S

SL / TLS jest pozornie prostą techniką zapewniającą m.in. ochronę witryn internetowych. Gwarantuje poufność transmisji danych przesyłanych przez internet, zachowując przy tym prostotę instalacji i działania – z wyjątkiem, gdy tak nie jest. Przy końcówce 2014 roku, gigant z Mountain View – Google – na swoim blogu poinformował, że strony korzystające z certyfikatów SSL, będą bardziej “lubiane” w wynikach wyszukiwania, a także chętniej indeksowane. Nie jest to jednak ostatnie słowo. Główna litera Alfabetu nie tylko tą akcją chce wprowadzić strony WWW w kolejny etap bezpiecznego internetu. Już na początku 2017 roku, rodzima przeglądarka Chrome będzie posiadała mechanizmy, które podczas łączenia z dowolną witryną jednoznacznie odpowiedzą użytkownikowi na pytanie: czy korzystanie z niej jest bezpieczne?
[ czytaj całość… ]

K

iedy używamy serwisów zapewniających anonimowość i prywatność w internecie, bardzo ważne jest, aby cały ruch sieciowy pochodzący z naszego komputera, był przesyłany poprzez sieć zapewniającą taką właśnie usługę. Jeśli jakikolwiek ruch (przez dowolny protokół) wycieka – czyli – nie używa bezpiecznego połączenia z internetem, to każdy, kto (np. ISP) będzie monitorować aktywność Twojego komputera, jest w stanie wychwycić ten ruch sieciowy.
[ czytaj całość… ]

Z

nowu IofT dał popalić Internetowi. Jak powstrzymać te wszystkie urządzenia przed przejęciem? Hmm… najlepiej je zamknąć przed zewnętrznym dostępem. Ale jak? Co łączy wszystkie te urządzenia? Może protokół? Ale jaki? HTTP. No tak, ale nie wstrzykniemy nim przecież uwierzytelnienia. To musi być coś uniwersalnego… No tak! UPnP. Spójrzmy ile mniej więcej jest wystawionych interfejsów tego protokołu. Według shodana prawie 14 milionów (dokładnie: 13,968,198). To już daje jakieś pole do popisu. Zacznijmy od routerów.
[ czytaj całość… ]

M

iodowy token? (ang. honeytoken) jest podobną techniką do garnków miodu (ang. honeypot), a dokładniej mówiąc to zasób komputerowy, który istnieje wyłącznie w celu powiadamiania nas, gdy tylko ktoś uzyska do niego dostęp. Może to być konto użytkownika, do którego generalnie nikt nie powinien mieć dostępu; plik, którego nikt nie powinien przeczytać; link, w który nikt nie powinien kliknąć. Funkcjonalność taką za darmo oddała nam firma Thinkst Applied Research pod postacią serwisu Canarytokens.
[ czytaj całość… ]

P

rzy okazji wygasania certyfikatu na stronie zacząłem się zastanawiać, czy skorzystać z Let’s Encrypt, czy może z CloudFlare? CF to serwis oferujący “darmową” ochronę webaplikacji, CDN oraz szyfrowanie SSL (jeśli używa się go poprawnie). Zastanawiało mnie ile klientów / domen korzysta z tego serwisu? Oto, co udało mi się ustalić.
[ czytaj całość… ]

W nawiązaniu do poprzednich dwóch edycji oraz odpowiadając na pytanie: Jakie jeszcze przykładowe programy umożliwiają ucieczkę z sudo? – Możemy przyjrzeć się następującym przypadkom:
[ czytaj całość… ]

J

eśli używamy do połączeń IPv6 z niektórych lokalizacji / serwerów możemy napotkać problemy z łącznością do security.ubuntu.com w trakcie polecenia apt-get update. Jest to znany błąd, a jego tymczasowym rozwiązaniem jest skonfigurowanie pierwszeństwa dla połączeń IPv4 przed IPv6 poprzez odkomentowanie wpisu w pliku /etc/gai.conf:

#    For sites which prefer IPv4 connections change the last line to
#
precedence ::ffff:0:0/96  100

Więcej informacji: Prefer A (IPv4) DNS lookups before AAAA(IPv6) lookups

W

końcu znalazłem trochę czasu, aby za radą Hendrego zobaczyć, co tak naprawdę wychodzi z mojego telefonu (aktualnie korzystam z radioodbiornika wyposażonego w Android w wersji 6.0). Analogicznie, jak w poradniku przekierowałem streaming pakietów (na razie tylko UDP) z routera Mikrotik do komputera, na którym nasłuchiwał Wireshark filtrując tylko ruch z telefonu. Pierwszym adresem, jaki pojawił się na ekranie po włączeniu WiFi na urządzeniu był:
[ czytaj całość… ]

K

rytyczny błąd przepełnienia bufora na stosie został odkryty w sposobie w jaki biblioteka libresolv (glibc) przeprowadza podwójne zapytania DNS typu A/AAAA. Osoba atakująca może potencjalnie doprowadzić do zdalnego wykonania kodu (z uprawnieniami użytkownika uruchomiającymi bibliotekę) lub zawieszenia systemu poprzez specjalnie spreparowany ruch sieciowy w odpowiedzi DNS (PoC). Problem ten występuje tylko wtedy, gdy libresolv jest wywołana z modułu nss_dns usługi NSS (CVE-2015-7547).
[ czytaj całość… ]

B

IND jest serwerem DNS tworzonym przez ISC (ang. Internet Systems Consortium) powszechnie używanym do rozwiązywania nazw hostów na adresy IP i odwrotnie. Jako kluczowy element infrastruktury serwery DNS często stają się celem ataków. Podejmując jednak kilka prostych kroków można pomóc w ochronie swojej sieci oraz całego Internetu. Niniejszy artykuł zawiera minimum informacji potrzebnych do poprawny bezpieczeństwa BIND9 pozwalając administratorom systemów zminimalizować zagrożenie. Zdecydowanie najważniejszą rzeczą jest, aby odseparować działanie serwera DNS od innych usług typu serwery WWW, poczty, czy ftp, które są równie często atakowanymi usługami.
[ czytaj całość… ]