T

surugi Linux jest dystrybucją typu DFIR (ang. Digital Forensic in Incident Response), czyli coś dla specjalistów informatyki śledczej zajmujących się wsparciem reakcji na incydenty. Został stworzony przez weteranów takich dystrybucji, jak Deft oraz Blacktrack jako w pełni darmowy, niezależny od komercyjnych marek projekt. Jego głównym celem jest dzielenie się wiedzą i “oddawanie jej społeczności”. Jego nazwa – Tsurugi (剣) – oznacza legendarny japoński miecz z podwójnym ostrzem używany przez starożytnych japońskich mnichów. Został podzielony na trzy typy:
[ czytaj całość… ]

I

nernet to wodospad cieknących danych. W mojej pierwszej serii Necronomicon ( część I oraz II) mogliśmy się o tym przekonać na przykładzie skracarek adresów URL. Dzisiaj zajmiemy się serwisami oferującymi miejsce na repozytoria kodu. Ale od początku. Jakieś dziesięć lat temu powstał ruch DevOps – przechodząc przez różne etapy rozwoju dołączono do niego kolejny człon – DevSecOps. Upraszczając: jest to ruch, który osadza w cykl życia oprogramowania procesy bezpieczeństwa. Jego braki lub luki proceduralne są częstym i w dużej mierze niedocenianym wektorem zagrożeń dla wielu firm i organizacji.
[ czytaj całość… ]

W

szystko zaczęło się od jednego tweeta, który uświadomił nagle wielu osobom, że mechanizm w dystrybucji Linuksa Ubuntu za pomocą skryptów odpowiedzialnych za generowanie zawartości pliku /etc/motd (ang. Message of the Day) pobiera informacje z serwerów firmy Ubuntu. Nic by nie było w tym dziwnego, gdyby nie fakt, że podczas tego procesu wysyła też sporo “osobistych” i możliwych do zidentyfikowania informacji z Twojej stacji roboczej lub serwera. Za każdym razem kiedy logujemy się na maszynę dowolnego Linuksa uruchamiamy logikę w “MOTD”. Jest to komunikat dnia, który może być ustawiony przez administratora w celu przekazania informacji użytkownikom lub różne skrypty w celu poinformowania administratora o roli i innych metadanych serwera:
[ czytaj całość… ]

W

historii rozwoju Linuksa znalazło się kilka sposobów na obejście ograniczeń montowania przez atakującego. Najprostszy był możliwy w Linuksie przed 2.4.25 / 2.6.0, gdzie opcję noexec można było ominąć używając /lib/ld-linux.so do wykonywania plików binarnych znajdujących się w ścieżkach takich systemów plików:
[ czytaj całość… ]

M

ITRE jest organizacją typu non-profit założoną w 1958 roku, której misją jest “rozwiązywanie problemów by uczynić świat bezpieczniejszym”. Cel ten ostatnio jest osiągany poprzez nową, wyselekcjonowaną bazę wiedzy znaną jako MITRE ATT&CK (ang. Adversarial Tactics, Techniques and Common Knowledge). Baza ta jest platformą, która zawiera zbiór taktyk, technik oraz procedur stosowanych przez różnego rodzaju podmioty atakujące w świecie cyfrowym. Wykorzystanie zawartej w niej wiedzy może pomóc organizacjom w określaniu luk, czy modelowaniu zagrożeń w ich cyberobronie.
[ czytaj całość… ]

G

dy sudo jest skonfigurowane tak, aby umożliwić użytkownikowi uruchamianie poleceń jako dowolny użytkownik za pomocą słowa kluczowego ALL w sekcji “uruchom jako” (ang. Runas) możliwe jest uruchomienie poleceń jako administrator systemu (root) podając ID użytkownika jako wartość -1 lub 4294967295. Może to być użyte przez użytkownika z wystarczającymi uprawnieniami sudo do uruchamiania poleceń jako root, nawet jeśli w sekcji “uruchom jako” jest wyraźny zakaz dostępu do uprawnień tego użytkownika. Jest to tylko możliwe, o ile słowo kluczowe ALL jest wymienione jako pierwsze w specyfikacji Runas. Wpisy dziennika dla uruchomionych w ten sposób poleceń będą wyświetlać docelowego użytkownika jako 4294967295 zamiast root. Ponadto moduły PAM nie będą uruchamiane dla polecenia.
[ czytaj całość… ]

C

iasteczka DNS zostały przedstawione w RFC 7873. Są opcją rozszerzonego DNS (ang. EDNS – Extended DNS), która próbuje zaadresować wiele problemów, które próbował rozwiązać DNSSEC np. zatruwanie pamięci podręcznej (ang. Cache Poisoning), czy ataki polegające na wzmocnieniu odpowiedzi DNS (ang. DNS Amplification Attack) z sfałszowanymi adresami źródłowymi (ang. Spoofed Source Queries), którym DNSSEC nie zapobiegał, a nawet w niektórych przypadkach je pogarszał. Ciasteczka są znacznie łatwiejsze do wdrożenia niż DNSSEC, a bezpieczeństwo zapewniane przez nie można porównać do bezpieczeństwa uzyskiwanego dzięki użyciu TCP zamiast UDP.
[ czytaj całość… ]

T

obias Mädel 18 lipca opublikował szczegóły luki w kontroli dostępu w jednym z modułów serwera ProFTPD – popularnego daemona FTP o otwartym kodzie źródłowym dla systemów operacyjnych *nix. Luka o numerze CVE-2019-12815 za pomocą modułu mod_copy pozwala na wgranie dowolnego pliku na serwer. Jest to spowodowane faktem, że moduł ten nie przestrzega opcji konfiguracyjnych "<Limit READ>" oraz "<Limit WRITE>" z pliku proftpd.conf.
[ czytaj całość… ]

W

tej części zajmiemy się ścieżkami, do których odwołują się nasze skrypty. Na przykładzie z aktualnie używanego systemu operacyjnego Ubuntu w wersji 18.04.X LTS przeanalizujemy proste błędy, które mogą doprowadzić do innych problemów z działaniem oraz bezpieczeństwem. Pierwszym błędem jest zapisywanie różnych danych do tymczasowych katalogów pod przewidywalnymi nazwami plików. Musimy mieć świadomość, że do tymczasowych katalogów mają dostęp wszyscy użytkownicy systemu – dlatego działanie w ich obrębie musi być bardzo przemyślane w stosunku do danych, jakie chcemy w nich umieszczać (możemy porównać to do tłumu, który patrzy na wszystko, co robimy). Nawet, jeśli chodzi o proste mechanizmy sprawdzające, czy inny proces skrypty już nie jest uruchomiony.
[ czytaj całość… ]

W pierwszym biuletynie bezpieczeństwa za 2019 rok firma Netflix ostrzega przed opartymi o protokół TCP zdalnymi atakami typu DoS, które dotyczą zarówno systemu Linux, jak i FreeBSD. Ich poziom jest określany jako “krytyczny”. Luki odkryte przez Jonathana Looneya dotyczą w szczególności maksymalnego rozmiaru segmentu (ang. Maximum Segment Size (MSS)) oraz potwierdzeń selektywnych (ang. Selective Acknowledgments (SACK)). Najpoważniejszą jest luka “SACK Panic”, które pozwala na zdalne wywołanie paniki jądra systemu Linux.
[ czytaj całość… ]