Dostanie się do chronionej sieci, a pobranie z niej danych bez bycia zauważonym to dwie różne techniki pokonywania zabezpieczeń. Tylko dlatego, że ofiara skusiła się na kliknięcie spreparowanego linku z szkodliwym oprogramowaniem nie znaczy, że agresor właśnie otrzymał otwartą furtkę, aby przejść przez firewall lub IDS z danymi na których mu zależy. Chyba, że użyje do tego prostego programu ping?
[ czytaj całość… ]

I

ntel w nowej mikroarchitekturze Skylake, która w sierpniu 2015 zastąpiła mikroarchitekturę Broadwell wprowadził rozszerzenie MPX – Memory Protection Extensions. MPX to rozszerzenie sprzętowe mające zapobiegać atakom przepełnienia bufora.
[ czytaj całość… ]

N

o właśnie, co z tymi pakietami SYN? Tutaj ponownie pojawia się problem skalowalności systemu conntrack (tak jak dla stanu listen) dla tworzenia (lub usuwania) połączeń, które spowoduje zalew pakietów SYN. Nawet jeśli uporamy się z blokadą w warstwie conntrack to kolejnym krokiem wędrówki pakietu SYN będzie stworzenie gniazda w trybie “nasłuchu”, czyli kolejną barierą wydajnościową. Normalnym procesem łagodzenia tego typu pakietów w systemie Linux będzie mechanizm SYN-cookies, który również ma ograniczenia.
[ czytaj całość… ]

A

ktualnie większość infrastruktur składających się z więcej niż 5 serwerów jest / powinna być zarządzana za pomocą tzw. menadżerów konfiguracji serwerów. Jednym z nich jest Puppet. Przy większej ilości maszyn administratorzy zazwyczaj tworzą (dash)boardy, które informują na jakich serwerach dokonały się (lub nie) aktualizacje konfiguracji. Pozwalają również na uzyskanie bardzo dokładnych informacji o obsługiwanej infrastrukturze (adresy sieciowe, wersje systemów i daemonów itp.). I tutaj pojawia się problem.
[ czytaj całość… ]

P

odstawowy problem skalowalności protokołu TCP w jądrze Linuksa jest związany z liczbą nowych połączeń, jakie mogą być tworzone na sekundę. Odnosi się to bezpośrednio do obsługi gniazd powstających w trybie nasłuchu, które są blokowane. Blokady powodowane są nie tylko przez pakiety z flagą SYN, ale także SYN-ACK oraz ACK (ostatni w potrójnym uścisku dłoni). Podczas ataków DoS / DDoS za pomocą tego rodzaju pakietów atakujący ma na celu wysłanie, jak największej ilości spreparowanych pakietów, które mają na celu osiągnąć i spowodować problem z blokowaniem gniazd w trybie nasłuchu. Jedną z metod jest podniesienie bardzo niskiego limitu dla tego typu gniazd oraz kolejki oczekujących połączeń w systemie:
[ czytaj całość… ]

O

d wersji 2.6.31 Linux daje nam namiastkę funkcjonalności jądra monolitycznego, czyli możliwość blokady ładowania nowych modułów. Wykorzystanie tej opcji podnosi poziom ochrony systemu przed załadowaniem szkodliwych modułów oraz ograniczenia działania niektórych rootkitów.
[ czytaj całość… ]

O

statnio Larry Seltzer wykonał prosty test w korzystaniu z otwartych sieci WiFi (tych, które nie oferują żadnego szyfrowania i najczęściej udostępniane są za darmo w restauracjach typu KFC, McDonalds, hotelach itd.). Polegał on na zbadaniu, czy rzeczywiście korzystanie z takich sieci nawet za pomocą wirtualnych sieci prywatnych zapewnia dobry stopień bezpieczeństwa.
[ czytaj całość… ]

B

IND jest serwerem DNS tworzonym przez ISC (ang. Internet Systems Consortium) powszechnie używanym do rozwiązywania nazw hostów na adresy IP i odwrotnie. Jako kluczowy element infrastruktury serwery DNS często stają się celem ataków. Podejmując jednak kilka prostych kroków można pomóc w ochronie swojej sieci oraz całego Internetu. Niniejszy artykuł zawiera minimum informacji potrzebnych do poprawny bezpieczeństwa BIND9 pozwalając administratorom systemów zminimalizować zagrożenie. Zdecydowanie najważniejszą rzeczą jest, aby odseparować działanie serwera DNS od innych usług typu serwery WWW, poczty, czy ftp, które są równie często atakowanymi usługami.
[ czytaj całość… ]

W

najnowszym numerze Linux Magazine Tim Schürmann opisał bardzo ciekawy projekt: Firejail – program do tworzenia piaskownic (ang. sandboxes), który redukuje ryzyko naruszenia bezpieczeństwa systemu poprzez ograniczanie środowiska niezaufanych aplikacji za pomocą przestrzeni nazw, seccomp oraz Linux capabilities. Pozwala to procesowi i jego potomnym na posiadanie własnego widoku systemu plików, współdzielonych zasobów jądra, stosu sieciowego, tabeli procesów itd.. Firejail zintegrowany jest z cgroups i dodatkowo może zostać uruchomiony w już działającym środowisku SELinux, czy AppArmor.

Więcej informacji: Firejail HOWTOs

Z

a pomocą HTTPsrvREAPER (uruchomionego w pięciu wątkach) oraz pracującego dzień i noc Raspberry Pi udało się przeskanować przeanalizować w czasie od sierpnia 2014 r. do kwietnia 2015 r. sieci z zakresu: 1.0.0.0/8 – 5.0.0.0/8. Razem powstało 1.312.618 wpisów zawierających informacje o używanej (bądź nie – Undefined) wersji oprogramowania serwera httpd przez dany adres IP.
[ czytaj całość… ]