K

ilka lat temu opisałem, jak w prosty sposób można przyśpieszyć działanie strony za pomocą mechanizmu DNS Prefetch. Zdając sobie sprawę, że usługa DNS, a prywatność to dwie różne ścieżki – okazuje się, że i ten mechanizm z punktu widzenia bezpieczeństwa ma swoje negatywne aspekty. Duża liczba zapytań DNS, które wywołuje ten mechanizm może dać atakującemu przydatne informacje na temat rozwoju potencjalnych ataków. Na przykład możemy wyobrazić sobie złośliwą stronę internetową, która śledzi użytkowników za pomocą łączy do określonych domen na stronach HTML, a także obserwuje żądania rozpoznawania DNS dla tych domen. Jeśli nasza przeglądarka zaczyna “wchodzić” w tle na inne linki, z których nie mamy zamiaru skorzystać buduje to przestrzeń do potencjalnych nadużyć. W ten sposób ktoś może nam podsunąć złośliwe domeny i wykorzystać je do ataków pokrewnych np. DNS rebinding.
[ czytaj całość… ]

B

rezent (ang. tarpit), czyli płachta na usługę. Jest usługą sieciową, która celowo wprowadza opóźnienia w obsługiwanym protokole spowalniając w ten sposób klientów i zmuszając ich do oczekiwania przez określony czas. Zachowanie to spowalnia lub zatrzymuje sondowanie i atakowanie systemów / usług. Skanery, skrypty i inne narzędzia atakującego są związywane z konkretną usługą / portem i nie mają możliwości ruszyć dalej (zazwyczaj działają synchronicznie wykonując pracę host po hoście / port po porcie). Nakłada to na atakującego większy koszt pod względem czasu i zasobów niż ponosi go obrońca.
[ czytaj całość… ]

D

zień jak codzień spoglądamy na dashboard z top zapytań DNS, aby widzieć jakie zapytania są kierowane z i do naszych serwerów. W zależności od używanych resolverów lub sposobu zbierania danych o zapytaniach DNS nagle możemy zacząć zastanawiać się, dlaczego niektóre nazwy zapytań wyglądają na zniekształcone. Kto normalny pyta o NfSeC.pL? Z pewnością jakiś skryptowy dzieciak się czymś bawi. Ale chwila tych domen jest znacznie więcej. Więc co tu się dzieje? Nowa forma ataku na DNS?
[ czytaj całość… ]

K

ASAN (The Kernel Address Sanitizer) – wykrywający błędy pamięci dynamicznej w kodzie jądra Linuksa właśnie odkrył nową lukę typu: use-after-free (użycia po zwolnieniu pamięci), która pojawiła się od wczesnych wersji jądra Linux 2.6. KASAN (wraz z innymi środkami do sanityzacji) okazał się dość cenny w wykrywaniu różnych błędów w programowaniu zanim zostaną wykorzystane w rzeczywistym świecie. Tym razem padło na odkrycie: CVE-2019-8912. W kodzie podsystemu sieciowego sockfs wykrył podatność use-after-free, która może doprowadzić do wykonania dowolnego kodu (ang. arbitrary code execution). Problem został zgłoszony w zeszłym tygodniu przez inżyniera Huawei i wkrótce po tym został naprawiony. Wydanie jądra Linuksa w wersji 4.20.11 nie wydaje się jeszcze posiadać tej poprawki, ale wkrótce powinna pojawić się w różnych stabilnych / długoterminowych gałęziach.
[ czytaj całość… ]

B

ezpieczeństwo jest złożonym procesem. Jednak, gdy luki w zabezpieczeniach naszego serwisu / organizacji zostaną wykryte przez niezależnych konsultantów bezpieczeństwa (działających w dobrej wierze) – to często brakuje im kanałów do właściwego zgłoszenia odkrytych luk. W rezultacie błędy w zabezpieczeniach mogą pozostać nie zgłoszone lub zaginąć w ramach przesyłania ich do nieodpowiednich kontaktów. Dlatego Ed Foudil zgłosił standard dla formatu pliku security.txt. Obiekt ten jest prostym plikiem tekstowym (podobnym do pliku robots.txt), który zawiera najważniejsze informacje o tym, z kim się skontaktować lub gdzie szukać informacji związanych z bezpieczeństwem witryny.
[ czytaj całość… ]

P

oniższa konfiguracja (podobnie, jak w przypadku nginx) serwera Apache dla komunikacji po https pozwala na uzyskanie oceny A+ w teście przeprowadzanym przez firmę Qualys SSL Labs. Innymi mechanizmami, które zostały zwarte to: HSTS, DNS CAA, OSCP oraz HTTP2. Stosując poniższą konfigurację należy liczyć się, że może ona nie działać (lub niektóre jej funkcjonalności) z starszymi przeglądarkami i aplikacjami typu Java.

  Protocols http/1.1 h2

  SSLEngine on
  SSLCompression off
  SSLSessionTickets off
  SSLUseStapling on

  SSLCertificateFile /etc/apache2/ssl/root.pem
  SSLCertificateKeyFile /etc/apache2/ssl/server.key
  SSLCertificateChainFile /etc/apache2/ssl/root.pem

  SSLProtocol -All +TLSv1.2
  SSLHonorCipherOrder on
  SSLCipherSuite "HIGH:!aNULL:!MD5:!3DES:!CAMELLIA:!AES128:!AES256-SHA:\
                  !AES256-SHA256:!AES256-GCM-SHA384:!AES256-CCM8:!AES256-CCM:\
                  !DHE-DSS-AES256-SHA:!SRP-DSS-AES-256-CBC-SHA"

  SSLOpenSSLConfCmd DHParameters "/etc/ssl/certs/dhparams4096.pem"
  SSLOpenSSLConfCmd ECDHParameters secp384r1
  SSLOpenSSLConfCmd Curves secp521r1:secp384r1

  Header always append Strict-Transport-Security "max-age=31536000;"

Plik dhparams4096.pem wygenerujemy poleceniem (może to zająć nawet kilkanaście minut):

openssl dhparam -out /etc/ssl/certs/dhparams4096.pem 4096

[ czytaj całość… ]

P

ocztę e-mail kiedyś wysyłało się i odbierało w terminalu. Do dzisiaj czasami korzystam z takich programów jak mutt, czy alpine. Cała taka korespondencja jest wysyłana i odbierane przez serwer SMTP (ang. Simple Mail Transfer Protocol) Postfix. Problem w tym, że w standardowej konfiguracji odbiorca naszych wiadomości będzie w stanie zobaczyć ID naszego użytkownika w systemie:

Received: from stardust.nfsec.pl (unknown [17.197.105.219])
  by firewall.hes.trendmicro.eu (TrendMicro Hosted Email Security) with ESMTPS id 22E82
  for <abuse_the@int3rn3t.pl>; Sun, 10 Feb 2019 11:47:27 +0000 (UTC)
Received: by stardust.nfsec.pl (StarDustMX, from userid 666)
  id DD41460069; Sun, 10 Feb 2019 12:47:26 +0100 (CET)
Received: from localhost (localhost [127.0.0.1])
  by stardust.nfsec.pl (StarDustMX) with ESMTP id D60FD60068
  for <abuse_the@int3rn3t.pl>; Sun, 10 Feb 2019 12:47:26 +0100 (CET)

To samo tyczy się adresów IP komputerów w sieci wewnętrznej LAN, które mogą korzystać z takiego centralnego serwera pocztowego, czy też przypadku ukrywania się za CloudFlare, kiedy to musi zostać stworzony oddzielny serwer e-mail, aby oryginalny adres IP serwera web pozostał w ukryciu.
[ czytaj całość… ]

P

oważna luka w zabezpieczeniach została odkryta w głównym kodzie kontenera – runC, która wpływa na kilka systemów open source do zarządzania kontenerami. Umożliwia ona atakującemu potencjalną ucieczkę z kontenera systemu Linux i uzyskanie nieautoryzowanego dostępu na poziomie administratora systemu do systemu operacyjnego hosta. Luka, która otrzymała numer CVE-2019-5736 została odkryta przez badaczy bezpieczeństwa Adama Iwaniuka i Borysa Popławskiego i ujawniona publicznie przez Aleksa Sarai, starszego inżyniera oprogramowania i opiekuna runC w SUSE.
[ czytaj całość… ]

H

arry Sintonen odkrył zestaw 36-letnich w implementacji protokołu Secure Copy Protocol (SCP) wielu aplikacji klienckich. Luki te mogą zostać wykorzystane przez złośliwe serwery do nieautoryzowanego nadpisania dowolnych plików w katalogu docelowym klienta SCP. Dla przypomnienia: SCP, zwany również “bezpieczną kopią”, jest protokołem sieciowym, który umożliwia użytkownikom bezpieczne przesyłanie plików pomiędzy lokalnym, a zdalnym hostem przy użyciu protokołu RCP (ang. Remote Copy Protocol) oraz protokołu SSH (ang. Secure Shell. Innymi słowy, SCP (pochodzący z 1983 roku) jest bezpieczną wersją RCP, która wykorzystuje uwierzytelnianie i szyfrowanie protokołu SSH do przesyłania plików między serwerem, a klientem.
[ czytaj całość… ]

W

poprzedniej części zebraliśmy i przygotowaliśmy do wstępnej obróbki zbiór danych pochodzący z skracarek URL. W tej części zajmiemy się jego umieszczeniem w silniku wyszukiwania, który umożliwi nam bardzo szybkie pozyskiwanie interesujących nas informacji. Jak wcześniej wspomnieliśmy na naszej maszynie wirtualnej uruchomiony jest system Ubuntu 18.04 LTS. Sama maszyna ma 2 CPU / 4 GB RAM oraz 100 GB dysku z czego 57 GB jest już zajęte przez ściągnięte, skompresowane dane. W tej części artykułu interesuje nas stworzenie następnego przepływu danych:

[/data/archive/*/*/*.txt] --> [logstash] --> [elasticsearch] --> [kibana]

[ czytaj całość… ]