W

2017 roku Troy Hunt wspomniał we wpisie na blogu o usłudze umożliwiającej sprawdzenie, czy dane / nasze hasło już istnieje pośród 306 milionów haseł, które wyciekły w wyniku naruszeń różnych serwisów. Oczywiście nie zalecano podawania prawdziwego hasła ani nawet hasła w formie zahaszowanej. Rok później Junade Ali z Cloudflare zaproponował bardzo eleganckie rozwiązanie, aby móc wysyłać zapytania do usługi bez ujawniania zbyt wielu informacji.
[ czytaj całość… ]

P

ierwszy raz z truflową świnką ryjącą za poszukiwaniem kluczy mogliśmy spotkać się w Oh Shit, Git?!. Najnowsza, trzecia wersja została zupełnie przepisana w języku Go. Dodano do niej obsługę ponad 600 typów kluczy zwiększając tym samym zdolność tego narzędzia do polowania na wycieki danych uwierzytelniających. W dodatku detektory te obsługują aktywną weryfikację z odpowiednimi interfejsami API. Ujawnione dane uwierzytelniające, w tym pary tajnych kluczy, stanowią poważny problem cyberbezpieczeństwa. Klucze mogą być nadużywane do włamywania się do sieci korporacyjnych, często bardziej potajemnie i przez dłuższy czas niż wykorzystywanie luk w popularnym oprogramowaniu.
[ czytaj całość… ]

M

apy Google używane są w miejscach, w których serwisy przeszukują lokalizacje wprowadzone przez użytkowników lub zaznaczają swoje obiekty. Większość z tych integracji ujawnia swoje klucze API za pośrednictwem kodu źródłowego lub w jednym z żądań wysyłanych z ich aplikacji mobilnych. Pozyskanie tych kluczy nie jest uważane za poważny problem, ponieważ osoba atakująca może “tylko” wysyłać żądania do punktów końcowych Google Maps API przy użyciu zdobytych kluczy. Wiele raportów odnośnie zgłaszania tego typu błędów można zobaczyć na platformach bugbounty oznaczonych jako informacyjne lub w zakresie akceptowalnego ryzyka.
[ czytaj całość… ]

S

erwery API serwisu NordVPN stoją za Cloudflare. Jeśli wejdziemy na jeden z adresów API otrzymamy w formacie JSON geo informację o swoim adresie IP z zaznaczeniem czy jest on chroniony przez wspomnianą usługę, czy nie: "protected": false. Jeśli z ciekawości do metody insights dodamy parametr ?ip=$IP okazuje się, że możemy taką informację otrzymać o dowolnym (poprawnym) adresie IP w internecie. Na przykład: 1.1.1.1. W praktyce oznacza to, że oprócz VPN możemy gratis dostać usługę GeoIP znaną z Maxmind. W celach testowych zebrałem sobie 1000 adresów IP, dla których chciałbym sprawdzić informacje geo. Skoro północny serwis mi to oferuje za darmo to wystarczy uruchomić prosty skrypt:
[ czytaj całość… ]

J

eśli interesuje nas sprawdzenie daty utworzenia danego adresu e-mail (nie mylić z datą stworzenia konta) w protonmail – wystarczy skorzystać z API:

curl -q 'https://api.protonmail.ch/pks/lookup?op=index&search=admin@protonmail.com'

Odpowiedź typu:

info:1:1
pub:747752ef11868e4bfb4c0c3e9f832cbb57f25faa:1:2048:1461078056::
uid:admin@protonmail.com <admin@protonmail.com>:1461078056::

– oznacza, że dany adres e-mail istnieje, a 1461078056 znacznik czasu w formacie daty epoch. Wystarczy teraz wydać polecenie, które zamieni nam je na czas przyjazny człowiekowi: date -r 1461078056 (*BSD) / date -d @1461078056 (Linux) – Tue Apr 19 17:00:56 CEST 2016 / wtorek, 19 kwietnia 2016 17:00:56 GMT+02:00.

Odpowiedź typu:

info:1:0

– oznacza, że dany adres e-mail nie istnieje.

Jeśli zamienimy teraz operację “index”, na “get” będziemy w stanie pobrać publiczny klucz PGP konta e-mail:

curl -q 'https://api.protonmail.ch/pks/lookup?op=get&search=admin@protonmail.com' \ 
-o key.pgp

root@darkstar:~# gpg --list-packets key.pgp

# off=0 ctb=c6 tag=6 hlen=3 plen=269 new-ctb
:public key packet:
	version 4, algo 1, created 1461078056, expires 0
	pkey[0]: [2048 bits]
	pkey[1]: [17 bits]
	keyid: 9F832CBB57F25FAA
# off=272 ctb=cd tag=13 hlen=2 plen=43 new-ctb
:user ID packet: "admin@protonmail.com "

Lista serwerów ProtonVPN.Więcej informacji: ProtOSINT

D

ocker jako jedno z rozwiązań dla tworzenia kontenerów zyskał ogromną popularność w ciągu kilku ostatnich lat i stał się nowym sposobem pakowania, dostarczania i wdrażania aplikacji. Niestety, jeśli dana technologia się szybko rozwija i jest szeroko adoptowana przez społeczność, staje się również cennym celem dla adwersarzy. Na początku pojawiły się złośliwe obrazy. Były one umieszczane w publicznych rejestrach. Jeśli użytkownik sam lub za namową cyberprzestępcy skłonił się do skorzystania z takiego obrazu w rzeczywistości pobierał i wykonywał złośliwe ładunki (np. koparki kryptowalut), umożliwiał wejście przez tylną furtkę (ang. backdoor), przeszukiwanie logów dla poufnych informacji, czy dostęp do systemu plików hosta z kontenera.
[ czytaj całość… ]

N

a samym początku należy zaznaczyć, że stanowisko projektu WordPress jest jednoznaczne w tej sprawie: nie uznaje nazw użytkowników ani identyfikatorów użytkowników za prywatne lub bezpieczne informacje. Nazwa użytkownika jest częścią Twojej tożsamości online. Ma na celu identyfikację, a nie weryfikację tego, kim jesteś. Weryfikacja jest zadaniem hasła. Ogólnie rzecz biorąc, ludzie nie uważają nazw użytkowników za tajne, często udostępniając je otwarcie. Ponadto wiele dużych firm internetowych – takich jak Google i Facebook – zrezygnowało z nazw użytkowników na rzecz adresów e-mail, które są udostępniane w sposób ciągły i swobodny. WordPress również przeniósł się na ten sposób, umożliwiając użytkownikom logowanie się przy użyciu adresu e-mail lub nazwy użytkownika od wersji 4.5.
[ czytaj całość… ]

N

arzędzie to pozwala na podglądanie procesów bez konieczności posiadania uprawnień administratora. Pozwala zobaczyć polecenia uruchamiane przez innych użytkowników, zadania cron w trakcie ich wykonywania itp. Świetnie nadaje się do badania systemów podczas testów penetracyjnych oraz CTFach. Jak to możliwe, że widzimy polecenia innych użytkowników? Dopóki proces trwa wiele informacji jest widocznych w procfs. Jedynym problemem jest to, że trzeba czasem złapać te krótko żyjące procesy w bardzo krótkim czasie. Skanowanie katalogu /proc w poszukiwaniu nowych PIDów w nieskończonej pętli może zdać egzamin, ale tym samym będzie zużywać bardzo dużo zasobów procesora.
[ czytaj całość… ]

W

2015 roku, dane 13 milionów użytkowników programu MacKeeper wyciekły, z powodu przechowywania ich w otwartej bazie MongoDB. Wówczas, sam autor wyszukiwarki shodan.io przeprowadził badanie i wykrył, że publicznie dostępnych jest około 600 TB danych. Po publikacji wyników badania w lipcu ubiegłego roku, już w grudniu okazało się, że ilość publicznie dostępnych baz NoSQL wzrosła o 5 tysięcy, a ilość danych osiągnęła wolumen 685 TB. Świat devopsów, zamiast wyciągnąć z zaistniałej sytuacji, jeszcze bardziej pogrążył się w koszmarze nieautoryzowanego dostępu do danych.
[ czytaj całość… ]

F

irma MaxMind zajmująca się geolokalizacją hostów w Internecie, a także wykrywaniem elektronicznych wyłudzeń finansowych za pomocą kart kredytowych udostępniła za darmo lekką (nie zawierającą tylu rodzai i ilości wpisów, co wersja komercyjna) wersję bazy danych umożliwiających lokalizację hostów, dodatkowo oferując API i bibliotekę (na licencji GPL) do obsługi wspomnianej bazy.
[ czytaj całość… ]