N

aukowcy z Uniwersytetu Tsinghua i Uniwersytetu Kalifornijskiego na tegorocznej konferencji ACM CCS przedstawili nową metodę, którą można użyć do przeprowadzania ataków polegających na zatruwaniu pamięci podręcznej DNS. Nowe odkrycie ożywia błąd z 2008 roku, który kiedyś uważano za rozwiązany na dobre. W celu zrozumienia na czym polega reinkarnacja tego ataku powróćmy do jego podstaw. DNS jest książką adresową internetu. Co się dzieje jak wpisujemy adres URL (ang. Uniform Resource Locator) np. https://nfsec.pl do przeglądarki? Przeglądarka sprawdza swoją pamięć podręczną pod kątem wpisu DNS, aby znaleźć odpowiedni adres IP witryny. Jeśli nie zostanie znaleziony kontynuuje sprawdzanie pamięci podręcznej: systemu operacyjnego, najbliższego serwera DNS (routera lub ISP). Jeśli wpis nadal nie zostanie znaleziony to serwer DNS (routera lub ISP) inicjuje zapytanie DNS w celu znalezienia adresu IP serwera obsługującego nazwę domeny (autorytatywnego) i prosi go o podanie adresu IP szukanej domeny.
[ czytaj całość… ]

O

d wersji 9.8.1 serwera BIND dostępny jest mechanizm DNS RPZ (ang. Domain Name Service Response Policy Zones). Główną motywacją do stworzenia tej funkcji była ochrona użytkowników przed zagrożeniami w internecie związanymi z złośliwymi domenami, nazwami hostów lub innymi serwerami nazw. Cyberprzestępcy zwykle używają tych samych domen na wielu ofiarach, dopóki nie zostaną im odebrane. Niestety zdolność branży bezpieczeństwa internetowego w kwestii likwidacji infrastruktury przestępczej u rejestratorów domen, dostawcach hostingu lub dostawcach usług internetowych z różnych czynników nie zawsze jest możliwa. Korzystając z RPZ administrator sieci może wdrożyć własne zasady ochrony przed niebezpiecznymi domenami w oparciu o reputację zebraną od dostawców usług bezpieczeństwa niemal w czasie rzeczywistym.
[ czytaj całość… ]

W wersji RouterOS 6.47 zostało dodane wsparcie DNS over HTTPS (RFC8484), czyli wykonywanie zapytań DNS przez protokół HTTPS. Jeśli używamy wybranego modelu w naszej sieci domowej (przykład był testowany na RB951Ui-2HnD) warto rozważyć podniesienie RouterBOARD do wydania wypuszczonego 2 czerwca 2020 r. Pierwszym krokiem jest ściągnięcie i import bazy urzędów (CA):

/tool fetch url=https://curl.haxx.se/ca/cacert.pem
/certificate import file-name=cacert.pem passphrase=""

Następnie dodajemy statyczne wpisy DNS, które umożliwią komunikację z serwerem DoH:

/ip dns static add name="cloudflare-dns.com" type=A address="104.16.248.249"
/ip dns static add name="cloudflare-dns.com" type=A address="104.16.249.249"

Czyścimy aktualnie używane serwery DNS:

/ip dns set servers=""

Ustawiamy serwer DoH:

/ip dns set use-doh-server="https://cloudflare-dns.com/dns-query"
/ip dns set verify-doh-cert=yes

Czyścimy dotychczasową pamięć cache:

/ip dns cache flush

Teraz możemy wejść na stronę: 1.1.1.1/help i sprawdzić, czy komunikat Using DNS over HTTPS (DoH) posiada wartość Yes. Analogicznie możemy ustawić inne serwery DoH np. https://dns.google/dns-query, https://dns.quad9.net/dns-query, https://mozilla.cloudflare-dns.com/dns-query.

Zestaw danych projektu Sonar Rapid7 to niesamowite zasoby wiedzy. Są w nich zawarte wyniki skanowania internetu w skompresowanej i łatwej do pobrania formie. W tym wpisie skupimy się na dwóch rodzajach danych: Reverse DNS (RDNS) (czyli rekordy PTR) oraz Forward DNS (FDNS) (czyli rekordy: ANY, A, AAAA, TXT, MX oraz CNAME). Niestety praca z surowymi zestawami danych może być nieco wolniejsza, ponieważ pakiety rekordów RDNS oraz FDNS zawierają kilkanaście GB skompresowanego tekstu. Przeszukiwanie takich dużych plików może zajmować kilkanaście lub więcej minut dla pojedynczych kwerend. Możemy przyśpieszyć taką operację poprzez wykorzystanie wyszukiwania binarnego na odpowiednio posortowanych danych – lub wykorzystać do tego rodzaju operacji systemy wręcz stworzone do przechowywania i przeszukiwania tego rodzaju rekordów.
[ czytaj całość… ]

P

odczas wyszukiwania domen lub subdomen należących do tej samej firmy możemy wykorzystać fakt, że często współdzieloną one ten sam Google Analytics ID lub AdSense ID. Wystarczy pobrać ze źródła strony HTML kod identyfikujący danego klienta. Na przykład dla GA będzie to:

curl -L https://pentest.target | egrep 'UA-[0-9]+'

_gaq.push(['_setAccount', 'UA-12345678-22']);

Tak pozyskany kod możemy wykorzystać na stronie site-overview.com (zmieniając tylko ostatni człon URL) lub dnslyrics.com w celu uzyskania informacji mówiącej nam jakie jeszcze inne domeny / subdomeny są pod niego podpięte. To samo tyczy się AdSense ID. Korzystając z site-overview najlepiej jeszcze wyniki przeszukać pod kątem wprowadzonego ID, ponieważ wyniki mogą być nadmiarowe. Warto również zwrócić na wartość liczby po ostatnim myślniku: -22 – oznacza to, że jest to 22’ga usługa powiązana z kontem UA-12345678.

Więcej informacji: Hussein Daher

C

iasteczka DNS zostały przedstawione w RFC 7873. Są opcją rozszerzonego DNS (ang. EDNS – Extended DNS), która próbuje zaadresować wiele problemów, które próbował rozwiązać DNSSEC np. zatruwanie pamięci podręcznej (ang. Cache Poisoning), czy ataki polegające na wzmocnieniu odpowiedzi DNS (ang. DNS Amplification Attack) z sfałszowanymi adresami źródłowymi (ang. Spoofed Source Queries), którym DNSSEC nie zapobiegał, a nawet w niektórych przypadkach je pogarszał. Ciasteczka są znacznie łatwiejsze do wdrożenia niż DNSSEC, a bezpieczeństwo zapewniane przez nie można porównać do bezpieczeństwa uzyskiwanego dzięki użyciu TCP zamiast UDP.
[ czytaj całość… ]

C

url może być pomocnym narzędziem przy debugowaniu. Gdy na rozpoznanie problemu składają się problemy z: siecią, DNS, serwerem lub wydajnością samej webaplikacji – możemy bez wahania po niego sięgnąć. W celu izolacji problemu możemy uruchomić curl’a w następujący sposób:

curl -w "$(date +%FT%T) dns: %{time_namelookup} connect: %{time_connect}\
 firstbyte: %{time_starttransfer} total: %{time_total} HTTP: %{http_code}\n"\
 -o /dev/null -s "https://apka.dev"

Polecenie takie puszczone w pętli da nam ładny podgląd na każde żądanie HTTP:
[ czytaj całość… ]

D

zień jak codzień spoglądamy na dashboard z top zapytań DNS, aby widzieć jakie zapytania są kierowane z i do naszych serwerów. W zależności od używanych resolverów lub sposobu zbierania danych o zapytaniach DNS nagle możemy zacząć zastanawiać się, dlaczego niektóre nazwy zapytań wyglądają na zniekształcone. Kto normalny pyta o NfSeC.pL? Z pewnością jakiś skryptowy dzieciak się czymś bawi. Ale chwila tych domen jest znacznie więcej. Więc co tu się dzieje? Nowa forma ataku na DNS?
[ czytaj całość… ]

P

oniższa konfiguracja (podobnie, jak w przypadku nginx) serwera Apache dla komunikacji po https pozwala na uzyskanie oceny A+ w teście przeprowadzanym przez firmę Qualys SSL Labs. Innymi mechanizmami, które zostały zwarte to: HSTS, DNS CAA, OSCP oraz HTTP2. Stosując poniższą konfigurację należy liczyć się, że może ona nie działać (lub niektóre jej funkcjonalności) z starszymi przeglądarkami i aplikacjami typu Java.

  Protocols http/1.1 h2

  SSLEngine on
  SSLCompression off
  SSLSessionTickets off
  SSLUseStapling on

  SSLCertificateFile /etc/apache2/ssl/root.pem
  SSLCertificateKeyFile /etc/apache2/ssl/server.key
  SSLCertificateChainFile /etc/apache2/ssl/root.pem

  SSLProtocol -All +TLSv1.2
  SSLHonorCipherOrder on
  SSLCipherSuite "HIGH:!aNULL:!MD5:!3DES:!CAMELLIA:!AES128:!AES256-SHA:\
                  !AES256-SHA256:!AES256-GCM-SHA384:!AES256-CCM8:!AES256-CCM:\
                  !DHE-DSS-AES256-SHA:!SRP-DSS-AES-256-CBC-SHA"

  SSLOpenSSLConfCmd DHParameters "/etc/ssl/certs/dhparams4096.pem"
  SSLOpenSSLConfCmd ECDHParameters secp384r1
  SSLOpenSSLConfCmd Curves secp521r1:secp384r1

  Header always append Strict-Transport-Security "max-age=31536000;"

Plik dhparams4096.pem wygenerujemy poleceniem (może to zająć nawet kilkanaście minut):

openssl dhparam -out /etc/ssl/certs/dhparams4096.pem 4096

[ czytaj całość… ]

A

tak na przestrzeń nazw (ang. namespace attack) odnośni się do przejęcia kawałka lub całości przestrzeni nazw ofiary. Jeśli spojrzymy na internet jako całość to wszystkie jego byty są przestrzeniami nazw, które zajmują większe lub mniejsze kawałki w globalnej sieci. Najczęściej ataki te będą dotyczyć domen oraz adresów e-mail, które by być bardziej przyjaznymi używają adresów zrozumiałych dla użytkowników internetu, a dopiero potem zamieniają je na zrozumiałe dla urządzeń tworzących sieć komputerową.
[ czytaj całość… ]