Dodany: 2019-07-09 05:27:04 | Ostatnio wołany: 2019-07-09 05:28:04


Pracujesz z dużą ilością serwerów podczas swojej pracy?
Do każdego z nich logujesz się przy pomocy swojego klucza SSH?
A co w przypadku gdy do wielu serwerów dostęp powinno mieć wielu użytkowników?
Czy klucz każdego z nich należy dopisać do pliku ~/.ssh/authorized_keys?
Co w sytuacji gdy użytkownik straci kontrolę nad swoim kluczem prywatnym albo odejdzie z firmy?
Jak zarządzać taką infrastrukturą?
O tym w dzisiejszym odcinku #od0dopentestera

W SSH możemy skonfigurować opcję TrustedUserCAKeys.
Wtedy to serwer nie oczekuje podczas logowania konkretnego klucza.
Sprawdza natomiast czy podany klucz został podpisany przez klucz CA.

Dzięki temu za każdym logowaniem możemy używać nowo wygenerowanego klucza.
Wystarczy tylko aby był on podpisany.
Dodatkowo klucz ten może mieć określony czas działania.
Przez to nawet jeżeli w przyszłości dostanie się w ręce atakującego, będzie bezużyteczny.

Bezpieczeństwo rozwiązania zależy zatem od prywatności klucza CA.
Nie powinien on być więc w posiadaniu wszystkich administratorów.
Tu do gry wchodzi BLESS - Bastion's Lambda Ephemeral SSH Service.

Jest to specjalna funkcja AWS Lambda, która służy do generowania tymczasowych kluczy dostępu do naszych serwerów.
Wspiera ona AWS IAM Policy, dzięki czemu możemy ustalić kto ma do niej dostęp.
Teraz, przed zalogowaniem się poprzez SSH używamy klienta w Pythonie, który wywołuje tą funkcję z podanymi przez nas parametrami.
Ona to sprawdza czy należymy do odpowiedniej grupy i jeżeli wszystko się zgadza zwraca podpisany klucz.

Plusy rozwiązania?
Tylko główny administrator posiada dostęp do pliku z kluczem CA.
Wygenerowane klucze są tymczasowe więc ich kradzież nic nie daje.
Jeżeli pracownik odchodzi z firmy wystarczy usunąć go z jednej grupy.
W przypadku pojawienia się nowego serwera - dopisujemy tylko jedną linijkę w konfiguracji.

Subskrybuj kanał na YouTube
Masz pytanie na temat bezpieczeństwa? Zadaj je na grupie od 0 do pentestera na Facebooku.
Jeżeli chcesz być wołany dodaj się do Mirkolisty.

#bezpieczenstwo #programowanie #informatyka #it #nauka #technologia #ciekawostki #swiat #gruparatowaniapoziomu #biznes #security #webdev #programista15k

Przejdź do wpisu

Dodany: 2019-07-03 05:00:09 | Ostatnio wołany: 2019-07-03 05:00:58


Czy moje hasło jest bezpieczne? #od0dopentestera
A może znalazło się w jakimś wycieku danych?
Jak mogę to sprawdzić?

Pierwsza możliwość to samodzielne odnalezienie linków do baz zawierających dane z wycieków.
Następnie należy je wypakować, odpowiednio przetworzyć i spróbować odnaleźć w nich swoje hasła.
Ale nie każdy posiada odpowiednie zdolności techniczne.

Wiemy, że podawanie naszych haseł na zewnętrznych serwisach nie jest najlepszym pomysłem.
W celu zachowania bezpieczeństwa będziemy wiec korzystać z funkcji haszującej, która z dowolnego ciągu znaków tworzy inny ciąg o stałej długości.
Operacja ta jest nieodwracalna - to znaczy, ze stworzonego w taki sposób hasza nie da się otrzymać pierwotnej wartości (pomijając ataki siłowe).

Tak wygenerowany hash sha1 możemy sprawdzać w różnych bazach online.
Minusy? Nigdy nie mamy pewności jakie zamiary ma osoba udostępniająca tego rodzaju usługi.
Jeżeli hasło istnieje w bazie w postaci hasha - twórca witryny może je również posiadać w zwykłej postaci bez żadnego hashowania.
Znając naszą tożsamość może wykorzystać tą wiedzę do targetowanych ataków.

Dochodzimy więc do paradoksu.
Z jednej strony aby sprawdzić hasło musimy je jakoś przekazać do serwisu.
Z drugiej jednak strony ta czynność w odpowiednich warunkach może doprowadzić do jego wycieku.

Jak sprawę rozwiązał serwis have i been pwned?
Wykorzystując k-anonymity.

Załóżmy, że jesteśmy firmą produkującą innowacyjne leki.
Chcielibyśmy podzielić się wynikami badań w magazynach branżowych.
Nie możemy jednak podawać danych osobowych pacjentów.
Musimy je jakoś zanonimizować - czyli usunąć informacje, na podstawie których można by było zidentyfikować konkretną osobę.

Pierwszy sposób polega na ukrywaniu pewnych danych.
Wystarczy imię i nazwisko zamienić na gwiazdkę.
Drugi sposób to uogólnienie.
Zamiast podawać konkretny wiek danej osoby - podajemy zakres, a miasto zamieniamy na województwo.

Ale jak to się ma do bezpieczeństwa haseł?
Serwis lokalnie, na naszym komputerze wylicza hash sha1 a następnie pobiera z niego pierwsze 5 znaków.
Te 5 znaków wysyłane jest do serwera API, który to zwraca wszystkie rekordy, zaczynające się od tych wartości.
Przeglądarka ponownie lokalnie porównuje każdy z tych wyników z wyliczonym wcześniej hashem i jeżeli odnajdzie pasujący rekord - wie że dane hasło wyciekło.

Dzięki temu całe nasze hasło nigdy nie opuszcza naszego komputera w żadnej postaci.
5 znaków to bardzo mało.
Twórca witryny nie jest w stanie na tej podstawie stwierdzić czy nasze hasło znajduje się w bazie a może jest to zupełnie inny ciąg znaków, którego hash po prostu zaczyna się od podanej wartości.

Subskrybuj kanał na YouTube
Transkrypcja
Masz pytanie na temat bezpieczeństwa? Zadaj je na grupie od 0 do pentestera na Facebooku.
Dostępne również na Google i Apple Podcasts oraz Spotify i Anchor.
Jeżeli chcesz być wołany dodaj się do Mirkolisty.

#bezpieczenstwo #programowanie #informatyka #it #nauka #technologia #ciekawostki #podcast #swiat #gruparatowaniapoziomu #biznes #security

Przejdź do wpisu

Dodany: 2019-06-24 06:41:19 | Ostatnio wołany: 2019-06-24 06:42:56


Jak działa kradzież karty SIM? Co to jest SIM swap?
Dlaczego banki chcą abyśmy zrezygnowali z potwierdzania przelewów przy użyciu SMSów?
O tym dzisiaj w #od0dopentestera

Zazwyczaj sam login i hasło bankowości elektronicznej nie wystarczą aby zlecić przelew.
Bank chce mieć pewność, że to my zleciliśmy transakcję dlatego wykorzystuje idee dwuskładnikowej weryfikacji.
W przeszłości wykorzystywano do tego karty kodów jednorazowych.
W ostatnim kroku wysyłania przelewu losowano jeden z nieużytych numerów i proszono o jego przepisanie.

Minusy? Dowolny nieużyty kod mógł potwierdzić dowolną operację.
Przestępcy próbowali je wiec wyłudzać od niczego nieświadomych użytkowników.
Gdy telefony stały się popularne większość instytucji przeszła na wiadomości SMS.
Tym razem jeden kod potwierdza jedną, konkretną transakcję.
Dodatkowo zazwyczaj widać jej kwotę oraz adres odbiorcy.

Rozwiązanie idealne?
Tutaj do gry wchodzi kradzież kart SIM tak zwany atak SIM swap.
Przestępcy wyłudzają duplikat karty przy użyciu kolekcjonerskich wersji dowodów osobistych.
Wtedy to wszystkie wiadomości (w tym te od banku) trafiają na telefony złodziei.

Sytuacja taka dotyczy również kont email.
Niektóre serwisy pozwalają bowiem na reset hasła przy pomocy wiadomości tekstowej.
W taki sposób można przejąć czyjeś konto pocztowe.
Je natomiast można wykorzystać do zmiany hasła na innych portalach.
Praktycznie każda z obecnie istniejących witryn pozwala bowiem na zmianę hasła przy użyciu maila.

Najnowszym rozwiązaniem jest więc używanie mobilnych aplikacji bankowych do potwierdzania przelewów.
Aplikacja jest powiązana z telefonem a nie numerem telefonu.
Dzięki temu nawet gdy ktoś wyłudzi duplikat karty SIM, nie będzie w stanie potwierdzić zlecenia przelewu.

Subskrybuj kanał na YouTube
Masz pytanie na temat bezpieczeństwa? Zadaj je na grupie od 0 do pentestera na Facebooku.
Dostępne również na Google i Apple Podcasts oraz Spotify i Anchor.
Jeżeli chcesz być wołany dodaj się do Mirkolisty.

#bezpieczenstwo #programowanie #informatyka #it #nauka #technologia #ciekawostki #podcast #swiat #gruparatowaniapoziomu #biznes #security #banki

Przejdź do wpisu

Dodany: 2019-06-18 05:00:19 | Ostatnio wołany: 2019-06-18 05:01:07


Jak działa BitLocker i szyfrowanie dysków? Co to jest TPM i do czego służy? #od0dopentestera

Dlaczego warto zabezpieczyć swoje dane na laptopie?
Chociażby aby w przypadku jego kradzieży nasze zdjęcia z wakacji nie dostały się w niepowołane ręce.
Ale jak to możliwe? Przecież mój komputer jest zabezpieczony hasłem, które podaję podczas logowania do systemu operacyjnego.
Mechanizm logowania a szyfrowanie to dwie różne kwestie.

Istnieją metody na uruchomienie działającego systemu operacyjnego z poziomu pendrive'a.
Wystarczy odpowiednio spreparowany nośnik podpięty do portu USB.
Komputer uruchomiony za jego pomocą nie korzysta z Windowsa zainstalowanego na naszym laptopie.
Ale taki system dalej ma dostęp do zasobów całego naszego dysku twardego.

I tu do gry wkracza szyfrowanie dysków.
W Windowsie najprościej użyć BitLockera.
Uruchomienie tego mechanizmu wymaga od nas podania hasła, które to jest wykorzystywane do zabezpieczenia naszej treści.
Im dłuższe i bardziej skomplikowane tym trudniej będzie je złamać.
Ciężko mi sobie jednak wyobrazić osobę, który byłaby zadowolona z faktu wprowadzania za każdym razem 40 znakowej kombinacji znaków.

Kolejną opcją jest użycie pendrive'a na którym to znajduje się specjalny plik z hasłem.
Jego długość sprawia, że ataki siłowe nie mają większego sensu.
Z drugiej jednak strony każdy kto posiada dostęp do tego urządzenia może w prosty sposób skopiować znajdujący się tam plik i odblokować nim nasz komputer.

Dlatego najlepszym rozwiązaniem jest użycie mechanizmu TPM.
Jest to mały układ znajdujący się w większości nowych komputerów.
Jego zadaniem jest bezpieczne przechowywanie kluczy.
Podczas uruchamiania komputera komponent ten sprawdza czy nie nastąpiła żadna zmiana w konfiguracji.
Tylko wtedy wysyła on hasło do BitLockera który to może odszyfrować dysk.

Dla użytkownika końcowego takie rozwiązanie jest praktycznie niewidoczne, wszystko dzieje się automatycznie w tle.
Ma jednak jeden minus.
Istnieją skomplikowane metody gdzie odpowiednio podpinając przewody do TPM możliwe jest podsłuchanie komunikacji z BitLockerem.
Dlatego też w celu najlepszej ochrony stosuje się dodatkowy PIN.
Wtedy to oprócz braku zmian w konfiguracji użytkownik za każdym razem musi podać swój kod, który zazwyczaj składa się z 4 do 6 cyfr.

Teoretycznie to całkiem mało i zdeterminowany atakujący mogły próbować każdą z kombinacji po kolei.
Ale na to nie pozwoli TPM - po kilku próbach zacznie wydłużać czas potrzebny na wpisywania kolejnych liczb.

Subskrybuj kanał na YouTube
Masz pytanie na temat bezpieczeństwa? Zadaj je na grupie od 0 do pentestera na Facebooku.
Dostępne również na Google i Apple Podcasts oraz Spotify i Anchor.
Jeżeli chcesz być wołany dodaj się do Mirkolisty.

#bezpieczenstwo #programowanie #informatyka #it #nauka #technologia #ciekawostki #podcast #swiat #gruparatowaniapoziomu #biznes #security

Przejdź do wpisu

Dodany: 2019-05-29 09:14:12 | Ostatnio wołany: 2019-05-29 09:15:15


Co to jest błąd typu 0 day oraz 1 day? #od0dopentestera
Kim jest black hat oraz white hat?
Jaka jest różnica pomiędzy responsible a full disclosure.
A także na czym polega polityka 90 dni?

Nowoczesne aplikacje wykorzystują sporo kodu stworzonego przez inne osoby.
Kierujemy się tutaj zasadą: „nie wymyślaj koła na nowo”.
I tak w #javascript mamy NPM a w #python PyPI.
Z jednej strony, dzięki temu programy mogą powstawać szybciej.
Ale co w przypadku gdy w jakiejś bibliotece znajdzie się błąd bezpieczeństwa?
I nie chodzi tutaj o błędy odkryte i wykorzystywane przez przestępców a o te poprawione przez producenta oprogramowania.
Czy pamiętamy o aktualizacji paczek?

Dzisiaj o 9 punkcie z listy OWASP Top 10 czyli o używaniu podatnych komponentów.

Subskrybuj kanał na YouTube
Masz pytanie na temat bezpieczeństwa? Zadaj je na grupie od 0 do pentestera na Facebooku.
Jeżeli chcesz być wołany dodaj się do Mirkolisty.

#bezpieczenstwo #programowanie #informatyka #it #nauka #technologia #ciekawostki #swiat #gruparatowaniapoziomu

Przejdź do wpisu

Dodany: 2019-04-29 09:36:37 | Ostatnio wołany: 2019-04-29 09:39:27



Czy kliknięcie w odnośnik może być niebezpieczne? #od0dopentestera
Parę tygodniu temu opisywałem podstawy ataku XSS.
Dzisiaj nadarzyła się okazja aby opisać tą podatność w oparciu o prawdziwy błąd w oprogramowaniu QNAP NAS.
Podatny kod mieści się w jednej linijce:
location.href = decodeURIComponent(location.href.replace(/(.*?\?r=)/,''));
W teorii miał przekierowywać użytkownika pod nowy adres znajdujący się w parametrze ?r=.
Czyli wchodząc na podatną stronę skrypt.html?r=http://google.pl zostajemy automatycznie przeniesieni do wyszukiwarki.
Jest to wiec typowy przykład Open Redirection.
Tutaj, można go jednak wykorzystać do wykonania kodu #javascript.
Jak to możliwe?
W pasku adresu w przeglądarce oprócz domeny można również podać ciąg zaczynający się od słowa javascript a następnie kod #js.
Wystarczy więc przekonać użytkownika do wklejenia dziwnego tekstu do okna przeglądarki.
W praktyce bardzo ciężko jest przeprowadzić taki atak.
Dużo prościej jest, gdy użytkownik musi jedynie kliknąć w link albo odwiedzić złośliwą podstronę.
http://NAS:8080/nc/oauth/redirect.html?r=javascript:e val("nasz_złosliwy_kod")
W tym przypadku po kliknięciu w odnośnik, location.href przeniesie nas pod nowy adres zaczynający się od słowa javascript a to oznacza wykonanie danego kawałka kodu.
Podsumowując: jeżeli zalogowany administrator kliknie w link znajdujący się na złośliwej stronie, automatycznie zostanie utworzone nowe konto administratora w oprogramowaniu QNAP.
A to sprawia, że ktoś uzyskuje pełen dostęp do naszych danych znajdujących się na urządzeniu.
Ten błąd ma numer CVE-2019-7179 i jeżeli posiadasz któreś z urządzeń QNAP warto zaktualizować oprogramowanie do wersji QTS 4.4.0.0883.

Subskrybuj kanał na YouTube
Masz pytanie na temat bezpieczeństwa? Zadaj je na grupie od 0 do pentestera na Facebooku.
Jeżeli chcesz być wołany dodaj się do Mirkolisty.

#bezpieczenstwo #programowanie #informatyka #it #nauka #technologia #ciekawostki #swiat #gruparatowaniapoziomu #biznes

Przejdź do wpisu

Dodany: 2019-04-22 10:35:22 | Ostatnio wołany: 2019-04-22 10:37:06


Poranek z #od0dopentestera
Wykorzystanie newslettera do przenoszenia złośliwego oprogramowania.
CSS jako metoda infiltracji tajnych danych na stronach internetowych - wyjaśnienie zasady działania Sequential Import Chaining.
Co to jest plik apple-app-site-association i jakie dane można w nim znaleźć.
Nowa sztuczka wykorzystywana przez malware Emotet.
Jak stracić milion dolarów? Historia miłosnego zauroczenia.
A także wyjaśnienie pojęcia Sextortion.

Subskrybuj kanał na YouTube
Masz pytanie na temat bezpieczeństwa? Zadaj je na grupie od 0 do pentestera na Facebooku.
Dostępne również na Google i Apple Podcasts oraz Spotify i Anchor.
Podcast możesz również przeczytać w formie artykułu
Jeżeli chcesz być wołany dodaj się do Mirkolisty.

#bezpieczenstwo #programowanie #informatyka #it #nauka #technologia #ciekawostki #podcast #swiat #gruparatowaniapoziomu #biznes

Przejdź do wpisu

Dodany: 2019-04-16 04:54:39 | Ostatnio wołany: 2019-04-16 04:55:39


Jak zmiana daty urodzenia na Twitterze, może sprawić nie lada kłopoty.
Co to jest credential stuffing i jak się przed nim obronić.
Dlaczego nie warto używać wyrażeń regularnych do sprawdzania poprawności domeny.
Shodan monitor - czyli ostatni bastion bezpieczeństwa naszych serwerów.
Dystrybucja Windowsa dla pentesterów? Parę słów na temat commando VM.
Jak testować bezpieczeństwo sklepów internetowych.

Subskrybuj kanał na YouTube
Masz pytanie na temat bezpieczeństwa? Zadaj je na grupie od 0 do pentestera na Facebooku.
Dostępne również na Google i Apple Podcasts oraz Spotify i Anchor.
Podcast możesz również przeczytać w formie artykułu
Jeżeli chcesz być wołany dodaj się do Mirkolisty.

#od0dopentestera #bezpieczenstwo #programowanie #informatyka #it #nauka #technologia #ciekawostki #podcast #swiat #gruparatowaniapoziomu #biznes

Przejdź do wpisu

Dodany: 2019-04-09 04:58:18 | Ostatnio wołany: 2019-04-09 04:59:04


Co to jest atak BadUSB? Czyli jak podpinając #raspberrypi do routera można monitorować ruch w danej sieci.
Co oznacza termin trust on first use - jak sprawdzać, kto czai się po drugiej stronie komunikatora.
Dlaczego samo zakrywanie danych w dokumentach nie zawsze wystarczy.
Na czym polegał błąd SQL Injection w oprogramowaniu sklepu internetowego Magento?
Kopiowanie plików z kontenera Kubernetes powodem wykonania kodu na komputerze administratora - o symlinkach w plikach tar.

Subskrybuj kanał na YouTube
Masz pytanie na temat bezpieczeństwa? Zadaj je na grupie od 0 do pentestera na Facebooku.
Dostępne również na Google i Apple Podcasts oraz Spotify i Anchor.
Podcast możesz również przeczytać w formie artykułu
Jeżeli chcesz być wołany dodaj się do Mirkolisty.

#od0dopentestera #bezpieczenstwo #programowanie #informatyka #it #nauka #technologia #ciekawostki #podcast #swiat #gruparatowaniapoziomu #biznes

Przejdź do wpisu

Dodany: 2019-04-05 05:05:29 | Ostatnio wołany: 2019-04-05 05:09:17


Jak dobrze znasz #php ?
W dzisiejszym odcinku #od0dopentestera zapraszam do małego quizu.
Wykorzystałem tutaj kawałki kodu, na które natrafiłem podczas RADARCTF oraz VolgaCTF.
Ile z nich jesteś w stanie rozwiązać - czyli wyświetlić tekst OK?
Podziel się spostrzeżeniami w komentarzu.
Wyjaśnienia wszystkich zagadek znajdziesz w filmie.

1. Kolizja MD5 - wartość $salt nie jest znana

if($a !== $a){
if(hash('md5', $salt . $a) == hash('md5', $salt . $b)){
echo "OK";
}
}

2. Trzycyfrowa liczba, która jest większa od 10000

if (strlen($number) < 4) {
if (is_numeric($number)) {
if ($number > 10000) {
echo "OK";
}
}
}

3. Hash MD5 równy wartości liczby zmiennoprzecinkowej

if (strlen($d) == 3 and !is_numeric($d)) {
if (floatval($d) == md5($d)) {
echo 'OK';
}
}

4. Wyświetlenie konkretnego pliku bez znajomości jego nazwy

if (substr(strtolower($e), 0, 4) != "http") {
if (file_get_contents($e) === "0") {
echo "OK";
}
}

5. Deserializacja tajnego obiektu – wartość $r->flag nie jest znana

class Secrets {
var $temp;
var $flag;
}

$r = unserialize($f);
$r->flag = "SEKRET";

if ($r->flag === $r->temp) {
echo 'OK';
}

Subskrybuj kanał na YouTube
Masz pytanie na temat bezpieczeństwa? Zadaj je na grupie od 0 do pentestera na Facebooku.
Jeżeli chcesz być wołany dodaj się do Mirkolisty.

#programowanie #security #informatyka #it #nauka #technologia #ciekawostki #gruparatowaniapoziomu #bezpieczenstwo #webdev #programista15k

Przejdź do wpisu
Założona przez:

KacperSzurek

Osób na liście: 133
Wołań: 64
Lista tagu "od 0 do pentestera" gdzie publikuje informacje na temat szeroko pojętego bezpieczeństwa komputerowego.

Kategoria: Nauka i newsy

Ostatnie wydarzenia (zobacz wszystkie)


2019-09-17 08:02:44
@KacperSzurek zawołał do wpisu


2019-09-14 08:57:59
@500ml dołączył do listy


2019-09-11 22:50:45
@Qrzysio dołączył do listy


2019-09-11 22:21:36
@sapieha dołączył do listy


2019-09-11 21:36:46
@te1000 dołączył do listy


2019-09-11 21:20:48
@lisek91 dołączył do listy


2019-09-11 11:12:10
@devopsiarz dołączył do listy


2019-09-11 07:35:57
@KacperSzurek zawołał do wpisu


2019-09-04 04:50:05
@KacperSzurek zawołał do wpisu


2019-09-02 10:30:05
@centaurusX dołączył do listy