C

o się może złego dziać, jeśli czasy połączeń i odpowiedzi pomiędzy daemonami lub aplikacjami umieszczonymi na różnych serwerach losowo wahają się dochodząc nawet do wartości sekund? W dodatku liczba pakietów opuszczających serwer na wyjściu jest zauważalnie większa niż otrzymuje on do przetworzenia na wejściu. Wykluczając problemy wydajnościowe dotyczące utylizacji zasobów serwera, do którego się łączymy – pozostaje tylko jedno – sieć.
[ czytaj całość… ]

Y

ARA jest narzędziem, które jest ukierunkowane (lecz nie ograniczone tylko do tego) na pomoc badaczom w identyfikacji i klasyfikacji próbek szkodliwego oprogramowania. Przy jego użyciu możemy w prosty sposób stworzyć opisy dowolnych obiektów za pomocą tekstowych oraz binarnych wzorców. Każdy taki opis aka reguła składa się z zestawu łańcucha/ów znaków i wyrażeń logicznych, które determinują logikę reguły.
[ czytaj całość… ]

N

arzędzie o nazwie gixy zostało stworzone w celu możliwości przeprowadzenia statycznej analizy pliku konfiguracyjnego serwera nginx. Pozwala on znaleźć błędy w konfiguracji, które mogą doprowadzić do powstania m.in. następujących luk:

– Server Side Request Forgery
– Request Host Header Forgery
– HTTP Splitting
– Refferer/origin validation
[ czytaj całość… ]

Jak sprawdzić, czy klucz prywatny pasuje do wydanego certyfikatu? Powinny posiadać identyczny skrót SHA256:

openssl rsa -noout -modulus -in kluczdomeny.key 2> /dev/null | sha256sum -

e3b0c44298fc1c149afbf4c8996fb92427ae41e4649b934ca495991b7852b855 -

openssl x509 -noout -modulus -in certyfikat.crt 2> /dev/null | sha256sum -

e3b0c44298fc1c149afbf4c8996fb92427ae41e4649b934ca495991b7852b855 -

Jeśli jest inaczej to znaczy, że coś poszło nie tak w procesie generowania certyfikatu lub pomyliliśmy pliki.

A

więc firma, na którą dostaliśmy zlecenie audytu posiada na swojej stronie listę kilku pracowników z imienia i nazwiska, a jej rekordy DNS typu MX sugerują, że używa Google Apps dla firmowej domeny. Jak potwierdzić fakt, że dany pracownik posiada adres w formacie: imie.nazwisko@startup.pl i jest istniejącym kontem w usłudze Gmail? Oczywiście możemy wysłać wiadomość e-mail z jakiegoś jednorazowego konta e-mail i oczekiwać na zwrotkę w przypadku pomyłki, ale równie dobrze możemy trafić na jakiś adres typu catch-all lub alias prowadzący do innego odbiorcy, a to już komplikuje nam nasze intencje.
[ czytaj całość… ]

P

odczas ostatnich testów na SSL Labs zauważyłem nowy wpis, jaki pojawił się na tablicy wyników: DNS CAA: No. O, co chodzi z tym wsparciem dla DNS CAA? CAA jest nowym typem rekordu DNS, który określa, jaki CA (Certificate Authority – określenie organizacji bądź firmy zajmującej się wydawaniem i obsługą elektronicznych certyfikatów) jest uprawniony do wystawienia certyfikatu dla danej domeny. CAA został opisany w RFC 6844 w 2013 roku w celu poprawy siły ekosystemu PKI (Public Key Infrastructure). Niestety przez ostatnie 4 lata pozostawał on tylko w statusie propozycji standardu. Jednak za sprawą ostatniego głosowania CA/Browser Forum ma to się zmienić od 8 września 2017 roku. Po tym czasie standard wydawania certyfikatów zostanie wzbogacony o sprawdzanie rekordów CAA.
[ czytaj całość… ]

W

pierwszej części poznaliśmy prostą metodę przejęcia domeny wraz z jej pozycją SEO oraz reputacją. W dzisiejszym poście omówimy technikę zwaną domain fronting. Na czym ona polega? Dla przykładu spójrzmy na jeden z adresów IP używanych przez frontowy serwer obsługujący domenę www.google.es:

# host www.google.es
www.google.es has address 216.58.210.163
www.google.es has IPv6 address 2a00:1450:4003:808::2003

[ czytaj całość… ]

J

ak w środowisku, które jest poddawane dokładnej filtracji sieciowej stworzyć obejście i tunel do własnych serwerów C2? Istnieje wiele dróg, aby ominąć monitoring oraz restrykcje przepływu informacji z jednej sieci do drugiej. W niektórych przypadkach sprawdzą się takie narzędzia, jak ICMPsh lub DNScat. Jednak w tym wpisie zajmiemy się przypadkiem filtrowania przez proxy sieci wewnętrznej odwiedzanych stron internetowych. Coraz częściej firmy nie tylko blokują szkodliwe strony, ale także blokują dostęp do witryn, które zostały niezakwalifikowane do żadnej kategorii ( np. zakupy, finanse, sport itd.) lub posiadają wątpliwą / niską reputację.
[ czytaj całość… ]

W

pierwszej części poznaliśmy podstawowe opcje konfiguracyjne uniemożliwiające wykorzystanie naszego serwera jako open resolver oraz pozyskania plików stref. W tej części zajmiemy się blokowaniem informacji, które mogą dostarczyć atakującemu niezbędnej wiedzy podczas rekonesansu. Serwery BIND (oraz wiele innych) potrafią zwracać „ukryte” informacje, gdy zostanie wysłane do nich specjalne zapytanie DNS. Zazwyczaj nie jest to pożądana ekspozycja dlatego należy ją zablokować.
[ czytaj całość… ]

H

unter Gregal napisał proste narządzie do zrzucania haseł użytych w sesji logowania bieżącego użytkownika na stacji roboczej Linuksa. Skrypt był wzorowany na podstawie popularnego narzędzia dla systemu Windows o nazwie mimikatz. Wykorzystuje on zapisane czystym tekstem dane uwierzytelniające, które są zrzucane razem z pamięcią procesu. Plik z zawartością pamięci jest później przeszukiwany pod kątem linii, które mają wysokie prawdopodobieństwo przechowywania haseł.

Więcej informacji: mimipenguin