Противодействие вредоносному ПО для мобильных устройств на сети оператора свя...Denis Gorchakov
Комплекс предназначен для анализа поведения клиентов бот-сетей, осуществления перехвата пакетов от центров управления, а также для выявления заражённых абонентских станций и оперативного противодействия вредоносному программному обеспечению, используя инфраструктуру оператора сотовой связи. Основным назначением является автоматизация информационно-аналитической деятельности в бизнес-процессах, которая поможет оператору сотовой связи защитить сеть от угроз, вызванных бот-сетями и предоставить абоненту новую услугу по защите.
Противодействие вредоносному ПО для мобильных устройств на сети оператора свя...Denis Gorchakov
Комплекс предназначен для анализа поведения клиентов бот-сетей, осуществления перехвата пакетов от центров управления, а также для выявления заражённых абонентских станций и оперативного противодействия вредоносному программному обеспечению, используя инфраструктуру оператора сотовой связи. Основным назначением является автоматизация информационно-аналитической деятельности в бизнес-процессах, которая поможет оператору сотовой связи защитить сеть от угроз, вызванных бот-сетями и предоставить абоненту новую услугу по защите.
Андрей Полковниченко - Android adware. Кому это выгодно, и чем опасно для вас?HackIT Ukraine
Зачастую, когда речь заходит о злонамеренных приложениях под Android, она сводится к генерации трафика для рекламых сетей. По ряду причин, эти приложения являются наиболее технологически сложными, и вместе с тем, наиболее распространенными. В своем докладе я расскажу как они устроены, кто за ними стоит, и какой вред они могут принести пользователю мобильного устройства.
Решение для отелей от Traffic Inspector, которое решает такие задачи:
- идентификация пользователей по SMS;
- фильтровать контент трафика (в том числе по спискам Роскомнадзора);
- распределение трафика между гостями и сотрудниками;
- предоставление доступа в Интернет в соответствии с возрастными ограничениями;
- сбор статистики и получение отчетности, увеличивающие эффективность работы персонала;
- настройка ограничения скорости интернета;
- рекламные возможности для владельцев заведений.
Андрей Полковниченко - Android adware. Кому это выгодно, и чем опасно для вас?HackIT Ukraine
Зачастую, когда речь заходит о злонамеренных приложениях под Android, она сводится к генерации трафика для рекламых сетей. По ряду причин, эти приложения являются наиболее технологически сложными, и вместе с тем, наиболее распространенными. В своем докладе я расскажу как они устроены, кто за ними стоит, и какой вред они могут принести пользователю мобильного устройства.
Решение для отелей от Traffic Inspector, которое решает такие задачи:
- идентификация пользователей по SMS;
- фильтровать контент трафика (в том числе по спискам Роскомнадзора);
- распределение трафика между гостями и сотрудниками;
- предоставление доступа в Интернет в соответствии с возрастными ограничениями;
- сбор статистики и получение отчетности, увеличивающие эффективность работы персонала;
- настройка ограничения скорости интернета;
- рекламные возможности для владельцев заведений.
Bibme.org is a useful website for students to cite information and resources for schoolwork. It allows users to search for books by title, select the correct one, and format citations in MLA or APA style to avoid plagiarism. The website provides a wonderful citation resource that students can start using today and benefit from by adding it to their favorites.
Презентация «Тенденции развития ринка платежных карт и дистанционных банковск...gfkukraine
Презентація Дмитра Яблоновського, керівника відділу фінансових досліджень GfK Ukraine «Тенденції розвитку ринку платіжних карт та дистанційних банківських сервісів».
В презентации к вебинару «Типичные ошибки при разработке интернет-магазинов» аккуартно разложены по полочкам ошибки при создании интернет-магазинов на всех этапах: от заключения договора, проектирования интерфейсов, дизайна и верстки до программирования, интеграции и дальнейшей технической поддержки.
На вебинаре рассматривались примеры системы управления контентом "1С-Битрикс", однако принципы диагностики ошибок могут быть частично использованы и на других платформах.
В презентации отражается:
• Понимание опасных моментов в разработке интернет-магазина и возможностей минимизации рисков.
• Обзов типовых ошибок при программировании на 1С-Битриксе и способах их диагностики.
• Советы по построению эффективного взаимодействия с подрядчиком.
Знаете ли Вы, что можно экономить 15-30% месячного дохода в год за счет использования выгодных банковских карт?
Наша презентация и наш проект www.easywallet.ru помогут Вам узнать больше о выгодных банковских картах, а также подобрать себе наиболее выгодную банковскую карту!
Поймай меня, если сможешь: защита от ботов с PT Application FirewallVsevolod Petrov
Большая часть трафика в веб-приложениях инициирована ботами. Наряду c поисковыми движками, службами мониторинга и RSS-коллекторами — так называемыми хорошими ботами, — к вашим приложениям обращаются и «плохие» — спам-боты, скраперы, взломанные мобильные или IoT-устройства. Для многих высокая посещаемость интернет-ресурса — показатель успешности проекта. Однако активность «плохих» ботов нагружает процессор, оперативную память, полосу пропускания и другие ресурсы. Все это увеличивает стоимость сопровождения веб-приложения и может привести к перебоям в работе сервиса.
На вебинаре мы расскажем, как можно защитить приложения от ботов с помощью PT Application Firewall, а также представим совместное решение с Approov для защиты мобильных приложений. Вебинар для широкого круга лиц, интересующихся защитой приложений.
Cовременные угрозы ИБ в корпоративной инфраструктуре и технологии противодейс...IBS
Конференция "InterLab Forum. Системная интеграция нового поколения" прошла в октябре 2015 года. В центре внимания форума были новые решения в области ИТ-инфраструктуры и информационной безопасности, недавно появившиеся на российском рынке и прошедшие апробацию в IBS.
Подробности: http://www.ibs.ru
Инструмент ChangelogBuilder для автоматической подготовки Release NotesPositive Hack Days
1. Основные понятия и определения: продукт, пакет, связи между ними.
2. Как узнать, какие изменения произошли в продукте?
3. Проблемы changelog и release note.
4. Решение: инструмент ChangelogBuilder для автоматической подготовки Release Notes
Как мы собираем проекты в выделенном окружении в Windows DockerPositive Hack Days
1. Обзор Windows Docker (кратко)
2. Как мы построили систему билда приложений в Docker (Visual Studio\Mongo\Posgresql\etc)
3. Примеры Dockerfile (выложенные на github)
4. Отличия процессов DockerWindows от DockerLinux (Долгий билд, баги, remote-регистр.)
Типовая сборка и деплой продуктов в Positive TechnologiesPositive Hack Days
1. Проблемы в построении CI процессов в компании
2. Структура типовой сборки
3. Пример реализации типовой сборки
4. Плюсы и минусы от использования типовой сборки
1. Что такое BI. Зачем он нужен.
2. Что такое Qlik View / Sense
3. Способ интеграции. Как это работает.
4. Метрики, KPI, планирование ресурсов команд, ретроспектива релиза продукта, тренды.
5. Подключение внешних источников данных (Excel, БД СКУД, переговорные комнаты).
Approof — статический анализатор кода для проверки веб-приложений на наличие уязвимых компонентов. В своей работе анализатор основывается на правилах, хранящих сигнатуры искомых компонентов. В докладе рассматривается базовая структура правила для Approof и процесс автоматизации его создания.
Задумывались ли вы когда-нибудь о том, как устроены современные механизмы защиты приложений? Какая теория стоит за реализацией WAF и SAST? Каковы пределы их возможностей? Насколько их можно подвинуть за счет более широкого взгляда на проблематику безопасности приложений?
На мастер-классе будут рассмотрены основные методы и алгоритмы двух основополагающих технологий защиты приложений — межсетевого экранирования уровня приложения и статического анализа кода. На примерах конкретных инструментов с открытым исходным кодом, разработанных специально для этого мастер-класса, будут рассмотрены проблемы, возникающие на пути у разработчиков средств защиты приложений, и возможные пути их решения, а также даны ответы на все упомянутые вопросы.
От экспериментального программирования к промышленному: путь длиной в 10 летPositive Hack Days
Разработка наукоемкого программного обеспечения отличается тем, что нет ни четкой постановки задачи, ни понимания, что получится в результате. Однако даже этом надо программировать то, что надо, и как надо. Докладчик расскажет о том, как ее команда успешно разработала и вывела в промышленную эксплуатацию несколько наукоемких продуктов, пройдя непростой путь от эксперимента, результатом которого был прототип, до промышленных версий, которые успешно продаются как на российском, так и на зарубежном рынках. Этот путь был насыщен сложностями и качественными управленческими решениями, которыми поделится докладчик
Уязвимое Android-приложение: N проверенных способов наступить на граблиPositive Hack Days
Немногие разработчики закладывают безопасность в архитектуру приложения на этапе проектирования. Часто для этого нет ни денег, ни времени. Еще меньше — понимания моделей нарушителя и моделей угроз. Защита приложения выходит на передний план, когда уязвимости начинают стоить денег. К этому времени приложение уже работает и внесение существенных изменений в код становится нелегкой задачей.
К счастью, разработчики тоже люди, и в коде разных приложений можно встретить однотипные недостатки. В докладе речь пойдет об опасных ошибках, которые чаще всего допускают разработчики Android-приложений. Затрагиваются особенности ОС Android, приводятся примеры реальных приложений и уязвимостей в них, описываются способы устранения.
Разработка любого софта так или иначе базируется на требованиях. Полный перечень составляют бизнес-цели приложения, различные ограничения и ожидания по качеству (их еще называют NFR). Требования к безопасности ПО относятся к последнему пункту. В ходе доклада будут рассматриваться появление этих требований, управление ими и выбор наиболее важных.
Отдельно будут освещены принципы построения архитектуры приложения, при наличии таких требований и без, и продемонстрировано, как современные (и хорошо известные) подходы к проектированию приложения помогают лучше строить архитектуру приложения для минимизации ландшафта угроз.
Доклад посвящен разработке корректного программного обеспечения с применением одного из видов статического анализа кода. Будут освещены вопросы применения подобных методов, их слабые стороны и ограничения, а также рассмотрены результаты, которые они могут дать. На конкретных примерах будет продемонстрировано, как выглядят разработка спецификаций для кода на языке Си и доказательство соответствия кода спецификациям.
The document discusses preventing attacks in ASP.NET Core. It provides an overview of topics like preventing open redirect attacks, cross-site request forgery (CSRF), cross-site scripting (XSS) attacks, using and architecture of cookies, data protection, session management, and content security policy (CSP). The speaker is an independent developer and consultant who will discuss built-in mechanisms in ASP.NET Core for addressing these security issues.
3. История вопроса
PHDays III:
Мошенничество
в SMS-банкинге
ZeroNights 2014:
Противодействие
ВПО для мобильных
устройств на сети
оператора.
Android Honeypot в
антифроде
РусКрипто 2015:
Расследование
инцидентов,
связанных с
мобильными бот-
сетями и
вредоносным ПО
AntiFraud Russia-2014:
Актуальные угрозы
фрода в отношении
абонентов сотовых
сетей связи. Выявление
мобильных бот-сетей
4. Обстановка
Android занимает около 80% рынка.
Крупнейшие антивирусные лаборатории
относят Россию к числу лидеров по
распространённости и направленности
Android-вирусов.
Схожая статистика по банковским вирусам, в
том числе мобильным.
Android Security Report 2015: уровень
распространения вредоносного ПО в России
в 3-4 раза выше среднего.
5. IOS и WinPhone
Существует всего несколько примером вредоносов.
Растущая популярность IOS и WinPhone заставляет
злоумышленников обращать на них внимание.
До недавнего времени считалось, что на WinPhone можно
установить приложение только из легального приложения, но был
обнаружен способ установки приложений в обход магазина.
Существует несколько прототипов зловредов, которые умеют
похищать данные из телефонной книги, фотографии, читать SMS
пользователя и красть прочую приватную информацию из
смартфона.
Глобальных случаев распространения и заражения WinPhone
пока не было, но возможно всё ещё впереди.
Обстановка с WinPhone:
6. IOS и WinPhone
Троян AppBuyer (IOS с джейлбрейком)
Крадет логин и пароль от Apple ID и передает их на сервер
злоумышленника, после чего тот может совершать покупки в App Store с
чужого аккаунта.
Приложение AdThief (IOS с джейлбрейком)
Распространялось из альтернативного(пиратского) магазина
приложений.
Работает практически незаметно — вред этой утилиты направлен на
разработчиков приложений, использующих рекламу для монетизации.
Wirelurker(IOS без джейлбрейка)
Атакует iOS-устройства при подключении к компьютеру Mac по USB.
Masque Attack(IOS без джейлбрейка)
Абонент получает сообщение со ссылкой на зараженное приложение и
игру (которой нет в App Store).
Вирус заменяет собой какое-либо стороннее приложение, но
пользователь ничего не замечает — оно выглядит и функционирует
точно так же, как настоящее.
Обстановка с IOS:
7. Способы монетизации
Со счёта абонента: контент-услуги и
сервисы мобильных платежей.
С привязанных к номеру сервисов:
услуги ДБО (SMS, USSD), платёжные
системы.
Блокировщики: crypto / PIN.
Нецелевое использование устройств:
спам-рассылки, DDoS, прокси для
мошеннической деятельности, SEO.
8. Бот-сети
Прежняя методика “hit`n`run” всё реже.
Большинство вирусов – полноценные
клиенты ботнетов: статистика, наборы
команд, удалённое управление (head &
headless).
Для противодействия мошенническим схемам
можно использовать адаптацию
отработанных технологий противодействия
компьютерным ботнетам к мобильным
угрозам.
9. Угрозы
Похищение персональных и конфиденциальных данных.
Фишинг.
Рассылка спама.
Анонимный доступ в Сеть.
Кибершантаж и осуществление DDoS-атаки.
Получение сведений о местоположении конкретного человека.
Похищение денег, в том числе используя мобильную
коммерцию и контент-услуги
~50 тыс. новых жертв ежемесячно в одном регионе.
~ 3,5 млн. рублей – денежные потери в месяц от действия бот-сетей
направленных на абонентов по одному региону.
10. Каналы управления
HTTP(S): C&C центры управления,
регулярное обращение. Dynamic / Fast
Flux.
SMS: приём команд с заданных
номеров или по заданному шаблону.
Google Cloud Messaging / push:
получение команд через сервисы
Google. Удобно в случае отказа каналов
HTTP и SMS.
11. Собираемые данные
Домены и IP: С&C центры управления,
адреса распространения ВПО.
Сведения о формате и составе
передаваемых данных на C&C.
MSISDN (тел. номера) – центры управления,
коллекторы данных, аккумуляторы денежных
средств.
Идентификаторы подписок и получателей
для контент-услуг и платёжных сервисов.
12. Антиотладочные приёмы
Контроль IMEI, IMSI для исключения
вызывающей подозрение тарификации
и фильтрации/блокировки устройств.
Геолокация (GPS, Wi-Fi, сотовая сеть).
Исключение по SSID, Cell ID, району.
Вариация задержек и сумм для обхода
правил мониторинга. Суточная
задержка после заражения.
Обфускация: ProGuard.
13. Антиотладочные приёмы
Администратор устройства:
блокировка, стирание, использование
особенностей интерфейса.
ROOT: проверка наличия и попытка
использования. root-exploit’ы для
недорогих устройств MediaTek.
Подгрузка вредоносного APK после
установки «безобидного» загрузчика.
14. Антиотладочные приёмы
Проверка наличия подключённых
сервисов и услуг не только по истории
SMS, но и через отправку тестовых
сообщений на короткие номера
оператора, банков, платёжных систем.
Блокировка абонентских вызовов на
справочные номера: нельзя оперативно
пожаловаться в службу поддержки,
заблокировать свой счёт, карту.
15. Забавные факты
HTTP stat (IMEI, IMSI, баланс)
1. Plaintext: domain/gate.php?imei=<>&imsi=<>&bal=<>
2. BASE64: domain/gate.php?data=YW55IGNhcm5hbCB…
3. BASE64 с модифицированным алфавитом
Защита от антивируса
class kavfucker
{
… (“GetDeviceAdmi” + ”n”)
}
17. Вдобавок…
Экспертный анализ кода и разбор поведения в эмуляторе
не обеспечивают полноты собираемых данных.
Существует немало утилит и библиотек для отладки
Android-приложений, однако большинство из них носит
любительский характер и забрасывается авторами.
Велика сложность доработки и стоимость разработки
силами ИБ-подразделения.
Основная цель – сбор данных. Нас не интересует взлом и
реверс-инжиниринг вредоносного ПО.
Используются доступные ресурсы оператора связи – SIM-
карты, смартфоны, сотовая сеть. Снижается стоимость
разработки комплекса и увеличивается акцент на
аналитическую работу.
31. CERT
Оператор А
Оператор B
Оператор C
Оператор D
Server
БД
ASMONIA: http://asmonia.de/deliverables/D4.3_Methods_for_Collaborative_Detection_and_Analysis.pdf
32. Спасибо за внимание!
Thank you for your attention!
Гончаров Николай
nogoncha@mts.ru
Горчаков Денис
dgorchakov@alfabank.ru
Editor's Notes
Предупреждение абонентов о сайтах, распространяющих вредоносное ПО для мобильных устройств, с использованием информационной WEB-страницы.
Информирование абонентов с рекомендациями по защите от фрода:
SMS рассылки, IVR-обзвоны и WEB-редирект для пользователей OS Android.
Полностью заблокировать доступ к таким ресурсам нельзя, так как это будет нарушением законодательства. Необходимо внести поправки в законодетель, которые будут позволять блокировать подобные ресурсы