NFsec Logo

Oh Shit, Git?! – Viventium Necronomicon

16/02/2020 (tydzień temu) w Bezpieczeństwo, Pen Test Możliwość komentowania Oh Shit, Git?! – Viventium Necronomicon została wyłączona

I

nernet to wodospad cieknących danych. W mojej pierwszej serii Necronomicon ( część I oraz II) mogliśmy się o tym przekonać na przykładzie skracarek adresów URL. Dzisiaj zajmiemy się serwisami oferującymi miejsce na repozytoria kodu. Ale od początku. Jakieś dziesięć lat temu powstał ruch DevOps – przechodząc przez różne etapy rozwoju dołączono do niego kolejny człon – DevSecOps. Upraszczając: jest to ruch, który osadza w cykl życia oprogramowania procesy bezpieczeństwa. Jego braki lub luki proceduralne są częstym i w dużej mierze niedocenianym wektorem zagrożeń dla wielu firm i organizacji.
[ czytaj całość… ]

TicketTrick II – atak na przestrzeń nazw za pomocą grup dyskusyjnych i list mailingowych

05/02/2020 (3 tygodnie temu) w Ataki Internetowe Możliwość komentowania TicketTrick II – atak na przestrzeń nazw za pomocą grup dyskusyjnych i list mailingowych została wyłączona

P

ierwszy wariant tego ataku opierał się na systemie zgłaszania i śledzenia błędów (np. Zendesk). W drugim wariancie przewiduje on użycie Google Groups. Wstępny scenariusz ataku został odkryty już w 2018 roku przez Kenna Security we współpracy z KerbsOnSecurity. Otóż błędna konfiguracja grup dyskusyjnych Google powoduje ujawnienie poufnych wiadomości e-mail od tysięcy organizacji, w tym niektórych firm z listy Fortune 500. Wpłynęło to na wiele branż: od agencji rządowych USA, szpitali i instytucji akademickich po media znanych stacji telewizyjnych i gazet.
[ czytaj całość… ]

Co Ubuntu wie o Twoim sprzęcie?

16/01/2020 w Bezpieczeństwo Możliwość komentowania Co Ubuntu wie o Twoim sprzęcie? została wyłączona

W

szystko zaczęło się od jednego tweeta, który uświadomił nagle wielu osobom, że mechanizm w dystrybucji Linuksa Ubuntu za pomocą skryptów odpowiedzialnych za generowanie zawartości pliku /etc/motd (ang. Message of the Day) pobiera informacje z serwerów firmy Ubuntu. Nic by nie było w tym dziwnego, gdyby nie fakt, że podczas tego procesu wysyła też sporo „osobistych” i możliwych do zidentyfikowania informacji z Twojej stacji roboczej lub serwera. Za każdym razem kiedy logujemy się na maszynę dowolnego Linuksa uruchamiamy logikę w „MOTD”. Jest to komunikat dnia, który może być ustawiony przez administratora w celu przekazania informacji użytkownikom lub różne skrypty w celu poinformowania administratora o roli i innych metadanych serwera:
[ czytaj całość… ]

iTerm2 3.1.5 Password Manager

29/03/2018 w Bezpieczeństwo Możliwość komentowania iTerm2 3.1.5 Password Manager została wyłączona

i

Term2 jest emulatorem terminala dla systemu macOS. Jest bardzo przyjazny i ma dużo przydatnych funkcji. Odpowiednikiem w systemie Linux jest terminator. Jedną z funkcji tego narzędzia jest menedżer haseł. Jest bardzo przydatny: za jego pomocą można przechowywać kilka haseł; jego okno dialogowe może proponować „wpisanie” danego hasła reagując na pojawienie się frazy Password: w tekście terminala (za pomocą ustawienia wyzwalaczy w profilu) itd. Na oficjalnej stronie możemy znaleźć informację:

It stores your data securely encrypted in macOS’s keychain, protected by your user account’s password. iTerm2 includes a safety mechanism that ensures your password only gets entered at a password prompt.

Co może świadczyć, że raz wpisane hasło będzie w nim bezpiecznie przechowywane i nie zdradzone nawet podczas edycji prowadzącej do jego zmiany. Niestety bawiąc się tym menedżerem udało mi się bez problemu „odszyfrować” / „ujawnić” wcześniej wpisane hasło. Wystarczy podczas edycji dowolnego hasła (Edit Password) zrezygnować z tego procesu za pomocą klawisza ESC. W trakcie chowania się okna dialogowego hasło w jawnej formie jest widoczne przez około sekundę. PoC można zobaczyć na krótkim filmiku (24 sekunda).

Wyciek danych z VPN

02/11/2016 w Bezpieczeństwo Możliwość komentowania Wyciek danych z VPN została wyłączona

K

iedy używamy serwisów zapewniających anonimowość i prywatność w internecie, bardzo ważne jest, aby cały ruch sieciowy pochodzący z naszego komputera, był przesyłany poprzez sieć zapewniającą taką właśnie usługę. Jeśli jakikolwiek ruch (przez dowolny protokół) wycieka – czyli – nie używa bezpiecznego połączenia z internetem, to każdy, kto (np. ISP) będzie monitorować aktywność Twojego komputera, jest w stanie wychwycić ten ruch sieciowy.
[ czytaj całość… ]

Tere fere Referer(e)

26/10/2016 w Bezpieczeństwo Możliwość komentowania Tere fere Referer(e) została wyłączona

6 października napisał do mnie mejla Borys Lącki o temacie, który raczej przyciągnął od razu moją uwagę, ponieważ było w nim słowo: „ALAAAAAAAAAAAAAAAAAAAARM”. Gdzie się paliło? Otóż historia jest na tyle ciekawa, że bardziej przypomina dwie osoby patrzące na siebie poprzez dwa ustawione lustra pod kątem 90%. W treści wiadomości były też screenshoty zawierające pełną ścieżkę URL do systemu webalizer, który przelicza liczbę odwiedzin dla NF.sec. Skąd Borys wiedział o tym URL? Przecież adres był w głębokim ukryciu ;). Wyjaśnienie jest proste. Ja na swoim webalizerze zobaczyłem w refererach adres pochodzący z bothunters.pl. Nie otworzyłem nowej karty i wykonałem sekwencji Ctrl+C,Ctrl+V tylko odruchowo kliknąłem w link. W tym momencie mój adres webalizera pojawił się jako referer w systemie statystyk bothunters. Chwila zapomnienia i miejscówka spalona. Ale nie o tym – temat jest na tyle ciekawy w kontekście odkrycia, które udostępnił na Twitterze Kacper Rybczyński.
[ czytaj całość… ]

To nie jest kolejna analiza 10 milionów haseł

24/02/2015 w Bezpieczeństwo Możliwość komentowania To nie jest kolejna analiza 10 milionów haseł została wyłączona

J

akiś czas temu konsultant bezpieczeństwa Mark Burnett udostępnił plik zawierający 10 milionów loginów i haseł. Odpowiedzi na różne pytania dotyczące historii stworzenia, struktury itd. tego pliku możemy znaleźć w odpowiedzi na najczęściej zadawane pytania (FAQ). Rzadko zdarza się, że wycieki haseł posiadają takie ilości, a jeszcze rzadziej kiedy ktoś zbiera wycieki przez parę lat, skleja je w jedność i publikuje.
[ czytaj całość… ]