W

nawiązaniu do “Ściągawki z informatyki śledczej w wykrywaniu włamań za pomocą linii poleceń Linuksa” dzisiaj zajmiemy się maskowaniem procesów, które czasem jest wykorzystywane przez złośliwe oprogramowanie. Z pomocą ponownie przyjdzie nam magia linii poleceń Linuksa, która umożliwi nam zdemaskowanie prawdziwego intruza w systemie. Na początku odpowiedzmy sobie na pytanie: czym jest maskarada procesów jądra Linux? Otóż w systemie Linux jądro posiada wiele własnych wątków utworzonych w celu ułatwienia wykonywania zadań systemowych. Wątki te mogą służyć do planowania obsługi zadań (ang. scheduling), operacji I/O na urządzeniach blokowych, wykonać transakcje księgowania dla systemów plików, okresowej synchronizacji zmodyfikowanych stron pamięci itd.
[ czytaj całość… ]

N

arzędzie to pozwala na podglądanie procesów bez konieczności posiadania uprawnień administratora. Pozwala zobaczyć polecenia uruchamiane przez innych użytkowników, zadania cron w trakcie ich wykonywania itp. Świetnie nadaje się do badania systemów podczas testów penetracyjnych oraz CTFach. Jak to możliwe, że widzimy polecenia innych użytkowników? Dopóki proces trwa wiele informacji jest widocznych w procfs. Jedynym problemem jest to, że trzeba czasem złapać te krótko żyjące procesy w bardzo krótkim czasie. Skanowanie katalogu /proc w poszukiwaniu nowych PIDów w nieskończonej pętli może zdać egzamin, ale tym samym będzie zużywać bardzo dużo zasobów procesora.
[ czytaj całość… ]

M

onit jest małym, ale potężnym narzędziem, które potrafi zarządzać monitoringiem i kondycją systemu. Potrafi przeprowadzać zautomatyzowane czynności utrzymaniowe, naprawcze i zaradcze w sytuacjach wystąpienia różnych błędów. Nie tylko umie czuwać nad poprawnym działaniem procesów, ale również zgłaszać incydenty oraz podejmować różne akcje (np. poprzez skrypty). Poniżej zamieszczam prosty przykład, jak wykorzystać tego daemona do monitorowania logowań przez SSH i wysyłania powiadomień przez e-mail.
[ czytaj całość… ]

P

trace(2) jest wspaniałym narzędziem do rozwiązywania problemów dla programistów, którzy chcą poznać jak funkcjonują procesy w systemie Linux. Umożliwia odnajdywanie błędów programistycznych, czy wycieków pamięci. Z drugiej strony ptrace może zostać wykorzystane przez osoby o złych intencjach np. w celu debugowania procesu jako nieuprzywilejowany użytkownik, aby odczytać zawartość pamięci programu.
[ czytaj całość… ]

J

aka jest sytuacja z wydatkami na bezpieczeństwo, gdy bezpieczeństwo gospodarki i jej budżet słabnie? Przeprowadzone niedawno badanie opinii publicznej wśród firm trudniących się w branży bezpieczeństwa elektronicznego na tegorocznej konferencji RSA dowiodło, że pomimo ogólnych trudności gospodarczych wielu krajów – budżety firm zatrudniających firmy związane z bezpieczeństwem pozostają stabilne – czy rzeczywiście?
[ czytaj całość… ]

P

isząc aplikację – bez względu na system – często napotykamy na potrzebę implementacji utworzenia przez nią nowego procesu. W artykule wyjaśniamy jak można to zrobić bez uszczerbku dla bezpieczeństwa aplikacji. Oprócz tego wykorzystamy tworzenie procesów do wybiórczego przydzielania użytkownikom uprawnień dla programów.
[ czytaj całość… ]