W

yobraźmy sobie, że nasz system został zainfekowany przerobionym i trudnym do wykrycia implantem sieciowym. W swojej przeróbce został on uzbrojony w moduł inwigilacji oparty o eCapture. Jest to zwinne narzędzie napisane w języku Go, które również wykorzystuje technologię eBPF. Umożliwia ona uruchamianie programów zamkniętych w piaskownicy jądra systemu operacyjnego. Dzięki temu potrafi przechwycić zaszyfrowaną komunikację sieciową bez konieczności “podpinania” Urzędu Certyfikacji (ang. Certificate Authority), któremu należy zaufać. Zamiast tego wpina się w funkcje SSL_write / SSL_read współdzielonej biblioteki SSL, aby uzyskać kontekst tekstowy i wysłać tak uzyskane wiadomości do przestrzeni użytkownika za pomocą map eBPF.
[ czytaj całość… ]

S

erwery API serwisu NordVPN stoją za Cloudflare. Jeśli wejdziemy na jeden z adresów API otrzymamy w formacie JSON geo informację o swoim adresie IP z zaznaczeniem czy jest on chroniony przez wspomnianą usługę, czy nie: "protected": false. Jeśli z ciekawości do metody insights dodamy parametr ?ip=$IP okazuje się, że możemy taką informację otrzymać o dowolnym (poprawnym) adresie IP w internecie. Na przykład: 1.1.1.1. W praktyce oznacza to, że oprócz VPN możemy gratis dostać usługę GeoIP znaną z Maxmind. W celach testowych zebrałem sobie 1000 adresów IP, dla których chciałbym sprawdzić informacje geo. Skoro północny serwis mi to oferuje za darmo to wystarczy uruchomić prosty skrypt:
[ czytaj całość… ]

Pierwszy raz z opisem ataku HTTP Referer Spoofing spotkałem się w 2008 roku na łamach magazynu Linux+. Paweł Szcześniak opisał, jak za pomocą tej metody możemy wstrzykiwać odnośniki do agresywnej strony w innych systemach statystycznych w celu zwiększenia pozycji SEO – z oryginałem publikacji, który został udostępniony za darmo przez wydawcę możemy zapoznać się tutaj. Rozważmy teraz, jakie inne konsekwencje może nam przynieść taki atak – oraz czy istnieje możliwość jego dostosowania do dzisiejszych systemów statystycznych.
[ czytaj całość… ]

P

aswyny fingerprinting odnosi się do zbierania atrybutów klienta lub serwera będącego w zasięgu naszego połączenia sieciowego. Atrybuty mogą być zbierane z warstwy transportu, sesji lub aplikacji (np. właściwości TCP, możliwości szyfrowania TLS lub charakterystyki implementacji protokołu HTTP). Można je wykorzystać do celów dedukcji informacji np. o używanym systemie operacyjnym (typie i wersji), jego czasie uptime, a w przypadku klientów – typu używanej przeglądarki (i nie mowa tutaj o user-agent, który można dowolnie zmieniać). Ponadto pasywne rozpoznawanie klienta może służyć do dodawania unikatowości / entropii to tożsamości danego klienta w sieci, w szczególności przy użyciu metody wielowarstwowego fingerprintingu. Powszechnie stosowanymi podejściami do “oznaczania obiektów” internetowych są: TCP/IP, TLS / SSL oraz HTTP od strony klienta i serwera.
[ czytaj całość… ]

N

agłówek protokołu HTTP: X-Forwarded-For (XFF) pierwotnie został przedstawiony przez zespół developerów odpowiedzialnych za rozwijanie serwera Squid, jako metoda identyfikacji oryginalnego adresu IP klienta łączącego się do serwera web, poprzez inny serwer proxy lub load balancer. Bez użycia XFF lub innej, podobnej techniki, dowolne połączenie za pośrednictwem proxy, pozostawiłoby jedynie adres IP pochodzący z samego serwera proxy zamieniając go w usługę anonimizującą klientów. W ten sposób, wykrywanie i zapobieganie nieautoryzowanym dostępom, stałoby się znacznie trudniejsze niż w przypadku przekazywania informacji o adresie IP, z którego przyszło żądanie. Przydatność X-Forwarded-For zależy od serwera proxy, który zgodnie z rzeczywistością, powinien przekazać adres IP łączącego się z nim klienta. Z tego powodu, serwery będące za serwerami proxy muszą wiedzieć, które z nich są “godne zaufania”. Niestety, czasami nawet i to nie wystarczy. W najnowszym Sekurak Zine #3 (mirror) postaram się przedstawić, dlaczego nie powinniśmy na ślepo ufać wartościom pochodzącym z tego nagłówka.

W

świecie HTTP istnieje wiele nagłówków. Niektóre z nich starają się nas chronić inne – wręcz przeciwnie. Poszczególne urządzenia równoważenia obciążenia, serwery www oraz aplikacje webowe ujawniają informacje odnośnie swoich wersji. Czasami dochodzi również do ujawnienia informacji o wewnętrznych sieciach przed którymi się one znajdują. Poniżej zamieszczam kilka przykładów takich wycieków.
[ czytaj całość… ]

O

prócz wszystkich znanych metod śledzenia użytkowników w Internecie tj. ciasteczek, javascript, localstorage, sessionstorage, globalstorage, flash, adresu ip, user agentów, czy metody opracowanej przez Panopticlick doszła kolejna – wykorzystująca inną przestrzeń do przechowywania danych, która jest trwała między ponownym uruchomieniem przeglądarki: pamięć cache.
[ czytaj całość… ]

P

owszechną praktyką wśród programistów piszących własne webaplikacje oraz webowych frameworków odkrywających koło od nowa jest poleganie na wartościach zwracanych w nagłówku HTTP Host. Jest to bardzo wygodny sposób na gwarancję, że ta sama aplikacja zostanie uruchomiona na localhoście, serwerach środowiska: developerskiego, testowego, produkcyjnego, innych domenach i subdomenach itd., bez wprowadzania modyfikacji w kod aplikacji. Prosty przykład w PHP:
[ czytaj całość… ]

Nagłówek HTTP X-Frame-Options może zostać używany, aby określić politykę zachowania przeglądarki w stosunku do renderowania strony, która została zamknięta w ramkach: <FRAME> lub <IFRAME>. Serwisy internetowe mogą go wykorzystać, aby uniknąć ataków typu clickjacking – poprzez zapewnienie, że ich treść nie zostanie osadzona w innych witrynach.
[ czytaj całość… ]

K

ristian Lyngstøl wydał Varnish Agent. Jest to RESTowy interfejs do kontroli serwera Varnish używający protokołu HTTP. Interfejs ten składa się z font-endu napisanego w HTML / JavaScript oraz agenta napisanego w języku C. Przy standardowej konfiguracji serwera varnish – agent nie wymaga żadnej konfiguracji. Dla systemów Debian oraz Ubuntu dostępne są już stworzone pakiety przez autora. Dla systemów z rodziny RedHat znajdziemy plik .spec pozwalający na stworzenie własnego pakietu RPM. Za pomocą agent’a w bardzo prosty sposób jesteśmy w stanie m.in: wyświetlać oraz zmieniać parametry serwera, pobierać dane statystyczne w formacie JSON, wgrywać i pobierać pliki konfiguracyjne VCL, czy startować i zatrzymywać serwer.

Więcej informacji: Varnish Software