Napisał: Patryk Krawaczyński
28/11/2022 w Administracja, Bezpieczeństwo
W
raz z wersją git 2.34.0 każdy nasz commit do kodu lub jego tag będzie mógł zostać podpisany kluczem SSH. Możliwość podpisywania dowolnych danych za pomocą SSH została dodana już w 2019 roku z wydaniem OpenSSH 8.0. Jednak, aby używać tej funkcjonalności bez żadnego problemu najlepiej używać OpenSSH w wersji 8.8. Nasz proces zaczynamy od instalacji i konfiguracji klienta git i SSH:
sudo apt install -y git
Kolejnym krokiem jest wygenerowanie klucza SSH, który będzie używany do podpisywania:
ssh-keygen -t ed25519 -C "agresor@nfsek.pl" -f ~/.ssh/code_commit_signing
Odpowiadamy na pytania i upewniamy się, że wpisaliśmy silne i unikalne hasło do klucza. Klucz ten będzie domyślnie przechowywany w naszym katalogu domowym pod katalogiem .ssh:
agresor@darkstar:~$ cat .ssh/code_commit_signing.pub
ssh-ed25519 AAAAC3NzaC1lZDI1NTE5AAAAIMzu8wjcnyAorVVtEjddoG2gaYjmRnHiZHvElYFcl/s/
agresor@nfsek.pl
[ czytaj całość… ]
Napisał: Patryk Krawaczyński
26/03/2021 w Hacks & Scripts
Znalazłeś w repozytorium X prywatny klucz SSH i chciałbyś się dowiedzieć do kogo należy? Nic prostszego:
ssh -i znajda.key git@github.com
Warning: Permanently added 'github.com' (RSA) to the list of known hosts.
PTY allocation request failed on channel 0
Hi nfsec! You've successfully authenticated, but GitHub does not provide shell access.
Connection to github.com closed.
Działa również z gitlab.com, bitbucket.org i zapewne innymi.
Więcej informacji: GNU/JUSTIN
Napisał: Patryk Krawaczyński
16/02/2020 w Bezpieczeństwo, Pen Test
I
nernet to wodospad cieknących danych. W mojej pierwszej serii Necronomicon ( część I oraz II) mogliśmy się o tym przekonać na przykładzie skracarek adresów URL. Dzisiaj zajmiemy się serwisami oferującymi miejsce na repozytoria kodu. Ale od początku. Jakieś dziesięć lat temu powstał ruch DevOps – przechodząc przez różne etapy rozwoju dołączono do niego kolejny człon – DevSecOps. Upraszczając: jest to ruch, który osadza w cykl życia oprogramowania procesy bezpieczeństwa. Jego braki lub luki proceduralne są częstym i w dużej mierze niedocenianym wektorem zagrożeń dla wielu firm i organizacji.
[ czytaj całość… ]
Napisał: Patryk Krawaczyński
16/10/2017 w Bezpieczeństwo
M
athy Vanhoef oraz Frank Pissens z KU Leuven odkryli lukę, która wykorzystuje błąd w poczwórnym ucisku dłoni standardu 802.11i (WPA2). Nie jest to błąd kryptograficzny, ale błąd protokołu (dość oczywisty i trywialny). Kiedy klient łączy się z siecią, punkt dostępowy w pewnym momencie wyśle losowe „klucze” w celu rozpoczęcia szyfrowania transmisji. Ponieważ tego rodzaju pakiety mogą zostać utracone w transmisji – mogą one być wielokrotnie powtarzalne. To, co może zrobić atakujący to po prostu wielokrotnie wysyłać tego rodzaju pakiety – potencjalnie, nawet kilka godzin po pierwszej negocjacji. Za każdorazowym wykonaniem tej czynności zresetuje on „strumień klucza” do początkowych wartości.
[ czytaj całość… ]
Ostatni komentarz :