T

a krótka instrukcja poruszy temat skonfigurowania serwera httpd apache (2.4) w środowisku chroot() pod katalogiem /chroot. Na początek w systemie należy zainstalować takie pakiety jak: apache2 oraz libapache2-mod-php. Pierwszy z dwóch zapewni nam oprogramowanie httpd samo w sobie podczas, gdy libapache2-mod-php wsparcie dla interpretera PHP w wersji 7.0.8:
[ czytaj całość… ]

M

onit jest małym, ale potężnym narzędziem, które potrafi zarządzać monitoringiem i kondycją systemu. Potrafi przeprowadzać zautomatyzowane czynności utrzymaniowe, naprawcze i zaradcze w sytuacjach wystąpienia różnych błędów. Nie tylko umie czuwać nad poprawnym działaniem procesów, ale również zgłaszać incydenty oraz podejmować różne akcje (np. poprzez skrypty). Poniżej zamieszczam prosty przykład, jak wykorzystać tego daemona do monitorowania logowań przez SSH i wysyłania powiadomień przez e-mail.
[ czytaj całość… ]

D

o pliku net/ipv4/tcp_input.c w jądrze Linuksa od wersji 3.6 wprowadzono patch mający na celu poprawienie odporności stosu TCP przed atakiem Blind In-Window. Niestety spowodował on zupełnie odwrotne działanie i w rzeczywistości ułatwia przechwytywanie sesji TCP poprzez wyciek informacji bocznym kanałem. Podatne są wszystkie systemy Linux z zakresu 3.6 – 4.7 (do przeprowadzenia ataku wystarczy, że tylko jedna strona w komunikacji klient – serwer jest podatna). Jak twierdzą autorzy będący m.in. członkami Cyber Security Group Uniwersytetu w Kalifornii atak zajmuje od 40 do 60 sekund i posiada od 88% do 97% skuteczności. Pierwsza prezentacja odkrycia odbyła się w maju 2016 roku na konferencji GeekPwn, a w ciągu dwóch dni na konferencji Usenix Security Symposium zostaną przedstawione pełne wyniki badań. Na YouTube dostępy jest film prezentujący przeprowadzenie ataku z wstrzyknięciem treści w trwającą sesję TCP. Tymczasowym rozwiązaniem do czasu pojawienia się oficjalnych poprawek jest podniesienie limitu ilości wysyłanych segmentów ACK służących do kwestionowania pakietów SYN z niezgodnymi numerami sekwencyjnymi.

sysctl -w net.ipv4.tcp_challenge_ack_limit=999999999

Warto wspomnieć, że pierwszy tego rodzaju atak przeprowadził Kevin Mitnick.

Więcej informacji: Fixing an Internet Security Threat, CVE-2016-5696

N

ajnowsza wersja Linuksa otrzymała nową funkcję bezpieczeństwa o nazwie “LoadPin”, która została przeniesiona z systemu Chrome OS i umożliwia wprowadzenie ograniczeń odnośnie nośników i lokalizacji, z których mogą być ładowane moduły i firmware jądra. Innymi słowy LoadPin jest nowym mini Modułem Bezpieczeństwa Linuksa (ang. Linux Security Module – LSM, który przechwytuje skonsolidowany zaczep LSM wywołania kernel_file_read, aby nasz system ładował wszystkie dodatki (moduły, firmware, obrazy kexec, polityki bezpieczeństwa) pochodzące z jednego zaufanego systemu plików. Poprzez zaufany system plików rozumie się tutaj taki, który jest umieszczony na urządzeniu tylko tylko-do-odczytu (np. CDROM lub dm-verity [wbudowany w Androidowe jądro od czasów wersji 4.4]). Niweluje to konieczność podpisywania każdego ładowanego pliku z osobna, ponieważ pierwszy plik ładowany przez interfejs odczytu plików jądra jest “przypinany” do systemu plików użytego do załadowania, a wszystkie pliki pochodzące z poza niego są odrzucane. Włączeniem lub wyłączeniem funkcji możemy sterować poprzez opcję SECURITY_LOADPIN_ENABLED w jądrze lub parametrem loadpin.enabled=1/0 przy starcie systemu.

Więcej informacji: The LoadPin security module

Nigdy, przenigdy nie ładujemy sesji screen / tmux na użytkowniku, który później w tej samej sesji odpala polecenie sudo / su i zostawia zawieszoną sesję (Ctrl + A + D) z uprawnieniami użytkownika root. Po przejęciu takiego konta – uzyskanie kontroli nad całym systemem ogranicza się wtedy do polecenia: screen -r. Scenariusz zawsze powinien być następujący: logowanie na zwykłego użytkownika ›› sudo su ›› screen ›› zawieszenie sesji i wylogowanie się z root.

P

oważna podatność została wykryta, a raczej powróciła po 15 latach (pierwsze błędy tego typu zostały odkryte i naprawione w bibliotece Perla w marcu oraz Curla w kwietniu 2001 roku). Głównie dotyka aplikacje oraz serwery działające z interfejsami CGI lub podobnymi. Wszystko sprowadza się do prostego konfliktu w nazwach zmiennych. Według RFC 3875 aplikacja CGI pobiera wartość nagłówka HTTP o nazwie Proxy (który może zostać wysłany w dowolnym żądaniu użytkownika) i zapisuje ją pod zmienną środowiskową HTTP_PROXY. Problem w tym, że ta zmienna środowiskowa jest używana do konfiguracji serwera proxy przy łączeniu się aplikacji i serwerów WWW z Internetem.
[ czytaj całość… ]

K

olejny atak na jedno z narzędzi Linuksowych. Tym razem ofiarą mogą paść użytkownicy korzystający z programu wget do ściągania różnych plików z niezaufanych źródeł. Podatność polega na wykorzystaniu sposobu w jaki narzędzie to radzi sobie z przekierowaniami. Atakujący, który kontroluje serwer lub jest w stanie przechwycić sesję użytkownika może spowodować wykonanie dowolnego polecenia po stronie klienta.
[ czytaj całość… ]

A

run Prakash Jana napisał moduł do jądra Linuksa, który przechwytuje naciśnięcia klawiszy na klawiaturze. Współpracuje z klawiaturami o układzie US (i zgodnych z nimi komputerami przenośnymi). Przyciśnięte klawisze są zapisywane w przestrzeni systemu plików pomagającym w debugowaniu innych systemów plików – debugfs tak długo dopóki moduł pozostaje załadowany w systemie.
[ czytaj całość… ]

s

up jest małą i bezpieczną aplikacją napisaną w języku C. Przeznaczony do ułatwienia przekraczania uprawnień użytkowników przez uruchamianie niektórych programów jako administrator (root – z bitem suid). Wszystkie ustawienia dla programu sup są na sztywno wprowadzane w kodzie podczas kompilacji. Jego autor twierdzi, że jest wysoce przenośny oraz samowystarczalny (w środowiskach produkcyjnych może zostać użyty jako statyczny plik binarny – wymaga wówczas biblioteki musl-libc). Można powiedzieć, że stanowi alternatywę dla sudo w wbudowanych i skonteryzowanych systemach.
[ czytaj całość… ]

Współczesne, szkodliwe oprogramowanie komunikuje się z swoimi serwerami C&C (command and control) za pomocą sieci Tor. Jeśli chcemy ochronić naszą firmową / domową sieć przed różnego rodzaju malware / ransomware lub atakami pochodzącymi z wyjściowych węzłów Tor to możemy do tego wykorzystać takie serwisy, jak Ransomware Tracker, Feodo Tracker oraz Tor Network Status, które dostarczają gotowe listy z adresami IP, które mogą zostać wykorzystane do budowy blokady:
[ czytaj całość… ]