O

penSSH – Secure Shell Server zapewnia bezpieczny, szyfrowany zdalny dostęp do systemów *niksowych. Po stronie serwera znajduje się plik authorized_keys w katalogu .ssh (głównym folderze użytkownika), w którym można skonfigurować uwierzytelnianie za pomocą klucza publicznego. Przy normalnej konfiguracji użytkownik uzyskuje pełny dostęp do systemu, w którym skonfigurowano uwierzytelnianie. Jednak w niektórych przypadkach, takich jak automatyczne operacje na zdalnych serwerach (np. wdrażanie kodu, tworzenie kopii zapasowych, uruchamianie konkretnych skryptów), sensowne jest ograniczanie dostępu do kilku lub nawet jednego polecenia. Oprócz ograniczenia poleceń dla danego użytkownika zapobiegamy również kompromitacji zdalnego serwera w przypadku przejęcia klucza prywatnego.
[ czytaj całość… ]

P

ierwszy raz z truflową świnką ryjącą za poszukiwaniem kluczy mogliśmy spotkać się w Oh Shit, Git?!. Najnowsza, trzecia wersja została zupełnie przepisana w języku Go. Dodano do niej obsługę ponad 600 typów kluczy zwiększając tym samym zdolność tego narzędzia do polowania na wycieki danych uwierzytelniających. W dodatku detektory te obsługują aktywną weryfikację z odpowiednimi interfejsami API. Ujawnione dane uwierzytelniające, w tym pary tajnych kluczy, stanowią poważny problem cyberbezpieczeństwa. Klucze mogą być nadużywane do włamywania się do sieci korporacyjnych, często bardziej potajemnie i przez dłuższy czas niż wykorzystywanie luk w popularnym oprogramowaniu.
[ czytaj całość… ]

M

apy Google używane są w miejscach, w których serwisy przeszukują lokalizacje wprowadzone przez użytkowników lub zaznaczają swoje obiekty. Większość z tych integracji ujawnia swoje klucze API za pośrednictwem kodu źródłowego lub w jednym z żądań wysyłanych z ich aplikacji mobilnych. Pozyskanie tych kluczy nie jest uważane za poważny problem, ponieważ osoba atakująca może “tylko” wysyłać żądania do punktów końcowych Google Maps API przy użyciu zdobytych kluczy. Wiele raportów odnośnie zgłaszania tego typu błędów można zobaczyć na platformach bugbounty oznaczonych jako informacyjne lub w zakresie akceptowalnego ryzyka.
[ czytaj całość… ]

K

onfiguracja SSH oprócz: zezwolenia wybranych użytkowników; wyłączenia / podkręcenia niektórych funkcji; zastanawiania się czy hasłem, czy kluczem i którym portem – przede wszystkim powinna się skupić na rodzajach algorytmów, które oferują nam bezpieczną, szyfrowaną transmisję. Od strony manualnej możemy skorzystać z dobrego przewodnika Mozilli lub zaprząc do tego automat, który podpowie nam, jakie algorytmy są już przestarzałe i nie powinny być już oferowane od strony serwera w naszej wersji:
[ czytaj całość… ]

K

iedyś ku mojemu zdziwieniu prosząc znajomego o udostępnienie WiFi zobaczyłem, że używa jeszcze szyfrowania typu WEP. Po serii epitetów o mądrości tego rozwiązania – otrzymałem odpowiedź, że przy innych formach szyfrowania ma bardzo słaby zasięg na drugim piętrze swojego mieszkania, a z tym przynajmniej działa mu w miarę płynnie Internet i poza tym, kto by się trudził w jakieś tam łamanie szyfru i inne afery szpiegowskie. Pozwoliłem sobie zademonstrować mu ile trudu trzeba włożyć, aby zacząć korzystać z jego sieci domowej oznajmiając, że sam podłącze się do jego routera bez jego pomocy.
[ czytaj całość… ]