing, als Sicherheitsbeamter für Unternehmen zu arbeiten. Technikfreaks haben die Basis der Hauptdokumentation immer in den Griff bekommen, aber sie haben nie versucht, in einem großen Unternehmen Sicherheit auf allen Ebenen zu schaffen. Hier kommt der Klient zum Pentester und bittet ihn, einen IS zu bauen. Und es gibt ein Unternehmen für 1.500 Menschen und 5.000 Server. Komm schon, mach sie sicher! Dann kommt die Erziehung zur Rettung. Sie verstehen, dass Prozesse im Vordergrund stehen, warum ISO und all diese Sicherheitsstandards benötigt werden.


    Über Blek, Grau und Teekannen



    Ich hatte nie einen Gedanken zu schnippen. Nun, das ist so, wie es nicht war: Ich arbeite in einer Firma, in der ich einen Ochuliard bekommen kann :). Denken Sie, dass solche Gedanken anwesend sind? (Isox, Sie sind zu ehrlich. - Ca.


    Ich schlafe sehr gerne friedlich. Wenn Sie verblassen, wachen Sie nachts auf, nur weil Sie feststellen, dass Sie etwas getan haben und Vergeltung Sie früher oder später erreichen wird. Es gibt keine schwarzen Flecken, für die es nicht kommt, nur für einige etwas früher und für andere etwas später.


    Weiße sind immer geschickter als Schwarze. Die Weißen sind zufällig gekrümmt: Sie fanden ein interessantes Thema, zerkratzt und gekrümmt. Schwarze entwickeln sich nur in jenen Bereichen, die jetzt wirksam sind und Geld bringen.


    Schwarz wird nicht zum Spaß fähig sein.Es wird nicht aus Interesse sein, den Wasserkocher zu zerbrechen, um zu verstehen, wie er angeordnet ist. Geld kann nicht von ihm erhalten werden. Zum Beispiel d0znpp . Er hatte vor kurzem Zeit, er ging und brach den Wasserkocher. Er ist jetzt unser Haupthacker für das Hacken von Dummies, Kühlschränken und anderem Internet der Dinge. Cooles, gepumptes Können, Respekt! Aber weißt du, Schwarz wird das niemals tun.





    Die Blackouts, die QIWI jeden Tag angreifen, sind Script-Kiddies.Sie sind keine Fähigkeiten. Obwohl sie im Allgemeinen wissen, wie es geht, verwenden sie die Werkzeuge anderer, die andere Fehler für sie vorbereitet haben. Natürlich gibt es irgendwo eine mächtige Handvoll, die tatsächlich Sploits schreibt, Malvar. Hier sind sie cool, diese Typen wissen, was sie tun, und wohlgemerkt, meistens verblassen sie selbst nicht. Das ist meine Erfahrung, das sind die, denen wir begegnen. Aber im Übrigen leugne ich nicht, dass wir diese coolen Leute, die uns kaputt machen, einfach nicht bemerken können.


    Sie können die Überblendung der Person, die die Malvar geschrieben hat, nicht aufrufen, verwenden sie jedoch nicht. Er hat gerade eine Malware geschrieben, es ist coole Software. Während er es nicht verteilt und es nicht zum Nachteil nutzt, verblasst er nicht, er ist grau oder ein Reservist. Diese Typen sind geschickt und schlafen friedlich.


    Schmiede suchen nicht nach neuen Schwachstellen.Sie sind nicht daran interessiert, einen neuen Vektor zu finden. Wenn Sie beispielsweise Ruby on Rails verwenden, wird es regelmäßig mit SQL-Injections und anschließend mit RCE ausgelöst. Und etwas anderes als eine Injektion oder RCE zu finden, ist nicht interessant. Einen völlig neuen Vektor zu finden und zu fördern, ist aus meiner Sicht interessant. Schwarz wird das nicht tun. Warum? Ein typisches Unternehmen bricht ein- oder zweimal zusammen. Warum das Rad neu erfinden, wenn Sie genug und alt sind, um zu brechen?


    Schwarze haben ein Problem - auch sie glauben an ihre Straflosigkeit. Sie denken niemals, dass das Opfer eine Person sein könnte, die sie fangen kann. Und sie verstehen nicht, wie sehr sich andere Unternehmen darauf einlassen, sie zu finden. Nein, denken Sie wirklich, dass die Unternehmenssicherheit nicht spricht? Dies ist auch eine Community. Dabei ist es üblich, sich gegenseitig zu helfen.


    Die Hoffnung, dass Sie nicht gefunden werden, ist das Letzte, was zu tun ist. Jede Ihrer Aktivitäten, auch gut getarnt, kann gezählt werden. Die Frage ist, welche Kosten Suchen verursachen, verglichen mit dem, was Schwarz zu stehlen versucht. Dies ist eine einfache Rechnung: Wenn Sie 10.000.000 USD gestohlen haben, sind diese Leute bereit, mindestens 9.999.999 USD auszugeben, um Sie zu finden, und bleiben dennoch in einem bedingten Plus.


    In unserem Land eine seltsam nachlässige Haltung gegenüber dem Management von "K" oder CIB. Ich habe das Gefühl, dass jemand diesen Mythos absichtlich verbreitet. In beiden Abteilungen sitzen hochkarätige Spezialisten. Es gibt coole Whitehats, die ihren Job kennen und wissen, wie man n * fängtin [Verbrechern]. Und auf ihrer Seite stehen alle Wirtschaftsunternehmen und sogar der Staat. Es ist ein Mythos, dass es in unseren Spezialdiensten keine guten Spezialisten gibt. Ja, ich weiß aus erster Hand.


    Die meisten Hacker unterscheiden sich in Eitelkeit. Wir haben etwas gekocht und sind sofort losgerannt, um allen zu sagen: „Ich habe gekocht! Ich bin gut! Sie müssen nur nachsehen, wie ich es kann! “Wir sagen, dass der eine, der andere, der dritte und der vierte Organismus funktionieren oder sich einfach als Ratte herausstellen. Es gibt eine große Anzahl von Menschen, die für wenig Geld bereit sind, die Geschehnisse an der schwarzen Front zusammenzuführen.


    Es gibt keine ehemaligen Schwarzen.Die Frage ist, wie dein Kopf funktioniert. Wenn sie Ihnen sogar gestattet, mindestens einmal eine rechtswidrige Handlung zu begehen, lässt sie die zweite zu, nachdem sie eine ausreichende Begründung dafür gefunden hat, damit Sie sich nicht für schuldig halten. Diejenigen, die gefallen sind, können nicht in großen Unternehmen arbeiten. Wer einmal gesündigt hat, hat keinen Glauben mehr. Die Ressourcen, die wir für die Kontrolle dieser Person aufwenden müssen, sind mehr als der Gewinn, den sie für unser Team einbringen wird.





    Natürlich gibt es Schwärze durch Dummheit.Zum Beispiel ist IBM pleite, und sie haben keine Bug Bounty. Nun, ich ging und übergab sie. Aber es ist nicht schwarz, es ist grau: Sie brechen um des Fans willen. Ich fand einen Fehler, schaute ihn mir an und fuhr fort. Eine andere Sache ist, wenn Sie etwas aus Profitgründen kaputt gemacht haben. Danach wird Ihnen die Einreise in ein großes Unternehmen verweigert. Sie werden Ihre gesamte Vergangenheit ausgraben und niemand wird mehr mit Ihnen sprechen, weil Sie es wieder tun können.


    O Vulner



    Ich sagte in "Positiv": Wir haben eine coole Engine zum Sammeln von Schwachstellendaten geschrieben. Lassen Sie uns eine kostenlose offene Bug-Datenbank erstellen? Der Wert ist, dass der Inhalt in der Datenbank normalisiert ist. Dies ist kein für Menschen lesbares Format, sondern ein maschinenlesbares Format. Sie müssen die anfängliche Beschreibung des Fehlers irgendwo hinnehmen, sie analysieren, herausfinden, wo sie die Beschreibung enthält und wo versionierte Prüfungen durchgeführt werden. Mein Motor wusste das alles und ich wollte alles kostenlos und an alle weitergeben.


    Ich verließ PT jedoch bald und alles, was ich zu diesem Thema schrieb, musste aufgegeben werden.Ich wollte das Projekt unbedingt öffentlich machen, aber formal konnte ich den in Positive Technologies für MaxPatrol geschriebenen Code nicht verwenden. Aber die Person, die einmal etwas geschrieben hat, kann etwas schreiben und die zweite. Ich habe es einfach genommen und von Grund auf das gleiche getan - mein Framework für den Parser und für die Handler - und die Datenbank gestartet, von der ich geträumt habe. So wurde Vulners.com geboren .


    Jetzt ist das Projekt ein Jahr alt und wir haben bereits 500 aktive Benutzer pro Tag, die uns irgendwie benutzen. Nun, zwei Dutzend Leute, die fragen, wo sie stöbern sollen :). Im letzten Jahr habe ich Woolners bereits dreimal umgeschrieben, dies kann von der API eingesehen werden.


    Natürlich habe ich Vulners nicht alleine geschnitten.Wir hatten ein altes Team von PT. Die Jungs, die mich von PT zu QIWI gebracht haben. Sie sind verbunden. Ich schreibe den Kern und Admin, Igor Videns schreibt die Suche, Vanya Vancouver - die Front, Sasha Plex - die Robotersammler und Sasha Leonov - die Artikel und Analysen. Die Jungs kennen das Thema aus erster Hand und setzen Vulners in ihrer täglichen Arbeit selbst ein. Es ist einfach unser Wunsch, die Welt zu einem besseren Ort zu machen. Wir würden uns in QIWI immer noch etwas Ähnliches einfallen lassen, damit wir es nicht selbst machen, es orange lackieren und es für alle kostenlos nutzen können?


    Ich habe noch nie nach Investoren gesucht. Und ich will nicht.Sie kamen herein, aber ich verstehe nicht, warum ich Geld für dieses Projekt benötige. Jetzt kommt ein Investor von der Straße und sagt mir: "Ich gebe Ihnen drei Jahre lang zwanzig Millionen." Und ich muss dafür Code schreiben, der Geld verdient. Verdammt, ich möchte nicht codieren, was sie wollen. Ich möchte codieren, was mich interessiert. Die Funktionalität der Wissensdatenbank mit einer praktischen API bleibt für immer kostenlos. Wenn ich plötzlich feststelle, dass zusätzliche Funktionen das Geld wert sind, muss ich den Zahlungsknopf schließen.


    Über Programmierer, Hacker und Sicherheit





    Etwas zu brechen, aufzurüsten oder Geld zu verdienen ist eine normale Motivation, die jeder durchmachen sollte. Die Menschen entwickeln sich also selbst, AppSec. Es gibt nur zwei Möglichkeiten. Die erste - sie halten weiterhin ein Zitat fest, wo immer sie fallen und finden Müll, das sind die sogenannten Randomisten. Oder sie beginnen zu verstehen, wie bestimmte Dinge funktionieren, und werden zu wertvollen AppSec-Frames. In der Tat braucht Enterprise beides.


    Die Ranger werden auch gebraucht. Wir sind jetzt in einer dummen Situation. Wir haben Igor Videns und Vanya Vancouver. Sie sind beide Typen, die zuerst den gesamten Quellcode lesen und dann pausieren. Und hier fehlt uns ein Typ, der einfach mit einem Hasenfuß winken kann und dorthin kommt, wo Sie müssen.


    Hier einige Beispiele mit Yandex.Ich glaube, das ist eine alte Geschichte, die man erzählen kann. Sie haben eine XML-API. Es gibt einen solchen Parameter - xmlns. Irgendetwas hat mich dahin gebracht %s, und dann habe ich eine klassische Format-String-Schwachstelle gesehen . Das einzige, was in den Schatten gestellt wurde, war die Tatsache, dass ich mit jeder neuen Anforderung einen neuen Knoten vom Load Balancer erhielt. Es war nicht möglich, zu RCE zu bringen, nur es gab ein Gedächtnislesen. Genau die gleiche Geschichte war mit ihrer Mail für die Domain. Ich schaue auf die Anfrage und verstehe, dass ich als Programmierer einfach zu faul wäre, regelmäßige Briefe darauf zu schreiben. Setze sqlmap drauf - und in der Datenbank.


    Ein Flair ist das, was Sie brauchen.Es ist wichtig zu verstehen, wo auf der anderen Seite Sie sprechen können. Die Person, die das Web geschrieben hat, wird ein guter Pentester. Weil er versteht, dass solche Schwachstellen existieren, kann er dort etwas falsch machen, er versteht, wie andere die gleichen Stücke schreiben. Denn jeder schreibt genauso. HOWTO => Stapelüberlauf => Kopieren-Einfügen. Zum Beispiel wollte ich kürzlich ein automatisches Typcasting für Woolners durchführen. Ich öffne das erste Thema mit Stack Overflow, sie raten dazu, eval zu machen. Können Sie sich vorstellen, wie viele Projekte derzeit mit eval in Produktion sind?


    Es scheint uns, dass kein normaler Mensch Eingaben nicht auswerten wird. Nichts dergleichen! Wenn Sie ein gewöhnlicher Programmierer sind, müssen Sie dafür sorgen, dass es funktioniert. Sie glauben einfach nicht, dass etwas anderes in die Eingabe eingehen kann, insbesondere im Park. Dein Kopf arbeitet nicht in diese Richtung.


    Das wichtigste Sicherheitskonzept ist, dass wir alle Benutzereingaben von vornherein als böswillig betrachten. Aber der Entwickler zieht nicht in Betracht. Hier ist der Unterschied zwischen einem Sicherheitsbeamten und einem Entwickler. 90% der Schwachstellen hängen mit Eingaben zusammen. Der Entwickler weiß einfach nicht, dass dies möglich ist, und das ist alles. Dies ist die Arbeit des Sicherheitsbeauftragten des Unternehmens, um dem Entwickler zu erklären, dass Benutzereingaben böswillig sind. Dann wird der gesamte Code sofort zur Sicherheit.


    Auch den Pentestern geht es nicht gut, sie wissen nicht, wie sie sicheren Code schreiben sollen.Hier kommt ein Mann wie eine Fähigkeit. Nazubok erklärt OWASP TOP-10 und Betriebsmethoden. Fand eine Spritze, erzählte alles. Na, was macht er dann damit? Wie wird er Programmierern erklären, wie man es richtig macht? Er hat nie ein Backend geschrieben, parametrisierte SQL-Abfragen sind für ihn ein unbekannter Ausdruck, er kennt sich mit Schutztechnologien nicht aus. Jetzt raten sogar die Entwickler davon ab, was concat in der SQL-Abfrage tun soll. Nicht, weil es nicht sicher ist, sondern einfach, weil Sie versehentlich gegen die Anforderung verstoßen können und alles kaputt geht. Dies ist das Problem mit modernen Pentestern - viele haben nicht genügend technische Hintergründe. Sie wissen bereits, wie man bricht, aber nicht, wie man sich verteidigt.


    Über die Arbeit und wer zum Interview kommt




    Sie sagen, wenn jemand etwas nicht weiß, aber vor Begierde brennt, wird er mitgenommen. Bei mir funktioniert es nicht. Es gibt eine Mindestcheckliste - die Standard-20-Fragen, auf denen ich den Bewerber fahre. Wir geben eine Liste und schlagen ehrlich vor, +, - und + - zu markieren. Und wir fangen an, über die Profis zu reden. Dies sind solche Bezugspunkte für den Dialog, um Wissen zu sammeln. Fragen aus den unterschiedlichsten Bereichen, meist Basis. Es ermöglicht Ihnen, in einer Sprache zu kommunizieren. Nicht nur im Team, sondern auch bei Entwicklern und Betrieben. Wenn Sie zu den Administratoren kommen und sagen, dass Sie einen solchen Kernel-Parameter in diesen Wert einfügen, werden Sie als Erstes gefragt: Was macht er? Und warum in einer solchen Bedeutung? Und hier, wenn Sie schwimmen, werden Sie möglicherweise höflich gebeten, es selbst herauszufinden und erst dann anderen Ratschläge zu geben.


    Zuerst fragen wir nach ISO, nach 152-‡, nach PCI DSS. Sie müssen die Theorie kennen. Wie können Sie sich andernfalls schützen, wenn Sie nicht wissen, welche Informationen Sie schützen müssen? Compliance-Kenntnisse sind uns auch allgemein ein wichtiges Anliegen. Dies wird jedoch kein Stoppsignal sein. Wenn die Leute geschickt sind, können wir das lehren.


    Weiter - über das Web. Die erste Frage ist SOP, Same Origin Policy. Das heißt, ich muss mir keine Geschichten über XSS anhören. Zuerst müssen Sie herausfinden, worauf die Sicherheit des Webs basiert, wie der Browser allgemein funktioniert :). Wenn wir hier über nichts gesprochen haben, werden wir weiter auseinander gehen. CSRF, XSS - es ist alles gut, aber es ist besonders.


    Die nächste Frage sind Netzwerksegmentierungsmethoden.Coole Frage. Der typische Sicherheitsbeamte, der zu mir kommt, hat noch nie ein großes Netzwerk gesehen und weiß nicht genau, was er damit anfangen soll. In Wahrheit kann diese Frage vergeben werden. Wenn jemand schon immer "von der anderen Seite" gearbeitet hat (sprich: von außen brechen), weiß er natürlich nicht, wie man Unternehmensnetzwerke sichert. Normalerweise empfehlen wir in diesem Fall, über TCP / IP zu sprechen - was ist das überhaupt? Wir suchen ein gemeinsames Verständnis für die Funktionsweise eines Netzwerks. Wenn er weiß, was eine IP-Adresse ist und hier sein Verständnis endet - nicht wirklich cool.


    Sie müssen in der Lage sein, den Code eines anderen zu lesen und dessen Konzept und Idee zu verstehen, und dürfen nicht versuchen, etwas in Stücke zu fassen.Schon mal Spring and Struts Code gesehen? Er ist völlig unlesbar, bis Sie Ihren Kopf in einem bestimmten Winkel drehen. Wenn wir einen Mann ohne Verständnis nehmen und ihm im Frühjahr unsere 19 Millionen Codezeilen geben, kann er uns dann mit etwas helfen? Ich glaube nicht.


    Über Anonymität



    Das Grundprinzip der Sicherheit besteht darin, Ihr Zuhause und Ihre Arbeit zu teilen. Das heißt, eine Maschine, auf der Sie etwas tun, und eine Maschine, auf der Sie nichts tun. Auf einem Computer bist du ein Hacker-Megapanner, auf dem anderen - gewöhnlicher Vasya - und es wird Glück geben. Wenn Sie dies nicht tun, werden Sie sich früher oder später irren.


    Sie werden genau durch die Daten gegossen, die Sie selbst eingeben. Niemand außer dir wird dich aufgeben. Konfiguriert alles wie durch Sicherheit - Tor, eine virtuelle Maschine, und dann klettern Sie in Ihr Blog, um zu überprüfen, ob das Internet funktioniert :).


    Wenn es sich um einen Stromausfallschutz handelt, funktioniert diese Maschinentrennung sehr gut.Holen Sie sich zwei Computer. Sie haben Zahlungsinformationen zu diesem Computer: Auf diesem Computer gehen Sie zu Ihrer PayPal, QIWI-Brieftasche. Und hier ist noch eine Maschine, auf der du den ganzen Müll machst. Nun, Sie werden einen Malvar fangen. Nun, sie werden Sie beißen. Aber auf einem Computer ist nichts wertvoller als ein einmaliges E-Mail-Passwort.


    Es ist notwendig, verschiedene physische Maschinen zu haben. Virtualka ist ein Verfall. Ein separates Auto, der einzige Weg. Virtuelle Maschinen sind praktisch, aber früher oder später verwirren Sie Browser, sie verwirren alles. Eigentlich fangen sie normalerweise so schwarze Fische, sie selbst werden verbrannt.
    Nehmen wir zum Beispiel VPN. Sie arbeiten, Sie vermasseln etwas. VPN blinkte eine Sekunde lang - und das war genug. Nur ein Paket und Ihre echte IP wurde hervorgehoben. Der Anbieter schreibt mindestens drei Monate Traffic. Der einzige Trail - und Finita la Comedia.


    Das Herausbrechen unter der "Mohnblume" ist im Allgemeinen eine schlechte Idee, da es zu viele Interkommunikationen gibt. Kein einziger kleiner Schnatz kann dich retten. Niemand weiß, was genau dort passiert - plötzlich klopft OS X auf einer niedrigeren Ebene und umgeht alle Ihre VPNs und Firewalls?


    Wenn Sie ein wenig hungrig werden müssen, gibt es nur ein reales Schema. Sie gehen zu Mitino, dort kaufen Sie eine gebrauchte SIM-Karte, ein gebrauchtes Mobiltelefon und einen gebrauchten Laptop. Sie fahren in die nächstgrößere Stadt und tun dort, was Sie brauchen. Und wenn du das tust, wirfst du alles in den nächsten Fluss. Hier funktioniert es.





    Es ist auch dumm, mit öffentlichen Versorgungsunternehmen zu heilen. Jeder klopft an.Vor allem Pentest-Dienstprogramme überwachen, wer, was und wie am pentesten ist. Sie müssen beispielsweise naiv sein, um zu glauben, dass Burp Collaborator die eingehenden Anforderungen nicht aufzeichnet. Nein, Pokek ist überall! Einmal haben wir zum Spaß ein Plugin für Burp Suite mit einem kleinen Lesezeichen gepostet. In ihrer Nähe schrieben sie: „Das ist ein Witz, Mann! Wenn du es findest, dann bist du cool, schreib uns! “Glaubst du, jemand hat geantwortet? Nicht einmal.


    Jede Software, die Libs von Drittanbietern verwendet, die Sie zumindest nicht abgezogen haben, ist per Definition skrupellos. Sogar im Unternehmen werden schlammige verwendet, die niemand überprüft. Was können wir über gewöhnliche Anwendungen sagen?


    Interview mit Ilya „f1nnix“ Rusanen





    Erstveröffentlichung im Hacker-Magazin vom
    06.06.2016


    Abonnieren Sie den Hacker:


    UPD: Die Redaktion des Hacker-Magazins entschuldigt sich für den fehlerhaften Link zur WSO-Shell. Link gelöscht

    Jetzt auch beliebt: