NFsec Logo

Odtworzenie prywatnego klucza RSA

19/11/2014 w Bezpieczeństwo Możliwość komentowania Odtworzenie prywatnego klucza RSA została wyłączona

I

stnieje możliwość odzyskania prywatnego klucza RSA tylko na podstawie klucza publicznego. Ze względu na ograniczoną moc obliczeniową poniższy przykład zostanie zaprezentowany na 256 bitowym kluczu. Tak skromna długość kluczy raczej nie występuje już w Internecie, ale czasami można natknąć się jeszcze na 512 bitowe instalacje (aktualnie OpenSSH za pomocą programu ssh-keygen nie pozwala na wygenerowanie krótszego klucza niż 768 bitów).
[ czytaj całość… ]

Symulacje awarii sieci

16/11/2014 w Administracja Możliwość komentowania Symulacje awarii sieci została wyłączona

W

ięc stworzyliśmy swoją niezawodną aplikację / system / usługę (* niepotrzebne skreślić) i jesteśmy gotowi na produkcję. Wszystko logicznie zostało zaprogramowane – wyłączyliśmy / włączyliśmy – przetestowane. Jednak cykl życia aplikacji w prawdziwej dżungli IT wygląda trochę inaczej.
[ czytaj całość… ]

Rozszerzenie ipset dla iptables

08/11/2014 w Bezpieczeństwo Możliwość komentowania Rozszerzenie ipset dla iptables została wyłączona

P

rzez długi czas firewall w Linuksie oparty o iptables nie miał żadnego efektywnego sposobu, aby dopasowywać reguły do zbiorów adresów IP. Jeśli mieliśmy wiele adresów IP, aby dopasować do nich różne reguły (na przykład: setki lub tysiące adresów IP, które należało trzymać z daleka od portu SMTP) trzeba było tworzyć jeden wpis iptables dla każdego adresu IP, a następnie wprowadzać te wpisy sekwencyjnie. To wprowadzało wiele komplikacji w utrzymywanie takiego rozwiązania. Na szczęście w jądrach od serii 2.6.39 (Ubuntu 12.04, 14.04, Fedora 20, RHEL / CentOS 7) pojawiło się rozszerzenie ipset.
[ czytaj całość… ]

git Push-to-Deploy na przykładzie serwera varnish

26/10/2014 w Administracja Możliwość komentowania git Push-to-Deploy na przykładzie serwera varnish została wyłączona

K

iedy korzystamy z polecenia git zazwyczaj dotyczy ono przepływu pracy typowego dla kontroli wersji. Mamy lokalne repozytorium na swoim komputerze, na którym pracujemy i zdalne, gdzie trzymamy wszystko w synchronizowanym stanie i możemy pracować z innymi członkami zespołu lub z innych maszyn. Jednak narzędzia git można też użyć do wdrożenia aplikacji / konfiguracji na dowolne środowisko – testowe / produkcyjne. Wyobraźmy sobie następujący przykład:
[ czytaj całość… ]

Uciekając z sudo – część druga

18/10/2014 w Bezpieczeństwo Możliwość komentowania Uciekając z sudo – część druga została wyłączona

W poprzedniej części omówiliśmy niebezpieczeństwo przyznawania podwyższonych uprawnień do programów, które posiadają możliwość uruchamiania powłoki systemowej. Zanim przejdziemy do kolejnego problemu poleceń wykonywanych za pomocą sudo wróćmy jeszcze na chwilę do programu less. Dopełniając poprzedni wpis warto nadmienić, że umożliwia on również uruchomienie innych zewnętrznych programów np. edytora za pomocą polecenia „v
[ czytaj całość… ]

Proof of Concept – secure SSH keys store lub config store

06/10/2014 w Administracja Możliwość komentowania Proof of Concept – secure SSH keys store lub config store została wyłączona

Z

ałożenie projektu: stworzyć usługę, która w (dość?) bezpieczny sposób będzie przechowywała i udostępniała (wrażliwe) dane. „Nice to have” (Fajnie to mieć) to możliwość jej skalowania, wysoka dostępność, dobra wydajność oraz self-service . Jako backendu usługi użyjemy etcd – wysoko dostępnej bazy typu key – value używanej m.in. do współdzielonej konfiguracji oraz wykrywania usług (ang. service discovery). Na froncie użyjemy serwera Varnish, który za pomocą kilku wtyczek pozwoli nam wprowadzić mechanizm uwierzytelniania oraz swego rodzaju API.
[ czytaj całość… ]

Instalacja serwera bind w środowisku chroot() – Ubuntu 14.04 LTS Server

20/09/2014 w Administracja Możliwość komentowania Instalacja serwera bind w środowisku chroot() – Ubuntu 14.04 LTS Server została wyłączona

T

a krótka instrukcja poruszy temat skonfigurowania serwera DNS bind w środowisku chroot() pod katalogiem /var/chroot/named. Na początek w systemie należy zainstalować takie pakiety jak: bind9 oraz dnsutils. Pierwszy z dwóch zapewni nam oprogramowanie BIND samo w sobie podczas, gdy dnsutils takie narzędzia, jak dig oraz nslookup, które będzie można wykorzystać do przeprowadzania zapytań dns oraz troubleshootingu.
[ czytaj całość… ]

SCS: Package Keeper

10/09/2014 w Administracja, Hacks & Scripts Możliwość komentowania SCS: Package Keeper została wyłączona

P

ackage Keeper – to prosty skrypt napisany w języku Python, który służy do zarządzania listą pakietów (za pomocą zbiorów – ang. sets oraz narzędzia apt-mark), które są oznaczane stanem hold. Stan ten m.in. w systemie Ubuntu służy do zapobiegania automatycznej instalacji, aktualizacji oraz usuwania pakietu/ów z systemu. Skrypt został napisany z myślą ochrony konkretnych pakietów przed automatami typu puppet, czy unattended-upgrades, których niepoprawna konfiguracja może doprowadzić do niekontrolowanych operacji na krytycznych częściach systemu.

Więcej informacji: Small Computer Scripts: Package Keeper

Botnet IptabLes & IptabLex atakuje serwery Linux

08/09/2014 w Bezpieczeństwo Możliwość komentowania Botnet IptabLes & IptabLex atakuje serwery Linux została wyłączona

O

ddział Akamai – Prolexic odkrył nowy botnet, który nazwał „IptabLes and IptabLex„. Atakuje on źle skonfigurowane oraz zaniedbane serwery Linux, które po instalacji szkodliwego oprogramowania są wykorzystywane do przeprowadzania ataków DDoS na infrastrukturę DNS oraz do ataków typu SYN flood (największy z nich w szczycie osiągnął 119 Gbps). Infekowane są głównie serwery, na których uruchomione jest podatne oprogramowanie typu Apache Struts, Tomcat oraz Elasticsearch.
[ czytaj całość… ]

Ofiary javy

07/09/2014 w Bezpieczeństwo Możliwość komentowania Ofiary javy została wyłączona

J

ava jest popularnym językiem programowania. Dwie główne sprawy tej popularności to bezpieczeństwo oraz dostępność bibliotek i komponentów w jej dużym ekosystemie. Odkąd większość aplikacji Javy robi użytek z tego ekosystemu, a wykorzystywane biblioteki posiadają zależności w innych bibliotekach – zapewnienie integralności bezpieczeństwa takich aplikacji staje dość trudne. Niektóre badania wyjawiły poważną skalę tego problemu. W przedstawionej prezentacji przyjrzano się 1261 wersji z 31 różnych bibliotek, które zostały pobrane z Centralnego Repozytorium Mavena. Jedną z strategii, która taką integralność jest w stanie zapewnić na przyzwoitym poziomie jest wymuszenie przeskanowania listy zależnych bibliotek budowanej aplikacji w bazie danych znanych podatności i zagrożeń – CVE.
[ czytaj całość… ]