Kilka dni temu kolega otrzymał email z fakturą do opłacenia. Oczywiście email był napisany przyzwoicie oraz dotyczył powiedzmy dziedziny, którą zajmuje się kolega. Jednak jego czujność nie zawiodła i nie dał się podejść temu scamowi. Przesłał mi do analizy i zaraz sprawdziłem jak to wygląda. Oczywiście na głęboką analizę nie ma nigdy czasu albo nawet chęci.
No to let’s go
Tak na wieczór przy piwku polecam odświeżenie tematu bezpieczeństwa. Czasami zbyt oczywiste i proste rzeczy stają się najtrudniejsze.
Do zdobycia jest 13 flag z różnego przekroju błędów i uchybień administratora/programisty.
Miłej zabawy dla obecnych i przyszłych administratorów i programistów: http://ctf.uw-team.org/
Ostatnio natrafiłem na ciekawy projekt https://dply.co/. Dostarcza serwery Linux (różne dystrybucje) z różnych lokalizacji za całkowitą darmochę na 2 godziny. Mini serwery można wykorzystać do testowania własnych rozwiązań, ale w dobie targetowania reklam oraz wrażliwości danych prywatnych w prosty sposób możemy sobie stworzyć prywatne środowisko do przeglądania internetu.
Ostatnio zacząłem się interesować Smart Device/Smart Home i nie jako byłem zmuszony też zacząć interesować się wszelkiego typu monitoringiem, a więc rejestratorami, kamerami i innego tego typu rozwiązaniami.
Ważnym aspektem jest bezpieczeństwo tych urządzeń i w obecnych czasach, gdzie dostęp do takich zabawek nie jest problemem ze względu na niską cenę, łatwo można stać się celem ataku. W sumie to nawet nie jest to atak, a niska świadomość ludzka. W sieci można znaleźć wszelkiej maści adresy URL (google dorks) do urządzeń, które nadają na standardowych portach, bez zabezpieczeń lub ze standardowymi hasłami administratora.
Ostatnio przeglądałem różne stare archiwa, ponieważ przyszedł czas na posprzątanie starego laptopa, natrafiłem na listę pytań, które dawno temu dostałem na stanowisko Administratora Linux do jednej z firm. Jeżeli ktoś zna odpowiedzi na 80% z nich do zapraszam do zespołu 🙂
Od zawsze najsłabszym czynnikiem wśród zabezpieczeń jest czynnik ludzki. Czarne charaktery wykorzystują ludzką ignorancję lub brak wiedzy do przełamania zabezpieczeń, wykradnięcia danych oraz pieniędzy z konta.
W przykładach podzielonych na części postaram się przedstawić podszywanie się pod strony banku, dzięki którym hacker jest w stanie skraść dane wrażliwe do konta.
Dość ciekawa podatność została zgłoszona 14 lipca na seclistę: http://seclists.org/fulldisclosure/2016/Jul/51
Dotyczy ona daemona ssh, popularnego w środowisku Linux (jest to serwer, standardowo nasłuchujący na porcie 22/tcp, który udostępnia bezpieczne połączenie do konsoli).
Zabawny błąd polega na możliwości wylistowania (raczej zgadnięcia/wytypowania) użytkowników, którzy mogą się zalogować przez ssh (jeśli użytkownik root, będzie miał wyłączoną możliwość logowania bezpośrednio, wtedy zostanie oznaczony jako niepoprawny login).
Niedawno jeden z klientów miał problem z obciążaniem macierzy przez operacje IO. Z racji biznesu jaki prowadzi, ważne było, aby poszczególne instancje procesów były od siebie odseparowane, możliwie z jak najmniejszym narzutem. Wybrór padł na LXC. Sama konfiguracja i limitowanie wszystkiego poza IO nie sprawiło problemów. Wszystko działa stabilnie:
root@nodeA # lxc-ls -f NAME STATE IPV4 IPV6 AUTOSTART ------------------------------------------------ fh1 RUNNING 10.1.1.200 - YES fh2 RUNNING 10.1.1.102 - YES fh3 RUNNING 10.1.1.240 - YES fh4 RUNNING 10.1.1.150 - YES
Ostatnio potrzebowałem zebrać logi tcpdump przez określoną jednostkę czasu, interesował mnie konkretny atak ddos, ale by nie zapychać dysku, w momecie wykrycia uruchamiałem tcpdumpa i logowałem wszystko.
Stanąłem przed problemem, jak taki proces uruchomić w bashu w określonej jednostce czasu. Już prawie zacząłem skrobać jednolinijkowca, ale Linux, a raczej coreutils pakiet przyszedł z pomocą. Jest narzędzie timeout, które uruchamia proces przez określoną jednostkę czasu
# timeout 5m tcpdump -w atak.cap
Więcej w manualu: http://man7.org/linux/man-pages/man1/timeout.1.html
Dawno temu na jednym z forum o webhostingu zauważyłem ciekawe ogłoszenie o pracę do jednej z firm hostingowych na stanowisko Linux Administrator. Po standardowy szablonie na ofertę o pracę został umieszczony fragment:
Warunkiem zaproszenia na rekrutację będzie rozwiązanie poniższego zadania:
—–
Server: 0xbc741383:0xf05e
Host: rekrutacja.hekko.pl
Request: POST /hints.tar.gz
—–