LINUX.ORG.RU

101
Всего сообщений: 1456

Книга по безопасности

В связи с www.linux.org.ru/news/security/13934697 и прочими ME, PSP

Хотелось бы книгу по выявлению уязвимостей, экскурс в старые методы взлома техники и прочая.

Посоветуйте?

 , ,

sniper21 ()

Киберпреступность

Вечер в радость господа

Пару дней назад попалась на глаза книга «Киберпреступник» про Росса Ульбрихта, прочитал ее, благо читается легко.

Я за новостями не слежу, да и тором не пользуюсь, поэтому лично для меня было открытием, что оказывается был такой сайт Silk Road.

Так вот на основе полученной из книги информации что хочу сказать, мое субъективное мнение такое: «Ульбрихт человек инфантильный»

нет я серьезно, он походу реально так до конца и не осознавал что делает и чем ему за это грозит, и попался он исключительно за свой болтливый язык. Но я так до конца и не понял как ФБР вышло на Многоликого Джонса, в книге как-то бегло описывается, а было бы интересно об этом почитать побольше.

А так конечно печально все это, эта история очередное подтверждение того что лучше криминалом не заниматься, больше чем уверен, что сейчас Росс Ульбрихт жалеет о содеянном.

 , ,

Naby ()

Работа с файлами полученными из ненадежных источников в openbsd

Добрый день уважаемые участники сообщества.

Сразу хочу обозначить, я являюсь т.н. «ламером» в работе с linux, bsd, моих умений хватает на то, чтобы установить ОС по гайду, работать с пакетами, в т.ч. на VPS, базовыми командами в системе.

По сфере своей деятельности я работаю с большим количеством конфиденциальной информации которая приходит по электронной почте, и были утечки по моей вине из за неправильной настройки окружения и работы с файлами. (Хотя я всегда проверяю ссылки по которым прохожу и у меня есть подозрения что утечки были из за того, что в некоторые документы получаемые мной по электронной почте были встроены эксплойты которые позволили злоумышленнику получить доступ к моему пк). Я собираюсь переводить свой рабочий ноутбук на OpenBSD, (прошу не устраивать холиваров на тему ОС) уже оттестил работу с ней на виртуальной машине, и у меня возник вопрос как наиболее безопасно работать с файлами. Файлы в моем случае это офисные документы, изображения. На текущий момент моих знаний хватает на 3 сценария:

1. Работа с файлами непосредственно в системе. LibreOffice, GIMP, просмотрщик изображений, редактор текстовых документов. На мой взгляд нежелательный сценарий, опасность в том, что файлы имеют непосредственный доступ к ОС.

2. Интеграция почтового сервера в nextcloud, порты открыты только для почтового сервера (для работы с почтой через плагин) и моего VPN (я работаю в сети через VPN). Работа с файлами в офисном окружении nextcloud через плагины nextcloud осуществляется в браузере OpenBSD. Здесь преимущество в том, что файлы не имеют доступа к моей основной ОС, но насколько хватает моей компетентности, взломщик может получить доступ на мою ОС или сервер nextcloud через браузер когда я открою в нем файл.

3. Работа с файлами на VPS Windows (например). Порты открываем только для доступа к серверу nextcloud, почтового сервера и моего VPN. Файлы загружаем из nextcloud и открываем в обычном MS Office. На мой вгляд предпочтительный сценарий, вредоносный код не покидает пределов VPS.

Прошу по возможности с серьезностью отнестись к моему вопросу и благодарю за обратную связь.

 , ,

gaje ()

Можно ли MinGW считать компилятором?

Недавно решил сравить qsort на разных Windows компиляторах. MinGW сделал это быстрее всех. Это показалось странным, учитывая что это-то C шная функция, а MinGW использует для C функций Microsoft библиотеку. Дело в флагах. Какие есть флаги безопасности у MinGW:

Защита стека

-fstack-protector-all --param ssp-buffer-size=4 -fstack-check
Аналог у MSVC(https://msdn.microsoft.com/en-us/en-en/library/8dbf701c.aspx):
/GS

DEP

-Wl,--nxcompat
Аналог у MSVC(https://msdn.microsoft.com/en-us/en-en/library/ms235442.aspx)
/NXCOMPAT

ASLR

-Wl,--dynamicbase
Аналог у MSVC(https://msdn.microsoft.com/en-us/en-en/library/bb384887.aspx)
/DYNAMICBASE

64 bit для ASLR(только для 64 битных программ)

-Wl,--high-entropy-va
Аналог у MSVC(https://msdn.microsoft.com/en-us/en-en/library/jj835761.aspx)
/HIGHENTROPYVA

Но у MSVC есть ещё один флаг для защиты Enable Control Flow Guard(https://msdn.microsoft.com/en-us/en-en/library/dn919635.aspx)

/guard:cf
Этого флага нет у MinGW.

Аналог этого на Linux:

https://pax.grsecurity.net/docs/PaXTeam-H2HC15-RAP-RIP-ROP.pdf

https://wiki.gentoo.org/wiki/Hardened/PaX_Quickstart

Вот ещё нашел статейку про Enable Control Flow https://habrahabr.ru/company/dsec/blog/305960/

Вот сейчас пытаюсь разобраться насколько это увеличивает безопасность, а то может пора выкидывать MinGW и самому компилировать ядро Linux для включения PaX...

Если кто-то уже разбирался с этой темой, то прошу поделиться к каким выводам вы пришли...

 , , ,

fsb4000 ()

lib.ru взломали, или Гугл глючит?

https://transparencyreport.google.com/safe-browsing/search?url=http://lib.ru/...

Искал неважно что (цитату Буджолд), в списке страниц увидел помеченную как опасную страницу в библиотеке Мошкова. Заглянул туда, но ничего не обнаружил.

Кто-нибудь может сказать, Мошкова взломали, или Гугл паникует без повода?

 , ,

question4 ()

Как отследить какие данные собирают об моем компьюхтере разработчики прожек?

Здравствуйте, установил например на свой Убунту например , компилятор С# mono от компании Microsoft. Все мы в курсе, что подобные фирмы своими большими ручищами, загребают максимальную инфу о деятельности пользователя.

Итак, нужно поставить утилитку, которая будет например логировать в файл, все сетевые запросы конкретной прожки. Что посоветуете?

 ,

NetSurf ()

Как шмаксимально надежно прибить коммерческое приложение к серверу клиента?

Здравствуйте, на связи стартапер, друзья подскажите самые тру методы привязки приложения к определенному серверу, чтобы оно не уплыло в руки другим людям(например клиент поделился им со своим собутыльником, а не дал ему афилиат ссылку, по которой можно приобрести подписку на этот чудо веб товар.

Приложка будет делаться на Python(tornado скорее всего) и потом соберется pyinstallerom в один «бинарник». Все файлы сервиса, будут прогнаны через Cython в *.so библиотеки и будет главный файл main.py , в котором будет только вызываться единственная функция main() .

Итак, у меня такие ноу-хау идеи: Сделать что-то наподобие установщика, который сначала соберет необходимые данные с сервера, на котором будет летать данное приложение(на основе этих данных , делать привязку прожки). Далее эти данные отсылаются на базу, то бишь ко мне на сервер. В файлах приложения, делать необходимые проверки, на основе этих данных и если что-то не сходится , то приложка не будет работать(например на любом другом сервере). Далее эти файлы собираются у меня на сервере с помощью Cython и упаковываются pyinstaller'om вместе с tornado. Библитеки приложения , которые будут обновляться положить рядом. Далее это приложение отправляется покупашке на его сервер. Там автоматически поставить Nginx.

Итак, хотел бы почитать ваши чит-воды и советы. Может лучше сразу оседлать Golang, там есть норм компиляция? Какую инфу собирать с сервера, чтобы можно было как следует приколотить приложение ?

 ,

NetSurf ()

обнаружены подозрительная сетевая активность

Недавно написал программу, которая показывает соединения программы и вот что выявлено.

192.168.1.5:56170 88.198.114.198:80 uid: 10042
192.168.1.5:40493 103.235.47.125:80 uid: 10042
192.168.1.5:40495 103.235.47.125:80 uid: 10042
192.168.1.5:48492 93.158.134.207:443 uid: 10042
192.168.1.5:43155 54.71.182.124:80 uid: 10042
192.168.1.5:36215 2.23.152.185:80 uid: 10042
192.168.1.5:33650 212.32.249.98:80 uid: 10042
192.168.1.5:44809 52.45.101.171:80 uid: 10042
192.168.1.5:44657 35.158.151.148:80 uid: 10042
192.168.1.5:44656 35.158.151.148:80 uid: 10042
192.168.1.5:44449 212.224.118.213:80 uid: 10042
192.168.1.5:40496 103.235.47.125:80 uid: 10042
192.168.1.5:47806 52.17.70.104:80 uid: 10042
192.168.1.5:44807 52.45.101.171:80 uid: 10042
192.168.1.5:44658 35.158.151.148:80 uid: 10042
192.168.1.5:56169 88.198.114.198:80 uid: 10042
192.168.1.5:49162 2.23.158.86:80 uid: 10042
192.168.1.5:41094 52.40.87.97:80 uid: 10042
192.168.1.5:40494 103.235.47.125:80 uid: 10042
192.168.1.5:47805 52.17.70.104:80 uid: 10042
192.168.1.5:44808 52.45.101.171:80 uid: 10042
192.168.1.5:54626 35.190.77.108:80 uid: 10042
192.168.1.5:48495 93.158.134.207:443 uid: 10042
com.adups.fota
На сайте xakep.ru

По данным Kryptowire вся вредоносная функциональность сконцентрирована внутри двух системных приложений, отключить или удалить которые пользователь попросту не может: com.adups.fota.sysoper и com.adups.fota.

Вот что еще написано

В FOTA, по сути, встроен бэкдор, который постоянно держит связь с серверами китайской компании.

Вот функционал

  • каждые 72 часа отправлять все SMS-сообщения с устройства на сервер Adups;
  • каждые 72 часа отправлять содержимое журнала звонков на сервер Adups;
  • собирать личные данные, позволяющие установить личность пользователя, и каждые 24 часа отправлять их на сервер Adups;
  • собирать информацию о IMSI и IMEI, геолокационные данные и список установленных приложений;
  • удалять или обновлять приложения;
  • скачивать и устанавливать новые приложения без ведома пользователя;
  • обновлять прошивку устройства;
  • удаленно выполнять произвольные команды и повышать свои привилегии на устройстве.

 ,

u0atgKIRznY5 ()

Субординация в ИТ отделе

Вот есть сисадмин (главный), у него в подчинении другие админы и есть инфобезопасник. Кто кому должен подчиняться и в каком порядке?

Перемещено tailgunner из admin

 

Bobby_ ()

Так много keepass'ов, какой же выбрать?!

Вначале был keepass. Но он давно протух.

Потом был keepassx. Но в прошлом году он тоже протух и больше не разрабатывается.

Потом возник keepassxc - свежак, разрабатывается активно. Но вроде никаких проверок и аудитов еще не проходил. Кто-то пользуется им? Не сливает ли он пароли в сеть?

Так или наче надежнее ли эта прога, чем хранить пассы в текстовом файлике??

https://keepassxc.org/

А еще непонятно что значит приставка «XC» в конце названия.

 , , , ,

bonolar ()

Вопрос тем, кто копался в исходниках zeronet

Захотелось потыкать этот zeronet. Защел с реального IP и создал zeroID. Смысла пользоваться дальше нет? Сеть уже сохранила в логи мой IP, с которого я создал zeroID, и дальше уже ни тор, ни впн не помогут? Надо было изначально работать из под них? Как вообще обстоят дела с логами в зеронет?

 , , , ,

bonolar ()

Нормальный VPN для пентеста? Такой вообще бывает?

Когда смотришь в лицензионные соглашения ВПН'ов, то всегда есть строчка, что нельзя то, нельзя это, эскюэль инъекции, софт типа nmap, сайты атачить нельзя, ниче нельзя короче. Вот есть у меня свой сайт, хочу пропентестить его во все дыры, и как быть? Где найти нормальный ВПН, который мне это позволит? Не с родного же инета это делать.

 , ,

bonolar ()

Трансляция встречи DC7812

Привет котаны,

Сразу не подумал, может кому интересно будет. Инфа о встрече .

https://www.youtube.com/c/SEMrushRUS/live

Сейчас про указатели, потом про взлом роботов.

 , , , ,

jollheef ()

Безопасный почтовый сервер

Доброго всем дня. Ищу аналоги tutanota или PhotonMail итд. Они хороши, но если сервис прикроют - останусь я без почты. В планах привязать свой почтовый домен к сервису.

Ищу именно платные сервисы, что бы настроить свой домен и что бы я платил ДЕНЬГАМИ за сервис а не своей личностью и информацией (как дела обстоят с гуглом, яндексом итд, где все условно бесплатно, но платит каждый своей задницей).

Почему мне не подходит tutanota или PhotonMail? Я в 1 день не смогу забрать свою почту в архив. Я понимаю почему на данных сервисах это не реализовано (безопасность). Но с другими почтовыми клиентами я могу настроить Mozilla Thunderbird итд и вся моя почта останется при мне.

Подскажите, люди милые, где можно купить хороший и надежный почтовый сервис? Речь не о продаже оружия итд. Но и дома держать сервер не хочу, тк ужи были случаи потери почты и почта часто до людей не доходила (попадал в спам фильтры).

 ,

mrWednesday ()

Так все-таки как защитить хост от докера?

Есть разрабы которым нужен докер, и соответственно любой из них может запустить образ пробросить корень и делать все что хочет и системой, что очень неприятно. Раньше я не особо понимал глубину и не придавал этому значение, но сейчас на работе очень сильно бьют за такие дыры в безопасности и оттягивали использование докера на сколько можно.

 , ,

Novell-ch ()

в каких файлах хранится история браузера? ubuntu

 

logonsessons ()

вирусы в ubuntu

имеется найденный зловред, также имеется подозреваемый ПК Как доказать, что ВИРУС был создан или изменен на подозреваемом ПК?

 

logonsessons ()

Просмотр графа загруженных процессами в раму библиотек

Насколько я понимаю, при обновлении работающей системы нередка ситуация, когда свежезапущенные процессы используют обновлённую версию библиотеки, а долгоиграющие продолжают держать в раме старую. В итоге одно из главных преимуществ GNU/Linux — шаринг библиотек между процессами — теряет силу. Да и с точки зрения безопасности это нехорошо. Есть готовые инструменты, которые выводят граф подгруженных процессами библиотек и помогают принять решение, не пора ли бы перезапустить некоторые устаревшие процессы, а то и вовсе перезагрузить систему, если обновилось что-то базовое?

 , , , ,

bodqhrohro_promo ()

В чем профит этого вашего DNSCrypt?

Высунул нос тут из криокамеры и прознал про этот DNSCrypt, но не понял каким образом он является офигенной защитой DNS трафика.

Да от прослушки провайдером он защитит, но от прослушки и подмены DNS на самом сервере с DNSCrypt он ведь никак не защищает? Хорошо еще если на серваке с DNSCrypt поднят рекурсивный резольвер с DNSSEC (тот факт что большая часть серверов так и не умеет в него оставим для другого раза), но даже тут все на честном слове.

Как я вижу этот вопрос — мы не доверяем нашим провайдерам но доверяем непонятному дяде. В общем вопрос о безопасности DNS так и не решен (DNSSEC отсутствует чуть менее чем полностью).

Таки остается только TORDNS как наименьшая из зол?.. Хотя и он от подмены не защищен никак, только от прослушки.

 , , ,

fat_angel ()

Как контролировать трафик с нескольких устройств

Подскажите, пожалуйста, как контролировать трафик в домашней сети. Например, есть пк на windows, бук на linux, смарт на android, и сильно умный телевизор. Как мониторить и контролировать в удобоваримом (графическом) режиме трафик со всех устройств. К примеру, запретить винде ходить на microsoft.com, а смарту на youtube.com, а телевизору запретить все кроме example.com Подключение у девайсов разное, кабель и wi-fi. Например, в винде фаерволл в режиме обучения спрашивает trojan.exe желает в интернет «запретить» / «разрешить», удобно же! Как сделать так же удобно, бесплатно , без смс, а главное в хорошем качестве? Как вы контролируете трафик в своей сети? Прошу перенести, если тема для другого раздела.

Спасибо

 , ,

HS_Altaensis ()