O

d początków informatyki dokładne wykrywanie typów plików miało kluczowe znaczenie przy określaniu sposobu przetwarzania plików. System Linux wyposażony jest w bibliotekę libmagic i narzędzie file, które od ponad 50 lat stanowią de facto standard identyfikacji typów plików. W dzisiejszych czasach przeglądarki internetowe, edytory kodu i niezliczone inne oprogramowanie opiera się na wykrywaniu typu plików w celu podjęcia decyzji o poprawnym przetworzeniu i wyświetleniu zawartości plików. Na przykład nowoczesne edytory kodu wykorzystują wykrywanie typu plików, aby wybrać schemat kolorowania składni, który ma zostać użyty, gdy programista zacznie pisać kod w danym języku.
[ czytaj całość… ]

P

rojekt LOTS jest zestawieniem serwisów, które mogą posłużyć w zupełnie innym celu niż zostały stworzone. Obok takich projektów, jak: Living Off The Land Binaries (Żyjąc Z Wbudowanych Binarek) oraz GTFOBins pokazuje, jak można użyć “popularnych” i o “dobrej reputacji” serwisów do przeprowadzenia wybranych ataków przez cyberprzestępców. Mogą one zostać użyte do przeprowadzenia phishingu, hostowania C&C, eksfiltracji danych oraz pobierania własnych, szkodliwych narzędzi z poziomu sieci wewnętrznej w celu uniknięcia wykrycia swojej obecności.

Przykład: Analizując wpisy DNS określonej firmy atakujący zauważył, że aktywnie korzysta ona z ekosystemu usług firmy Microsoft (Office 365). Posiadając tą wiedzę tworzy on kampanię phishingu wymierzoną w tą firmę, a jako link do kliknięcia wykorzystuje usługę OneDrive: https://*.files.1drv.(com|ms). Ze względu na fakt, że pracownicy tej firmy zapewne bardzo często spotykają z tego typu linkami współdzieląc między sobą różnego rodzaju dokumenty i pliki to istnieje większe prawdopodobieństwo, że ktoś kliknie w ten link i pobierze złośliwe oprogramowanie.

Przy pozytywnej infekcji komputera narzędzia umożliwiające dalsze poruszanie się w głąb sieci firmowej w poszukiwaniu poufnych danych lub zasobów o wysokiej wartości (ang. lateral movement) mogą zostać ściągnięte poprzez stworzenie wiadomości e-mail; dodanie skompresowanego, binarnego załącznika, który będzie miał fałszywe rozszerzenie .txt); kliknięcie na załącznik w celu pobrania jego linku (link jest ważny przez 15 minut) i ściągnięcia narzędzia z mało podejrzanego adresu: attachment.outlook.live.net lub attachments.office.net.

Po zdobyciu interesujących artefaktów dane mogą zostać wyprowadzone z firmy poprzez stworzenie webaplikacji w domenie *.azurewebsites.net lub *.cloudapp.azure.com i za pomocą protokołu HTTPS przesyłane do niej POST-porcjami.

Więcej informacji: LOTS Project

U

sługa Colaboratory, w skrócie “Colab” to produkt firmy Google, który umożliwia każdemu pisanie i wykonywanie dowolnego kodu Pythona za pośrednictwem przeglądarki. Najczęściej wykorzystuje się go w szybkim przygotowaniu jakiegoś dowodu koncepcji w analizie danych lub napisania kawałka skryptu. Z technicznego punktu widzenia Colab to hostowana usługa oparta na rozwiązaniu Jupyter, która nie wymaga żadnej konfiguracji, a jednocześnie zapewnia bezpłatny dostęp do zasobów obliczeniowych, w tym procesorów graficznych*.
[ czytaj całość… ]

Dokument Jeffa Orłowskiego opublikowany na platformie Netflix przedstawia jeden z najstarszych typów gatunku horroru – naukowca, który posunął się za daleko. Tym naukowcem są media społecznościowe, a bardziej firmy które je stworzyły. Film prezentuje rzeczywistość, która może wydawać się zbyt kolosalna i abstrakcyjna dla laika. Dlatego zostaje zeskalowana do poziomu codziennego życia rodziny, która jest “nękana” przez rozpraszacze naszych czasów. W celu nadania powagi dla tez stawianych w dokumencie możemy spotkać się z takimi osobami jak: Justin Rosenstein (jeden z współtwórców facebookowego przycisku “lubię to”), Tim Kendall (były dyrektor ds. monetyzacji Facebooka oraz Tim Kendall oraz były szef Pinteresta), Guillaume Chaslot (twórca polecanych video na YouTube), Cathy O’Neil (autorka książki Broń statystycznego rażenia) oraz Tristan Harris (etyk projektowy w Google).
[ czytaj całość… ]

W

raz z pojawieniem się płatnych treści wiele serwisów nie mogło pozwolić sobie na zablokowanie ruchu do nich z poziomu wyszukiwarki Google. Dlatego przepuszczało Googleboty na “specjalnych warunkach”. Przez jakiś czas do tego typu treści można było dostać się poprzez udawanie, że jesteśmy Googlebotem – ręcznie edytując ustawienia przeglądarki lub używając specjalnych wtyczek. Jak bardzo serwisy lubią się z Google mogliśmy przekonać się na przykładzie LinkedIn, który w poprzedniej wersji interfejsu pozwalał na pobieranie nawet zastrzeżonych profili z poziomu testów optymalizacji mobilnej Google.
[ czytaj całość… ]

P

odczas wyszukiwania domen lub subdomen należących do tej samej firmy możemy wykorzystać fakt, że często współdzieloną one ten sam Google Analytics ID lub AdSense ID. Wystarczy pobrać ze źródła strony HTML kod identyfikujący danego klienta. Na przykład dla GA będzie to:

curl -L https://pentest.target | egrep 'UA-[0-9]+'

_gaq.push(['_setAccount', 'UA-12345678-22']);

Tak pozyskany kod możemy wykorzystać na stronie site-overview.com (zmieniając tylko ostatni człon URL) lub dnslyrics.com w celu uzyskania informacji mówiącej nam jakie jeszcze inne domeny / subdomeny są pod niego podpięte. To samo tyczy się AdSense ID. Korzystając z site-overview najlepiej jeszcze wyniki przeszukać pod kątem wprowadzonego ID, ponieważ wyniki mogą być nadmiarowe. Warto również zwrócić na wartość liczby po ostatnim myślniku: -22 – oznacza to, że jest to 22’ga usługa powiązana z kontem UA-12345678.

Więcej informacji: Hussein Daher

B

ottleneck Bandwidth and RTT, czyli BBR jest nowym algorytmem kontroli przeciążenia TCP od firmy Google. Został on przetestowany w jego centrach danych, jak i frontowych serwerach takich stron jak: Google.com oraz YouTube.com. Dąży on do optymalizacji zarówno przepustowości, jak i opóźnienia – RTT. Jak wspomina samo Google po wprowadzeniu tego mechanizmu do swojej usługi publicznej chmury obliczeniowej, uzyskał średnio od 4% – 14% większą przepustowość sieciową. Pierwsze publiczne wydanie BBR nastąpiło we wrześniu 2016 roku. Do jego użycia wymagane jest posiadanie jądra w wersji 4.9 lub wyższej, w przeciwnym wypadku wymagane jest nałożenie łatki i rekompilacja jądra.
[ czytaj całość… ]

G

oogle wydało narzędzie o nazwie CSP Evaluator. Jak sama nazwa wskazuje służy ono do oceny przyjętej polityki CSP (ang. Content Security Policy). Pozwala na wskazanie błędnych konfiguracji oraz stwierdzenie, czy przyjęte reguły są w stanie powstrzymać ataki XSS, Clickjacking i inne złośliwe skrypty. Aktualnie XSS jest najczęściej wybieranym wektorem ataku na aplikacje webowe.
[ czytaj całość… ]

G

oogle Drive umożliwia nie tylko przechowywanie zdjęć i innych dokumentów, ale również statycznych stron HTML, plików JavaScript oraz CSS. W tym celu wystarczy:

• Stworzyć nowy folder i udostępnić go jako publiczny,
• Wgrać do tego folderu pliki HTML, JS, CSS,
• Zaznaczyć wybrany plik HTML i wybrać z menu Więcej: Otwórz za pomocą: Przeglądarka Dysku Google
• W otworzonej zakładce z przeglądarką ponownie kliknąć Pogląd i skopiować URL

Tak otrzymany URL: https://googledrive.com/host/1B4SBiW70ZQreMzZtbktoQ1k0VHM/static.html (gdzie host to nazwa udostępnionego folderu) możemy wkleić w kod innej strony – plik static.html zamienić na np. static.css itd. – wykorzystując infrastrukturę Google do celów hostingowych małych i prostych plików.

Więcej informacji: Host webpages on Google Drive

S

ystemy linuksowe wyposażone są w lokalny resolver, który jest odpowiedzialny za tłumaczenie żądań programów o informacje o hostach w zapytania dla serwerów DNS oraz przekształcanie ich odpowiedzi w informacje dla tychże programów. Od wersji BIND 8.2 możemy dodać kilka nowych opcji do reslover’a, które teoretycznie mogą poprawić nam czasy odpowiedzi i wykorzystanie więcej niż jednego serwera DNS. Poniżej znajduje się przykładowy plik konfiguracyjny /etc/resolv.conf, który zawiera wpisy:
[ czytaj całość… ]