Регуляторика в ИБ
На самом деле, я скажу, что сам достаточно сильно погрузился в регуляторику. Правда, пытаюсь притянуть туда мобильные приложения, но все равно достаточно плотно сижу с разными регламентами и доками.
И вот такие вот семинары/вебинары очень помогают!
Так что спешу вас пригласить!
На самом деле, я скажу, что сам достаточно сильно погрузился в регуляторику. Правда, пытаюсь притянуть туда мобильные приложения, но все равно достаточно плотно сижу с разными регламентами и доками.
И вот такие вот семинары/вебинары очень помогают!
Так что спешу вас пригласить!
Forwarded from Swordfish Security
В 2024 году ФСТЭК России запустила новый подход к сертификации продуктов – теперь для ПО средств защиты допускается вместо отдельных сертификации новых версий ПО сертифицировать конвейер разработки этого ПО, что позволяет ускорить процесс выпуска релизов в эксплуатацию.
15 апреля в 14.00 мск расскажем, как организовать процесс безопасной разработки программных продуктов в соответствии с требованиями ГОСТ 56939–2024. 📑
Что обсудим?
Спикеры:
- Аскерова Альбина, руководитель направления по взаимодействию с регуляторами, Swordfish Security
- Алексей Щербаков, начальник центра кибербезопасности платформы, СберТех
👉 Регистрируйтесь по ссылке и готовьте ваши вопросы!
Будет полезно
- CISO
- CIO
- Сomplience-специалистам
- DevSecOps-специалистам
#ВебинарыSFS
Please open Telegram to view this post
VIEW IN TELEGRAM
Запуск iOS в qemu
Еще одна попытка запуска iOS в эмуляции через qemu. При этом, все очень классно описано, все шаги и подводные камни, с которыми столкнулись исследователи. И даже вроде запускается!
Все прошлые репозитории и попытки запустить сколь-нибудь рабочее и предсказуемое поведение у меня ни к чему не привели. Может быть этот вариант будет более рабочим, но все равно верится слабо)
И пока что там только iOS 14. Но надеемся, что это будет отправной точкой для следующих свершений!
Еще одна попытка запуска iOS в эмуляции через qemu. При этом, все очень классно описано, все шаги и подводные камни, с которыми столкнулись исследователи. И даже вроде запускается!
Все прошлые репозитории и попытки запустить сколь-нибудь рабочее и предсказуемое поведение у меня ни к чему не привели. Может быть этот вариант будет более рабочим, но все равно верится слабо)
И пока что там только iOS 14. Но надеемся, что это будет отправной точкой для следующих свершений!
Jadx with AI
А тем временем AI все плотнее входят в нашу жизнь :)
Вот, теперь и плагинчик для Jadx подъехал! Очень круто!
А тем временем AI все плотнее входят в нашу жизнь :)
Вот, теперь и плагинчик для Jadx подъехал! Очень круто!
Разработка под мобилки это просто? Или же нет?
На самом деле весьма и весьма хороший вопрос. насколько просто сейчас разрабатывать современные приложения под мобильные ОС?
Раньше, как мне кажется, все было сильно проще, вот тебе Java, вот тебе Objective-C, вот теперь мобилка, которая отображает данные с сервера.. 😈
Но сейчас, анализируя современные приложения ты понимаешь, насколько всего за какой-то десяток лет ушла мобильная разработка. Свои фреймворки, технологии, подходы, локальные вычисления, продвинутая логика, абсолютно все, что можно придумать уже есть в мобилках. А еще и огромное количество устройств надо поддерживать, учитывать нюансы разных ОС и их версий и разных форм-факторов (как телефоны с раскрывающимся экраном)..
Я на самом деле поражаюсь, как оставаться в стриме современных технологий. И как один из способов, это, конечно различные ТГ-каналы, которые публикуют новости, какие-то заметки из будней разработки и помогают хотябы не терять нить) А иногда и по безопасности попадаются статьи в таких каналах и тогда приходит понимание, что все это не зря)))
Один из таких каналов, на которые подписан - @dolgo_polo_dev
Как раз последние посты про наш любый SSL Pinning, mTLS и скрытие контента на превью на примере PornHub:
- mTLS / SSL Pinning на пальцах
- Как PornHub бережет твою репутацию
Так что, надеюсь, вам тоже понравится))
На самом деле весьма и весьма хороший вопрос. насколько просто сейчас разрабатывать современные приложения под мобильные ОС?
Раньше, как мне кажется, все было сильно проще, вот тебе Java, вот тебе Objective-C, вот теперь мобилка, которая отображает данные с сервера.. 😈
Но сейчас, анализируя современные приложения ты понимаешь, насколько всего за какой-то десяток лет ушла мобильная разработка. Свои фреймворки, технологии, подходы, локальные вычисления, продвинутая логика, абсолютно все, что можно придумать уже есть в мобилках. А еще и огромное количество устройств надо поддерживать, учитывать нюансы разных ОС и их версий и разных форм-факторов (как телефоны с раскрывающимся экраном)..
Я на самом деле поражаюсь, как оставаться в стриме современных технологий. И как один из способов, это, конечно различные ТГ-каналы, которые публикуют новости, какие-то заметки из будней разработки и помогают хотябы не терять нить) А иногда и по безопасности попадаются статьи в таких каналах и тогда приходит понимание, что все это не зря)))
Один из таких каналов, на которые подписан - @dolgo_polo_dev
Как раз последние посты про наш любый SSL Pinning, mTLS и скрытие контента на превью на примере PornHub:
- mTLS / SSL Pinning на пальцах
- Как PornHub бережет твою репутацию
Так что, надеюсь, вам тоже понравится))
Telegram
Dolgo.polo Dev | Денис Долгополов
SSL Pinning
Помните про мужика в середине?
Он может прочитать наш зашифрованный трафик, если каким-то образом подсунет свой сертификат. Например, если пользователь по незнанию нажмет в настройках системы "доверять любым сертификатам"
Чтобы этого избежать…
Помните про мужика в середине?
Он может прочитать наш зашифрованный трафик, если каким-то образом подсунет свой сертификат. Например, если пользователь по незнанию нажмет в настройках системы "доверять любым сертификатам"
Чтобы этого избежать…
Исследование JNI через Frida
Ну и да, к слову о предыдущем посте, многие вещи специально реализуют в нативе, чтобы усложнить анализ.
И для тех, кто хотел бы глубже погрузиться в этот чудесный мир, есть статья, где автор делится советами по детальному анализу поведения нативных методов, с акцентом на использование указателей функций внутри структуры JNIEnv.
Он объясняет, как нативные методы, написанные на C/C++, взаимодействуют с Java-кодом через JNI, а также как с помощью Frida можно получить доступ к структуре JNIEnv и что с его помощью можно сделать.
Звучит страшно, но статья правда хорошая, хоть и небольшая. Осталось только на практике ее как-то применить))
Ну и да, к слову о предыдущем посте, многие вещи специально реализуют в нативе, чтобы усложнить анализ.
И для тех, кто хотел бы глубже погрузиться в этот чудесный мир, есть статья, где автор делится советами по детальному анализу поведения нативных методов, с акцентом на использование указателей функций внутри структуры JNIEnv.
Он объясняет, как нативные методы, написанные на C/C++, взаимодействуют с Java-кодом через JNI, а также как с помощью Frida можно получить доступ к структуре JNIEnv и что с его помощью можно сделать.
Звучит страшно, но статья правда хорошая, хоть и небольшая. Осталось только на практике ее как-то применить))
Medium
A Random and Simple Tip: Advanced Analysis of JNI Methods Using Frida
In this article, I will share a tip for those interested in performing a more detailed analysis of the behavior of native methods, with a…
и в дополнение от @DIJIR0:
Небольшой снипет как хукать функции jni в фриде, не гугля индекс каждой функции
Небольшой снипет как хукать функции jni в фриде, не гугля индекс каждой функции
Forwarded from Android Guards
Я частенько говорю о том, что Samsung слишком много себе позволяют когда лезут в разные части Android и переписывают их на свой лад. Но беда в том, что лезут они не только в Android, но и в более глубинные слои. Что из этого выходит? Уязвимости конечно.
Ребята из Quarkslab сделали отличный доклад по эксплуатации уязвимостей в цепочке загрузки Samsung Galaxy A225F. Точка старта - феерическая. Кастомный JPEG парсер, который ребята из Samsung вкрячили в Little Kernel. Конечно же этот парсер содержал уязвимость (или бэкдор? 🌚), которая позволяла выполнять произвольный код. Чем и воспользовались исследователи.
Очень интересный, технический доклад. Рекомендую!
Ребята из Quarkslab сделали отличный доклад по эксплуатации уязвимостей в цепочке загрузки Samsung Galaxy A225F. Точка старта - феерическая. Кастомный JPEG парсер, который ребята из Samsung вкрячили в Little Kernel. Конечно же этот парсер содержал уязвимость (или бэкдор? 🌚), которая позволяла выполнять произвольный код. Чем и воспользовались исследователи.
Очень интересный, технический доклад. Рекомендую!
YouTube
Attacking Samsung Galaxy A* Boot Chain, and Beyond
During our previous research on Android File-Based encryption, we studied the boot chain of some Samsung devices based on Mediatek system on chips. Our objective was to exploit a known boot ROM vulnerability to bypass the secure boot and ultimately retrieve…
Модификация ядра Android для анализа приложений
Мой опыт пересборки Android-ядра был когда-то давно, когда мне нужно было включить поддержку iptables доя перенаправления трафика в дальнейшем на эмуляторе. Веселое прикоючение на 20 минут, войти и выйти 😉 Особенно, когда делаешь это первый раз)
Но вот такая статья мне бы точно тогда пригодилась!
Автор обещает целый цикл статей, будем следить за ним! По описанию, планирует рассмотреть более продвинутые методы отладки и кастомизации ядра для детального анализа приложений.
Ну а в первой статье он предоставляет пошаговое руководство по сборке и модификации ядра Android, а также по его тестированию в виртуальной среде. Ну и конечно много полезной информации о внутреннем устройстве ядра и прочих хитростей!
Enjoy!
Мой опыт пересборки Android-ядра был когда-то давно, когда мне нужно было включить поддержку iptables доя перенаправления трафика в дальнейшем на эмуляторе. Веселое прикоючение на 20 минут, войти и выйти 😉 Особенно, когда делаешь это первый раз)
Но вот такая статья мне бы точно тогда пригодилась!
Автор обещает целый цикл статей, будем следить за ним! По описанию, планирует рассмотреть более продвинутые методы отладки и кастомизации ядра для детального анализа приложений.
Ну а в первой статье он предоставляет пошаговое руководство по сборке и модификации ядра Android, а также по его тестированию в виртуальной среде. Ну и конечно много полезной информации о внутреннем устройстве ядра и прочих хитростей!
Enjoy!
Medium
Android Kernel Adventures: Insights into Compilation, Customization and Application Analysis
This article marks the first in a series aimed at sharing my adventures, personal notes, and insights into the Android kernel. My focus…
Forwarded from Библиотека Cobalt Strike
Enciphers: iOS Application Security
Этот курс предлагает современное учебное лабораторное пособие, которое обеспечивает практическую отработку реальных сценариев различных атак. Обновленное содержание курса гарантирует, что вы изучите новейшие методы и будете оставаться впереди в постоянно развивающейся области безопасности iOS. Благодаря интерактивным занятиям вы сможете глубоко усвоить материал.
Вы изучите все аспекты безопасности iOS что делает курс по-настоящему уникальным.
#cours
Этот курс предлагает современное учебное лабораторное пособие, которое обеспечивает практическую отработку реальных сценариев различных атак. Обновленное содержание курса гарантирует, что вы изучите новейшие методы и будете оставаться впереди в постоянно развивающейся области безопасности iOS. Благодаря интерактивным занятиям вы сможете глубоко усвоить материал.
Вы изучите все аспекты безопасности iOS что делает курс по-настоящему уникальным.
#cours
И снова любимый Flutter и перехват трафика/Unpinning
Как же все-таки перехватить трафик флаттер-приложений?)
Какие способы помимо reFlutter существуют?))
Очень крутая статья как раз про это. Автор описывает строение Flutter-приложений, как использовать reFlutter и что он делает под капотом. И основная часть про то, как он пытался повторить тоже самое, но при помощи Frida.
Очень много отсылок к разным крутым статьям в процессе рассказа, очень много ссылок в конце, которые тоже крайне полезно почитать!
Так что изучаем и “make Flutter great again!” 🫢
Как же все-таки перехватить трафик флаттер-приложений?)
Какие способы помимо reFlutter существуют?))
Очень крутая статья как раз про это. Автор описывает строение Flutter-приложений, как использовать reFlutter и что он делает под капотом. И основная часть про то, как он пытался повторить тоже самое, но при помощи Frida.
Очень много отсылок к разным крутым статьям в процессе рассказа, очень много ссылок в конце, которые тоже крайне полезно почитать!
Так что изучаем и “make Flutter great again!” 🫢
Sensepost
SensePost | Intercepting https communication in flutter: going full hardcore mode with frida
Leaders in Information Security
Forwarded from AppsConf – конфа по мобильной разработке
Розыгрыш билета на AppsConf X 2025⭐️
Участвуйте и получите офлайн-билет на профессиональную конференцию разработчиков мобильных приложений совершенно бесплатно🔥
Apps Conf — пространство для мобильных разработчиков, готовых к вызовам, которые ставят технологии и рынок. Это конференция для тех, кто не просто следует трендам, но и адаптирует их под себя.
В этом году обсудим наиболее актуальные и важные темы для мобильной разработки:
▶️ Борьба с Легаси
▶️ Мобильный UI/UX
▶️ Тренды
▶️ BDUI
▶️ Developer Experience
▶️ Deep dive
▶️ Софтскиллы и процессы
Более того, вы поучаствуете в мастер-классах и столах нетворкинга с экспертами в области мобильной разработки.
Чтобы участвовать в розыгрыше, необходимо выполнить всего два условия:
❤️ Быть подписанным на этот канал
❤️ Поставить плюс в комментарии к этому посту
Уже 14 мая рандомно разыграем билет и объявим о результатах.
Участвуйте и до встречи на AppsConf X 2025!
Участвуйте и получите офлайн-билет на профессиональную конференцию разработчиков мобильных приложений совершенно бесплатно🔥
Apps Conf — пространство для мобильных разработчиков, готовых к вызовам, которые ставят технологии и рынок. Это конференция для тех, кто не просто следует трендам, но и адаптирует их под себя.
В этом году обсудим наиболее актуальные и важные темы для мобильной разработки:
Более того, вы поучаствуете в мастер-классах и столах нетворкинга с экспертами в области мобильной разработки.
Чтобы участвовать в розыгрыше, необходимо выполнить всего два условия:
Уже 14 мая рандомно разыграем билет и объявим о результатах.
Участвуйте и до встречи на AppsConf X 2025!
Please open Telegram to view this post
VIEW IN TELEGRAM
AI заменят нас или все таки нет?
Я тут потихоньку погружаюсь во всякие AI-системы, агентов и прочих модных вещей и узнаю кучу всяких прикольных штук)
Стараюсь все записывать, часть видео, часть текстом и потихоньку выкладывать во втором канале @ai_she4ka
Если интересна вся эта тематика, присоединяйтесь :₽
Опыт для меня новый, немного непривычно, но интересно! Другой формат, другой контент, новая тематика, не судите строго :D
Пока что база-базовая, но уже есть пара интересных моментов точно)
Надеюсь вам зайдет, ну или поможет при работе со всякими gpt-шками)
Я тут потихоньку погружаюсь во всякие AI-системы, агентов и прочих модных вещей и узнаю кучу всяких прикольных штук)
Стараюсь все записывать, часть видео, часть текстом и потихоньку выкладывать во втором канале @ai_she4ka
Если интересна вся эта тематика, присоединяйтесь :₽
Опыт для меня новый, немного непривычно, но интересно! Другой формат, другой контент, новая тематика, не судите строго :D
Пока что база-базовая, но уже есть пара интересных моментов точно)
Надеюсь вам зайдет, ну или поможет при работе со всякими gpt-шками)
200 рублей за кучу приватной инфы
Ну и конечно, блин, нельзя пройти мимо таких вот факапов)))
Gemini Advanced за 200 рублей и тьма-тьмущая чужих чатов))))
Ну и конечно, блин, нельзя пройти мимо таких вот факапов)))
Gemini Advanced за 200 рублей и тьма-тьмущая чужих чатов))))
Forwarded from AI-шечка
Please open Telegram to view this post
VIEW IN TELEGRAM