O

neForAll jest narzędziem służącym do odkrywania subdomen z wielu źródeł. Dzięki chińskiemu kontekstowi (developmentu) może zapewnić czasami przewagę nad tradycyjnymi narzędziami i serwisami służącymi do tego celu. Potrafi wykorzystać kilka egzotycznych chińskich źródeł danych, których inne narzędzia zwykle nie przeszukują np. FOFA, Baidu Cloud Observation, Gitee, ChinaZ Alexa oraz inne. Zwiększa to szanse na znalezienie unikalnych, wcześniej nieodkrytych punktów wejścia podczas pracy zwiadowczej. Sam kod narzędzia potrafi dostarczyć nam wiele adresów oraz innych narzędzi wykorzystywanych w tym procesie. W celu wykorzystania jego pełnego potencjału należy przejrzeć do jakich serwisów wymaga kluczy API umożliwiających odpytywanie różne serwisy.
[ czytaj całość… ]

O

d wersji 9.8.1 serwera BIND dostępny jest mechanizm DNS RPZ (ang. Domain Name Service Response Policy Zones). Główną motywacją do stworzenia tej funkcji była ochrona użytkowników przed zagrożeniami w internecie związanymi z złośliwymi domenami, nazwami hostów lub innymi serwerami nazw. Cyberprzestępcy zwykle używają tych samych domen na wielu ofiarach, dopóki nie zostaną im odebrane. Niestety zdolność branży bezpieczeństwa internetowego w kwestii likwidacji infrastruktury przestępczej u rejestratorów domen, dostawcach hostingu lub dostawcach usług internetowych z różnych czynników nie zawsze jest możliwa. Korzystając z RPZ administrator sieci może wdrożyć własne zasady ochrony przed niebezpiecznymi domenami w oparciu o reputację zebraną od dostawców usług bezpieczeństwa niemal w czasie rzeczywistym.
[ czytaj całość… ]

Ooprócz zewnętrznych serwisów, wpisów DNS, certyfikatów dla domen – istnieje jeszcze jeden zasób identyfikujący wspólne cechy: domen (firm) i webaplikacji – jest to ulubiona ikonka (ang. favicon.ico). Bardzo dużo firm posiada unikalne loga, które są pomniejszane do ikonek i wyświetlane przy pasku adresu / zakładkach przeglądarki. Zazwyczaj możemy znaleźć je pod adresem: http://domena/favicon.ico chyba, że odpowiednimi tagami HTML wskażemy przeglądarce inną lokalizację. Bardzo wiele z tych ikonek jest unikalnych dla wybranych domen (firm) oraz webaplikacji. Dzięki tej zależności możemy przeszukiwać internet w celu namierzania różnych zasobów powiązanych z daną ikonką.
[ czytaj całość… ]

W wersji RouterOS 6.47 zostało dodane wsparcie DNS over HTTPS (RFC8484), czyli wykonywanie zapytań DNS przez protokół HTTPS. Jeśli używamy wybranego modelu w naszej sieci domowej (przykład był testowany na RB951Ui-2HnD) warto rozważyć podniesienie RouterBOARD do wydania wypuszczonego 2 czerwca 2020 r. Pierwszym krokiem jest ściągnięcie i import bazy urzędów (CA):

/tool fetch url=https://curl.haxx.se/ca/cacert.pem
/certificate import file-name=cacert.pem passphrase=""

Następnie dodajemy statyczne wpisy DNS, które umożliwią komunikację z serwerem DoH:

/ip dns static add name="cloudflare-dns.com" type=A address="104.16.248.249"
/ip dns static add name="cloudflare-dns.com" type=A address="104.16.249.249"

Czyścimy aktualnie używane serwery DNS:

/ip dns set servers=""

Ustawiamy serwer DoH:

/ip dns set use-doh-server="https://cloudflare-dns.com/dns-query"
/ip dns set verify-doh-cert=yes

Czyścimy dotychczasową pamięć cache:

/ip dns cache flush

Teraz możemy wejść na stronę: 1.1.1.1/help i sprawdzić, czy komunikat Using DNS over HTTPS (DoH) posiada wartość Yes. Analogicznie możemy ustawić inne serwery DoH np. https://dns.google/dns-query, https://dns.quad9.net/dns-query, https://mozilla.cloudflare-dns.com/dns-query.

P

odczas wyszukiwania domen lub subdomen należących do tej samej firmy możemy wykorzystać fakt, że często współdzieloną one ten sam Google Analytics ID lub AdSense ID. Wystarczy pobrać ze źródła strony HTML kod identyfikujący danego klienta. Na przykład dla GA będzie to:

curl -L https://pentest.target | egrep 'UA-[0-9]+'

_gaq.push(['_setAccount', 'UA-12345678-22']);

Tak pozyskany kod możemy wykorzystać na stronie site-overview.com (zmieniając tylko ostatni człon URL) lub dnslyrics.com w celu uzyskania informacji mówiącej nam jakie jeszcze inne domeny / subdomeny są pod niego podpięte. To samo tyczy się AdSense ID. Korzystając z site-overview najlepiej jeszcze wyniki przeszukać pod kątem wprowadzonego ID, ponieważ wyniki mogą być nadmiarowe. Warto również zwrócić na wartość liczby po ostatnim myślniku: -22 – oznacza to, że jest to 22’ga usługa powiązana z kontem UA-12345678.

Więcej informacji: Hussein Daher

C

url może być pomocnym narzędziem przy debugowaniu. Gdy na rozpoznanie problemu składają się problemy z: siecią, DNS, serwerem lub wydajnością samej webaplikacji – możemy bez wahania po niego sięgnąć. W celu izolacji problemu możemy uruchomić curl’a w następujący sposób:

curl -w "$(date +%FT%T) dns: %{time_namelookup} connect: %{time_connect}\
 firstbyte: %{time_starttransfer} total: %{time_total} HTTP: %{http_code}\n"\
 -o /dev/null -s "https://apka.dev"

Polecenie takie puszczone w pętli da nam ładny podgląd na każde żądanie HTTP:
[ czytaj całość… ]

P

oniższa konfiguracja (podobnie, jak w przypadku nginx) serwera Apache dla komunikacji po https pozwala na uzyskanie oceny A+ w teście przeprowadzanym przez firmę Qualys SSL Labs. Innymi mechanizmami, które zostały zwarte to: HSTS, DNS CAA, OSCP oraz HTTP2. Stosując poniższą konfigurację należy liczyć się, że może ona nie działać (lub niektóre jej funkcjonalności) z starszymi przeglądarkami i aplikacjami typu Java.

  Protocols http/1.1 h2

  SSLEngine on
  SSLCompression off
  SSLSessionTickets off
  SSLUseStapling on

  SSLCertificateFile /etc/apache2/ssl/root.pem
  SSLCertificateKeyFile /etc/apache2/ssl/server.key
  SSLCertificateChainFile /etc/apache2/ssl/root.pem

  SSLProtocol -All +TLSv1.2
  SSLHonorCipherOrder on
  SSLCipherSuite "HIGH:!aNULL:!MD5:!3DES:!CAMELLIA:!AES128:!AES256-SHA:\
                  !AES256-SHA256:!AES256-GCM-SHA384:!AES256-CCM8:!AES256-CCM:\
                  !DHE-DSS-AES256-SHA:!SRP-DSS-AES-256-CBC-SHA"

  SSLOpenSSLConfCmd DHParameters "/etc/ssl/certs/dhparams4096.pem"
  SSLOpenSSLConfCmd ECDHParameters secp384r1
  SSLOpenSSLConfCmd Curves secp521r1:secp384r1

  Header always append Strict-Transport-Security "max-age=31536000;"

Plik dhparams4096.pem wygenerujemy poleceniem (może to zająć nawet kilkanaście minut):

openssl dhparam -out /etc/ssl/certs/dhparams4096.pem 4096

[ czytaj całość… ]

A

tak na przestrzeń nazw (ang. namespace attack) odnośni się do przejęcia kawałka lub całości przestrzeni nazw ofiary. Jeśli spojrzymy na internet jako całość to wszystkie jego byty są przestrzeniami nazw, które zajmują większe lub mniejsze kawałki w globalnej sieci. Najczęściej ataki te będą dotyczyć domen oraz adresów e-mail, które by być bardziej przyjaznymi używają adresów zrozumiałych dla użytkowników internetu, a dopiero potem zamieniają je na zrozumiałe dla urządzeń tworzących sieć komputerową.
[ czytaj całość… ]

F

elix Wilhelm z Google Security Team zgłosił błąd w działaniu klienta DHCP (dhclient) dotykający dystrybucje RedHat w wersji 6 i 7. Spreparowany serwer DHCP lub atakujący znajdujący się w sieci lokalnej, który może sfałszować odpowiedzi serwera DHCP jest w stanie wykorzystać wspomnianą lukę w celu wykonania dowolnych poleceń z prawami administratora na systemach używających NetworkManagera, które wykorzystują protokół DHCP do uzyskania konfiguracji sieci.
[ czytaj całość… ]

W

poprzednich częściach wspomniałem, o niektórych możliwościach pozyskania informacji za pomocą serwerów DNS oraz śledzenia wydawanych certyfikatów. W tej części zajmiemy się wyciąganiem informacji z innych zewnętrznych serwisów, które również prowadzą monitoring bardzo dużej ilości serwisów.
[ czytaj całość… ]