вторник, 5 июня 2012 г.

Если бы пентестеры работали как вирусные аналитики


1. В исследуемой системе обнаружены следы эксплуатации неизвестной уязвимости. Готовим пресс-релиз о принципиально новом классе атак, наводим шумиху в соц.сетях, пиаримся, что только мы можем его обнаруживать.

2. Принципиально новый класс атак использует неизвестный доселе язык запросов. Готовим пресс-релиз, наводим шумиху в соц. сетях, собираем онлайн-консилиум экспертов по языкам, чтобы опознать творение черного разума. Приходим к выводу, что язык был специально разработан для реализации атак, подобно выявленной.

3. Прозрачно намекаем о госдеповском следе в выявленном запросе, попутно списывая на него все ранее не обнаруженные уязвимости.

4. Через несколько дней, ведущие эксперты в области неизвестных уявзимостей приходят к выводы, что это была SQL-инъекция.

5. Не теряя лица заявляем, что хоть это и была SQL-инъекция, но на неизвестном языке и от госдепа, поэтому старательно поддерживаем шумиху.

6. Еще через несколько дней, выясняется, что неизвестным языком внезапно оказался SQL.

7. Версия с госдепом разваливается на глазах, но тут ведущие эксперты по поискам госдеповских следов обнаруживают, что если текст первой половины запроса проксорить со второй и взять хэш от результата, то он совпадет с хэшем девичьей фамилии матери Барака Обамы.

8. Уверенно готовим пресс-релиз, выступаем на конференциях на тему происков госдепа, уклончиво отвечаем на вопросы о том, откуда мы узнали девичью фамилию матери Обамы.

9. Медленно, но уверенно шумиха стихает, но внезапно наши эксперты обнаруживают в исследуемой системе следы эксплуатации неизвестной уязвимости...

10 комментариев:

  1. Ой, я дисклеймер забыл: "Любые совпадения имен, названий и событий являются случайными и не имеют никаких аналогий с человеческой действительностью" (С) :)

    ОтветитьУдалить
  2. А в реальности? Только первый пункт?

    "В исследуемой системе обнаружены следы эксплуатации ИЗВЕСТНОЙ уязвимости - sql inj, дырку залатали."

    ОтветитьУдалить
  3. Возможно, это говорит не только о склонности av-компаний к шумихе, но и о том, что задачи, поставленные перед аналитиками вредоносного ПО на порядок сложнее задач веб-хакеров?

    ОтветитьУдалить
  4. А почему именно на порядок, а не, скажем, на два или даже три?

    ОтветитьУдалить
  5. По-разному, но как правило, все ограничивается адвизори или записью в отчете, да.

    ОтветитьУдалить
  6. Вообще, вопрос интересный. Я был и тем и другим, правда с очень большим интервалом во времени и едва ли смогу оценить сравнительную сложность задач, стоящих перед теми и другими. Они слишком разные, чтобы их сравнивать.

    ОтветитьУдалить
  7. а зачем пентестеры " обнаруживают следы эксплуатации неизвестной уязвимости. " ? это задача внутренних служб ИБ или аналитиков. Задача пентестера - проникновение, а не разбор логов IDS/IPS, нет?

    ОтветитьУдалить
  8. Дык они бы этим занимались, если бы работали как вирусные аналитики, нет?)

    ОтветитьУдалить
  9. Да, тут разрыв шаблона на первой строчке )

    ОтветитьУдалить

Пожалуйста, будьте вежливы к автору и остальным посетителям этого блога