Архив метки: Безопасность

Как защитить USB-порты в Linux

Как защитить USB-порты через BIOS, и мы также покажем вам, как использовать, устанавить USBguard в Linux.

Одним из компонентов аппаратного обеспечения, которые необходимы при выполнении нескольких задач в любой операционной системе, являются порты USB, поскольку в них мы можем подключить сотни устройств таки,х как USB-накопители, цифровые камеры, мобильные устройства и многие другие.

Как защитить BIOS в Linux

Первым шагом, который мы можем предпринять в качестве пользователей или системных администраторов, является защита запуска системы или загрузка с помощью пароля, таким образом, если машина может оставаться в бездействии  в течение определенного периода времени, мы предотвратим несанкционированное использование доступ к информации.

Если мы хотим установить пароль в начале операционной системы, мы должны перезапустить или запустить, если компьютер выключен, и нажмите клавиши «Esc», «F2», «Delete» или тот, который указан производителя для доступа к BIOS. Как только мы перейдем на вкладку «Security» и перейдем к строке «Password on Boot»:

Чтобы эта опция была активной, мы должны определить пароль в строке «Set user password».

Нажатие «Enter» в этой строке и система отобразит следующий параметр, в котором мы выберем опцию «Enabled».

После того, как пароль включен, нажмите клавишу «F10», чтобы сохранить изменения.

Таким образом, когда система запускается, мы увидим следующее:

Как использовать и устанавить USBGuard на Linux

На данный момент -это одно из лучших приложений для защиты среды Linux на уровне USB-портов, поскольку USBGuard был разработан для защиты компьютера от опасных USB-устройств, реализуя политику белых списков и функции черного списка на основе атрибутов USB-порта.

Эти вредоносные USB-устройства также известны как BadUSB.

Для установки USBGuard в Linux, как мы упоминали, мы будем использовать Ubuntu 17.04, и для этого мы выполним следующее:

sudo apt install usbguard

Чтобы запустить процесс авторизации USB-устройства через USBGuard, мы выполним следующие команды:

sudo usbguard generate-policy > rules.conf

sudo nano rules.conf

После открытия файла мы увидим следующее:

В этих строках будут добавлены и разрешены все устройства, которые в настоящее время подключены.

Мы можем исключить или закомментировать строки устройств, которые мы не хотим разрешать.

Чтобы авторизовать устройство, мы выполним следующие команды:

sudo install -m 0600 -o root -g root rules.conf /etc/usbguard/rules.conf

sudo systemctl restart usbguard

Как проверить USBGuard на Linux

В то время, как в системе будет обнаружено любое USB-устройство, которое мы подключаем к компьютеры, оно не будет работать.

Чтобы перечислить подключенные USB-устройства, мы выполним следующее:

lsusb

Там мы увидим USB-устройство, которое мы только что подключили – Kingston Digital.

Чтобы добавить это устройство в список разрешенных устройств, мы перейдем к редактированию следующего файла:

sudo nano /etc/usbguard/rules.conf

Там мы должны добавить идентификатор USB-устройства для авторизации в последней части файла:

Сохраните изменения, используя клавиши Ctrl + O и выйдите из редактора, используя клавиши Ctrl + X.

Мы должны перезапустить службу USBGuard, запустив:

sudo systemctl restart usbguard

Теперь просто отключите и снова подключите USB, и мы можем получить доступ к нему из проводника, как обычно.

Таким образом, Linux позволяет выполнять устройства, которые соответствуют добавленному идентификатору, иначе они будут отклонены.



2018-08-28T10:46:37
Закрытие уязвимостей

✗ Dark Tequila Añejo кража информации трояном из Мексики ✗

Исследователи из Касперского выпустили информацию о кампании «Черная текила», которая нацеливается на Мексику с основной функцией кражи финансовой информации.

Вредоносная программа также крадет учетные данные для входа на популярные веб-сайты, которые варьируются от репозиториев версий до учетных записей общего хранилища файлов и регистраторов доменов.

Существуют два известных метода заражения, фишинг и зараженные USB-устройства.

Модули кампании вредоноса:

  • Модуль 1, который отвечает за связь с сервером управления. Он проверяет, выполняется ли проверка сети «MITM», путем проверки сертификатов с помощью нескольких очень популярных веб-сайтов.

  • Модуль 2 – CleanUp. Если служба обнаруживает какой-либо «подозрительный» вид деятельности в среде, например, тот факт, что она запущена на виртуальной машине или что инструменты отладки работает в фоновом режиме, она выполнит этот модуль, чтобы сделать полную очистку системы, удаления службы сохранения, а также любых файлов, созданных ранее в системе.

  • Модуль 3 – Keylogger и Windows Monitor. Он предназначен для кражи учетных данных из длинного списка сайтов онлайн-банкинга, а также общих Cpanels, Plesk, онлайн-систем резервирования рейсов, Microsoft Office365, клиентов Lotus Lotus Notes, электронной почты Zimbra, Bitbucket, Amazon, GoDaddy, Register, Namecheap, Dropbox , Softlayer, Rackspace и других сервисов.

  • Модуль 4 – похититель информации, который предназначен для кражи сохраненных паролей в почтовых и FTP-клиентах, а также в браузерах.

  • Модуль 5 – USB-фильтр.Он копирует исполняемый файл на съемный диск для автоматического запуска. Это позволяет вредоносным программам перемещаться в автономном режиме через сеть жертвы, даже если только один компьютер был скомпрометирован с помощью фишинга. Когда к зараженному компьютеру подключен другой USB-порт, он автоматически заражается и готов к распространению вредоносного ПО на другую цель.

  • Модуль 6 – сторожевой таймер службы. Эта служба несет ответственность за правильную работу вредоносного ПО.

Эта кампания берет свое начало в2013 году в соответствии с данными Kaspersky и по-прежнему остается активной.

Справочные хеши:

  • 4f49a01e02e8c47d84480f6fb92700aa091133c894821fff83c7502c7af136d9

  • dce2d575bef073079c658edfa872a15546b422ad2b74267d33b386dc7cc85b47

Ссылки C2s:

  1. hxxps://46.17.97.12/website/

  2. hxxps://174.37.6.34/

  3. hxxps://75.126.60.251/store/

Рекомендации

  • Блокируйте все IOC на основе URL и IP на брандмауэре, IDS, веб-шлюзах, маршрутизаторах или других устройствах на основе периметра.

  • Используйте обновленный антивирус и убедитесь, что ваш текущий поставщик САВЗ имеет покрытие этого трояна

  • Осуществите поиск существующих признаков указанных IOC в вашей среде и почтовых системах.

 



2018-08-24T11:48:21
Закрытие уязвимостей

Запрет монтирования каталогов хоста в Docker контейнере

Пользователь может запустить контейнер docker с монтированием каталога хоста.

Как примонтировать каталог хоста в Docker контейнер

например нам необходим каталог /home/user/db Читать

Прекратите использовать Trello в качестве менеджера паролей (как получить пароль пользователей с помощью Google Dorks)

Просто используя Google dorks (inurl: https: //trello.com И intext: @ gmail.com И intext: password), мы можем получить все панели мониторинга Trello, где люди фактически размещают свой логин / пароль и делят их со своими членами команды.

это номер логина / пароля для адресов электронной почты, которые мы можем найти, ТОЛЬКО В Google.

пожалуйста, люди, обратите внимание и станьте параноиком при обращении с вашими личными данными

Google Дорки

inurl:https://trello.com и intext:@gmail.com и intext:password

Примечание: Информация для исследования, обучения или проведения аудита. Применение в корыстных целях карается законодательством РФ.



2018-08-02T10:54:40
Закрытие уязвимостей

Остановите криптоджекинг атаку на браузер s с бесплатным плагином браузера Coinblocker!

Что такое криптоджекинг?

Знаете ли вы, что ваш браузер можно использовать для майнинга криптовалюты?

Ну да , вы не ослышались, киберпреступники делают это, вернее вы за них, и они настраивают среды, которые завлекают незнающих пользователей.

Но все это можно остановить простым, но эффективным плагином, который вы можете использовать в своем браузере.

Плагин, о котором я говорю, это плагин Coinblocker от Qualys.

Загляните сюда и загрузите его, чтобы ваше устройство было защищено от криптоджекинговых атак.

Расширение Qualys CoinBlocker позволяет блокировать атаки на основе монетизации в вшем браузера. Наряду с «черным списком» и «белым списком доменов» он также поддерживает расширенное сканирование JavaScript для выявления и блокировки вредоносных функций javascript. Расширение также может идентифицировать и блокировать рекламные объявления с вредоносными майнерами, загруженные внутри iframe сторонними объявлениями.

Обычная текстовая ссылка для загрузки:

https://chrome.google.com/webstore/detail/qualys-browsercheck-coinb/jdocohkgkgpminecekdnkoljcffebkgc



2018-07-26T11:34:56
Закрытие уязвимостей

Как скрыть версию Apache, информацию о сервере, заголовок, версия Php

Скрыть номер версии Apache

Для скрытия информации об Apache вам необходимо редактировать конфигурационный файл Apache /etc/httpd/conf/httpd.conf

 nano /etc/httpd/conf/httpd.conf

Меняем

 ServerTokens Os

ServerSignature On

на

ServerTokens Prod или ServerTokens ProductOnly

ServerSignature Off

Теперь вам нужно перезапустить сервер Apache, используя следующую команду:

 # service httpd restart

Теперь вывод для заголовка apache выглядит как ниже

Server: Apache

Скрыть сведения о версии PHP:

Чтобы скрыть информацию PHP, вам нужно отредактировать файл /etc/php.ini и изменить следующие параметры.

Если вы не знаете где находится этот файл, посмотрите тут:

Где находится файл php.ini?

 # vim /etc/php.ini

Меняем

expose_php On

на

expose_php Off

Теперь вам нужно перезапустить сервер Apache

 # service httpd restart

После этого изменения PHP больше будет добавлять свою подпись в заголовок веб-сервера.



2018-07-17T15:21:12
Закрытие уязвимостей