testssl.sh: защита на уровне шифров

👋 Приветствую в мире цифровой безопасности!

Поговорим о еще одном инструменте безопасности.

⏺Что это: testssl.sh — ваш личный сканер TLS/SSL. Он проверяет, какие шифры и протоколы поддерживает сервер, и сразу укажет на слабые места. Подходит не только для HTTPS, но и для любого порта.

⏺Зачем это нужно: устаревшие шифры, дырявые протоколы, уязвимости типа POODLE или Heartbleed — testssl.sh выявляет всё. Запустили скан, получили отчёт, сделали сервер крепче 💪

ZeroDay | #Инструмент

Как правильно настроить seccomp?

👋 Приветствую в мире цифровой безопасности!

Обсудим инструмент, который помогает ограничить действия процессов.

⏺Что делает Seccomp: Seccomp работает как фильтр между процессом и ядром Linux. Если вызов безопасен — заходим. Если нет — приходит отказ. Это помогает сократить поверхность атаки и защититься от эксплуатации уязвимостей.

⏺Режимы Seccomp

1️⃣Строгий режим — минимум свободы. Процесс может выполнять только базовые вызовы.
2️⃣Фильтрация — задаем правила для конкретных вызовов. Хотите заблокировать что-то специфическое? Легко.

⏺Что на практике: Вот как с помощью профиля можно заблокировать вызов clock_nanosleep:

{  
  "defaultAction": "SCMP_ACT_ALLOW",  
  "syscalls": [  
    {  
      "names": ["clock_nanosleep"],  
      "action": "SCMP_ACT_ERRNO"  
    }  
  ]  
}  

Применение профиля:

sudo seccomp-bpf -t /path/to/seccomp-profile.json /bin/bash  

ZeroDay | #безопасность

Червь Морриса: как это было?

👋 Приветствую в мире цифровой безопасности!

Расскажу о том, как появился и как стал большой проблемой червь Моррис.

⏺Что такое червь Морриса: В 1988 году Роберт Моррис, студент MIT, хотел исследовать уязвимости в интернет-системах. Он создал программу, которая должна была автоматически распространяться через сети Unix. Но вместо того, чтобы помочь, программа затопила сеть и вызвала буквально хаос.

⏺Как это произошло: Червь Морриса был написан с идеей тестирования безопасности, но из-за ошибки в алгоритме его действия стали разрушительными. Червь начал бесконтрольно копировать себя и создавать нагрузку на компьютеры, приводя к их зависанию и сбоям в работе.

⏺Каковы последствия: Через несколько часов червь заразил 10% всех подключенных к интернету машин, включая важнейшие серверы. Это создало невероятную нагрузку, и сеть практически остановилась.

⏺Что нам это дало: Этот инцидент стал первым реальным уроком для всей индустрии: даже малейшая ошибка в коде может вызвать прям глобальные последствия. И кстати, этот случай подтолкнул к развитию систем киберзащиты и создания первых антивирусов.

ZeroDay | #разное

DMZ: буфер против киберугроз

👋 Приветствую в мире цифровой безопасности!

Расскажу о том, что такое MIC и как он работает.

⏺Что такое DMZ: DMZ (Demilitarized Zone) — это буферная зона между внутренней сетью компании и внешним миром. Представьте, что это что-то вроде нейтральной территории: здесь могут находиться публичные ресурсы, типо веб-сайтов и почтовых серверов, но доступ к внутренним данным строго под запретом ⛔️

⏺И зачем она нужна: Чтобы изолировать внутреннюю сеть от угроз, сохраняя при этом доступность внешних сервисов. DMZ усиливает безопасность, добавляя еще один дополнительный барьер между вашей сетью и потенциальными угрозами.

⏺Это и усложняет взлом, и снимает нагрузку с внутренней сети, повышая её производительность. А использование прокси-сервера в DMZ, к тому же, позволяет фильтровать трафик и мониторить активность.

ZeroDay | #DMZ

3 способа обхода DMZ

👋 Приветствую в мире цифровой безопасности!

Обсудим, какие лазейки и возможности обхода DMZ существуют.

1️⃣Эксплойты нулевого дня: Когда хакеры находят уязвимость в программном обеспечении, которую никто ещё не заметил, они могут воспользоваться этим и получить доступ через DMZ.

2️⃣Социальная инженерия: Это когда мошенники обманывают сотрудников, чтобы те по ошибке открыли доступ к внутренним системам или раскрыли важную инфу.

3️⃣Неправильная конфигурация: Если что-то настроено неправильно (например, брандмауэр), злоумышленники могут найти "дыры" и проникнуть в сеть.

ZeroDay | #DMZ

Как легко узнать, где вы были, и почему это опасно?

Легальные инструменты позволяют следить за всеми нами, таргетировать их звонками и даже проникать в частную жизнь. Это все лишь результат покупки данных о посещенных вами сайтах и совершенных звонках, и с этим можно сделать много очень даже проблемных вещей.

⏺В статье автор объясняет, как такие данные используются для целенаправленных атак и что с этим можно сделать. Узнаете, как легко стать жертвой и что предпринять, чтобы защитить свои данные.

ZeroDay | #Статья

BunkerWeb: защита на уровне сервера

👋 Приветствую в мире цифровой безопасности!

Поговорим о еще одном инструменте безопасности.

⏺BunkerWeb — не какой-то обычный веб-сервер, а целый защитный комплекс сети. Встроенный WAF ModeSecurity, автоматическое обновление HTTPS с Let’s Encrypt, блокировка подозрительных IP и ботов, ограничения соединений — всё на месте. А еще удобный Web UI, что тоже приятно!

⏺Зачем это нужно: Если ваш сайт под атакой или вам просто нужен максимальный уровень безопасности — BunkerWeb спасёт. Помимо защищы от странных запросов и ботов, он автоматом банит подозрительные IP.

ZeroDay | #Инструмент

Напоминаем о смене пароля

👋 Приветствую в мире цифровой безопасности!

Расскажу, как автоматизировать напоминания о смене пароля.

⏺Команда chage: быстро задаем срок действия пароля с помощью:

$ chage -M 30 username  

Теперь пароль будет актуален 30 дней. Хотим больше настроек? Просто запустите chage без параметров и задайте всё вручную:

$ chage username  

⏺Настройка через /etc/login.defs: один раз и для всех. Чтобы правила обновления паролей применялись ко всем пользователям, измените параметры в файле /etc/login.defs:

PASS_MAX_DAYS 15  
PASS_MIN_DAYS 1  
PASS_WARN_AGE 5  

Система не забудет и заранее напомнит о необходимости смены пароля.

⏺Сложные пароли с pam_cracklib: Уходим от слабых паролей и подключаем pam_cracklib, плюсом настраиваем требования в /etc/pam.d/system-auth:

password required pam_cracklib.so minlen=14 lcredit=-1 ucredit=-1 dcredit=-2 ocredit=-1  

ZeroDay | #безопасность

Kerberoasting: атака на сервисные учетные записи

👋 Приветствую в мире цифровой безопасности!

Расскажу об атаке kerberoasting.

⏺Как это работает: А начинается все с того, что хакер находит сервис с учётной записью, защищённой системой Kerberos. Аутентификация через Kerberos довольно широко используется для доступа к разным сервисам в корпоративных сетях.

⏺И вот тут появляется первый момент уязвимости: сервисные учётные записи часто имеют прям слабые пароли, а их хэши можно извлечь, если знать, как это сделать.

⏺Теперь по этапам:

1️⃣Ищем слабые учётные записи: хакер ищет сервис с учётной записью, привязанной к SPN (Service Principal Name) — уникальному идентификатору, который помогает системе найти нужный сервис.

2️⃣Запрос билета: Зная SPN, хакер запрашивает билет на доступ к сервису через TGS (Ticket Granting Service). Это как билет на концерт, только в мире сетевой безопасности.

3️⃣Взлом пароля: Теперь начинается самое интересное — злоумышленник использует методы перебора паролей, чтобы расшифровать пароль из билета. Он пробует разные комбинации, пока не попадёт в цель.

4️⃣Получение доступа: После того как пароль расшифрован, хакер получает доступ к сервису, и это открывает двери для дальнейших атак на всю сеть.

ZeroDay | #атака

Защитим сеть с TCP/IP Hardening

👋 Приветствую в мире цифровой безопасности!

Расскажу, как защищать сеть с TCP/IP Hardening.

⏺Включаем защиту от SYN Flood атак (SYN Cookies): Когда на сервер направляется огромное количество ложных подключений, он может перегреться. Чтобы минимизировать риски при таких атаках, включим SYN Cookies

echo "net.ipv4.tcp_syncookies = 1" >> /etc/sysctl.conf

⏺Фильтрация IP-адресов (защита от спуфинга): Что если кто-то попытается маскироваться под доверенный IP-адрес? Для этого у нас есть методы защиты от IP-спуфинга. Включим фильтрацию, чтобы точно понимать, что только нужные нам пакеты могут попасть в сеть

echo "net.ipv4.conf.all.rp_filter = 1" >> /etc/sysctl.conf
echo "net.ipv4.conf.default.rp_filter = 1" >> /etc/sysctl.conf

⏺Ограничиваем количество одновременно открытых соединений: Чтобы избежать перегрузки вашего сервера в случае атак или высоких нагрузок, можно настроить максимальное количество одновременно установленных соединений. Это не только предотвратит "зависания", но и защитит от DoS-атак

echo "net.ipv4.tcp_max_syn_backlog = 2048" >> /etc/sysctl.conf
echo "net.ipv4.tcp_fin_timeout = 15" >> /etc/sysctl.conf

ZeroDay | #безопасность

Очередная китай-камера с бэкдором

Китайская камера для микроскопа оказалась с сюрпризом — всего-то встроенным бэкдором, который дает удалённый доступ хакерам 😁

⏺Автор статьи, давний фанат реверс-инжиниринга, взял и решил разобраться в устройстве: для начала разобрал камеру, изучил прошивку и конечно нашёл уязвимости. Вместо того чтобы просто работать, камера становится инструментом для наблюдения — как за объектами под микроскопом, так и за своими владельцами…

ZeroDay | #Статья

📝 Как работает reverse shell?

1️⃣Сначала злоумышленник настраивает у себя на сервере «прослушиватель», который ждёт входящих подключений.

2️⃣Потом, через фишинг или уязвимость, он заставляет нашу жертву (например, сервер foo.com) выполнить специальную команду.

3️⃣После этого сервер жертвы сам подключается обратно к злоумышленнику, обходя фаерволы и вообще все средства защиты

4️⃣Теперь же наш хакер может отправлять любые команды на взломанный сервер и получать ответы.

ZeroDay | #атака

Maigret: OSINT инструмент для ресерча

👋 Приветствую в мире цифровой безопасности!

Поговорим о еще одном инструменте безопасности.

⏺Maigret — сканер, который проверяет десятки известных сайтов, собирает всю доступную инфу и создает полное досье на человека, просто зная его никнейм. Профили, публикации, комментарии — всё это может быть собрано, буквально, за секунды.

⏺Зачем это нужно: если надо понять, какие цифровые следы оставил человек в сети или вдруг вам нужно проверить свою интернет-репутацию, Maigret поможет быстро собрать всю инфу.

ZeroDay | #Инструмент

Принцип наименьших привилегий (PoLP)

👋 Приветствую в мире цифровой безопасности!

Расскажу о принципе наименьших привилегий: что это и зачем он нужен.

⏺Что такое PoLP: принцип звучит просто — доступ только к тому, что действительно нужно. Представим, что вам дают ключ только от того кабинета, в котором вам нужно работать, и не дают доступа к другим частям здания. Это явно уменьшает риски, если кто-то вдруг попытается воспользоваться вашей позицией в системе.

⏺Зачем нужно: тот же хакер, каким-то образом проникший в систему - без лишних привилегий его возможности окажутся ограничены, как если бы он застрял в одной комнате и не мог пройти дальше. Короче говоря, проблем у вас будет сильно меньше.

⏺Где используем: PoLP используется везде — от офисных пользователей до серверов и облаков. Например, разработчику не нужно видеть финансовую базу данных, а системному администратору — исходный код приложения. Всё делаем строго по ролям.

ZeroDay | #безопасность

Три команды для защиты сети

👋 Приветствую в мире цифровой безопасности!

Поговорим о трех хороших командах для защиты сетей.

⏺auditctl — мониторим на глубоком уровне: если нужно отслеживать критические изменения в системе, auditctl — это буквально то, что нужно. К примеру, если хотите следить за изменениями в важном файле, выполните команду:

auditctl -w /etc/passwd -p wa -k passwd_changes  

Теперь каждая попытка изменить этот файл будет зафиксирована.

⏺bpftool — контроль трафика с eBPF: для анализа трафика на низком уровне используйте bpftool. Мастхэв-инструмент для работы с eBPF-программами. Хотите увидеть, какие фильтры настроены на вашем сервере? Просто вводите:

bpftool prog show  

⏺gpg — безопасно шифруем прямо из терминала: конечно, забываем про шифрование. Если нужно быстро зашифровать файл, используйте команду gpg:

gpg -c secret.txt  

Какая из команд заслуживает отдельного поста?

ZeroDay | #Network #безопасность

TLS: как работает зеленый замок в браузере

👋 Приветствую в мире цифровой безопасности!

Сегодня поговорим о протоколе TLS для защиты данных в сети.

⏺Что такое TLS: Transport Layer Security — это протокол, который гарантирует, что ваша переписка, пароли или банковские операции останутся конфиденциальными. Даже если кто-то перехватит данные, без ключа шифрования он ничего не сможет с ними сделать.

⏺Как это работает: Всё начинается с “рукопожатия”. Клиент (например, ваш браузер) и сервер договариваются, какой алгоритм шифрования использовать. После этого создаётся секретный ключ, который знают только они.

⏺Как настроить TLS: Добавьте в конфигурацию Apache:

<VirtualHost *:443>  
    SSLEngine on  
    SSLCertificateFile /path/to/certificate.crt  
    SSLCertificateKeyFile /path/to/private.key  
</VirtualHost>  

Перезагрузите сервер - и готово 😎

ZeroDay | #безопасность

Где-то тут подвох 🧐

ZeroDay | #мем

Исследуем «вредоносную» флешку RJ45

Когда в сети появилось сообщение о флешке Ethernet-to-USB, начиненной вирусом, который "ускользает" от виртуальных машин и перехватывает клавиатурный ввод, многие мягко говоря, перепугались… Но стоит ли паниковать?

⏺В статье анализируется, насколько реальна угроза, скрытая в этом устройстве. Автор исследует драйвер, странные чипы и описания устройства, чтобы понять, что вообще за ними стоит на самом деле. В итоге выясняется, что не все какие-то странности означают вредонос, но все равно всегда стоит быть настороже.

ZeroDay | #Статья