Android Guards

2022-07-14 14:44:01 Запись недавнего стрима про то как вкатиться в мобильный инфобез в 2022-м году. Можно слушать на ваших любимых подкаст-площадках или прямо в Telegram. Видео решил не выкладывать, т.к. оно не несет никакой дополнительной ценности.
Сайт подкаста

Show notes:
- Большая подборка полезных ресурсов от экспертов Positive Technologies: от лаб и подкастов до блогеров и сообществ
- Охота за багами: как прокачаться этичному хакеру, чтобы больше зарабатывать на поиске уязвимостей
- Mobile Security Testing Guide
- Открытая лекция: Основы информационной безопасности для мобильных разработчиков
- Блог Oversecured (нужен VPN)
- Блог компании Snyk Открыть/Комментировать

2022-07-03 17:41:30 В среду 06.07.2022 в 20:00 (MSK) хочу провести стрим, в котором обсудим как прийти в мобильный инфобез в 2022 году. Уклон беседы будет скорее в offensive security, но думаю, что разработчики тоже узнают для себя что-то интересное.
Темы, которые хотелось бы затронуть:
- С чего начать совсем молодым специалистам. Что изучать, а на что можно забить в начале пути
- Как вкатиться уже матерым хакерам, которые точно знают в какое поле пихать кавычку, а в какое лучше не надо
- Что делать разработчикам, у которых наступил "кризис веры" и есть желание уверовать в захек мобилок

Еще попробуем поговорить о рабочем процессе в целом и какую пользу все эти мобильные познания могут принести если решите перекатиться в другую область. Ну и конечно же хочется послушать ваши вопросы чтобы сделать повествование наиболее полным и полезным.

Проходить все будет в формате видео чата в группе Android Guards, так что если вы еще не там, то самое время. Открыть/Комментировать

2022-06-29 11:40:59 Вышла новая версия библиотеки Pinkman. Теперь она нормально работает в Android 12.
Благодарности за это отправляем ребятам из Redmadrobot: osipxd и Zestxx.
Напишите в комментариях, чего вам там не хватает еще. Может быть ребята из Redmadrobot я наконец-то соберусь с силами и выпущу вторую версию... Открыть/Комментировать

2022-06-08 21:10:05 В соседнем канале Mobile AppSec World разыгрывают билеты на конференцию OFFZone, которая пройдет этим летом. Для участия в розыгрыше нужен сущий пустяк. Написать историю о самой тупой уязвимости, которую вы находили в мобильных приложениях. Если ничего в голову не приходит, то про ssl pinning думаю можете написать. Эти истории все любят. Подробности тут. Надеюсь встретимся на OFFZone. Открыть/Комментировать

2022-05-25 10:01:55 Сколько было разговоров о том, что Fuchsia OS заменит Android и начнется новая эра? И где теперь эта Fuchsia OS? Оказалось, что она все еще активно разрабатывается и похоже не собирается умирать. Чтобы не прозозохать все на свете и быть готовым, когда Fuchsia OS придет в ваш дом - рекомендую прочитать этот серьезный материал. Из статьи вы узнаете:
- Что из себя представлет Fuchsia OS и как выглядит ее модель безопасности
- Как собрать ОС из исходников и написать приложение для нее
- Как выглядит ядро ОС и как его подебажить с помощью GDB и QEMU
- Как разрабатывать эксплойты для ядра Fuchsia OS (Zirocon)

Под чай с печеньками прочитать не выйдет. Придется включать мозги Открыть/Комментировать

2022-05-18 10:27:31 Смотреть трансляцию Positive Hack Days бесплатно и без смс можно здесь - https://event.phdays.com/ru. Есть удобный фильтр по зонам. Доклады уже идут! Открыть/Комментировать

2022-05-16 15:08:57 Небольшая заметка про маленький, но противный баг, который периодически встречается в приложениях использующих биометрическую аутентификацию Открыть/Комментировать

2022-05-06 09:22:41 Хочу порекомендовать вам неплохую книгу про анализ сетевых протоколов - Attacking Network Protocols: A Hacker's Guide to Capture, Analysis, and Exploitation. В книге рассказывается с какой стороны подходить к анализу неизвестных протоколов и дается набор смежных тем. Для совсем начинающих может быть местами сложной, но для продолжающих - в самый раз. Почтенным ИБ-сеньорам будет традиционно скучно.

Глава 1. Основы сетей - если не читали Олиферов (и не хотите), то эта глава отлично вводит в курс дела. Даются базовые знания о том как работают локальные и глобальные сети;
Глава 2. Перехват трафика - адептам подхода "з0пуск4ем бурп && п0лeт3ли" будет полезно узнать какие способы перехвата трафика вообще существуют и как они работают;
Глава 3. Структура сетевых протоколов - объясняются типичные для сетевых протоколов структуры данных, TLV и все, что рядом;
Глава 4. Расширенный перехват трафика приложений - чуть больше практических примеров и утилит чем в Главе 2. Также разбираются ARP и DNS спуфинг;
Глава 5. Анализ на практике - на примере самописного чата, автор показывается как анализировать неизвестные протоколы. Wireshark + скриптинг на Lua;
Глава 6. Обратная разработка приложений - самые базовые знания о реверсе, архитектура x86 и немного примеров. Если уже в теме, то главу можно смело пропускать полностью;
Глава 7. Безопасность сетевых протоколов - основы криптографии и атак на нее в контексте сетевых протоколов. Отдельно дается информация про то как работает TLS;
Глава 8. Реализация сетевых протоколов - на примерах показано как эмулировать клиентскую и серверную часть протоколов. Но я не в восторге от этой главы. Хотя может вам понравится;
Глава 9. Основные причины уязвимостей - небольшой глоссарий сетевых уязвимостей. Для начинающих будет полезным элементом систематизации знаний;
Глава 10. Поиск и эксплуатация уязвимостей - на примерах разбирается как эсплуатировать узявимости из Главы 9. В целом - эта глава неплохая и если никогда с таким не сталкивались, то она более чем неплохая. Но лично от себя, на эту тему, я бы рекомендовал читать Hacking: The Art of Exploitation. Открыть/Комментировать

2022-04-29 17:56:04 Экосистемы сейчас на хайпе. Про них даже один известный человек высказался: "Есть элементы этой экосистемы, которые нужно доработать. Нужно сделать свой интернет-магазин, потому что App Store и Google Play на сегодняшний день у нас уже практически могут скоро не дать возможности скачивать приложения".

А вот насколько хорошо разработчики приложений понимают, как построить безопасную экосистему? Чтобы не теоретизировать, я решил посмотреть на существующие экосистемы и рассказать вам об одной интересной уязвимости, которая характерна именно для экосистем приложений. Никакой теории, только код, кишки и ссылки для дальнейшего изучения. Открыть/Комментировать

2022-04-27 15:42:47 Я вам уже рассказывал про Positive Hack Days, который пройдет 18-19 мая и жаловался, что там совсем небыло докладов про безопасность мобилок. Ситуация изменилась! На момент написания этого сообщения программы на сайте нет, но со мной по большому секрету поделились темами докладов и я хочу рассказать вам о нескольких, которые вызвали у меня интерес.

1. BootROM на Qualcomm: извлечение, исследование и эксплуатация уязвимостей. Докладчик расскажет как найти точку G JTAG в смартфоне на базе Qualcom и c его помощью извлечь BootROM. Также обещает показать 1day уязвимость в извлеченном BootROM, но это неточно ;)
2. Фреймворк безопасной разработки от компании Swordfish Security. Обещают показать фреймворк для безопасной разработки, и это звучало бы как очердное бла-бла-бла если бы не тот факт, что ребята действительно знают толк в SSDLC. Я уже делал с ними стрим и подкаст, поэтому проверьте это утверждение самостоятельно.
3. Уязвимое мобильное приложение Allsafe глазами аналитика исходного кода с примерами для начинающих. А это видимо конкуренты предыдущего доклада. Собираюсь дать им шанс и послушать эту историю про комбинацию SAST и DAST для поиска уязвимостей.
4. Хранение API-ключей. Доклад о том как надежно хранить ключи и предотвратить их утечку. Скорее всего тут речь про сервер, поэтому рекомендую прийти на этот доклад хотябы за тем, чтобы задать докладчику вопрос как хранить ключи в мобильных приложениях ;)
5. Безопасная разработка в вашей IDE. Доклад о разработке плагинов для Intellij IDEA и VSCode. С одной стороны про это сказано уже много, а с другой - уходя за границы очередного туториала начинаешь ловить летящие в тебя грабли. Кстати, написание плагинов для IDE полезно не только разработчикам. Выгрузив код из Jadx в Android Studio можно сильно упростить себе работу используя самописные плагины для автоматизации разных хакерских задач.

Что касается конференции в целом, то в этом году она пройдет под флагом "IN-dependence". Главный вопрос: реально ли быть independent — то есть независимыми — в текущих условиях без полного контроля над виртуальной средой? Это достижимо, если выбрать путь результативной и измеримой кибербезопасности.

Кибербезопасность в России сейчас находится на острие повестки. За последние месяцы шквал хакерских атак захлестнул все отрасли: госсектор, банки, СМИ, ВПК, ТЭК, IT, науку… Число запросов на киберзащиту выросло в разы. Из страны ушли практически все иностранные вендоры ИБ. Началась небывалая трансформация российского рынка кибербеза и есть отличный шанс не пролюбить момент и потусить с ИБ экспертами на Positive Hack Days и задать им острые вопросы про будущее.

Кроме собственно докладов, на конференции традиционно будет:

- самая масштабная открытая кибербитва The Standoff, позволяющая наглядно увидеть, к каким необратимым последствиям могут приводить хакерские атаки, и сделать выводы о построении эффективной защиты. Виртуальная страна, за ресурсы которой будут бороться команды этичных хакеров, представляет собой визуализацию цифровой реальности современной России. На этот раз вы увидите взаимозависимость отраслей экономики, когда даже незначительное влияние на одну из систем может иметь большие и непредсказуемые последствия в совершенно другом месте
- хакерские конкурсы: начинающие специалисты попробуют взломать банкомат, справиться с багами умного дома и обмануть систему биометрической аутентификации

Говорят, что количество билетов ограничено, поэтому если хочется прямо во все тяжкие, то лучше поторопиться. А для тех, кто не успел - будет трансляция. Но если вы хоть раз в жизни были на PHD, то трансляцию смотреть просто не захотите, в этом нужно участвовать лично! Открыть/Комментировать