N

ie zawsze live patching jest możliwy. Dobrze przestrzegana polityka zarządzania poprawkami pozwala na redukcję słabych stron naszego systemu. Jednak nawet zaktualizowany system może posiadać stare procesy oraz biblioteki, które są jeszcze załadowane i używane w pamięci. W identyfikacji komponentów, które wymagają restartu może pomóc nam program o nazwie needrestart.
[ czytaj całość… ]

Z

ałóżmy, że posiadamy centralny system logowania, który gromadzi różne dane z wszystkich naszych serwerów. Może być on oparty o komercyjne usługi typu Loggly, Logentries, DataDog lub własne rozwiązania, których sercem jest Elasticsearch, czy RethinkDB. Zależy nam na tym, aby każde normalne logowanie i to na uprzywilejowane konto root, czy to bezpośrednio na maszynę, czy to za pomocą sudo było przesyłane do naszego centrum danych. Dane te mogą posłużyć nie tylko jako ewidencja i kontrola osób, które mają prawo do tego typu działań, ale również umożliwia nam ich analizę i wykrywanie potencjalnych naruszeń bezpieczeństwa.
[ czytaj całość… ]

C

IS jest organizacją non-profit założoną w październiku 2000 roku, której misją jest “podwyższanie gotowości i zdolności do cyberbezpieczeństwa wśród podmiotów sektora publicznego i prywatnego”. Wykorzystując swoją siłę w współpracy z przedsiębiorcami oraz organizacjami rządowymi CIS stara się podejmować wyzwania bezpieczeństwa cybernetycznego na globalną skalę. Pomaga również organizacją przyjmować kluczowe z najlepszych praktyk w celu uzyskania natychmiastowej i skutecznej obrony przed cyberatakami. W skład działań CIS wchodzą m.in. Multi-State Information Sharing and Analysis Center (MS-ISAC), CIS Security Benchmarks oraz CIS Critical Security Controls. Nas będą interesować benchmarki.
[ czytaj całość… ]

P

erception Point ujawnił nową lukę bezpieczeństwa typu zero-day w jądrze systemu Linux, która umożliwia nieuprawnione podniesienie praw użytkownika do roli administratora (root). Luka istniała od 2012 roku, a aktualnie dotyka każdą maszynę wyposażoną w jądro Linux w wersji 3.8 i wyższej (oprócz dziesiątek milionów serwerów i komputerów podatne są także telefony z systemem Android KitKat i nowsze). Wykorzystując tą podatność atakujący są w stanie kasować i wyświetlać prywatne dane oraz instalować szkodliwe oprogramowanie. Kernel security team zostało już powiadomione i dzięki Red Hat Security team poprawki powinny zacząć pojawiać się w najbliższym czasie. Zalecamy jak najszybszą aktualizację.

Więcej informacji: Analysis and Exploitation of a Linux Kernel Vulnerability (CVE-2016-0728)

O

d wersji 5.4 (wypuszczonej w marcu 2010 roku), klient OpenSSH obsługuje nieudokumentowaną funkcjonalność o nazwie “roaming“: jeśli połączenie do serwera SSH zostanie nieoczekiwanie przerwane i jeśli serwer wspiera tą funkcjonalność – klient jest w stanie odnowić połączenie i odzyskać zawieszoną sesję SSH. Chociaż roaming nie jest jeszcze wspierany po stronie serwera OpenSSH jest standardowo włączony w kliencie i posiada dwie podatności, które mogą zostać wykorzystane przez szkodliwy (lub zaufany ale skompromitowany) serwer SSH: wyciek informacji (poprzez ujawnienie danych z pamięci) oraz przepełnienie bufora (z wykorzystaniem stosu).
[ czytaj całość… ]

S

ecurityheaders podobnie, jak Qualys SSL Test dla SSL oferuje sprawdzanie poprawności i ranking konfiguracji, jeśli chodzi o nagłówki bezpieczeństwa używane po stronie serwera i strony WWW. Zanim wykonamy test powinniśmy bliżej zapoznać się z następującymi pojęciami: Content-Security-Policy (CSP), X-Content-Type-Options, X-Frame-Options, X-XSS-Protection, Strict-Transport-Security (HSTS) oraz Public-Key-Pins (HPKP). Jeśli nie stosujemy żadnego z nich – ocena “F” nie powinna być zaskoczeniem.

Więcej informacji: securityheaders.io

W

pierwszej części pokazałem, jak łatwo za pomocą iptables sfałszować nasłuchujące usługi. W tym przykładzie zajmiemy się techniką zwaną banner grabbing. Proces ten powoduje, że skaner przechodzi do warstwy aplikacji i zaczyna zachowywać się, jak klient. Wysyła dopasowane żądanie do usługi i oczekuje odpowiedzi, w której ma nadzieje znaleźć jej nazwę i wersję.
[ czytaj całość… ]

Z

espół cyberbezpieczeństwa w Polytechnic University of Valencia (UPV) w Hiszpanii znalazł sposób na bardzo proste ominięcie mechanizmu uwierzytelniania na poziomie bootloadera GRUB2. Wystarczy, że zamiast podania nazwy użytkownika zostanie wciśnięty 28 razy klawisz BACKSPACE, który spowoduje uruchomienie “Grub rescue shell” umożliwiając atakującemu dostęp do dowolnej części systemu.

Więcej informacji: Back to 28: Grub2 Authentication 0-Day

I

stnieje wiele poradników, instrukcji i tutoriali, jak korzystać z skanerów bezpieczeństwa, które pozwalają na szybkie zweryfikowanie pentesterom zewnętrznego bezpieczeństwa serwerów. Najbardziej znanym jest chyba nmap. Decydując się na tego typu automat należy pamiętać, że to są tylko automaty, a wyniki ich pracy powstają tylko i wyłącznie na interpretacji surowych danych przychodzących po wyzwoleniu określonej akcji. Narzędzia tego typu nie myślą. Spodziewają się pewnych zachowań od systemów i na ich podstawie tworzą jakieś założenia. Jeśli sobie tego nie uświadomimy bardzo szybko możemy nabrać się na fałszywe alarmy oraz utratę cennego czasu przy opracowywaniu raportu bezpieczeństwa.
[ czytaj całość… ]

3

grudnia portal Let’s Encrypt osiągnął status beta tym samym dając możliwość wszystkim zainteresowanym użytkownikom podpisywania certyfikatów SSL za darmo. Za projektem stoją takie firmy, jak Akamai, Cisco, Electronic Frontier Foundation, Mozilla Foundation, Internet Society, IdenTrust, czy Automattic. Najważniejszą informacją jest fakt, że certyfikatom wydawanym przez portal Let’s Encrypt, w przeciwieństwie do dotychczas istniejących “darmowych” rozwiązań, ufają wszystkie liczące się na rynku Internetu przeglądarki. W dodatku cały proces wygenerowania i podpisania certyfikatu jest łatwy i można go prosto zautomatyzować.
[ czytaj całość… ]