P

oważna podatność została wykryta, a raczej powróciła po 15 latach (pierwsze błędy tego typu zostały odkryte i naprawione w bibliotece Perla w marcu oraz Curla w kwietniu 2001 roku). Głównie dotyka aplikacje oraz serwery działające z interfejsami CGI lub podobnymi. Wszystko sprowadza się do prostego konfliktu w nazwach zmiennych. Według RFC 3875 aplikacja CGI pobiera wartość nagłówka HTTP o nazwie Proxy (który może zostać wysłany w dowolnym żądaniu użytkownika) i zapisuje ją pod zmienną środowiskową HTTP_PROXY. Problem w tym, że ta zmienna środowiskowa jest używana do konfiguracji serwera proxy przy łączeniu się aplikacji i serwerów WWW z Internetem.
[ czytaj całość… ]

K

olejny atak na jedno z narzędzi Linuksowych. Tym razem ofiarą mogą paść użytkownicy korzystający z programu wget do ściągania różnych plików z niezaufanych źródeł. Podatność polega na wykorzystaniu sposobu w jaki narzędzie to radzi sobie z przekierowaniami. Atakujący, który kontroluje serwer lub jest w stanie przechwycić sesję użytkownika może spowodować wykonanie dowolnego polecenia po stronie klienta.
[ czytaj całość… ]

A

run Prakash Jana napisał moduł do jądra Linuksa, który przechwytuje naciśnięcia klawiszy na klawiaturze. Współpracuje z klawiaturami o układzie US (i zgodnych z nimi komputerami przenośnymi). Przyciśnięte klawisze są zapisywane w przestrzeni systemu plików pomagającym w debugowaniu innych systemów plików – debugfs tak długo dopóki moduł pozostaje załadowany w systemie.
[ czytaj całość… ]

s

up jest małą i bezpieczną aplikacją napisaną w języku C. Przeznaczony do ułatwienia przekraczania uprawnień użytkowników przez uruchamianie niektórych programów jako administrator (root – z bitem suid). Wszystkie ustawienia dla programu sup są na sztywno wprowadzane w kodzie podczas kompilacji. Jego autor twierdzi, że jest wysoce przenośny oraz samowystarczalny (w środowiskach produkcyjnych może zostać użyty jako statyczny plik binarny – wymaga wówczas biblioteki musl-libc). Można powiedzieć, że stanowi alternatywę dla sudo w wbudowanych i skonteryzowanych systemach.
[ czytaj całość… ]

Współczesne, szkodliwe oprogramowanie komunikuje się z swoimi serwerami C&C (command and control) za pomocą sieci Tor. Jeśli chcemy ochronić naszą firmową / domową sieć przed różnego rodzaju malware / ransomware lub atakami pochodzącymi z wyjściowych węzłów Tor to możemy do tego wykorzystać takie serwisy, jak Ransomware Tracker, Feodo Tracker oraz Tor Network Status, które dostarczają gotowe listy z adresami IP, które mogą zostać wykorzystane do budowy blokady:
[ czytaj całość… ]

P

ersonel Linux Foundation postanowił jakiś czas temu udostępnić wewnętrzne listy kontrolne oraz poradniki dotyczące polityk IT. Jedną z nich jest lista kontrolna zabezpieczeń stacji roboczych opartych na systemie Linux. Może ona zostać zaadaptowana i zmodyfikowana przez dowolną organizację (licencja Creative Commons „Attribution-ShareAlike„) lub projekty opensource korzystające z pomocy wolontariuszy do zarządzania infrastrukturą. Dla jednych osób może wydać się zbyt paranoiczna, podczas gdy ktoś inny może uważać, że to ledwie zarysowanie powierzchni. Bezpieczeństwo jest jak jazda na autostradzie – każdy kto jedzie wolniej od Ciebie jest idiotom, każdy kto szybciej – szaleńcem.

Więcej informacji: Linux workstation security checklist

T

he Defense Information Systems Agency znana też jako Defense Communications Agency, która jest częścią United States Department of Defense od 1998 roku odgrywa kluczową rolę w polepszaniu stanu zabezpieczeń systemów DoD poprzez dostarczanie dokumentów o nazwie Security Technical Implementation Guides potocznie zwanych STIGs. Jeden ze STIGów został wydany dla systemu RedHat w wersji 6.
[ czytaj całość… ]

K

ażda instalacja pakietów z nieznanego źródła, czy ślepe kopiowanie i wklejanie poleceń do terminala jest ewidentnie złym pomysłem. Ostatnio bardzo modne stało się instalowanie różnego rodzaju pluginów, aplikacji, rozwiązań wirtualizacji i innych tworów startapowych poprzez polecenie typu curl http://startup.io/install.sh | bash, co w założeniu ma znacznie upraszczać proces instalacji i konfiguracji dla użytkownika. Wykrywany jest system, instalowane zależności, ściągane dodatkowe instalatory itd. – wszystko szybko i automatycznie, ale czy bezpiecznie?
[ czytaj całość… ]

W

poprzedniej części zaprezentowałem, jak prosto za pomocą PAM możemy przesyłać informację o logowaniu się na uprzywilejowane konto root. W tej części zajmiemy się prawie permanentną inwigilacją poleceń wydawanych przez administratora i zwykłych użytkowników systemu. Wykorzystamy do tego bibliotekę snoopy.
[ czytaj całość… ]

U

wierzytelnianie dwuskładnikowe polega na zabezpieczeniu dostępu do danej usługi (tutaj SSH) polegająca na dodatkowym uwierzytelnieniu oprócz wpisania standardowego loginu i hasła. Najczęściej występujące rodzaje zabezpieczeń to: sms z dodatkowym kodem; kody jednorazowe spisane na kartce lub wysyłane na adres e-mail; aplikacja z kodami jednorazowymi zainstalowana na komputerze lub urządzeniu mobilnym (tablet / telefon). W tym artykule skupimy się na kodach jednorazowych (OTP – One Time Passwords), które dodatkowo będą chronić naszą usługę SSH.
[ czytaj całość… ]