NFsec Logo

TicketTrick w praktyce, czyli przejmowanie Slack zespołu Chromium

24/05/2020 (tydzień temu) w Bezpieczeństwo Możliwość komentowania TicketTrick w praktyce, czyli przejmowanie Slack zespołu Chromium została wyłączona

J

ak możemy sobie przypomnieć atak typu TicketTrick II polega na wykorzystaniu źle skonfigurowanych grup Google. W celu praktycznego przykładu posłużę się jednym ze zgłoszeń, które powędrowało do zespołu Chromium. Żadne wielkie tajemnice nie zostały poznane, ani żadne wielkie restrykcje nie zostały złamane ponieważ:

To join Chromium’s Slack, the organization or person needs to be listed in Chromium’s AUTHOR file. If you have ever contributed a change or belong to one of the active contributor organizations you will be there. Anyone with a @chromium.org address can join directly. Others will have to follow an invite link that you get by mailing a request to chromium-slack-invites (at) chromium.org.

[ czytaj całość… ]

Mozilla Observatory

02/05/2020 (5 tygodni temu) w Bezpieczeństwo Możliwość komentowania Mozilla Observatory została wyłączona

P

odczas słuchania Rozmowy Kontrolowanej z udziałem Michała Purzyńskiego padło narzędzie Observatory od Mozilli. Okazuje się, że w jednym miejscu jesteśmy w stanie sprawdzić konfigurację kilku mechanizmów bezpieczeństwa naszej strony. Od nagłówków HTTP (w tym szczególnie ustawień polityki CSP) poprzez konfigurację TLS, a na opcjonalnych testach dla SSH kończąc. Dodatkowo jeśli interesuje nas wygenerowanie bezpiecznych konfiguracji dla najpopularniejszych serwerów możemy wykorzystać narzędzie Mozilla SSL Configuration Generator.

Więcej informacji: Konfiguracja nagłówków bezpieczeństwa na A+, HTTP Strict Transport Security – wymuszamy SSL na przeglądarkach, Konfiguracja SSL dla Apache na 5+, Konfiguracja SSL dla nginx na 5+, Audytujemy algorytmy szyfrowania SSH

Bezpieczna skracarka i wklejarka

01/05/2020 (5 tygodni temu) w Bezpieczeństwo Możliwość komentowania Bezpieczna skracarka i wklejarka została wyłączona

J

eśli interesuje nas stworzenie w naszej sieci firmowej usługi do skracania adresów lub wklejania i udostępniania kawałków teksu – aby nasi użytkownicy nie korzystali z zewnętrznych serwisów i tym samym doprowadzali do wycieków wrażliwych informacji – możemy zainteresować się dwoma projektami. Pierwszy z nich to skracarka anoni.sh, który nie loguje żadnych interakcji użytkownika (tylko anonimowa analityka za pomocą znaczników czasu umożliwiająca śledzenie ogólnego wykorzystania) oraz umożliwia ustawienie własnego (czytaj: odpowiednio długiego i skomplikowanego) klucza. Jego kod dostępny jest na serwisie github, co umożliwia nam własną instalację. Drugim jest minimalistyczny projekt wzorowany na wklejarce pastebin o otwartym kodzie źródłowym, w którym serwer nie posiada wiedzy o wklejanych danych (dane są szyfrowane i deszyfrowane w przeglądarce przy użyciu 256-bitowego AES GCM). Ponadto mamy możliwość ustawienia czasowej retencji, hasła oraz możliwości zniszczenia zawartości od razu po przeczytaniu.

Gdzie entropia tam szkodliwe oprogramowanie

24/04/2020 w Bezpieczeństwo Możliwość komentowania Gdzie entropia tam szkodliwe oprogramowanie została wyłączona

E

ntropia może być wykorzystywana jako miara stopnia losowości. Wiele plików wykonywalnych złośliwego oprogramowania jest spakowana, aby uniknąć wykrycia i utrudnić inżynierię wsteczną (ang. reverse engineering). Twórcy szkodliwego oprogramowania często wykorzystują pakowanie lub zaciemnianie, aby utrudnić wykrycie lub analizę plików. Większość standardowych plików binarnych systemu Linux nie jest spakowanych, ponieważ nie próbują ukryć tego, czym są. Wyszukiwanie plików wykonywalnych o wysokiej entropii to dobry sposób na znalezienie programów, które mogą być złośliwe. Dla danych binarnych wskaźnik 0.0 określa nielosowość, a 8.0 pokazuje zupełną losowość. Dobre szyfrowanie wygląda jak losowy biały szum i będzie bliskie wskaźnika 8.0. Dobra kompresja usuwa zbędne dane sprawiając, że wydają się bardziej losowe niż gdyby kompresja nie miała miejsca i zwykle wynoszą 7.7 lub więcej.
[ czytaj całość… ]

Ściągawka z informatyki śledczej w wykrywaniu włamań za pomocą linii poleceń Linuksa

16/04/2020 w Bezpieczeństwo Możliwość komentowania Ściągawka z informatyki śledczej w wykrywaniu włamań za pomocą linii poleceń Linuksa została wyłączona

C

raig H. Rowland na konferencji Purplecon 2018 opowiedział o szybkiej ocenie kompromitacji systemu Linux. Jak zauważył, 90% wdrożeń opartych na publicznych chmurach obliczeniowych odbywa się na systemie operacyjnym Linux. Nawet jeśli nie mamy z nim bezpośrednio do czynienia z powodu wysokich poziomowo abstrakcji i wywołań (np. API) – prędzej czy później natchniemy się na niego, a jako przyszły administrator dobrze posiadać wiedzę o jego działaniu oraz czy jego zachowanie nie budzi jakiś zastrzeżeń. Jeśli posiadamy podejrzenie, że doszło do naruszenia jego bezpieczeństwa – nie panikujmy. Podstępując pochopnie możemy tylko pogorszyć sytuację poprzez zniszczenie krytycznej informacji z punktu widzenia analizy pozwalającej ustalić główną przyczynę włamania.
[ czytaj całość… ]

AppArmor – Zbroja dla (web)aplikacji

10/04/2020 w Bezpieczeństwo Możliwość komentowania AppArmor – Zbroja dla (web)aplikacji została wyłączona

A

ppArmor to system obowiązkowej kontroli dostępu (ang. Mandatory Access ControlMAC), który jest rozszerzeniem jądra (ang. Linux Security ModulesLSM) w celu ograniczenia programów do określonego zestawu zasobów. Model bezpieczeństwa AppArmor polega na przywiązywaniu atrybutów kontroli dostępów z programami, a nie z użytkownikami. Ograniczenia są obsługiwane za pomocą profili ładowanych do jądra – najczęściej podczas rozruchu systemu. Profile posiadają zazwyczaj dwa tryby pracy: egzekwowania (ang. enforcement) oraz uskarżania (ang. complain). Profile załadowane w trybie egzekwowania zasad spowodują wymuszanie ograniczeń zdefiniowanych w profilu, a także zgłaszanie prób ich naruszenia za pomocą daemona syslog lub auditd. Profile w trybie składania skarg nie będą egzekwować zasad tylko raportować próby ich naruszenia. Istnieje jeszcze trzeci tryb – audytu (ang. audit), w którym logowane są wszystkie sukcesy i niepowodzenia stosowania zasad z profilu.
[ czytaj całość… ]

Tsurugi Linux

01/03/2020 w Bezpieczeństwo Możliwość komentowania Tsurugi Linux została wyłączona

T

surugi Linux jest dystrybucją typu DFIR (ang. Digital Forensic in Incident Response), czyli coś dla specjalistów informatyki śledczej zajmujących się wsparciem reakcji na incydenty. Został stworzony przez weteranów takich dystrybucji, jak Deft oraz Blacktrack jako w pełni darmowy, niezależny od komercyjnych marek projekt. Jego głównym celem jest dzielenie się wiedzą i „oddawanie jej społeczności”. Jego nazwa – Tsurugi (剣) – oznacza legendarny japoński miecz z podwójnym ostrzem używany przez starożytnych japońskich mnichów. Został podzielony na trzy typy:
[ czytaj całość… ]

Oh Shit, Git?! – Viventium Necronomicon

16/02/2020 w Bezpieczeństwo, Pen Test Możliwość komentowania Oh Shit, Git?! – Viventium Necronomicon została wyłączona

I

nernet to wodospad cieknących danych. W mojej pierwszej serii Necronomicon ( część I oraz II) mogliśmy się o tym przekonać na przykładzie skracarek adresów URL. Dzisiaj zajmiemy się serwisami oferującymi miejsce na repozytoria kodu. Ale od początku. Jakieś dziesięć lat temu powstał ruch DevOps – przechodząc przez różne etapy rozwoju dołączono do niego kolejny człon – DevSecOps. Upraszczając: jest to ruch, który osadza w cykl życia oprogramowania procesy bezpieczeństwa. Jego braki lub luki proceduralne są częstym i w dużej mierze niedocenianym wektorem zagrożeń dla wielu firm i organizacji.
[ czytaj całość… ]

Co Ubuntu wie o Twoim sprzęcie?

16/01/2020 w Bezpieczeństwo Możliwość komentowania Co Ubuntu wie o Twoim sprzęcie? została wyłączona

W

szystko zaczęło się od jednego tweeta, który uświadomił nagle wielu osobom, że mechanizm w dystrybucji Linuksa Ubuntu za pomocą skryptów odpowiedzialnych za generowanie zawartości pliku /etc/motd (ang. Message of the Day) pobiera informacje z serwerów firmy Ubuntu. Nic by nie było w tym dziwnego, gdyby nie fakt, że podczas tego procesu wysyła też sporo „osobistych” i możliwych do zidentyfikowania informacji z Twojej stacji roboczej lub serwera. Za każdym razem kiedy logujemy się na maszynę dowolnego Linuksa uruchamiamy logikę w „MOTD”. Jest to komunikat dnia, który może być ustawiony przez administratora w celu przekazania informacji użytkownikom lub różne skrypty w celu poinformowania administratora o roli i innych metadanych serwera:
[ czytaj całość… ]

Obchodzenie flagi montowania: noexec

07/12/2019 w Bezpieczeństwo Możliwość komentowania Obchodzenie flagi montowania: noexec została wyłączona

W

historii rozwoju Linuksa znalazło się kilka sposobów na obejście ograniczeń montowania przez atakującego. Najprostszy był możliwy w Linuksie przed 2.4.25 / 2.6.0, gdzie opcję noexec można było ominąć używając /lib/ld-linux.so do wykonywania plików binarnych znajdujących się w ścieżkach takich systemów plików:
[ czytaj całość… ]