SF - в области реверсинга - $70k - вопросы к Крису)

Так, немного абстрактных комментофф к случайно выбранным фразам. Bullets are not highlighted.

А нафиг он нужен? Неужели есть реальные продукты которые по уязвимости в функции X добавляют фильтр на эту функцию и ожидают поклевки? И не противоречит ли реверсенг законам о нереверсировании? (есть такие у MS?) Не проще ли сговориццо с MS о подписке?

Это скорее всего что их манагеры тоже не знают отличия / or дешевая рабсила из некоторых* стран.

Немного с Conficker'ом, наверное, подзадержались, вышло 3:30?

Достойно относительно белобрысого коренного из SF с дипломом? I wouldn't bet on that.

Теория "старичков" у которых привычно ноет привычная мозоль на жеппе - "я тут сижу уже 5 лет и выучил все эти 666 триков нашего убого продукта и тебе предстоит долгий путь, сынок - года два так - чтобы только освоицца". Hate/Fight!

На самом деле вот тут кроецца ответ на вопрос/defiance Clerk'а к Крису - да мою обфускацию/трики вы хрен чего!... Представьте себе эту подземную комнату где людям разрешаецца пускать разве что калькулятор в безопасном режиме...

Дохрена однака. В центре что-ль?

Все-таки "офигенные" (смотрим также мой коммент про коренного) получают менеджеры, а очень мозговитый который действительно в три часа с отчетом справиццо - всего лишь реверсер.

Наверное вам нужно послать Хэши на вирустотале к вашим сэмплам?

Разве это не простая функция зп?

Наш президент не пьет и не курит - лучше бы пил и курил (c)

С немцами - воевали, с англичанами воевали, с французами, ... с Америкой пока только гуманитарную и ленд-лиз. Но сперва надо спросить - чего защищаем? Кремлядь? Деревянные церкви Руси (c)?

А также пол и протчие предпочтения. На самом деле Крис - шпиен и он ф тылу врага, а тут на форуме он стеганографией передает код сферического малого эмулятора жабаскрипта.

 

очередной троль?

- Скажу вам на языке Clerk'a : Для полного вашего облома задам вам вопрос по *NIX системам, на который я думаю ответа не поступит.

- Ну раз смешно , так не сравнивайте

- Ну никто от этого не защищен. Поэтому продумывайте каждый свой шаг на "один шаг вперед" как в ШахматаХ.

- Возможно правильный, а возможно и нет. Честно мне и моим знакомым по переписке сия стратегия очень помогла в становлении личности.
ЗЫ.: Главное в этом деле не переврать, потому что за каждое сказанное слово приходится отвечать. Вот тут то и выручает стратегия "ШахмаТ"

 

>> это вы так хотите.. если бы сильно хотели взять то взяли
> из нашего тима клерка знаю только я, так что "мы хотим" следует читать как "мыщъх хочет". ну а позицию на фирме и зарплату под клерка организовать не проблема, главное, чтобы он тоже этого хотел, а то будет насилие над личностью, которое ничем хорошим не кончится.

dZentle_man
>> пишут, конечно, но не все можно автоматизировать софтом.
> ..на счастье юниоров)
юниоры тоже пишут софт, т.к. им в лом делать одни и теже операции сто тыщ мильонов раз

> И все равно не верится. Как представлю как я буду соискаться на такую вакансию...)
ИМХО стоит попробовать. хуже не будет

> Так все-таки это автоматизируется?) Я блин чуйствовал) Ну а дальше?
> Спалили и отобрали патчи и что, заставили гнуть спину на более интеллектуальном поприще?)
после того как реверсер нашел что именно пофиксили он посылает рапорт в группу писателей сигнатур или разработчикам спец. модулей детекции, если сигнатуры не справляются. при этом писатели сигнатур как бы не в теме и потому им нужено реально показать пальцем где дыра, а так же предоставить сплоит для тестов сигнатур. сам сплоит может быть и не рабочим (достаточно вызывать крэш), главное чтобы он юзал эту уязвимость.

> Так что, PatchDiff все-таки не канает?
без PatchDiff'а в голой ИДЕ анализировать патчи вообще нереально. PatchDiff облегчает работу, но это инструмент типа мотыги, а не трактор с программым управлением.

> Ведь даже если найти блоки изменений все равно придется извращаться
> чтобы проанализировать точнее?) Заметьте, не я его предложил)
даже если блоки найдены и видно, что пофисили -- еще до фига работы. вот, допустим, видно, что тут было: foo(int len){len += 4; if (len < XXL) p = malloc(len);}. а стало: ...if ((len > 4) && (len < XXL))... ага! говорим мы! один баг пофиксили, другой оставили на развод. но! нам еще нужно выяснить кто вызывает foo (положим, это не экспортируемая функция) и откуда берется len. очень может быть, что юзер непосредственно не может влиять на len, т.к. во всех вызовах в материнской функции len - константа. а если и не константа -- там могут быть проверки в материнской функции... ms фиксит и те баги, которые нельзя эксплуативровать.

анализ патчей -- рутиная работа, но она автоматизируется если есть мозги. в частности, если мы знаем, что ms пофиксила переполнение кучи, то логично начинать плясать от функций работы с кучей. генерируем (скриптом) список функций, вызывающих кучевые функии. генерируем список функий в которых PatchDiff нашел различия, а потом пытаемся найти общее функции в обоих списках или функции, у которых есть общие родители или предки в этих списках. это ускоряет анализ в сотни раз. а еще можно HexRays заюзать, т.к. на си-уровне мы абстрагируемся от регистров и прочих мелочей.

>> юниор по определению обезьяна. только хорошо обучаемая.
> Не пойму я вашего отношения к юниорам) Какое то презрение все-таки?)
я сам был юниором, а в некоторых областях -- до сих пор юниор. никакого презрительного отношения нет. и патчи тоже реверсил. и ничего зазорного в этом не видел.


K10
> интересно, а зачем говорите о 70к, если на руки меньше?
а как я скажу сколько на руки если это зависит от штата, например?

> обычно, когда говорят о зарплате, то имеется ввиду, то что на руки.
щас. в штатах и европе в 99% случаев говорят о зарплате и бонусах до налога. и даже в ценники налог сплошь и рядом _не_ включен. а если туда еще не включен и сервис, то разница между ожидаемым и действительным уже очень существенная.

но вообще сравнивать зарплаты в разных странах -- дело пустое и неблагодарное. в штатах дешевле одно, в россии - другое. штука баксов в россии (в месяц) это не самые плохие деньги (в провинции), а в штатовской провинции это ниже плинтуса, хотя большинство товаров ощутимо дешевле, чем в россии.

Satsura
> Вобщем господа из всего выше сказанного делайте выводы.
> 1 Обязательно надо освоить пару *никс-like систем
> (ой несладкое ето дело для заядлых виндузятников...)
я пишу на ANSI C и мне достаточно уметь писать make файл под никс, а так же знать командную строку на уровне "зашел в никсы и скомпилировал гнусем свой прект, в очередной раз подивившись его странностям".

знание никсов, конечно, это плюс, но совсем не обязатаельное требование.

> 2 Продвигать свою кандидатуру на сайтах профессиональных соц сетей (типа Linkedin),
ИМХО Linkedin уже мертв. интерес к нему угасает прямо на глазах.

> 3 Работать по удаленке.(Законы у нас все таки более менее хацкеро-выносимые).
а работать физически не вариант?

Neonix
>> имхо, работа на американцев - работа на противника, а значит против своей страны...
>> хотя, кто свалил, для них уже видимо своя страна и противник поменялись местами
> наивно както, простите.
действительно, наивно. друзья и противники -- они у политиков, а у простых смертных отношения тоже простые и без понтов. какие американцы мне враги? они мои друзья, коллеги или соседи по кондо. причем, многие американцы -- русские, а многие русские -- американцы.

> ну вот на мсвс у нас выделили деньги, разработали.
> посмотрите на это творение и поймете куда деньги ушли)
в америке тоже выделяют деньги на "глобальные" проекты по отмыву денег. и тоже есть откаты. причем нулей там побольше будет и все это в долларах.

> Вывод:себя надо уважать, а если в америке интересная работа и хорошие деньги
> (+менталитет, но это на любителя) значит надо на них и работать. В конце концов
> работа - не война.
о, да. у меня тут вообще есть вариант на иран работать. а иран америке -- прямой враг. про россию не в курсе, но уж точно не друг. но это же все политика, которая простых граждан не касается. я ж не ядерное оружие там разрабывать буду.

PSR1257
>> ревесинг патчей оплачивается довольно неплохо
> А нафиг он нужен?
потому компании типа ms и adobe не говорят, что они фиксят. а как предполагается писать IPS под "пойди туда не знаю куда, поймай мне то, сам не знаю что" ?!

> Неужели есть реальные продукты которые по уязвимости в функции X
> добавляют фильтр на эту функцию и ожидают поклевки?
да. и как на host-стороне (HIPS'ы), так и на проволоке (IPS'ы). разумеется, зависит от функции. не все можно поймать на сетевом уровне, и не все можно спалить на хосте.

> И не противоречит ли реверсенг законам о нереверсировании? (есть такие у MS?)
MS не издает законов, помилуйте сударь. читайте законы.

> Не проще ли сговориццо с MS о подписке?
или заюзать социальную инженерию. экномоит кучу времени. особенно при реверсинге новых версий оперы, где дох изменений и фиг поймешь куда копать. короче, вам предлагают $350 в день. вы можете "сговориццо с MS о подписке" или можете реверсить сами. или кого-то нанять. или помедитировать

>> есть люди, которые работают в этой индустрии (и неплохо котируются)
>> при этом не знают чем отличаются 16/32/64 режимы
> Это скорее всего что их манагеры тоже не знают отличия
> or дешевая рабсила из некоторых* стран.
"есть люди..." это не означает, что "все придурки -- один я умный", это означает, что реверсить 32х битные патчи можно и без знания 16ти битного асма

>> анализируют exe малварь и им на все про все ... дается три часа
> Немного с Conficker'ом, наверное, подзадержались, вышло 3:30?
сарказм неуместен. есть кастомер и есть дедлайн. не успел к дедлайну -- сам себе буратино. о том, что за три часа ничего нельзя толком проанализировать это всем понятно, в том числе и кастомерам, но...

>> платят достойно
> Достойно относительно белобрысого коренного из SF с дипломом? I wouldn't bet on that.
достойно даже по американским меркам.

>> юниор по определению обезьяна. только хорошо обучаемая
> Теория "старичков" у которых привычно ноет привычная мозоль на жеппе
> "я тут сижу уже 5 лет и выучил все эти 666 триков нашего убого продукта
> и тебе предстоит долгий путь, сынок - года два так - чтобы только освоицца"
вы сами выдвигаете тезис и сами же с ним спорите. откуда вы взяли цифру два года?! откуда вы взяли цифру в 5 лет?! откуда вы вообще взяли старичков?! допустим, в момент времени t1 мы приняли трех пиплов A, B, C на должность юниора. в момент времени t2 они скорее всего будут на разных должностях. кто-то останется юнирором, а кто-то уже дорастет и до сеньренских/лидерских позиций или даже будет архитектором. а кто-то, возможно, вообще уйдет в другой тим или в дргую фирму.

>> клиенты это в основном банки, военные организации
> На самом деле вот тут кроецца ответ на вопрос/defiance Clerk'а к Крису
> да мою обфускацию/трики вы хрен чего!... Представьте себе эту
мимо. просто для exe уже есть мощные деофускаторы, есть распаковщики, есть реконструкторы потока управления...

> подземную комнату где людям разрешаецца пускать
> разве что калькулятор в безопасном режиме...
фиг там. сидят и под админами.

>> а это (опять грубо) штука в месяц (в SF будет больше)
> Дохрена однака. В центре что-ль?
у меня на хутори близ диканьки в 50 метрах от центра города одна спальня стоит $2k со всеми утилитами и это дешевка. и мы не калифорния. в калифорнии (а особенно в SF) цены выше. а хорошая квартира по моим понятиям тут понянет на $4k.

>> с его мозгами он тут бы мог получать офигенные деньги
> Все-таки "офигенные" (смотрим также мой коммент про коренного) получают менеджеры,
> а очень мозговитый который действительно в три часа с отчетом справиццо - всего лишь реверсер.
"какая блин несправедливость"

>> Налоги у каждого разные
> Разве это не простая функция зп?
в америке как минимум налоги варьируются в зависимости от штата. нет, не простая функция. налог прогрессивный на совокупный доход. в общем, конечно, можно посчитать и сколько будет чистыми на руки (хотя бы грубо), что я и сделал выше, однако, если меряться пиписьками с другими америкосами, то у них пипськи будет длиннее, т.к. они берут размер до налога.

вспомниается анекдот детский
-- а у меня пиписька на 2мм длинее!!!
-- зато у тебя она до акта, а у меня уже опал!

 

kaspersky

Еслибы они существовали, то использовались в паблик продуктах. Более того, сейчас не возможно выполнить полноценный анализ автоматически, не зависимо от качества виртуальных машин, пусть она будет совершенной. Это может сделать только человек.

 

Clerk
> Еслибы они существовали, то использовались в паблик продуктах.
они используются. на OpenRCE некоторые из них даже доступны для бесплатного скачивания. на ида-форуме тоже выкладываются.

> Более того, сейчас не возможно выполнить полноценный анализ автоматически,
что такое полноценный анализ?

> не зависимо от качества виртуальных машин, пусть она будет совершенной.
> Это может сделать только человек.
вот потому реверсеры и получают зарплату

 

kaspersky

Это имеется код, а ваша тулза должна определить что он делает. Вместо этого ваши реверсеры получают зарплату за изучение потока семплов, после чего добавляют сигнатуры в базы.

 

Clerk
>> что такое полноценный анализ?
> Это имеется код, а ваша тулза должна определить что он делает.
FireEye пытается определить автоматом и рубит бабло нехило на этом, хотя, конечно, в силу своей примитивности справляется только с простешей малварью.

 

ну надо думать)

Очень по-ихнему) Всегда найдут чем удивить)

Ну без такого рода автоматизации я вообще не представляю себе работу реверсера, даже обезьянью. Ведь низкоинтеллектуальность не в том, что нужно каждую функцию ручками перебирать, а в том что такой обезьян не в состоянии заниматься другими работами, требующими большой осведомленности в недрах системы - например разработкой защитных и отладочных механизмов.

Где то мне попадалось что ты считаешь что и программировать тоже не умеешь) Про незнание С++ я уже как то привык читать, но чтобы программирование?) А что там уметь? Чтобы код был читаемым? Что ты под этим понимаешь?


Кстати, а в твоей организации обезьяны не нужны?) Уж если с кем и хотелось бы поработать, то с самим сэнсеем)

 

> то что ты имеешь ввиду называется заставить работать на дядю
1) никто никого не заставляет, тут дело добровольное;
2) работа на себя -- иллюзия. реально это работа на кастомеров;

> я же говорю что нужно уметь завлеч
говорить и я умею. а если конкретно?

> если вы дествительно считаете что
> у вас есть что то интересное для клерка
считаю, что есть.

> если просто хотите видеть человека в команде,
> при этом человеку будет у вас не интересно
> тогда да, нет смысла нанимать, завлекать
угу

 

- Буду умнее и промолчу на сей пост.

- Крис, "физически" понятие многозначное[полиморфное].Говорите ясней.
Если вы о том что, работать "присутствуя на рабочем месте" , то я работаю уже. Но на своё правительство, а не на Америкосов

- Существуют, поверьте мне. И в паблик наврятли будут выпущены. На то есть причины

- Реверсер понятие относительное. Взгляните на свои пальцы. Они все разные

- Переработанный движок Нортон AV похоже никогда не станет полноценным (deja vu)

 

На кастомеров, но без дяди. Т.е. человек сам себе "дядя", и от него зависит сколько он заработает, а не от дяди...

 

kaspersky

ясно, все суммы, Вами называемые, надо сразу в уме делить на 1.5...2

 

если по теме, то что-то я не могу устроиться простейшей обезьяной даже за 300$ в месяц ни в какую компанию на роль реверсера. например в F-Secure вот что говорят: Thanks for your e-mail. We don't have any technical staff in the UK office, only sales and marketing staff are based here.
Ну это Англия, другого и ожидать не стоило Жду ответов от других фирм особенно от американских. посмотрим что будет.. но я сильно сомневаюсь в успехе.
отпишу тут ответы на радость форумчанам. посмеетесь хоть надо мной

 

Neonix
что в твоём понимании реверсер?
сколько какой работы надо выполнять в единицу времяни?

 

wsd
что в твоём понимании реверсер?
моё понимание работодателю не интересно. я писал, что рассчитываю хотя бы на "обезьянью" работу, о чем говорят мои скромные предпочтения по з/п.
То есть пускай мне поручат даже рутину типа анализа файлов на предмет зараженности и описание функционала зловреда.
Продвинутый реверсер должен ещё и кодить, чего я толком не умею. То бишь такой реверсер проанализировать продукт конкурента и реализовать его идеи в своих проектах. Портирование мощных программ типа айса на другие системы, поиск и исправление багов в системе, компиляторах, написание продвинутых эвристиков... это настоящий реверсер.
но обезьяны-рутинщики типа меня видимо не требуются.

 

Neonix
сколько килобайт малвари в среднем( не супер запутанной) ты можеш качественно проанализировать за рабочий день?

 

Neonix
опережу твой ответ )
в основном требуются те, кто может полностью всю новую малварь проанализировать практически моментально..
а те кто копашатся с ней 2 месяца и за 100$ не нужны

 

wsd
есть такая весчь как интуиция если хотите. то есть необходимый навык при должном желании можно очень быстро приобрести.
другой вопрос, что корпоративное воспитание это лишь сказка. всем видимо нужны готовые Крисы на блюдечке.

 

Neonix

мыщъх сделал себя сам.
и тебе того же советую.
устройся тестером и развивайся )

 

Neonix
похоже ты не в тот оффис F-Secure написал...