Входной билет в Хак дорожает так, что скоро потянут только избранные. И это не только про деньги!
Вспомните, сколько стоил рабочий нульдей под Android лет 10-15 назад? Несколько тысяч баксов, ну пару-треху десятков. А сегодня? Zerodium и такие же меньше чем за $1m на твой эксклюзив даже не посмотрят, и то если он пройдет все их кордонные проверки на уникальность и прочую лабуду. А iOS? Там ценники такие сейчас, что только госконторы или совсем отбитые синдикаты могут себе позволить.
И это не потому, что дыр стало меньше - их как грязи было, так и есть. Просто каждый новый защитный слой, каждая хитрая EDR-приблуда, каждый сраный Canary-токен - это +X часов ресерча, +Y денег на обход, +Z к риску спалить всю малину. И дело тут не только в цене эксплойтов.
Вот тут недавно на форуме объявили Pro вакансию с требованием "опыт с таргетами 1b+ TIER 1, со всеми вытекающими", и это вообще другая лига и даже с кастомно переписаным кобальтом ловить там вообще нечего. Только свой, допиленный до блеска инструментарий, с полным пониманием стека защиты до последнего байта. Не зря старина Weaver талдычит всем постоянно: "все пишите своё, или вы бомжи". Только вот "своё" сегодня - это не просто скрипт на Python, это месяцы разработки и поддержки.
Сама атака на такие жирные цели - дорогущее мероприятие. Раньше было: нашел RCE, залил шелл, профит. Теперь ты сначала неделю ковыряешь их кастомный WAF, потом пытаешься просунуть свой хитрожопый пейлоад мимо SIEM'а, который орёт от любого нестандартного юзерагента. Твой тот самый кастомный инструментарий, написанный на Rust, который ты неделю обфусцировал до состояния неузнаваемости, отлетает через пять минут, потому что их ML-моделька натренировалась на паттернах твоего C&C-трафика.
Так что, приехали - остановочка, и на выход из черного IT. Хак становится привилегией для финансируемых из APT, миллионеров-шкафов или для тех, кто готов вкладывать в это дело как в полноценный бизнес-проект. Посмотрите на затраты: OPSEC (нормальные прокси, не палящиеся VPS под C2, чистое железо, анонимность, которая стоит как пол мерседеса), время на разведку (OSINT теперь это целая наука, а не просто продвинутый гуглеж и парсинг открытых баз), покупка или доработка эксплойтов (от $50k, но на самом деле намного выше), инфраструктура, а потом еще и отмыв крипты с потерями. Это уже не в романтику, это строго выверенный менеджмент проекта. И ведь оппоненты (там синие, вендоры) не спят: каждый день выкатывают новые патчи, новые эвристики, новые техники обнаружения. Только успевай адаптироваться.
Ну и отлично! - сейчас думают те немногие, кто уже сидит на этом Олимпе. Отсеется шелупонь со своими Metasploit и другими паблик C2, останутся только настоящие профи, которые умеют в сильный код. Игра станет чище, цели интереснее. Другие же - чешут репу: а куда я теперь без "it", на завод что ли. Долбанный Дарвин: выживают только самые хитрые, технически подкованные и готовые постоянно учиться, при чем быстро и с повышенным КПД. И это все новая экономическия реальность атак.
Вспомните, сколько стоил рабочий нульдей под Android лет 10-15 назад? Несколько тысяч баксов, ну пару-треху десятков. А сегодня? Zerodium и такие же меньше чем за $1m на твой эксклюзив даже не посмотрят, и то если он пройдет все их кордонные проверки на уникальность и прочую лабуду. А iOS? Там ценники такие сейчас, что только госконторы или совсем отбитые синдикаты могут себе позволить.
И это не потому, что дыр стало меньше - их как грязи было, так и есть. Просто каждый новый защитный слой, каждая хитрая EDR-приблуда, каждый сраный Canary-токен - это +X часов ресерча, +Y денег на обход, +Z к риску спалить всю малину. И дело тут не только в цене эксплойтов.
Вот тут недавно на форуме объявили Pro вакансию с требованием "опыт с таргетами 1b+ TIER 1, со всеми вытекающими", и это вообще другая лига и даже с кастомно переписаным кобальтом ловить там вообще нечего. Только свой, допиленный до блеска инструментарий, с полным пониманием стека защиты до последнего байта. Не зря старина Weaver талдычит всем постоянно: "все пишите своё, или вы бомжи". Только вот "своё" сегодня - это не просто скрипт на Python, это месяцы разработки и поддержки.
Сама атака на такие жирные цели - дорогущее мероприятие. Раньше было: нашел RCE, залил шелл, профит. Теперь ты сначала неделю ковыряешь их кастомный WAF, потом пытаешься просунуть свой хитрожопый пейлоад мимо SIEM'а, который орёт от любого нестандартного юзерагента. Твой тот самый кастомный инструментарий, написанный на Rust, который ты неделю обфусцировал до состояния неузнаваемости, отлетает через пять минут, потому что их ML-моделька натренировалась на паттернах твоего C&C-трафика.
Так что, приехали - остановочка, и на выход из черного IT. Хак становится привилегией для финансируемых из APT, миллионеров-шкафов или для тех, кто готов вкладывать в это дело как в полноценный бизнес-проект. Посмотрите на затраты: OPSEC (нормальные прокси, не палящиеся VPS под C2, чистое железо, анонимность, которая стоит как пол мерседеса), время на разведку (OSINT теперь это целая наука, а не просто продвинутый гуглеж и парсинг открытых баз), покупка или доработка эксплойтов (от $50k, но на самом деле намного выше), инфраструктура, а потом еще и отмыв крипты с потерями. Это уже не в романтику, это строго выверенный менеджмент проекта. И ведь оппоненты (там синие, вендоры) не спят: каждый день выкатывают новые патчи, новые эвристики, новые техники обнаружения. Только успевай адаптироваться.
Ну и отлично! - сейчас думают те немногие, кто уже сидит на этом Олимпе. Отсеется шелупонь со своими Metasploit и другими паблик C2, останутся только настоящие профи, которые умеют в сильный код. Игра станет чище, цели интереснее. Другие же - чешут репу: а куда я теперь без "it", на завод что ли. Долбанный Дарвин: выживают только самые хитрые, технически подкованные и готовые постоянно учиться, при чем быстро и с повышенным КПД. И это все новая экономическия реальность атак.
