» Навигация
Your Cart

Блог

23 Oct Знатный велосипедист! Атака към сайта от естонски адрес.
Тодор Донев 0 22
Вчера през деня, сайта беше атакуван от естонски IP адрес - 45.11.183.115. Това което ме накара да блогна е, че въпросния lamer прегледа повечето постове и накрая реши да си пробва късмета. В общи линии направи около 400 опита да изпълни SQL заявки, като payload-ите бяха не много различни, като част от тях бяха и преобразувани в base64. Верно ли ?! :D   Ето и малко screenshot-ове:      Чудя се дали да не ви направя зала на славата, ей така да си ви гледат. :)..
21 Oct Zerologon - неоторизирана подмяна или възстановяване на парола
Тодор Донев 0 38
Вчера един приятел ме попита какво мисля за ZerLogon проблема и реших да блогна кратко, та ето и поста. Преди няколко дни излезе PoC експлойт за Microsoft, който манипулира Домейн Контролер, позволявайки на не оторизиран потребител да се логне в контролера с празна парола. Този проблем позволява манипулация на криптографията в MS-NRPC, като в следствие на недоглеждане контролера може да бъде хакнат. Проблемът е открит от Tom Tervoort от компанията за киберсигурност Secura. Уязвимостта всъщност беше пачната през август, но едва след като Том публикува своя доклад през септември, започнахме да виждаме PoC и други дейности. В доклада, Том подробно описва откритието си и процеса, довел до него. По време на изследванията си той забелязва значителна липса на информация за MS-NRPC. Заинтригуван, ..
21 Oct Cloudflare CDN for Opencart (Module) - IP Spoofing
Тодор Донев 0 26
Преди известно време ви бях пуснал парче код за проверка и евентуално предефиниране на REMOTE_ADDR, с което да може да виждате, кои са реалните IP адреси, които се свързват с вашият уеб сайт, ако той евентуално е зад Cloudflare или Incapsula. Въпреки, че са работещи не е разумно да ги използвате в случай, че по някаква причина уеб сайта не е перманентно зад някои от CDN-ите. Проблемът е, че тази проверка може лесно да бъде exploit-ната. Самият секюрити проблем се крие в това, че ако за момент сте спрели поддръжката на CDN-а, някой атакуващ може да spoof-не REMOTE_ADDR адреса. Оттам нататък има най-различни хипотези за това какво може да се случи. Примерно може да доведе до заобикаляне на динамичен Firewall, който сте реализирали през CMS-a. За целта ще е необходимо просто да му се подаде х..
30 Sep Емил Кюлев удари отново
Тодор Донев 0 246
Малко изоставам с блога, понеже тези дни съм решил да разпиша една мониторингова система. Все още се колебая дали да я пускам open source. Вчера съвсем случайно получих мейл от Емил Кюлев, който е изпратен до редица други пощенски кутии, които са предимно на медии. В някой от предишните постове май съм споменавал, че Емил Кюлев ми пусна съобщение през контактната форма и аз естествено от благоприличие му върнах. Бях му задал няколко въпроса, които все още чакам да ми отговори, ако има желание. Умишлено няма да ги пускам като "отворени въпроси", а той ако прецени и има желание, ще отговори. Казвал съм го и преди - Това е мой личен блог и не претендирам за журналистическа обективност и етика. Не ме интересуват всички гледни точки, като съм споменавал и защо. Пиша за собствено удоволствие и н..
17 Sep Тунинги, оптимизации, фиксове, бъгове
Тодор Донев 0 341
Правих малко тунинги, оптимизации и фиксове по конфигурацията на блога. Натъкнах се на странен бъг в Cloudflare благодарение на допълнителните хедъри, които съм сложил. Добре конфигурираните хедъри за допълнителна сигурност, могат да ви бъдат полезни за откриване и премахване на проблем за който не предполагате. В случая при мен се получаваше странна грешка от страна на Cloudflare, за която няма много информация в нета и хелп центъра им. Проблемът се оказа в правилата на firewall-а, който допълнително съм конфигурирал за подсигуряване на системите ми. Открих, че когато имаме припокриващи се правила, се получава колизия и респективно Cloudflare връща 520 грешка. Хубавото е, че както се казваше в крилатата фраза - "Когато живота ти поднесе лимони, си направи лимонада", така направих и аз. Се..
01 Sep Security.txt - един малък текстови файл, но огромна помощ за специалиста по киберсигурност
Тодор Донев 0 936
Един пост в Интернет Сторм Центъра ми направи впечатление или по-точно си спомних за нещо, за което исках да ви пиша отдавна и реших да ви драсна пост. Вероятно на онези от вас, които са откривали някакъв секюрити проблем на даден уеб сайт, им е било доста трудно да сигнализират на организацията собственик, лицето собственик или изобщо някой който е подходящ да се справи с него. Идентифицирането на правилния домейн за контакт с лице, което да бъде технически грамотно, регистриран от компания, която управлява свои собствен CERT, CSIRT или PSIRT, обикновено е доста лесно, но за останалите може да доведе до главоболие.   Ако смятате, че това може да се отнася и за уебсайтове / домейни, за които вие сте отговорни, един от начините, по който бихте могли да улесните трети страни да ви докладват ..
30 Aug Една от последните фишинг кампании, насочени срещу клиенти на ДСК Банк
Тодор Донев 0 796
Вероятно много от вас са получили съобщение, уж идващо от банка ДСК. Не мога да кажа точно колко пощенски кутии са получили съобщението, но със сигурност са доста, имайки предвид предишните фишинг кампании. Подобно на предходните фишинги и тук разни недобросъвестни хора се опитват да откраднат данни от клиенти на банка. Този път мишената е ДСК, въпреки че от кода на скама има и препратки към друга банка, вероятно защото са преправяли скам страницата, като са използвали за шаблон скам, допускайки много грешки при напасването, който е използван за измама на клиенти свързани с FIBank. Фалшивата страница както и самата кампания са непрофесионално изпълнени както при досегашните кампании, които целят да откраднат някакви банкови данни. Писмото е озаглавено: трябва да потвърдим вашата самоличнос..
26 Aug Website GEO Protection for OpenCart v1.7 - Хардкоднат частен ключ
Тодор Донев 0 768
Съвсем случайно попаднах на това недоразумение, та реших да го споделя с вас. Това всъщност е screenshot от един модул за защита на електронен магазин, който е базиран на Opencart. Вярвам, че няма нужда да ви обяснявам, че по принцип това не е правилния начин за работа с ключове, просто защото не е сигурен. Отделно тази реализация можеше да стане по подобен начин, но ключа да се генерира, а да не бъде твърдо фиксиран в кода (hardcoded)...
25 Aug Хакнаха Централния депозитар
Тодор Донев 0 891
Мина малко време от последното писане та реших да драсна нещо. Тези дни фиксвам разни неща в общи линии - алабалистики. Един полупост стои в бокса за една от миналите наскоро фишинг кампании срещу клиенти на банка ДСК. Ще го пусна когато го оформя и довърша. Не ми остава време. Трябва да почна да правя по-чести screenshot-и на разни интересни новини и сайтове свързани със спам/фишинг, някоя хакната платформа, уебсайт или услуга. Преди няколко дни "призрака" който удари базите на МВР, ДКХ, Омбудсман на България, БГ Пощи, Парламента, БиТиВи, ПРБ, Агенция Монитор, Софийски Районен Съд и Еконт беше стартирал сайт чрез който отново продаваше базите на въпросните институции и медии. Не съм писал за това, но пак, както обикновено сайта АФЕРА сподели мейлите изпратени до тяхната редакция в които х..
17 Aug memdelete - Secure Memory (RAM) Cleaner v1.0
Тодор Донев 0 1421
Това е инструмент, който ще ви помогне да си почистите RAM-а по сигурен начин. Работи по подобен на shred начин, но се прилага за RAM. memdelete прави сигурно презаписване на паметта (RAM), тъй като съдържанието на паметта може да бъде възстановено дори след изключване. Преди да стартирате се уверете, че сте изключили всички приложения, които сте използвали.#include #include #include #include #include #include #include #include#ifdef BLOCKSIZE #undef BLOCKSIZE #endif #define BLOCKSIZE 65536 #define RANDOM_DEVICE "/dev/urandom"char buffer[BLOCKSIZE+2]; FILE *devrandom = NULL;void cleanup() { fprintf(stderr,"\n[ Terminated by signal. Clean exit.\n"); fclose(devrandom); fflush(stdout); fflush(stderr); exit(1); }int main () { int result; printf("[ memdelete - Secu..
05 Aug NSA публикува доклад със съвети за намаляване на рисковете от издаване на местоположението
Тодор Донев 0 1267
Чудех се дали да пиша за това, но май ще бъде полезно. Вчера през деня, журналиста Димитър Стоянов от Бивол пусна пост във Facebook свързан с това, че в ПРБ има издадена заповед да не се използват работни станции за браузване в интернет, като неговите източници споменават, че има и списък със страници, които изрично се забраняват в това число и Google. Не става ясно кога е издадена тази заповед и кой/кои са източниците. Информацията очевидно е неофициална. Това ограничение вероятно се налага, за да не бъдат компрометирани работни станции на институцията.    Горе долу по същото време, Американската агенция за национална сигурност (NSA) публикува насоки във формата на доклад, как да се излага възможно най-малко информация за местоположението, докато се използват мобилни и IoT устройства, с..
01 Aug Сайтът на агенция Монитор дефейснат отново
Тодор Донев 0 1852
Монитор отново беше дефейснат. Очевидно е, че атакуващите са спазили някои от основните правила при хакване, а именно - "Остави си задна врата, за да се възползваш отново при нужда". Аз лично не мога да кажа, дали агенцията отново е била хакната или просто хората са си оставили вратичка, за да се възползват когато сметнат за добре. Струва ми се, че просто не са взели никакви мерки, за да противодействат на евентуален нов опит за проникване и подмяна на съдържанието. Да, знам. Разследването на киберинцидент е сложна задача и като цяло е бавен и методичен процес. Въпреки това е абсолютно наложително да се направи обстоен анализ на случилото се и подробен одит на кода и системите, които движат сайта на агенцията. Този път освен посланието, атакуващите са пуснали шотове от контролния панел. Хи..
31 Jul Удариха агенция Монитор и сайта им е бил дефейснат
Тодор Донев 0 1841
Снощи към 8 часа вечерта е бил ударен и сайта на агенция Монитор. По всичко изглежда, че отново става дума за хората, които преди няколко седмици обявиха, че са издъмпили базите на сайтовете на Министерство на Вътрешните работи, Български пощи, Омбудсман на България, Парламент, Държавна комисия по хазарта и Софийски районен съд. Атакуващите са дефейснали последният пост в news feed-а на сайта към онзи момент (или поне конструкцията на блок дизайна на лендинг страницата ме навежда на тази мисъл) - Президентът освети връзката си с Прокопиев, призна, че е готов със служебен кабинет (или поне към нея сочи архивното копие, което са направили в Интернет архива, на дефейса), като са подменили информацията съдържаща се зад линка. Това което са оставили като послание е: Здравей Шиши #БъдетеСм..
25 Jul Нетера спря над 15 DDoS атаки при срес тест, организиран от техен клиент
Тодор Донев 0 1843
Покрай преглеждането на новините, отразяващи протестите  и коронакризата, съм пропуснал да погледна една интересна новина (може и да са повече), а именно, че клиент на Нетера си е организирал DDoS стрес тест. От Нетера споменават, че са противодействали на 15 различни атаки, насочени към техен клиент. В рамките на 3 часа сървърите на въпросния клиент, са били подложени на DDoS - Volume Based Attacks, Protocol Attacks и Application Layer Attacks. В новината се споменава, че хибридната защита на телекома се е справила успешно. От сайта на Нетера става ясно, че могат да предложат DDoS защита на Layer 3 до Layer 7 включително. Облачната платформа може да спре атаки с големина над 1.8 Tbps, а специализираното хардуерно оборудване гарантира, че това няма да внесе допълнително времезакъснение, мо..
22 Jul Демосцената - Компютърно пиратство или Ако един софтуер ви харесва си го закупете
Тодор Донев 0 1287
Навярно за много от вас, първия компютър с разумна сценична дейност и графична среда е бил Commodore 64 или някои от дериватите му, може би NES. Е за по-младите може би не, защото тези компютри отдавна ги няма въпреки, че има нов Commodore 64, но ако ви е интересно може да откриете изключително много информация по темата. Може да започнете с линк към Уикипедия - Commodore 64. Причината за популярността на тези микрокомпютри, беше големият брой за тях, публикувани  игри. Commodore 64 съответства на качеството на аркадните зали за игри в областта на звука и музиката, но също така залага на игровите конзоли от онова време, които не бяха програмируеми от потребителя и най-важното - конзолните игри не бяха лесно копируеми. Разбира се, всеки ден хората не биха могли да си позволят да купуват дес..
20 Jul Защо е важно да имате ефективен CERT във вашата организация ?
Тодор Донев 0 1238
Компютърен екип за реагиране при извънредни ситуации (CERT) е група от експерти по киберсигурност, отговорни за защитата, откриването и реакцията при инциденти в киберсигурността на организацията. CERT може да се съсредоточи върху разрешаването на проблеми свързани с инциденти, като например загуба на данни и кибератаки тип "Отказ от Обслужване", както и предоставяне на сигнали, съвети и указания за обработка и противодействие на киберинциденти. CERT също провеждат кампании за повишаване на обществената информираност и участват в изследвания, насочени към подобряване на системите за киберсигурност. Изключително важно е всяка организация да има екип, който да се занимава с противодействието на такива проблеми. Писал съм ви в блога, че кибератаките не са нещо преходно. Компютърните атаки са ..
17 Jul Мащабни кибератаки срещу български държавни институции - Разрешено по подразбиране
Тодор Донев 0 1307
Вчера пуснах пост за вероятния теч на данни от държавни институции, за който сайта АФЕРА съобщи преди седмица. Този теч на данни е съизмерим с размерите на НАПLeaks и е също толкова ужасен. При този инцидент все още няма коментари по темата, все още няма обявени заподозрени, все още няма развитие и това мен лично ме притеснява. Със сигурност обаче, ако тези данни станат публично достояние, проблемите които може да се отворят ще бъдат неизмерими. Практически тези данни са вечни или ако не са вечни, то жизнения им цикъл е изключително голям и далеч надвишава средната продължителност на живота в страната. По принцип не би трябвало тъй като една система трябва да се развива и винаги трябва да има възможност за инвалидизиране на данните, един вид ако в най-лошия случай станат публично достояние..
16 Jul Мащабни кибератаки срещу български държавни институции
Тодор Донев 0 1952
По време на протестите, които се провеждат в цялата страна, сайта АФЕРА публикува информация със screenshot с приложени оферти за закупуване на дъмпове и кратка информация за това какво включват, на бази данни от сайтовете на Министерство на Вътрешните работи, Български пощи, Омбудсман на България, Парламент, Държавна комисия по хазарта и Софийски районен съд. Няколко дни по-късно хората, които са дъмпнали базите са пуснали ново съобщение в което казват, че базите ще бъдат публикувани напълно свободно (или поне аз така разбирам от публикацията в АФЕРА), подобно на Shadow Brokers с инструментите на NSA. Споменава се, че от тези бази най-интересна е тази на МВР. Ето и цитат от съобщението, което са пратили:   До няколко дена пускаме датабазите публични, а по-специалната е тази на mvr.bg. В ..
02 Jul CISA и FBI споделят съвети за защита срещу кибератаки, идващи от Tor мрежата
Тодор Донев 0 2019
В предният пост ви казах, че често TOR се използва по грешен начин и по-скоро системните администратори го възприемат по грешен начин, блокирайки достъпа на потребители които използват тази мрежа. Както винаги, аз малко изпреварих събитията и в тази връзка, CISA днес издаде насоки за предпазване от кибератаки, които използват мрежата за анонимност - Tor, за прикритие на атакуващите. Четете предния пост - ТукTor е софтуер, позволяващ анонимност в интернет чрез автоматично криптиране и пренасочване на уеб (но не само) заявки на потребителя чрез мрежа от Tor Nodes (релейни слоеве). Инфраструктурата на Tor често се използва и от недобронамерени потребители, за да скрият местоположение си, като скрият истинските си IP адреси, когато извършват злонамерена кибер активност. По начало Tor е създ..
30 Jun Amazon Shield спря рекордна DDoS атака от 2.3Tbps
Тодор Донев 0 2022
Преди няколко дни от Амазон пуснаха доклад за първо тримесечие свързан с DDoS атаките. Това което ми направи впечатление е, че AWS Shield-а е успял да смекчи атака от над 2.3 Tbps. Всъщност това е рекорд. Предходните най-сериозни атаки, които надвишаваха 1 терабит за секунда, бяха от порядъка на 1.3 Tbps и 1.7 Tbps.Ето и малко статистика от доклада (в края на поста ще дам и пълния линк, за да го разгледате):Интересното в случая е, че това е била Рефлекторна атака по UDP, манипулираща cLDAP протокола. Ако сте разглеждали уязвимостите, които съм репортвал ще попаднете точно на PoC свързан с манипулацията на cLDAP-а. Това всъщност не е първия път, когато някой се възползва от уязвимости, които аз съм репортвал с образователна или чисто демонстративна цел. Например, при ботнет-а Mirai,..
Показани са от 1 до 20 от общо 70 резултата на (4 страници)

Отговорности

Информацията, анализите, новините, ревютата както и всички останали дигитални активи на този сайт, са САМО и ЕДИНСТВЕНО, създадени с образователна цел. Не използвайте информацията без разрешение. Обичайният отказ от отговорност се прилага за всички активи и особено фактът, че Аз - Тодор Донев, не нося отговорност за вреди, причинени от пряко или косвено използване на предоставената от този сайт, информация или функционалности. Авторът не носи отговорност за злоупотреба с тази информация, както и производни на нея, информационни публикации. Използвайки този информационен източник, вие приемате и се съгласявате с факта, че всякакви повреди (загуба на данни, срив и компрометирания на чужди системи и т.н.), причинени от използването на тази информация, не е отговорност на Тодор Донев, а само и единствено Ваша. Целта на сайта е да ви информира за заобикалящата ви, околна среда в киберпространството и спомагане за повишаване на дигиталната култура и киберсигурност, а не да ви провокира да извършвате незаконосъобразни действия, върху информационни активи на трета страна без разрешение в следствие от усвояване/възприемане/асимилиране на информацията от този блог.