Често Задавани Въпроси

Slowloris атаката, за която съм споменавал, успяваше да спре всички версии на популярният web сървър Apache. Единствената защита беше да използва друг сървър ( напр. nginx ) или да се спретне по-сложна схема с прокси пред сървъра. Е, от известно време има разширение на mod_security, което може да спре Slowloris атака.

По своята същност Slowloris е атака срещу 7-ми слой на мрежовата инфраструктура или по-точно срещу самият web сървър. Тя не запълва канала с трафик, т.е. не е DoS атака, макар, че ефекта е подобен. Проблемът идва в начина по който Apache oбработва заявките и по-точно при отваряне на конекция, дори и да няма изпратен нито един байт, Apache чака да изтече таймаут, преди да затвори конекцията. Също така в зависимост от версията записва информация в лог-файловете. Проблемът идва от това, че опашката на конекциите е ограничен ресурс, който относително лесно може да бъде препълнен. Например ето така изглежда заявка съгласно HTTP RFC:

   1: Request       = Request-Line              ; Section 5.1

   2:                         *(( general-header        ; Section 4.5

   3:                          | request-header         ; Section 5.3

   4:                          | entity-header ) CRLF)  ; Section 7.1

   5:                         CRLF

   6:                         [ message-body ]          ; Section 4.3

Ако атакуващият не изпрати CRLF-а, който отбелязва края на заявката, Apache ще продължи да чака до изтичане на таймаут.

За защита от подобни атаки от версия ModSecurity 2.5.13 вече има включена директива SecReadStateLimit, която ограничава броя на конекциите в състояние SERVER_BUSY_STATE от даден IP адрес. При надхвърляне на този лимит сървъра ще върне грешка 400 Bad Request status code. Също така с цел защита от други разновидности на атаката е добавени директивата RequestReadTimeout.

За всички skiddies – Hail Mary намира препоръчителните експлойти за целите, и после ги филтрира и сортира, за да можете да ги стартирате съвсем лесно, в шарен графичен интерфейс.
Бях споменал вече за Armitage, фронт-енда на Мetasploit.

Приятна игра и помнете – никой не носи отговорност за глупостите, които натворите.

Наскоро WallStreet Journal описаха новата тенденция при технологичните фирми -идентифициране на отделните потребители и изготвяне на техните профили. Една такава фирма, BlueCava Inc., вече е съставила база данни от над 200 милиона устройства ( включително мобилни телефони ), като освен "отпечатък" от устройството се събира и поведенческа информация, на базата на която се съставя “репутация”. Тази репутация класира потребителите по покупателна способност и вероятност за покупки на определени продукти. Анонимизираната информация се продава на рекламни мрежи, които я използват за насочено рекламиране на продукти и услуги, което би трябвало да е многократно по-ефективно като възвращаемост. Технологията на BlueCava не разчита на маркери от рода на кукита, които се съхраняват във браузера, тъй като тази информация е доста ненадеждна – почти всеки по-напреднал потребител може да я премахне или модифицира. Идентификацията се извършва на базата на множество параметри, чиято комбинация е уникална за конкретното устройство – например операционна система, браузър, версия, брой и последователност на изпращаните хедъри, наличието на специфични хедъри в заявката, времевата зона, отклонението на системният часовник и т.н. Както показа един скорошен проект на EFF – Panoptclick информация е достъчна за да се разпознае уникален потребител.

Друг метод, използван при мобилните телефони са приложения, които изпращат информация директно на рекламните мрежи, в повечето случаи без да искат съгласие или да го обявяват изрично. WallStreet Journal е анализирал 101 приложения за iPhone и Android, като от тях 56 са изпращали информация до рекламни мрежи, 47 приложения са  изпращали географската позиция на телефона, 5 са пращали пол, години и друга лична информация, като в най-лошият случай е изпращана информация до 8 рекламни мрежи едновременно. За повече информация за конкретните приложения, посетете сайта на WSJ

Ето и презентация от 27C3 конференцията, в която Dominik Herrmann и Lexi описват методи за разпознаване на потребители, които не се влияят дори и от използването на анонимизатори и/или Tor.

Наблюдаваме поредната практика, съществуваща на границата на етичността. От една страна, подобно профилиране ще доведе до по-ефективно насочени реклами, което от своя страна ще помогне на цели индустрии,  които се издържат с реклама. От друга страна, въпреки че всички фирми в този бранш се кълнат, че не съхраняват лични данни, които могат да доведат до свързване на онлайн профила с конкретна личност, подобни^ твърдения опират основно до тяхната добронамереност и етичност. Никак не е далече мисълта, че в момента в който има интерес, подпрян с достатъчно финансови средства, ще бъде намерен начин или от самата фирма, или от корумпиран неин служител, да "изтече" идентифицираща информация или да се открие слабост в алгоригьма. Оттам нататък разработеният "профил" е мокрият сън на всеки самоуважаващ се диктатор или власт, стремяща се към максимален контрол. Както виждаме в новините напоследък – дори и утвърдени демокрации залитат от време на време към този уклон. А дори и не искам да навлизам във възможностите да се използва профила за изнудване или други зловещи цели.

• @elenko Не си съвсем прав – първо става въпрос само за WiFi, не и за дискове и второ – ако имаш 20 символна парола, си достатъчно защитен in reply to elenko #
• this is hardcore: Linux Radio – broadcasting the Linux kernel! – http://www.linux.fm #
• @peio какво не харесваш на http://www.segabg.com/rss/rss20.xml ? in reply to peio #
• @peio Ето ти от "Горещи новини" – http://feedity.com/rss.aspx/segabg-com/UVRWUVJQ Може и feed43.com, ponyfish.com, page2rss.com in reply to peio #
• Вижте : [video]DDoS – анатомия и защита http://chzv.net/security/ddos-anatomy-and-defense #

Powered by Twitter Tools

Анализ на Joel Langill, инструктор в InfoSec Institute. Анализа е част от курс “SCADA Security” – http://infosecinstitute.com/​courses/​scada_security_training.html

Част 1: Анализ на Stuxnet

Stuxnet worm demonstrated: Introduction, Installation and Injection (Pt. 1) from darren dalasta on Vimeo.

Част 2: защита от Stuxnet

Stuxnet Worm Video Part 2:how to defend against Stuxnet from darren dalasta on Vimeo.

Атака, която по-скоро спада към разузнавателната фаза, използва уязвимост в DD-WRT:
Ако отворите ‘/Info.live.htm’ на рутера имате достъп до следната информация:
* LAN/WAN/WLAN MAC адреси
* вътрешният IP адрес
* IP адресите и хост имената на машините в мрежата на рутера
Това, съчетано с DNS Rebinding атака, позволява тази информация да бъде извлечена отдалечено през интернет. Ето и демонстрация:

Използвани инструменти: Rebind, Google Location Service, която мапва MAC адрес с приблизителните координати. Location Service протокола е на базата на Firefox’s Location-Aware Browsing. и работата на samy kamkar.