D

o pliku net/ipv4/tcp_input.c w jądrze Linuksa od wersji 3.6 wprowadzono patch mający na celu poprawienie odporności stosu TCP przed atakiem Blind In-Window. Niestety spowodował on zupełnie odwrotne działanie i w rzeczywistości ułatwia przechwytywanie sesji TCP poprzez wyciek informacji bocznym kanałem. Podatne są wszystkie systemy Linux z zakresu 3.6 – 4.7 (do przeprowadzenia ataku wystarczy, że tylko jedna strona w komunikacji klient – serwer jest podatna). Jak twierdzą autorzy będący m.in. członkami Cyber Security Group Uniwersytetu w Kalifornii atak zajmuje od 40 do 60 sekund i posiada od 88% do 97% skuteczności. Pierwsza prezentacja odkrycia odbyła się w maju 2016 roku na konferencji GeekPwn, a w ciągu dwóch dni na konferencji Usenix Security Symposium zostaną przedstawione pełne wyniki badań. Na YouTube dostępy jest film prezentujący przeprowadzenie ataku z wstrzyknięciem treści w trwającą sesję TCP. Tymczasowym rozwiązaniem do czasu pojawienia się oficjalnych poprawek jest podniesienie limitu ilości wysyłanych segmentów ACK służących do kwestionowania pakietów SYN z niezgodnymi numerami sekwencyjnymi.

sysctl -w net.ipv4.tcp_challenge_ack_limit=999999999

Warto wspomnieć, że pierwszy tego rodzaju atak przeprowadził Kevin Mitnick.

Więcej informacji: Fixing an Internet Security Threat, CVE-2016-5696

N

ajnowsza wersja Linuksa otrzymała nową funkcję bezpieczeństwa o nazwie „LoadPin”, która została przeniesiona z systemu Chrome OS i umożliwia wprowadzenie ograniczeń odnośnie nośników i lokalizacji, z których mogą być ładowane moduły i firmware jądra. Innymi słowy LoadPin jest nowym mini Modułem Bezpieczeństwa Linuksa (ang. Linux Security Module – LSM, który przechwytuje skonsolidowany zaczep LSM wywołania kernel_file_read, aby nasz system ładował wszystkie dodatki (moduły, firmware, obrazy kexec, polityki bezpieczeństwa) pochodzące z jednego zaufanego systemu plików. Poprzez zaufany system plików rozumie się tutaj taki, który jest umieszczony na urządzeniu tylko tylko-do-odczytu (np. CDROM lub dm-verity [wbudowany w Androidowe jądro od czasów wersji 4.4]). Niweluje to konieczność podpisywania każdego ładowanego pliku z osobna, ponieważ pierwszy plik ładowany przez interfejs odczytu plików jądra jest „przypinany” do systemu plików użytego do załadowania, a wszystkie pliki pochodzące z poza niego są odrzucane. Włączeniem lub wyłączeniem funkcji możemy sterować poprzez opcję SECURITY_LOADPIN_ENABLED w jądrze lub parametrem loadpin.enabled=1/0 przy starcie systemu.

Więcej informacji: The LoadPin security module

Nigdy, przenigdy nie ładujemy sesji screen / tmux na użytkowniku, który później w tej samej sesji odpala polecenie sudo / su i zostawia zawieszoną sesję (Ctrl + A + D) z uprawnieniami użytkownika root. Po przejęciu takiego konta – uzyskanie kontroli nad całym systemem ogranicza się wtedy do polecenia: screen -r. Scenariusz zawsze powinien być następujący: logowanie na zwykłego użytkownika ›› sudo su ›› screen ›› zawieszenie sesji i wylogowanie się z root.

P

oważna podatność została wykryta, a raczej powróciła po 15 latach (pierwsze błędy tego typu zostały odkryte i naprawione w bibliotece Perla w marcu oraz Curla w kwietniu 2001 roku). Głównie dotyka aplikacje oraz serwery działające z interfejsami CGI lub podobnymi. Wszystko sprowadza się do prostego konfliktu w nazwach zmiennych. Według RFC 3875 aplikacja CGI pobiera wartość nagłówka HTTP o nazwie Proxy (który może zostać wysłany w dowolnym żądaniu użytkownika) i zapisuje ją pod zmienną środowiskową HTTP_PROXY. Problem w tym, że ta zmienna środowiskowa jest używana do konfiguracji serwera proxy przy łączeniu się aplikacji i serwerów WWW z Internetem.
[ czytaj całość… ]

K

olejny atak na jedno z narzędzi Linuksowych. Tym razem ofiarą mogą paść użytkownicy korzystający z programu wget do ściągania różnych plików z niezaufanych źródeł. Podatność polega na wykorzystaniu sposobu w jaki narzędzie to radzi sobie z przekierowaniami. Atakujący, który kontroluje serwer lub jest w stanie przechwycić sesję użytkownika może spowodować wykonanie dowolnego polecenia po stronie klienta.
[ czytaj całość… ]

A

run Prakash Jana napisał moduł do jądra Linuksa, który przechwytuje naciśnięcia klawiszy na klawiaturze. Współpracuje z klawiaturami o układzie US (i zgodnych z nimi komputerami przenośnymi). Przyciśnięte klawisze są zapisywane w przestrzeni systemu plików pomagającym w debugowaniu innych systemów plików – debugfs tak długo dopóki moduł pozostaje załadowany w systemie.
[ czytaj całość… ]

s

up jest małą i bezpieczną aplikacją napisaną w języku C. Przeznaczony do ułatwienia przekraczania uprawnień użytkowników przez uruchamianie niektórych programów jako administrator (root – z bitem suid). Wszystkie ustawienia dla programu sup są na sztywno wprowadzane w kodzie podczas kompilacji. Jego autor twierdzi, że jest wysoce przenośny oraz samowystarczalny (w środowiskach produkcyjnych może zostać użyty jako statyczny plik binarny – wymaga wówczas biblioteki musl-libc). Można powiedzieć, że stanowi alternatywę dla sudo w wbudowanych i skonteryzowanych systemach.
[ czytaj całość… ]

Współczesne, szkodliwe oprogramowanie komunikuje się z swoimi serwerami C&C (command and control) za pomocą sieci Tor. Jeśli chcemy ochronić naszą firmową / domową sieć przed różnego rodzaju malware / ransomware lub atakami pochodzącymi z wyjściowych węzłów Tor to możemy do tego wykorzystać takie serwisy, jak Ransomware Tracker, Feodo Tracker oraz Tor Network Status, które dostarczają gotowe listy z adresami IP, które mogą zostać wykorzystane do budowy blokady:
[ czytaj całość… ]

P

ersonel Linux Foundation postanowił jakiś czas temu udostępnić wewnętrzne listy kontrolne oraz poradniki dotyczące polityk IT. Jedną z nich jest lista kontrolna zabezpieczeń stacji roboczych opartych na systemie Linux. Może ona zostać zaadaptowana i zmodyfikowana przez dowolną organizację (licencja Creative Commons „Attribution-ShareAlike„) lub projekty opensource korzystające z pomocy wolontariuszy do zarządzania infrastrukturą. Dla jednych osób może wydać się zbyt paranoiczna, podczas gdy ktoś inny może uważać, że to ledwie zarysowanie powierzchni. Bezpieczeństwo jest jak jazda na autostradzie – każdy kto jedzie wolniej od Ciebie jest idiotom, każdy kto szybciej – szaleńcem.

Więcej informacji: Linux workstation security checklist

T

he Defense Information Systems Agency znana też jako Defense Communications Agency, która jest częścią United States Department of Defense od 1998 roku odgrywa kluczową rolę w polepszaniu stanu zabezpieczeń systemów DoD poprzez dostarczanie dokumentów o nazwie Security Technical Implementation Guides potocznie zwanych STIGs. Jeden ze STIGów został wydany dla systemu RedHat w wersji 6.
[ czytaj całość… ]