e-mail harvesting with msf
cert_ua
I'll use BackTarck Linux to demostrate (just for fun!) examlpe of e-mail harvesting. This can be done with metasploit tool called search_email_collector.

1. Let's start msf console:
# msfpro

1
i have metasploit pro console that successfully loaded..go on

2. search that console for exploit needed to us by typing:

>search collector

2

we need selected with red color exploit. So let's use it, configure and then execute it

3. Executing:

> use auxiliary/gather/search_email_collector

3

4. We can see various variables for this exploit:

> show options

4
These variables can be set and/or modified as we need. In my example i'll set a DOMAIN variable to custom domain as shown below:

5

6. We can begin e-mail gathering now by just running command exploit:

6

I hope it would be usefull. Enjoy but remember - google can block U if exploitation will become insane 8]

Review of antirookit tool GMER v 2.1.19357
cert_ua
I'll tell You about some free and usable rootkit tools and their abilities. I try to setup them on some Windows XP SP2 PC and check if some malware is present on it.

1. GMER v 2.1.19357

Can be found here.

Note: some malitious soft won't let gmer.exe launch by detecting and blocking GMER's execution! Developers of GMER recommend to download it like a randomly named EXE-file using button near download link.

It scans for:








  • hidden processes

  • hidden threads

  • hidden modules

  • hidden services

  • hidden files

  • hidden disk sectors (MBR)

  • hidden Alternate Data Streams

  • hidden registry keys

  • drivers hooking SSDT

  • drivers hooking IDT

  • drivers hooking IRP calls

  • inline hooks

  • looks like:
33

as we executed GMER - it already does quick scan (it detected 2 malwares in my PC). After some malwares found we can do some operations with it as shown below:

34

Tab Modules shows information about processes list (like ps command in unix systems), threads and libraries used by any process. Also we can kill or restat any/all working prosesses in system:

35
Tabs Modules and Services are similar and shows us information about working programs and libraries used by them:
36

37

Tab Files can give an ability to surf by filesystem with windows-like interface (far and mc are in panic he he):
38

Tab Registry gives interface that similar to just doing regedit command in windows:
39
We can also check autostarting software by using Autostart tab (click on Scan button and this process takes around 15 seconds):
39
Tab cmd gives command line interface which i've found not very usable (it can't do commands inside of interface of commands. for example it was unable to do hostname resolving inside of nslookup command with this functionality):
39

So...what's wrong with my PC?) what about these rootkits? GMER found and tagged as malware next 2 files:
fltmgr.sys and VMkbd.sys
39
digging in problem gave me an answer. I've checked filesize of fltmgr.sys that lies at C:/Windows/System32/drivers/ - 192k.
I think, GMER marked these file as malware beacuse files sizes where differed from desribed in some databases with filesizes for my Wndows version (it must be another size as says one of specialised web sites):
39
Checking that files with virustotal.com also gave me information about false positives of GMER malware detection:
39


GMER is good tool for simple malware search. It has not bad functionalty and fast.

...подумалось...
cert_ua
СМИ пишут о ком-то или о чём-то в хороших тонах - значит им за это заплатили. Обо всё остальном СМИ пишут чтоб заплатил я.
И ещё вот что, Филипп Пилиппович Преображенский сказал что-то типо "не читайте, милостивый государь, газет перед едой"...нету позитива в информации из СМИ.

О регулировании телекоммуникаций
cert_ua
Цель статьи: разобраься с вопросом регулирования связи на Украине и в мире.

Попытаюсь разъяснить основные принципы и цели регулирования качества услуг в современной системе регулирования сектора телекоммуникаций. Кроме того, обговорю вопросы, которые связаны с качеством услуг, которые предоставляются потребителям. Как вывод, попытаюсь в понятном виде обьяснить перспективы и недостатки системы регулирования рынка телекоммуникаций на Украине. Может, кто-то поймёт причины таких явлений у на на Украине, как непрозрачные условия тарифного пакета мобильной связи, неожиданно плохое качество Интернета, отсутствие должного внимания оператора к проблемам клиентов, непрозрачная госполитика по регулированию рынка телекоммуникаций. Взгрустнёт, конечно, но и узнает о том как и что можно сделать лучше по примеру соседей.

1. Качество услуг


По рекомендациям ITU-T E.800 качество услуг - это совокупная оценка параметров предоставления услуг, которая определяет степень удовлетворения этими услугами пользователя. "Относительно недавно" национальный регулятор рынка телекоммуникаций Украины (НКРЗИ)  своим решением от 15.04.2010 ввёл (для операторов и провайдеров услуг связи, предоставляющих свои услуги на территории Украины/являющихся резидентами Украины) почти такое же определение, которое изложил в виде Положения о качестве предоставляемых услуг.

Важно понимать какие проблемы существовали и требовали урегулирования:
- надо было определить качество услуг (и ввести определение "качество услуги" для в этой сфере).
- надо было избежать негативных проявлений отсутствия понятия "качественная услуга";
- надо было определить параметры для услыг разных видов и цели этих услуг;
- надо было нормативно урегулировать деятельность бизнеса и государства в процессе предоставления телеком-услуг;

2. Зачем регулировать?

Любой продавец стремится к получению максимальной выгоды. Чем больше выгода - тем больше шансов остаться в деле. Далеко не всегда торговцы придерживаются правил и "хорошего тона". это же касается и стремительно развивающегося рынка ІТ, особенно, на Украине. Часто встречающаяся картина, когда покупая услугу "широкополосный" доступ в Интернет или "безлимитный" тариф мобильой связи, замечаешь снижение скорости после какого-то времени пользования этой услугой, отключения и/или удорожание сервисов SMS/MMS и тд. Звонок оператору даёт информацию о том, что "это уже давно устаревший тариф/услуга, оборудование безнадёжно устарело, колличество абонентов настолько велико что они (ТЫ, да ТЫ!) "толкаются" и "мешают" друг-другу и т.д.
На самом деле, из всего выше перечисленного чаще всего вывод один - оператор экономит на клиенте, иными словами
"снижение качества услуг - это скрытое повышение цены". Ведь, то что сэкономит на клиенте оператор, он сможет предоставить другим клиентам. Так же часто встречаются случаи, когда оператор не оглашает всех условий услуги (они где-то мееелким шрифтом сзади договора и в нечитаемых нормальным человеком терминах). Это усложняет понимание потенциальным клиентом отрицательных моментов услуги. Так оператор и "пАрит" клиенту не очень хорошие условия под соусом "новинки", "горячего пакета", "новых выгодных условий" и т.д.

Государства вмешиваются (и наше - не исключение) в этот неравный бой между интересами клиента и продавца услуг телекоммуникаций. Важно понимать, что клиент услуги, перепродавая услугу, может одновременно являться оператором (например, так строится иерархия Интернет-провайдеров - они арендуют серверы, номерной ресурс и другие ресурсы). Процесс регулирования включает в себя описание правил для обеих сторон и решение споров (а они возникают).

Таким образом, ответ на вопрос "зачем регулировать?" состоит из следующих тезисов:
1. надо поддерживать компромисс "цена-качество" на достаточно высоком уровне;

Ведь мы все хотим больше за меньшие деньги, онлайн-видео без тормозов и тд...а сисадмин провайдера - достойную зарплату).
Компромисс "цена-качество" действует в конкуретном и монопольном случаях:

  • это лёгкий способ для компании с регулируемыми ценами выйти на целевой рынок путём уменьшения затрат;

  • если качество не регулировать - оно ухудшается (даже если оно по сути не меняется - появятся услуги которые лучше, время - враг постоянства);

  • уменьшение цен - наиболее популярный инструмент конкуренции, т.к. цену можно понижать быстрее/проще, чем улучшить качество. Так что когда смотрите рекламу, где слышны фразы типа "теперь - дешевле!" - знайте, что это значит ;).


2. надо защитить потребителей от монопольной власти оператора (особенно, у нас и особенно, когда не здоровой/никакой конкуренции).

Примеров ситуации много - например, оператор "Воля-кабель" на заре технологии VoIP на Украине или любая домосетка, когда она одна в многоквартирном жилом доме.
Основные тезисы такие:

  • отсутствие стимулов для повышения предложения или удовлетворения желаний пользователя. Зачем продавцу делать что-то лучше, если и так к нему идёт жирная прибыль? А как же клиент? А что клиент..куда он денется с подводной лодки)))

  • тенденция сохранения маржи путём уменьшения качества мелкооптовых услуг (я уже выше говорил об этом);

  • разница между услугами "высшей категории" и "стандартной категорией" стремится к нулю.

но!

  • на начальном этапе конкуренции установление для всех операторов одинаковых целевых показателей и обязательств по обеспечению качества может стать барьером для вступления на этот рынок новых конкурентов. Ведь не у всех одинаковые финансовые возможности и уравниловка может задушить мелкие компании (для этого и надо регулировать рынок государству в лице НКРЗ).


3. помочь пользователям в осуществлении информированного выбора (особенно, когда рынок насыщен и есть жестокая конкуренция);

- пользователей может больше интересовать цена, чем качество, но согласившись на определённую цену, они хотят получить наилучшее качество за эти деньги;
- корпоративных клиентов часто больше интересует качество, чем цена:

  • в Великобритании 59% молодых семейных пар назвали "наилучшее качество и надёжность" более важным фактором выбора оператора, чем "наинизшую возможную цену";

  • 55% клиентов традиционных операторов по жилищному сектору ("домосеточные порвайдеры") ставят качество выше цены;

  • исследование в Колумбии показало, что покрытие - ключевой фактор для 28% абонентов мобильной связи, качество услуг - для 24%, акции - для 21%.

- публикация информации про результаты измерения качества услуг помогает клиентам делать правильный выбор и проверять заявленные операторами услуги;
но!
- установление одинаковых для всех требований к качеству услуг может ограничить выбор качества и цен.

4. помочь операторам обеспечить добросовестную конккуренцию (оптовое измерение).

- для того чтоб мелкая конкуренция была добросовестной, конкурент, покупающий оптово услуги у доминирующего оператора, должен получать такое же качество, как и ммелкооптовое подразделение доминирующего оператора, который покупает эти же услуги (сложно, но надо понять - "не важно в какой одежде к тебе пришёл покупатель и кто его "крыша", он должн получить свою услугу!"). Не думаю, что это работает везде на 100%, но регуляторы всех стран "стремятся"))
- обеспечивается через установление регуляторных обязанностей на оптовом уровне:

  • недискриминация;

  • прозрачность (публикация SLA (соглашений про уровень услуг) и KPI (ключевых показателей эффективности);

  • функциональное отделение мелких и оптовых подразделений;

  • требования к интероперабельности для обеспечения полной связности (эффективного взаимосвязания).



Когда принимались эти основопологанающие для телекоммуникаций Украины вещи, происходило активное обсуждение, в котором брали участие игроки рынка АйТи, граждане, профильные объединения и отдельные специалисты.

3. Как регулировать?

  1. Поощрительный подход - базируется на силе освещения информации об услугах и на здоровой конкуренции (у нас это не работает, в развитых странах - да):


  • От компаний просто требуется регулярное измерение и публикация конкретных параметров их деятельности (наш вариант):

- можно сравнить всех операторов в стране или на  ммеждународном уровне;
- индивидуальные показатели для разных регионов;
- цели или стандарты для достижения основных показателей.

  • Подход, которому отдаётся приоритет в Европейском Союзе (и он поддерживается системой регулирования ЕС).

2. Принудительный подход - предусматривает установление обязательых целевых показателей и применение санкций в случае их недостижения:

  • стандарты могут устанавливаться на индивидуальном уровне и в случае их недостижния может требоваться наложение клиентам компенсации (или альтернативной услуги);

  • целевые показатели могут устанавливаться на агрегированном уровнес использованием общих санкций в случае недостижения;

  • этот подход характерен для Северной Америки;

  • потенциальные проблемы:

- сложно точно отобразить/понять предпочтения пользователей;
- возможны потенциальные искривления, например, сосредоточение на одних конкретных сферах за счёт других (наше НКРЗИ застекленело на мобильной связи и лицензиях операторам/провайдерам и не толкает IT путём вникания в регулирование новых технологий - например таких как контентная реклама, только недавно зарегулировал худо-бедно услугу "сохранения одного номера при смене мобильного оператора" ...всех наверно это касалось у нас уже).

Мы вот сейчас всё чаще говорим на Украине о движении в ЕС, какие же там полномочия национального регулятора?
Ответ - в параграфе 17 Преамбулы к Директиве про универсальные услуги (2002/22/ЕС):

  • качество и цена - ключевые факторы конкурентного рынка. Национальные регуляторы должны иметь возможность осуществлять мониторинг достигнутого качества услуг субъектов хозяйствования, на которые возложены обязанности по предоставлению универсальных услуг. НР должны иметь возможность измерять качество услуг таких субъектов хозяйствования установленным способом и тогда, когда они сочтут это нужным.

  • НР так же должны иметь возможность осуществлять мониторинг достигнутого качества услуг других субъектов хозяйствования, которые предоставляют телефонные сети и/или телефонные услуги общего пользования пользователям в фиксированных пунктах.

Кроме того, полномочия НР в ЕС таковы (параграф 31 там же):

  • страны-члены должны иметь возможности для мониторинга качества услуг, которые предоставляются;

  • НР должны иметь возможности систематического збора информации про качество услуг, которые предоставляются на их территории, на основе критериев, которые позволяют сравнить провайдеров услуг и между странами-членами ЕС.

  • субъекты хозяйствования, предоставляющие услуги связи в конкурентной среде, более охотно публикуют адекватную и актуальную информацию про свои услуги с целью конкурентных преимуществ.

  • но! НР должны иметь возможность требовать публикации такой информации в случае, если она не эффективно доступна для общества.

Провайдеры универсальных услуг в ЕС (параграф 11 Преамбулы к Директиве про универсальные услуги (2002/22/ЕС)):

  • от НР требуется обеспечивать, чтоб все субъекты хозяйствования, предоставляющие универсальные услуги, публиковали адекватную и актуальную информацию про их деятельность по параметрам, определениям и методам измерения качества услуг, приведённым в Приложении 3 (см ниже).1112 Информация, которая публикуется, так же должна подаваться в НР. Так-то вот...у них описано что, как мерять и кому это надо передавать, чтоб клиенту было понятно.

  • НР могут определить дополнительные стандарты качества услуги, если разработанные параметры, для оценки деятельности субъектов хозяйствования по предоставлению универсальных услуг предоставляются конечным пользователям и потребителям с ограниченным способностями. Тоесть, если многим что-то непончятно - это заставят описать подробнее, а если ты инвалид - тебе помогут не чувствовать это!

  • НР должны иметь возможность установить целевые показатели деятельности для субъектов хозяйствования, которые имеют обязанности по предоставлению универсальных услуг. Страны-члены должны обеспечить, чтоб НР могли осуществлять мониторинг следования этим целевым показателям соответствующими субъектами хозяйствования.

Прозрачность деятельности провайдеров (ст 22 Директивы про универсальные услуги (2002/22/ЕС)):

  • НР должен иметь возможность требовать от субьектов хозяйствования, котрые предоставляют сети и/или услуги электронной связи общего пользования, публикации пригодной для сравнения, адекватной и актуальной информации для конечных пользователей про качество их услуг, а так же мероприятия, которые предприняты для обеспечения эквивалентности доступа для конечных пользователей с ограниченными возможностями

  • эта информация так же должна предоставляться НР по их требованию перед публикацией. 

Измерение качества услуг - все провайдеры:

  • НР могут определять параметры качества услуг, которые должны измеряться, а так же содержание, форму и способ публикацииинформации, в том числе возможные механизмы сертификациикачества, для того, чтобы обеспечить конечным пользователям, в том числе с ограниченными возможностями, доступ к исчерпывающей, пригодной для сравнения, надёжной и лёгкой в пользовании информации.

Целевые показатели качества услуг как минимальные требования - для всех провайдеров:

  • для того, чтобы не допустить ухудшения услуг и уменьшения или замедления трафыка в сетях, страны-члены (прим. ред. "мне нравится этот термин!") должны обеспечить, чтобы НР могли установить минимальные требования к качеству услуг для субьектов хозяйствования, которые предоставляют сети связи общего пользования.

4. Измерение качества услуг

Мониторинг качества услуг предусматривает определение величин (или показателей), которые характеризуют качество разных аспектов услуг, а так же методов их измерения.
Описание показателей качества указывает на то, какой аспект качества они отображают:

  • время, необходимое для исполнения определённых действий: например, "время предоставления услуги" обозначает среднее время, которое необходимо для предоставления услуги;

  • частоту своевременного выпонения определённых действий: например, "своевременность устранения неполадок" обозначает частоту случаев, когда неполадки устраняются своевременно;

  • частоту возникновения событий на одного клиента: например, "частота сообщений про неполадки" означает колличество сообщений про неполадки на одного клиента;

  • частоту возникновения событий, которые имеют определённые свойства: например, "частота сброса звонков" означает часть звонков, которые были сброшены.


Целевые показатели качества услуг - это потенциальная величина (или диапазон) определённого параметра, которая может быть достигнута для того, чтобы качество услуги можно было считать удовлетворительным:

  • "среднее время устранения сообщённых неполадок" как один из параметров, которые публикуются - при этом целевым показателем есть 1,5 дня.

  • "процент звонков, котоые были успешно осуществлены после получения сигнала набора" как один из параметров, которые публикуются - при этом целевым показателем есть 97%.

  • "процент 56-байтных пакетов, утраченных при передаче между репрезентативными источниками и получателями" как один из параметров, которые публикуются - при этом целевым показателем есть 1,0%.

Справедливости ради надо отметить, что есть страны, в которых методики мониторина отличаются от выше перечисленных. Например, в Великобритании, Латвии и Индии НР мониторит качество услуг путём "тестирования лету". В Индии и Германии так же применяется опрос пользователей.


Кстати, Роскомнадзор наконец определил, что такое "плохая сотовая связь" (гуглить надо "Концепция по созданию системы контроля качества предоставления услуг связи в Российской Федерации"). Там 25 параметров. Среди них следующее:

  • Если в месяц больше 5% разговров прервано из-за сбоев в сети.

  • Если 5% SMS и MMS не дошли до адрессата.

  • Если 5% бесед было не разобрать (сигнал был, но помех было больше).

  • Если оператор за 8 секунд не соединяет с номером другого абонента (не мобильный) и 2,5 секунды - мобильный-мобильный.


5. Что регулируется

Услуги, которые подлежат регулированию в ЕС:

  • универсальная услуга;

  • фиксированная телефония;

  • мобильная телефония;

  • Интернет-услуги.

По результату анализа некоторых стран приведу табличку по практике регулирования:

1113

6. Определение и методы измерени я качества услуг

ETSI стандартизировала измерения, которые требуются Еврокомиссией (статтьи 11 и 22 Директивы про универсальную услугу), получилось примерно следующее:

1114

7. Практика регулирования других стран

Финляндия

  • FICORA на своём веб-сайте имела свою сертифицированную услугу Nettimitari (что-то типо speedtest.net), но приостановила 23.04.2010 её  предоставление, т.к. технология устарела ибо не позволяла мерять скорость мобильного широкополосного доступа на скоростях > 70 Мбит/с.

  • в положениях и условиях контракта должно быть определено как конечный пользователь и оператор могут проверить скорость.

  • FICORA 58/2012 M - все требования НР.

Жаль что я не понимаю финский))...красота же!

Швеция

  • Бюро защиты прав телеком-услуг, телевидения и Интернета (The Swedish Consumer Bureau for Telecom, TV & Internet) в 2007-2008 году получило много жалоб пользователей на разницу между рекламной и реальной скоростями. Жалоба была передана Национальному совета по рассмотрению жалоб пользователей (ARN), которая приняла решение - разница эта может быть приемлема (6-8 Мбит/с) и неприемлема (10-15Мбит/с до 24 Мбит/с) в других случаях.

  • Провайдеры фиксированного Интернета c 01.08.2008 приняли (добровольно!) Кодекс поведения (при поддержке PTS и Konsumentverket (это видимо что-то типа нашего Бюро защиты прав потребителей). Сейчас все правила ведения бизнеса и отношений в Швеции изложены в нижеследующих документах:

  • глобально - Swedish Code of Statutes (от 05.06.2008);

  • по телекоммуникациям - Act on Electronic Commerce and other Information Society Services (2002:562).

  • в рекламе доступа в Интернет оператор должен обозначать скорость в виде диапазонов, а не в формате "до..." (тоесть от 8-24 Мбит/с). При этом оператор должен гарантировать нижнюю границу скорости диапазона.

  • всем операторы тесно работают с сайтом http://www.bredbandskollen.se/. Функционал зацените сами, нашим регуляторам и не снилось)

  • вот как выглядит интерактивная карта покрытия одного из провайдеров телеком услуг Швеции - фирмы Telia:

1116
это ж бубль гум!!

8. Выводы

  • сильное давление с целью снижения цен или повышения качества услыг может вызывать негативные последствия на качество услуг если не забоититься чтоб этого не случилось (т.е. регулироваь НАДО).

  • измерение качества услуг может быть полезным, особенно если публикуются результаты измерений для всех опраторов, но установление целевых показателей для всех, а не для доминирующих операторов може иметь негативные последствия.

  • обеспечению эффективности мониторинга качества услуг помогает использование умений операторов и замечаний клиентов (консультации, рабочие группы, отрытые встречи и тд..)

  • результаты измерений должны быть важными для клиентов, практическими для операторов и пригодными для сравнения операторов. Измерения надо делать только для нескольких аспектов услуг.



В заключении хотелось бы пожелать нашему регулятору рынка телекоммуникаций не зарегулировать до смерти наших налогоплательщиков и дать им возможность (желание-то у них есть!) дать народу угля Интернетов!!)

Всем удачи.

Разведка сетевой инфраструктуры с помощью DNS
cert_ua
В состав пакета BackTrack Linux 5 входит набор утилит для работы с протоколом DNS. О них и расскажу.

1. dnsenum [имя DNS-сервера] <домен> - даёт информацию о домене. Есть поддержка GOOGLE-scraping, брутфорса по словарю,  проверки сети класса С, проверки обратной зоны (reverse lookup), таймаутов при проверке, вывода результатов в файл.
Боевые комбинации:
dnsenum.pl --dnsserver 193.109.8.115 dsszzi.gov.ua - узнать у конкретного сервера имён, что он знает о домене

dnsenum.pl -p 10 gov.ua - узнать ответственные за домен серверы DNS, версии их ПО, попытаться получить AXFR zone query

Полезности утилиты dirb в BackTrack Linux 5.3
cert_ua
1. Взможности

Мне очень понравился инструментарий:

1 - dirb

2. Пробую:

2.1 Нахождение папок веб-сайта по словарю:

#/pentest/enumeration/web/dirb# ./dirb http://жертва.ua wordlists/common.txt -X .php,.html

Команда перебирает по словарю common.txt , лежащему в подпапке wordlists все файлы с расширениями .php и .html (флаг -Х - это поиск по расширениям). Результат примерно такой:

2 - dirb


Возможен также вариант поиска по SSL для чего надо просто указать https:// вместо http:// перед доменным именем.

Ещё можно искать кукиз, по юзер-агенту, через проксю, с хттп-авторизацией, с отпадом по таймауту, рекурсивно и не очень и тд. Короче, мощная вещь, советую. Тулза поможет найти свет даже в очень афроамерикански чёрных туннелях ;)

Аудит с помощью Lynis для Linux и Unix
cert_ua
Lynis - это простая и наглядная утилита для аудита Linux и Unix-систем. Она осуществляет сканирование безопасности и определяет состояние защищённости (hardening state) машины. Найденные тревожные сигналы и важные параметры безопасности выводятся по блокам. Кроме информации, касающейся вопросов безопасности Lynisтак же поможет получить общесистемную информацию, информацию об установленных пакетах и возможных ошибках конфигурации.

Поскольку дистрибутив Lynisдопускает использование без предварительной инсталляции, его можно запускать в внешнего носителя (например, на устройстве типа USB, примонтированном только для чтения).

Далее - отчёт о том, как я тестировал Lynis .

1. Установка

Я тестировал на свежеустановенной виртуальной машинке с BackTrack Linux:

1

Установка одной командой:

2

Интересно, что Lynis для своей работы требует несколько пакетов (в моём случае они уже установлены, см. 4 строку скрина выше).

2. Подготовка к запуску

Важно понимать, что для работы программы необходимы права администратора системы (root) и права писать лог в /var/log.

Короткий инструктаж перед вылетом - man lynis:

3
4
5

3. Запуск

Запускаю командой lynis с опцией -с:

6

Результат - правильно определяются операционная система, профиль и директория для логов (лог, который будет писать lynis - /var/log/lynis.log - очищается и будет перезаписан). Информация выводится по блокам, что весьма удобно для делания скриншотов и постепенного "знакомства" с "пациентом". На любом этапе аудирования процесс может быть продолжен (жмём для этого Enter) или прекращён (Ctrl+C).

Идём дальше..проверяется версия самой Lynis:

8

Как правильно - начать аудит с себя самой)) мне сказано, что можно обновить версию Lynis для новых фич, тестов и багов.

Далее проверяются системные папки, где хранятся исполняемые файлы и большинство библиотек (я так подразумеваю, что для разных дистрибутивов эти папки могут отличаться). Этап может быть весьма полезен, например, при исследовании "побитой" системы, у которой отсутствуют некоторые важные папки (из-за ошибки администратоа либо потому что хакер вытер, заметая следы):

10

Для себя я тут ничего тревожного (как впрочем и Lynis, который пишет справа статусы FOUND зелёным) не вижу. Иду дальше..определяются загрузчики ОС и запускаемые в rc.d сервисы:

11

У меня найден загрузчик GRUB2 и 10 сервисов с скриптами в /etc/rc.

12

Уровень загрузки = 2, парамтеры загрузки ядра и поддерживаемые им модули (у меня их аж 43). Далее идёт блок с информацией по памяти и процессам:

13

Меня проверили хранимой в /proc/ информации, а так же на наличие зомби-процессов и просто ждущих процессов. Всё ок, идём далее..меня ждёт информация о пользователях, группах и автентификации:

14

Вижу, что у Lynis есть для меня некие предложения (жёлтым)...надо запомнить их потом прочесть в логе. Кстати, интересно глянуть что вкладывается в суть этих проверок..тоже посмотрю потом. Дальше информация по shell:
15

Хм..вот тут явно мало информативности..хоть бы перечислила найденные шелл, пути к ним. Далее идёт блок по файловым системам:

17

Опять мало конкретики - я не вижу точек монтирования в /home и /tmp, по которым у Lynis есть что мне сказать (как, собственно, нен вижу и конкретных мыслей по этим моментам). Зато стики биты и забытые в спешке файлики в /tmp - проверены. База для команды locate найдена, хорошо. А вот для файловой системы root надо будет включить списки контроля доступа (ACL). Теперь информация про работу с моими USB- и Wireless-устройствами:

18

Всё NOT DISABLED, а значит должно работать. Проверялось командой modprobe (всё ещё помню что надо будет проверить как именно это делалось Lynis).

19

Всё верно, NFS у меня не запущен. Информация по софту, касающемуся работы сервиса DNS:

20
Для моей виртуальной машинки этот раздел не интересен, а вот, скажем, на контроллере домена, тут может быть весьма красочно и интересно. Далее идёт раздел портам и пакетам:

21

Вот и мой первый ворнинг) наверно он из-за настроек репозитария пакетов по умолчанию...менеджер пакетов dpkg найден и обезврежен. Кстати, интересно, что запрос к менеджеру пакетов занял некоторое время (строчка - Querying package manager... висела секунд 15).

22

Принтеры не найдены (локального принтера у меня нет, а сетевые Lynis не ищет, по всей видимости...). Блок по работе почты:

23

Чисто как в аптеке (напомню, у меня чистая десктоп-версия BackTrack Linux). Для почтового сервера тут может быть больше информации. Далее блок по фаерволам:

24

Ого, да у меня выключен фаервол!! Допишу сатью и включу...хочется добавить к слогану BackTrack Linux "The quieter you become, the more you can hear" ещё "with disabled firewall"...

25

SSH не включен, всё верно. Кстати, интересно, что аудиторской утилите не важно состояние активных соединений машины (5 секунд паранойи: может моего "пациента" прямо сейчас "лечит" кто-то ещё??! наберу-ка я команды who, whoami, id, netstat -an...). Дальше:

26

SNMP не настроен и это правда. Для сервера логов и\или мониторинга это важный блок отчёта.

28

У меня стоит...и это не спроста! В BackTrack Linux установлена СУБД PostgreSQL для работы metasploit framework. Сюда я допилю скрин с конфигом подключения к этой СУБД после того как закончит работу Lynis. Далее блок по LDAP:

29

LDAP не настроен. Далее идёт раздел по программному обеспечению, в частности - PHP:

30

У меня включена опция expose_php, что есть небезопасно, по мнению Lynis. Далее блок по прокси-серверам в разрезе SQUID:

31

Кальмар не обнаружен, идём далее. Раздел про журналирование и логи поможет понять, где хранится и кем пишется большинство логов в системе.

32

У меня всё простенько и без существенных замечаний. Дальше идёт интересный раздел "небезопасных сервисов". У меня проблем в нём не нашлось, но само название, конечно, весьма обидное для жителей этого раздела. Я бы на месте разработчиков Lynis был более корректен.

33

Раздел баннеров и напоминалок полон каких-то опасений. Природу их мне не очень хочется понимать (но наверно они дефолтные):

34

Планировщик и его задачи у меня настроен по умолчанию, про это следующий блок:

35

Аккаунтинг тоже не настроен:

36

Настройки времени и синхронизации не особо важны для десктопных решений (как в моём случае). Для сервера этот раздел (и приведённый ворнинг) бы бы несомненно важен:

37

Криптография для Lynis заканчивается на SSL. Мой сертификат не истекает, потому ворнинг:

38

Виртуализации не найдено (хм..а ведь я работаю на виртуальной машине). Наверно, идёт речь о платформах виртуализации, запущенных внутри моей системы:

39

Платформы для security hardening не найдены, а жаль. Теперь хоть знаем что гуглить интересующимся такими платформами:

41

Софт, относящийся к проверке целостности файлов данных проверяется в следующем блоке (у меня этого ничего нет):

43

Далее идёт блок по данным антивирусного, антируткитового и прочего антивредоносного ПО:

44

Надо будет поставить себе антивирь...

45

Раздел про системные утилиты непонятен. Будем считать его дополнением к общесистемному софту.

Тут я упустил раздел проверки истории шеллов. Они тоже проверяются (мол, история команд пишется\не пишется).

Раздел с описанием опций ядра ОС радует своей полнотой и краснотой:

47

Скомпиленное кем-то добрым общее ядро конечно может быть лучше. Что означает слово "DIFFERENT" в контексте  Lynis пока не ясно. Идём дальше - раздел "харденинг" содержит 2 пункта - проверка установленного компилятора и сканера малварей. У меня не версия Линукса для разработчика, потому компилятор отсутствует:

48

Далее идёт чудная финтифлюшка, знаменующая окончание блоков отчёта:

49

После финтифлюшки начинается раздел ворнингов и рекомендаций (то, для чего мы ставили у себя Lynis). У меня этот раздел занял 3 скрина экрана, которые я приведу вместе, а опишу потом:

50
51
52
53

Вооот...итого, мой сатус харденинга = 44 из 100. Проведено 143 теста, лог по результатам хранится в /var/log/lynis.log и /var/log/lynis-report.dat.
По каждой угрозе мне даны рекомендации, вроде ничего не забыто. Чтоб понять ЧТО ИМЕННО мне надо делать дальше, возьму любую попавшуюся рекомендацию и попробую выполнить.

4. Анализ отчёта и устранение недостатков

Установлю и настрою SSH и сгенерирую пары ключей (private\public) для ssh\sshd. А потом посмотрю что изменится в отчёте.

Для генерации ключей в консоли под рутом выполню следующее:

#sshd-generate
#ssh-keygen

запущу сервер ssh:

#service ssh start


...проверю, что SSH работает:

56

..законнекчусь..

57
...it works!

А повторный запуск Lynis  в блоке с информацией по крипте покажет следующее:

55

...в конфигурационном файле sshd (/etc/ssh/sshd.conf) сменил PermitRootLogin на значение "no"...

Lynis видит мой новый сервис, нашёл небезопасную опцию PermitRootLogin и, вобщем, адекватно реагирует на происходящие в системе изменения. Кстати, общий балл защищённости после этих действий вырос:

58

Надеюсь, функционал Вам подойдёт. Хорошая утилитка. Удачи всем в аудите!)

Как построить список сайтов
cert_ua
Для решения часто встречаемой мной проблемы на просторах успешного калифорнийского проекта поделюсь-таки некоторыми изысканиями.

ПОСТАНОВКА ЗАДАЧИ:
0. Минимальные временные затраты, легальность и максимальная эффективность в пунктах 1 и 2.
1. Надо найти и составить список сайтов, находяшихся в некотором домене.
2. Надо найти и составить список сайтов, имеющих определённый признак (название, ключевое слово).

Примечание (проблемы):
а). Поисковики будут явно против автоматизации процесса сбора такой информации в промышленных масштабах. Гоша и Яша скажут вводить капчу после n операций повтора запроса. Ручной ввод капчи - не наш метод (т.к. очень критичен по главному парамтеру - затраченному на это времени нашей жизни).
б). Платность утилит-ломалок капч поисковиков, автоматических-собиралок-нужной-нам-информации.
в). Платность необходимой информации достойного качества и невозможность (из-за почти на 100% запрета админами) штатной функции DNS-серверов быть опрошенными про все домены, о которых они знают (если выполнить команду nslookup а потом ls -d , то серверы DNS скажут об ошибке или о запрете выполнения команды ls с такой опцией).

Выглядит это примерно так:


123

РЕШЕНИЕ ЗАДАЧИ

1. Качаем SearchDiggity, ставим под винду.


Что это за утилита и её мощь раскроет Вам Гоша ;)

2. Делаем список прокси и вбиваем их в SearchDiggity.
Для этого делаем в Гошу запрос:
google.com/search?q=+”:3128” +”:8080” +”:80” filetype:txt
Это надо для того, чтоб Гоша и Яша не заблокировали нас за излишнюю активность и не забросали запросами на ввод капчи.

3. Не обязательный пункт: если Вы не согласны вводить Гоше капчу вручную, то можно использовать API Гоши - Custom Search Engine. Это даёт возможность делать не более 100 запросов в день (больше - платная услуга Гоши, например, 1000 - 5$). Этот API настриваем в SearchDiggity.

Инструмент сбора готов.

4. Запускаем инструмент.

хреново, когда твои окна выходят на Майдан и это не окна палатки...
cert_ua
а с чего начинается Родина?

мой тренер жжот напалмом)
cert_ua
555

You are viewing cert_ua