O

statnio napotkałem na dziwny przypadek. Jeden z systemów HIDS – zablokował mnie na moim własnym serwerze. Po wszczęciu postępowania wyjaśniającego okazało się, że przy okazji wyszukiwania paru informacji powiązanych z NF.sec wszedłem na stronę, która linkowała do kilku już nieistniejących zasobów na mojej stronie. Tym samym wygenerowałem szybką serię kodów 404 na serwerze, która została uznana za próbę skanowania i zablokowana. Zdając sobie sprawę z obrotu sytuacji wpadłem na pewien pomysł. W internecie nie posiadamy kontroli nam tym kto, gdzie i do czego linkuje strony. Nie posiadamy też kontroli nam tym – kto będzie czytał i podążał za tymi linkami. Dla robotów internetowych są to kolejne korytarze, które można / trzeba odwiedzać. Nie znają powodu ani kontekstu, dla którego ktoś postawił tam znak skrętu w lewo. Wiedzą tylko, że to jest znak. Doprowadźmy więc do paru potrąceń w ruchu lądowym.
[ czytaj całość… ]

M

iodowy token? (ang. honeytoken) jest podobną techniką do garnków miodu (ang. honeypot), a dokładniej mówiąc to zasób komputerowy, który istnieje wyłącznie w celu powiadamiania nas, gdy tylko ktoś uzyska do niego dostęp. Może to być konto użytkownika, do którego generalnie nikt nie powinien mieć dostępu; plik, którego nikt nie powinien przeczytać; link, w który nikt nie powinien kliknąć. Funkcjonalność taką za darmo oddała nam firma Thinkst Applied Research pod postacią serwisu Canarytokens.
[ czytaj całość… ]

M

onit jest małym, ale potężnym narzędziem, które potrafi zarządzać monitoringiem i kondycją systemu. Potrafi przeprowadzać zautomatyzowane czynności utrzymaniowe, naprawcze i zaradcze w sytuacjach wystąpienia różnych błędów. Nie tylko umie czuwać nad poprawnym działaniem procesów, ale również zgłaszać incydenty oraz podejmować różne akcje (np. poprzez skrypty). Poniżej zamieszczam prosty przykład, jak wykorzystać tego daemona do monitorowania logowań przez SSH i wysyłania powiadomień przez e-mail.
[ czytaj całość… ]

F

irewalking w oryginalnym znaczeniu odnosi się do spaceru po ogniu / żarze. Od strony informatycznej stosuje się to pojęcie do dokładnej analizy sieci i zapory ogniowej od strony intruza. Analiza taka pozwala na ocenę stanu jej odporności i ukazania słabości. Można stwierdzić, że każdy audyt bezpieczeństwa sieciowego dotyczy przeprowadzania testów penetracyjnych. Wówczas idea opiera się na symulacji działań potencjalnego intruza. Testy penetracyjne lub tzw. pentesty przeprowadza się przy założeniu, że nie są znane: struktura oraz usługi badanej sieci.
[ czytaj całość… ]

N

etwork snooping – (ang. szpiegowanie sieci) – ten rodzaj ataku jest przez wielu uważany za najbardziej wyrafinowaną metodę wywiadu do przeprowadzenia dalszego procesu ataków. Do jej przeprowadzenia wykorzystuje się różnego rodzaju analizatory sieci i inne narzędzia, dzięki którym potencjalny włamywacz wybiera taką metodę ataku, która w danym przypadku będzie najbardziej efektywna.
[ czytaj całość… ]

W

ykorzystanie Snort_inline okazało się skuteczną strategią na zabezpieczenie sieci wewnętrznych, DMZ oraz domowych, w przypadku wielu różnych środowisk i scenariuszy. Aby narzędzie to działało poprawnie w trybie drop powinno ono adaptować się do właściwości środowiska, które chroni. Z tego względu przedstawimy tutaj nie tylko techniki konfiguracji, ale także sposoby na utworzenie dedykowanego urządzenia najlepiej odpowiadającego środowisku, które chcemy chronić.
[ czytaj całość… ]

K

iedy się idzie po miód z balonikiem, to trzeba się starać, żeby pszczoły nie wiedziały, po co się idzie. (…) Z pszczołami nigdy nic nie wiadomo – Kubuś Puchatek
[ czytaj całość… ]

W

iele osób korzystających z Internetu nie zdaje sobie sprawy, że oprócz takich zagrożeń, jak robaki i wirusy istnieje również sniffing (ang. sniff – węszyć). Wykorzystując tę technikę można dowiedzieć się między innymi, jakie ktoś ma hasła.
[ czytaj całość… ]

P

OSF – (ang. Passive OS Fingerprinting) jest procesem mającym na celu identyfikację systemu operacyjnego (ang. OS), który jest używany przez zdalny host. Zaletą pasywnego (ang. passive) fingerprintingu jest jego niewykrywalność dla systemów IDS (ang. Intrusion Detection System) ze względu na fakt iż aplikacja służąca do POSF’gu nie wysyła żadnych danych na terenie badanej sieci.
[ czytaj całość… ]

N

ie ma w pełni skutecznych metod zapobiegania atakom Denial of Service. Gdy strumień wrogich pakietów dotrze do celu, pozostaje tylko przeczekać atak. Jedynym sposobem zminimalizowania zagrożeń jest zatrzymanie niechcianego ruchu jak najbliżej miejsca, w którym powstaje.
[ czytaj całość… ]