Защищаем веб-сервер: настройка Apache/Nginx

👋 Приветствую в мире цифровой безопасности!

Расскажу, как лучше базово настроить Apache / Nginx.

⏺Ограничьте доступ к важным папкам: Никаких случайных утечек данных нам не нужно. Поэтому используем настройки, чтобы ограничить доступ к важным директориям. Например, в Apache, закройте доступ к конфиденциальным файлам:

<Directory "/var/www/html">
    AllowOverride None
    Require all denied
</Directory>

⏺Включите HTTPS по умолчанию: Чтобы все данные шли по защищенному каналу, настройте сервер на обязательное использование HTTPS. В Nginx это выглядит так:

server {
    listen 443 ssl;
    server_name example.com;
    ssl_certificate /etc/nginx/ssl/example.com.crt;
    ssl_certificate_key /etc/nginx/ssl/example.com.key;
}

⏺Регулярные обновления - база: Новые уязвимости появляются постоянно, поэтому следим за обновлениями:

sudo apt-get update && sudo apt-get upgrade

ZeroDay | #безопасность

Обмен публичными ключами

🎄 Всех с наступающим друзья

Расскажу на гипотетической ситуации, как работает обмен публичными ключами.

⏺Вот есть Фаина и она хочет отправить сообщение Диме, которое сможет прочитать только он. Для этого ей нужен его открытый ключ.

⏺Проще всего попросить Диму передать ключ напрямую. Но как убедиться, что это не фальшивка? Тут решит проблему система доверия, которую мы используем в криптографии, к примеру, в инфраструктуре открытого ключа (PKI).

⏺Эта система доверия работает так: Дима для начала просит несколько своих знакомых подписать его открытый ключ. Это как рекомендация — если люди, которых Фаина знает, подтверждают, что ключ действительно принадлежит Диме, она может ему доверять.

⏺PKI не просто какая-то теория — такие системы реально используются везде: от защиты электронной почты до безопасных онлайн-платежей. Каждый раз, когда вы видите уведомление о безопасности в мессенджере или почте, это именно она спасает вас! 🤝

В следующем посте разберем обмен закрытыми ключами.

ZeroDay | #криптография #обменключами

Как обнаружить хакера на этапе дампа учетных данных в Windows?

Один из самых опасных шагов хакеров — это извлечение учетных данных, которые позволяют им двигаться уже дальше по сети. Эта техника, известная как OS Credential Dumping (T1003), используется в большинстве кибератак.

⏺В этой статье расскажу, как с помощью встроенных инструментов Windows, аудита системы и умных правил мониторинга можно вовремя заметить тревожные признаки и защитить свою сеть. Рассмотрим лучшие методы, которые используют атакующие, и также пройдем конкретные шаги для настройки детектирования угроз.

ZeroDay | #Статья

testssl.sh: защита на уровне шифров

👋 Приветствую в мире цифровой безопасности!

Поговорим о еще одном инструменте безопасности.

⏺Что это: testssl.sh — ваш личный сканер TLS/SSL. Он проверяет, какие шифры и протоколы поддерживает сервер, и сразу укажет на слабые места. Подходит не только для HTTPS, но и для любого порта.

⏺Зачем это нужно: устаревшие шифры, дырявые протоколы, уязвимости типа POODLE или Heartbleed — testssl.sh выявляет всё. Запустили скан, получили отчёт, сделали сервер крепче 💪

ZeroDay | #Инструмент

Как правильно настроить seccomp?

👋 Приветствую в мире цифровой безопасности!

Обсудим инструмент, который помогает ограничить действия процессов.

⏺Что делает Seccomp: Seccomp работает как фильтр между процессом и ядром Linux. Если вызов безопасен — заходим. Если нет — приходит отказ. Это помогает сократить поверхность атаки и защититься от эксплуатации уязвимостей.

⏺Режимы Seccomp

1️⃣Строгий режим — минимум свободы. Процесс может выполнять только базовые вызовы.
2️⃣Фильтрация — задаем правила для конкретных вызовов. Хотите заблокировать что-то специфическое? Легко.

⏺Что на практике: Вот как с помощью профиля можно заблокировать вызов clock_nanosleep:

{  
  "defaultAction": "SCMP_ACT_ALLOW",  
  "syscalls": [  
    {  
      "names": ["clock_nanosleep"],  
      "action": "SCMP_ACT_ERRNO"  
    }  
  ]  
}  

Применение профиля:

sudo seccomp-bpf -t /path/to/seccomp-profile.json /bin/bash  

ZeroDay | #безопасность

Червь Морриса: как это было?

👋 Приветствую в мире цифровой безопасности!

Расскажу о том, как появился и как стал большой проблемой червь Моррис.

⏺Что такое червь Морриса: В 1988 году Роберт Моррис, студент MIT, хотел исследовать уязвимости в интернет-системах. Он создал программу, которая должна была автоматически распространяться через сети Unix. Но вместо того, чтобы помочь, программа затопила сеть и вызвала буквально хаос.

⏺Как это произошло: Червь Морриса был написан с идеей тестирования безопасности, но из-за ошибки в алгоритме его действия стали разрушительными. Червь начал бесконтрольно копировать себя и создавать нагрузку на компьютеры, приводя к их зависанию и сбоям в работе.

⏺Каковы последствия: Через несколько часов червь заразил 10% всех подключенных к интернету машин, включая важнейшие серверы. Это создало невероятную нагрузку, и сеть практически остановилась.

⏺Что нам это дало: Этот инцидент стал первым реальным уроком для всей индустрии: даже малейшая ошибка в коде может вызвать прям глобальные последствия. И кстати, этот случай подтолкнул к развитию систем киберзащиты и создания первых антивирусов.

ZeroDay | #разное

DMZ: буфер против киберугроз

👋 Приветствую в мире цифровой безопасности!

Расскажу о том, что такое MIC и как он работает.

⏺Что такое DMZ: DMZ (Demilitarized Zone) — это буферная зона между внутренней сетью компании и внешним миром. Представьте, что это что-то вроде нейтральной территории: здесь могут находиться публичные ресурсы, типо веб-сайтов и почтовых серверов, но доступ к внутренним данным строго под запретом ⛔️

⏺И зачем она нужна: Чтобы изолировать внутреннюю сеть от угроз, сохраняя при этом доступность внешних сервисов. DMZ усиливает безопасность, добавляя еще один дополнительный барьер между вашей сетью и потенциальными угрозами.

⏺Это и усложняет взлом, и снимает нагрузку с внутренней сети, повышая её производительность. А использование прокси-сервера в DMZ, к тому же, позволяет фильтровать трафик и мониторить активность.

ZeroDay | #DMZ

3 способа обхода DMZ

👋 Приветствую в мире цифровой безопасности!

Обсудим, какие лазейки и возможности обхода DMZ существуют.

1️⃣Эксплойты нулевого дня: Когда хакеры находят уязвимость в программном обеспечении, которую никто ещё не заметил, они могут воспользоваться этим и получить доступ через DMZ.

2️⃣Социальная инженерия: Это когда мошенники обманывают сотрудников, чтобы те по ошибке открыли доступ к внутренним системам или раскрыли важную инфу.

3️⃣Неправильная конфигурация: Если что-то настроено неправильно (например, брандмауэр), злоумышленники могут найти "дыры" и проникнуть в сеть.

ZeroDay | #DMZ

Как легко узнать, где вы были, и почему это опасно?

Легальные инструменты позволяют следить за всеми нами, таргетировать их звонками и даже проникать в частную жизнь. Это все лишь результат покупки данных о посещенных вами сайтах и совершенных звонках, и с этим можно сделать много очень даже проблемных вещей.

⏺В статье автор объясняет, как такие данные используются для целенаправленных атак и что с этим можно сделать. Узнаете, как легко стать жертвой и что предпринять, чтобы защитить свои данные.

ZeroDay | #Статья

BunkerWeb: защита на уровне сервера

👋 Приветствую в мире цифровой безопасности!

Поговорим о еще одном инструменте безопасности.

⏺BunkerWeb — не какой-то обычный веб-сервер, а целый защитный комплекс сети. Встроенный WAF ModeSecurity, автоматическое обновление HTTPS с Let’s Encrypt, блокировка подозрительных IP и ботов, ограничения соединений — всё на месте. А еще удобный Web UI, что тоже приятно!

⏺Зачем это нужно: Если ваш сайт под атакой или вам просто нужен максимальный уровень безопасности — BunkerWeb спасёт. Помимо защищы от странных запросов и ботов, он автоматом банит подозрительные IP.

ZeroDay | #Инструмент

Напоминаем о смене пароля

👋 Приветствую в мире цифровой безопасности!

Расскажу, как автоматизировать напоминания о смене пароля.

⏺Команда chage: быстро задаем срок действия пароля с помощью:

$ chage -M 30 username  

Теперь пароль будет актуален 30 дней. Хотим больше настроек? Просто запустите chage без параметров и задайте всё вручную:

$ chage username  

⏺Настройка через /etc/login.defs: один раз и для всех. Чтобы правила обновления паролей применялись ко всем пользователям, измените параметры в файле /etc/login.defs:

PASS_MAX_DAYS 15  
PASS_MIN_DAYS 1  
PASS_WARN_AGE 5  

Система не забудет и заранее напомнит о необходимости смены пароля.

⏺Сложные пароли с pam_cracklib: Уходим от слабых паролей и подключаем pam_cracklib, плюсом настраиваем требования в /etc/pam.d/system-auth:

password required pam_cracklib.so minlen=14 lcredit=-1 ucredit=-1 dcredit=-2 ocredit=-1  

ZeroDay | #безопасность

Kerberoasting: атака на сервисные учетные записи

👋 Приветствую в мире цифровой безопасности!

Расскажу об атаке kerberoasting.

⏺Как это работает: А начинается все с того, что хакер находит сервис с учётной записью, защищённой системой Kerberos. Аутентификация через Kerberos довольно широко используется для доступа к разным сервисам в корпоративных сетях.

⏺И вот тут появляется первый момент уязвимости: сервисные учётные записи часто имеют прям слабые пароли, а их хэши можно извлечь, если знать, как это сделать.

⏺Теперь по этапам:

1️⃣Ищем слабые учётные записи: хакер ищет сервис с учётной записью, привязанной к SPN (Service Principal Name) — уникальному идентификатору, который помогает системе найти нужный сервис.

2️⃣Запрос билета: Зная SPN, хакер запрашивает билет на доступ к сервису через TGS (Ticket Granting Service). Это как билет на концерт, только в мире сетевой безопасности.

3️⃣Взлом пароля: Теперь начинается самое интересное — злоумышленник использует методы перебора паролей, чтобы расшифровать пароль из билета. Он пробует разные комбинации, пока не попадёт в цель.

4️⃣Получение доступа: После того как пароль расшифрован, хакер получает доступ к сервису, и это открывает двери для дальнейших атак на всю сеть.

ZeroDay | #атака

Защитим сеть с TCP/IP Hardening

👋 Приветствую в мире цифровой безопасности!

Расскажу, как защищать сеть с TCP/IP Hardening.

⏺Включаем защиту от SYN Flood атак (SYN Cookies): Когда на сервер направляется огромное количество ложных подключений, он может перегреться. Чтобы минимизировать риски при таких атаках, включим SYN Cookies

echo "net.ipv4.tcp_syncookies = 1" >> /etc/sysctl.conf

⏺Фильтрация IP-адресов (защита от спуфинга): Что если кто-то попытается маскироваться под доверенный IP-адрес? Для этого у нас есть методы защиты от IP-спуфинга. Включим фильтрацию, чтобы точно понимать, что только нужные нам пакеты могут попасть в сеть

echo "net.ipv4.conf.all.rp_filter = 1" >> /etc/sysctl.conf
echo "net.ipv4.conf.default.rp_filter = 1" >> /etc/sysctl.conf

⏺Ограничиваем количество одновременно открытых соединений: Чтобы избежать перегрузки вашего сервера в случае атак или высоких нагрузок, можно настроить максимальное количество одновременно установленных соединений. Это не только предотвратит "зависания", но и защитит от DoS-атак

echo "net.ipv4.tcp_max_syn_backlog = 2048" >> /etc/sysctl.conf
echo "net.ipv4.tcp_fin_timeout = 15" >> /etc/sysctl.conf

ZeroDay | #безопасность

Очередная китай-камера с бэкдором

Китайская камера для микроскопа оказалась с сюрпризом — всего-то встроенным бэкдором, который дает удалённый доступ хакерам 😁

⏺Автор статьи, давний фанат реверс-инжиниринга, взял и решил разобраться в устройстве: для начала разобрал камеру, изучил прошивку и конечно нашёл уязвимости. Вместо того чтобы просто работать, камера становится инструментом для наблюдения — как за объектами под микроскопом, так и за своими владельцами…

ZeroDay | #Статья

📝 Как работает reverse shell?

1️⃣Сначала злоумышленник настраивает у себя на сервере «прослушиватель», который ждёт входящих подключений.

2️⃣Потом, через фишинг или уязвимость, он заставляет нашу жертву (например, сервер foo.com) выполнить специальную команду.

3️⃣После этого сервер жертвы сам подключается обратно к злоумышленнику, обходя фаерволы и вообще все средства защиты

4️⃣Теперь же наш хакер может отправлять любые команды на взломанный сервер и получать ответы.

ZeroDay | #атака

Maigret: OSINT инструмент для ресерча

👋 Приветствую в мире цифровой безопасности!

Поговорим о еще одном инструменте безопасности.

⏺Maigret — сканер, который проверяет десятки известных сайтов, собирает всю доступную инфу и создает полное досье на человека, просто зная его никнейм. Профили, публикации, комментарии — всё это может быть собрано, буквально, за секунды.

⏺Зачем это нужно: если надо понять, какие цифровые следы оставил человек в сети или вдруг вам нужно проверить свою интернет-репутацию, Maigret поможет быстро собрать всю инфу.

ZeroDay | #Инструмент

Принцип наименьших привилегий (PoLP)

👋 Приветствую в мире цифровой безопасности!

Расскажу о принципе наименьших привилегий: что это и зачем он нужен.

⏺Что такое PoLP: принцип звучит просто — доступ только к тому, что действительно нужно. Представим, что вам дают ключ только от того кабинета, в котором вам нужно работать, и не дают доступа к другим частям здания. Это явно уменьшает риски, если кто-то вдруг попытается воспользоваться вашей позицией в системе.

⏺Зачем нужно: тот же хакер, каким-то образом проникший в систему - без лишних привилегий его возможности окажутся ограничены, как если бы он застрял в одной комнате и не мог пройти дальше. Короче говоря, проблем у вас будет сильно меньше.

⏺Где используем: PoLP используется везде — от офисных пользователей до серверов и облаков. Например, разработчику не нужно видеть финансовую базу данных, а системному администратору — исходный код приложения. Всё делаем строго по ролям.

ZeroDay | #безопасность