Клонируйте репозиторий Spectre & Meltdown Checker, чтобы получить ” шелл скрипт для оценки устойчивости вашей системы к нескольким CVE, которые были опубликованы с начала 2018 года, и дать вам рекомендации по их устранению”.

$ git clone https://github.com/speed47/spectre-meltdown-checker.git

Cloning into 'spectre-meltdown-checker'...

remote: Enumerating objects: 1479, done.

remote: Counting objects: 100% (42/42), done.

remote: Compressing objects: 100% (19/19), done.

remote: Total 1479 (delta 24), reused 36 (delta 23), pack-reused 1437

Receiving objects: 100% (1479/1479), 774.42 KiB | 2.44 MiB/s, done.

Resolving deltas: 100% (923/923), done.

Измените рабочий каталог.

$ cd spectre-meltdown-checker

Проверьте параметры скрипта:

$ ./spectre-meltdown-checker.sh --help

Spectre and Meltdown mitigation detection tool v0.44-15-ga485c78



	Usage:

		Live mode (auto):   spectre-meltdown-checker.sh [options]

		Live mode (manual): spectre-meltdown-checker.sh [options] <[--kernel ] [--config ] [--map ]> --live

		Offline mode:       spectre-meltdown-checker.sh [options] <[--kernel ] [--config ] [--map ]>



	Modes:

		Two modes are available.



		First mode is the "live" mode (default), it does its best to find information about the currently running kernel.

		To run under this mode, just start the script without any option (you can also use --live explicitly)



		Second mode is the "offline" mode, where you can inspect a non-running kernel.

		This mode is automatically enabled when you specify the location of the kernel file, config and System.map files:



		--kernel kernel_file	specify a (possibly compressed) Linux or BSD kernel file

		--config kernel_config	specify a kernel config file (Linux only)

		--map kernel_map_file	specify a kernel System.map file (Linux only)



		If you want to use live mode while specifying the location of the kernel, config or map file yourself,

		you can add --live to the above options, to tell the script to run in live mode instead of the offline mode,

		which is enabled by default when at least one file is specified on the command line.



	Options:

		--no-color		don't use color codes

		--verbose, -v		increase verbosity level, possibly several times

		--explain		produce an additional human-readable explanation of actions to take to mitigate a vulnerability

		--paranoid		require IBPB to deem Variant 2 as mitigated

					also require SMT disabled + unconditional L1D flush to deem Foreshadow-NG VMM as mitigated

					also require SMT disabled to deem MDS vulnerabilities mitigated



		--no-sysfs		don't use the /sys interface even if present [Linux]

		--sysfs-only		only use the /sys interface, don't run our own checks [Linux]

		--coreos		special mode for CoreOS (use an ephemeral toolbox to inspect kernel) [Linux]



		--arch-prefix PREFIX	specify a prefix for cross-inspecting a kernel of a different arch, for example "aarch64-linux-gnu-",

					so that invoked tools will be prefixed with this (i.e. aarch64-linux-gnu-objdump)

		--batch text		produce machine readable output, this is the default if --batch is specified alone

		--batch short		produce only one line with the vulnerabilities separated by spaces

		--batch json		produce JSON output formatted for Puppet, Ansible, Chef...

		--batch nrpe		produce machine readable output formatted for NRPE

		--batch prometheus      produce output for consumption by prometheus-node-exporter



		--variant VARIANT	specify which variant you'd like to check, by default all variants are checked

					VARIANT can be one of 1, 2, 3, 3a, 4, l1tf, msbds, mfbds, mlpds, mdsum, taa, mcepsc, srbds

					can be specified multiple times (e.g. --variant 2 --variant 3)

		--cve [cve1,cve2,...]	specify which CVE you'd like to check, by default all supported CVEs are checked

		--hw-only		only check for CPU information, don't check for any variant

		--no-hw			skip CPU information and checks, if you're inspecting a kernel not to be run on this host

		--vmm [auto,yes,no]	override the detection of the presence of a hypervisor, default: auto

		--update-fwdb		update our local copy of the CPU microcodes versions database (using the awesome

					MCExtractor project and the Intel firmwares GitHub repository)

		--update-builtin-fwdb	same as --update-fwdb but update builtin DB inside the script itself

		--dump-mock-data	used to mimick a CPU on an other system, mainly used to help debugging this script



	Return codes:

		0 (not vulnerable), 2 (vulnerable), 3 (unknown), 255 (error)



	IMPORTANT:

	A false sense of security is worse than no security at all.

	Please use the --disclaimer option to understand exactly what this script does.

Просмотрим дисклеймер

$ ./spectre-meltdown-checker.sh --disclaimer

Spectre and Meltdown mitigation detection tool v0.44-15-ga485c78



Disclaimer:



This tool does its best to determine whether your system is immune (or has proper mitigations in place) for the

collectively named "speculative execution" vulnerabilities. It doesn't attempt to run any kind of exploit, and can't guarantee

that your system is secure, but rather helps you verifying whether your system has the known correct mitigations in place.

However, some mitigations could also exist in your kernel that this script doesn't know (yet) how to detect, or it might

falsely detect mitigations that in the end don't work as expected (for example, on backported or modified kernels).



Your system exposure also depends on your CPU. As of now, AMD and ARM processors are marked as immune to some or all of these

vulnerabilities (except some specific ARM models). All Intel processors manufactured since circa 1995 are thought to be vulnerable,

except some specific/old models, such as some early Atoms. Whatever processor one uses, one might seek more information

from the manufacturer of that processor and/or of the device in which it runs.



The nature of the discovered vulnerabilities being quite new, the landscape of vulnerable processors can be expected

to change over time, which is why this script makes the assumption that all CPUs are vulnerable, except if the manufacturer

explicitly stated otherwise in a verifiable public announcement.



Please also note that for Spectre vulnerabilities, all software can possibly be exploited, this tool only verifies that the

kernel (which is the core of the system) you're using has the proper protections in place. Verifying all the other software

is out of the scope of this tool. As a general measure, ensure you always have the most up to date stable versions of all

the software you use, especially for those who are exposed to the world, such as network daemons and browsers.



This tool has been released in the hope that it'll be useful, but don't use it to jump to conclusions about your security.

Оцените ситуацию.

$ sudo ./spectre-meltdown-checker.sh --explain

Spectre and Meltdown mitigation detection tool v0.44-15-ga485c78



Checking for vulnerabilities on current system

Kernel is Linux 5.11.0-34-generic #36-Ubuntu SMP Thu Aug 26 19:22:09 UTC 2021 x86_64

CPU is Intel(R) Core(TM) i5-4570S CPU @ 2.90GHz



Hardware check

* Hardware support (CPU microcode) for mitigation techniques

  * Indirect Branch Restricted Speculation (IBRS)

    * SPEC_CTRL MSR is available:  YES 

    * CPU indicates IBRS capability:  YES  (SPEC_CTRL feature bit)

  * Indirect Branch Prediction Barrier (IBPB)

    * PRED_CMD MSR is available:  YES 

    * CPU indicates IBPB capability:  YES  (SPEC_CTRL feature bit)

  * Single Thread Indirect Branch Predictors (STIBP)

    * SPEC_CTRL MSR is available:  YES 

    * CPU indicates STIBP capability:  YES  (Intel STIBP feature bit)

  * Speculative Store Bypass Disable (SSBD)

    * CPU indicates SSBD capability:  YES  (Intel SSBD)

  * L1 data cache invalidation

    * FLUSH_CMD MSR is available:  YES 

    * CPU indicates L1D flush capability:  YES  (L1D flush feature bit)

  * Microarchitectural Data Sampling

    * VERW instruction is available:  YES  (MD_CLEAR feature bit)

  * Enhanced IBRS (IBRS_ALL)

    * CPU indicates ARCH_CAPABILITIES MSR availability:  NO 

    * ARCH_CAPABILITIES MSR advertises IBRS_ALL capability:  NO 

  * CPU explicitly indicates not being vulnerable to Meltdown/L1TF (RDCL_NO):  NO 

  * CPU explicitly indicates not being vulnerable to Variant 4 (SSB_NO):  NO 

  * CPU/Hypervisor indicates L1D flushing is not necessary on this system:  NO 

  * Hypervisor indicates host CPU might be vulnerable to RSB underflow (RSBA):  NO 

  * CPU explicitly indicates not being vulnerable to Microarchitectural Data Sampling (MDS_NO):  NO 

  * CPU explicitly indicates not being vulnerable to TSX Asynchronous Abort (TAA_NO):  NO 

  * CPU explicitly indicates not being vulnerable to iTLB Multihit (PSCHANGE_MSC_NO):  NO 

  * CPU explicitly indicates having MSR for TSX control (TSX_CTRL_MSR):  NO 

  * CPU supports Transactional Synchronization Extensions (TSX):  NO 

  * CPU supports Software Guard Extensions (SGX):  NO 

  * CPU supports Special Register Buffer Data Sampling (SRBDS):  YES 

  * CPU microcode is known to cause stability problems:  NO  (family 0x6 model 0x3c stepping 0x3 ucode 0x28 cpuid 0x306c3)

  * CPU microcode is the latest known available version:  YES  (latest version is 0x28 dated 2019/11/12 according to builtin firmwares DB v191+i20210217)

* CPU vulnerability to the speculative execution attack variants

  * Affected by CVE-2017-5753 (Spectre Variant 1, bounds check bypass):  YES 

  * Affected by CVE-2017-5715 (Spectre Variant 2, branch target injection):  YES 

  * Affected by CVE-2017-5754 (Variant 3, Meltdown, rogue data cache load):  YES 

  * Affected by CVE-2018-3640 (Variant 3a, rogue system register read):  YES 

  * Affected by CVE-2018-3639 (Variant 4, speculative store bypass):  YES 

  * Affected by CVE-2018-3615 (Foreshadow (SGX), L1 terminal fault):  NO 

  * Affected by CVE-2018-3620 (Foreshadow-NG (OS), L1 terminal fault):  YES 

  * Affected by CVE-2018-3646 (Foreshadow-NG (VMM), L1 terminal fault):  YES 

  * Affected by CVE-2018-12126 (Fallout, microarchitectural store buffer data sampling (MSBDS)):  YES 

  * Affected by CVE-2018-12130 (ZombieLoad, microarchitectural fill buffer data sampling (MFBDS)):  YES 

  * Affected by CVE-2018-12127 (RIDL, microarchitectural load port data sampling (MLPDS)):  YES 

  * Affected by CVE-2019-11091 (RIDL, microarchitectural data sampling uncacheable memory (MDSUM)):  YES 

  * Affected by CVE-2019-11135 (ZombieLoad V2, TSX Asynchronous Abort (TAA)):  NO 

  * Affected by CVE-2018-12207 (No eXcuses, iTLB Multihit, machine check exception on page size changes (MCEPSC)):  YES 

  * Affected by CVE-2020-0543 (Special Register Buffer Data Sampling (SRBDS)):  YES 



CVE-2017-5753 aka 'Spectre Variant 1, bounds check bypass'

* Mitigated according to the /sys interface:  NO  (Vulnerable: __user pointer sanitization and usercopy barriers only; no swapgs barriers)

* Kernel has array_index_mask_nospec:  YES  (1 occurrence(s) found of x86 64 bits array_index_mask_nospec())

* Kernel has the Red Hat/Ubuntu patch:  NO 

* Kernel has mask_nospec64 (arm64):  NO 

* Kernel has array_index_nospec (arm64):  NO 

> STATUS:  VULNERABLE  (Vulnerable: __user pointer sanitization and usercopy barriers only; no swapgs barriers)



CVE-2017-5715 aka 'Spectre Variant 2, branch target injection'

* Mitigated according to the /sys interface:  NO  (Vulnerable, IBPB: disabled, STIBP: disabled)

* Mitigation 1

  * Kernel is compiled with IBRS support:  YES 

    * IBRS enabled and active:  UNKNOWN 

  * Kernel is compiled with IBPB support:  YES 

    * IBPB enabled and active:  YES 

* Mitigation 2

  * Kernel has branch predictor hardening (arm):  NO 

  * Kernel compiled with retpoline option:  YES 

> STATUS:  VULNERABLE  (IBRS+IBPB or retpoline+IBPB is needed to mitigate the vulnerability)



> How to fix: To mitigate this vulnerability, you need either IBRS + IBPB, both requiring hardware support from your CPU microcode in addition to kernel support, or a kernel compiled with retpoline and IBPB, with retpoline requiring a retpoline-aware compiler (re-run this script with -v to know if your version of gcc is retpoline-aware) and IBPB requiring hardware support from your CPU microcode. The retpoline + IBPB approach is generally preferred as the performance impact is lower. More information about how to enable the missing bits for those two possible mitigations on your system follow. You only need to take one of the two approaches.



> How to fix: Both your CPU and your kernel have IBRS support, but it is currently disabled. You may enable it. Check in your distro's documentation on how to do this.



CVE-2017-5754 aka 'Variant 3, Meltdown, rogue data cache load'

* Mitigated according to the /sys interface:  NO  (Vulnerable)

* Kernel supports Page Table Isolation (PTI):  YES 

  * PTI enabled and active:  NO 

  * Reduced performance impact of PTI:  YES  (CPU supports INVPCID, performance impact of PTI will be greatly reduced)

* Running as a Xen PV DomU:  NO 

> STATUS:  VULNERABLE  (PTI is needed to mitigate the vulnerability)



> How to fix: If you're using a distro kernel, upgrade your distro to get the latest kernel available. Otherwise, recompile the kernel with the CONFIG_PAGE_TABLE_ISOLATION option (named CONFIG_KAISER for some kernels), or the CONFIG_UNMAP_KERNEL_AT_EL0 option (for ARM64)



CVE-2018-3640 aka 'Variant 3a, rogue system register read'

* CPU microcode mitigates the vulnerability:  YES 

> STATUS:  NOT VULNERABLE  (your CPU microcode mitigates the vulnerability)



CVE-2018-3639 aka 'Variant 4, speculative store bypass'

* Mitigated according to the /sys interface:  NO  (Vulnerable)

* Kernel supports disabling speculative store bypass (SSB):  YES  (found in /proc/self/status)

* SSB mitigation is enabled and active:  NO 

> STATUS:  VULNERABLE  (your CPU and kernel both support SSBD but the mitigation is not active)



CVE-2018-3615 aka 'Foreshadow (SGX), L1 terminal fault'

* CPU microcode mitigates the vulnerability:  N/A 

> STATUS:  NOT VULNERABLE  (your CPU vendor reported your CPU model as not vulnerable)



CVE-2018-3620 aka 'Foreshadow-NG (OS), L1 terminal fault'

* Mitigated according to the /sys interface:  YES  (Mitigation: PTE Inversion; VMX: vulnerable, SMT disabled)

* Kernel supports PTE inversion:  YES  (found in kernel image)

* PTE inversion enabled and active:  YES 

> STATUS:  NOT VULNERABLE  (Mitigation: PTE Inversion; VMX: vulnerable, SMT disabled)



CVE-2018-3646 aka 'Foreshadow-NG (VMM), L1 terminal fault'

* Information from the /sys interface: Mitigation: PTE Inversion; VMX: vulnerable, SMT disabled

* This system is a host running a hypervisor:  NO 

* Mitigation 1 (KVM)

  * EPT is disabled:  NO 

* Mitigation 2

  * L1D flush is supported by kernel:  YES  (found flush_l1d in /proc/cpuinfo)

  * L1D flush enabled:  NO 

  * Hardware-backed L1D flush supported:  YES  (performance impact of the mitigation will be greatly reduced)

  * Hyper-Threading (SMT) is enabled:  NO 

> STATUS:  NOT VULNERABLE  (this system is not running a hypervisor)



CVE-2018-12126 aka 'Fallout, microarchitectural store buffer data sampling (MSBDS)'

* Mitigated according to the /sys interface:  NO  (Vulnerable; SMT disabled)

* Kernel supports using MD_CLEAR mitigation:  YES  (md_clear found in /proc/cpuinfo)

* Kernel mitigation is enabled and active:  NO 

* SMT is either mitigated or disabled:  YES 

> STATUS:  VULNERABLE  (Your microcode and kernel are both up to date for this mitigation, but the mitigation is not active)



CVE-2018-12130 aka 'ZombieLoad, microarchitectural fill buffer data sampling (MFBDS)'

* Mitigated according to the /sys interface:  NO  (Vulnerable; SMT disabled)

* Kernel supports using MD_CLEAR mitigation:  YES  (md_clear found in /proc/cpuinfo)

* Kernel mitigation is enabled and active:  NO 

* SMT is either mitigated or disabled:  YES 

> STATUS:  VULNERABLE  (Your microcode and kernel are both up to date for this mitigation, but the mitigation is not active)



CVE-2018-12127 aka 'RIDL, microarchitectural load port data sampling (MLPDS)'

* Mitigated according to the /sys interface:  NO  (Vulnerable; SMT disabled)

* Kernel supports using MD_CLEAR mitigation:  YES  (md_clear found in /proc/cpuinfo)

* Kernel mitigation is enabled and active:  NO 

* SMT is either mitigated or disabled:  YES 

> STATUS:  VULNERABLE  (Your microcode and kernel are both up to date for this mitigation, but the mitigation is not active)



CVE-2019-11091 aka 'RIDL, microarchitectural data sampling uncacheable memory (MDSUM)'

* Mitigated according to the /sys interface:  NO  (Vulnerable; SMT disabled)

* Kernel supports using MD_CLEAR mitigation:  YES  (md_clear found in /proc/cpuinfo)

* Kernel mitigation is enabled and active:  NO 

* SMT is either mitigated or disabled:  YES 

> STATUS:  VULNERABLE  (Your microcode and kernel are both up to date for this mitigation, but the mitigation is not active)



CVE-2019-11135 aka 'ZombieLoad V2, TSX Asynchronous Abort (TAA)'

* Mitigated according to the /sys interface:  YES  (Not affected)

* TAA mitigation is supported by kernel:  YES  (found tsx_async_abort in kernel image)

* TAA mitigation enabled and active:  NO 

> STATUS:  NOT VULNERABLE  (your CPU vendor reported your CPU model as not vulnerable)



CVE-2018-12207 aka 'No eXcuses, iTLB Multihit, machine check exception on page size changes (MCEPSC)'

* Mitigated according to the /sys interface:  UNKNOWN  (KVM: Vulnerable)

* This system is a host running a hypervisor:  NO 

* iTLB Multihit mitigation is supported by kernel:  YES  (found itlb_multihit in kernel image)

* iTLB Multihit mitigation enabled and active:  NO 

> STATUS:  NOT VULNERABLE  (this system is not running a hypervisor)



CVE-2020-0543 aka 'Special Register Buffer Data Sampling (SRBDS)'

* Mitigated according to the /sys interface:  NO  (Vulnerable)

* SRBDS mitigation control is supported by the kernel:  YES  (found SRBDS implementation evidence in kernel image. Your kernel is up to date for SRBDS mitigation)

* SRBDS mitigation control is enabled and active:  NO 

> STATUS:  NOT VULNERABLE  (Your microcode and kernel are both up to date for SRBDS mitigation control. Mitigation is enabled)



> SUMMARY: CVE-2017-5753:KO CVE-2017-5715:KO CVE-2017-5754:KO CVE-2018-3640:OK CVE-2018-3639:KO CVE-2018-3615:OK CVE-2018-3620:OK CVE-2018-3646:OK CVE-2018-12126:KO CVE-2018-12130:KO CVE-2018-12127:KO CVE-2019-11091:KO CVE-2019-11135:OK CVE-2018-12207:OK CVE-2020-0543:OK



A false sense of security is worse than no security at all, see --disclaimer

Просмотр только уязвимостей:

$ sudo ./spectre-meltdown-checker.sh --batch nrpe

Vulnerable: CVE-2017-5753 CVE-2017-5715 CVE-2017-5754 CVE-2018-3639 CVE-2018-12126 CVE-2018-12130 CVE-2018-12127 CVE-2019-11091

Получим машиночитаемый вывод.

$ sudo ./spectre-meltdown-checker.sh --batch text

CVE-2017-5753: VULN (Vulnerable: __user pointer sanitization and usercopy barriers only; no swapgs barriers)

CVE-2017-5715: VULN (IBRS+IBPB or retpoline+IBPB is needed to mitigate the vulnerability)

CVE-2017-5754: VULN (PTI is needed to mitigate the vulnerability)

CVE-2018-3640: OK (your CPU microcode mitigates the vulnerability)

CVE-2018-3639: VULN (your CPU and kernel both support SSBD but the mitigation is not active)

CVE-2018-3615: OK (your CPU vendor reported your CPU model as not vulnerable)

CVE-2018-3620: OK (Mitigation: PTE Inversion; VMX: vulnerable, SMT disabled)

CVE-2018-3646: OK (this system is not running a hypervisor)

CVE-2018-12126: VULN (Your microcode and kernel are both up to date for this mitigation, but the mitigation is not active)

CVE-2018-12130: VULN (Your microcode and kernel are both up to date for this mitigation, but the mitigation is not active)

CVE-2018-12127: VULN (Your microcode and kernel are both up to date for this mitigation, but the mitigation is not active)

CVE-2019-11091: VULN (Your microcode and kernel are both up to date for this mitigation, but the mitigation is not active)

CVE-2019-11135: OK (your CPU vendor reported your CPU model as not vulnerable)

CVE-2018-12207: OK (this system is not running a hypervisor)

CVE-2020-0543: OK (Your microcode and kernel are both up to date for SRBDS mitigation control. Mitigation is enabled)

Получим вывод в JSON:

$ sudo ./spectre-meltdown-checker.sh --batch json | jq .

[

  {

    "NAME": "SPECTRE VARIANT 1",

    "CVE": "CVE-2017-5753",

    "VULNERABLE": true,

    "INFOS": "Vulnerable: __user pointer sanitization and usercopy barriers only; no swapgs barriers"

  },

  {

    "NAME": "SPECTRE VARIANT 2",

    "CVE": "CVE-2017-5715",

    "VULNERABLE": true,

    "INFOS": "IBRS+IBPB or retpoline+IBPB is needed to mitigate the vulnerability"

  },

  {

    "NAME": "MELTDOWN",

    "CVE": "CVE-2017-5754",

    "VULNERABLE": true,

    "INFOS": "PTI is needed to mitigate the vulnerability"

  },

  {

    "NAME": "VARIANT 3A",

    "CVE": "CVE-2018-3640",

    "VULNERABLE": false,

    "INFOS": "your CPU microcode mitigates the vulnerability"

  },

  {

    "NAME": "VARIANT 4",

    "CVE": "CVE-2018-3639",

    "VULNERABLE": true,

    "INFOS": "your CPU and kernel both support SSBD but the mitigation is not active"

  },

  {

    "NAME": "L1TF SGX",

    "CVE": "CVE-2018-3615",

    "VULNERABLE": false,

    "INFOS": "your CPU vendor reported your CPU model as not vulnerable"

  },

  {

    "NAME": "L1TF OS",

    "CVE": "CVE-2018-3620",

    "VULNERABLE": false,

    "INFOS": "Mitigation: PTE Inversion; VMX: vulnerable, SMT disabled"

  },

  {

    "NAME": "L1TF VMM",

    "CVE": "CVE-2018-3646",

    "VULNERABLE": false,

    "INFOS": "this system is not running a hypervisor"

  },

  {

    "NAME": "MSBDS",

    "CVE": "CVE-2018-12126",

    "VULNERABLE": true,

    "INFOS": "Your microcode and kernel are both up to date for this mitigation, but the mitigation is not active"

  },

  {

    "NAME": "MFBDS",

    "CVE": "CVE-2018-12130",

    "VULNERABLE": true,

    "INFOS": "Your microcode and kernel are both up to date for this mitigation, but the mitigation is not active"

  },

  {

    "NAME": "MLPDS",

    "CVE": "CVE-2018-12127",

    "VULNERABLE": true,

    "INFOS": "Your microcode and kernel are both up to date for this mitigation, but the mitigation is not active"

  },

  {

    "NAME": "MDSUM",

    "CVE": "CVE-2019-11091",

    "VULNERABLE": true,

    "INFOS": "Your microcode and kernel are both up to date for this mitigation, but the mitigation is not active"

  },

  {

    "NAME": "TAA",

    "CVE": "CVE-2019-11135",

    "VULNERABLE": false,

    "INFOS": "your CPU vendor reported your CPU model as not vulnerable"

  },

  {

    "NAME": "ITLBMH",

    "CVE": "CVE-2018-12207",

    "VULNERABLE": false,

    "INFOS": "this system is not running a hypervisor"

  },

  {

    "NAME": "SRBDS",

    "CVE": "CVE-2020-0543",

    "VULNERABLE": false,

    "INFOS": "Your microcode and kernel are both up to date for SRBDS mitigation control. Mitigation is enabled"

  }

]

Получение вывода для экспортера Prometheus.

$ sudo ./spectre-meltdown-checker.sh --batch prometheus

# TYPE specex_vuln_status untyped

# HELP specex_vuln_status Exposure of system to speculative execution vulnerabilities

specex_vuln_status{name="SPECTRE VARIANT 1",cve="CVE-2017-5753",status="VULN",info="Vulnerable: __user pointer sanitization and usercopy barriers only; no swapgs barriers"} 1

specex_vuln_status{name="SPECTRE VARIANT 2",cve="CVE-2017-5715",status="VULN",info="IBRS+IBPB or retpoline+IBPB is needed to mitigate the vulnerability"} 1

specex_vuln_status{name="MELTDOWN",cve="CVE-2017-5754",status="VULN",info="PTI is needed to mitigate the vulnerability"} 1

specex_vuln_status{name="VARIANT 3A",cve="CVE-2018-3640",status="OK",info="your CPU microcode mitigates the vulnerability"} 1

specex_vuln_status{name="VARIANT 4",cve="CVE-2018-3639",status="VULN",info="your CPU and kernel both support SSBD but the mitigation is not active"} 1

specex_vuln_status{name="L1TF SGX",cve="CVE-2018-3615",status="OK",info="your CPU vendor reported your CPU model as not vulnerable"} 1

specex_vuln_status{name="L1TF OS",cve="CVE-2018-3620",status="OK",info="Mitigation: PTE Inversion; VMX: vulnerable, SMT disabled"} 1

specex_vuln_status{name="L1TF VMM",cve="CVE-2018-3646",status="OK",info="this system is not running a hypervisor"} 1

specex_vuln_status{name="MSBDS",cve="CVE-2018-12126",status="VULN",info="Your microcode and kernel are both up to date for this mitigation, but the mitigation is not active"} 1

specex_vuln_status{name="MFBDS",cve="CVE-2018-12130",status="VULN",info="Your microcode and kernel are both up to date for this mitigation, but the mitigation is not active"} 1

specex_vuln_status{name="MLPDS",cve="CVE-2018-12127",status="VULN",info="Your microcode and kernel are both up to date for this mitigation, but the mitigation is not active"} 1

specex_vuln_status{name="MDSUM",cve="CVE-2019-11091",status="VULN",info="Your microcode and kernel are both up to date for this mitigation, but the mitigation is not active"} 1

specex_vuln_status{name="TAA",cve="CVE-2019-11135",status="OK",info="your CPU vendor reported your CPU model as not vulnerable"} 1

specex_vuln_status{name="ITLBMH",cve="CVE-2018-12207",status="OK",info="this system is not running a hypervisor"} 1

specex_vuln_status{name="SRBDS",cve="CVE-2020-0543",status="OK",info="Your microcode and kernel are both up to date for SRBDS mitigation control. Mitigation is enabled"} 1

Код выхода 2 будет означать, что данная система уязвима.

$ echo $?

2

См. также:

• Kali Linux 2018.2 выпущен с исправлениями для Spectre, Meltdown и более легкого доступа к скрипту Metasploit
• Windows Spectre патчи
• Критические уязвимости в архитектуре процессоров Intel,AMD и ARM
• 👾 Как отключить меры по устранению уязвимостей процессора
• Как вручную включить Retpoline в Windows 10

Реестр Windows

Реестр – это централизованная иерархическая база данных в Microsoft Windows, которая идля хранения информации, необходимой для настройки системы для различных пользователей, приложений и устройств. Реестр Windows предоставляет собой архив для сбора и хранения следующих данных параметров конфигурации компонентов Windows, установленного оборудования/программного обеспечения/ приложений и другого. Система реестра была впервые представлена в Windows 95 и с тех пор и с тех пор используется во всех ОС Windows.

Все конфигурационные параметры реестра находятся в разделах реестра:

• HKEY_CLASSES_ROOT – Конфигурационные параметры для приложений и файлов;
• HKEY_CURRENT_USER – Данные, которые ссылаются на профиль пользователя, который вошел в систему;
• HKEY_LOCAL_MACHINE – Конфигурационные параметры системного уровня;
• HKEY_USERS – Данные для всех учетных записях на текущем устройстве;
• HKEY_LOCAL_CONFIG  – Информационные сведения об используемом профиле оборудования.

Не станем подробно изучать структуру, а лучше отметим, что всякий раз, когда пользователь устанавливает программное приложение, оборудование или драйвер устройства в операционной системе на базе Windows, начальные параметры конфигурации этих программ и драйверов сохраняются в виде ключей и их значений в реестре Windows. Во время использования программного или аппаратного обеспечения изменения, внесенные в конфигурацию, также находят свое отражение в реестре.

С точки зрения форензики, реестр Windows – это сундук с сокровищами. Он не только хранит записи о настройках приложений и ОС, но также отслеживает и пользовательские данные и хранит их в хорошо структурированном виде. Для анализа реестра мы можем использовать MUICache View, Process Monitor, Registry Editor, Regshot, USBDeview и RegRipper.

Для наглядности, для начала,  разберем инструмент Regshot.

Regshot

Утилита предназначена для фиксации изменений в реестре ОС Windows на основе создания снимков реестра и их дальнейшего сравнения.

Возможности:

1. Выполнение снимков реестра Windows
2. Сравнение 2-х снимков;
3. Нахождение между ними изменений

Cкачать можно по ссылке https://sourceforge.net/projects/regshot

Запустим Regshot в нашей системе и сделаем первый снимок, выбрав при этом html отчет

После того как первый снимок будет сделан, зайдем в настройки браузера и зададим прокси сервер с ip адрессом 192.168.44.1 и портом 8080 и сохраним изменения

После этого сделаем второй снимок реестра, после чего нажмём “Compare” для вывода на экран html файла с данными по изменению реестра. И теперь мы наглядно видим в каких ветках реестра были добавлены наши значения

Проверим и найдем указанное значение в реестре:

Как получить пароль от учетной записи локального администратора?

Ранее мы писали о том как получить админский пароль в домене Active Directory. Но тогда речь шла о паролях администраторов домена.

В этой статье мы рассмотрим инструмент для проведения локальных атак повышения привилегий в системах Microsoft Windows. Инструмент называется localbrute.ps1 и представляет собой простой инструмент, написанный на PowerShell. Он не требует никаких сторонних модулей, а также мало весит, что делает его привлекательным дополнением к традиционным атакам на повышение привилегий, которые применяются  к различным сценариям тестирования на проникновение.

Зачем атаковать локальные учетные записи Windows?

Атаки на локальные учетные записи администраторы, такие как встроенная учетная запись “Administrator” или любая другая учетная запись, входящая в локальную группу “Администраторы”, могут быть довольно интересным вектором атаки, особенно если не включена политика по блокировке этих учетных записей, после заданного количества неудачных попыток входа А если нам это удастся подобрать пароль, то мы получим полный контроль над системой и сможем делать все те сочные вещи, которые мы любим делать, как пентестеры, например:

• Отключить все средства защиты и контроля безопасности системы
  
  извлекать учетные данные в открытом виде из памяти и других мест (файлы, реестр и т.д.)
• Запускать эксплойты для атаки на другие системы в сети
• Устанавливать необходимое программное обеспечение
• Получить доступ к защищенным областям системы для поиска конфиденциальной информации и многое другое.

Все из вышеуказанного  может помочь нам в горизонтальном продвижении дальше в инфраструктуре.

Атака на локальные учетные записи Windows не представляет собой ничего нового, однако в текущей статье мы НЕ ставим целью сделать это удаленно, используя всем изветстные инструменты тестирования на проникновение, такие как Metasploit smb_login scanner, Nmap smb-brute NSE script, CrackMapExec или т.д. Представленный нами инструмент PowerShell выполняет брутфорс локально на целевой системе, поэтому его использование довольно специфично.

Где этот инструмент может быть полезен?

Этот инструмент может быть полезен в тех случаях, когда мы уже получили доступ обычного пользователя на машине Windows и можем выполнять команды на ней – например, через RDP-сессию или через службы терминалов. Мы также можем использовать этот инструмент в случае, когда тестируем какую-то ограниченную или изолированную среду – например, среду VDI, где нам предоставили доступ только на уровне пользователя, и теперь мы должны проводить тестирование оттуда с ограниченным доступом к нашим любимым утилитам для пентестинга.

Другим примером может быть симуляция действий обиженого работника. Имея доступ к образцу рабочей станции сотрудника, возможно, укрепленной и защищенной различными средствами контроля и безопасности, сможем ли мы что-то сделать и нанести потенциальный ущерб организации?

Во всех этих случаях инструмент localbrute.ps1 может помочь нам в повышении привилегий.

Особенности инструмента

В двух словах, инструмент localbrute.ps1 выполняет автоматические попытки входа в систему локально в системе, используя встроенные функции Windows.

Ниже перечислены основные возможности инструмента:

1. Выполняет атаки на вход в систему для любой выбранной локальной учетной записи, используя предоставленный список слов.
2. Маленький и простой – его можно легко набрать вручную на клавиатуре
3. Написан  PowerShell, и не требует дополнительных модулей
4. Не обнаруживается решениями AV / EDR

Использование инструмента LocalBrute.ps1

1) Первое, что нам нужно сделать, это определить учетные записи локальных администраторов в системе

C помощью этой команды в cmd или ps мы можем найти членов группы локальных администраторов:

net localgroup administrators

2) Теперь, чтобы запустить инструмент localbrute, введем:

Import-Module .localbrute.ps1 



# Usage: localbrute <Имя УЗ> <путь к файлу со словариком> [debug] 



# Пример: localbrute Administrator .passwords.txt

Как Мы видим, пароль Ss123456! успешно получен

Как это работает?

Скрипт всего напросто итеративно просматривает предоставленный список слов (список паролей), строка за строкой и пытается аутентифицироваться под указанной учетной записью пользователя локально в системе. Он использует внутренние функции Windows DirectoryServices.AccountManagement на локальной машине. По сути, это позволяет нам тестировать аутентификацию для любой локальной учетной записи в нашей системе.

При прерывании (^C) инструмент записывает последнего кандидата на подбор пароля, который был отработан из данного списка слов для данного имени пользователя. Это позволяет инструменту продолжить (возобновить) атаку после перезапуска. В файле состояния также ведется учет уже скомпрометированных учетных записей.

Включим режим отладки (debug), чтобы увидеть, что именно делает инструмент.  Для примера запустим атаку на учетную запись itsecforu, затем прервем работу скрипта и запустим снова:

Как видно на скриншоте, инструмент продолжил свою работу с 118 слова из словаря, на нём была прервана работы. Однако обратите внимание на то, что если включен режим отладки, то скорость работы снижается примерно на 20-30%.

Заключение

Рассмотренный скрипт localbrute.ps1 – это простой инструмент перебора логинов, который может быть использован как дополнительный метод, при проведение атак повышения привилегий в системах Windows. Благодаря отсутствию политики блокировки локальных учетных записей, мы можем использовать его для проверки надежности паролей локальных привилегированных учетных записей и обнаружения учетных записей, настроенных на слабые пароли. Благодаря компактному размеру, он может пригодиться во время различных тестов на проникновение и симуляций атак.

Так что, всем LAPS!

LAPS – это инструмент Microsoft, который обеспечивает управление паролями локальных учетных записей компьютеров, подключенных к домену. Он устанавливает уникальный пароль для каждой учетной записи локального администратора и сохраняет его в Active Directory для легкого доступа.

¯_(ツ)_/¯ Примечание: Информация для исследования, обучения или проведения аудита. Применение в корыстных целях карается законодательством РФ.

Как удалить записи событий системных журналах

Один из неменее важных аспектов во время тестирования на проникновение – это убедиться, что в системе не останется никаких следов взлома. Как и у злоумышленника, вашей целью может быть взлом (легитимный) целевой системы или сети, однако при разрыве соединения или выходе из взламываемой системы очень важно, чтобы не оставалось никаких следов в журналах или в других логах. Кроме того, во время тестирования на проникновение могут быть сгенерированы новые данные, которые оставляют след в системе и сети. В этой статье мы рассмотрим какие бывают логи, их информативность при расследовании инцидента и как очистить журналы событий в Windows с помощью штатных средств, powershell и cmd.

В область кибербезопасности чрезвычайно быстро растет потребность в специалистах по информационной безопасноти в целях защиты организаций от киберугроз и противодействию злоумышленникам. Кибератака может быть чем угодно: от фишингового письма до заражения вредоносным ПО, атакой с помощью программ-вымогателей(шифровальщиков) и т.д. Международные организации по кибербезопасности и органы сертификации, такие как EC-Council и GIAC, подчеркивают роль в компьютерной криминалистики в цифровом мире. В рамках расследованиях необходимо определить, что произошло, как произошла атака, определить  возможных исполнителей, а также прояснить многие другие детали, которые могут помочь при обвинение в суде.

Типы журналов и их расположение

Даллее рассмотрим различные типы журналов, которые пентестер должен опередить для удаления, а также где эти журналы можно найти

Журналы DHCP-сервера

В этих журналах ведется учет присвоения IP-адресов в сети. В этом журнале хранятся все события при взаимодействии между потенциальным DHCP-клиентом и DHCP-сервером. Наибольший интерес здесь представляют MAC-адресса клиентов, которые будут занесены в соответсвующий журнал событий.

Ниже приведены местоположения журналов DHCP-сервера:

Журналы DHCP хранятся в каталоге % SystemRoot% System32 dhcp для ОС Windows.

В Linux для просмотра журналов DHCP мы можем использовать команду

 

cat / var / log / syslog | grep -Ei 'dhcp'

События Syslog

Когда внутри организации происходит кибератака, будь то MITM (атака типа человек посередине) или же выявлен хост, который является частью ботнета, незамедлительно проводится расследование. Эксперты проводят сбор событий и их последующий анализ не только на компьютерах, ноутбуках и серверах, но и в сети. Для каждого сеанса или запроса/ответа, происходящего в сети, такие устройства, как межсетевые экраны, системы обнаружения / предотвращения вторжений (IDS / IPS) и др. ведут свои журналы событий в отношении сетевого трафика. Эти устройства используют Syslog protocol для создания сообщений журнала в едином формате со всеми необходимыми деталями, которые могут очень пригодиться при расследовании инцидента информационной безопаности.

В системах Linuх Syslog журналы находятся в / var / log / syslog

Пакетный анализ

Далее,проводя исследования сети, эксперты проводят анализ пакетов, наблюдая за любыми аномалиями в интересующем сегменте сети. Анализ пакетов позволяет определить следующее:

Источник атаки

Загруженые и скачаные файлы

Тип трафика в сети

Время атаки

Извлеченные артефакты, например файлы

URL-адреса и домены

Атакованный хост

Данные телеметрии

Журналы веб-сервера

В этих журналах хранятся сообщения обо всех действиях при взаимодействии между веб-сервером и клиентским веб-браузером. Ниже приведены местоположения различных веб-серверов:

Файлы журнала Internet Information Server (IIS) находятся в

% SystemDrive% inetpub logs LogFiles

Журналы Apache в Red Hat, CentOS и Fedora хранятся в

/ var / log / httpd / access_log и / var / log / httpd / error_log

Для систем Debian и Ubuntu журналы веб-сервера Apache можно найти по адресу

/ var / log / apache2 / access_log и / var / log / apache2 / error_log

Журналы FreeBSD Apache находятся в /var/log/httpd-access.log и

/var/log/httpd-error.log

Журналы базы данных

Во время теста на проникновение вам может быть поручено манипулировать целевой базой данных, будь то создание, изменение, удаление или извлечение информации. При этом базы данных создают собственный набор сообщений журнала.

Журналы базы данных для Microsoft SQL Server можно найти в \ Microsoft SQL Server MSSQL11.MSSQLSERVER MSSQL DATA *. MDF и \ Microsoft SQL Server MSSQL11.MSSQLSERVER MSSQL DATA *. LDF.

Эксперт может проверить журналы ошибок в базе данных на предмет подозрительных действий, их можно найти в \ Microsoft SQL Server MSSQL11.MSSQLSERVER MSSQL LOG ERRORLOG.

Event logs

Журналы событий – это запись действий, предпринятых в системе с участием пользователя и без него. Например журналы безопасности содержат записи о событиях входа в систему, если пользователь успешно авторизовался или же наоборот, о неудачной попытке входа в систему. Event logs фиксируют все, что происходит в системе, с момента ее включения и до выключения. В операционной системе Windows 10 конфигурация журналов событий хранится в следующем разделе реестра:

HKLM System ControlSet00x Services EventLog

Чтобы просмотреть список имён доступных журналов событий в Windows 10, используйте команду

wevtutil el

Кроме того, использование команды wevtutil gl <имя журнала> представит информацию о конфигурации для выбранного журнала:

Стоит отметить, что сами системные журналы Windows хранятся в C:WindowsSystem32winevt Logs в локальной системе:

Простое изменение или удаление файлов журналов, хранящихся в этих местах будет вызывать сложности при расследовании инцидента информационной безопаности и безусловно будет затруднять работу экспертов. Станет гораздо сложнее определить фактическую последовательность атаки и ее распространение, что в свою очередь снижает шансы быть обнаруженным.

Очистка журналов в Windows

В операционной системе Windows средство просмотра событий представляет собой приложение, которое объединяет журналы приложений, безопасности, установки и системы на единой информационной панели. Она располагается в:

C:ProgramDataMicrosoftWindowsStart MenuProgramsAdministrative ToolsПросмотрщик событий

Также для открытия средства просмотра событий в Windows достаточно ввести сочение клавиш Win + R , и в окне «Выполнить» ввести eventvwr.msc и нажать OK.

В окне «Просмотр событий» журналы можно очистить, просто выбрав функцию «Очистить журнал» кнопкой на панели «Действия». Чтобы очистить журналы для определенной категории, например всех журналов, которые находятся в группе «Приложение», просто щелкните правой кнопкой мыши имя группы и выберите «Очистить журнал».

Однако не стоит забывать о том, что события об очистке журнала также пишется в лог

Использование PowerShell для очистки журналов в Windows

PowerShell – это очень мощный инстурмент командной строки, который дает системному администратору большой просмтор для администрирования систем, для выполнения и автоматизации операций и задач в операционных системах Windows, MacOS и Linux.

Для начала щелкните значок Windows, который является значком запуска в нижнем левом углу рабочего стола, и введите powershell. Появится приложение Windows PowerShell, или в уже запущенной командной строке введите “powershell”

Убедитесь, что вы запускаете Windows PowerShell от имени администратора. Запуск программы или приложения с правами администратора снимет любые ограничения, с которыми может столкнуться обычный пользователь. Эти ограничения будут включать и привилегии безопасности.

Теперь рассмотрим несколько комманд для очистки журналов.

1.Для очиски всех журналов событий:

wevtutil el | Foreach-Object {wevtutil cl “$_”}

После выполнения команды журналы стираются, как показано в средстве просмотра событий:

2 Для очистки определенных журналов с компьютера

Команда Clear-EventLog позволяет администратору очистить / стереть все сообщения журнала <LogName>: из определенной категории событий. Синтаксис для использования этой команды:

Clear-EventLog <LogName>

Использование параметра Get-Help, за которым следует командлет Clear-EventLog, предоставит вам дополнительные параметры:

Далее рассмотрим использование командной строки для очистки журналов.

Использование командной строки для очистки журналов в Windows

Теперь рассмотрим использование командной строки для очистки журналов в ОС Windows:

1 Очистка отдельных журналов

Ранее мы использовали команду wevtutil el в командной строке Windows для просмотра списка типов / категорий журналов. Мы можем использовать wevtutil cl, за которым следует конкретный журнал, чтобы стереть / очистить записи в категории журнала:

Кроме того,можно использовать синтаксис clear-log вместо cl:

2.Очистка всех журналов одним скриптом

Когда мы запустили команду wevtutil el, мы увидели длинный список категорий журналов событий. Однако очистка каждой категории занимает довольно много времени, поэтому используйте следующий скрипт для очистки каждой категории при выполнении команды

for / F "tokens = *"% 1 в ('wevtutil.exe el') DO wevtutil.exe cl "% 1" 

И чтобы не получить результат “отказано в доступе”, cmd также следует запускать с правами администратора

Использование Meterpreter для очистки журналов Windows

В cоставе the Metasploit framework существует очень продвинутая и динамически расширяемая полезная нагрузка, известная как Meterpreter. Использование этой утилиты на этапе тестирования на проникновение позволит вам выполнять полезные нагрузки stager в целевой системе, которые могут создавать соеднинение или даже обратную оболочку между целью и машиной атакующего.

Metasploit – фреймворк, созданный Rapid7 (www.rapid7.com). Он позволяет тестировщикам на проникновение собирать информацию о цели, обнаруживать уязвимости, создавать и доставлять полезные нагрузки на атакуюемый хост, а также создавать бэкдоры. Отличный набор инструментов для тестирования на проникновение для обнаружения и использования уязвимостей.

Meterpreter разработан, чтобы быть скрытым, мощным и динамически расширяемым. После успешного закрепления в системы ве можете использовать команду clearev для очистки журналов приложений, системы и безопасности:

Как видно на предыдущем скриншоте, Meterpreter очищает журналы каждой категории в целевой системе. Также указано количество очищенных записей.

В этой статье мы рассмотрелли способы скрытия активности во время тестирвоания на проникновение, моделируя атаки на целевую систему или сеть. Мы обсудили различные типы журналов и их расположение. Кроме того, мы рассмотрели несколько сценариев, в которых мы использовали различные методы для очистки журналов в операционных системах Windows.

Как обеспечить безопаcность Wi-fi?

Сегодня беспроводные технологии широко используются в корпоративных офисах, на предприятиях, государственных и образовательных учреждениях. Существует множество книг,которые охватывают основы практического подхода к анализу и тестированию и на проникновение беспроводных сетей. В этом статье мы рассмотрим несколько способов анализа беспроводной сети , существующие техники атак, а также дадим рекомендации по использованию Wi-Fi.

Методы анализа и эксплуатации поверхности атаки Wi-Fi

Технология Wi-Fi существует примерно с 1997 года. С тех пор произошли значительные улучшения в аспектах безопасности. Однако беспроводные технологии по-прежнему подвержены нескольким векторам атак, реализация которых часто приводят к несанкционированному доступу к сетевым устройствам. Некоторыми из наиболее часто встречающихся угроз беспроводной связи являются: подделанные точки доступа, атаки типа «человек по середине», DoS-атаки, неправильные настройки безопасности на точке, атаки типа Caffe Latte, сетевые инъекции, и это лишь некоторые из них.

Чтобы провести аудит безопасности Wi-Fi, рекомендуем использовать aircrack-ng или NetSumbler. Также специалисты часто используют такие инструменты, как Cain and Able, AirSnort, AirJack, KisMet и InSSIDer. Выбор конкретного инструмента, конечно, зависит от условий, целей и требований, которые стоят перед специалистом по информационной безопасности.

Сбор и анализ данных Wi-Fi

Сбор и анализ данных являются основой для успешного проведения атак на Wi-Fi. Эти данные содержаттакую информацию, как MAC-адреса устройств, IP-адреса,полученные устрйоствами, местоположение, история входа в систему, модель и версия ОС устройств, почтовые серверы, к которым вы подключены, имена пользователей, установленные приложения и т. д. Если ли же установлены снифферы для перехвата трафика, то это может означать что все ваши входящие и исходящие пакеты могут быть перехвачены с целью сбора конфиденциальной информации.

Логи Wi-Fi можно использовать для анализа производительности и обеспечения безопаности а также, например, если вы крупный розничный магазин, ваши данные Wi-Fi можно использовать для следующих целей:

• Проверить / собрать логины пользователей и их контактные данные.
• Собрать почтовые индексы, чтобы знать, откуда люди едут к Вам.
• Использовать трекер MAC-адресса, чтобы понять, куда люди едут и откуда.
• Создать шаблон посещения магазинов покупателями, например, в определенное время или день недели.
• Собрать информацию о посещаемых сайтах, чтобы проверить интересы людей.

С другой стороны, эти данные могут использоваться для создания пользовательских профилей поведения (в некоторых странах это считается неэтичным и недопустимым). C целью же обеспечения информационной безопаности полезными будут данные о:

• Действиях выполняемые пользователями.
• Об устройствах, подключенных к сети (как разрешенные, так и нелегитимные).
• О состоянии инфраструктуры Wi-Fi.

Существует множество инструментов, которые предлагают указанный функционал, один из таких – Acrylic Wi-Fi Professional. Этот инструмент включает в себя следующие возможности:

• Wi-Fi analyzer: используется для сбора информации о сетях Wi-Fi, включая скрытые сети, а также для просмотра подключенных устройств и т. д.
• Monitor mode: используется для захвата пакетов от подключенных устройств, определения положения устройства с помощью GPS и т. д.
• Troubleshooting: используется для сбора данных работоспособности, показателей производительности, оценок качества и т. д.
• Export data: используется для экспорта данных, например отчетов.

Непрерывный мониторинг состояния беспроводной сети позволяет убедиться, что инфраструктура Wi-Fi безопасна и надежна. Необходимо помнить, что предоставлять админский доступ необходимо только тем, кому он требуется в рамках выолнения своих должностных обязанностей, а также необходимо помнить про физическую защиту и логическую сегментацию сети.

Методы атак на Wi-fi

Перед тем как рассмотреть атаки, отметим наиболее распространенные методы защиты от ниже приденных методов взлома. Основным средством защиты рекомендуется использовать ( в соответсвии со стандартом Payment Card Industry Security Standards Council (PCI DSS) системы предотвращения вторжений в беспроводные сети (WIPS). Кроме того, вы можете использовать фильтрацию по MAC-адрессам, использовать маскировку сети, реализацию WPA, Temporal Key Integrity Protocol (TKIP), Extensible Authentication Protocol (EAP), VPN и сквозное шифрование.

В следующей таблице показаны некоторые из наиболее популярных методов атак на сети Wi-Fi, вместе с инструментами, которые можно использовать для их митигации:

Лучшие практики (Best practices)

Хоть технология Wi-Fi и обеспечивает простоту подключения,нельзя забывать и о проблемах с безопасностью, а именно возможностью взлома и подслушивания, если не проведены соответсвующие настройки. Открытые (общедоступные) сети Wi-Fi в общественных местах являются наиболее уязвимыми. Поэтому всегда рекомендуется использовать такие сети Wi-Fi с максимальной осторожностью. Сети Wi-Fi могут быть как корпоративными, как личными (домашними) так и общедоступными и, в свою очередь, могут быть защищенными или незащищенными.

Рекомедации по запрету при работе сети Wi-Fi:

• Не подключайтесь к незащищенным общедоступным сетям Wi-Fi.
• Не обрабатывайте конфиденциальную информацию и не проводите платежи с использованием банковских карт, включая личную информацию, в общедоступной сети.
• Отключите автоматическое подключение (Wi-Fi / Bluetooth) для любой доступной сети на вашем ноутбуке, телефоне или планшете.
• Не используйте Wired Equivalent Privacy (WEP), поскольку это старый алгоритм для обеспечения безопасности сетей Wi-Fi, который легко поддается расшифровке.
• Не используйте опцию Pre-Shared Key (PSK), поскольку она небезопасна на уровне enterprise.
• Не доверяйте скрытым SSID и ограничивайте SSID в корпоративной среде, к которой пользователи могут подключаться.

Рекомедации по по использованию сети Wi-Fi:

• Измените пароль по умолчанию.
• Измените SSID и сделайте его скрытым.
• Ограничьте диапазон сигналов Wi-Fi (рекомендуется для домашних пользователей).
• Используйте надежные методы шифрования.
• Разверните межсетевой экран / WIDS / WIPS / NAC (рекомендуется для корпоративных сетей).
• Обеспечьте безопасность настроек клиента 802.1X (например, с помощью сертификатов).
• Используйте 802.1X (например, 802.11i), который использует расширяемый протокол аутентификации (EAP)
• Используйте аутентификацию пользователей вместо PSK. Для этого вам потребуется сервер RADIUS / AAA.
• Следитте за выпуском обновлений, чтобы применять самые «свежие» патчи и поддерживать максимально высокий уровень безопасности вашего аппаратного и программного обеспечения.

Некоторые из продуктов, используемых для обеспечения безопасности Wi-Fi, – это Cisco Wireless Security Suite, WatchGuard Wi-Fi Security, Sonicwall Distributed Wi-Fi Solution, и CheckPoint UTM-1 Edge W.

Как извлечь метаданные из докуметов Microsoft Office и Adobe PDF файлов

Ни для кого не секрет, что многие типы документов могут содержать метаданные, которые несут в себе огромное количество полезной для исcледователя информации.

Эти данные могут, например раскрыть информацию об дате создания,изменения, об авторе документа и т.д. Полученные данные могут быть отличным источником информации для вашего расследования инцидента информационной безопасности, а также при развездке на основе открытых источников (OSINT).

Существует множество онлайн ресурсов для проверки pdf файлов на содержание в них метаданных, однако когда речь идет о внутренних и/или конфиденциальных документах, отдавать их куда-то на сторону будет не самым лучшим решением. В такой момент на помощь может прийти программа MetaExtractor. Указанный иструмент позволяет извлечь метаданные сразу из большого колличества документов в течение нескольких минут.

Особенности:

• Поддержка анализа файлов OpenOffice
• Поддержка анализа solidWorks CAD чертежей
• Собственный анализ файлов (не требует установки Office или Acrobat)
• Поддержка форматов файлов Office 2003/2007/2010/2013
• Поддержка документов Adobe PDF
• Можно выбрать опеределенную директорию для анализа всех файлов, содержащихся в ней
• Можно выбрать несколько отдельных файлов
• Экспорт результатов в CSV для удобного анализа и отчетности
• Интерфейс программы поддерживает сортировку по дате/времени
• Содержит более 40 полей метаданных
• Бесплатен как для личного, так и для коммерческого использования
• Подходит для Windows
• Не требует установки (portable)

Скачать можно на официальном сайте производителя Скачать