-
GAMEPOD.hu
Az összefoglalóban igyekeztünk az alapelveket összeszedni mindkét témakörben.
Új hozzászólás Aktív témák
-
Egon
nagyúr
Kérem új SIM-kártyát a céges mobilomba (a régi le-leszakadozik a hálózatról, és mivel a régi után az új céges mobillal is ezt csinálja, vélhetőleg a kártya a ludas). A Telenornál van a céges flotta. Úgy látszik, ők tanultak a SIM-kártyás csalásokból: jött SMS róla (még a régi SIM-re), hogy rögzítették az új SIM-igényt, és leghamarabb 3 óra múlva fogják aktiválni az új SIM-et.
Ergo ha ez csalás lenne, még lenne 3 órám intézkedni.
A Trékom példát vehetne..."Bonyolult kérdésre egyszerű választ keresni helyénvaló, de ritkán célravezető megoldás" (Wayne Chapman)
-
-
inf3rno
Topikgazda
BHIS-nél most erről van szó: [link] érdekes lehet, ha gyorsan akarunk nem túl sok szövegből információt kinyerni fél-automata módon.
[ Szerkesztve ]
Buliban hasznos! =]
-
-
sztanozs
veterán
Jaja, ezzel én is játszottam. A cégnél van Immersive tréning hozzáférésem és tök jó labjaik vannak (egy csomó lab CREST certified és nyomják a brtit cuccokat, köztük ezt a GCHQ-s tool-t is).
JOGI NYILATKOZAT: A bejegyzéseim és hozzászólásaim a személyes véleményemet tükrözik; ezek nem tekinthetők a munkáltatóm hivatalos állásfoglalásának...
-
inf3rno
Topikgazda
Most órán Caine-t próbálgatjuk. Ez ilyen forensic-es Ubuntu változat. Talán hasznosabb is, mint a Kali, már ha nem penetration test a cél.
[ Szerkesztve ]
Buliban hasznos! =]
-
inf3rno
Topikgazda
A legfontosabb tétel, ami elhangzott, hogy "a bizonyítékot nem módosítjuk", tehát mindig csak read only mode-ban szabad felcsatolni.
Buliban hasznos! =]
-
sztanozs
veterán
Pontosabban célszerű először forensic image-et készíteni olyan eszközzel, ami hardevresen biztosítja, hogy nem írható az eszköz és vizsgálatot a forensic image-en végezzük.
JOGI NYILATKOZAT: A bejegyzéseim és hozzászólásaim a személyes véleményemet tükrözik; ezek nem tekinthetők a munkáltatóm hivatalos állásfoglalásának...
-
-
sztanozs
veterán
Mármint olyan forensic image-re gondoltam, mint az encase disk image, amin tudsz ugyan módosítani, de minden disk módosítás csak a memóriában történik, a fizikai image fájlba nem íródik vissza. Természetesen, ha az image "csak" egy dd image, akkor rögtön kettő is kelleni fog.
[ Szerkesztve ]
JOGI NYILATKOZAT: A bejegyzéseim és hozzászólásaim a személyes véleményemet tükrözik; ezek nem tekinthetők a munkáltatóm hivatalos állásfoglalásának...
-
inf3rno
Topikgazda
Közben hallottam egy olyat, hogy már BMP fájlba is lehet malware-t tenni: [link]
Buliban hasznos! =]
-
sztanozs
veterán
Óóóó, szteganográfia... Fősulin csináltunk anno ilyet (LSB encoding, egy pixelen 3 bit adat)
De a gif fájl jobb, abban egy egész zip-et is "el lehet rejteni", persze csak a vizuális szemlélő elől.
De ez a bmp cucc, amit itt írnak - konkrétan az egész kép egy binárisan kódolt text fájl (vagy zippel hta)?[ Szerkesztve ]
JOGI NYILATKOZAT: A bejegyzéseim és hozzászólásaim a személyes véleményemet tükrözik; ezek nem tekinthetők a munkáltatóm hivatalos állásfoglalásának...
-
sztanozs
veterán
Adattovábbítás (illetve az adat elrejtése a scanning engine-ek elől) - fertőzött rendszer nem kell, mert a rendszer épp akkor fertőződik: a loader fut ilyenkor és a payload van titkosítva vagy obfuszkálva.
A loader legtöbbször valami office dokumentum vagy pdf; esetleg valami böngészős sebezhetőséget kihasználó weboldalról letöltődő kód, ahova a felhasználót elcsalták.
[ Szerkesztve ]
JOGI NYILATKOZAT: A bejegyzéseim és hozzászólásaim a személyes véleményemet tükrözik; ezek nem tekinthetők a munkáltatóm hivatalos állásfoglalásának...
-
-
sztanozs
veterán
Könnyebb mondani, mint csinálni (főleg elvárni). Még security-s kollégát is láttam egyszer-egyszer megbukni phishing-teszteken, nem hogy "hozzá nem értőket"...
JOGI NYILATKOZAT: A bejegyzéseim és hozzászólásaim a személyes véleményemet tükrözik; ezek nem tekinthetők a munkáltatóm hivatalos állásfoglalásának...
-
inf3rno
Topikgazda
válasz sztanozs #167 üzenetére
Jó ez a könnyebb része. Én miután átestem social engineering-el kapcsolatos képzésen, szerintem full esélytelen lenne kivédenem egy jól tervezett támadást, ha nem én lennék a security feje. Mondta, hogy simán feljutottak a cég irodájába, és ott előadták, hogy biztonsági auditot tartanak, betettek eszközöket, elhoztak eszközöket, stb.
Buliban hasznos! =]
-
inf3rno
Topikgazda
No comment. [link]
Buliban hasznos! =]
-
inf3rno
Topikgazda
Keresztkérdés. Használtatok ti már valaha olyan terméket, ahol be lehetett állítani szekvenciára szűrést? Pl egymás után következő bizonyos típusú csomagok szűrése egy IDS-rendszerben, ahol egy csomag önmagában ezek közül nem vált ki reakciót, de ha egymás után jönnek a megfelelő sorrendben, az már igen. Vagy pl SIEM rendszerekben ugyanez eseményekre? Létezik ilyen a gyakorlatban?
Cikkeket találok ilyen csillagrombolókról [link] [link] , ahol teljesen automatizáltan megy a szekvenciális minta bányászat és szabály beállítás, de arról kéne írnom valamit, hogy egy információbiztonsági vezető mindennapjaiban ez hol jöhet elő. Lehet, hogy kénytelen leszek egy félévet ráhúzni, és új szakdolgozatot írni, ha nem találok semmit. :S
[ Szerkesztve ]
Buliban hasznos! =]
-
-
inf3rno
Topikgazda
Köszi! Ránézek zeek user manual-ra.
Hát ugye ez ilyen információbiztonsági vezetői képzés, nem arról szól, hogy álljak neki leprogramozni egy minta bányász meg minta felismerő enginet mondjuk egy IDS-hez, nem mérnöki vagy fejlesztői képzés. Szóval egy IBF ezzel a fogalommal, hogy szekvencia csak akkor találkozik, ha esetleg manuálisan kell megadni valamelyik eszköznél szabályba, hogyha ilyen és ilyen események követik egymást, akkor riasztás van. Valahogy az IBF tevékenységével meg össze kell kötnöm a szakdolgozatom, különben ráhúzzák, hogy bár baromi jó, meg érdekes, csak nem ehhez a témához kapcsolódó szakdolgozat, írj egy másikat.
[ Szerkesztve ]
Buliban hasznos! =]
-
inf3rno
Topikgazda
Megnézem a manualt, úgy tűnik nincs benne. Ritka az olyan, ahol manuálisan be lehet állítani, általában mindig csak egy-egy üzenetet, csomagot, stb. vizsgálnak, amikor szabályt adnak meg, sorozatot nem. Olvastam már cikkeket és volt aki megjegyezte, hogy meglepően kevesen használják ezeket a módszereket. Maximum arra a részre az lesz a konklúzió, hogy megnéztem ezt és ezt és ezt, de nincs olyan eszköz, ahol használnák vagy nagyon ritka, pedig lehetne.
Buliban hasznos! =]
-
Egon
nagyúr
Ennek alapnak kell lennie, különben nem tudnál olyanokra riasztani, hogy mondjuk Gipsz Jakab kimegy a bejáraton (küldi a logot a beléptető rendszer), és rá 5 percre Gipsz Jakab bejelentkezik a belső hálón stb. Qradar, ingyenesek közül a TheHive biztos tud ilyet.
Van olyan is, hogy mondjuk másodpercenként jön több száz riasztás, de azokat összefogja egy ticketbe: ez szerintem már egyedi fejlesztés szokott lenni (de rákérdezek hogy mifelénk ezt hogy oldják meg)."Bonyolult kérdésre egyszerű választ keresni helyénvaló, de ritkán célravezető megoldás" (Wayne Chapman)
-
-
sztanozs
veterán
Korrelációs szabályok 10+ éves eszközökben is vannak. Nekem kb 10 éve kellett NetIQ-t konfigurálnom, abban is volt ilyen x időn belül n darab korrelációnak megfelelő csomag.
JOGI NYILATKOZAT: A bejegyzéseim és hozzászólásaim a személyes véleményemet tükrözik; ezek nem tekinthetők a munkáltatóm hivatalos állásfoglalásának...
-
inf3rno
Topikgazda
Én amit statisztikából ismerek korreláció az olyan, hogy csak a dolgok együtt járását nézi, nem figyeli a sorrendet, és gyanítom, hogy itt is csak kivágnak az időből egy 10 perces részletet, és azt mondják, hogy ami azon belül volt az együtt történt, és így nézi a szabály, hogy mi a helyzet. Tehát ha valaki belépett az ajtón és 10 percen belül a gépéhez ült, akkor oké. De ha valaki a gépéhez ült, és 10 percen belül belépett más valaki a kártyájával az épületbe, azt is elfogadja. Egyedül úgy jöhetne itt szóba a sorrend, ha csak a belépés utáni 10 percet nézné, ami végülis megoldható, de gondolom erősen engine függő. Ami érdekel, hogy ilyet lehet e állítani a korrelációs szabálynál vagy sem, hogy nézze az események sorrendjét. Ha igen, akkor is más a szekvencia, mert ott tudok pl olyan szabályt is beállítani, hogy valaki csak napi 1x mehet el a gépétől ebédre, wc-re, és akkor ki kell jelentkeznie és csak a céges éttermet használhatja, tehát úgy néz ki egy napja, hogy bemegy az épületbe, bejelentkezik, dolgozik, kijelentkezik, ebéd, bejelentkezik, dolgozik, kijelentkezik, kimegy az épületből. Nem hiszem, hogy ezt korrelációval le lehet követni, de nem tudom, hogy pontosan mit takar a korreláció ebben a kontextusban. Azt tudom, hogy szekvenciális szabályokkal pofon egyszerű ezt vizsgálni. Nyilván a legtöbb munkahelynél azért nincs ilyen vas szigor, de el tudok képzelni olyat, ahol van.
Buliban hasznos! =]
-
inf3rno
Topikgazda
válasz sztanozs #176 üzenetére
Korreláció 15 éve van legalább az összes SIEM rendszerben. Nagyon alap feature. Legalábbis valamelyik órán azt mondták. Olyan szempontból érdekel csak, hogy mi az a legegyszerűbb példa esemény soroknál, amit már nem lehet korrelációs szabályokkal lefedni, és szekvenciákat kell használni rá. Megnyitottam jó sok cikket, a nap végére tutira megfejtem, csak sok időt tudnék megspórolni egy válasszal.
[ Szerkesztve ]
Buliban hasznos! =]
-
inf3rno
Topikgazda
No arra jutottam, hogy ez a korreláció egész mást jelent, mint a statisztikai korreláció, és nem is security témakör, hanem gépi tanulásnál hívják így az összefüggések elemzését. Elvileg tudhatja kezelni a sorrendet is valamilyen szinten, de ennél mélyebben nem folytam még bele. Gondolom megvalósítás függő, hogy mit tud. Köszönöm a segítséget!
[ Szerkesztve ]
Buliban hasznos! =]
-
sztanozs
veterán
Én is csinálok most tréningeket - az SQL injection (gyakorlatban) elég durva. Blind injectionnel megszenvedtem rendesen...
JOGI NYILATKOZAT: A bejegyzéseim és hozzászólásaim a személyes véleményemet tükrözik; ezek nem tekinthetők a munkáltatóm hivatalos állásfoglalásának...
-
inf3rno
Topikgazda
válasz sztanozs #180 üzenetére
Szerintem egyetlen injectionnek sem szabadna léteznie, a fakezű programozók miatt mégis a leggyakoribb sebezhetőség csoport. Amúgy nem vágom, hogy az XSS-t miért veszik külön, amikor az is injection, csak a HTTP kliensbe injektálnak JS kódot, nem a szerveren futó alkalmazásba. [link]
Buliban hasznos! =]
-
-
Egon
nagyúr
Salted hash gyakorlati implementációkról tudtok linkelni valami jó írást?
[ Szerkesztve ]
"Bonyolult kérdésre egyszerű választ keresni helyénvaló, de ritkán célravezető megoldás" (Wayne Chapman)
-
inf3rno
Topikgazda
Van konkrét kérdés, vagy csak látni akarod, hogy hogyan van lekódolva? PHP forráskódjában vagy valamelyik moduljában megvalósítja úgy rémlik, esetleg azt érdemes megnézni, ha az utóbbi. Ha igazán jó kódot akarsz látni, akkor viszont mindig valamilyen java megoldást érdemes keresni, azok általában átgondoltak. Később tudok segíteni, most még pár napig szakdolgozat láz van.
A zeek-el kapcsolatban közben kaptam választ, hogy turing teljes a szkriptelése. Ami azt jelenti, hogy bár alapból nincsenek szabályok szekvenciákra, le lehet kódolni hozzájuk egy véges automatát, hogy ellenőrizze őket, illetve gondolom bányászatra is lehet kódot írni. Nem mintha vonzana, hogy a zeek script nyelvén ilyeneket összehozzak, de legalább elvi lehetőség van.
A korrelációs szabályokkal kapcsolatban nem jutottam sokkal előrébb.
[ Szerkesztve ]
Buliban hasznos! =]
-
Egon
nagyúr
Arra vagyok kíváncsi, hogy miképp érdemes megvalósítani a gyakorlatban felhasználónként eltérő sózást (tehát hogy ne ugyanazt a sót használja minden egyes júzernél a program).
1. Hol történik a hashelés: kliens vagy szerver oldalon?
2. Random sót érdemes felhasználóként használni, vagy biztonságosnak tekinthető, ha mondjuk a felhasználónév minden páratlan karakterét (vagy hasonlót) használunk sózásra??
3. Ha random a só, akkor azt gondolom el kell tárolni a szerveren - ez felvet biztonsági aggályoakt akkor is, ha valami védett adatbázisban tárolódik (hiszen a hozzáférés is ott van az adott szerveren valamilyen automatizmus formájában, hogy működhessen az authentikáció)."Bonyolult kérdésre egyszerű választ keresni helyénvaló, de ritkán célravezető megoldás" (Wayne Chapman)
-
inf3rno
Topikgazda
1. Általában szerver oldalon van értelme.
2. Véletlenszerűt szokás, leginkább a hossza miatt.
3. Általában ez nem probléma, sőt bele szokták fűzni az elkészült hash-be, hogy ott legyen mellette. Nagyon extrém esetben esetleg el lehet tenni külön táblába vagy adatbázisba, ha nehezíteni akarod a támadók dolgát.Igazából itt azt kell látni, hogy ez milyen támadásra adott válasz. A szivárványtábláknak nézz utána, akkor elég hamar világossá válik, hogy miért van szükség rá és miért nem annyira szempont, hogy megszerzik e a sót is a hash-el.
Buliban hasznos! =]
-
inf3rno
Topikgazda
No a korrelációval kapcsolatban végre eljutottam odáig, hogy igen, alkalmas szekvenciális szabályszerűségek automatikus felderítésére a rendelkezésre álló adatból, és lehet szekvenciális szabályokat is megadni neki a felismeréshez akár kézzel is. Szóval valóban a korreláció, ami erre való. Nem a legszerencsésebb kifejezés, de végülis érthető, hogy miért ezt választották. Közben találtam jó cikkeket is, bár a hajamat tépem, hogy miért nem két hónapja dobta ki a kereső, mert akkor lenne időm rendesen végigolvasni. Így is nagy segítség egyébként. A lényeg, hogy van egy korrelációs motor az ilyen tanulós eszközökben (tipikusan IDS, de gondolom SIEM-nél is és talán EDR-ben is lehet), ami a logokból is folyamatosan bányássza a támadások mintáit (esetleg a normál viselkedés mintáit is), hogy up to date maradjon a rendszer. Valószínűleg az emberek is értékelik és korrigálják ennek a munkáját. Na ebben az engine-ben lehet egy csomó különböző féle algoritmus, amik között ott vannak a kedvenc sequential pattern mining algoritmusaim is, szóval ezt is használják a machine learning technikák mellett under the hood, csak az egészet ezzel a korrelációs micsodával fedik le, és a szakma nagy részének fogalma sincs, hogy egy ilyen rendszernél milyen algoritmusok működnek a motorháztető alatt. Kérdés már csak annyi lenne, hogy a meglévő termékeknél is használják e, nem csak cikkekben publikálnak róla, de a termékek nagy része zárt forrású és gondolom szigorú titok, hogy mit használnak. Igazából már azzal is jóval előrébb vagyok, hogy meg tudom írni, hogy már régóta támogatott sok termékben a kézi megadása a dolgoknak, tehát egy EIV vagy egy SOC analyst találkozhat vele a mindennapokban, magukat az algoritmusokat pedig inkább olyan szakértők használják közvetlenül, akik kártevők viselkedését elemzik, vagy APT logjait nézegetik utólag forenzikus vizsgálattal, vagy ilyesmik. Van még néhány határterület, pl a log normalizáció, ahol hasznos lehet, illetve ha valami telefossa a logokat figyelem elterelésnek, pl egy DDOS, akkor könnyen kiszűrhetőek belőlük a minket nem érdeklő minták. Azt hiszem ledőlök pár órára, mielőtt folytatom a szakdolgozatot.
Ja izé a lényeg majdnem lemaradt, Elasticban lehet direktbe megadni szekvenciát is, azt mondják tök jó: [link] Vagy akár meg lehet nézni Iván videoját is a témában: [link]
[ Szerkesztve ]
Buliban hasznos! =]
-
Egon
nagyúr
Szivárványtábla ellen a sima sózás is véd (ha mindenkinél ugyanazt a sót használják), ofline törés ellen nem.
Ha jól értem, akkor azért jó a random sózás, még ha megszerezhető is, mert a támadó oldalán ugyan tudod (megszerezheted) hogy melyik hash-hez melyik só tartozik, de azt már nem tudhatod, hogy melyik jelszóhoz tartozik az adott só, ergo ha offline akarod törni, akkor minden jelszót ki kell próbálnod minden (megszerzett) sóval, jól gondolom?
Bár ez még mindig nem tűnik elégségesnek, mert gyenge jelszó ellen nem véd szerintem (ehhez persze az kell, hogy sok hasht szerezzen meg a támadó, a hozzájuk tartozó sókkal egyetemben).[ Szerkesztve ]
"Bonyolult kérdésre egyszerű választ keresni helyénvaló, de ritkán célravezető megoldás" (Wayne Chapman)
-
sztanozs
veterán
A szervernek is tudnia kell melyik userhez melyik só tartozik, tehát, ha az adatbázist megszerzi a támadó, akkor nagy valószínűséggel a hash-só korreláció is megfejthető - még ha nem is egy táblában vannak tárolva. Persze általában egy táblában azonos rekordon vannak, vagy hash mellett, vagy külön mezőben.
JOGI NYILATKOZAT: A bejegyzéseim és hozzászólásaim a személyes véleményemet tükrözik; ezek nem tekinthetők a munkáltatóm hivatalos állásfoglalásának...
-
inf3rno
Topikgazda
Tegyük fel, hogy egy szótárt használnak a törésre mondjuk 30.000 szóval és van 10.000 usered. Ha mindegyikhez ugyanaz a só, akkor elég 30.000-szer lefuttatni az algoritmust, hogy a gyakori jelszavakra legyen hash-ük, ha mindenkinél eltérő a só, akkor 10.000*30.000 = 300.000.000 alkalommal kell lefuttatni, hogy a gyakori jelszavakat minden usernél ellenőrizzék. Ilyen szempontból nem jelent nagy különbséget, hogy melyik adatbázisba vagy melyik táblába teszed a sót, esetleg annyit számít, hogy hátha nem a teljes adatbázist rántják le, csak a user táblát, mert úgy osztod fel a felhasználókat, hogy az egyik csak a user táblához férjen hozzá, de pl a salts táblához nem. És csak az auth nevű adatbázis felhasználó férjen hozzá a sókhoz is. Így talán lehet értelme. Esetleg még lehet kulccsal titkosítani a hasht és a sót is, és a kulcsot konfig fájlban tartani vagy a kódba égetve, nem adatbázisban, hátha nem szerzik meg (bár a kódban lévő kulcs anti pattern, mert akkor az összes fejlesztő tud róla, nem csak aki fellövi az éles szervert). Szóval ilyen téren talán lehet valamelyest nehezíteni a dolgukat, de nem tudom mennyit érsz vele.
[ Szerkesztve ]
Buliban hasznos! =]
-
-
CentOS-en hogyan tudok auditot/logolást beállítani egy specifikus kapcsolatra (az érdekel, milyen userid és process nyitja)? A meglévő eszközöket kell használni, nincs lehetőség telepítésre, fizikailag nem hozzáférhető a szerver.
[ Szerkesztve ]
https://www.coreinfinity.tech
-
sztanozs
veterán
-
-
sztanozs
veterán
szkriptet tudod futtatni háttérben is, nem kell bent lenned, screen csak van telepítve. De sokat nem fog mondani a log, ha valaki root-tal logol be és annak a nevében látod létrejönni a processt.
[ Szerkesztve ]
JOGI NYILATKOZAT: A bejegyzéseim és hozzászólásaim a személyes véleményemet tükrözik; ezek nem tekinthetők a munkáltatóm hivatalos állásfoglalásának...
-
-
inf3rno
Topikgazda
A riasztásoknak és a biztonsági eseményeknek mi a kapcsolata? Minden riasztás eseményt jelent? Nézem a SIEM rendszereket, ott úgy van, hogy bejönnek a központi helyre a logok és az IDS-ből a riasztások, és nem igazán látom át, hogy ezek hogy viszonyulnak egymáshoz. Igazából így 30 óra szakdoga írás után kezdek belassulni...
[ Szerkesztve ]
Buliban hasznos! =]
-
Új hozzászólás Aktív témák
- HTPC (házimozi PC) topik
- Xbox tulajok OFF topicja
- Fotók, videók mobillal
- Körvonalazódik a HMD Pulse Pro is
- Kerékpárosok, bringások ide!
- Aliexpress tapasztalatok
- Hálózati / IP kamera
- Samsung Galaxy Z Fold5 - toldozás-foldozás
- A fociról könnyedén, egy baráti társaságban
- Hivatalosan is bemutatkozott a Kingdom Come Deliverance 2
- További aktív témák...