E

vent Triggered Execution (T1546.005) to technika w ramach MITRE ATT&CK, która opisuje, w jaki sposób atakujący mogą ustanowić mechanizm persystencji w systemie poprzez wykonywanie złośliwego kodu lub poleceń za pomocą przechwyconych przerwań programowych służących do komunikacji między procesami nazywanych w systemach *nix – sygnałami. Przykładem tutaj może być program trap, który pozwala programom i powłokom określać polecenia, które zostaną wykonane po otrzymaniu sygnałów przerwania. Jego typowym zastosowaniem jest tworzenie solidnych i odpornych na różne niestabilności skryptów powłoki zapewniając ich poprawne zakończenie poprzez wykonywanie awaryjnych sekwencji poleceń lub funkcji. Najprostszym przykładem może być tutaj obsługa przerwań wygenerowanych przez klawisze klawiatury, takich jak ctrl+c i ctrl+d. Niestety atakujący może również użyć tego polecenia do wykonywania swojego kodu, gdy powłoka użytkownika / administratora napotka określone przerwania. W ten sposób może wpisać się w taktykę eskalacji uprawnień (uzyskania przywilejów wyższego poziomu) lub trwałego dostępu do systemu (utrzymania swojej obecności podczas restartów i zmiany poświadczeń skompromitowanego konta).
[ czytaj całość… ]

W

wielu przypadkach zachodzi potrzeba wpisania wrażliwych danych / sekretów do poleceń w interaktywnej powłoce systemowej, np. bash. Często są to klucze API, tokeny lub hasła używane do sprawdzenia poprawności uwierzytelnienia, pobierania testowych danych itd. Niestety bezpośrednie wpisywanie tego typu danych do poleceń udostępnia je wszystkim osobom w współdzielonym systemie, które mogą widzieć Twoje procesy. Tego typu dane również lądują w plikach historii, które w przypadku udanej infekcji bardzo często są celem atakujących. W standardowej konfiguracji systemu Linux wiersze poleceń procesów są widoczne dla wszystkich użytkowników poprzez system plików /proc. W ten sposób działają takie narzędzia jak ps lub pgrep – przeszukują rekurencyjnie katalogi poszczególnych identyfikatorów procesów i odczytują pliki (np. cmdline, environ, status) opisujące każdy proces. Oczywiście możemy użyć specjalnej opcji montowania (hidepid) dla systemu plików proc, aby uniemożliwić innym użytkownikom inspekcję procesów. Jednak ten zabieg nadal powoduje „wyciek” danych do pliku historii, o którego czyszczeniu nie zawsze się pamięta.
[ czytaj całość… ]

O

penSSH – Secure Shell Server zapewnia bezpieczny, szyfrowany zdalny dostęp do systemów *niksowych. Po stronie serwera znajduje się plik authorized_keys w katalogu .ssh (głównym folderze użytkownika), w którym można skonfigurować uwierzytelnianie za pomocą klucza publicznego. Przy normalnej konfiguracji użytkownik uzyskuje pełny dostęp do systemu, w którym skonfigurowano uwierzytelnianie. Jednak w niektórych przypadkach, takich jak automatyczne operacje na zdalnych serwerach (np. wdrażanie kodu, tworzenie kopii zapasowych, uruchamianie konkretnych skryptów), sensowne jest ograniczanie dostępu do kilku lub nawet jednego polecenia. Oprócz ograniczenia poleceń dla danego użytkownika zapobiegamy również kompromitacji zdalnego serwera w przypadku przejęcia klucza prywatnego.
[ czytaj całość… ]

K

rytyczna luka bezpieczeństwa została wykryta przez badaczy z Qualys i występuje w kilku wersjach oprogramowania agenta pocztowego Exim (ang. Mail Transfer Agent). Umożliwia ona na lokalne oraz zdalne ataki nieuwierzytelnionym użytkownikom za pomocą wykonywania dowolnych poleceń (nie mylić z dowolnym wykonywaniem kodu) na serwerach pocztowych. Luka jest obecna w wersji od 4.87 do 4.91 i jest spowodowana niewłaściwą weryfikacją adresów odbiorców w funkcji deliver_message() (źródło znajduje się w pliku: /src/deliver.c):
[ czytaj całość… ]

T

he Linux Command Line – wydanie drugie – to 537-stronicowy tom autorstwa Williama Shotts’a, który obejmuje ten sam materiał udostępniony na stronie linuxcommand.org, ale znacznie bardziej szczegółowo. Poza przedstawieniem podstaw wykorzystania linii poleceń i skryptów powłoki, „The Linux Command Line” zawiera rozdziały dotyczące wielu wspólnych programów wykorzystywanych w linii poleceń, jak i dotyka bardziej zaawansowanych tematów (np. procesy, składnie regexp, dostępy). Lektura z pewnością przeznaczona dla początkujących administratorów systemu Linux, ale niektóre opisy również przydają się do odświeżenia wiedzy bardziej doświadczonym użytkownikom.

Więcej informacji: The Linux Command Line

A

plikcja openssl, która jest dostarczana z biblioteką OpenSSL umożliwia wykorzystanie szerokiego wachlarzu kryptograficznych operacji. Staje się ona szczególnie przydatna w przypadku wykonywania pojedynczych zadań związanych z protokołem SSL. Program ten posiada bardzo obszerną dokumentację – dlatego poniżej postaram się przedstawić kilka praktycznych opcji i zastosowań tego programu. Zakładam, że w systemie jest już zainstalowany binarny pakiet tego oprogramowania i znajduje się w poprawnej ścieżce systemowej ($PATH).
[ czytaj całość… ]