8:47
17/12/2015

APT – Antywirus 1:0

Ostatnio na blogu Orange Polska pojawił się wpis, który w dość jednoznaczny sposób obalił mit dotyczący skuteczności oprogramowania antywirusowego w starciu z zaawansowanymi atakami wykorzystującymi malware typu zero-day. Iwo Graj, ekspert CERT Orange Polska, postanowił przetestować odporność oprogramowania antywirusowego na malware, który podmienia numery kont bankowych. Efekt? Zobaczcie sami.

Niniejszy artykuł sponsorowany jest elementem akcji promującej Malware Protection, pierwszą w Polsce usługę ochrony przed APT i zero-day z chmury. Autorem artykułu jest firma Integrated Solutions, należąca do Orange Polska. Teksty sponsorowane niekoniecznie odzwierciedlają stanowisko i opinie redakcji portalu Niebezpiecznik.pl

Wystarczyła niewielka modyfikacja struktury kodu, aby w starciu z malware antywirus okazał się bezradny. Poniższy filmik to tylko jeden z przykładów, jak złośliwe oprogramowanie przemyka przez dostępne na rynku zabezpieczenia. Warto dodać, że specjaliści sprawdzili rozwiązania kilku producentów. W każdym przypadku rezultat był ten sam. Malware robił, co chciał.

Powyższe filmiki to dowody na to, że w starciu zaawansowanym atakami zwanymi APT (Advanced Persistent Threats) potrzebne są silniejsze działa. Na rynku są dostępne systemy, które potrafią analizować pliki o nieznanych sygnaturach, czyli blokować dostęp użytkowników sieci do zagrożeń, których nie dostrzegają takie narzędzia ochrony jak firewall, IPS czy bramka web.

Jednym z takich rozwiązań jest usługa Malware Protection, która funkcjonuje w dwóch wariantach technicznych.

is1

Pierwszy, Malware Protection InLine jest dostępny dla firm posiadających łącze internetowe od Orange. Usługa wykorzystuje między innymi technologię firmy FireEye. Silnik MVX (Multi-Vector Virtual Execution ™) wykrywa złośliwe oprogramowanie wykorzystujące znane oraz nieznane podatności aplikacji w celu przeprowadzenia ataku na komputery użytkowników. Silnik MVX pozwala na wykrywanie ataków niezależnie od tego czy są umieszczone na stronach internetowych w postaci tzw. exploitów czy wykorzystują różnego rodzaju pliki np. multimedialne lub pochodzące z pakietów oprogramowania biurowego. Ochrona jest realizowana w czasie rzeczywistym, system zapobiega infekcjom oraz tzw. połączeniom zwrotnym do centrów sterowania złośliwego oprogramowania. Po stronie klienta nie jest wymagane instalowanie dodatkowego oprogramowania czy urządzeń. Moduł raportujący udostępnia administratorowi usługi zestawienia zawierające historię zdarzeń oraz szczegóły incydentów takie jak: eksploatowaną podatność systemu, próby elewacji uprawnień w systemie operacyjnym czy parametry połączeń. Raporty te są dostępne dla klientów poprzez dedykowany portal https://www.cert.orange.pl/uslugi.

Drugi wariant techniczny to Malware Protection Sandbox, czyli nowa odsłona chmurowego rozwiązania WildFire Palo Alto Networks. Usługa umożliwia analizę podejrzanych plików w środowisku sandbox i rozszerza możliwości firewalli nowej generacji poprzez identyfikację, blokowanie nieznanego złośliwego oprogramowania oraz zaawansowanych ataków ukierunkowanych tzw. APT. W przeciwieństwie do standardowej usługi producenta (WildFire) dane nie są przesyłane poza granice Polski, pozostają w centrum przetwarzania danych Orange w kraju.

image4

image5

Firewall nowej generacji Palo Alto Networks pozwala także na analizę sygnaturową ruchu w poszukiwaniu wzorców ataków (funkcjonalność IPS) oraz analizę plików i porównanie ich z istniejącymi wzorcami wirusów. W przypadku zagrożeń APT i plików malware wykorzystujących podatności zero-day, konieczna jest ich analiza w odizolowanym środowisku wirtualnym. Analiza dotyczy protokołów http, SMTP, POP, IMAP, ftp oraz dla ruchu zaszyfrowanego https oraz SSL. Urządzenie poszukuje zagrożeń w takich plikach, jak m.in.: doc, xml, ppt, pdf, exe czy dll. Usługa dostarcza informacje o tym, kto był celem ataku, jaka aplikacja i które adresy URL zostały użyte do dostarczenia złośliwego oprogramowania. Pozwala również na śledzenie nieznanego lub nieprawidłowego ruchu, a także szeregu potencjalnie podejrzanych zachowań, takich jak powtarzające się schematy pobrania danego pliku czy też korzystania z dynamicznego DNS. Te skorelowane czynniki pozwalają stworzyć listę użytkowników, którzy najprawdopodobniej są zainfekowani. Ponadto w wyniku analizy powstaje sygnatura, która przesyłana jest do firewall, co umożliwia skuteczną obronę przed nowo odkrytym zagrożeniem. Raporty z działania usługi Malware Protection przesyłane są w formie plików pdf na platformę klienta Firewall –NGFW Palo Alto Networks (przykładowy raport znajduje się niżej) oraz są dostępne w portalu https://www.cert.orange.pl/uslugi.

Przykładowy raport do pobrania tutaj.

Malware Protection to usługa dostępna w ofercie firmy Integrated Solutions. Dzięki zlokalizowaniu platformy w data center Orange na terenie kraju, analiza złośliwego kodu i proces poszukiwania podatności odbywa się z zachowaniem poufności danych oraz zgodnie z obowiązującymi przepisami Prawa Polskiego i UE.

Autorem powyższego artykułu sponsorowanego są pracownicy firmy Integrated Solutions. Teksty sponsorowane niekoniecznie odzwierciedlają stanowisko i opinie redakcji portalu Niebezpiecznik.pl

Przeczytaj także:

125 komentarzy

Dodaj komentarz
  1. Dlaczego plik nie został wrzucony na virustotal, tylko został sprawdzany antywirusem który jest po prostu kiepski ? :)

    • Malware był testowany różnymi programami antywirusowymi.
      McAfee
      https://www.youtube.com/watch?v=Go-qqOOE6oY
      TM
      https://www.youtube.com/watch?v=DpS501wRvuo
      W virus total tez testowaliśmy i większość AV nie wykryła niczego.

    • Podeślecie próbkę tego malware? Prosiliśmy o nią (przed publikacja artykułu) osobę odpowiedzialną za kontakt medialny, ale może Wam nie przekazano :)

    • @Konieczny: Nie przypominam sobie, żebyś ostatnio dzwonił lub mailował… :/

    • @Rosiu: Projekt po Waszej stronie (o ile Orange i IS traktować jako jedność) prowadzi Pani Iwona (i tylko ona się z nami w tych kwestiach kontaktowała). Nazwisko mogę podać na prv, jeśli nie wiesz, o kogo chodzi.

    • Inżynier_Integrated_Solutions na prawdę wg Ciebie McAfee jest antywirusem którego polecacie dodatkowo razem z Waszymi rozwiązaniami ? Proszę Cię, a nie był wrzucony plik na VirusTotal zapewne dlatego że połowa antywirusów które są używane w rozwiązaniach biznesowych by go wykryła. PS. licze na niezły PR :)

    • >nie był wrzucony plik na VirusTotal zapewne dlatego że połowa antywirusów które są używane w rozwiązaniach biznesowych by go wykryła

      jasne
      https://www.youtube.com/watch?v=8Z7L498dNB0
      https://www.youtube.com/watch?v=DzC8jJ0ESJ0

  2. elewacji uprawnień :D?

  3. A jak ten magiczny system w pierwszym wariancie traktuje choćby ZIPy z hasłem?

    • Generalnie taki zip nie zostanie przeskanowany, jednakże możliwym jest stwierdzenie że w archwium znajduje się plik EXE. Ta informacja mogłaby zostać potraktowana jako powód do dalszej obserwacji danego archiwum (więc zwróciłaby efektywnie uwagę komponentów proaktywnych).

    • Rzowiązanie FE czyli wariant pierwszy potrafi wykonać atak słowinkowy na zahasłowany plik. Oczywiscie sprawdzane są tylko najpopularniejsze hasla. Lista jest aktualizowana natomiast nie ma co oczekiwać dużej skuteczności. Typowego brute force oczywiscie nie wykonujemy z przyczyn oczywistych – wydajnosc opóznienie.

    • Na marginesie, jak to się ma do prawa? “Łamanie haseł” jest penalizowane przez kodeks karny… Czy właściciel musi wymusić na użytkowniku i nadawcy zgodę na “zgadywanie haseł”?

    • Przecież jeżeli administrator danej sieci wyraża zgodę na takie działanie (załączane notabene z panelu klienta), to chyba wszystko gra :)
      Oczywiście zakładamy, że jest to sieć korporacyjna z restrykcyjną polityką użytkowania, tj. pracodawca zastrzega sobie wgląd we wszystko, co leci w jego sieci :)

  4. Beznadziejny artykuł reklamowy. W zasadzie nawet nie artykuł, bo prezentuje kompletną nieznajomość tematu.
    Po pierwsze, całkiem sporo ostatnio wiadomości zaszyfrowanych hasłem, których nie da się sprawdzić w locie.
    Po drugie, grzebanie w ruchu zaszyfrowanym i podklejanie własnych certyfikatów kończy się niedziałaniem niektórych aplikacji, które mają cert-pinning – to jest zła propozycja.
    Po trzecie, czemu nie zmierzyli się z lepszymi AV jak Comodo (skuteczny sandbox) czy Bitdefender (ogólnie skuteczny)?

    • PS. Proponuję oznaczać art. sponsorowane także przez RSS, np. jakimś $ ;). Oszczędzi to sporo komentarzy takich jak mój.

    • Bardzo dobry pomysł. Tak będziemy robić.

  5. Czemu nie ma ubuntu ? windows 10 ?
    Dno

  6. chyba że wręcz przeciwnie….

  7. chyba nie zrozumiałem pola URL przy dodawaniu popredniego komentarza;)
    Ten produkt nie tylko na Niebezpieczniku się reklamuje:
    https://cxsecurity.com/blad/WLB-2015120195

  8. @IvoGraj: z ciekawości, jakie miałeś ustawienia tego ESETa przy skanowaniu ?

    • Też bym sobie chętnie w xmla z konfiguracją zerknął :)
      Ciekawi mnie jak by to wyglądało z doinstalowanym EMETem :)

    • pewnie był wyłączony bo jak był włączony to psuł efekt
      Poza tym gdyby to faktycznie był skuteczny bypass to biorąc pod uwagę że przynajmniej w jednym z filmów (drugiego nie oglądałem) jest chyba wykorzystywany .doc (pewnie office automatycznie uruchamiał makra) to nie trzeba było by go pakować zipem, czy czym on tam jest spakowany.

    • Niezależnie od configa, advheur nie złapie tego zagrożenia, bardziej rola dla hipsa.

  9. Już miałem pisać paszkwila, ale sprawdziłem, jak ten artykuł jest otagowany. I mam teraz nauczkę, żeby sprawdzać tagi przed otwarciem artykułu.

    • Specjalnie po to są 2 ramki na początku i na końcu. Jest też zdanie, że artykuł niekoniecznie wyraża opinię redakcji. Nasza jest inna (co do prezentowanych “bypassów”). Przedstawimy ją w osobnym tekście niebawem, bo jak widać, nie tylko nasz zespół bezpieczeństwa ma trochę inne spojrzenie na sprawę “obejścia AV”.

  10. malware schowany w .rar .7z itd. nie będzie wyłapywany

    • Będzie.

    • Rozwiązanie FireEye czyli pierwszy wariant usługi potrafi rozpakowywać i analizować pliki spoakowane rar i 7zip.

    • Ale w zaszyfrowanym (w pełni, czyli z nazwami plików) już nie, a takich jest coraz więcej. Kwestią czasu zanim wszystkie będą.

    • @Inżynier_I_S: które rozwiązanie FireEye? To?

      http://googleprojectzero.blogspot.com.au/2015/12/fireeye-exploitation-project-zeros.html

    • @ Ninja
      Jak zapewnia producent cała baza klientów została zabezpieczona w ciagu kilku godzin automatycznie ściągniętą poprawką. FE współpracował od początku z Project Zero.
      PS
      Tego typu wpadki zdarzają się wszstkim porducentom ;) Chyba że znacie idealne rozwiązanie?

  11. Ale “lokowanie produktu” są AV ,które sobie radzą z tym szitem ale tu Orange $ pewnie zadziałało ;)

  12. Pamiętam FE świetnie analizował zwłaszcza pliki potraktowane protektorem, pakerem
    twierdził że robią Sleep() x 200 i są złe ;D ale pod względem detekcji faktycznie daje nawet radę tylko
    biorąc pod uwagę kto siedzi pod maską to nie wierzył bym w nic co przyjdzie z tej usługi
    – może być redagowane ;D

  13. detekcja elewacji uprawnien w systemie na podstawie analizy ruchu przez ISP? co za kompletna bzdura.

    taki system nic nie zrobi w przypadku szyfrowanych polaczen, a jesli podstawia wlasne certy dla komunikacji https (czyli robi atak MITM), to stwarza jeszcze wieksze zagrozenie niz brak “ochorny” z jego strony.

    brawo dla Niebezpiecznika za wyrazny podpis, ze nie koniecznie zgadzaja sie z opinia przedstawiona w artykule, bo zapewne Piotrek zaśmiał sie tak samo czytajac ten artykul jak wielu innych ktorzy wiedzą jaki kompletny kawal shitu ktos tu probuje wcisnac.

    mozliwosci ominiecia takiej pseudo ochrony jest multum i nawet przecietny informatyk powinien byc ich swiadomy.

  14. Witam,

    Mam zastrzeżenia do pierwszej części artykułu, traktującej o zastosowanym w eksperymentach *malwarze*:

    “malware, który podmienia numery kont bankowych.”
    “aby w starciu z malware antywirus okazał się bezradny.”
    “Powyższe filmiki to dowody na to, że w starciu zaawansowanym atakami zwanymi APT (Advanced Persistent Threats)”

    Program, który sobie w pętli odczytuje schowek systemowy, a następnie podmienia treść – choć niepożądany z punktu widzenia użytkownika (Potentially Unwanted Application, PUA) to *nie stanowi* zagrożenia dla bezpieczeństwa systemu operacyjnego. Dlatego też ów *program* nie jest przykładem malware’u.

    Nie został bowiem uzbrojony w typowe dla malware’u funkcjonalności, mające na celu jego przetrwanie w systemie, samoobronę itd. – takie też były by wykryte przez nowoczesne skanery heurystyczno-behawioralne.

    Programy modyfikujące zawartość schowka systemowego istnieją od dawna – choćby KeePass. Wobec tego, jak możemy uznać przedstawioną próbkę za MALWARE składający się na *zaawansowany atak* APT?

    Podsumowując, od eksperta bezpieczeństwa wymagać powinniśmy solidniejszej wiedzy i zrozumienia zagadnień bezpieczeństwa komputerowego. Na pewno za przykład naruszenia bezpieczeństwa systemu nie powinien być ukazywany program, który nie jest postrzegany przez antywirusy jako *malware* (nawet jeśli prezentuje potencjalnie niepożądaną funkcjonalność).
    Ponadto slogany typu “ESET Bypass” czy “Trend Micro Bypass” są w tym przypadku dalekim nadużyciem.

    PS: W celu kontynuowania merytorycznej dyskusji prosimy o podesłanie próbki wykorzystanej w eksperymentach, aby zweryfikować czy wykorzystana została faktycznie zaawansowana technika obchodząca skanery behawioralne :-)

    • “Dlatego też ów *program* nie jest przykładem malware’u. Nie został bowiem uzbrojony w typowe dla malware’u funkcjonalności, mające na celu jego przetrwanie w systemie, samoobronę itd. ”
      rozumiem, że twórcy malware zgodnie z ich kodeksem maja obowiązek stosować typowe funkcjonalności? ;-)

    • @Jarek:

      Zdecydowana większość funkcjonalności obecnego malware’u jest “typowa” – zapewniam Cię :)

      Ponadto, jest pewna umowa między firmami antywirusowymi, w ramach której określa się co traktujemy jako malware (oraz jakiego gatunku), a co nie. Przez nadgorliwość w detekcji mamy potem takie kwiatki, jak:

      https://niebezpiecznik.pl/post/bitdefender-niszczy-windowsy-i-siebie-samego/?similarpost
      https://niebezpiecznik.pl/post/eset-nod32-zawiesil-wczoraj-tysiace-komputerow/

      Dlatego też istnieje specjalna opcja w instalatorach/konfiguratorach antywirusów: “Wykrywaj Potencjalnie niebezpieczne oprogramowanie” która dodatkowo zwiększa czułość skanera, kosztem większej ilości False Positive’ów.

    • @Jarek: tak, o ile chcą żeby ich twór został dłużej w systemie (autostart) albo ukrył sie przed użytkownikiem (injekcja do innego procesu).

  15. reklama producenta a ile to kosztuje i ile dostaje Niebezpiecznik?

    • A co ty urząd skarbowy?

  16. Gratuluje szybkiej reakcji działu PR – niemniej wszyscy wiedza ze każdy dobry APT obejdzie FireEye ze względu na zamknięte sandboxy. Stala licencje czy brak dopasowania obrazu testowego do środowiska które jest celem ataku. Nie pomijając oczywiście innych sponsorowanych testów jak NSS Labs dla systemów BDS (woźna zobaczyć jak FE wypadło w 2014 i 2015)

  17. Tylko ja mam takie wrażenie czy nie zależnie od tego co by się nie działo zawsze jest jakiś kwas ? Spodziewałem się jakiś 300 000 wyświetleń filmu obrazującego ten “nowatorski reasearch” dla którego zabrakło publicznie dostępnych próbek i komentarze zostały wyłączone a może to gra pozorów i właśnie mówią o tym w senacie USA

  18. “Analiza dotyczy protokołów http, SMTP, POP, IMAP, ftp oraz dla ruchu zaszyfrowanego https oraz SSL.” – proszę firmę reklamują a swój produkt o opis w jaki sposób program wpływa na transmisje ssl. W szczególności jak następuje analiza ruchu zaszyfrowanego.

    • Analiza ruchu zaszyfrowanego odbywa się na urządzeniu NGFW Palo Alto Networks i możliwa jest dekrypcja dla ruchu wchodzącego z Internetu do serwerów firmowych jak i dla ruchu wychodzącego od użytkowników w wnętrza sieci do różnych serwerów (stron) w Internecie.
      Tu dokładny opis:
      „How to Implement and Test SSL Decryption”
      https://live.paloaltonetworks.com/t5/Configuration-Articles/How-to-Implement-and-Test-SSL-Decryption/ta-p/59719
      Czyli do usługi Malware Protection w drugiej wersji czyli sandbox urządzenie PA wysyła do analizy już niezaszyfrowany plik.

    • O ile dobrze rozumiem to jest to po prostu proxy ssl? W takim wypadku użytkownik nie jest tak naprawdę w stanie zweryfikować tożsamości żadnej strony na którą wchodzi, ponieważ wszystkie będą się przedstawiały certyfikatem od Orange. Poza tym w taki sposób dostawca ma dostęp do wszystkich danych wysyłanych przez internet – haseł, poufnych wiadomości itp. Czy to nie przeczy czasem idei szyfrowania połączeń sieciowych?

    • @Qba
      To klient na swoim urządzeniu dokonuje deszyfracji nie Orange/IS. I to jest polityka klienta czy kontroluje ruch zaszyfrowany czy nie. Moze także np. nie kontrolować stron banków a inne tak, jesli na odpowiednie narzędzia. Usługa analizuje dane jakie wysyłą nam klient czyli niezaszyfrowane i nie mamy żadnych mechanizmów deszyfracji. Oczywiscie mowa tu o usłudze Malware Protection sandbox dla Palo Alto Networks.

  19. chcialbym zobaczyc czy taki sam efekt wklejania numerow kont bylby w trybie bezpiecznej przegladarki jaki oferuje np. eset ?

  20. Rozumiem że jako pojedyńcza osoba bez firmy i mieszkająca poza granicami Polski, jestem 3x oddelegowany i to nie rozwiązanie dla mnie ? Aż chyba wyśle do nich zapytanie o ofertę bo ceny nigdzie nie widze

    • Wystarczy, że skorzystasz z porządnego antyvira a nie tego czegoś z filmiku

  21. Ani to APT.
    Ani to żaden atak.
    Ani “bypass”.
    Ani rozwiązanie.
    Po prostu chamski marketing.

    Bez próbek i konfiguracji AV nie da się potwierdzić czy w ogóle cokolwiek zrobiono.
    YouTube nie takie tricki widział.

    Za to niezależne laboratoria NSS Labs porównujące rozwiązania BDS już dawno rozniosły w pył zarówno FireEye, jak i PaloAlto. A to podobno jest podstawa “niezawodnego” Malware Protectora…

    • Dysponujesz BDS SVM gdzie jest PaloAlto uwzględnione? Bo w 2014 i 2015 brak.
      Były poważne problemy wytknięte w teście 2014 ale zostały przez PA zniwelowane (https://www.nsslabs.com/blog/seriously/). Nie mogę odnaleźć raportu z 2015, w wykazie na stronie NSS brak.

    • P.S. Przy czym test o którym piszę to nie jest test BDS.

  22. Wszystko ładnie i pięknie. A jak tam testy tych rozwiązań u niezależnych – NSS i kilku podobnych ? Są certyfikaty i rekomendacje ? Bo akurat w kwestii technologii sandbox, to te dwie firmy tak sobie wypadaja na tle konkurencji.

  23. Nie ma żadnych informacji o tym jakie podejście zastosował autor do obejścia AV
    Nie ma próbek ani kodu źródłowego zamiast tego mamy lokoniczne zdanie o nie wielkiej modyfikacji struktury kodu co wskazywałoby na znikomą wiedzę dotyczącą sposóbu działania współczesnych AV
    Natomiast to że AV można objeść jest oczywiste, w wielu przypadkach może to zrobić średnio inteligentny 10 latek ale FireEye również są otym nawet dostępne prelekcje już chyba od 2014 roku, poza tym w świetle tego co ma miejsce ostatnio (np https://www.exploit-db.com/exploits/39007/) .
    Krótko mówiąc nie ma próbek, źródeł opisu, metodyk jest film na YT pozostaje wierzyć na słowo człowiekowi co do którego poziomu merytorycznego wątpliwości pojawiały się zawsze i bynajmniej nigdy nie miał on nic wspólnego z materią którą tak ostatnio pokochał no i oczywiście Michałowi Rosiakowi – typowe tepsiane podejście

    • No proszę Marcin, ogarnąłeś się i przestałeś podpisywać własnym nazwiskiem pod paszkwilami? Najtrudniejszy pierwszy krok…

    • sądzę że Marcin (kimkolwiek jest) nie ma powodów żeby nie podpisywać się własnym nazwiskiem w przeciwieństwie do niektórych.
      Proponuje kontakt z lekarzem

  24. Imho jedyną dziś w miarę skuteczną metodą jest sandbox, tylko jaki użytkownik będzie czekał 10-15 min. na plik z Internetu ( bo tyle może trwać analiza próbki )? Chyba dobrą strategię ma Sourcefire ( teraz Cisco ) – pokryć antymaware’m końcówki + urządzenia brzegowe i rejestrować historię ruchu plików w sieci ( też tych potencjalnie czystych ).

  25. Schain wpadnij kiedyś na dt.

    • tak schain już wpadam pochakujemy razem jportal bo goriona już nie ma a świat nie znosi pustki

  26. Sądzę że Marcin kimkolwiek jest nie ma powodu żeby nie podpisywać się własnym nazwiskiem, w przeciwieństwie do nie których.
    W każdym razie polecam kontakt z lekarzem bo ktoś tu ewidentnie ma straszne jazdy

  27. Hehehe… anarchi wariat ;) stare czasy shellcodu… graty ziom! Dobrze że nie stoisz w miejscu.

    • rotfl
      a oto i on we własnej osobie, trzeba to poznać żeby zrozumieć

  28. To brzmi tak jak rozwiązania Cisco oparte na snorcie, które analizują ruch w chmurach…

  29. O! Już sobie przypomniałem to było FirePOWER na ASAch :-)

  30. wolę apparmor..;)

  31. Generalnie rzeknę tak – jako forma laboratoryjno-teoretyczno-badawcza pomysł ciekawy. Do użycia praktycznego nie nadający się. Póki model działania jest choć trochę stacjonarny (dane i zasoby są na dyskach lokalnych) a nie w chmurze, to rozwiązanie jest ułomną protezą, usiłującą dostarczyć klientowi końcowemu rozwiązania laboratoryjne poprzez podłączenie go do laboratorium swoistym ManInMiddle. Różnorodność wariatów, celów, ataków, konfiguracji – uniemożliwia stworzenie funkcjonalnego modelu (choćby brak ochrony gdy na łączu używam RDP via VPN). Pomysły dostawców netu na głęboką ingerencje w działalność end-point userów w celu ich ochrony są skazane na porażkę. To co broni stacji roboczej musi działać blisko, jak najbliżej.

  32. Niezależne laboratoria jak nsslabs..Normalnie rechoczę aż się przewróciłem…Nawet laik jeśliby przeczytal ten raport to skuma ze tło jeden wielki kwas ten test. Poczytaj sobie specjalisto o TCO, to jest główny wskaźnik w porównaniu Nss Labs.

  33. Następni eksperci … normalnie leżę i kwiczę.
    Naprawdę wszystki lch zachęcam do lektury raport Nss Labs :-) Każdy trochę myślący zakuma o co w tym raporcie chodzi

  34. Większość zagrożeń da się zwalczyć wprowadzając odpowiednie polityki bezpieczeństwa na poziomie użytkowania serwisów sieciowych w sieciach firmowych(np. zapytania DNS). Dopóki będzie się pozwalało (nie blokowalo) używać zewnętrznych DNS lub ustanawiać połączenia szyfrowane z sieci korporacyjnej do adresów IP lub FQDNów które nie są rozpoznawalne jako bezpieczne, dopóty będziemy podatni na zagrożenia. Usługi o których mowa w tym artykule są z pewnością potrzebne firmom które mają niski poziom świadomości na temat bezpieczeństwa. Czyli cały rynek SMB w Polsce :). I nie mówię tu o Inżynierach w firmie SMB, tylko Menagerzy i Dyrektorzy bo to oni sa powodem braku decyzyjnych i inwestycji w tej dziedzinie.
    Antywirus jest ciągle potrzeby a pokazywane na filmach rozwiązania są najgorsze na rynku wiec tracą mi tu trochę kreowaną komercja. PS: FireEye jest spoko tego produktu się nie czepiam.

  35. Dyskusja o niczym z niczym, firmom promującą lamerię i dyletanctwo
    Która proponuje panaceum na ataki APT nie będąc wstanie poprawnie identyfikować zagrożeń z masowych kapani spamowych.
    15, 20 lat temu to samo co o BDS mówiono o AV i detekcji Heurystycznej/Behawioralnej – koniec historii – po tych wszystkich latach okazało się że mówiąc delikatnie nie jest ona taka skuteczna jak ją malują, marketing od razu zwęszył interes i teraz sprzedają w ten sam sposób “inteligentne AV/ANTY APT”, za “15” pewnie znowu się okaże że to ściema. Sądzę że siła tych rozwiązań bazuje na tym że nie są one publicznie dostępne w przeciwieństwie do AV, przeciętny kowalski i armia researcherów sobie ich nie kupi więc nie przetestuje. Zresztą samo określenie anty APT to oksymoron – przed APT można się chronić wyłącznie przez wielo poziomowe bezpieczeństwo włączając w to edukacje/szkolenia, systemy i komórki bezpieczęństwa na wszystkich poziomach co oczywiście nie zbyt się pewnie podoba panom z biznesu bo woleli by jedne apliajans i redukcje etatów czyli to co lubią najbardziej

  36. o ile w ogóle można się chronić bo klasyczne podejście mówi że dobra polityka bezpieczeństwa nie polega na tym aby chronić się przed tym co nieuchronne ale żeby ograniczać skutki tego co się wydarzy więc schowajcie sobie między bajki slogan typu ANTY-APT i skupcie na POST-APT a będziecie spać spokojniej

  37. Tyle jesli chodzi o skutecznosc pakietu Eset Endpoint Security:

    ARP psn bypass: https://www.youtube.com/watch?v=GmJSQUCKguw

    FUD Meterpreter DVD autorun: https://www.youtube.com/watch?v=4CDi5y_QHBM

    Eset Endpoint Security – ominiecie HIPS, Firewall, AV: https://www.youtube.com/watch?v=aaAJ-jjNCdo

    • O widzisz możesz się zatrudnić w orandżowym cercie ;]

  38. Co mają tego typu zagrożenia do spamu?Ciekawe…Proponuje jeszcze żeby monitorować blokowania kont domenowych i zarządzał urządzeniami mobilnymi…Normalnie dyletanctwo jak się patrzy :-)

    • No tak zapomniałem że dla niektórych kampanie rozsyłania *SPAMU* z ostatniego okresu (e-faktury, wezwania sądowe) zawierające przeważnie bankiery w załącznikach to ataki APT :D

  39. ja ten artukul czytam tak, ze Orange proponuje swoim klientom FireEye (obok innych narzędzi security – np. Famoc). Więc, jeśli ktoś ma już wiele controlsów i szuka dodatkowych albo po prostu ma niewystarczający budżet na wdrożenie inhouse – to być może ta oferta jest warta przemyślenia. W moim przypadku jest.

  40. a mają to się tak że jak się nie umie ogranąć masówek zawierających właściwie kilka rodzin znanych i starych trojanów bankowych to udawanie ekspertów od APT wygląda dość zabawnie.
    Rozumiem że firma X próbuje coś sprzedać ale kreowanie przy tym sztucznych ekspertów jest po prostu aroganckie .
    Gdyby faktycznie firma Y posiadała ludzi mających coś do powiedzenia w temacie to zapewniła by minimum transparentności (taki dość istotny atrybut w ITSEC wydaje mnie się ;]) czyli tego o czym była dyskusja na początku tematu (raport, binarka, źródła, metodologia) ale tego nie robi
    bo to czysty marketing i dyskusja o niczym.

    • Firma X jest z tego znana chyba że nigdy tego nie robi zasłaniając się a jakże “knowHow”
      bo to przecież tak wysokiej klasy eksperci że muszą chronić swoich tajemnic :D
      Doprosić się od nich wykazu testcase-ów czy zrzutu ruchu a ostatnio jak widzimy nawet opracowań to graniczy z cudem, oczywiście powód jest nieco bardziej przyziemny niż ich “wybitność” . Chciałbym dodać że Know How robi się passe i na miejscu klientów wszelkiej maści domagał bym się zawsze jasnej dokumentacji tego co i jak zostało zrobione – bo to jest normalne

  41. a korzystając z okazji to chciałem się zapytać czy inżynier IS ma jakieś powiązania z państwem islamskim ? Orange + Islamic State ;D

  42. Jakie APT sie pytam? To zwykly trojan z funkja podmiany numeru konta w schowsku.
    Jesli wedlugo Orange to APT topeoponuje trzymac sie z daleka od tym pseldo ekspertow.

  43. Sądzę że warto poskładać ten cały bałagan do kupy

    1. Nie ma czegoś takiego jak anty apt
    Tego typu trudne w klasyfikacji systemy są oczywiście przydatne
    ale nie chronią przed APT (warto przestudiować czym w ogóle jest APT najlepiej na
    głośnych przykładach np Aurorra).
    2. Pan ekspert to raczej średni ekspert ;D
    Choć pamięta stare czasy szelkodu – i tutaj w dyskusje wszelką nie ma co się wdawać
    bo się człowiek upaprze i będzie śmierdział
    3. “Research AV Bypass” hm
    Mógłby być ciekawy gdyby to był research
    Tu nie ma żadnego pola do dyskusji ponieważ nie ma nic poza filmem a jak wiadomo
    telewizja kłamie i równie dobrze mogę sobie nagrać film o tym jak zhakowałem
    pentagon i nie bronie tu żadnych firm AV (chociaż lasowanie swoich usług kosztem
    bądź co bądź poważnych i zasłużonych firm jest prostackie) chodzi o to że
    to nie jest profesjonalne
    4. FireEye
    Nom fajny, jeszcze fajniejszy był kilka dni temu i ogólnie od pewnego czasu jest fajny :D
    Szanuje ich bardziej za publikacje niż bełkot o ich niezawodnej ochronie
    Chciałbym mieć ich produkty w domu bynajmniej nie po to żeby czuć się bezpiecznie
    5. Orange – he he he he

    Tyle chciałem chyba powiedzieć

  44. Jeszcze zapomniałeś dodać że dla ciebie wysyłki malware to nic innego jak SPAM. Bo wszystkie Marciny to rzekome eksperty. …buahahhahaa

    • Chciałeś powiedzieć coś sensownego czy będziesz wykonywał tak beznadziejne wycieczki ad-persona ? Co jest prawda w oczy kole ?
      O czym teraz mówimy ? bo nie wiem o tym że marciny to eksperci czy może o tym że orange chroni przed APT a może o tym że IG to wysokiej klasy ekspert (aż mam wrażenie że pociotek kogoś ważnego)
      Serio sądzisz że FE chroni przed APT ? Wiesz że dobry APT uwzględnia Anty-APT ;>
      Podam ci przykład FE nie ma na end pointach – co z podrzuconymi pendraiwami (stuxnet tak robił) i dokąd dotarł, FE monitoruje ruch (poziom CallBacków) co wykorzystaniem zaufanych domen, załóżmy że c2/c&c znajduje się w zaufanej domenie np mss.orange.pl
      a ruch złośliwy poza szyfrowaniem wykorzystuje stegangrafie będącą zgodną ze wzorcem normalnego ruchu . Co zrobi FE ? zablokuje ruch do mss.orange.pl ?
      ANTY-APT to bajki dla naiwnych którym zależy żeby w swojej fabryce postawić ptaszka “zrobione” przy zadaniu któremu nie potrafią sprostać a chcą zachować stołek .
      I weź ty się już odczep od Marcinów, zakochałeś się czy się porównujesz bo masz kompleksy

  45. Opisy podawane przez przedstawicieli dostarczyciela produktu, są wnikliwe i interesujące.
    Tutaj są podobne:
    http://dilbert.com/strip/2015-12-20

  46. @koza Czy ty wiesz że w przypadku nie których ataków APT pierwsze callbacki są nawiązywane po upływie 6 miesięcy od infekcji ? O czym my dyskutujemy
    cały geniusz wypychania takich panów jak autor na eXpertór polega na tym że znoszą oni dyskusje do poziomu kopania się z koniem, mając za sobą całą tą pieprzoną maszynkę jesteś skazany na porażkę nie zależnie od tego co zrobisz i powiesz.
    Świetny przykład mamy powyżej ANTY / APT – poziom skrypciarzy z XYZ-teamu
    Dyskutujesz – przegrywasz, nie dyskutujesz – oni wygrywają
    Bazowanie na nie wiedzy ludzi a nie na własnej wiedzy i doświadczeniu

  47. Kasia Tusk robi podobną karierę, jest tak wybitna że podpisuje książki w księgarniach

  48. Piotrek to byłoby istotne przynajmniej dla mnie gdyby było wiadome czy masz zamiar opublikować wszystkie komentarze czy publikujesz dość nie wszystkie zgodnie z zasadą Blak-PR/White-Pr dla tego kto więcej płaci
    Jest to ważne dla tego że określałoby to czy faktycznie jest sens wdawać się w dyskusje
    czy ME zawsze musi przegrać w takich wypadkach z godnie z prawami rynku – w takim wypadku warto jednak oznaczać artykuły nie tagiem Artykuł Sponsorowany ale Artykuł Sterowany – choć to pewnie też niezgodne z “prawami rynku”.
    Zrozum człowieku że jak będziesz im klaskał to sam przegrasz TPSA to zawsze TPSA niezależnie od logo i prędzej czy później staniesz się tylko ich klakierem
    Więc bądź tak dobry i opóblikuj moje ostatnie komenty do komentów – odpowiedzialność i tak ponoszę ja

    • Do moderacji komentarze wpadają, jeśli jesteś “nowym” komentującym. Protip: nie czyść ciasteczek pomiędzy wejściami, to nie będą czekały w kolejce do moderacji. Also, moderacja nie pracuje 24h/dobę, trochę cierpliwości :)

  49. @Marcin, tak dla porzadku- mam w du… TPSE ale śmieszą mnie Twoje wycieczki do nich…Czyżby były pracownik ?
    Dobry apt uwzględnia antyAPT…no ciekawe. Pewnie jest taki system jak antyaptbymarcin?Człowieku artykuł dotyczy jednego systemu!Jednego do konkretnych rzeczy…To że musi być uzupełniony w warstwach organizacyjnej (procedury, szkolenia) i technicznej (możliwość rozpięcia ruchu szyfrowanego oraz dostarczają tzw. security analitycs i ochronę koncowek).
    To, że napisałeś ze rozwiązanie nie ma nic na endpointy to właśnie obnaża Twoje dyletanctwo…otóż ma inna sprawa czy spełnia oczekiwania softu bds. I tu odpowiedz brzmi- jak dla kogo. Jeden będzie szczęśliwy tym co dostarcza to rozwiązanie inny powie ze widzi to inaczej i w innym zakresie a jeszcze inny jak Ty, że to jest goown@… bo jest..a cale tepsa to h.
    Jeśli wskazujesz komuś brak profesjonalizmu- zacznij od siebie ekspercie sortu neo.

    • A możesz mi wskazać w ofercie gdzie jest napisane że którykolwiek z wariantów ma coś na end-pointach i co to takiego jest ? Bo jakoś mi to umknęło chyba .
      Ja bardzo szanuje TPSA, jako firmę promującą wysokie standardy ;]
      Ataki apt to w dużym stopniu ataki w których główny nacisk kładziony jest na zbieranie informacji ich techniczna część to z reguły formalność i nie przechodzi się do niej nie mając pewności że się powiedzie. Tak ja to widzę i tak było to przedstawiane kiedyś
      Dziś mamy wersje light. Wygeneruj sobie doc w msf i wyślij – i to nie ma nic wspólnego z APT – niektórzy wręcz sądzą że kampania e-faktur to był atak APT i mówią o tym na uroczystych prelekcjach (tak nie kto inny jak eksperci z TPSA :D).

  50. Btw artykuł dotyczy kilku rzeczy

    1. ANTY APT
    2. “Eksperta” i jego “researchu”
    3. Produktów FireEye

    Ja już się generalnie ustosunkowałem do wszystkich punktów
    ale to miło że nie mówimy już o APT i ANTY-APT od TPSY :D tylko spuściliśmy z tonu i mówimy “Jednym systemie! Jednym do konkretnych rzeczy”

    Geneza problemu to bezczelny pseudo “research” sztucznie kreowanego “eksperta”
    a nie produkty fireeye bo jak już napisałem uważam je za ciekawe i przydatne tworzące dość skuteczną lnie ochrony na pewnych poziomach – ale ten artykuł jest pozbawiony merytoryki to też jest przyczyna problemu ;D
    Tu mamy ordynarne przedstawienie czegoś jako ostatecznego rozwiązania wszelkich problemów przy jednoczesnym promowaniu jakiegoś kola od XSS który jest na tyle bezczelny że przedstawia nawet cudzy kod jako własny i ma czelność udawać specjalistę w dziedzinach które są mu co najmniej tak dalekie jak mi ciepłe kraje

  51. Nawet jeżeli jest to artykuł sponsorowany, to wydaje mi się, że redakcji po prostu nie wypada publikować tak bardzo nieobiektywnych rzeczy tym bardziej, że z częścią artykułu sami się nie zgadzacie…

  52. Tak czytam to wszystko i zastanawiam się skąd się bierze parcie na wypromowanie tego przeciętnego
    pozbawionego osobowości i delikatnie mówiąc wszelkich standardów etycznych człowieka, bo można odnieść
    wrażenie że w tym przypadku to równie ważne a nawet ważniejsze od promowania usługi (brakuje tylko serca i rozumu)
    i dochodzę do wniosku że przyczyny mogą być conajmniej trzy

    1. Ludzie którzy to robią faktycznie widzą w nim eksperta
    co świadczyłoby o nienajlepszej kondycji bezpieczeństwa IT
    2. Gość jest powiązany z kimś wpływowym i na to by wskazywała
    całość jego poczynań nie tylko od etapu Orange
    i jeśli nie będą promować tego jegomościa to cośtam cośtam
    3. To zaplanowane działanie obliczone na skrajne obniżenie poziomu
    dyskusji o bezpieczeństwie IT, prowadzące do marginazlizacji ludzi merytorycznych
    i sprowadzenie wszystkiego do poziomu komedii – równie dobrze do programów bugbounty można by wysyłać
    filmy zamiast exploitów czy dowodów koncepcji – robi dobrze dla biznesu, zwłaszcza z jednej strony

    No jest jeszcze potencjalny powód numer 4 – totalna patologia wymykająca się
    wszelkiej logice – to również bardzo prawdopodobne.
    W każdym razie żaden z powodów nie wróży nic dobrego chociaż z drugiej strony
    cały ten cyrk może trwać krócej niż się wydaje

  53. @koza: Trafiłeś w bingo :) marcin lub echo czy kilka innych ników tutaj to ta sama osoba jeszcze obecny / od nowego roku już były pracownik, niestety historia tego małolata jest dość śmieszna, “echo” lub “marcin” – obecnie dostał od swoich przełożonych propozycję nie do odrzucenia, albo odejdzie sam albo dostanie dyscyplinarkę :)

    Pracuję kilka ładnych lat w tym samym departamencie w którym pracuje “echo/marcinek” :>

    Historia jego wygląda tak:

    Najpierw dostał się do Orange do “Wydziału Rozwoju Zabezpieczeń” od samego początku był problematyczny – czytaj kulą u nogi, potem wypchneli go do CERTu. Kierwnik WRZ’tu z dniem jego przejścia do CERT “otworzył szampana” bo pozbył się problemu kuli u nogi :) najlepszych zostawił ze swojego wydziału u siebie :>

    Następnie marcinek pobył chwilę w CERT Orange i znowu go przenieśli bo był problematyczny w CERT, znowu wrócił do WRZ’tu :) pobył w nim kilka miesięcy,po czym tym razem dostał czerwoną kartkę i go wywalają z firmy :)

    Niestety marcinek nie zrobił kariery w CERT stąd jego komentarze co do CERT Orange :)
    pryszczatego chłopca z zaburzeniami psychicznymi :)

    Pozdrawiam

    • Narcyzm socjopaty na prawdę człowieku zacznij się leczyć albo przynajmniej mówić na temat

    • Szkoda że nie cofnąłeś się do czasów przedszkolnych i nie napisałeś że wszystko zaczęło się od tego że zrobiłem kupę na leżakowaniu, ale dziękuję za przybliżenie mi mojej historii karIJery w orandż to było bardzo pouczające, chciałbym odnieść kiedyś taki sukces jak ty i wy w ogóle ale chyba jestem faktycznie jeszcze za cienki małolat ;D

    • aż żal pupę ściska :)

    • Panowie, umówcie się na dżentelmeński pojedynek i załatwcie sprawę normalnie. Spamowanie internetu wzajemnymi obelgami tylko zajmuje miejsce na dysku i NIE ZAŁATWIA SPRAWY.

  54. Polecam SentinelOne

  55. Bo się goście przyczepili jak rzep do psiego ogona, nie długo chyba zaczną mnie utożsamiać z całym złem tego świata. Rób sobie ten swój “research” przy kolacji, masturbuj się przed lustrem, wierz w swoją świetność i dalej wystawiajcie się na pośmiewisko ogłaszając przy tym sukces za sukcesem ale odemnie się już odklej. Chciałeś pogadać z Marcinem no to jestem pogadałeś. Ja nikogo nie obrzucam obelgami, tylko stwierdzam fakty i stawiam hipotezy w kwestiach które wydają mi się wręcz paranormalne W odróżnieniu od tego średnio kompetentnego pana który ma już chyba jakieś mokre sny o Marcinach i publicznie uskutecznia jakieś kłamliwe ataki pod moim adresem co oczywiście świadczy o standardach panujących w tym departamencie.
    Ja nie mówię o niczym czego nie widać gołym okiem, a z Certem to wy poza nazwą nie macie za wiele wspólnego – i to też jest oczywiste dla wszystkich. Jest dla mnie w ogóle nie zrozumiałe jak bezpieczeństwo zwłaszcza defensywne w największym Telecomie tego kraju może prezentować tak żałosny poziom, spółki które nierzadko stają się celem dość poważnych organizacji, przez które śmiga ruch tranzytowy, które obsługują telefonie, sieć GSM i są największym usługodawcą internetowym. I mam teorie również dotyczącą tego, sądzę że bezpieczeństwo tej firmy znajduje się gdzie indziej.
    Bo gdyby to panowie pokroju PajHiwo mieli nad nim czuwać to już możemy pakować zabawki i iść do domu

    • A ja myślę, że to dlatego, że masz odwagę rzucać kalumniami w sieci, a na korytarzach w firmie chyłkiem pod ścianami przemykasz, bo brak ci jaj, żeby komuś te uwagi w oczy powiedzieć.

  56. Wystarczy “cd %TMP%” ;)

  57. Co za żałosna próba odwrócenia uwagi od kolejnego fuckup-u.
    Sądząc po używaniu tak skomplikowanych pojęć jak “kalumniam” myślę że jesteś tym “znanym” psychologiem społecznym udającym ewangeliste IT, będącym w rzeczywistości dość kiepskim dziennikarzem sportowym piszącym o czymś tak niszowym jak Hokej w Polsce.
    Powinieneś sobie wbić do głowy że takie przyjęcie będziecie pewnie mieć zawsze dopóki będziecie traktować ludzi po tepsianemu, co wam się wydaje że wyskoczycie z jakimś ktosiem i kiepskim filmikiem na poziomie skrypciarzy z gimnazjum i wszyscy zrobią wow – oklaski bo macie ładne pomarańczowe logo ? Coś mi się jednak wydaje że nie, nie macie aż takiego autorytetu i osiągnięć w branży – poza CT s którą o ironio wasz Cert ma niewiele wspólnego, tak więc rękawki w górę i pracujemy drodzy eksperci z CERT Orange Polska

  58. i tak apropos skoro zarzucasz mi “przemykanie” po korytarzach to bądź chociaż tak odważny jak niby jesteś i podpisz się imieniem i nazwiskiem pod swoją opinią razem z kolegą ekspertem anarchim,chainem, czy jak on się tam nazywa w tym swoim wyimaginowanym filmie którego jest głównym scenarzystą,reżyserem i aktorem

  59. A tu tak a propos Iwa, co się nie zna :) Taki tam Hall of Fame, przypadkiem na pewno wrzucili tego beznadziejnego niby researchera.
    http://esupport.trendmicro.com/en-us/business/pages/vulnerability-response.aspx#acknowledgement

    • z formalnej perpsektywy tematu nie ma film nie jest dowodem stawianej tezy a jedynie jej przedstawieniem.
      Poza tym mnie żadna patologia w tej branży już nie zdziwi, widziałem ludzi wyłączających infrastrukturę krytyczną podczas symulacji którzy wygrywali, kiepskie raporty linkowane przez wszystkich przez działanie efektu wilekości firmy.
      Być może w TM siedzi czyjaś żona, mąż albo to przysługa za przysługę a być może Iwo faktycznie umie opisać metodyczny proces prowadzenia czegokolwiek, osobiście mam w dupie czy to jest Iwo czy nie Iwo chodzi o trzymanie standardów, i jeśli faktycznie umie to opisać to powinien udostępnić opis – tyle że wtedy mogło by się okazać że to kolejny banał wielkiego researchera .
      Do tego trzeba dodać różnice językowe TM z USA pewnie nie wiem co to jest Polska i Orange więc jak widzi CERT + Orange + PL to myśli sobie dmuchajmy na zimne ;D

    • Gdyby poklepanie po plecach kogokolwiek przez TrendMicro miało jakiekolwiek znaczenie… To jest wykładnik bycia ekspertem? Jak Orange dziękuje jakiemuś dzieciakowi za to, że 5 raz zgłasza tego samego xssa to on też staje się ekspertem? W końcu wielka i poważana korporacja (tak jest widziana przez tych którzy się nie znają, są ślepi albo dali się omamić marketingowcom) …

      Temat rzeka, kłóćcie się dalej, choć to bezcelowe. Ponad 100 komentarzy, a merytoryki dalej zero

    • Chyba raczej Hall Of Shame

  60. Włączając edytowane konfigi z trojanów bankowych tylko po to żeby pan a jakże menadżer mógł zabłysnąć na forum publicznym

  61. Krótko mówiąc dowód koncepcji albo spadaj, bo dla mnie jesteście całkowicie niewiarygodni
    a odnoszę wrażenie że moja opinia jest bardzo istotna przynajmniej dla was :|
    i w sumie nie wiem czemu przecież ja nie jestem nikim istotnym

  62. i btw to chciałbym powiedzieć że ja już dawno mam te wasze binarki ^^ – sorry za spam

  63. No chyba w TPSA się staje, znam przypadki eXpertów którzy chodzili po kŁorytarzach
    i mówili “wiesz znalazłem kiedyś bugi w orange.pl, crossy !, crossy są fajne…”
    a inni robili śmieszne miny i mówili ” taaa serrio ? :D” Anyway historia tych pierwszych jest dość ciekawa, tych drugi moim zdaniem dopiero zaczyna być ciekawa (nom jak ktoś jest cieciem z urodzenia to mu nie przeszkadza) i pewnie będą jeszcze długie lata cieszyć się z tego że mogą robić pentesty i różne takie dla największych spółek konsultingowych świata, i sek. bankowego za pół-darmo.
    No ale jak ktoś z jakiś powodów ma za plecami instytucje skali Orange, to co pozostaje ?
    Zachwalać ! W każdym razie jak masz IQ > 80 to albo ci posmarują tak że przymkniesz oko albo odpadniesz, nie ma innej opcji

  64. Pomijając oczywiście całkowicie fakt że sami sobie strzelacie w stopę
    stawiając dość odważne stwierdzenie o jednoznacznym obalaniu mitów … bla bla bla
    bo jak pamiętamy FE (dość fajnie opisuje sposób działania Project Zero) nie ma nic na końcówkach więc jeśli nie AV to co ?
    A są przecież takie kwestie jak BOYD, nośniki wymienne, etc … rozumiem że OPL poleca heh inne niezawodne rozwiązanie pt. MCafeee wyskakujące zewsząd (mogłem nagrać filmik, ciekawe czy trafił bym do ich “HF” bo ostatnio nie byli zbyt zadowoleni).
    Zabawne bo ostatnio kupiłem smartfona i dostałem jako bonus mobilny AV od … nie możliwe McAfee – krótko mówiąc zmienił stryjek siekierke na kijek

  65. @echo czekamy na dalsze zwierzenia z tepsy. Wg mnie brakuje jeszcze info o tym ze grupa sprzątająca napastowala cie seksualnie. .. gościu ty się chyba nie orientujesz ze lojalność to jedna z ważniejszych cech tego zawodu (nie mylic z lizaniem doopy).

    Wracając do tematu- piszesz posty chyba w wielkiej podniecie…Już Ci pisałem że fire e ma coś na końcówki. A Ty swoje i swoje. Nie wystarczy czytanie folderów reklamowych z netu.

    • to nie ja zacząłem cykl zwierzeń z TePsy ale uważaj o co prosisz.

      Napisz co ma, opublikujcie POC, ładny artykuł jak normalni ludzie w normalnych firmach i nie będzie tematu, wartościowe rzeczy same się sprzedają – uwierz
      Problem w tym że wy nie możecie tak zrobić, bo chcecie się postawić w roli “my mówimy i tak jest”, oto nowy Autorytet w branży bezpieczeństwa TPSA, Polish Wódka Tim, Pan Graj i Rosiak – czapki z głów, jednak nie macie ekspertów na poziomie którzy faktycznie cokolwiek by reprezentowali (a może macie ale nie są tak ładni i nie jest z nimi tak dobrze bez wazeliny) więc stosujecie jakiś kiepski marketing który bezpośrednio traktuje ludzi jak idiotów … eh nie chce mi się ciągnąć tego tematu bo już chyba i tak jeżeli ktoś to czytał to stracił wątek z dwa dni temu przynajmniej .

      Moja opinia jest taka – stek bzdur, kiepski marketing jeszcze gorszy PR, resercz na poziomie gimbazy amen

  66. dlatego musicie stosować te wasze niecne triki i zagrywki, kupowane opinie i cholera wie co wy tam jeszcze uskuteczniacie bo postawiliście na gości którzy faktycznie nie mają nic do powiedzenia są jedną wielką sklejką miliona kopi, takimi właściwie kserokopiarkami chodzącymi na dwóch nogach których szczytem finezji jest doklejenie union+select do URL-a

  67. Rozumiem że dowiem się ze jakieś “3 dni” co to też FE ma na tych endpointach, jak tylko to wymyślicie :) Pewnie już trwają rozmowy i okaże się w końcu że “dzięki słusznym uwagom naszego umiłowanego eksperta, po złożeniu samokrytyki najwyższych władz spółkowych i wykorzystując nieocenione oraz celne wskazówki umiłowanego eksperta poprawiliśmy swój błąd i wymyśleliśmy niezawodną aleternatywę dla AV dodając ją do naszej oferty
    Rozwiązanie to nazwyane NieAntyWirusem instalowane na komputerze wykorzystuje baze sygnatur i w teorii detekcje heurystyczną oraz behawioralną, w całości zostało one stworzone przez naszego umiłowanego eksperta oraz McAfeeLab w 3 dni od plugawych oskarżeń o lamowatość wysówanych przez zajadłych,zawistnych podłych trolii zazdroszczących sukcesów naszemu wspaniałemu przywódcy oraz organizacji”
    Pewnie nakręcicie o tym film, a Andrzej Wajda napisze książkę
    I tu warto chyba powiedzieć jak moim zdaniem robi się to w normalnym świecie
    1. Znajdujemy podatność
    2. Informujemy vendora
    3. Vendor mówi naprawiłem
    4. Publikujemy informacje
    5. Fame
    6. Jak masz kompleksy albo ci się nudzi robisz sobie filmik na YT
    Normalność !!

  68. @echo faktycznie Ty już straciłeś wątek. Pisałem że akurat mnie nic z tepsa nie łączy i analogia jeśli chodzi o jej ekspertów czy też nie ekspertów jak twierdzisz.

    • ta nie łączy ;D TEPSA wszystkich nas łączy TPSA łączy nas taniej, ale jeśli jest chociaż ziarnko prawdy w tym co mówisz to pewnie jesteś z ISIS i masz podobne problemy egzystencjalne jak już tu opisywane jednak jesteś ale podświadomie to do cholery nie chcesz mieć z nimi nic wspólnego . Nie wnikam, słucham, rozumiem lol Wydaje mi się natomiast że żeby bronić czegoś takiego trzeba być jakoś uwikłanym

  69. @echo …rozpracowales mnie niczym detektyw…Na koniec dodam ze slyszec to moze i slyszysz ale ze zrozumieniem masz ewidentne problemy ;-) … bez odbioru…

    • przykro mi, bo to oznacza że nie dowiem się co FE – zresztą jakie FE, co TPSA ma na końcówkach :D
      i skąd ten personalne ataki, ja po prostu chcę wiedzieć jak Fox Molder I Łant Tu Bilif
      Przeszukałem zasoby OPL – nic, miałem kiedyś do czynienia z FE i też tam nie było konieczności instalacji czegokolwiek na EP, ale może to był jakiś model łatwy w obsłudze dla skrypciarzy z TPSA więc myślę sobie poczytam na FE czy mają coś takiego – nie mają
      No to może Palo Alto i też nie znajduje i co mam zrobić jako potencjalny klient ? Zaufać ochronie oferowanej przez tego typu ludzi ? No bądźmy poważni
      … bez odbioru

  70. No wreszcie

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.