Пятничная серия комментов от К.О. :) Секрет успеха при анализе защищенности отечественных банковских систем 1. Потрошим iBank и BSS, собираем в копилку их баги. 2. Используем баги из копилки при хакинге yet another DBS. ... 4. Profit!
Мысли вслух. Навеяло стандартными формулами на слайдах 27-29.
1. (слайд 27) Очевидно, что в вероятность обнаружения уязвимости надо интегрировать оценку мотивации ищущего.
2. Логично, что мотивация ищущего зависит в том числе и от доступности (наличия, простоты) схемы монетизации, которую он запустит после обнаружения уязвимости (если это прямой заказ - то схема просто вырождается в цепочку из пары звеньев).
3. Тогда логично интегрировать в понятие "простота эксплуатации" не только техническую простоту (получить дамп базы или подцепить клиента-жертву через BeeF), но и возможность получения профита (профит = достижение или приближение к цели) от этой самой эксплуатации.
4. Из п.1-3, например, тогда последует, что уязвимости, через которые можно проводить атаки на клиентов, не интересуют ребяток, проводящих нетаргетированные атаки на клиентов: у них уже оточена схема с инсталлами специализированного ВПО. И наоборот, уязвимости, через которые можно проводить атаки на клиентов, заинтересуют только тех ребяток, которые собрались атаковать конкретного клиента.
5. Один и тот же риск R можно получить при двух вариантах: большой ущерб при низкой частоте или малый ущерб при высокой частоте. Логичные вопросы: - Какой вариант необходимо адресовать банкам в первую очередь? - В разрезе вопроса выше - второй: как бы ты оценил риск, связанный с эксплуатацией в приложении сервера ДБО SQLi?
Вопрос про вероятность: как считалась вероятность обнаружения?
ОтветитьУдалитьа как считалась лучшесть в рф команды?
ОтветитьУдалитьчем она именно лучшая?
чем она лучше dsec?
безапеляционный говнопиар в обычном стиле ПТ
Пятничная серия комментов от К.О. :)
ОтветитьУдалитьСекрет успеха при анализе защищенности отечественных банковских систем
1. Потрошим iBank и BSS, собираем в копилку их баги.
2. Используем баги из копилки при хакинге yet another DBS.
...
4. Profit!
Мысли вслух. Навеяло стандартными формулами на слайдах 27-29.
ОтветитьУдалить1. (слайд 27) Очевидно, что в вероятность обнаружения уязвимости надо интегрировать оценку мотивации ищущего.
2. Логично, что мотивация ищущего зависит в том числе и от доступности (наличия, простоты) схемы монетизации, которую он запустит после обнаружения уязвимости (если это прямой заказ - то схема просто вырождается в цепочку из пары звеньев).
3. Тогда логично интегрировать в понятие "простота эксплуатации" не только техническую простоту (получить дамп базы или подцепить клиента-жертву через BeeF), но и возможность получения профита (профит = достижение или приближение к цели) от этой самой эксплуатации.
4. Из п.1-3, например, тогда последует, что уязвимости, через которые можно проводить атаки на клиентов, не интересуют ребяток, проводящих нетаргетированные атаки на клиентов: у них уже оточена схема с инсталлами специализированного ВПО.
И наоборот, уязвимости, через которые можно проводить атаки на клиентов, заинтересуют только тех ребяток, которые собрались атаковать конкретного клиента.
5. Один и тот же риск R можно получить при двух вариантах: большой ущерб при низкой частоте или малый ущерб при высокой частоте. Логичные вопросы:
- Какой вариант необходимо адресовать банкам в первую очередь?
- В разрезе вопроса выше - второй: как бы ты оценил риск, связанный с эксплуатацией в приложении сервера ДБО SQLi?
@Alexey Sintsov
ОтветитьУдалитьВероятность обнаружения в данном случае - кол-во уязвимостей каждого типа, которая закладывалась на этапе разработки.
@dsec
>> безапеляционный говнопиар в обычном стиле ПТ
даже не задел 8))
@Andrew Petukhov
>> как бы ты оценил риск, связанный с эксплуатацией в приложении сервера ДБО SQLi?
В зависимости от импакта, к которому может привести эксплуатация SQLi, риск может существенно варьироваться.