NFsec Logo

sup – małe narzędzie do eskalacji uprawnień w systemach Unix

21/05/2016 w Bezpieczeństwo Możliwość komentowania sup – małe narzędzie do eskalacji uprawnień w systemach Unix została wyłączona

s

up jest małą i bezpieczną aplikacją napisaną w języku C. Przeznaczony do ułatwienia przekraczania uprawnień użytkowników przez uruchamianie niektórych programów jako administrator (root – z bitem suid). Wszystkie ustawienia dla programu sup są na sztywno wprowadzane w kodzie podczas kompilacji. Jego autor twierdzi, że jest wysoce przenośny oraz samowystarczalny (w środowiskach produkcyjnych może zostać użyty jako statyczny plik binarny – wymaga wówczas biblioteki musl-libc). Można powiedzieć, że stanowi alternatywę dla sudo w wbudowanych i skonteryzowanych systemach.
[ czytaj całość… ]

Blokujemy sieci tor i botnety ransomware

13/05/2016 w Bezpieczeństwo, Hacks & Scripts Możliwość komentowania Blokujemy sieci tor i botnety ransomware została wyłączona

Współczesne, szkodliwe oprogramowanie komunikuje się z swoimi serwerami C&C (command and control) za pomocą sieci Tor. Jeśli chcemy ochronić naszą firmową / domową sieć przed różnego rodzaju malware / ransomware lub atakami pochodzącymi z wyjściowych węzłów Tor to możemy do tego wykorzystać takie serwisy, jak Ransomware Tracker, Feodo Tracker oraz Tor Network Status, które dostarczają gotowe listy z adresami IP, które mogą zostać wykorzystane do budowy blokady:
[ czytaj całość… ]

Polityka bezpieczeństwa stacji roboczych Linux

08/05/2016 w Bezpieczeństwo Możliwość komentowania Polityka bezpieczeństwa stacji roboczych Linux została wyłączona

P

ersonel Linux Foundation postanowił jakiś czas temu udostępnić wewnętrzne listy kontrolne oraz poradniki dotyczące polityk IT. Jedną z nich jest lista kontrolna zabezpieczeń stacji roboczych opartych na systemie Linux. Może ona zostać zaadaptowana i zmodyfikowana przez dowolną organizację (licencja Creative Commons „Attribution-ShareAlike„) lub projekty opensource korzystające z pomocy wolontariuszy do zarządzania infrastrukturą. Dla jednych osób może wydać się zbyt paranoiczna, podczas gdy ktoś inny może uważać, że to ledwie zarysowanie powierzchni. Bezpieczeństwo jest jak jazda na autostradzie – każdy kto jedzie wolniej od Ciebie jest idiotom, każdy kto szybciej – szaleńcem.

Więcej informacji: Linux workstation security checklist

STIG – Security Technical Implementation Guide dla OpenStack i nie tylko

02/05/2016 w Bezpieczeństwo Możliwość komentowania STIG – Security Technical Implementation Guide dla OpenStack i nie tylko została wyłączona

T

he Defense Information Systems Agency znana też jako Defense Communications Agency, która jest częścią United States Department of Defense od 1998 roku odgrywa kluczową rolę w polepszaniu stanu zabezpieczeń systemów DoD poprzez dostarczanie dokumentów o nazwie Security Technical Implementation Guides potocznie zwanych STIGs. Jeden ze STIGów został wydany dla systemu RedHat w wersji 6.
[ czytaj całość… ]

CURL i skrypty instalacyjne w powłoce

20/04/2016 w Ataki Internetowe, Bezpieczeństwo Możliwość komentowania CURL i skrypty instalacyjne w powłoce została wyłączona

K

ażda instalacja pakietów z nieznanego źródła, czy ślepe kopiowanie i wklejanie poleceń do terminala jest ewidentnie złym pomysłem. Ostatnio bardzo modne stało się instalowanie różnego rodzaju pluginów, aplikacji, rozwiązań wirtualizacji i innych tworów startapowych poprzez polecenie typu curl http://startup.io/install.sh | bash, co w założeniu ma znacznie upraszczać proces instalacji i konfiguracji dla użytkownika. Wykrywany jest system, instalowane zależności, ściągane dodatkowe instalatory itd. – wszystko szybko i automatycznie, ale czy bezpiecznie?
[ czytaj całość… ]

Logujemy logowania i nie tylko cz.II – biblioteka snoopy

10/04/2016 w Bezpieczeństwo Możliwość komentowania Logujemy logowania i nie tylko cz.II – biblioteka snoopy została wyłączona

W

poprzedniej części zaprezentowałem, jak prosto za pomocą PAM możemy przesyłać informację o logowaniu się na uprzywilejowane konto root. W tej części zajmiemy się prawie permanentną inwigilacją poleceń wydawanych przez administratora i zwykłych użytkowników systemu. Wykorzystamy do tego bibliotekę snoopy.
[ czytaj całość… ]

Podwójne uwierzytelnienie w SSH (2FA) za pomocą FreeOTP

06/04/2016 w Bezpieczeństwo Możliwość komentowania Podwójne uwierzytelnienie w SSH (2FA) za pomocą FreeOTP została wyłączona

P

odówjne uwierzytelnianie polega na zabezpieczeniu dostępu do danej usługi (tutaj SSH) polegająca na dodatkowym uwierzytelnieniu oprócz wpisania standardowego loginu i hasła. Najczęściej występujące rodzaje zabezpieczeń to: sms z dodatkowym kodem; kody jednorazowe spisane na kartce lub wysyłane na adres e-mail; aplikacja z kodami jednorazowymi zainstalowana na komputerze lub urządzeniu mobilnym (tablet / telefon). W tym artykule skupimy się na kodach jednorazowych (OTP – One Time Passwords), które dodatkowo będą chronić naszą usługę SSH.
[ czytaj całość… ]

CVE-2016-3672 – Zniesienie limitu dla stosu już nie wyłącza ASLR

06/04/2016 w Bezpieczeństwo Możliwość komentowania CVE-2016-3672 – Zniesienie limitu dla stosu już nie wyłącza ASLR została wyłączona

P

anowie z osławionego błędu związanego z GRUB2 ujawniają bardzo proste obejście mechanizmu ASLR. Każdy użytkownik, który mógł uruchomić aplikacje 32-bitowe na maszynie x86 – mógł za pomocą prostego polecenia wydanego z poziomu powłoki bash (ulimit -s unlimited) wyłączyć mechanizm Address Space Layout Randomization. Nie jest to luka sama w sobie, ale prosty i bardzo stary trik, jak obejść mechanizm dodatkowego zabezpieczenia, aby ułatwić sobie eksplorację innego błędu.

Więcej informacji: CVE-2016-3672 – Unlimiting the stack not longer disables ASLR

DNS – raport miliona zapytań

12/03/2016 w Bezpieczeństwo 2 komentarze.

P

o napisaniu podstaw bezpieczeństwa DNS zastanawiałem się, jaka jest skala problemu źle skonfigurowanych serwerów, które pozwalają na ściągnięcie całej strefy lub wykonywanie zapytań dowolnemu klientowi. Duch patryjotyzmu namawiał mnie na sprawdzenie TLD .pl, zarządzaną przez NASK. Niestety, jak zawsze polski dwór zakończył nadzieję na czwartej wymianie zdania. Dialog wyglądał tak:

– Czy istnieje możliwość otrzymania od Państwa listy wszystkich dotychczas zarejestrowanych domen .pl?
– NASK nie udostępnia tego typu informacji.
– A orientują się Państwo do jakiego organu można zwrócić się w tej sprawie?
– Te dane posiada tylko NASK.

Nie chciało mi się już próbować, czy aby jednak istnieje taka możliwość poprzez CZDS. Rozważałem już przerzucić się na zagraniczne banany, ale z pomocą przyszedł portal, który stanowi swoiste źródło wiedzy o ruchu w Internecie. Okazuje się, że Alexa bez żadnych zbędnych formalności udostępnia milion najczęściej odwiedzanych stron. To stanowi już jakąś próbkę, którą można poddać testom.
[ czytaj całość… ]

Żegnaj OverlayFS

26/02/2016 w Bezpieczeństwo Możliwość komentowania Żegnaj OverlayFS została wyłączona

N

a razie czas pożegnać się z systemem plików overlayfs dostępnym w jądrze Linux od wersji 3.18. Ostatnio ponownie pojawiły się kolejne błędy bezpieczeństwa w tym module. Jest to ostatnio jeden z najczęstszych składników wchodzących w skład możliwości eksploatacji bezpieczeństwa jądra. Skoro w systemie Ubuntu jest tylko modułem do załadowania, a na systemie nie uruchamiane są żadne kontenery – można go prosto wyłączyć tworząc plik /etc/modprobe.d/blacklist-ofs.conf:

# Overlayfs security issues
blacklist overlayfs
install overlayfs /bin/false

Ewidetnie widać, że projekt jest na razie zbyt młody pod względem kodu, aby mógł zostać z powodzeniem stosowany w systemach produkcyjnych.