S

ecurityheaders podobnie, jak Qualys SSL Test dla SSL oferuje sprawdzanie poprawności i ranking konfiguracji, jeśli chodzi o nagłówki bezpieczeństwa używane po stronie serwera i strony WWW. Zanim wykonamy test powinniśmy bliżej zapoznać się z następującymi pojęciami: Content-Security-Policy (CSP), X-Content-Type-Options, X-Frame-Options, X-XSS-Protection, Strict-Transport-Security (HSTS) oraz Public-Key-Pins (HPKP). Jeśli nie stosujemy żadnego z nich – ocena „F” nie powinna być zaskoczeniem.

Więcej informacji: securityheaders.io

W

pierwszej części pokazałem, jak łatwo za pomocą iptables sfałszować nasłuchujące usługi. W tym przykładzie zajmiemy się techniką zwaną banner grabbing. Proces ten powoduje, że skaner przechodzi do warstwy aplikacji i zaczyna zachowywać się, jak klient. Wysyła dopasowane żądanie do usługi i oczekuje odpowiedzi, w której ma nadzieje znaleźć jej nazwę i wersję.
[ czytaj całość… ]

Z

espół cyberbezpieczeństwa w Polytechnic University of Valencia (UPV) w Hiszpanii znalazł sposób na bardzo proste ominięcie mechanizmu uwierzytelniania na poziomie bootloadera GRUB2. Wystarczy, że zamiast podania nazwy użytkownika zostanie wciśnięty 28 razy klawisz BACKSPACE, który spowoduje uruchomienie „Grub rescue shell” umożliwiając atakującemu dostęp do dowolnej części systemu.

Więcej informacji: Back to 28: Grub2 Authentication 0-Day

I

stnieje wiele poradników, instrukcji i tutoriali, jak korzystać z skanerów bezpieczeństwa, które pozwalają na szybkie zweryfikowanie pentesterom zewnętrznego bezpieczeństwa serwerów. Najbardziej znanym jest chyba nmap. Decydując się na tego typu automat należy pamiętać, że to są tylko automaty, a wyniki ich pracy powstają tylko i wyłącznie na interpretacji surowych danych przychodzących po wyzwoleniu określonej akcji. Narzędzia tego typu nie myślą. Spodziewają się pewnych zachowań od systemów i na ich podstawie tworzą jakieś założenia. Jeśli sobie tego nie uświadomimy bardzo szybko możemy nabrać się na fałszywe alarmy oraz utratę cennego czasu przy opracowywaniu raportu bezpieczeństwa.
[ czytaj całość… ]

3

grudnia portal Let’s Encrypt osiągnął status beta tym samym dając możliwość wszystkim zainteresowanym użytkownikom podpisywania certyfikatów SSL za darmo. Za projektem stoją takie firmy, jak Akamai, Cisco, Electronic Frontier Foundation, Mozilla Foundation, Internet Society, IdenTrust, czy Automattic. Najważniejszą informacją jest fakt, że certyfikatom wydawanym przez portal Let’s Encrypt, w przeciwieństwie do dotychczas istniejących „darmowych” rozwiązań, ufają wszystkie liczące się na rynku Internetu przeglądarki. W dodatku cały proces wygenerowania i podpisania certyfikatu jest łatwy i można go prosto zautomatyzować.
[ czytaj całość… ]

Dostanie się do chronionej sieci, a pobranie z niej danych bez bycia zauważonym to dwie różne techniki pokonywania zabezpieczeń. Tylko dlatego, że ofiara skusiła się na kliknięcie spreparowanego linku z szkodliwym oprogramowaniem nie znaczy, że agresor właśnie otrzymał otwartą furtkę, aby przejść przez firewall lub IDS z danymi na których mu zależy. Chyba, że użyje do tego prostego programu ping?
[ czytaj całość… ]

I

ntel w nowej mikroarchitekturze Skylake, która w sierpniu 2015 zastąpiła mikroarchitekturę Broadwell wprowadził rozszerzenie MPX – Memory Protection Extensions. MPX to rozszerzenie sprzętowe mające zapobiegać atakom przepełnienia bufora.
[ czytaj całość… ]

N

o właśnie, co z tymi pakietami SYN? Tutaj ponownie pojawia się problem skalowalności systemu conntrack (tak jak dla stanu listen) dla tworzenia (lub usuwania) połączeń, które spowoduje zalew pakietów SYN. Nawet jeśli uporamy się z blokadą w warstwie conntrack to kolejnym krokiem wędrówki pakietu SYN będzie stworzenie gniazda w trybie „nasłuchu”, czyli kolejną barierą wydajnościową. Normalnym procesem łagodzenia tego typu pakietów w systemie Linux będzie mechanizm SYN-cookies, który również ma ograniczenia.
[ czytaj całość… ]

A

ktualnie większość infrastruktur składających się z więcej niż 5 serwerów jest / powinna być zarządzana za pomocą tzw. menadżerów konfiguracji serwerów. Jednym z nich jest Puppet. Przy większej ilości maszyn administratorzy zazwyczaj tworzą (dash)boardy, które informują na jakich serwerach dokonały się (lub nie) aktualizacje konfiguracji. Pozwalają również na uzyskanie bardzo dokładnych informacji o obsługiwanej infrastrukturze (adresy sieciowe, wersje systemów i daemonów itp.). I tutaj pojawia się problem.
[ czytaj całość… ]

P

odstawowy problem skalowalności protokołu TCP w jądrze Linuksa jest związany z liczbą nowych połączeń, jakie mogą być tworzone na sekundę. Odnosi się to bezpośrednio do obsługi gniazd powstających w trybie nasłuchu, które są blokowane. Blokady powodowane są nie tylko przez pakiety z flagą SYN, ale także SYN-ACK oraz ACK (ostatni w potrójnym uścisku dłoni). Podczas ataków DoS / DDoS za pomocą tego rodzaju pakietów atakujący ma na celu wysłanie, jak największej ilości spreparowanych pakietów, które mają na celu osiągnąć i spowodować problem z blokowaniem gniazd w trybie nasłuchu. Jedną z metod jest podniesienie bardzo niskiego limitu dla tego typu gniazd oraz kolejki oczekujących połączeń w systemie:
[ czytaj całość… ]