@authoritywear

Безопасность мобильных устройств: интервью с экспертом компании Positive Technologies

2024-11-04T21:03:34.829Z

Приветствуем Вас на канале AUTHORITY.

Сегодня у нас в гостях руководитель отдела перспективных технологий компании Positive Technologies - Николай Анисеня.

Мы поговорили с экспертом о безопасности мобильных устройств, о последних тенденциях и угрозах в области мобильной безопасности.

А кроме этого эксперт поделился советами для начинающих специалистов.

Authority:

Добрый день. Что ж, давайте приступим.

Расскажите пару слов о себе, про свой путь, как пришли в ИБ и выбрали область мобильной безопасности?

Николай:

Меня зовут Николай Анисеня, я руковожу отделом перспективных технологий в компании Positive Technologies, занимаюсь безопасностью мобильных приложений. Об этом и не только пишу в тг-канале @xyuriti.

Программированием я увлекся еще в подростковом возрасте: мы с другом модифицировали различные игровые файлы — переозвучивали, меняли текст (это в принципе все, на что нам хватало навыков в 12 лет).

Позже я узнал, что есть специальность “компьютерная безопасность”, и решил, что однозначно хочу поступить именно туда - притягивал романтический образ хакера. Уже будучи студентом, познакомился с ребятами из студенческой CTF-команды SiBears, которые каждую неделю устраивали лекции и тренировки по практической безопасности. Стал ходить к ним на занятия, даже было дело ночевал в универе во время соревнований (большинство соревнований тогда проводились днем в США, а у нас в Сибири это была глубокая ночь и мы могли поучаствовать в них онлайн).

Через 2 года я вошел в основной состав команды и поехал на свои первые очные соревнования RuCTF в Екатеринбург. Там познакомился с русскоязычным сообществом ИБ, узнал о профессии пентестера и мои цели на будущее скорректировались – я решил стать специалистом в области offensive security.

Еще через пару лет при помощи товарищей по команде SiBears получил приглашения на свои первые фриланс-проекты по пентесту и анализу защищенности веб-приложений. И к окончанию универа у меня уже был некоторый опыт в пентесте, аудите внутрянки, веба и даже мобилок.

Когда в 2014 году в Томске компания Positive Technologies решила открыть свой филиал, мне предложили попробовать пройти собеседование на хакера, но вакансий на веб в компании не оказалось, зато были вакансии на мобильные приложения. Я решил попробовать, за пару недель подготовился и прошел. Так я оказался в Positive Technologies, где и до сих пор работаю в теме мобилок.

Authority:

Тернистый путь получился. Давайте поговорим о мобильной безопасности. Какие основные угрозы безопасности существуют для мобильных устройств по вашему мнению? Какие наиболее часто встречаются при исследованиях?

Николай:

Опираясь на личный опыт, а не на какие-то статистические данные, могу назвать основные слабые места мобильных приложений:

· как правило, API мобильных приложений защищены слабее, чем API веб-приложений;

· по моим ощущениям, 90% мобильных приложений вообще никак не защищают свой код от анализа, а это необходимый этап поиска уязвимостей, создания клонов или просто изучения тонкостей реализации тех или иных функций приложения;

· обработка deeplink – наиболее распространенная точка входа для атаки на приложения.

Что чаще всего встречается при исследованиях, так это, как правило, не самые опасные уязвимости. Рассмотрим тут только уязвимости клиентской части мобильного приложения:

· различные недостатки конфигурации: разрешен бэкап, захардкоженные ключи/токены/адреса/пароли;

· отсутствие защиты от анализа кода: запуск на устройствах с jailbreak/root, возможность перепаковки;

· хранение чувствительных данных, извлечь которые можно только при наличии root/jailbreak или дополнительных уязвимостей.

Все это уязвимости низкого или информационного уровня риска.

Все что касается более интересных багов — почти всегда что-то уникальное, состоящее из нескольких недостатков и требующих нескольких техник для эксплуатации. Обычно это уязвимости, связанные с межпроцессным взаимодействием.

Authority:

А какие вызовы и задачи в области мобильной безопасности вы считаете наиболее интересными и хотели бы исследовать их в будущем?

Николай:

С точки зрения атакующего, мне больше всего интересно исследовать hidden api / private api — это те функции ОС, которыми может воспользоваться приложение, но они слабо задокументированы и задуманы для использования системными приложениями. Они есть и в Android, и в iOS. Все это может сильно пополнить арсенал техник, с помощью которых можно докручивать различные недостатки до полноценных цепочек эксплуатации. Это то, что может продвинуть эту область сильно вперед.

С точки зрения безопасности приложений я понимаю, что большое упущение — это отсутствие применения даже элементарных техник защиты кода на практике. По опыту багхантеров (специалистов по поиску уязвимостей) могу сказать, что стена из более-менее сносной защиты кода сильно снижает интерес атакующего к конкретному приложению, и он с большей вероятностью переключится на какое-то другое приложение. Штурмуют эти стены только самые замотивированные, что не может не отражаться на стоимости атаки. Поэтому с моей точки зрения огромный нереализованный потенциал защиты мобилок лежит именно в области применения протекторов мобильных приложений.

Authority:

Немного коснемся корпоративной среды.

Какие на ваш взгляд риски, связанные с использованием мобильных устройств для доступа к корпоративным ресурсам, наиболее актуальны в настоящее время?

Николай:

У мобильных устройств есть несколько свойств, делающих их идеальной целью для атаки на компанию через ее сотрудников:

· это устройство путешествует вместе с владельцем и подключается к различным сетям. Сетевой вектор атаки может быть применен в любой из них, не говоря уже о физическом. Это справедливо даже для случаев использования различных устройств для работы и личных целей;

· люди крайне редко разделяют рабочее и личное устройство, в большинстве случаев — это один и тот же девайс. На нем соседствуют корпоративные мессенджеры и пиратские игры, почта и соцсети. При наличии уязвимостей одни приложения могут атаковать другие внутри одного устройства;

· мобильный телефон нередко является роутером и может маршрутизировать трафик вредоносов в корпоративную сеть, если у вас установлен рабочий VPN. Банальное сканирование уже не выглядит чем-то сложным в этом случае;

· на мобильных телефонах почти нет мониторинга, сигнализирующего компании о вредоносной активности, особенно если эта активность проводится внутри устройства и не связана с сетью напрямую.

Насколько мне известно, закон не позволяет включать личные устройства сотрудников в скоуп для проведения пентеста. Однако этот закон совершенно точно не останавливает злоумышленников, и кто знает, как часто они пользуются подобными свойствами мобильных устройств для проведения атак на компании?

Authority:

Сейчас наибольший урон бизнесу по всему миру приносят два вида вредоносного ПО: шифровальщики и стилеры (в контексте кражи данных, обладающих коммерческой тайной).

Актуальны ли эти атаки для мобильных устройств?

Николай:

Я не специализируюсь на мобильных вредоносах, однако могу предположить, что бесконтрольный доступ к хранимым файлам на мобильном устройстве получить гораздо сложнее, чем на десктопах. Связано это с тем, что права на общедоступные хранилища (файлы, фото) выдаются отдельно друг от друга. Также существует изоляция внутренних хранилищ файлов приложения (контейнеризация).

Для схожего с десктопами импакта скорее всего нужен привилегированный доступ: root или jailbreak. Таких устройств в мире не много (по разным оценкам в разные года — от менее процента до 7% от общего числа устройств). Такие атаки работают за счет массовости: чем больше устройств поразили, тем больше жертв по итогу заплатят выкуп. Как видим, с массовостью могут быть проблемы.

Authority:

Насколько реален сценарий получения первичного доступа к инфраструктуре компании через эксплуатацию мобильного устройства?

Николай:

Такие случаи мне не известны, хотя наверняка они бывали, пусть и не случались массово. Сейчас никого не удивить работой на удаленке, как и работой с телефона. VPN, почта, мессенджеры, видеозвонки, прочие внутренние сервисы — все или часть таких приложений есть у каждого сотрудника даже небольшой компании со своей инфраструктурой. Как я уже говорил, в случае компрометации устройства или даже единичного приложения, телефон превращается в роутер, способный достучаться до корпоративной сети через включенный VPN — это как минимум сканирование сети.

Сами приложения для работы с документами, чатами, почтой и прочей корпоративной информацией тоже могут содержать уязвимости, через которые злоумышленник может получить доступ к данным или даже захватить корпоративный аккаунт. Повторюсь еще раз: хоть такие атаки мне кажутся правдоподобными, обнаружить их гораздо сложнее ввиду эксплуатации уязвимостей на стороне мобильного телефона в клиентской части приложений — такое сейчас просто не детектится.

Authority:

Расскажите про инструменты и технологии, которые вы используете для тестирования безопасности мобильных устройств?

Николай:

Думаю, как и все. Декомпиляторы: jadx, hopper disassembler, IDA Pro, apktool, androguard. Средства для динамической инструментации: frida, lsposed. Для поиска уязвимостей в API приложений большинство использует burp suite. Ну а далее идут самописные инструменты поверх всего этого или какие-то ситуативные плагины и проекты на гитхабе — строго под задачу.

Authority:

Поговорим немного про ИИ. Какие методы атак с использованием ИИ вам встречались? Можете рассказать о своем опыте работы с технологиями ИИ в контексте мобильной безопасности?

Николай:

Считаю, что у ИИ, в частности — больших языковых моделей (LLM) — огромный потенциал в анализе кода. Они уже могут находить несложные уязвимости. А еще очень помогают в реверсе. Вот случай из личного опыта. Как-то в мобильном приложении я обнаружил зашитый токен от некоего сервиса, который ранее не встречал. Потратил пару часов на чтение документации и реверс, но так и не понял, как мне с помощью этого токена хоть что-то достать. На помощь пришел chatgpt, который по коду из jadx написал мне команду curl, и уже через нее я смог проэксплуатировать уязвимость.

Authority:

Встречались ли вам заложенные бэкдоры, намеренно ослабленное шифрование или что-то подобное?

Николай:

Пару раз встречал неочевидный вход в дебаг-меню, в котором можно было перенастроить приложение. Самое опасное в такой перенастройке — указать свой сервер вместо оригинального. Считается ли это бэкдором — не знаю. Еще регулярно находили накрутку денег в банковских приложениях. Иногда эксплуатация была настолько простой, что невольно задумаешься, не специально ли оставили такую возможность? Но это также бездоказательно.

Authority:

Насколько сейчас реально на не рутованном устройстве получить полный контроль? Это происходит в результате эксплуатации бинарных или логических уязвимостей?

Николай:

Думаю, такие уязвимости присутствуют, но массово такие эксплойты не гуляют по интернету. И кажется все дело в том, что zero-click исполнение кода для Android и iOS стоит сейчас 2 и 1.5 миллиона долларов соответственно. Вероятно это побуждает создателей эксплоитов иногда не делать свои наработки публичными, а продавать их за хорошие деньги своеобразным брокерам уязвимостей.

Authority:

В мире разработки вредоносного ПО существует термин "бесфайловые атаки". Реально ли провести что-то подобное и закрепиться на мобильной системе без установки дополнительного приложения?

Если да, и политика компании позволяет, расскажите об опыте обнаружения уязвимостей, приводящим к подобного рода атакам.

Николай:

Насколько я понимаю, речь идет о вредоносах, которые существуют только в оперативной памяти. Сам я с такими атаками не сталкивался, но могу предложить несколько сценариев:

· динамическая загрузка кода. Приложение загружает часть кода по сети, а атакующий может повлиять на это через уязвимость: небезопасная передача данных (MitM) или передать URL на загрузку вредоносного кода с помощью deeplink;

· блиц-приложения или App Clips (iOS) и Instant Apps (Android) — это приложения, которые запускаются без установки. В этом случае скачивается и запускается ровно та часть приложения, которая необходима для выполнения определенного действия: например, оплата парковки. Далее это приложение действует уже как приложение, установленное на устройстве, хоть и с урезанными правами.

Хотя реальных случаев, конечно, я привести не могу.

Authority:

Насколько сейчас полезны антивирусы на мобильных устройствах?

Николай:

Да простят меня коллеги, которые занимаются антивирусами. Считаю, что на мобильных устройствах они практически бесполезны. Сигнатурный анализ еще может худо-бедно работать на Android, а вот в динамике отслеживать поведение приложений практически невозможно. Все дело в том, что мобильные ОС не дают столько привилегий приложениям, как это делают десктопные ОС.

Authority:

Не могли не пройти мимо этого вопроса. Что безопаснее - IOS или Android?

Николай:

И там, и там существуют уязвимости критичного уровня риска. И там, и там можно писать безопасный код. Но уязвимостей в самом Android и в приложениях под него находят больше просто ввиду открытости платформы и простоты анализа таких приложений.

Authority:

Пара слов о багбаунти.

Участвовали или почему нет, расскажите о своем опыте? Или расскажите о своей первой детектированной баге?

Николай:

Раньше участвовал. Не очень успешно, но и не совсем печально. Самая большая выплата была от Reddit - $3750 за уязвимость в Android-приложении, позволяющей угонять аккаунты через модификацию файлов в общедоступной директории.

Самая первая уязвимость была в приложении Instagram[1] и в целом уязвимостью не являлась. В разделе Terms and Conditions соглашение открывалось в WebView по http (без шифрования), из которого можно было выйти на произвольный веб-сайт. Открытие произвольного сайта внутри WebView и так уязвимость с низкой степенью риска, так тут злоумышленнику надо было находиться в одной сети с жертвой, чтобы подменить страницу на свою в целях фишинга (в webview жертва не видит адреса страницы и думает, что взаимодействует с приложением, а не с сайтом внутри него). Но так как минимальное баунти у инсты было $500, столько мне и заплатили даже за такую слабую багу.

Authority:

Какое по вашему мнению будущее ждет мобильные устройства??

Николай:

Мобильные устройства из года в год обрастают новыми фичами, которые неизбежно расширяют поверхность атаки. Уверен, исследователям и багхантерам еще долгое время будет что поизучать и какие уязвимости или ошибки найти. И именно благодаря таким энтузиастам безопасность этих технологий будет «поспевать» за их бурным развитием.

Authority:

И по традиции 5 советов начинающим) как стать исследователем безопасности мобильных устройств?

Николай:

Начните с OWASP Top 10 Mobile

Если у вас есть понимание основ web-безопасности, 
будет сильно проще вкатиться в мобилки, начав с server-side

Осваивать iOS проще после Android, так как многие вещи сделаны 
по аналогии

Читайте дисклозы уязвимостей по мобильным приложениям, находите 
старые версии, где уязвимость присутствовала, и воспроизводите своими 
руками — так быстрее всего прокачаетесь

Читайте профильные блоги, например, PT SWARM (https://t.me/ptswarm)
и моего бывшего коллеги Сергея Тошина, который является топ-1 хакером
Android-приложений и основал свою компанию Oversecured 
(https://oversecured.com/), я сам у него многому научился.

Authority:

Большое спасибо за уделенное время и интересную беседу!

Сегодня у нас в гостях был руководитель отдела перспективных технологий компании Positive Technologies - Николай Анисеня.

А на этом всё!! Спасибо за внимание...

Подписывайтесь на наш телеграмм - канал AUTHORITY.

[1] Продукт компании Meta, признанной, в соответствии с законодательством Российской Федерации, экстремистской организацией, запрещенной в России

Хакер, у которого получилось.

2024-10-17T19:59:55.579Z

Приветствуем Вас на канале AUTHORITY.

Сегодня у нас в гостях управляющий директор CyberEd, основатель компании Singleton Security - Егор Богомолов.

От первых шагов до больших достижений, эксперт рассказал нам свою историю успеха, как он преодолел трудности и нашел свой путь.

Authority:

Привет! Первый вопрос такой - Почему ИБ?

Как ты пришел в сферу и почему выбрал именно “атакующую сторону”. Была ли это мечта с детства или просто случайное совпадение?

Егор:

Вообще, именно ИБ я заинтересовался еще в школе. В 10-11 классе у меня появилась тяга к информатике, и практически сразу же передо мной встал выбор, на кого пойти учиться.

Куда обычно идут с информатикой? В программисты. Понял, что это не очень интересно, потому что программирование для меня – скорее, инструмент. Примерно в это же время я увидел, что можно учиться по направлению “Информационная Безопасность”, и подумал: “Круто! Хакеры, все дела. Это же вообще самое интересное”.

Поступил в ВУЗ и обнаружил, что это совсем не та ИБ, что я ожидал и все-таки пошел работать программистом. Так и работал программистом, пока абсолютно случайно не получил предложение от Positive Technologies прийти на позицию сигнатурного аналитика.

Именно в PT я увидел хакеров и начал набираться от них советов – как встать на путь хакера? В то время (примерно 2016 год) практически не было доступной информации, как и куда, расти, в основном ответ был таков – “Вот тебе pico.ctf (https://picoctf.org/), hacker.org, учувствуй в CTF и изучай материал. Что было, то и учил. Многое из того, что я тогда изучал, так мне и не пригодилось. В какой-то момент для меня это стало увлечением. В первую очередь, любопытство в самой теме, а потом, когда начал все трогать руками, понял, что и процесс тоже нравится. Некоторым процесс не нравится.

В итоге, я продолжил изучать технологии, и это переросло в работу.

Authority:

Интересный путь. А как считаешь, нужно ли профильное образование в ИБ?

Егор:

Говоря о необходимости профильного образования, можно сказать, что прямо сейчас нет, однако уже появляются хорошие предложения учиться различным комплементарным дисциплинам, которые тебя хорошо разовьют даже в теме кибербеза и IT в целом. Само собой, это направления разработческого толка, местами, возможно ML-ного. То есть, хорошая база в IT точно пригодится крутому хакеру, и если выбирать, в какой ВУЗ пойти учиться, нужно выбирать ВУЗы с такими специальностями: ML, прикладная математика, прикладная информатика и т.д. Главное, чтобы у тебя начал работать мозг, после чего ты сможешь направлять его ресурсы в темы, которые тебе интересны. Например, хакинг. Это хороший путь.

А если тебе все это неинтересно и тяжело дается, либо ты не можешь попасть в ВУЗ то твой выбор - профессиональные подготовки, которые, например, проводим и мы в CyberEd. Они позволят тебе быстро научиться выполнять профессиональные задачи и изучить индустрию. Это дает возможность развиться быстрее, чем это делал когда-то я.

Authority:

То есть, грубо говоря, можно прийти с завода в 35, пройти какой-то хороший курс, порешать HackTheBox, набраться базовых знаний и получить оффер на позицию уровня Junior?

Егор:

Да, такое тоже бывает. Я знаю случаи, когда люди, приходя даже в 45 лет, осваивали новую профессию и работали дальше хакером на хорошей позиции в хорошей компании. Такое тоже есть, просто нужно понимать, что если ты хочешь стать самым крутым хакером, то мгновенно не получится выйти на уровень известных людей, которые уже более 20 лет в индустрии. За год-два можно вкатиться в профессию, встать на какой-то собственный путь. Это можно считать хорошим гарантируемым результатом.

Authority:

Как ты считаешь, важно ли наличие наставника в начале пути? Какой путь правильнее – самостоятельно набивать шишки и закапываться в литературу или все-таки стараться набираться опыта и просить советов у наставников?

Егор:

Я так скажу. У меня были наставники, но довольно поздно. Я начинал с эникейщика, потом админил, что-то программировал, и только спустя три года деятельности, я встал на путь хакера. Это нормально.

Не то, что бы наставники прямо обязаны быть. Я встречал ребят, которые самостоятельно что-то изучали и становились хорошими специалистами, но и они рано или поздно попадали в окружение, которое само по себе их бустило, и это неизбежно.

Безусловно, такое окружение нужно. Тебе нужны люди, которые за тебя уже прошли сложный путь и могут куда-то направить.

Сейчас института наставничества в хакерстве нет, однако есть институт сообщества, которое готово ответить на вопрос. Эти сообщества можно по-разному найти, однако во многие не так просто влиться. Для начала нужно как-то заматереть, чтобы с тобой были готовы взаимодействовать. Иногда должны пройти месяцы и годы, чтобы стать не просто заметным клоуном, а полноценным участником. Здесь ты либо сам формируешь такое сообщество: на работе, в институте или еще где-то, либо присоединяешься к существующему сообществу.

Например, присоединяешься к искусственно создаваемым группам – чатам людей, которые учатся хакингу на каком-то курсе. Путь одинокого воина, все-таки, не особо работает.

Сообщества – да, наставники – большая редкость. Но у меня были ребята, кто очень помогал.

Authority:

А какую роль в становлении сообщества играет CyberED?

Егор:

CyberED, в первую очередь – это история про предоставление ищущему пути. Мы можем дать человеку траекторию, помочь обрасти институтами сообщества, наставничества, другими словами, мы занимаемся созданием пути.

Что касается сообщества - оно формируется само. Мы имеем некоторые посылы и культуру, но создание и контролирование сообщества – не сама суть CyberED. Мы даем интерфейс доступа к таким сообществам.

Authority:

Про начальный путь понятно. Обычно далее идет рутинная работа. Как тебе удается не выгорать, находить мотивацию и быть всегда в тонусе? Чем стараешься заниматься в свободное время?

Егор:

В практическом хакинге, по большей части, я сейчас участвую только на турнирах. Раньше, во время активного периода моего хакинга, приходилось отвлекаться на различные side-activities, как на что-то второстепенное, а теперь это моя основная работа. Я генеральный директор двух компаний и совладелец четырех, что порождает большое количество активностей вокруг – участие в мероприятиях на различных уровнях, в том числе и на международном. Поэтому, хакинг, наконец-то, снова стал моим хобби, и это прекрасно. Появилось время, которое я посвящаю изучению чего-то нового, занимаюсь развитием нашей хакерской команды True0xA3 и команд внутри коллективов.

Что касается мотивации, меня всегда драйвила соревновательная составляющая в хакинге, в первую очередь перед самим собой, когда доказываешь себе, что ты можешь решить такую-то задачку, найти к ней ответ.

Свободное время я уделяю спорту, постоянно им занимаюсь, потому что быстро начинаю чувствовать, что чахну. Не могу сказать, что занимаюсь каким-то конкретным видом, но раньше очень много времени уделял боксу. Очень жду, когда сниму брекеты, чтобы снова продолжить. Сейчас занимаюсь кроссфитом и бегом. В общем, хорош любой вид спорта, который нравится, он необходим для поддержания формы.

Authority:

Как с таким количеством дел удается все успевать и планировать?

Егор:

Тут нет особых секретов. Необходимо уделять время планированию дня, недели, это стало процедурой, которой я занимаюсь постоянно. Необходимы обзор результатов, коммуникация с людьми, которые могут посмотреть на тебя со стороны, например с наставниками и партнерами.

Authority:

Теперь немного о том, что происходит сейчас.

Что думаешь о Bug Bounty, участвовал ли сам?

Егор:

Участвовал. Довольно интересно, бага три я нашел, но мне по душе делать то, что непременно даст результат, делая что-то длительный промежуток времени, накапливая результат, чтобы появилось что-то весомое. А ББ – немного другой процесс, и мне тяжело дается делать что-то месяц, ничего не получить и идти в другое место начинать с нуля.

Конечно, можно преуспеть в поиске одного типа багов. Например, есть ребята, которые находятся в топе HackerOne, и они ищут только XSS. Так тоже можно. Но, получается, за что ты соревнуешься – за то, что ты топ-1 или, что ты реально классный хакер?

Мне больше подходят разносторонние исследования, расширение собственных скиллов и знаний, которые потом можно применить в новых местах – на турнире или на новом проекте. Вот это кайф, ты копишь свою экспертизу, базу. В ББ легко скатиться до поиска одного типа уязвимостей.

На этом можно зарабатывать деньги, но куда интереснее придумать способ, который будет зарабатывать за тебя. ББ – такое ремесло, что если ты заболел или умер, то после тебя ничего не осталось. Бизнес, построенный на собственной экспертизе, интереснее.

Но есть ребята, которые в этом классно преуспевают и являются крутыми специалистами, я очень рад за них.

Authority:

Какой первый баг ты нашел сам?

Егор:

Когда я только начинал работать, само собой, находил какие-то XSS, Path traversal и SQLI, но самое интересное начинается, когда ты уже прокачиваешься, приходишь и по костяшкам раскладываешь приложение, продукт или какой-то турнир. Это круто, потому что ты понимаешь, что накопил критическую массу опыта, которая позволяет тебе делать что-то веселое, а не просто “что есть”. Вот это самое интересное.

Начало у всех может быть не таким уж и впечатляющим, это цветочки, а ягодки появляются на высоте опыта четырех-пяти лет, и это классно.

Authority:

В какой момент пришел к предпринимательству?

Егор:

По своей натуре я не предприниматель. Предприниматель – тот, кто может на голой земле придумать что-то новое. Я, скорее, ремесленник - “Я что-то умею, этим занимаюсь и буду этим заниматься”. Это ремесло, которое обрело масштабирование и переросло в бизнес.

Так сложилось, что в какой-то момент мне пришлось взять на себя ответственность – сделать проект, взяв нескольких людей, которым я должен был дать работу. Позже это переросло в Singleton Security, который стал одним из самых заметных игроков среди хакерских команд, которых можно нанять. Параллельно с этим развивали набор сторонних активностей, например, создание образовательных программ и платформ. Это переросло в крупный проект, когда партнер предложил заняться образовательным бизнесом.

Authority:

Какие советы можешь дать начинающим предпринимателям?

Егор:

Кажется, что это что-то сложное и страшное. Стоит понимать, что как только ты выбираешь себе какую-то тему в России, если это какой-то продукт или что-то полезное, то ты, сразу же пятый или десятый. Сразу же у тебя появляется какая-то доля на рынке, которая даст тебе возможность жить этим. Дальше вопрос только в том, почему ты обгонишь остальных. Если ты взялся за то, что тебе понятно, и что ты готов долго развивать, тебя неизбежно ждет успех, например в виде топ-3 или топ-5.

Если ты думаешь о том, как делать бизнес в мире, это супер сложно, но в России ты просто начал, и уже сразу заметный. Главное - начать делать, выбрать нишу, которой ты сам готов заниматься годами, стать в ней лучшим.

Пара слов про стартапы. У стартапа всегда есть преимущества перед большими вендорами это дешевизна и вовлеченность - сделать что-то лучше, либо продукт, которого нет у вендора. У стартапов есть возможность конвертировать время в ценность клиенту. Просто нужно быть немного посмелее.

Authority:

Немного о CyberEd. Говорят, будет ребилд платформы. Что это будет, какие планы?

Егор:

CyberED – это экспертный центр, который собирает актуальные экспертизы и пытается различными доступными форматами транслировать их обратно в индустрию, развивая компетенции на рынке ИБ.

Действительно, мы ведем большую работу. Мы выстраиваем новый образовательный процесс, разрабатываем новые продукты, новые инструменты обучения, которые позволят работать с большей аудиторией и давать более качественный результат. Все это начнет работать уже в январе 2025 года.

Важно, наверное, что CyberEd взял фокус на работу с прикладными компетенциями и хакеров и специалистов по защите. И самое важное, во что мы сейчас целимся – не просто создание компетенции отдельного человека, а компетенции целой команды, которая будет отвечать сегодняшним требованиям и вызовам ИБ.

Authority:

Вопрос про нейросети и ИИ.

Будущее ИБ в мире ИИ и нейросетей. Какие специалисты под угрозой?

Внедрение ИИ – это новые возможности, либо скрытая угроза?

Егор:

Я отвечу - посмотрим. Я провожу аналогию с компьютерами, которые тоже кардинально изменили мир. Сложно предсказать, какого размера будет масштаб изменений в этот раз.

Authority:

И по традиции последний вопрос: "Пять советов для начинающих ИБ-специалистов".

Егор:

1. Поощряйте свое любопытство.

2. Запаситесь терпением.

3. Найдите свое окружение или создайте его сами

4. Делитесь знаниями и тогда вы получите их в ответ

5. Делайте что-то, чтобы мир стал лучше

Authority:

Большое спасибо за уделенное время и интересную беседу!

Сегодня у нас в гостях был управляющий директор CyberEd, основатель компании Singleton Security - Егор Богомолов.

Желаем успехов и новый побед в твоем нелегком ремесле!

А на этом всё!! Спасибо за внимание...

Подписывайтесь на наш телеграмм - канал AUTHORITY.

Решение конкурсной задачи от Authority и FEFU Cybersecurity Center

2024-10-12T21:39:17.759Z

Автор решения - @Fastyyy123

Заходим на сайт http://95.174.93.187:8000/?page=main.php

Что сразу бросается в глаза, так это параметр page, который подгружает php файл. Ну, что ж, пробуем LFI.

Одним таким пейлоадом нельзя ограничиваться, так что пробуем еще (вдруг там стоит «очень высокая защита» от LFI)

А вот и LFI. Сразу видим юзера rick. У него также есть папка в /home/rick.

Можем, конечно, побрутить названия файлов, посмотреть, что в /proc/self и т.д., но все равно, мы должны прийти к одному. Нам нужны .bash-файлы домашней директории пользователя rick. Ну, самые простые из них это

.bash_profile
.bashrc
.bash_history

В данному случае нам понадобился файл .bash_history файл с историей команд, введённых с использованием командной строки Bash.

Давайте посмотрим, что это за passchecker.

По слову ELF понятно, что это бинарь.

Скачаем его себе и откроем через иду (IDA).

На самом деле, я не очень реверсер, но примерно могу понять, что бинарь делает. Здесь все интуитивно понятно:

1. Печатает строку `Enter your password`:

2. Мы вводим какую-то строку

3. Бинарь прогоняет ее через какую-то функцию encryptDecrypt

4. Мы получаем ответ (пароль правильный или нет)

Здесь, я также заметил, очень подозрительную строку в хексах. Сохраним ее, вдруг понадобится

«206264204f6071622163214f607c23716323»

Функция encryptDecrypt:

Как я понял, здесь происходит xor строки. Дальше я не знал, что делать. Но решил все-таки кое-что проверить (не зря же нам дана та самая строка)

Заходим на https://www.dcode.fr/chiffre-xor и пробуем брутить то, с чем ксорилась наша строка.

Сначала, опять же, не понял что за 0rt0_par1s1_pl3as3, потому что осмысленных слов я здесь видел, кроме слова pl3as3. Именно из-за этого слова решил проверить пароль

Получается, это должен быть пароль от чего-то. Ну, определенно, от ssh.

Осталось вот только узнать, на каком порту крутится ssh сервер. Воспользуемся nmap-ом

Все порты, кроме 8001 это http и https. Так что остается только попробовать подключиться:

Оп, мы внутри! Только нужно нормальный шел заспавнить

python3 -c 'import pty; pty.spawn("/bin/bash")'

Запомним

Получается, нам нужно эскалировать привилегии и стать рутом. Проводим базовый осмотр, замечаем что у нас есть право на выполнение питоновского скрипта

Здесь я сделал вывод, что именно через него мы должны получить рута

Посмотрим, что в этом скрипте, который, наверное, выполнится от рута, если мы его запустим

Здесь импортируются модули subprocess (который, кстати, так и не используется в проге) и platform (а вот он используется). Гуглим (ну или же вспоминаем, в моем случае, я уже такое встречал).

А вот и то, что нам нужно. Linux Privilege Escalation: Python Library Hijacking. Можем начинать:

1. Создаем собственный модуль platform, который будет находиться в той же директории, что и запускаемая программа. Этим мы «перебьем» импорт настоящего модуля platform. А вот в своём модуле мы можем написать все, что угодно (заспавнить шелл, например):

echo 'import pty;pty.spawn("/bin/bash");' > platform.py

2. Запускаем файл используя sudo

sudo /usr/bin/python3 /home/rick/system_info.py

Получаем рут

Читаем /root/root.txt