K

rytyczny błąd przepełnienia bufora na stosie został odkryty w sposobie w jaki biblioteka libresolv (glibc) przeprowadza podwójne zapytania DNS typu A/AAAA. Osoba atakująca może potencjalnie doprowadzić do zdalnego wykonania kodu (z uprawnieniami użytkownika uruchomiającymi bibliotekę) lub zawieszenia systemu poprzez specjalnie spreparowany ruch sieciowy w odpowiedzi DNS (PoC). Problem ten występuje tylko wtedy, gdy libresolv jest wywołana z modułu nss_dns usługi NSS (CVE-2015-7547).
[ czytaj całość… ]

1. Google:
– 8.8.8.8, 8.8.4.4
2. OpenDNS:
– 208.67.220.220, 208.67.222.222
3. Norton ConnectSafe:
– 199.85.126.10, 199.85.127.10
4. Comodo Secure DNS:
– 8.26.56.26, 8.20.247.20
5. DNS.Watch:
– 84.200.69.80, 84.200.70.40
6. VeriSign Public DNS:
– 64.4.64.6, 64.6.65.6

B

IND jest serwerem DNS tworzonym przez ISC (ang. Internet Systems Consortium) powszechnie używanym do rozwiązywania nazw hostów na adresy IP i odwrotnie. Jako kluczowy element infrastruktury serwery DNS często stają się celem ataków. Podejmując jednak kilka prostych kroków można pomóc w ochronie swojej sieci oraz całego Internetu. Niniejszy artykuł zawiera minimum informacji potrzebnych do poprawny bezpieczeństwa BIND9 pozwalając administratorom systemów zminimalizować zagrożenie. Zdecydowanie najważniejszą rzeczą jest, aby odseparować działanie serwera DNS od innych usług typu serwery WWW, poczty, czy ftp, które są równie często atakowanymi usługami.
[ czytaj całość… ]

P

rogram RIPE Atlas jest największą na świecie siecią pomiarową Internetu. Idea uczestnictwa w programie jest bardzo prosta: w zamian za podłączenie sondy do swojej sieci w celu prowadzenia badań i pomiarów przez zarządców sieci Atlas oraz innych uczestników – otrzymujemy dostęp do każdej innej sondy sieci Atlas na całym świecie (w tym momencie: 7.5 tysiąca) z możliwością uruchomienia własnych testów wydajności. To pozwala na sprawdzanie i mierzenie dostępów do własnych serwerów / routerów itd. z różnych miejsc na całym świecie w ciągu kilku minut.

Więcej informacji: RIPE Atlas, czyli największa sieć pomiarowa

Z

ałóżmy, że do naszego serwera DNS, który jest otwarty tylko dla sieci wewnętrznej zaczyna przychodzić niechciany ruch (od setek do tysięcy zapytań na sekundę) pochodzący od szkodliwego oprogramowania / złej konfiguracji serwerów. W zależności od oprogramowania jakiego używamy do obsługi zapytań DNS – zablokowanie konkretnego rodzaju zapytań może stać się dość trudne. Pierwszym rozwiązaniem tego problemu wydaje się zablokowanie wszystkich żądań DNS, które posiadają konkretne wyrażenie w zawartości pakietu.
[ czytaj całość… ]

O

ddział Akamai – Prolexic odkrył nowy botnet, który nazwał “IptabLes and IptabLex“. Atakuje on źle skonfigurowane oraz zaniedbane serwery Linux, które po instalacji szkodliwego oprogramowania są wykorzystywane do przeprowadzania ataków DDoS na infrastrukturę DNS oraz do ataków typu SYN flood (największy z nich w szczycie osiągnął 119 Gbps). Infekowane są głównie serwery, na których uruchomione jest podatne oprogramowanie typu Apache Struts, Tomcat oraz Elasticsearch.
[ czytaj całość… ]

P

rywatność? Ostatnio z nią jest tyle problemów. Blokujemy ciastka. Blokujemy reklamy. Blokujemy porty. Dopiero wchodzimy do Sieci. “Internet is fuckup by design“. Ostatnio dość drażliwy wątek wywołała firma AT&T, która filtruje zapytania DNS swoich klientów i sprzedaje je firmą zajmujących się reklamą w Internecie. Tak. To jest prawie ten sam mechanizm, który przy wyszukiwarce Google czasem serwuje reklamę dziwnie powiązaną z niedawnymi tematami, jakie nas interesowały w zapytaniach. Oczywiście istnieje możliwość wykupienia opcji bez funkcji śledzenia (różnica pomiędzy 99, a 70 USD w USA).
[ czytaj całość… ]

B

ing.com jest wyszukiwarką stworzoną przez firmę Microsoft wcześniej znaną jako MSN Search lub Live Search. Posiada ona unikalną funkcję do wyszukiwania stron internetowych (domen / hostów wirtualnych) utrzymywanych / hostowanych na konkretnym adresie IP. Funkcja ta może być bezpośrednio wywołana w wyszukiwarce na przykład za pomocą zapytania: IP:192.168.1.1. Andrew Horton z MorningStar Security napisał prosty skrypt w bashu, który odpytuje wyszukiwarkę i zwraca znalezione wyniki. Krok ten jest uważany za jedną z dobrych praktyk podczas fazy rozpoznania testów penetracyjnych w celu odkrycia potencjalnie większej ilości celów.
[ czytaj całość… ]

D

NS Prefetching polega na próbie rozwiązania innej nazwy domenowej przed kliknięciem użytkownika na link znajdujący się w tej domenie. Co to oznacza w praktyce? Na przykład strona nfsec.pl hostuje wszystkie swoje pliki graficzne za pomocą usługi CDN (ang. Content Delivery Network) w domenach img(1|2|3).nfsecstatic.pl oraz używa API pod adresem api.nfsec.pl. Jeśli na stronie głównej lub podstronach strony nfsec.pl będą znajdowały się aktywne linki lub zasoby wykorzystujące w/w nazwy domenowe – to dopiero w momencie kliknięcia użytkownika na wybrany link lub odwołanie się do konkretnego zasobu (np. wyświetleniu obrazka) – przeglądarka dokona rozwiązania DNS, czyli przetłumaczenia nazwy domenowej na konkretny adres IP.
[ czytaj całość… ]

S

am Stephenson udostępnił usługę xip.io, która pozwala na tworzenie dowolnych subdomen DNS dla każdego adresu IP. Na przykład dla adresu w sieci lokalnej 10.0.0.1 możemy stworzyć domenę: nfsec.10.0.0.1.xip.io:

[agresor@stardust ~]$ host nfsec.10.0.0.1.xip.io
nfsec.10.0.0.1.xip.io is an alias for nfsec.9zle2.xip.io.
nfsec.9zle2.xip.io has address 10.0.0.1

Domeny te możemy wykorzystać dla dostępu do wirtualnych hostów na naszych serwerach developerskich z urządzeń w sieci lokalnej lub do innych dowolnych celów, na które mamy pomysł. Działanie tego serwera DNS jest proste: kiedy dowolne urządzenie odpytuje o dowolną subdomenę w domenie xip.io – serwer wyodrębnia adres IP z całej nazwy i zwraca jego adres w odpowiedzi.

Więcej informacji: xip.io