NFsec Logo

DNS – wycieki i reklam ścieki

18/06/2014 w Bezpieczeństwo Możliwość komentowania DNS – wycieki i reklam ścieki została wyłączona

P

rywatność? Ostatnio z nią jest tyle problemów. Blokujemy ciastka. Blokujemy reklamy. Blokujemy porty. Dopiero wchodzimy do Sieci. „Internet is fuckup by design„. Ostatnio dość drażliwy wątek wywołała firma AT&T, która filtruje zapytania DNS swoich klientów i sprzedaje je firmą zajmujących się reklamą w Internecie. Tak. To jest prawie ten sam mechanizm, który przy wyszukiwarce Google czasem serwuje reklamę dziwnie powiązaną z niedawnymi tematami, jakie nas interesowały w zapytaniach. Oczywiście istnieje możliwość wykupienia opcji bez funkcji śledzenia (różnica pomiędzy 99, a 70 USD w USA).
[ czytaj całość… ]

Kolorowanka SELinux

18/04/2014 w Bezpieczeństwo Możliwość komentowania Kolorowanka SELinux została wyłączona

D

an Walsh miał fajny pomysł wytłumaczenia koncepcji polityk stosowanych w SELinux w dość prosty sposób – razem z Máirín Duffy wydali kolorowankę, której pierwowzorem był artykuł na portalu opensource.com z okazji dziesięciolecia tego mechanizmu bezpieczeństwa. Książka jest dostępna na licencji Creative Commons Attribution-ShareAlike 4.0 International License i można ją pobrać m.in. stąd.

Address Space Layout Randomization

13/04/2014 w Bezpieczeństwo Możliwość komentowania Address Space Layout Randomization została wyłączona

O

d wersji jądra 2.6.12 (w innych dystrybucjach jak np. CentOS poszczególne patche mogą być aplikowane do niższych wersji) włączony jest mechanizm ASLRAddress Space Layout Randomization, czyli Losowe Ułożenie Przestrzeni Adresowej, który umożliwia wprowadzenie losowości do schematu adresowania danych procesu, które ładowane są do pamięci. Oznacza to, że ASLR może ulokować położenie kodu wykonalnego, bibliotek, sterty oraz stosu w losowych pozycjach przestrzeni adresowej procesu. Utrudnia to przewidywanie przez atakujący program adresu następnych instrukcji i zabezpieczenie systemu przed atakami typu ret2libc.
[ czytaj całość… ]

Ograniczanie dostępu do wskaźników jądra w systemie plików /proc

12/04/2014 w Bezpieczeństwo Możliwość komentowania Ograniczanie dostępu do wskaźników jądra w systemie plików /proc została wyłączona

W

łączenie kernel.kptr_restrict na przykład przez sysctl spowoduje ukrycie symbolów jądra wraz z ich adresami w pliku /proc/kallsyms przed normalnymi użytkownikami (pomijając tych, którzy mają przyznane POSIX capabilities – CAP_SYSLOG). Utrudnia to trochę eksploitom wykorzystującym podatności jądra na dynamiczne odnajdywanie symboli / adresów pamięci.

Więcej informacji: Wskaźnik, kptr_restrict

Ukrywanie procesów przed innymi użytkownikami

15/03/2014 w Bezpieczeństwo Możliwość komentowania Ukrywanie procesów przed innymi użytkownikami została wyłączona

W

styczniu 2012 Vasiliy Kulikov zaproponował poprawkę do Linuksa, która poprzez dodanie frazy hidepid do opcji montowania wirtualnego systemu plików procfs umożliwia ukrywanie procesów przed użytkownikami, do których dany proces nie należy. Patch został umieszczony w jądrze w wersji 3.3, a w między czasie backportowany do Debiana Wheezy i jego jądra w wersji 3.2 oraz RedHat Enterprise Linux 6.3 (2.6.32), jak i 5.9 (2.6.18).
[ czytaj całość… ]

Apache – podstawowy poziom bezpieczeństwa – podsumowanie

02/03/2014 w Bezpieczeństwo Możliwość komentowania Apache – podstawowy poziom bezpieczeństwa – podsumowanie została wyłączona

G

dybym miał na dzisiejszy dzień zapewnić podstawowy poziom bezpieczeństwa swojego serwera WWW – po standardowej instalacji z paczki zacząłbym od kilku rzeczy:
[ czytaj całość… ]

Zabezpiecz swoje udziały eRsynkowe, proszę

13/02/2014 w Bezpieczeństwo Możliwość komentowania Zabezpiecz swoje udziały eRsynkowe, proszę została wyłączona

S

teve Kemp jakiś czas temu zaczął prowadzić badania nad publicznie dostępnymi serwerami rsync – myśląc, że fajnym pomysłem będzie napisanie do nich silnika wyszukiwania. Dzisiaj porzucił ten projekt. Dlaczego? Ponieważ, jak się okazało w Internecie jest zbyt wiele serwerów rsync zawierających poufne i osobiste dane (np. kopie zapasowe komputerów, strony www z bazami danych SQL itd.).
[ czytaj całość… ]

Apache HTTPD: ETag Inode Information Leakage

02/02/2014 w Bezpieczeństwo Możliwość komentowania Apache HTTPD: ETag Inode Information Leakage została wyłączona

J

eśli używamy serwera Apache możemy wykorzystać w jego komunikacji z przeglądarką ETagi (ang. Entity Tag) dla statycznych zasobów serwowanych z dysku naszego serwera. Służą one między innymi serwerowi Apache do porównywania ich wartości z nagłówkiem If-None-Match i zwracania w zależności od wyniku kodu: 304 Not modified lub 200 OK. Niestety od wersji 1.3.22 do 2.3.14 tego serwera w konstrukcji pola ETag używany jest numer i-node pliku, do którego zostało wykonane odwołanie.
[ czytaj całość… ]

Ograniczanie dostępu do MongoDB w środowisku chmury

23/12/2013 w Administracja, Bezpieczeństwo Możliwość komentowania Ograniczanie dostępu do MongoDB w środowisku chmury została wyłączona

A

ktualnie baza MongoDB (v2.4.8) nie posiada możliwości ograniczenia dostępu do wybranych adresów IP na poziomie warstwy aplikacji. Mechanizmem, który można szybko do tego wykorzystać jest netfilter. Daje się on szybko dostosować szczególnie w środowisku wirtualizacji, w którym maszyna wirtualna posiada zmienny, wewnętrzny adres IP na interfejsie eth0 – a jej zewnętrzny adres przechodzi przez mechanizm NAT.
[ czytaj całość… ]

CVE-2012-1823 – Apache / PHP5.x Remote Code Execution Exploit

09/12/2013 w Bezpieczeństwo Możliwość komentowania CVE-2012-1823 – Apache / PHP5.x Remote Code Execution Exploit została wyłączona

W

maju 2012 roku opublikowano lukę w PHP CVE-2012-1823. Dotyczy ona tylko serwerów, które posiadają skonfigurowaną obsługę języka PHP jako skrypty CGI. Chociaż nie jest to domyślna konfiguracja w większości systemów – w takich dystrybucjach jak Debian i Ubuntu instalując paczkę php5-cgi i zostawiając domyślne ustawienia serwera Apache – pozwalające na dostępność binarnych plików w ścieżce http://serwer/cgi-bin/php5 wystawiamy nasz serwer na eksplorację luki. O zasadzie luki możemy przeczytać tutaj.
[ czytaj całość… ]