W

nawiązaniu do „Ściągawki z informatyki śledczej w wykrywaniu włamań za pomocą linii poleceń Linuksa” dzisiaj zajmiemy się maskowaniem procesów, które czasem jest wykorzystywane przez złośliwe oprogramowanie. Z pomocą ponownie przyjdzie nam magia linii poleceń Linuksa, która umożliwi nam zdemaskowanie prawdziwego intruza w systemie. Na początku odpowiedzmy sobie na pytanie: czym jest maskarada procesów jądra Linux? Otóż w systemie Linux jądro posiada wiele własnych wątków utworzonych w celu ułatwienia wykonywania zadań systemowych. Wątki te mogą służyć do planowania obsługi zadań (ang. scheduling), operacji I/O na urządzeniach blokowych, wykonać transakcje księgowania dla systemów plików, okresowej synchronizacji zmodyfikowanych stron pamięci itd.
[ czytaj całość… ]

W

poprzednich częściach wspomniałem, o niektórych możliwościach pozyskania informacji za pomocą serwerów DNS oraz śledzenia wydawanych certyfikatów. W tej części zajmiemy się wyciąganiem informacji z innych zewnętrznych serwisów, które również prowadzą monitoring bardzo dużej ilości serwisów.
[ czytaj całość… ]

J

ednym z sposobów rekonesansu wybranej domeny jest zabawa z serwerami DNS. Innym sposobem może być wykorzystanie innego serwisu – teoretycznie stworzonego do czynienia dobra. W czerwcu 2015 roku organizacja Comodo ogłosiła uruchomienie nowej strony internetowej umożliwiającej śledzenie certyfikatów witryn internetowych. Wprowadzając nazwę domeny lub nazwę organizacji, użytkownik jest w stanie wyświetlić pełną listę wydanych certyfikatów wraz ze szczegółami dotyczących organów certyfikujących.
[ czytaj całość… ]

B

ing.com jest wyszukiwarką stworzoną przez firmę Microsoft wcześniej znaną jako MSN Search lub Live Search. Posiada ona unikalną funkcję do wyszukiwania stron internetowych (domen / hostów wirtualnych) utrzymywanych / hostowanych na konkretnym adresie IP. Funkcja ta może być bezpośrednio wywołana w wyszukiwarce na przykład za pomocą zapytania: IP:192.168.1.1. Andrew Horton z MorningStar Security napisał prosty skrypt w bashu, który odpytuje wyszukiwarkę i zwraca znalezione wyniki. Krok ten jest uważany za jedną z dobrych praktyk podczas fazy rozpoznania testów penetracyjnych w celu odkrycia potencjalnie większej ilości celów.
[ czytaj całość… ]

O

kazuje się, że w systemie Mac OS X nie wystarczy wyczyścić historii przeglądarki i listy pobranych plików, aby zachować te informacje w obszarze swojej prywatności. Mechanizm kwarantanny Launch Services, który odpowiedzialny jest m.in. za okno dialogowe, które pyta nas – czy na pewno chcemy otworzyć pliki pobrane z Internetu – trzyma także listę wszystkich pobranych przez nas plików w swojej bazie. Listę wyświetlić można poleceniem wydanym w terminalu, odpytującym lokalną bazę sqlite:
[ czytaj całość… ]

Znajdź puste linki w systemie – od katalogu root / – osiem poziomów wgłąb:

find -L / -maxdepth 8 -type l

Znajdź puste linki w systemie oraz wskaż ich docelowe obiekty:

find -L / -maxdepth 8 -type l -exec ls -al {} \;

G

oogle Dorks, czyli Googlowi Idioci – odnosi się do ludzi, których wrażliwe dane prowadzonych serwisów zostały ujawnione poprzez specyficzne zapytania zadane wyszukiwarce Google, w celu znalezienia konkretnych błędów zwracanych przez źle zakodowane lub skonfigurowane aplikacje webowe. Na przykład wpisanie w wyszukiwarce Google frazy „inurl:eStore/index.cgi?” może zwrócić listę stron korzystających z oprogramowania eStore, które w 2006 roku posiadało podatność na atak directory traversal: http://serwis.pl/sklep/eStore/index.cgi?page=../../../../../../../../etc/passwd. Cały ten proces określany jest mianem Google Hacking, czyli stosowaniem specjalnie dobranych zapytań do wyszukiwarki Google, które pozwalają na odszukanie wrażliwych informacji przydatnych z punktu widzenia analizy bezpieczeństwa aplikacji i stron WWW.
[ czytaj całość… ]

Lista DROP (ang. Don’t Route Or Peer) projektu Spamhaus jest zbiorem bloków sieciowych, czyli zakresów adresów IP – składających się z komputerów zombie lub sieci w pełni kontrolowanych przez zawodowych spamerów. Lista ta jest dostępna pod postacią prostej listy tekstowej, którą można wykorzystać w własnych zaporach sieciowych czy sprzęcie odpowiedzialnym za routing.
[ czytaj całość… ]