Sada je: 18 stu 2019, 18:12.
Linux, poslužitelj, mreže i sigurnost

Moderator/ica: Moderatori/ce

Evo jedne teme za opću raspravu o računalnoj sigurnosti, pitanja, savjete i vijesti. Svi se prije ili kasnije susretnu s nečime iz polja sigurnosti, bilo da se radi o konfiguraciji gufw-a ili ekstrakciji payloada iz confickera :)

Ne znam koliko tko prati teme o sigurnosti, ali evo jedne zgodne vijesti
http://news.softpedia.com/news/Black-Ha ... 3636.shtml

Naime, još dvije teme su skinute s hodograma BH konferencije. Jedna od njih je tema o Snake rootkitu, oko kojeg je bilo nagađanja da bi mogao dobiti i linux verziju. Evo link na detaljan opis rootkita za Windows platformu - samo za najhrabrije
Zadnja izmjena: dinosb; 06 kol 2014, 11:16; ukupno mijenjano 1 put/a.
Emotion 98.3 je napisao/la:Some people call the radio station and say "Fernando, are you bilingual?" I said I try anything once.
Avatar
Postovi: 310
Postovi: 310
Pridružen/a: 12 lip 2011, 21:52
Lokacija: Slavonski Brod
Podijelio/la zahvalu: 16 puta
Primio/la zahvalu: 16 puta
Spol: M
OS: Debian Xfce
Re: SecTalk
06 kol 2014, 11:14
Super tema! :thmbs-up Ne znam zašto nismo već prije otvorili nešto slično. pface
Jedino mislim da bi trebalo naslov malo modificirati u nešto, hm, jasnije...da se odmah vidi o čemu se radi u temi. Možeš nakon SecTalk samo dodati neki kratki opis teme, npr.
Avatar
Site Admin
Postovi: 6506
Site Admin
Postovi: 6506
Pridružen/a: 06 lip 2009, 23:16
Lokacija: Online
Podijelio/la zahvalu: 621 puta
Primio/la zahvalu: 628 puta
OS: Mint 17.3 KDE 4.14.13
Re: SecTalk
06 kol 2014, 11:18
Abzeenth je napisao/la:Super tema! :thmbs-up Ne znam zašto nismo već prije otvorili nešto slično. pface
Jedino mislim da bi trebalo naslov malo modificirati u nešto, hm, jasnije...da se odmah vidi o čemu se radi u temi. Možeš nakon SecTalk samo dodati neki kratki opis teme, npr.

Evo ga, šef'ce :-D Jel ok?

Btw, stavio sam naslov SecTalk jer ako tema krene, može se jako brzo prepravit logo ispod :lol:
slika
Emotion 98.3 je napisao/la:Some people call the radio station and say "Fernando, are you bilingual?" I said I try anything once.
Avatar
Postovi: 310
Postovi: 310
Pridružen/a: 12 lip 2011, 21:52
Lokacija: Slavonski Brod
Podijelio/la zahvalu: 16 puta
Primio/la zahvalu: 16 puta
Spol: M
OS: Debian Xfce
Evo i jedan zanimljiv rad o operaciji Windigo, must-read za sve system i webadmine koji passworde i dalje slažu prema dictionary listu pface

http://www.welivesecurity.com/wp-conten ... indigo.pdf
Emotion 98.3 je napisao/la:Some people call the radio station and say "Fernando, are you bilingual?" I said I try anything once.
Avatar
Postovi: 310
Postovi: 310
Pridružen/a: 12 lip 2011, 21:52
Lokacija: Slavonski Brod
Podijelio/la zahvalu: 16 puta
Primio/la zahvalu: 16 puta
Spol: M
OS: Debian Xfce
Re: SecTalk
06 kol 2014, 12:49
dinosb je napisao/la:
Abzeenth je napisao/la:Super tema! :thmbs-up Ne znam zašto nismo već prije otvorili nešto slično. pface
Jedino mislim da bi trebalo naslov malo modificirati u nešto, hm, jasnije...da se odmah vidi o čemu se radi u temi. Možeš nakon SecTalk samo dodati neki kratki opis teme, npr.

Evo ga, šef'ce :-D Jel ok?


Sooper je sada :D hvala ti. ::bravo

Da ne budem offtopic, iskopala sam neke linkove iz svojih bookmarksa koji bi mogli biti zanimljivi, a čine mi se relevantnima za ovu temu. U osnovi, radi se o sajtovima gdje možete pročitati (a možda i naučiti) nešto o računalnoj sigurnosti:

https://www.securityweek.com/
http://www.csoonline.com/
http://www.blackhatlibrary.net/Administration
Avatar
Site Admin
Postovi: 6506
Site Admin
Postovi: 6506
Pridružen/a: 06 lip 2009, 23:16
Lokacija: Online
Podijelio/la zahvalu: 621 puta
Primio/la zahvalu: 628 puta
OS: Mint 17.3 KDE 4.14.13
Sjećam se da smo i tu na forumu imali par dobrih threadova o sigurnosti.
"Hodor bre foobar"
Avatar
Postovi: 1896
Postovi: 1896
Pridružen/a: 16 tra 2011, 08:34
Lokacija: i grupa Film
Podijelio/la zahvalu: 45 puta
Primio/la zahvalu: 338 puta
Spol: M
OS: Mint 10 LXDE itd...
Većina prijetnji za prosječnog desktop korisnika linuxa dolazi iz browsera, odnosno od XSS i CSRF napada (koji su nevezani za platformu OS-a). NoScript je dodatak za koji poništava tu prijetnju na određenoj razini, ali i neke druge, poput clickjackinga, pokušaja krađe sesije itd. Fleksibilan je dovoljno da može raditi filtriranje po top level domenama ili samim objektima na web stranici. Radi na principu blokiranja sadržaja poput Flasha, Javascripta, Java plugina i sličnih skriptica. Naravno, zdrav razum je najveća zaštita prilikom surfanja, a ostalo pokriva noscript. Koristim ga dugo vremena i meni je zakon stvar.

Web stranica projekta
http://noscript.net/

Evo članak dedeimede o NoScriptu.
http://dedoimedo.com/computers/noscript-use.html

Još jedan
https://securityinabox.org/en/firefox_noscript
Emotion 98.3 je napisao/la:Some people call the radio station and say "Fernando, are you bilingual?" I said I try anything once.
Avatar
Postovi: 310
Postovi: 310
Pridružen/a: 12 lip 2011, 21:52
Lokacija: Slavonski Brod
Podijelio/la zahvalu: 16 puta
Primio/la zahvalu: 16 puta
Spol: M
OS: Debian Xfce
XSS i CSRF napadi su opasni i manje-više jedina efektivna zaštita od njih je blokirati ih na razini web stranice. Kao krajnji korisnik, moguće je blokirati izvršavanje skripti u korisnički-generiranim poljima i sličnom, ali, budimo iskreni, koliko će ljudi to ići raditi?

Za ljude koji nisu upućeni u to što su XSS i CSRF napadi, napisat ću ukratko objašnjenje.

XSS (cross-side scripting):
Ako neka forma nije filtrirana dobro i prikazuje svoj unos na ekranu, u tu formu netko može unijeti kod, recimo:
Kod: Označi sve
<b>mojtekst

Ovo bi ispisalo mojtekst, ali bi i boldalo ostatak stranice jer nema zatvarajući </b>. "Pa šta sad, netko može boldati tekst?!" Tu ima par problema koje čine XSS opasnijim od toga.

Problem 1: Stranica pohranjuje unos i ponovno ga prikazuje
Poput foruma, komentara na blogu, društvene mreže, nečega takvoga. To znači da svaki puta kada netko pristupi stranici koja prikazuje taj unos, taj kod kojeg je napadač uneo se ponovno izvršava. "Pa šta sad, netko može boldati stranice?!"

Problem 2: Javascript
HTML i web preglednici općenito imaju implementiran programski jezik Javascript koji omogućava da se HTML stranicom upravlja i izmjenjuje njen sadržaj poslije učitavanja. I svi skoro koriste Javascript. Google koristi JS. Gmail, Duckduckgo, ovaj forum (!), sve je puno Javascripta.

No problem kod XSS-a nastaje kad unos nije filtriran, ponovno se prikazuje i u njemu se nalazi Javascript. Tu napadač može raditi *jako* puno toga - Javascript je pravi programski jezik. *


Tweetdeck, jedan veliki Twitter klijent namijenjen profesionalnim korisnicima i community managerima (kojeg je Twitter svojevremeno kupio) je nedavno imao ovaj problem gdje se dogodio... "self-retweeting tweet" - tweet koji sam sebe retweeta (ili ako ne znate što je Twitter, kao da je to na Facebooku status koji sam sebe podijeli).

Tweetdeck je koristio jQuery pomoću kojega je izrazito lako napraviti takvo što i autoru je stalo to u tih 140 znakova (čak mu je ostalo mjesta pa je stavio <3). Zaobilazi sva upozorenja. Ne znate da se to dogodilo. Samo vam se iz ničeg pojavi obavijest 'XSS in Tweetdeck'.

Ovo je kod tog exploita:
Kod: Označi sve
<script class="xss">$('.xss').parents().eq(1).find('a').eq(1).click();$('[data-action=retweet]').click();alert('XSS in Tweetdeck')</script>♥


WebKit (u mom slučaju Safari) recimo ima donekle (iako lošu) zaštitu od XSS-a pa ako nađe kod kojeg stranica pokušava izvršit, a nalazi se u requestu, on to odbije:
Kod: Označi sve
The XSS Auditor refused to execute a script in 'http://dev.pulsir.eu/iweb/sec/xss.php' because its source code was found within the request. The auditor was enabled as the server sent neither an 'X-XSS-Protection' nor 'Content-Security-Policy' header.
xss.php:21


Napravio sam primjer stranice koja je ranjiva na XSS pa se možete poigrati:
http://dev.pulsir.eu/iweb/sec/xss.php

Najjednostavnije (iako ne baš pretjerano učinkovito) rješenje za filtriranje XSS-a u PHP-u je
Kod: Označi sve
str_replace("<", "&lt;", $nefiltrirana_varijabla);
ali bolje je nego ništa. Ako nekome treba, tu ima malo bolji XSS filter: https://gist.github.com/mbijon/1098477

CSRF (cross-side request forgery):
CSRF je izrazito opasan i izrazito jednostavan napad na stranicu.
Kopirajte neku formu. Bilo koju. Ako stranica nije dobro zaštićena, ta forma će se poslati s druge stranice bez problema. Ovo je izrazito čest problem i opasan.

Takve forme se koriste za promjenu lozinki, brisanje računa, bankovne transakcije na internet bankarstvu. Većina bolje napravljenih stranica jesu zaštićene i imaju form tokene koji to sprječavaju, ali ako neka stranica nije, to je jako loše :D

Problem je što netko može onda poslati formu u vaše ime, bez da znate da je to forma, koja briše vaš račun ili radi nešto opasno, a da su sva polja skrivena i gumb za slanje zamaskiran kao link.

Evo demonstracija: http://dev.pulsir.eu/iweb/sec/csrf.php

Način za zaštitu od ovoga je generacija tokena za specifičnu sesiju nekog usera koji se pohranjuju u bazi i moraju odgovarati onome navedenome u formi kod njene generacije. Ovo je izvrstan izvor o zaštiti od CSRF napada: https://www.owasp.org/index.php/Cross-S ... gery_(CSRF)_Prevention_Cheat_Sheet


Također, jedan veliki problem kod web appova koji koriste bazu je SQL injection.
SQL injection je problem kad netko napiše SQL naredbu u input koji direktno ide u bazu.
Ako taj input nije filtriran, mogu unijeti ovo kao ime i obrisati tablicu users:
Kod: Označi sve
iweb'); DROP TABLE users

(ovo vjerojatno ne bi radilo jer skoro sigurno nije ispravan SQL :D, samo za svrhe demonstracije)

U PHP-u se protiv toga može lako obraniti s
Kod: Označi sve
mysqli_escape_string
(odnosno
Kod: Označi sve
mysql_real_escape_string
ako koristite mysql set funkcija, što ne bi trebali).

slika
izvor: xkcd #327 - Exploits of a mom

U svakom slučaju, sve ove gore navedene napade može spriječiti samo osoba s pristupom sourceu web aplikacije, a najbolje što netko kao krajnji korisnik može učiniti je prestati koristiti tu aplikaciju dok se taj sigurnosni bug ne ispravi. :pogled_dolje
Avatar
Site Admin
Postovi: 4411
Site Admin
Postovi: 4411
Pridružen/a: 07 ožu 2009, 17:00
Podijelio/la zahvalu: 98 puta
Primio/la zahvalu: 179 puta
Spol: M
OS: w10, ubuntu, macos
Super tekst! :thmb-up
Nego, iweb, kažeš, za naslovnicu? :-D
Emotion 98.3 je napisao/la:Some people call the radio station and say "Fernando, are you bilingual?" I said I try anything once.
Avatar
Postovi: 310
Postovi: 310
Pridružen/a: 12 lip 2011, 21:52
Lokacija: Slavonski Brod
Podijelio/la zahvalu: 16 puta
Primio/la zahvalu: 16 puta
Spol: M
OS: Debian Xfce
držanje sesija u sql bazi je katastrofalno loša ideja i ubit će performanse svih netrivijalnih sajtova. jedina baza u kojoj se to drži je memcached.
Es gibt keinen Gott, kein Universum, keine menschliche Rasse, kein irdisches Leben, keinen Himmel, keine Hölle. Es ist alles ein Traum - ein grotesker und dummer Traum. Nichts existiert außer dir. Und du bist nur ein Gedanke - ein vagabundierender Gedanke, ein nutzloser Gedanke, ein heimatloser Gedanke, der verloren in der leeren Ewigkeit wandelt!
Avatar
Moderator
Postovi: 9916
Moderator
Postovi: 9916
Pridružen/a: 07 pro 2007, 18:07
Podijelio/la zahvalu: 158 puta
Primio/la zahvalu: 270 puta
Spol: Y
OS: utuntu 17.04

Na mreži
Trenutno korisnika/ca: / i 1 gost.