Cloned Boy
Professional
- Messages
- 1,161
- Reaction score
- 884
- Points
- 113
ЛОГОВО БОРЦОВ С ХАКЕРАМИ И КАРДЕРАМИ.
Известный кардер Сергей Павлович продолжает беседу c Сергеем Никитиным, заместителем лаборатории компьютерной криминалистики компании Group-IB – главного российского частного борца с хакерами, кардерами и прочими киберпреступниками. Мы встретились прямо в офисе компании, чтобы посмотреть всё вживую.
Приятного чтения!
Содержание:
«Снимаем и показываем логово Group-IB»
Павлович:
Привет, ребятки! Сегодня приехали в Group-IB и берём интервью прямо в собственном логове.
И сегодня мы вам не только расскажем, но и покажем. Let's go! О, привет-привет! Ну что, проникли в логово?
9 этаж, медали и награды Group-IB
Специалист:
Да, это наш девятый этаж. Мы сегодня посмотрим множество этажей, но, конечно, все наши офисы не посмотреть, потому что части не зарубежные. Наверное, девятый этаж будет самый интересный, потому что здесь лаборатория.
Павлович:
Это твой, да?
Специалист:
Да, здесь находится лаборатория компьютерной криминалистики, здесь находится наш SERT, и здесь много всяких наших наград, благодарственных писем.
Что-то из этого можно даже будет показать, рассказать. Практически все связано с каким-то кейсом, инцидентом. Даже памятные кроссовки сделали.
Павлович:
От компании Nike, да?
Специалист:
Да, да, да. Медали.
Павлович:
Из Кыргызстана.
Специалист:
Да, конечно, мы работаем и по СНГ, и вообще по всему миру. Постепенно собирали В общем, всякие награды.
Павлович:
Ну вот из Интерпола что-то.
Специалист:
Исполнительный директор Интерпола. У нас подписаны, собственно, соглашения о сотрудничестве с Интерполом, с Европолом. Ну и, на самом деле, вот здесь видно, что это Вьетнам. Азиатск. Да-да-да, это Вьетнам. Множество-множество всяких наград. Можем посмотреть. Да, у нас были там всякие лиги безопасности. Проверено, Фрода нет. Смотрите, ребятки.
Павлович:
Интернета. Проверено, Фрода нет. Наверное.
Специалист:
Премии Рунета. Ну, то есть, видишь, да, всякие кубки. Это такое... Небольшое местечко. Но это не все. Это еще не все.
Павлович:
А, еще ими можно качаться. Вместо гантели, такие, достаточно увесистые. Ну, кстати, знаешь что? Это же один и тот же приз, правильно? Да, да, разные года. Но я хочу сказать, что сильно заметно по весу даже статуэток, что благосостояние в стране намного ухудшилось. Потому что в 2013 году весят почти в 2 раза тяжелее, чем в 2018.
«Спорт связан с работой» – «С шахматами что ль?»
Специалист:
Да, у нас на самом деле спорт очень связан с работой. У нас куча всяких секций в компании. Это все всячески поощряется, оплачивается, продвигается. Илья регулярно всех зазывает побегать, преодолеть полосы препятствий, побоксировать, то есть, на самом деле, увлечение на каждый вкус есть.
Павлович:
А ты в какой? В шахматах?
Специалист:
Я не суперспортивный, по мне, я думаю, заметно это.
Как то участвовал в "Что, где когда"? И во всяких брейнштормах.
Павлович:
Я так и думал, что ты защищаешь интеллектуально. Помоги.
Прогнозы на тренды преступлений, «Глаз Бога»
Специалист:
Да, можно, можно нокаутировать кого-нибудь. Там написано CyberCrimeCon, это ежегодная конференция, которые мы проводим осенью, иногда октябрь, иногда ноябрь, где как раз рассказываем про тренды и прогнозы о киберпреступлениях на следующий год.
Павлович:
То есть вы так и прогнозируете,
Специалист:
Что будет дальше, что будет происходить в следующем году, чего опасаться, как защищаться, чем защищаться, вот все такое.
Павлович:
А я сейчас снимал глаза Бога, я думаю, тебе можно не рассказывать, что это за инструмент. Да, конечно. Кстати, прикольный чувак, многие думают, что он дроп, но это не дроп, это реально владелец, потому что сильно много всего видел, чтобы сомневаться. И они сейчас тоже запустили у себя систему фотон, там в течение места она уже заработает. Они тоже на основе запросов поисковых и так далее уже предугадывают некоторые события. То есть он знает сегодня, что появится в прессе завтра.
То есть они вычисляют, что вот эта вот группа журналистов начала интересоваться, Я не знаю, это будет или нет. Значит, соответственно, завтра, послезавтра мы появимся в прессе. Это тоже прогнозирование определенного рода.
Сервисы пробивов, расследование Навального
Специалист:
Мы тут снимали вместе с редакцией один из фильмов. Они как раз там делали пробивы через базы все эти. Мы рассказывали, как работает Даркнет, как работают все эти пробивы. И люди, которых они закупали эти услуги, они сразу такие, а вы кто? Типа, а, аккаунт настоящий, он с Леги писал. Типа, а, вы журналист, я знаю. Тогда говорят, окей, никаких вопросов. Типа, сейчас, сейчас все организуем.
Павлович:
Ну, после Навального у всех сервисов пробива все стало намного похуже.
Личная стена Group-IB, «цифровая гигиена»
Специалист:
Так, ну что здесь, sales department, это не твой? Да, здесь у нас наша доска, типа, наша жизнь, видишь, дни рождения, всякие тусовочки.
Павлович:
С автоматом, чувак.
Специалист:
Да, да, новости, меры и прочее. И наш коридор, который идет в лабораторию. Компромат сюда можно сливать. Всегда помним про цифровую гену, про которую мы регулярно с тобой в выпусках говорим, чтобы всё обновлять, прямо видишь.
Да, такая памятка никогда не бывает лишней.
Павлович:
Я только вчера на Телеграм на компе установил этот пароль на вход.
Специалист:
Хорошо.
Павлович:
На телефоне постоянно стоял, я не мог найти для компа, но сейчас уже всё чётко.
Благодарности от СК, накрутка в шоу «Голос»
Специалист:
Вот, значит, что тут можно посмотреть про благодарности всякие? Вот, допустим, благодарность мне из Казахстана. Я понимаю теперь, почему ты сказал, давайте лучше к этому счету подойдем. Тут просто будет дальше много всего интересного. Вот это, наверное, тоже прикольная история. Вот можно снять. Здесь БСТМ.
Павлович:
БДСМ.
Специалист:
Да-да-да. Еще здесь просто Следственный комитет. Вот. Еще Следственный комитет.
Ну, то есть, мы работаем со всеми, с кем можем. Вот. Это еще тут какие-то СНГшные истории. Мы видели Международную историю. Какие-то самые крутые наши кейсы пиар-активности, да, мы тоже вешаем, чтобы было это видно, например, вон расследование шоу «Голос», да, помнишь, когда были накрутка, да-да-да-да, мы делали пересчет, делали аудит, вот, это даже выстрелило на зарубежку, да, то есть всем было интересно, насколько это может произойти и как вообще сделать эти голосования безопасными, вот.
Здесь электрический щит от нагрузки от наших компьютеров, которые, посмотрим, иногда бывает, что вырубает сеть.
«Святая святых» – лаборатория форензики
Специалист:
Ну и святая святых, наша Digital Forensic Incident Response команда. Просто так туда не попасть, но со мной все возможно.
Ну и наша лаборатория.
Павлович:
Святая святых, можно сказать, да?
Специалист:
Да, да, да, святая святых. Я сейчас обозначу, где здесь что происходит, какая магия. В основном, да, там у нас сидит команда проагирования на инциденты. Здесь чуть ближе сидят компьютерные криминалисты. Правая сторона у нас отдана тренерам, то есть нашим командам обучения, как раз всяким новым киберпрофессиям.
Ну и зум-комнату ты уже спалил в Инстаграме, да?
Переговорная будка
Павлович:
Еще нет, но сейчас выложу. Zoom-комната, да. Zoom-комната — это переговорка, я так понимаю. Просто говорить по телефону.
Специалист:
Да, чтобы не оглушать вокруг всех подряд. Мы используем ее для переговоров. Хотя я уверен, что в комментариях появятся шутки про пытки. Она хорошо звукоизолирована, чтобы можно было разговаривать с клиентами, не оглушая других. 100% избивают подозреваемых здесь.
Да видишь там эта самая кнопка подать ток подать ток там подать газ.
«MAC форензика», уязвимости чипов Т2 от Apple
Специалист:
Помнишь я рассказывал про уязвимость чипов T2 в маках как раз сейчас хочу показать появился уже инструмент для взлома работает он правда тоже только на маках но все равно это интересно вообще мак форензику мы часто делаем на маке, потому что куча вот этих утилит, она, в общем, нативная для мака и поэтому нужна. И вот одна из утилит, да, называется Unlocker. Работает достаточно интересно, значит, тут прямо какой-то супермагии не найти, но я расскажу, как это работает.
Ну, здесь, собственно, прямо каких-то красочной графики здесь нету. В чем смысл? В маках есть так называемый Target Mode. В общем, любой Mac можно использовать как внешний диск. Зажимаешь буковку T при включении, и он перейдет в этот режим внешнего диска. Я не знал пока что. Естественно, если включено шифрование, он потребует пароль. FireWall 2. Да, FireWall 2. И фишка в том, что можно использовать какой-то Target Mode.
Кроме этого, еще в Mac'ах именно с T2-чипом есть такой режим как DFU. Это как в iPhone'ах для прошивки. Потому что там своя маленькая операционная система в этом чипе T2, и как раз Чип Т2 уязвим. В чем фишка этого софта? В том, что он позволяет сбрасывать пароль на загрузку. Не пароль на вход в операционную систему, а там можно поставить ограничения, с чего можно загружаться. Чтобы нельзя было загружаться с флешек внешних, еще с чего-то, только вот с той операционной системы, которая стоит внутри.
Вот эта штука, этот пароль позволяет убрать вообще. И это только начало на самом деле. Именно таким путем можно поставить RootKit на эти маки, потому что этот чип T2 он работает до операционной системы и то есть там можно сбросить всю защиту на нем и вот эту маленькую операционную систему вообще взразить, после чего при загрузке нормального Mac он уже будет работать как e-logger, он может и с клавиатуры все собирать и отправлять всякое, потому что он был задуман как этот самый чип безопасности, то есть он уже имеет супер доступ.
И уже, в общем-то, появились первые утилиты для того, чтобы все это обходить, но это пока что сбрасывают только пароли, но очевидно, что...
Павлович:
Ну это вы сами написали, да?
Специалист:
Нет, нет, нет, это прямо, да, это прямо, там есть разработчики... А пароль на вход тогда в операционку? Он его не может сбросить пока что, но тут дело другое, то есть после взлома вот этой операционки можно ее заразить и просто дождаться, пока человек сам ведет эту пароль. Ну и кей-логер снять, да? Да, да, то есть кей-логер, который загружается даже до самой МАКОСИ.
Павлович:
Так смотри, а нужен ли вообще тогда пароль на вход в эту, в операционку, да, в рамках моих уголовных дел, оно как было, берут просто жёсткий диск, вынимают и подключают его как флешку к компьютеру, к N-кейсу, в моем случае, и всё, и просто шарится по файлам. На маках это не поможет или почему?
Специалист:
Нет, если файл вот включен, то пароль на вход, он же является пароль на расшифровку. То есть, если просто получить доступ, то увидишь просто шифрованные данные, пока не введёшь этот самый пароль на вход.
«Пароли обязательны», ключи, сложность паролей
Павлович:
То есть обязательно получается на маках, чтобы там никто не получил доступ, что правоохранители, что какие-то там хакеры, которые хотят, или промышленные шпионы, да, коммерческие, которые хотят инфу твою украсть Просто надо включать обязательно это ошифрование firewall.
Специалист:
Да, значит, фаерволл, надо включить его, и во время включения он предложит сохранительность server-i-cloud ключ Вот этого делать не нужно У тебя был интервью, забыл, как зовут парня, он рассказывал, что ему мак взломали вот на раз Скорее всего, у него был ключ, сохранённый в iCloud'е, а Apple выдаёт из iCloud'а FBR всё на раз, просто по запросу, мгновенно И всё, они ключ шифрования получают, открывают
Поэтому, когда ставите шифрование в FailVault, не отдавайте ключ в iCloud'е Да, это не так удобно, потому что если вы забудете пароли, то всё, все данные будут потеряны навсегда.
Павлович:
У меня он в заметках Apple'овских записаны, заметки хранятся в iCloud'е.
Специалист:
Тоже, да, тоже есть.
Павлович:
Надо убраться на этот, у меня он и на бумаге записан, и в заметках Надо, короче, убрать заметок, оставить только на бумаге А можно ещё татуировку здесь сделать какую-нибудь.
Специалист:
Лучше не на видном месте Вот, да, поэтому идея абсолютно такая Включайте фейловот, и само собой пароль на вход должен быть стойкий Потому что можно просто перебирать пароли, да, брутфорсом это сделать Если там словарный пароль простой, он легко обходится.
Павлович:
Ну, опять же, это просто сложные пароли Помним всегда, что сложные пароли длинные и сложные Какая необходимая, напомни, длина минимальная?
Специалист:
Хотя бы 10 символов я бы рекомендовал, чтобы цифры, буквы большие и маленькие, и спецсимволы, какие-нибудь звездочки, не знаю, тирея и прочее-прочее. И повторюсь, да, к сожалению, маки с чипом T2 оказались небезопасными, вот, все переходите на M1. Сейчас будет представлено в 7 июня уже M2. Да, возможно будут представлены новые макбуки, непонятно, будет ли конференция в EDC, но пока только слухи, что будет, будут ли новые маки сейчас или осенью, но в любом случае, с точки зрения безопасности, это большой шаг вперед.
«Айфоны ниже 10-го – небезопасны»
Павлович:
Уже 10-ядерные будут. Так, что тут еще есть на этом компе?
Специалист:
На этом компе, например, есть программа для джейлбрейка айфонов, которая как раз с уязвимыми чипами, а, напомню, это десятый айфон и ниже, позволяет делать джейлбрейки вне зависимости от того, знаешь ли ты код-пароль или нет, и даже без знания кода-пароля такой джейлбрейк позволяет вытащить часть данных. Далеко не всё. Там, грубо говоря, то, что приходит в уведомлениях, какой-то закэшированный текст, немного там медиа может быть, но иногда это может быть критически важно.
Поэтому повторюсь, что айфоны 10 и ниже, они уязвимы, у них уязвим чип, это нельзя исправить никак, и поэтому лучше их сменить.
Павлович:
Да, и опять же, нам никто не проплатил за рекламу Apple, к сожалению, хотя пора бы уже давно.
Какое образование нужно, чтобы попасть в Group-IB
Павлович:
Первый вопрос это, пока не забыл вопрос, отбыл вчера от наших зрителей. Можно ли устроиться в Group-IB без профильного институтского образования?
Специалист:
Абсолютно точно можно. У нас вообще образование не является каким-то критерием. У нас работают люди вообще без высшего образования, там, с среднетехническим. Куда важнее скиллы, да. То есть там у нас в описании каждой вакансии написано, что нужно уметь. Если вы это умеете, то каких-то особых вопросов больше и не будет, да. Абсолютно только поддерживаем самоучек. У нас даже есть на топовых позициях люди без высшего образования. И, ну, они выросли просто до этого уровня.
Поэтому да, да, ответ однозначно да. Найдите то, что вам по душе, найдите подходящую вакансию, пишите. Возможные варианты, там, в том числе какой-нибудь побыть интерном, стажером, все что угодно. Особенно мы супер...
Павлович:
А стажировки оплачиваются?
«Разработчики нам очень нужны»
Специалист:
По-разному, в зависимости от того, какое это разделение, где, и от необходимости, да, нужны ли там вообще интерны, стажеры. А у нас, как, наверное, и везде сейчас невероятный кадровый голод по разработчикам.
Если вы пишете на чём угодно, но хоть на BrainFuck'е...
Павлович:
Брайнфак – это что?
Специалист:
BrainFuck – это такой безумный язык программирования, который был придуман для того, чтобы на нём было невозможно писать, состоять из скобочек всяких различных. Там все операторы – это тоже наборы скобочек разных. И код на нём выглядит просто безумно. Я представляю.
Павлович:
Примерно как Dogecoin такой.
Специалист:
Да, да, да. То есть тоже такая просто прикол условно-язык программирования. Но я к тому, что разработчики очень нужны. Мы с вами еще пообщаемся сегодня с нашим главой разработки. Он расскажет, какие крутые мы проекты здесь делаем. Потому что со стороны может так не показаться, но когда, например, нужно проверять миллионы входов Сбербанка, и это, представляете, какая нагрузка там у Сбербанка. Ну это high load уже, конечно. Да, то есть это супер high load, и это реальные челленджи постоянно по программированию, интересные задачи.
И тут совершенно неважно, есть ли какие-то корочки и что угодно. Если ты можешь такое кодить, если тебе это интересно, то только зовем.
Компьютер криминалиста, Magnet Axiom
Павлович:
Ну, давай посмотрим, что у тебя на компе имеется.
Специалист:
Да, это комп, во-первых, можно в целом сказать, что криминалиста нашего человека. То есть у нас там в похожей конфигурации человек, который реагирует на инцидент. И первое, что я показываю, это программа Magnetaxiom, она канадская. И это просто к тому, как выглядит работа криминалиста.
У тебя мы снимали много моих веселых историй, но за каждым обыском, за каждой веселой историей с взрывом всяких там этих самых дверей и прочего стоит потом достаточно кропотливая аналитическая работа. И выглядит она примерно так, да, то есть здесь обработан какой-то образ, то есть какой-то носитель информации. Образ жесткого диска. Да, жесткого диска, SSD-шки, насколько я помню. Вот, здесь мы видим, что это винда, то есть проанализировали мы винду.
Мы видим, что здесь умеет эта программа парсить, то есть автоматически извлекать и предоставлять в удобном для просмотра виде. Например, там все подключения по RDP. Или Amcache, это специальный кэш-программ, который исполнялись. Там, в том числе, хэши и количество запусков. Всякие штуки, типа, какой пользовать, какие файлы тыкал, журналы винды.
И, наверное, тут можно сразу же рассказать о том, что сама винда — это огромные просто средства по сбору всяких данных, то есть там тысячи разных журналов, разных файлов, журналируется огромное количество всего, Особенно начиная с винды 8.1, ну и десятки само собой.
Павлович:
Это для чего? Для исправления багов какие-то?
Специалист:
Нет, тут скорее просто для функций самой винды. Во-первых, она как бы следит за пользователями, когда что случается у них, когда бывают какие-то ошибки.
Плюс просто штатное журнализирование, чтобы все с админом могли разобраться, что и как произошло. И просто, например, когда Windows показывает вам последние запущенные программы, это все должно где-то храниться. И это всё можно использовать, и это используется для компьютерной криминалистики, в данном случае, чтобы разобраться, как заразили вот этот компьютер жертвы, то есть как заразили компьютер жертвы, когда, что при этом происходило, какие события происходили, и фактически работа заключается в том, что вот здесь в хронологической дате, то есть отсортировано по времени, просто видно вот прям по секундам, там 14, 10, 15, 16, 17, все события, которые происходили в это время, то есть здесь прям их много-много-много разных, там юзер открывал ярлычки.
Павлович:
Это свежий 16 апреля.
Специалист:
Да, это свежий кейс. То есть можно попытаться разобраться, что именно здесь произошло, как произошло заношение, откуда оно произошло.
И это вот именно такая кропотливая аналитическая работа, старт-служб, старт-обслуживание. Больше ручная такая, да? Да, ну то есть в чём удобство? Эта программа, она как швейцарский нож.
Павлович:
Это как называется?
Павлович:
Магнитаксиум. Аксиум называется. Канадская. Сейчас попробую показать. Ну, тут всё равно небольшая штука. Магнитаксиум. Канадцы очень крутые чуваки. Они вышли на IPO, они привлекли кучу инвестиций, они прям семимильными шагами движутся.
Раньше они партили только Винду, потом Винду и Мак, а сейчас начали партить Винду, Линукс и Мак. Вот. В чём фишка. Эта штука, она не делает магию, не решает кейс за тебя. Она просто автоматизированно проходит по всему диску, из всех известных источников вытаскивает данные и представляет их в удобном для просмотра виде.
Специалист:
Ну, вот слева, как содержание в книге просто.
Павлович:
Да, допустим, я смотрю, там, подключение PRDP, да, я нажимаю, и он сразу, немного подумав, он сразу мне показывает, входящее подключение, откуда, какой пользователь это сделал или исходящее.
Специалист:
Куда это все происходило. То есть это просто удобное представление. Да, это все можно руками найти в event-логах, открыв просто соответствующий журнал, вбив номер события. Это просто более удобное представление, чтобы сразу все смотреть в хронологии, потому что события могут быть связаны, то есть одно, другое. Иногда можно видеть, как вставили флешку, ярлычок, открыли программу, вот она уже бросила свои файлы System32, опа, в реестре создалась автозагрузка и так далее.
То есть прямо один за другим.
Павлович:
Это то, что я думаю, строительная фирма, да?
Специалист:
Нет, нет, нет, это просто какой-то у них такой домен, вообще с ними не связано. Потому что есть строительная фирма одноименная.
Павлович:
Может быть, кстати, может быть.
Специалист:
Вот, и там имя компьютеров и прочее. По-моему, это вообще связано с тем, что у них какой-то из этажей так называется, и всё в этой конторе.
Павлович:
Что ещё там есть интересного?
Специалист:
Вот, например, там все флешки, которые втыкались, да, там все флешки, которые втыкались, их серийные номера, немного, да, там даты, когда это втыкалось, когда первый раз втыкалось, когда последний раз втыкалось. Это всё винда хранит, серийники, флешек, да? Всё винда хранит, да, для ярлыков там, допустим, даже мак-адреса может хранить.
MAC-адреса
Павлович:
Кстати, вопрос был про MAC-адреса, то есть достаточно ли сменить сетевуху и нужно ли переустанавливать потом виндук, к примеру, чтобы MAC-адрес поменялся?
Специалист:
Обязательно нужно переставлять, потому что вот мы можем посмотреть.
Павлович:
Одной сетевухи достаточно для смены мак-адреса? Да, да Замена сетевой карты и смена винды потом переставляем.
Специалист:
Да, но тут нужно еще учитывать, что маки есть у Wi-Fi, у Bluetooth и у сетевухи То есть у всех вот этих трех штук, у них у каждого свой MAC-адрес И зависит от того, как выходил в инет, тут большой вопрос.
Павлович:
То есть ты светишь не один мак-адрес общий, а их несколько?
Специалист:
Да, может быть несколько, зависит от того, через что был выход Поэтому то, что мы называем MAC-адресом стандартного компа, это вот сетевухи, которые встроены в мать, вообще материнскую плату, то есть тут меняет только мать целиком.
Павлович:
То есть Wi-Fi, получается, не Wi-Fi, то есть MAC-адрес, получается, есть у всех устройств, которые коннектируют тебя к интернету?
Специалист:
Да, у всех, если прям там задротски образом это говорить, то у всех сетевых устройств, которые обеспечивают канальный уровень подключения, где у нас фреймы и каналы и MAC-адреса для этого нужны, где еще нет IP. Собственно, для этого MAC-адреса и нужны, чтобы... Тогда, по идее, он был еще и в эко-порте, по идее. Возможно. Возможно, в свое время, да, но я уже... Ты не застал. Я еще застал интернет.
Павлович:
Не по Bluetooth, а по IP, это мои инфракрасные...
«Бывает несколько миллионов файлов изучаю»
Специалист:
Нет, я застал сами инфракрасники и раздачу инетом, но я не был тогда криминалистом еще, да, я еще был школьником. Вот, значит, что тут еще может быть? Всякие, допустим, там, автозагрузки, да, старт каких-нибудь служб, да, вот тут прям миллионы служб, допустим, по каким папочкам кликал пользователь, и все это можно проанализировать и что-то найти.
Это я к тому, что сама...
Павлович:
Сколько по времени у тебя занимает вот 10 тысяч файлов, показать?
Специалист:
Да, тут бывает и несколько миллионов. Бывает несколько миллионов, здесь просто такое...
Павлович:
И сколько вот ты будешь изучать, вот, к примеру, до того, как раскопаешь ниточки, вот эти 10 375 файлов?
Специалист:
Обычно, обычно большая часть всего находится в первые три дня. Вот, ну то есть это там три рабочих дня точно, да. То есть по восемь часов. Это вот нужно прямо вникать. Потом уже идет анализ того, что мы нашли. Потому что, как это бывает, нашел я какую-нибудь вирусню, ее вирус-аналитики анализируют. Мы, кстати, сегодня пообщаемся с Ромой, он нам расскажет, кто такие вирус-аналитики, и покажет Айда Про. Вот. И он такой, смотри, а эта штука дропает вот такие-то файлы, еще бросает.
Я такой, так, надо их искать. А почему я их не нашел? Типа, а, они удалились уже. Восстанавливаем их из удаленных. Оп, нашли. Он говорит, теперь я буду их реверсить. Мы их разреверсили. Он говорит, смотри, а оно подключалось вот туда-то. Такие-то сетевые адреса. Я говорю, а давай поищем на компе, а были ли подключения к этим доменам вообще. И тут мы находим в файле подкачки, допустим, что не только были подключения, но там передавались такие-то данные, такие-то скрипты или там даже шаблоны каких-нибудь платежных поручений, то есть чего только не находишь в этой мусорке в файле подкачки, нужно знать, что искать.
И поэтому эта штука, это несколько итераций, там первичный анализ, потом более глубокий анализ, там потом уже собирание следов, ну и плюс нужно написать отчет по всему этому.
Работа нескольких специалистов
Павлович:
Ну и требует, видишь, работы нескольких сразу специалистов, тебя, а потом вирусных аналитиков.
Специалист:
Да, мы распараллелим работу, это получается более эффективно, то есть у нас есть специалисты по комбинастике, есть вирусные аналитики. Есть компании, где эти роли объединены, то есть там всё один человек делает.
Это дольше гораздо. Это несколько сложнее, дольше, с другой стороны, у него более цельная картина в голове, с другой стороны, сложно параллелить работу. То есть мы там ребятам отдали сэмплы, кучу всего, они анализируют, а мы продолжаем искать здесь что-нибудь.
Павлович:
А если бы несколько миллионов файлов здесь было, это насколько?
Специалист:
Принципиально не влияет на количество, конечно, зависит от того, какие вопросы стоят перед переналистом. То есть если мы там что-то ищем, чем больше файлов, тем, во-первых, дольше будет процесс образа, то есть там сам запуск процессинга, он занимает какое-то время. Но пока она его, по сути, проиндексирует. Да-да-да. И чем больше файлов, чем больше объема образа, тем дольше времени это занимает.
Сложные кейсы
Павлович:
А можешь на вскидку вспомнить самый сложный случай, который вам пришлось, был какой-то заказ очень важный, который пришлось дольше всего расследовать?
Специалист:
Слушай, бывает, что очень много всего, большие объемы. Дольше и сложнее, наверное. Я расскажу про два случая. Первый случай был такой, что нужно было проанализировать порядка, вот сейчас бы не соврать, по-моему 4 терабайт почтовой переписки, и просто это был FreeBSD, ну, разновидность ее.
Там была файловая система ZFS, которую там мало что поддерживает, и нужно было эту штуку виртуализовать, то есть нужно было сервер сделать виртуальным, то есть у него были только образы, да, а нужно было его виртуализовать, чтобы он запустился прямо как виртуальная машина здесь, чтобы поднялась файловая система, и чтобы из нее можно было вытащить данные. И из-за объемов, как раз вот о чем ты сказал, потому что тебе нужно там, у тебя многотерабайтные все эти истории, это достаточно долго и сложно.
Другой кейс, именно технически сложный, был связан с тем, что там одна компания, она написала rootkit с драйверами и манипулировала рынком. Таким образом, не могу назвать отрасль, я, по-моему, упоминал про этот случай, но там именно фишка в том, что там нет вируса как такового, они сами распространяли легальный софт, и через этот легальный софт распространяли вирусню. И просто додуматься до этого, и понять, и найти, что там были закладки прямо в драйверах этого софта, что они двойного назначения, это прям был сложный вызов.
Павлович:
А это им для чего нужно было? Это им босс-заказ какой-то?
Специалист:
Фишка в том, что они, грубо говоря, этот софт поставляли своим контрагентам, а эти контрагенты могли выбирать, у кого закупать товары. И получается, что у этих людей, у них стояло много софтов разных людей, разных компаний, разных конкурентов. И они этим маркетом похищали чужие прайс-листы.
То есть они узнавали, сколько стоят товары у своих конкурентов, потому что у их клиентов стояли программы от нескольких сразу же, они выбирали где закупать. Их программа крала информацию у друг друга.
Павлович:
Но это уже такой коммерческий шпионаж.
Специалист:
Абсолютно стопроцентный промышленный шпионаж, и они делали цены буквально на несколько копеек меньше, чтобы выигрывать тендеры, чтобы выигрывать закупки.
Павлович:
Такой софт можно и бесплатно было поставлять. И чем закончилась история официально?
Специалист:
Официально не знаю, чем закончилась. Официально было такое, что эти люди, через которых это делали, судя по всему, топ-менеджмент был не в курсе. Это была инициатива на местах разработчиков непосредственно, ну такого мидл-менеджмента. И что они внутри сделали после этого непонятно.
Павлович:
Дела не было.
«Железо» Сергея Никитина и Group-IB
Специалист:
Да, насчет дела не знаю. Не знаю подробности, чем закончилось. Но если бы было, ты бы знал из новостей из прессы. Абсолютно точно, то не просачивалась нигде.
Так вот, по поводу компьютера, да, что нужно сделать, чтобы тягать такие штуки? Здесь у меня стоит в блоке два процессора Xeon, там двухпроцессорная материнская плата, 128 гигов оперативы, стоит SSD PCI-Express на 2 терабайта и стоит RAID из SSD-шек SATA-шных по 2 терабайта на 8 терабайт.
Смысл не в хранении, а в том, чтобы иметь очень быстрый доступ к данным, то есть там сейчас скорость чтения около 2 гигабайт в секунду. Это как раз нужно для того, чтобы быстро анализировать данные, быстро их копировать, эти образы перекидывать, конвертировать и вот всякое такое. Для хранения мы используем наши сервера, у нас стоят в офисе целые файловые хранилища.
Павлович:
Ну и вот лежат физически.
Специалист:
Да, это чтобы быстро что-то перетаскивать такое. Но именно для быстрой обработки нам нужны мощные компы. Сейчас эта уже конфигурация устарела, сейчас бы, наверное, я строил эту штуку на AMD-шных процессорах, на их Threadripper. Они сейчас от Intel серьезно ушли вперед, а самое главное, вместо двух процессоров по 12 ядер, я бы поставил сразу там 32-ядерный Threadripper, там всего один процессор, эта плата намного проще, не нужно вот это все городить, что там у меня есть.
Павлович:
Системы охлаждения. У них же проблема всегда у AMD по сравнению с Intel была всегда проблема, они сильно греются.
Специалист:
Но сейчас они наоборот, они сменили техпроцесс, техпроцесс у них меньше, и они намного более прикольнее это делают. Вот мы видим, да, там...
Павлович:
Пора покупать акции AMD.
Эксклюзив
Специалист:
Да, мы видим, что 24 ядра физических, 48 логических, вот, то есть на самом деле при процессинге это все забито по полной, вот, ну и SSD-шки, да, то есть там условно, где она, вот, на 7 терабайт, да, это RAID из SSD, RAID 0 из SSD массивов, чтобы как можно быстрее получать доступ к данным.
Вот, значит, из интересного, на самом деле, как бы, лабы снимают не первый раз, да, и там мы уже все, что можно уже много раз показывали, я не супер хочу повторяться, хочу тебе рассказать всякие эксклюзивные вещи.
Павлович:
Да, мне надо эксклюзивные.
Специалист:
Да, тебе интересные штуки, и вот первое, про что я буду рассказывать, это про SVEA, это очень часто спрашивают чем подбирают пароли, значит, по SVEA Forensic Toolkit, это прямо целый комплекс, целый, скажем так, такой супер инструмент по подбору паролей.
Это бесплатный? Нет, это платный софт. Это все стоит до больших денег достаточно.
Павлович:
Сколько примерно?
Специалист:
Десятки тысяч долларов.
Павлович:
Вот это программа чисто.
Специалист:
Да, да. Что Axiom мне показывал, что PassWare.
Павлович:
Растома человеку со стороны его вряд ли продадут.
Специалист:
Так просто не продадут. Там есть всякие бизнес-версии, но вот Forensic-версии так просто не купить. Еще есть всякий софт, который вообще в России не продается. Вот тот же Silibrite, про который мы будем говорить. То есть у нас он куплен, но больше поставляться в СНГ, скорее всего, не.
Павлович:
Просто он у вас давно куплен.
Специалист:
Да, у нас он давно куплен, там сейчас у нас чинится он еще, да, мифическим образом за три дня до запрета у него вышел контроллер питания, но вроде бы наш реселлер нам это продает, обещают все починить и вернуть. Ну и плюс там запрет на продажу силовика, мы не силовики, поэтому я надеюсь, что мы продолжим сотрудничество с Либрайтом.
Павлович:
А ну ты же знаешь, они же даже и власти обойдут, то есть купит мне российская фирма, не знаю там, не белорусская, допустим, не знаю, там Прибалтийская какая-нибудь и провезется он сюда, просто в чемоданчике.
Программа за $100 000, перебор паролей
Специалист:
Да, такое тоже может быть, да, поэтому некоторые софт вообще не продают в РФ, даже близко не продают вокруг. Например, у Slibrite есть такой премиум-сервис, который умеет ломать айфоны, умеет перебирать коды-пароли к нему, используя какую-то неизвестную уязвимость, они как раз умеют ломать до этого самого, до 10С и 10Р, именно перебирать пароли и получать полный доступ туда, но они не поставляют в кучу стран, то есть они поставляют только такие нато-френдли странные. Короче, репрессивные режимы. Вообще даже близко, да-да-да.
Так вот, что эта штука умеет делать? Она умеет, допустим, мы можем посмотреть, ломать BitLocker, FileVault, TrueCrypt, Veru, Lux, да, McAfee, DriveCrypt. Это именно перебор, это именно перебор паролей, причем они умеют задействовать GPU, да, то есть они умеют это делать на видюхах, чтобы сильно повышать эффективность прибора. А во сколько производительность возрастет?
Там в десятки раз. Естественно, если покупать всякие Теслы от NVIDIA, но сейчас, к сожалению, майнеры все это захапали, с этим сейчас большие проблемы, даже просто поиграть и видеокарту купить. То есть не в теории, а на практике, они регулярно это все оптимизируют для того, чтобы быстрее ломать. Именно поэтому важны стойкие пароли. А я смотрю, нет бесткрипта вообще? Бесткрипта, кстати, здесь сейчас нету, но они умели ломать не полнодисковое шифрование, а контейнеры.
Контейнеры точно умеют, а это именно, когда полностью диск зашифрован. А что это такое? Это имеется в виду, когда ты можешь создавать образы в маке, типа образ диска, dmg, и ты можешь на него ставить пароль. Это немножко другое, чем фейллоут, поэтому это здесь отдельно выделено. Вот failout это то, что сейчас применяет. Что еще он умеет делать? Это именно полно дисковое шифрование, но кроме этого он может взламывать, искать контейнеры какие-то или даже зашифрованные док документы, микрософтские, и их ломать.
Да, плюс, если есть дамп оперативной памяти, он может вытаскивать из него пароли, допустим, в браузере сохраненные, может вытаскивать данные iCloud, может вытаскивать данные каких-нибудь пользовательских паролей.
Павлович:
Ну пароли криптованным дискам, допустим.
Как снимают ключи шифрования
Специалист:
И пароли как раз к тем самым криптодискам, то есть, например, если я буду выбирать APFS, да, там он FileVault, Он говорит, у меня нет образа диска, у меня есть. Или у меня есть как раз доступ к iCloud, где может быть сохранен тот самый ключ, о котором я говорил. И здесь просто вводишь логин и пароль от iCloud, он сам вытаскивает ключ, сам расшифровывает образ. Вот. То есть тут прямо все это очень юзерфренди.
Но я хотел показать несколько другую штуку. Что они придумали? Выяснилось, что в современных компьютерах, которые с большим объемом оперативной памяти, оперативная память сбрасывается не очень хорошо. И после первого перезапуска очищается.
Павлович:
При перезагрузке компа?
Специалист:
Да, да, да. И что выяснилось? Если жестко переключать компьютер, то есть не через пуст, там выключить или мак и рестарт, а просто зажать кнопку, не из питания его вытащить, а вот нажать кнопку резет на этом, если на ноутбуке зажать кнопку выключения, чтобы он перезагрузился именно, то очень большая часть оперативки, она остается. Они сделали специальную свою загрузочную флешку, то есть он предлагает сейчас нам создать такую флешку. Вот, с нее можно загрузиться, и она сразу после перезагрузки будет снимать оперативку, всю, которая доступна.
Она сама занимает буквально несколько мегабайт, чтобы перезатереть как можно меньше. Что они предлагают? Если вы приходите, видите, что компьютер заблокирован, пароль вам не говорят, вставляете флешку, вы уже все равно ничего не теряете, даже если там все зашифровано, просто перезагружаетесь и сразу снимаете дамп. Вот, то есть он загружается с флешки и сразу снимает дамп, и после этого большой шанс вытащить ключи шифрования оттуда. Если перезагружаться штатным образом, и Vero, и BitLocker, и FileVault, они специальной процедурой затирают ключи.
То есть большая часть оперативки останется неизменной, но вот эти ключи, они затрутся, а если перезагружать жестко, то можно будет загрузиться и попробовать вытащить эти штуки. Значит, я на виндоу в ноутбуке с битлокером пробовал это делать. — Битлокер — это что, штатный инструмент? — Это штатный инструмент шифрования в винде, да, то есть в десятке прямо здесь битлокер, он прям встроен, да, у меня вот тут, допустим, диск, да, вот он предлагает управлять битлокером,
да, то есть он прямо здесь предлагает, да, там, снять шифрование, вот, выключить BitLocker, Recovery Key, там, в каких дисках он включен-выключен, то есть про версии Винды профессиональной, которая, в ней уже все это устроено. Само шифрование неплохое, неплохое, главное, опять же, если вы используете Microsoft Live Аккаунт, да, то есть в Винде как можно, сейчас можно заходить просто под локальным пользователем, а можно добавить учетную запись в Microsoft Live, она называется,
и ты будешь сразу в нее заходить, типа аналог iCloud от Майкрософта, и опять же он предложит сохранить на серваках Майкрософта ключ, ну и понятно к чему все это ведет. Если никуда не сохранять, нигде его не хранить, использовать большой стойкий пароль, он в принципе тоже абсолютно неплох, то есть он перебирается долго, ну и там достаточно геморройный. О чем я? О том, что я пробовал на Windows ноутбуке с BitLocker, там было 24 гигабайта оперативной памяти, И я три раза перезагружался, и вот на третий раз он смог вытащить ключи.
То есть эта штука, она абсолютно не сильнее будет, но даже если это в одном из трех случаев обойдет вашу веру TrueCrypt или FailVault и BitLogger, звучит очень круто.
Защита от уязвимостей
Павлович:
Ну, причем видишь, после третьей перезагрузки даже остается...
Специалист:
Не-не-не, в смысле, что я три раза пробовал, и только третья попытка оказалась правильной. Это я каждый раз загружался, заходил, вводил пароль, что-то делал и получал заново, то есть первые два раза перезаписалось, третий раз нет, он ключ нашел, вытащил, то есть эффективность там вот типа 30 процентов, но это зависит на прямую.
Павлович:
Но это у тебя небольшая еще выборка, может больше, может меньше.
Специалист:
Да, может быть больше, меньше. Если ты тысячу раз делал. Нужно тестировать, я это делал для чего, у нас теперь четкая рекомендация, что если компьютер заблокирован, как бы и пароль точно мы не получаем, ничего не теряешь, ты уже ничего не теряешь, можно всегда попробовать дернуть дамп, вдруг ключи там будут. Причем с любой операционкой, да? Он работает под маком, под виндой, защититься от этого можно всего одним способом, сделать так, что нельзя загружаться с внешних
устройств, то есть тебе нужно выставить загрузку с флешки, но на винде это очень сложно сделать, далеко не все ноутбуки, ну и тем более компы, могут поставить такой запрет, то есть там такая опции часто нельзя запретить даже. На маках так сделать можно, как раз тот самый пароль на чип t2 он не позволит загрузиться с левого устройства, но чип t2 мы увидели можно обойти, но на
m1 как раз по умолчанию там все закрыто, нельзя загружаться с левых устройств, если там ты его не перенастраивал и тут замечательно это работает, то есть там проверка подписи он не пройдет и на Маке с М1 загрузиться с такой флешкой нельзя. Я уверен, что Apple должно уже нести нам чемоданы просто, где денег. Но да, фишка такая. Это прямо совсем недавно появилось, про это еще мало кто знает, но тема очень крутая.
Нужна быстрая флешка и большая, потому что он сразу на нее начинает снимать. Нету второй попытки. То есть здесь нужно вставить флешку, подготовиться, зажать всё это, зажать загрузку, то есть есть всего один шанс именно после жёсткой перезагрузки снять эту комплектацию.
Скорость записи на USB-носитель, продолжение следует...
Павлович:
А по скорости сколько он будет?
Специалист:
А напрямую зависит от скорости флешки и от объёма памяти. То есть там USB 3.0 флешка, она может писать 100 мегабайт в секунду, если нормальная флешка даже 200 есть сейчас, по USB 3.0.
И окей, это гигабайты, она не так долго будет писать.
Известный кардер Сергей Павлович продолжает беседу c Сергеем Никитиным, заместителем лаборатории компьютерной криминалистики компании Group-IB – главного российского частного борца с хакерами, кардерами и прочими киберпреступниками. Мы встретились прямо в офисе компании, чтобы посмотреть всё вживую.
Приятного чтения!
Содержание:
- «Снимаем и показываем логово Group-IB»
- 9 этаж, медали и награды Group-IB
- «Спорт связан с работой» – «С шахматами что ль?»
- Прогнозы на тренды преступлений, «Глаз Бога»
- Сервисы пробивов, расследование Навального
- Личная стена Group-IB, «цифровая гигиена»
- Благодарности от СК, накрутка в шоу «Голос»
- «Святая святых» – лаборатория форензики
- Переговорная будка
- «MAC форензика», уязвимости чипов Т2 от Apple
- «Пароли обязательны», ключи, сложность паролей
- «Айфоны ниже 10-го – небезопасны»
- Какое образование нужно, чтобы попасть в Group-IB
- «Разработчики нам очень нужны»
- Компьютер криминалиста, Magnet Axiom
- MAC-адреса
- «Бывает несколько миллионов файлов изучаю»
- Работа нескольких специалистов
- Сложные кейсы
- «Железо» Сергея Никитина и Group-IB
- Эксклюзив
- Программа за $100 000, перебор паролей
- Как снимают ключи шифрования
- Защита от уязвимостей
- Скорость записи на USB-носитель, продолжение следует...
«Снимаем и показываем логово Group-IB»
Павлович:
Привет, ребятки! Сегодня приехали в Group-IB и берём интервью прямо в собственном логове.
И сегодня мы вам не только расскажем, но и покажем. Let's go! О, привет-привет! Ну что, проникли в логово?
9 этаж, медали и награды Group-IB
Специалист:
Да, это наш девятый этаж. Мы сегодня посмотрим множество этажей, но, конечно, все наши офисы не посмотреть, потому что части не зарубежные. Наверное, девятый этаж будет самый интересный, потому что здесь лаборатория.
Павлович:
Это твой, да?
Специалист:
Да, здесь находится лаборатория компьютерной криминалистики, здесь находится наш SERT, и здесь много всяких наших наград, благодарственных писем.
Что-то из этого можно даже будет показать, рассказать. Практически все связано с каким-то кейсом, инцидентом. Даже памятные кроссовки сделали.
Павлович:
От компании Nike, да?
Специалист:
Да, да, да. Медали.
Павлович:
Из Кыргызстана.
Специалист:
Да, конечно, мы работаем и по СНГ, и вообще по всему миру. Постепенно собирали В общем, всякие награды.
Павлович:
Ну вот из Интерпола что-то.
Специалист:
Исполнительный директор Интерпола. У нас подписаны, собственно, соглашения о сотрудничестве с Интерполом, с Европолом. Ну и, на самом деле, вот здесь видно, что это Вьетнам. Азиатск. Да-да-да, это Вьетнам. Множество-множество всяких наград. Можем посмотреть. Да, у нас были там всякие лиги безопасности. Проверено, Фрода нет. Смотрите, ребятки.
Павлович:
Интернета. Проверено, Фрода нет. Наверное.
Специалист:
Премии Рунета. Ну, то есть, видишь, да, всякие кубки. Это такое... Небольшое местечко. Но это не все. Это еще не все.
Павлович:
А, еще ими можно качаться. Вместо гантели, такие, достаточно увесистые. Ну, кстати, знаешь что? Это же один и тот же приз, правильно? Да, да, разные года. Но я хочу сказать, что сильно заметно по весу даже статуэток, что благосостояние в стране намного ухудшилось. Потому что в 2013 году весят почти в 2 раза тяжелее, чем в 2018.
«Спорт связан с работой» – «С шахматами что ль?»
Специалист:
Да, у нас на самом деле спорт очень связан с работой. У нас куча всяких секций в компании. Это все всячески поощряется, оплачивается, продвигается. Илья регулярно всех зазывает побегать, преодолеть полосы препятствий, побоксировать, то есть, на самом деле, увлечение на каждый вкус есть.
Павлович:
А ты в какой? В шахматах?
Специалист:
Я не суперспортивный, по мне, я думаю, заметно это.
Как то участвовал в "Что, где когда"? И во всяких брейнштормах.
Павлович:
Я так и думал, что ты защищаешь интеллектуально. Помоги.
Прогнозы на тренды преступлений, «Глаз Бога»
Специалист:
Да, можно, можно нокаутировать кого-нибудь. Там написано CyberCrimeCon, это ежегодная конференция, которые мы проводим осенью, иногда октябрь, иногда ноябрь, где как раз рассказываем про тренды и прогнозы о киберпреступлениях на следующий год.
Павлович:
То есть вы так и прогнозируете,
Специалист:
Что будет дальше, что будет происходить в следующем году, чего опасаться, как защищаться, чем защищаться, вот все такое.
Павлович:
А я сейчас снимал глаза Бога, я думаю, тебе можно не рассказывать, что это за инструмент. Да, конечно. Кстати, прикольный чувак, многие думают, что он дроп, но это не дроп, это реально владелец, потому что сильно много всего видел, чтобы сомневаться. И они сейчас тоже запустили у себя систему фотон, там в течение места она уже заработает. Они тоже на основе запросов поисковых и так далее уже предугадывают некоторые события. То есть он знает сегодня, что появится в прессе завтра.
То есть они вычисляют, что вот эта вот группа журналистов начала интересоваться, Я не знаю, это будет или нет. Значит, соответственно, завтра, послезавтра мы появимся в прессе. Это тоже прогнозирование определенного рода.
Сервисы пробивов, расследование Навального
Специалист:
Мы тут снимали вместе с редакцией один из фильмов. Они как раз там делали пробивы через базы все эти. Мы рассказывали, как работает Даркнет, как работают все эти пробивы. И люди, которых они закупали эти услуги, они сразу такие, а вы кто? Типа, а, аккаунт настоящий, он с Леги писал. Типа, а, вы журналист, я знаю. Тогда говорят, окей, никаких вопросов. Типа, сейчас, сейчас все организуем.
Павлович:
Ну, после Навального у всех сервисов пробива все стало намного похуже.
Личная стена Group-IB, «цифровая гигиена»
Специалист:
Так, ну что здесь, sales department, это не твой? Да, здесь у нас наша доска, типа, наша жизнь, видишь, дни рождения, всякие тусовочки.
Павлович:
С автоматом, чувак.
Специалист:
Да, да, новости, меры и прочее. И наш коридор, который идет в лабораторию. Компромат сюда можно сливать. Всегда помним про цифровую гену, про которую мы регулярно с тобой в выпусках говорим, чтобы всё обновлять, прямо видишь.
Да, такая памятка никогда не бывает лишней.
Павлович:
Я только вчера на Телеграм на компе установил этот пароль на вход.
Специалист:
Хорошо.
Павлович:
На телефоне постоянно стоял, я не мог найти для компа, но сейчас уже всё чётко.
Благодарности от СК, накрутка в шоу «Голос»
Специалист:
Вот, значит, что тут можно посмотреть про благодарности всякие? Вот, допустим, благодарность мне из Казахстана. Я понимаю теперь, почему ты сказал, давайте лучше к этому счету подойдем. Тут просто будет дальше много всего интересного. Вот это, наверное, тоже прикольная история. Вот можно снять. Здесь БСТМ.
Павлович:
БДСМ.
Специалист:
Да-да-да. Еще здесь просто Следственный комитет. Вот. Еще Следственный комитет.
Ну, то есть, мы работаем со всеми, с кем можем. Вот. Это еще тут какие-то СНГшные истории. Мы видели Международную историю. Какие-то самые крутые наши кейсы пиар-активности, да, мы тоже вешаем, чтобы было это видно, например, вон расследование шоу «Голос», да, помнишь, когда были накрутка, да-да-да-да, мы делали пересчет, делали аудит, вот, это даже выстрелило на зарубежку, да, то есть всем было интересно, насколько это может произойти и как вообще сделать эти голосования безопасными, вот.
Здесь электрический щит от нагрузки от наших компьютеров, которые, посмотрим, иногда бывает, что вырубает сеть.
«Святая святых» – лаборатория форензики
Специалист:
Ну и святая святых, наша Digital Forensic Incident Response команда. Просто так туда не попасть, но со мной все возможно.
Ну и наша лаборатория.
Павлович:
Святая святых, можно сказать, да?
Специалист:
Да, да, да, святая святых. Я сейчас обозначу, где здесь что происходит, какая магия. В основном, да, там у нас сидит команда проагирования на инциденты. Здесь чуть ближе сидят компьютерные криминалисты. Правая сторона у нас отдана тренерам, то есть нашим командам обучения, как раз всяким новым киберпрофессиям.
Ну и зум-комнату ты уже спалил в Инстаграме, да?
Переговорная будка
Павлович:
Еще нет, но сейчас выложу. Zoom-комната, да. Zoom-комната — это переговорка, я так понимаю. Просто говорить по телефону.
Специалист:
Да, чтобы не оглушать вокруг всех подряд. Мы используем ее для переговоров. Хотя я уверен, что в комментариях появятся шутки про пытки. Она хорошо звукоизолирована, чтобы можно было разговаривать с клиентами, не оглушая других. 100% избивают подозреваемых здесь.
Да видишь там эта самая кнопка подать ток подать ток там подать газ.
«MAC форензика», уязвимости чипов Т2 от Apple
Специалист:
Помнишь я рассказывал про уязвимость чипов T2 в маках как раз сейчас хочу показать появился уже инструмент для взлома работает он правда тоже только на маках но все равно это интересно вообще мак форензику мы часто делаем на маке, потому что куча вот этих утилит, она, в общем, нативная для мака и поэтому нужна. И вот одна из утилит, да, называется Unlocker. Работает достаточно интересно, значит, тут прямо какой-то супермагии не найти, но я расскажу, как это работает.
Ну, здесь, собственно, прямо каких-то красочной графики здесь нету. В чем смысл? В маках есть так называемый Target Mode. В общем, любой Mac можно использовать как внешний диск. Зажимаешь буковку T при включении, и он перейдет в этот режим внешнего диска. Я не знал пока что. Естественно, если включено шифрование, он потребует пароль. FireWall 2. Да, FireWall 2. И фишка в том, что можно использовать какой-то Target Mode.
Кроме этого, еще в Mac'ах именно с T2-чипом есть такой режим как DFU. Это как в iPhone'ах для прошивки. Потому что там своя маленькая операционная система в этом чипе T2, и как раз Чип Т2 уязвим. В чем фишка этого софта? В том, что он позволяет сбрасывать пароль на загрузку. Не пароль на вход в операционную систему, а там можно поставить ограничения, с чего можно загружаться. Чтобы нельзя было загружаться с флешек внешних, еще с чего-то, только вот с той операционной системы, которая стоит внутри.
Вот эта штука, этот пароль позволяет убрать вообще. И это только начало на самом деле. Именно таким путем можно поставить RootKit на эти маки, потому что этот чип T2 он работает до операционной системы и то есть там можно сбросить всю защиту на нем и вот эту маленькую операционную систему вообще взразить, после чего при загрузке нормального Mac он уже будет работать как e-logger, он может и с клавиатуры все собирать и отправлять всякое, потому что он был задуман как этот самый чип безопасности, то есть он уже имеет супер доступ.
И уже, в общем-то, появились первые утилиты для того, чтобы все это обходить, но это пока что сбрасывают только пароли, но очевидно, что...
Павлович:
Ну это вы сами написали, да?
Специалист:
Нет, нет, нет, это прямо, да, это прямо, там есть разработчики... А пароль на вход тогда в операционку? Он его не может сбросить пока что, но тут дело другое, то есть после взлома вот этой операционки можно ее заразить и просто дождаться, пока человек сам ведет эту пароль. Ну и кей-логер снять, да? Да, да, то есть кей-логер, который загружается даже до самой МАКОСИ.
Павлович:
Так смотри, а нужен ли вообще тогда пароль на вход в эту, в операционку, да, в рамках моих уголовных дел, оно как было, берут просто жёсткий диск, вынимают и подключают его как флешку к компьютеру, к N-кейсу, в моем случае, и всё, и просто шарится по файлам. На маках это не поможет или почему?
Специалист:
Нет, если файл вот включен, то пароль на вход, он же является пароль на расшифровку. То есть, если просто получить доступ, то увидишь просто шифрованные данные, пока не введёшь этот самый пароль на вход.
«Пароли обязательны», ключи, сложность паролей
Павлович:
То есть обязательно получается на маках, чтобы там никто не получил доступ, что правоохранители, что какие-то там хакеры, которые хотят, или промышленные шпионы, да, коммерческие, которые хотят инфу твою украсть Просто надо включать обязательно это ошифрование firewall.
Специалист:
Да, значит, фаерволл, надо включить его, и во время включения он предложит сохранительность server-i-cloud ключ Вот этого делать не нужно У тебя был интервью, забыл, как зовут парня, он рассказывал, что ему мак взломали вот на раз Скорее всего, у него был ключ, сохранённый в iCloud'е, а Apple выдаёт из iCloud'а FBR всё на раз, просто по запросу, мгновенно И всё, они ключ шифрования получают, открывают
Поэтому, когда ставите шифрование в FailVault, не отдавайте ключ в iCloud'е Да, это не так удобно, потому что если вы забудете пароли, то всё, все данные будут потеряны навсегда.
Павлович:
У меня он в заметках Apple'овских записаны, заметки хранятся в iCloud'е.
Специалист:
Тоже, да, тоже есть.
Павлович:
Надо убраться на этот, у меня он и на бумаге записан, и в заметках Надо, короче, убрать заметок, оставить только на бумаге А можно ещё татуировку здесь сделать какую-нибудь.
Специалист:
Лучше не на видном месте Вот, да, поэтому идея абсолютно такая Включайте фейловот, и само собой пароль на вход должен быть стойкий Потому что можно просто перебирать пароли, да, брутфорсом это сделать Если там словарный пароль простой, он легко обходится.
Павлович:
Ну, опять же, это просто сложные пароли Помним всегда, что сложные пароли длинные и сложные Какая необходимая, напомни, длина минимальная?
Специалист:
Хотя бы 10 символов я бы рекомендовал, чтобы цифры, буквы большие и маленькие, и спецсимволы, какие-нибудь звездочки, не знаю, тирея и прочее-прочее. И повторюсь, да, к сожалению, маки с чипом T2 оказались небезопасными, вот, все переходите на M1. Сейчас будет представлено в 7 июня уже M2. Да, возможно будут представлены новые макбуки, непонятно, будет ли конференция в EDC, но пока только слухи, что будет, будут ли новые маки сейчас или осенью, но в любом случае, с точки зрения безопасности, это большой шаг вперед.
«Айфоны ниже 10-го – небезопасны»
Павлович:
Уже 10-ядерные будут. Так, что тут еще есть на этом компе?
Специалист:
На этом компе, например, есть программа для джейлбрейка айфонов, которая как раз с уязвимыми чипами, а, напомню, это десятый айфон и ниже, позволяет делать джейлбрейки вне зависимости от того, знаешь ли ты код-пароль или нет, и даже без знания кода-пароля такой джейлбрейк позволяет вытащить часть данных. Далеко не всё. Там, грубо говоря, то, что приходит в уведомлениях, какой-то закэшированный текст, немного там медиа может быть, но иногда это может быть критически важно.
Поэтому повторюсь, что айфоны 10 и ниже, они уязвимы, у них уязвим чип, это нельзя исправить никак, и поэтому лучше их сменить.
Павлович:
Да, и опять же, нам никто не проплатил за рекламу Apple, к сожалению, хотя пора бы уже давно.
Какое образование нужно, чтобы попасть в Group-IB
Павлович:
Первый вопрос это, пока не забыл вопрос, отбыл вчера от наших зрителей. Можно ли устроиться в Group-IB без профильного институтского образования?
Специалист:
Абсолютно точно можно. У нас вообще образование не является каким-то критерием. У нас работают люди вообще без высшего образования, там, с среднетехническим. Куда важнее скиллы, да. То есть там у нас в описании каждой вакансии написано, что нужно уметь. Если вы это умеете, то каких-то особых вопросов больше и не будет, да. Абсолютно только поддерживаем самоучек. У нас даже есть на топовых позициях люди без высшего образования. И, ну, они выросли просто до этого уровня.
Поэтому да, да, ответ однозначно да. Найдите то, что вам по душе, найдите подходящую вакансию, пишите. Возможные варианты, там, в том числе какой-нибудь побыть интерном, стажером, все что угодно. Особенно мы супер...
Павлович:
А стажировки оплачиваются?
«Разработчики нам очень нужны»
Специалист:
По-разному, в зависимости от того, какое это разделение, где, и от необходимости, да, нужны ли там вообще интерны, стажеры. А у нас, как, наверное, и везде сейчас невероятный кадровый голод по разработчикам.
Если вы пишете на чём угодно, но хоть на BrainFuck'е...
Павлович:
Брайнфак – это что?
Специалист:
BrainFuck – это такой безумный язык программирования, который был придуман для того, чтобы на нём было невозможно писать, состоять из скобочек всяких различных. Там все операторы – это тоже наборы скобочек разных. И код на нём выглядит просто безумно. Я представляю.
Павлович:
Примерно как Dogecoin такой.
Специалист:
Да, да, да. То есть тоже такая просто прикол условно-язык программирования. Но я к тому, что разработчики очень нужны. Мы с вами еще пообщаемся сегодня с нашим главой разработки. Он расскажет, какие крутые мы проекты здесь делаем. Потому что со стороны может так не показаться, но когда, например, нужно проверять миллионы входов Сбербанка, и это, представляете, какая нагрузка там у Сбербанка. Ну это high load уже, конечно. Да, то есть это супер high load, и это реальные челленджи постоянно по программированию, интересные задачи.
И тут совершенно неважно, есть ли какие-то корочки и что угодно. Если ты можешь такое кодить, если тебе это интересно, то только зовем.
Компьютер криминалиста, Magnet Axiom
Павлович:
Ну, давай посмотрим, что у тебя на компе имеется.
Специалист:
Да, это комп, во-первых, можно в целом сказать, что криминалиста нашего человека. То есть у нас там в похожей конфигурации человек, который реагирует на инцидент. И первое, что я показываю, это программа Magnetaxiom, она канадская. И это просто к тому, как выглядит работа криминалиста.
У тебя мы снимали много моих веселых историй, но за каждым обыском, за каждой веселой историей с взрывом всяких там этих самых дверей и прочего стоит потом достаточно кропотливая аналитическая работа. И выглядит она примерно так, да, то есть здесь обработан какой-то образ, то есть какой-то носитель информации. Образ жесткого диска. Да, жесткого диска, SSD-шки, насколько я помню. Вот, здесь мы видим, что это винда, то есть проанализировали мы винду.
Мы видим, что здесь умеет эта программа парсить, то есть автоматически извлекать и предоставлять в удобном для просмотра виде. Например, там все подключения по RDP. Или Amcache, это специальный кэш-программ, который исполнялись. Там, в том числе, хэши и количество запусков. Всякие штуки, типа, какой пользовать, какие файлы тыкал, журналы винды.
И, наверное, тут можно сразу же рассказать о том, что сама винда — это огромные просто средства по сбору всяких данных, то есть там тысячи разных журналов, разных файлов, журналируется огромное количество всего, Особенно начиная с винды 8.1, ну и десятки само собой.
Павлович:
Это для чего? Для исправления багов какие-то?
Специалист:
Нет, тут скорее просто для функций самой винды. Во-первых, она как бы следит за пользователями, когда что случается у них, когда бывают какие-то ошибки.
Плюс просто штатное журнализирование, чтобы все с админом могли разобраться, что и как произошло. И просто, например, когда Windows показывает вам последние запущенные программы, это все должно где-то храниться. И это всё можно использовать, и это используется для компьютерной криминалистики, в данном случае, чтобы разобраться, как заразили вот этот компьютер жертвы, то есть как заразили компьютер жертвы, когда, что при этом происходило, какие события происходили, и фактически работа заключается в том, что вот здесь в хронологической дате, то есть отсортировано по времени, просто видно вот прям по секундам, там 14, 10, 15, 16, 17, все события, которые происходили в это время, то есть здесь прям их много-много-много разных, там юзер открывал ярлычки.
Павлович:
Это свежий 16 апреля.
Специалист:
Да, это свежий кейс. То есть можно попытаться разобраться, что именно здесь произошло, как произошло заношение, откуда оно произошло.
И это вот именно такая кропотливая аналитическая работа, старт-служб, старт-обслуживание. Больше ручная такая, да? Да, ну то есть в чём удобство? Эта программа, она как швейцарский нож.
Павлович:
Это как называется?
Павлович:
Магнитаксиум. Аксиум называется. Канадская. Сейчас попробую показать. Ну, тут всё равно небольшая штука. Магнитаксиум. Канадцы очень крутые чуваки. Они вышли на IPO, они привлекли кучу инвестиций, они прям семимильными шагами движутся.
Раньше они партили только Винду, потом Винду и Мак, а сейчас начали партить Винду, Линукс и Мак. Вот. В чём фишка. Эта штука, она не делает магию, не решает кейс за тебя. Она просто автоматизированно проходит по всему диску, из всех известных источников вытаскивает данные и представляет их в удобном для просмотра виде.
Специалист:
Ну, вот слева, как содержание в книге просто.
Павлович:
Да, допустим, я смотрю, там, подключение PRDP, да, я нажимаю, и он сразу, немного подумав, он сразу мне показывает, входящее подключение, откуда, какой пользователь это сделал или исходящее.
Специалист:
Куда это все происходило. То есть это просто удобное представление. Да, это все можно руками найти в event-логах, открыв просто соответствующий журнал, вбив номер события. Это просто более удобное представление, чтобы сразу все смотреть в хронологии, потому что события могут быть связаны, то есть одно, другое. Иногда можно видеть, как вставили флешку, ярлычок, открыли программу, вот она уже бросила свои файлы System32, опа, в реестре создалась автозагрузка и так далее.
То есть прямо один за другим.
Павлович:
Это то, что я думаю, строительная фирма, да?
Специалист:
Нет, нет, нет, это просто какой-то у них такой домен, вообще с ними не связано. Потому что есть строительная фирма одноименная.
Павлович:
Может быть, кстати, может быть.
Специалист:
Вот, и там имя компьютеров и прочее. По-моему, это вообще связано с тем, что у них какой-то из этажей так называется, и всё в этой конторе.
Павлович:
Что ещё там есть интересного?
Специалист:
Вот, например, там все флешки, которые втыкались, да, там все флешки, которые втыкались, их серийные номера, немного, да, там даты, когда это втыкалось, когда первый раз втыкалось, когда последний раз втыкалось. Это всё винда хранит, серийники, флешек, да? Всё винда хранит, да, для ярлыков там, допустим, даже мак-адреса может хранить.
MAC-адреса
Павлович:
Кстати, вопрос был про MAC-адреса, то есть достаточно ли сменить сетевуху и нужно ли переустанавливать потом виндук, к примеру, чтобы MAC-адрес поменялся?
Специалист:
Обязательно нужно переставлять, потому что вот мы можем посмотреть.
Павлович:
Одной сетевухи достаточно для смены мак-адреса? Да, да Замена сетевой карты и смена винды потом переставляем.
Специалист:
Да, но тут нужно еще учитывать, что маки есть у Wi-Fi, у Bluetooth и у сетевухи То есть у всех вот этих трех штук, у них у каждого свой MAC-адрес И зависит от того, как выходил в инет, тут большой вопрос.
Павлович:
То есть ты светишь не один мак-адрес общий, а их несколько?
Специалист:
Да, может быть несколько, зависит от того, через что был выход Поэтому то, что мы называем MAC-адресом стандартного компа, это вот сетевухи, которые встроены в мать, вообще материнскую плату, то есть тут меняет только мать целиком.
Павлович:
То есть Wi-Fi, получается, не Wi-Fi, то есть MAC-адрес, получается, есть у всех устройств, которые коннектируют тебя к интернету?
Специалист:
Да, у всех, если прям там задротски образом это говорить, то у всех сетевых устройств, которые обеспечивают канальный уровень подключения, где у нас фреймы и каналы и MAC-адреса для этого нужны, где еще нет IP. Собственно, для этого MAC-адреса и нужны, чтобы... Тогда, по идее, он был еще и в эко-порте, по идее. Возможно. Возможно, в свое время, да, но я уже... Ты не застал. Я еще застал интернет.
Павлович:
Не по Bluetooth, а по IP, это мои инфракрасные...
«Бывает несколько миллионов файлов изучаю»
Специалист:
Нет, я застал сами инфракрасники и раздачу инетом, но я не был тогда криминалистом еще, да, я еще был школьником. Вот, значит, что тут еще может быть? Всякие, допустим, там, автозагрузки, да, старт каких-нибудь служб, да, вот тут прям миллионы служб, допустим, по каким папочкам кликал пользователь, и все это можно проанализировать и что-то найти.
Это я к тому, что сама...
Павлович:
Сколько по времени у тебя занимает вот 10 тысяч файлов, показать?
Специалист:
Да, тут бывает и несколько миллионов. Бывает несколько миллионов, здесь просто такое...
Павлович:
И сколько вот ты будешь изучать, вот, к примеру, до того, как раскопаешь ниточки, вот эти 10 375 файлов?
Специалист:
Обычно, обычно большая часть всего находится в первые три дня. Вот, ну то есть это там три рабочих дня точно, да. То есть по восемь часов. Это вот нужно прямо вникать. Потом уже идет анализ того, что мы нашли. Потому что, как это бывает, нашел я какую-нибудь вирусню, ее вирус-аналитики анализируют. Мы, кстати, сегодня пообщаемся с Ромой, он нам расскажет, кто такие вирус-аналитики, и покажет Айда Про. Вот. И он такой, смотри, а эта штука дропает вот такие-то файлы, еще бросает.
Я такой, так, надо их искать. А почему я их не нашел? Типа, а, они удалились уже. Восстанавливаем их из удаленных. Оп, нашли. Он говорит, теперь я буду их реверсить. Мы их разреверсили. Он говорит, смотри, а оно подключалось вот туда-то. Такие-то сетевые адреса. Я говорю, а давай поищем на компе, а были ли подключения к этим доменам вообще. И тут мы находим в файле подкачки, допустим, что не только были подключения, но там передавались такие-то данные, такие-то скрипты или там даже шаблоны каких-нибудь платежных поручений, то есть чего только не находишь в этой мусорке в файле подкачки, нужно знать, что искать.
И поэтому эта штука, это несколько итераций, там первичный анализ, потом более глубокий анализ, там потом уже собирание следов, ну и плюс нужно написать отчет по всему этому.
Работа нескольких специалистов
Павлович:
Ну и требует, видишь, работы нескольких сразу специалистов, тебя, а потом вирусных аналитиков.
Специалист:
Да, мы распараллелим работу, это получается более эффективно, то есть у нас есть специалисты по комбинастике, есть вирусные аналитики. Есть компании, где эти роли объединены, то есть там всё один человек делает.
Это дольше гораздо. Это несколько сложнее, дольше, с другой стороны, у него более цельная картина в голове, с другой стороны, сложно параллелить работу. То есть мы там ребятам отдали сэмплы, кучу всего, они анализируют, а мы продолжаем искать здесь что-нибудь.
Павлович:
А если бы несколько миллионов файлов здесь было, это насколько?
Специалист:
Принципиально не влияет на количество, конечно, зависит от того, какие вопросы стоят перед переналистом. То есть если мы там что-то ищем, чем больше файлов, тем, во-первых, дольше будет процесс образа, то есть там сам запуск процессинга, он занимает какое-то время. Но пока она его, по сути, проиндексирует. Да-да-да. И чем больше файлов, чем больше объема образа, тем дольше времени это занимает.
Сложные кейсы
Павлович:
А можешь на вскидку вспомнить самый сложный случай, который вам пришлось, был какой-то заказ очень важный, который пришлось дольше всего расследовать?
Специалист:
Слушай, бывает, что очень много всего, большие объемы. Дольше и сложнее, наверное. Я расскажу про два случая. Первый случай был такой, что нужно было проанализировать порядка, вот сейчас бы не соврать, по-моему 4 терабайт почтовой переписки, и просто это был FreeBSD, ну, разновидность ее.
Там была файловая система ZFS, которую там мало что поддерживает, и нужно было эту штуку виртуализовать, то есть нужно было сервер сделать виртуальным, то есть у него были только образы, да, а нужно было его виртуализовать, чтобы он запустился прямо как виртуальная машина здесь, чтобы поднялась файловая система, и чтобы из нее можно было вытащить данные. И из-за объемов, как раз вот о чем ты сказал, потому что тебе нужно там, у тебя многотерабайтные все эти истории, это достаточно долго и сложно.
Другой кейс, именно технически сложный, был связан с тем, что там одна компания, она написала rootkit с драйверами и манипулировала рынком. Таким образом, не могу назвать отрасль, я, по-моему, упоминал про этот случай, но там именно фишка в том, что там нет вируса как такового, они сами распространяли легальный софт, и через этот легальный софт распространяли вирусню. И просто додуматься до этого, и понять, и найти, что там были закладки прямо в драйверах этого софта, что они двойного назначения, это прям был сложный вызов.
Павлович:
А это им для чего нужно было? Это им босс-заказ какой-то?
Специалист:
Фишка в том, что они, грубо говоря, этот софт поставляли своим контрагентам, а эти контрагенты могли выбирать, у кого закупать товары. И получается, что у этих людей, у них стояло много софтов разных людей, разных компаний, разных конкурентов. И они этим маркетом похищали чужие прайс-листы.
То есть они узнавали, сколько стоят товары у своих конкурентов, потому что у их клиентов стояли программы от нескольких сразу же, они выбирали где закупать. Их программа крала информацию у друг друга.
Павлович:
Но это уже такой коммерческий шпионаж.
Специалист:
Абсолютно стопроцентный промышленный шпионаж, и они делали цены буквально на несколько копеек меньше, чтобы выигрывать тендеры, чтобы выигрывать закупки.
Павлович:
Такой софт можно и бесплатно было поставлять. И чем закончилась история официально?
Специалист:
Официально не знаю, чем закончилась. Официально было такое, что эти люди, через которых это делали, судя по всему, топ-менеджмент был не в курсе. Это была инициатива на местах разработчиков непосредственно, ну такого мидл-менеджмента. И что они внутри сделали после этого непонятно.
Павлович:
Дела не было.
«Железо» Сергея Никитина и Group-IB
Специалист:
Да, насчет дела не знаю. Не знаю подробности, чем закончилось. Но если бы было, ты бы знал из новостей из прессы. Абсолютно точно, то не просачивалась нигде.
Так вот, по поводу компьютера, да, что нужно сделать, чтобы тягать такие штуки? Здесь у меня стоит в блоке два процессора Xeon, там двухпроцессорная материнская плата, 128 гигов оперативы, стоит SSD PCI-Express на 2 терабайта и стоит RAID из SSD-шек SATA-шных по 2 терабайта на 8 терабайт.
Смысл не в хранении, а в том, чтобы иметь очень быстрый доступ к данным, то есть там сейчас скорость чтения около 2 гигабайт в секунду. Это как раз нужно для того, чтобы быстро анализировать данные, быстро их копировать, эти образы перекидывать, конвертировать и вот всякое такое. Для хранения мы используем наши сервера, у нас стоят в офисе целые файловые хранилища.
Павлович:
Ну и вот лежат физически.
Специалист:
Да, это чтобы быстро что-то перетаскивать такое. Но именно для быстрой обработки нам нужны мощные компы. Сейчас эта уже конфигурация устарела, сейчас бы, наверное, я строил эту штуку на AMD-шных процессорах, на их Threadripper. Они сейчас от Intel серьезно ушли вперед, а самое главное, вместо двух процессоров по 12 ядер, я бы поставил сразу там 32-ядерный Threadripper, там всего один процессор, эта плата намного проще, не нужно вот это все городить, что там у меня есть.
Павлович:
Системы охлаждения. У них же проблема всегда у AMD по сравнению с Intel была всегда проблема, они сильно греются.
Специалист:
Но сейчас они наоборот, они сменили техпроцесс, техпроцесс у них меньше, и они намного более прикольнее это делают. Вот мы видим, да, там...
Павлович:
Пора покупать акции AMD.
Эксклюзив
Специалист:
Да, мы видим, что 24 ядра физических, 48 логических, вот, то есть на самом деле при процессинге это все забито по полной, вот, ну и SSD-шки, да, то есть там условно, где она, вот, на 7 терабайт, да, это RAID из SSD, RAID 0 из SSD массивов, чтобы как можно быстрее получать доступ к данным.
Вот, значит, из интересного, на самом деле, как бы, лабы снимают не первый раз, да, и там мы уже все, что можно уже много раз показывали, я не супер хочу повторяться, хочу тебе рассказать всякие эксклюзивные вещи.
Павлович:
Да, мне надо эксклюзивные.
Специалист:
Да, тебе интересные штуки, и вот первое, про что я буду рассказывать, это про SVEA, это очень часто спрашивают чем подбирают пароли, значит, по SVEA Forensic Toolkit, это прямо целый комплекс, целый, скажем так, такой супер инструмент по подбору паролей.
Это бесплатный? Нет, это платный софт. Это все стоит до больших денег достаточно.
Павлович:
Сколько примерно?
Специалист:
Десятки тысяч долларов.
Павлович:
Вот это программа чисто.
Специалист:
Да, да. Что Axiom мне показывал, что PassWare.
Павлович:
Растома человеку со стороны его вряд ли продадут.
Специалист:
Так просто не продадут. Там есть всякие бизнес-версии, но вот Forensic-версии так просто не купить. Еще есть всякий софт, который вообще в России не продается. Вот тот же Silibrite, про который мы будем говорить. То есть у нас он куплен, но больше поставляться в СНГ, скорее всего, не.
Павлович:
Просто он у вас давно куплен.
Специалист:
Да, у нас он давно куплен, там сейчас у нас чинится он еще, да, мифическим образом за три дня до запрета у него вышел контроллер питания, но вроде бы наш реселлер нам это продает, обещают все починить и вернуть. Ну и плюс там запрет на продажу силовика, мы не силовики, поэтому я надеюсь, что мы продолжим сотрудничество с Либрайтом.
Павлович:
А ну ты же знаешь, они же даже и власти обойдут, то есть купит мне российская фирма, не знаю там, не белорусская, допустим, не знаю, там Прибалтийская какая-нибудь и провезется он сюда, просто в чемоданчике.
Программа за $100 000, перебор паролей
Специалист:
Да, такое тоже может быть, да, поэтому некоторые софт вообще не продают в РФ, даже близко не продают вокруг. Например, у Slibrite есть такой премиум-сервис, который умеет ломать айфоны, умеет перебирать коды-пароли к нему, используя какую-то неизвестную уязвимость, они как раз умеют ломать до этого самого, до 10С и 10Р, именно перебирать пароли и получать полный доступ туда, но они не поставляют в кучу стран, то есть они поставляют только такие нато-френдли странные. Короче, репрессивные режимы. Вообще даже близко, да-да-да.
Так вот, что эта штука умеет делать? Она умеет, допустим, мы можем посмотреть, ломать BitLocker, FileVault, TrueCrypt, Veru, Lux, да, McAfee, DriveCrypt. Это именно перебор, это именно перебор паролей, причем они умеют задействовать GPU, да, то есть они умеют это делать на видюхах, чтобы сильно повышать эффективность прибора. А во сколько производительность возрастет?
Там в десятки раз. Естественно, если покупать всякие Теслы от NVIDIA, но сейчас, к сожалению, майнеры все это захапали, с этим сейчас большие проблемы, даже просто поиграть и видеокарту купить. То есть не в теории, а на практике, они регулярно это все оптимизируют для того, чтобы быстрее ломать. Именно поэтому важны стойкие пароли. А я смотрю, нет бесткрипта вообще? Бесткрипта, кстати, здесь сейчас нету, но они умели ломать не полнодисковое шифрование, а контейнеры.
Контейнеры точно умеют, а это именно, когда полностью диск зашифрован. А что это такое? Это имеется в виду, когда ты можешь создавать образы в маке, типа образ диска, dmg, и ты можешь на него ставить пароль. Это немножко другое, чем фейллоут, поэтому это здесь отдельно выделено. Вот failout это то, что сейчас применяет. Что еще он умеет делать? Это именно полно дисковое шифрование, но кроме этого он может взламывать, искать контейнеры какие-то или даже зашифрованные док документы, микрософтские, и их ломать.
Да, плюс, если есть дамп оперативной памяти, он может вытаскивать из него пароли, допустим, в браузере сохраненные, может вытаскивать данные iCloud, может вытаскивать данные каких-нибудь пользовательских паролей.
Павлович:
Ну пароли криптованным дискам, допустим.
Как снимают ключи шифрования
Специалист:
И пароли как раз к тем самым криптодискам, то есть, например, если я буду выбирать APFS, да, там он FileVault, Он говорит, у меня нет образа диска, у меня есть. Или у меня есть как раз доступ к iCloud, где может быть сохранен тот самый ключ, о котором я говорил. И здесь просто вводишь логин и пароль от iCloud, он сам вытаскивает ключ, сам расшифровывает образ. Вот. То есть тут прямо все это очень юзерфренди.
Но я хотел показать несколько другую штуку. Что они придумали? Выяснилось, что в современных компьютерах, которые с большим объемом оперативной памяти, оперативная память сбрасывается не очень хорошо. И после первого перезапуска очищается.
Павлович:
При перезагрузке компа?
Специалист:
Да, да, да. И что выяснилось? Если жестко переключать компьютер, то есть не через пуст, там выключить или мак и рестарт, а просто зажать кнопку, не из питания его вытащить, а вот нажать кнопку резет на этом, если на ноутбуке зажать кнопку выключения, чтобы он перезагрузился именно, то очень большая часть оперативки, она остается. Они сделали специальную свою загрузочную флешку, то есть он предлагает сейчас нам создать такую флешку. Вот, с нее можно загрузиться, и она сразу после перезагрузки будет снимать оперативку, всю, которая доступна.
Она сама занимает буквально несколько мегабайт, чтобы перезатереть как можно меньше. Что они предлагают? Если вы приходите, видите, что компьютер заблокирован, пароль вам не говорят, вставляете флешку, вы уже все равно ничего не теряете, даже если там все зашифровано, просто перезагружаетесь и сразу снимаете дамп. Вот, то есть он загружается с флешки и сразу снимает дамп, и после этого большой шанс вытащить ключи шифрования оттуда. Если перезагружаться штатным образом, и Vero, и BitLocker, и FileVault, они специальной процедурой затирают ключи.
То есть большая часть оперативки останется неизменной, но вот эти ключи, они затрутся, а если перезагружать жестко, то можно будет загрузиться и попробовать вытащить эти штуки. Значит, я на виндоу в ноутбуке с битлокером пробовал это делать. — Битлокер — это что, штатный инструмент? — Это штатный инструмент шифрования в винде, да, то есть в десятке прямо здесь битлокер, он прям встроен, да, у меня вот тут, допустим, диск, да, вот он предлагает управлять битлокером,
да, то есть он прямо здесь предлагает, да, там, снять шифрование, вот, выключить BitLocker, Recovery Key, там, в каких дисках он включен-выключен, то есть про версии Винды профессиональной, которая, в ней уже все это устроено. Само шифрование неплохое, неплохое, главное, опять же, если вы используете Microsoft Live Аккаунт, да, то есть в Винде как можно, сейчас можно заходить просто под локальным пользователем, а можно добавить учетную запись в Microsoft Live, она называется,
и ты будешь сразу в нее заходить, типа аналог iCloud от Майкрософта, и опять же он предложит сохранить на серваках Майкрософта ключ, ну и понятно к чему все это ведет. Если никуда не сохранять, нигде его не хранить, использовать большой стойкий пароль, он в принципе тоже абсолютно неплох, то есть он перебирается долго, ну и там достаточно геморройный. О чем я? О том, что я пробовал на Windows ноутбуке с BitLocker, там было 24 гигабайта оперативной памяти, И я три раза перезагружался, и вот на третий раз он смог вытащить ключи.
То есть эта штука, она абсолютно не сильнее будет, но даже если это в одном из трех случаев обойдет вашу веру TrueCrypt или FailVault и BitLogger, звучит очень круто.
Защита от уязвимостей
Павлович:
Ну, причем видишь, после третьей перезагрузки даже остается...
Специалист:
Не-не-не, в смысле, что я три раза пробовал, и только третья попытка оказалась правильной. Это я каждый раз загружался, заходил, вводил пароль, что-то делал и получал заново, то есть первые два раза перезаписалось, третий раз нет, он ключ нашел, вытащил, то есть эффективность там вот типа 30 процентов, но это зависит на прямую.
Павлович:
Но это у тебя небольшая еще выборка, может больше, может меньше.
Специалист:
Да, может быть больше, меньше. Если ты тысячу раз делал. Нужно тестировать, я это делал для чего, у нас теперь четкая рекомендация, что если компьютер заблокирован, как бы и пароль точно мы не получаем, ничего не теряешь, ты уже ничего не теряешь, можно всегда попробовать дернуть дамп, вдруг ключи там будут. Причем с любой операционкой, да? Он работает под маком, под виндой, защититься от этого можно всего одним способом, сделать так, что нельзя загружаться с внешних
устройств, то есть тебе нужно выставить загрузку с флешки, но на винде это очень сложно сделать, далеко не все ноутбуки, ну и тем более компы, могут поставить такой запрет, то есть там такая опции часто нельзя запретить даже. На маках так сделать можно, как раз тот самый пароль на чип t2 он не позволит загрузиться с левого устройства, но чип t2 мы увидели можно обойти, но на
m1 как раз по умолчанию там все закрыто, нельзя загружаться с левых устройств, если там ты его не перенастраивал и тут замечательно это работает, то есть там проверка подписи он не пройдет и на Маке с М1 загрузиться с такой флешкой нельзя. Я уверен, что Apple должно уже нести нам чемоданы просто, где денег. Но да, фишка такая. Это прямо совсем недавно появилось, про это еще мало кто знает, но тема очень крутая.
Нужна быстрая флешка и большая, потому что он сразу на нее начинает снимать. Нету второй попытки. То есть здесь нужно вставить флешку, подготовиться, зажать всё это, зажать загрузку, то есть есть всего один шанс именно после жёсткой перезагрузки снять эту комплектацию.
Скорость записи на USB-носитель, продолжение следует...
Павлович:
А по скорости сколько он будет?
Специалист:
А напрямую зависит от скорости флешки и от объёма памяти. То есть там USB 3.0 флешка, она может писать 100 мегабайт в секунду, если нормальная флешка даже 200 есть сейчас, по USB 3.0.
И окей, это гигабайты, она не так долго будет писать.
