D

zisiaj Pinaki zwrócił uwagę na sposób generowania adresów URL zawartych w phishingu wymierzonego w obywateli Ukrainy, który jako przynęty używał możliwość uzyskania wiz poprzez internet. Linki posiadające poniższy format były przekazywane za pomocą różnych wiadomości e-mail oraz czatach:

https://evisa.mfa.gov.ua:login@%6E%66%73%65%63%2E%70%6C

Szybki rzut oka na ten link nawet płynnie korzystającego z internetu użytkownika może go przekonać, że prowadzi on do portalu logowania serwisu evisa.mfa.gov.ua. Ale tak niestety nie jest. Kliknięcie linku w przeglądarce zaprowadzi nas do domeny: https://nfsec.pl. Dlaczego? Spójrzmy jak wygląda format adresu URL (zgodnie z definicją w RFC 1808, sekcja 2.1):

<schemat>://<nazwa_użytkownika>:<hasło>@<host>:<port>

Jest to dość dobrze znana technika w phishingu, w której domena jest zakodowana szesnastkowo. Jeśli rozłożymy ten format na czynniki pierwsze to otrzymamy:

• https:// – protokół / schemat
• evisa.mfa.gov.ua – nazwa użytkownika
• login – hasło
• nfsec.pl – docelowa strona internetowa (zakodowana szesnastkowo – to na nią zostaniemy przekierowani)

Dowód koncepcji: https://evisa.mfa.gov.ua:login@%6E%66%73%65%63%2E%70%6C

Najeżdżając kursorem na powyższy link możemy zaobserwować prawdziwy adres URL wyświetlany w lewym dolnym rogu. Zawsze należy pamiętać o tej czynności przed kliknięciem w link.

Więcej informacji: What does netloc mean?, Phishing attempts on Ukraine,

Z

naczniki czasu określone przez RFC1323 służą między innymi do ochrony przed “owijaniem” się numerów sekwencyjnych (PAWS – ang. Protection Against Wrapped Sequence Numbers), czy obliczaniem opóźnienia pomiędzy wysłaniem segmentu (PDU – ang. Protocol Data Unit dla warstwy transportu), a otrzymaniem potwierdzenia jego otrzymania (RTTM – ang. Round-Trip-Time Measurement).
[ czytaj całość… ]

Jednym ze stanów połączenia protokołu TCP jest TIME_WAIT. Jest to stan, w którym następuje oczekiwanie w celu upewnienia się, że druga strona otrzymała potwierdzenie rozłączenia. Zgodnie z dokumentem RFC 793 połączenie w takim stanie może być najdłużej przez 4 minuty. W systemie Linux standardową wartością dla tego stanu jest 60 sekund. Podczas oczekiwania w stanie TIME_WAIT ponowne nawiązanie połączenia z klientem (retransmisja) kosztuje znacznie mniej niż nawiązanie nowego połączenia. Jednak utrzymywanie bardzo wielu połączeń w tym stanie wpływa niekorzystnie na wydajność serwera.
[ czytaj całość… ]

O

ident jest daemonem identyfikacji, który działa na takich systemach jak Linux, FreeBSD, OpenBSD i Solaris. Jest on potrzebny do przeprowadzania prawidłowej identyfikacji użytkownika w danym systemie operacyjnym. Do swojego działania wykorzystuje Identification Protocol (RFC1413) dzięki czemu jest w stanie zidentyfikować aktywne połączenia TCP i podać User-ID (w postaci nazwy lub numeru) z lokalnej maszyny serwerowi, z którym łączy się klient. Oident potrafi obsługiwać IP Masquerade inaczej połączenia NAT (Network Address Translation) pod Linuksem, FreeBSD (tylko ipf) i OpenBSD oraz protokół IPv6, podczas gdy standardowy klient jakim jest w Linuksie pidentd nawet nie jest w stanie poprawnie współpracować z Maskaradą. Oidentd dodatkowo posiada elastyczny mechanizm dla specyficznych odpowiedzi identyfikacji. Użytkownicy posiadają możliwość dostępu do zdefiniowania ich własnych odpowiedzi identyfikacji. Odpowiedzi te mogą być zdefiniowane zgodnie z hostem, portem czy serwerem IRC…
[ czytaj całość… ]