NFsec Logo

Elasticsearch 6.8.X – cannot compute used swap when total swap is 0 and free swap is 0

27/10/2021 w Debug Możliwość komentowania Elasticsearch 6.8.X – cannot compute used swap when total swap is 0 and free swap is 0 została wyłączona

P

o wykonaniu aktualizacji z Elasticsearch z 6.8.14 do 6.8.20 w pliku logu pojawia się ciągle powtarzająca się wiadomość: cannot compute used swap when total swap is 0 and free swap is 0. Dzieje się tak ze względu na tą zmianę. Jeśli na naszej maszynie wirtualnej / fizycznej wyłączony jest plik wymiany oraz włączony monitoring to, co 10 sekund będziemy mieli zapychane logi tym wpisem. W celu wyfiltrowania tego typu wiadomości, należy do pliku /etc/elasticsearch/log4j2.properties dołączyć następujące wpisy w sekcji appender.rolling:

appender.rolling.filter.regex.type = RegexFilter
appender.rolling.filter.regex.regex = cannot compute used swap.*
appender.rolling.filter.regex.onMatch = DENY
appender.rolling.filter.regex.onMismatch = NEUTRAL

Więcej informacji: Log4j RegexFilter

Weakpass

23/10/2021 w Pen Test Możliwość komentowania Weakpass została wyłączona

W

eakpass jest to serwis, z którego możemy pobrać wielki mix różnego rodzaju słowników haseł, które są bardzo przydatne, aby zapewnić szybkie trafienia podczas łamania skrótów kryptograficznych. Mamy do wyboru bardzo wiele rodzajów słowników: ze względu na rozmiar, rodzaj łamanych haseł itd. Na przykład ostatnio został wydany słownik weakpass_3a ulepszona wersja 2a – najbardziej kompletna kompilacja słowników, która zwiera ponad 9 miliardów przykładowych haseł o długości od 4 do 32 znaków. Inną pozycją wartą uwagi jest hashesorg.cyclone.hashkiller.combined, który jest połączeniem słowników z hashes.org, hashkiller.io oraz cyclone_hk. Na stronie znajdziemy również narzędzie, które generuje listę słów na podstawie zestawu słów wprowadzonych przez użytkownika. Na przykład podczas testów penetracyjnych musimy uzyskać dostęp do jakiejś usługi, urządzenia, konta lub sieci Wi-Fi, która jest chroniona hasłem. Niech to będzie sieć Wi-Fi EvilCorp. Czasami hasło jest kombinacją nazwy urządzenia / sieci / organizacji z pewną datą, znakiem specjalnym itp. Dlatego łatwiej jest przetestować niektóre kombinacje przez uruchomieniem bardziej złożonych i czasochłonnych obliczeń. Złamanie hasła Wi-Fi za pomocą dużego słownika może zająć kilka godzin i nie koniecznie musi się udać, nawet jeśli zawiera on świetną listę słów, ponieważ nie było w niej takiego jak EvilCorp2019.

Więcej informacji: Weakpass, Weakpass 3.0

Subresource Integrity (SRI) dla skryptów JavaScript

21/10/2021 w Bezpieczeństwo Możliwość komentowania Subresource Integrity (SRI) dla skryptów JavaScript została wyłączona

C

iekawą funkcjonalność przeglądarek podesłał Maciej Kofel ze Szkoły SecuritySRI, czyli Subresource Intergrity, która umożliwia przeglądarkom weryfikację, czy pobierane przez nie zasoby (na przykład z zewnętrznych serwisów CDN) są dostarczane bez nieoczekiwanych manipulacji. Mechanizm ten działa na podstawie porównania skrótu kryptograficznego, który musi być zgodny z pobranym zasobem. Korzystanie z serwisów CDN do hostowania plików (skryptów JS, akruszy CSS) na swojej stronie może poprawić jej wydajność i oszczędzić przepustowość na serwerze. Jednak wiąże się również z ryzykiem, ponieważ jeśli atakujący przejmie kontrolę nad tym zasobem, może wstrzyknąć dowolną, złośliwą zawartość do plików (lub całkowicie zastąpić pliki), a tym samym potencjalnie zaatakować wszystkie witryny, które pobierają pliki z danego serwisu CDN.
[ czytaj całość… ]

ioc2rpz – gdzie wywiad ds. zagrożeń spotyka się z DNS

13/10/2021 w Bezpieczeństwo Możliwość komentowania ioc2rpz – gdzie wywiad ds. zagrożeń spotyka się z DNS została wyłączona

W

zależności od przeczytanego raportu możemy dowiedzieć się, że szkodliwe oprogramowanie (ang. malware) w 8090% przypadków używa systemu DNS (ang. Domain Name System) do prowadzenia swoich kampanii. Z kolei 68% (stan na 2016 rok) organizacji nie monitoruje swoich rekursywnych systemów DNS. Jakiś czas temu pokazałem jak łatwo zaimplementować mechanizm RPZ (ang. Response Policy Zones) w serwerze ISC BIND, aby automatycznie blokować domeny pochodzące z projektu CERT Polska. Co w przypadku, gdybyśmy chcieli mieć więcej takich źródeł?
[ czytaj całość… ]

sysdiagnose plus

27/09/2021 w Bezpieczeństwo, Debug Możliwość komentowania sysdiagnose plus została wyłączona

S

ysdiagnose to narzędzie, które znajduje się na większości urządzeń z systemem macOS i iOS. Służy ono do zbierania informacji diagnostycznych dotyczących całego systemu. Obecna wersja – 3.0 zbiera duże ilości danych z szerokiej gamy lokalizacji w systemie. Mogą one być przydatne w informatyce śledczej komputera prowadzonej na żywo. W przypadku poszukiwań złośliwego oprogramowania przechwycone dane mogą pomóc w zidentyfikowaniu zainfekowanego pliku binarnego; mechanizmu persystencji (gdy złośliwe oprogramowanie uzyska dostęp do systemu, często chce zostać tam przez długi czas opracowując metody pozwalające na jego powrót po restarcie systemu; jeśli mechanizm persystencji jest wystarczająco unikalny, może nawet służyć jako świetny sposób na określenie cechy charakterystycznej danego złośliwego oprogramowania) lub połączeń do C2 (serwery Command and Control – nazywane również C&C odnoszą się do sposobu, w jaki atakujący komunikują się i sprawują kontrolę nad zainfekowanym systemem; po zainfekowaniu systemu większość złośliwego oprogramowania komunikuje się z serwerem kontrolowanym przez atakującego, aby przyjmować polecenia, pobierać dodatkowe komponenty lub wykradać informacje).
[ czytaj całość… ]

Argon2

01/09/2021 w Bezpieczeństwo Możliwość komentowania Argon2 została wyłączona

A

rgon2 jest algorytmem, który wygrał w 2015 roku Konkurs Haszowania Haseł (ang. Password Hashing Competition). Jest wskazywany jako następca bcrypt i scrypt oraz zalecany przez OWASP (ang. The Open Web Application Security Project) do zabezpieczania haseł. Zaletą tego algorytmu są jego różne warianty (aktualnie posiada on trzy: Argon2i, Argon2d i Argon2id), które zawierają mechanizmy utrudniające ataki typu brute force oraz side channel. Ma prostą konstrukcję mającą na celu uzyskanie najwyższego współczynnika wypełnienia pamięci i efektywnego wykorzystania wielu jednostek obliczeniowych.
[ czytaj całość… ]

L0pht – Wstęp do opowieści

23/08/2021 w Hackultura Możliwość komentowania L0pht – Wstęp do opowieści została wyłączona

L

0pht Heavy Industries (wymawiane „loft”) był kolektywem hackierskim działającym w latach 1992 – 2000, zlokalizowanym w rejonie Bostonu w stanie Massachusetts. L0pht była jedną z pierwszych realnych przestrzeni hackierskich (ang. hackerspace) w USA i pionierem odpowiedzialnego ujawniania błędów. Osławiona grupa zeznawała przed Kongresem USA w 1998 roku na temat „Słabe zabezpieczenia komputerów w rządzie: Czy społeczeństwo jest zagrożone ?” Jeśli spojrzymy na logo grupy to drugi znak w nazwie był pierwotnie zerem z ukośnikiem, symbolem używanym przez stare dalekopisy i niektóre systemy operacyjne w trybie znakowym, oznaczające zero. Jego nazwa online, w tym nazwa domeny to zatem „l0pht” (z zerem, a nie literą O lub Ø).
[ czytaj całość… ]

Kilka przydatnych jednolinijkowców dla informatyki śledczej Linuksa

12/08/2021 w Bezpieczeństwo, CmdLineFu Możliwość komentowania Kilka przydatnych jednolinijkowców dla informatyki śledczej Linuksa została wyłączona

sudo grep -F '(deleted)' /proc/*/maps | grep -E '\s[r\-][w\-]x[sp\-]\s'

– znajdź działające procesy z usuniętymi plikami wykonalnymi.

sudo find /tmp -executable -not -empty -type b,c,f,l,p

– znajdź pliki wykonalne w katalogu /tmp.

sudo grep -a -E '^.{,5}\[' /proc/[0-9]*/cmdline

– znajdź procesy z nawiasami kwadratowymi (używane przez złośliwe oprogramowanie, aby wyglądały jak procesy jądra).

sudo grep -E '\s[r\-][w\-]x[sp\-]\s' /proc/*/maps | awk -F ' ' '{if(length($6)==0){split($1, arr, "/");print arr[3]}}' \
| sort | uniq | xargs -I {} -n 1 bash -c 'cat /proc/{}/cmdline; echo'

– znajdź i wyświetl procesy mające niezmapowane sekcje wykonalne.

Więcej informacji: Ściągawka z informatyki śledczej w wykrywaniu włamań za pomocą linii poleceń Linuksa, Thread with one-liners bash commands to search for malware in a Linux host

Wsparcie dla wtyczek python w sudo 1.9

14/07/2021 w Bezpieczeństwo Możliwość komentowania Wsparcie dla wtyczek python w sudo 1.9 została wyłączona

W

szyscy znają sudo, prawda? Polecenie to pozwala administratorowi systemu nadać niektórym użytkownikom możliwość uruchamiania wybranych uprzywilejowanych poleceń, jednocześnie rejestrując ich argumenty i wykonanie. Program ten jest instalowany domyślnie prawie we wszystkich dystrybucjach systemu Linux i jest dostępny dla większości komercyjnych systemów Unix – umożliwiając precyzyjne dostosowywanie polityk dostępu. Mimo to nawet administratorzy systemów często wiedzą, że jest to „prefiks”, którego należy użyć przed uruchomieniem polecenia wymagającego uprawnień root nie zdając sobie sprawy z jego prawdziwych możliwości.
[ czytaj całość… ]

Nadużywanie rozszerzonych możliwości kontenerów Dockera do eskalacji uprawnień

03/07/2021 w Bezpieczeństwo Możliwość komentowania Nadużywanie rozszerzonych możliwości kontenerów Dockera do eskalacji uprawnień została wyłączona

W

yobraźmy sobie następujący scenariusz. Wyciekł klucz SSH umożliwiający zalogowanie się do zwykłego konta platformy wdrożeniowej. Był on używany do wdrażania i aktualizacji repozytoriów za pomocą ansible. Umożliwia on zalogowanie się na powłokę systemową grupy serwerów, na której są budowane i uruchamiane kontenery Docker. Samo konto nie posiada żadnych dodatkowych uprawnień ani grup. Zastanówmy się teraz w jaki sposób możemy dokonać eskalacji uprawnień wykorzystując jedną z przestrzeni nazw (ang. namespace) kontenera Docker oraz rozszerzonej możliwości Linuksa (ang. capabilities).
[ czytaj całość… ]