Рубрика «IT безопасность»
Saturday, 16 Jun 2012
Народные умельцы поломали вчера официальный сайт питерского отделения поддержки ЕГЭ и сделали ему очень добрый дефейс, с персональным приветом министру образования. Надо отметить, что спустя более суток сайт по прежнему недоступен, выдавая ошибку nginx, хотя через какое то время после дефейса сайт вроде как поднялся. Так что судя по ошибке “502 Bad Gateway” его очень настойчиво досят в плане нагрузки на веб-сервер.
Понятно что уровень защиты и поддержки региональных сайтов в разы ниже чем центральных министерских, но учитывая выделяемые на все эти ЕГЭ бабки могли бы сделать аудит безопасности инфраструктуры, чтобы не позволять такие совсем уж позорные варианты.
VN:F [1.9.21_1169]
Rating: 7.9/10 (7 votes cast)
VN:F [1.9.21_1169]
Rating: +1 (from 3 votes)
Рубрика: IT безопасность | Ваш отзыв »
Thursday, 24 May 2012
У человека, при попытке подключиться к VPN сообществу, через клиента OpenVPN, вылетела ошибка сертификата
error:0906D06C:PEM routines:PEM_read_bio:no start line:
error:140AD009:SSL routines:SSL_CTX_use_certificate_file:PEM lib
Ошибка говорит о том, что с сертификатом какие то траблы, для чего ищем файлик C:\Program Files\OpenVPN\config\Ваше_имя.crt проверяем его размер и если он отличен от нуля, то открываем его в текстовом редакторе и проверяем наличие текста, содержащего мусорный на первый взгляд набор символов, по окончании которого находятся строки:
—–BEGIN CERTIFICATE—–
бла-бла кодированные данные
—–END CERTIFICATE—–
Теоретически если его размер отличен от нуля и данные строки присутствуют, то это проблема с путем до файла сертификата, поэтому проверяем в настройках конфига C:\Program Files\OpenVPN\config\openvpn.ovpn поле
cert Ваше_имя.crt
Если все вроде правильно, а связь тем не менее не устанавливается, то скачиваем сертификаты снова с VPN сервера, ну либо пересоздаем заново. Но как мне кажется все должно ограничиться первыми двумя пунктами.
VN:F [1.9.21_1169]
Rating: 10.0/10 (3 votes cast)
VN:F [1.9.21_1169]
Рубрика: IT безопасность, Дела Одминские | Ваш отзыв »
Thursday, 17 May 2012
Как говорится век живи – век учиcь. Оказалось, что CentOS’вский ssh не в курсе того, что на нормальных операционках ограничение подключений по IP осуществляется путем директивы AllowHosts в конфиге sshd_config. И посему эти ограничения следует прописывать в двух файлах:
/etc/hosts.allow
/etc/hosts.deny
Причем смысл в том, что прописываются в них ограничения для всех пакетов относящихся к INET сервисам. В принципе это конечно довольно удобно, то что не надо лазить по разным конфигам, а настраивается в одном файле, но имхо- все же в конфиге софта было бы понятнее.
(more…)
VN:F [1.9.21_1169]
Rating: 10.0/10 (1 vote cast)
VN:F [1.9.21_1169]
Rating: +3 (from 3 votes)
Рубрика: IT безопасность, Linux | Ваш отзыв »
Wednesday, 16 May 2012
Возникла необходимость высунуть машинку хостящуюся на виртуальной ферме VMware ESXi в дикий интернет, с ограничением доступа к локалке. Точнее возникла необходимость дать к ней доступ левым людям из вне с полными правами на рута. В связи с чем поднялся вопрос о том как пробросить одну из виртуальных машин в DMZ.
Надо отметить, что, порыв сообщества на тему атаки на хост ESXi, я не смог найти достаточно инфы об уязвимостях позволяющих получить доступ к ноде или соседям по ноде, поэтому собственно и решил, что оптимальным решением будет убрать хост в DMZ, предоставив к нему доступ из интернета и закрыв локалку. Другое дело что существуют различные варианты атаки на L2 OSI теоретически позволяющие ломануть DMZ на уровне VLAN’а, но это уже совсем другая история, не имеющая отношения к этой. Тем более что и современные средства организации VLAN’ов предоставляют богатый функционал защиты и минимизируют риски от подобных атак. Если кому то интересно покопать на тему атак на VLAN, то дам несколько ключевых букаф:
CAM flooding;
MAC flooding;
VLAN Cross-talk Attacks;
VLAN Hopping;
ARP spoofing;
Spanning-Tree attacks;
VRRP / HRSP tampering
(more…)
VN:F [1.9.21_1169]
Rating: 7.0/10 (6 votes cast)
VN:F [1.9.21_1169]
Рубрика: IT безопасность, Сети | Ваш отзыв »
Friday, 23 Mar 2012
Коли уж я сел на своего излюбленного конька, то не могу не отписаться про новую дырку в Microsoft RDP, в которую мелкомягких тыкнули носом, так что они на прошлой неделе включили в плановые обновления заплатку к этой уязвимости. Надо отметить, что уязвимости подвержены все системы, начиная с XP и Server 2003 и дальше вверх. Уязвимость позволяет, отсылая специально сконфигурированные пакеты RDP, выполнить на удаленной системе произвольный код с правами System.
Но самое веселое во всем этом, что данная уязвимость была найдена итальянским безопастником Луиджи Ориемма аж в мае 2011 года, и данные о ней были переданы в Microsoft, которые разродились срочным патчем только после того, как данные об этой дырке просочились в инет.
Но еще более забавно, что уже 15 марта на китайских сайтах уже появился эксплоит использующий данную уязвимость и по заголовкам внутри кода, имеется предположение, что ноги данного эксплоита растут из Microsoft MSRC – лаборатории мелкомягких, как раз по отлову подобных дырок.
Так что если у вас таки торчат какие то серваки в инет, то привет от майкрософта- патчите срочняком по данной ссылке с офф.сайта. Хотя конечно памятуя о работе мелкомягких по срочному устранению кртических уязвимостей- как бы эта заплатка не наделала еще больших дырок.
VN:F [1.9.21_1169]
Rating: 6.3/10 (7 votes cast)
VN:F [1.9.21_1169]
Рубрика: IT безопасность, Windows, Сети | Ваш отзыв »
Friday, 03 Feb 2012
Вскрылся интересный момент работы OpenVPN на клиентском компьютере под управлением Windows 7. Подняли VPN сообщество, чтобы люди могли из дома работать в офисной сети, ну и на одном из компьютеров, надо отметить Apple (что дало ложный ход мысли), после установки дров на принтер, компьютер перестал подключаться к VPN. Точнее он подключался вроде бы, но канал не поднимался, так как человек не мог достучаться по RDP и HTTP до внутренних ресурсов сети.
Так что клиентский админ поехал выяснять в чем дело. Опытным путем выяснили что при подъеме канала по каким то причинам не поднимался маршрут, то есть пакеты которые должны были идти через VPN канал в офисную сеть, не инкапсулировались, а вместо этого стучались по дефолтному маршруту. Я с таким пару раз сталкивался на Checkpoint VPN если не правильно задавались параметры сообщества, но тут явно проблема была в системе.
В итоге опытным путем выявили, что проблема в правах на запуск клиента OpenVPN, так как в системе Windows 7 настройки сети устанавливаются с правами администратора, поэтому и клиент должен запускаться с правами администратора, но после установки новых драйверов или устройства принтера эти права почему то съехали на не привилегированного пользователя. Возможно це не багу, це фича Apple’вских систем, но починить удалось именно переназначением прав.
VN:F [1.9.21_1169]
Rating: 4.0/10 (28 votes cast)
VN:F [1.9.21_1169]
Rating: +5 (from 7 votes)
Рубрика: IT безопасность | Ваш отзыв »
Tuesday, 24 Jan 2012
Работая в интернете, постепенно приходишь к тому, что большая часть средств начинает прокачиваться через различные платежные системы и интернет-банкинги, что естественно ведет к одной глобальной проблеме- финансовой безопасности своих средств.
Для того чтобы минимизировать возможные финансовые потери я хотел бы обратить внимание на некоторые аспекты работы, зная о которых можно избежать треволнений и различных потерь. Естественно что эти советы пересекаются с другими темами о компьютерной безопасности, о которых я писал на блоге.
(more…)
VN:F [1.9.21_1169]
Rating: 5.5/10 (4 votes cast)
VN:F [1.9.21_1169]
Рубрика: IT безопасность | Ваш отзыв »