Principy fungování operace Windigo

Tento úvodní článek seriálu o operaci Windigo popisuje způsob jakým útok funguje. Upozorňuje na nebezpečnost jeho tvůrců, kteří na odhalení budou prakticky určitě reagovat. Většina informací zde uvedených vychází z dokumentu v anglickém jazyce na webu welivesecurity.com, Operation Windigo. Můžete se ale také těšit na mé vlastní závěry z publikovaných faktů. A to zejména v dalších dílech, které se budou zabývat technickými podrobnostmi. Seriál navazuje volně na můj článek Kontrolní skript na operaci Windigo 1.0.2 a Další vývoj operace Windigo.

Samotná operace Windigo je velice propracovaný a velice dobře navržený i provedený útok. Jeho rozsah, schopnost zůstat skrytý ve své komplexnosti po mnoho měsíců i roků, široká přenositelnost kódu, i profesionalita provedení je zcela bezprecedentní.

Celý příspěvek

Kdo na mě útočí a využívá chybu v OpenSSL známou jako Heartbleed?

Způsobů detekce útoku na OpenSSL je k dispozici, samozřejmě, daleko více. Heartbleed openssl bug vector shapeTento je ale velice jednoduše realizovatelný i na běžném serveru s operačním systémem Linux. Nepotřebujete žádné IPS/IDS. Jestli se tedy chcete trochu morbidně pobavit, čtěte dále. 🙂

Celý příspěvek

Používáme OpenSSL – příprava a odvolávání certifikátů

Článek popisuje postup práce s OpenSSL při přípravě požadavku na certifikát, práci s certifikační autoritou a postup při odvolávání kompromitovaného certifikátu. Napadlo mě, že po odhalení bezpečnostní chyby v OpenSSL se návod na generování a revokaci certifikátů mnohým z vás může hodit. Pokud ještě nemáte připravenu certifikační autoritu, přečtěte si nejprve článek Používáme OpenSSL – příprava certifikační autority.

Celý příspěvek

Používáme OpenSSL – příprava certifikační autority

V tomto článku je podrobně popsán postup zprovoznění certifikační autority s využitím OpenSSL.V článku bezprosstředně následujícím popíšu postup přípravy požadavku na certifikát, vytvoření certifikátu certifikační autoritou a postup jeho odvolání. Pokud již máte funkční certifikační autoritu a pořebujete návod na nahrazení a odvolání certifikátu, čtěte článek Používáme OpenSSL –  příprava a odvolávání certifikátů.

Celý příspěvek

Jaké certifikáty OpenSSL musíme odvolat?

Aktuálním problémem mnoha administrátorů Linuxu se stala bezpečnostní chyba v OpenSSL známá jako Chyba krvácejícího srdce. Provedli aktualizace software, nahradili a případně i odvolali Heartbleed openssl bug vector shapecertifikáty na webových serverech. Postup ve složitějších případech, jako použití certifikátů v OpenVPN, již není tak jasný. Pokusím se v tomto článku tuto problematiku trochu přiblížit.

 

Vycházím ze stavu, kdy máte OpenSSL již aktualizováno na verzi, která není zranitelná. V tuto chvíli je pro mnohé administrátory Linuxu otázkou, jak přesně postupovat dále.

Celý příspěvek

Závažná bezpečnostní chyba v OpenSSL

Heartbleed openssl bug vector shapePostižené jsou verze OpenSSL 1.0.1 až po verzi 1.0.1f a 1.0.2beta. Bezpečnostní incident teoreticky umožňuje získání privátních klíčů při použití certifikátů užívaných na systémech se zranitelnými verzemi OpenSSL.

Bezpečnostní chybou je zasažen mimo jiné i RHEL 6 (samozřejmě i CentOS 6). Měl jsem díky tomu poměrně rušný den.

Celý příspěvek

Kontrolní skript na operaci Windigo verze 1.0.2

Připravil jsem pro vás novou verzi skriptu pro kontrolu napadení serveru operací Windigo.

Jeho způsob použití se nezměnil od verze 1.0.1. Je popsán v článku Kontrolní skript na operaci Windigo.

Byla vylepšena zejména kontrola knihoven libkeyutils. Dále byly přidány nové signatury napadených verzí webového serveru komponentou Linux/Cdorked. Změny v testování Parl/Calfbor a Linux/Onimiki jsou pouze kosmetické.

Celý příspěvek

Další vývoj operace Windigo

Operace Windigo byla odhalena. Ale znamená to její konec? Bohužel, téměř jistě ne. Okolnosti nasvědčují tomu, že o operaci Windigo ještě uslyšíme. V tomto článku se dozvíte, proč mám tento názor.

Nebezpečí operace Windigo stále trvá

Nebezpečnost operace Windigo nelze považovat za zažehnané. Autoři útoku Windigo již v minulosti více než jednou reagovali na odhalení komponenty, a vytvořili její novou verzi, která je proti dříve popsané ochraně odolná. Dokázali takto reagovat v horizontu dvou měsíců. Je velice pravděpodobné, že se pokusí svoji aktuální základnu 10.000 napadených serverů ochránit, a znovu rozšířit pomocí nových verzí škodlivých modulů, pro které stávající detekční postupy nebudou fungovat. Nejspíše na tom již intenzivně pracují.

Celý příspěvek

Kontrolní skript na operaci Windigo

Informace o operaci Windigo zasáhla svět Linuxu jako bomba těžkého kalibru.

Včera ráno nám začali volat naši zákazníci a ptali se, jestli jejich servery jsou v pořádku.  Předevčírem jsem řešil spíše problémy daňové, tak jsem si ráno s mírným překvapením přečetl zprávu o operaci Windigo, na jejímž odhalení se významně podílel Eset.

Máme okolo 60 Linux serverů na veřejném adresním prostoru. Bylo mi proto ihned jasné, že kontrolovat je ručně znamená jistou cestu do blázince. Naprostá většina z nich je sice instalovaná tak říkajíc „skoro na tutovku“, ale jak známo, nic není úplně na 100 %.

Celý příspěvek

MS Exchange: 2010: Automatické vkládání patičky do zpráv.

Někdy se můžete setkat s požadavkem na automatické vkládání informací do odesílaných zpráv – nejčastěji právní informace k odesílanému textu či vkládání podpisu nebo loga firmy. Ukážeme si na jednoduchém příkladu jak na to.

Pokud nechceme, aby vkládané informace ovlivňoval uživatel, tak použijeme pravidel v „Transport Rules“ na Exchange serveru následovně:

Celý příspěvek

Projekt STARTUP

Začátkem roku jsme ve spolupráci s našimi partnery zahájili projekt STARTUP.

Projekt STARTUP

Podporujeme začínající podnikatele

Je určen začínajícím podnikatelům, kteří potřebují dát pevnou oporu svému novému projektu pomocí informačních technologií, a zároveň mají nedostatek financí.

Podpoříme váš projekt nepřímo i finančně, protože zpočátku budete mít naše služby zcela zdarma.

Pomůžeme vám vybudovat vaše podnikání také tím, že vám navrhneme nízkonákladová řešení z oblasti informačních technologií. Tato řešení, přirozeně, podpoří vaši konkurenceschopnost.

Více informací o projektu STARTUP a možnost, jak se jej zúčastnit najdete na našich podnikových stránkách.

 

Jak (ne)poptávat správu Linux serveru

Jako na profesionála v oblasti správy serverů s operačním systémem Linux se na mě až příliš často obracejí potenciální zákazníci s požadavkem, který jako by vypadl z kopírky podle následujícího vzoru: „Máme Linux server, všechno nám tam funguje, jenom …“ Jak začnou takto, už tuším, že se bude jednat o „… jenom“ zakázku, jak ji nazývám. To „… jenom“ je jiný výraz pro „noční můra“.

Celý příspěvek

Použití programu GPG

V článku jsou vysvětleny základní příkazy potřebné pro používání programu GPG v prostředí příkazového řádku operačního systému Linux. Napsáním tohoto článku nechci nahrazovat manuálové stránky nebo snad kompletní dokumentaci programu GPG. Jsem praktik, sepisuji pro vás proto  jen základní úkony, které každý administrátor Linuxu občas potřebuje. Dokumentace k programu GPG je natolik rozsáhlá, že nastudování těchto parametrů, a jejich opětovné vyhledávání po nějakém čase, kdy jsem již přesnou syntaxi příkazů zapomněl, mě samotného stála dost času. Snad vám tento článek čas ušetří.

Při praktickém používání programu GPG nejčastěji využíváme následující příkazy.

Pro získání veřejnho klíče z výchozího keyserveru:
$ gpg –recv-keys ID_klíče

Celý příspěvek

Nastavení OpenVPN na straně klienta

Návod krok za krokem:
Jak nastavit OpenVPN na straně MS Windows klienta?

Nejprve je třeba nainstalovat klienta OpenVPN s grafickým rozhraním. Verze instalace je závislá na operačním systému: Po jejím nainstalování se zobrazí vpravo dole na liště nová ikona – OpenVPN GUI.

Na straně serveru je ve webovém rozhraní přiraven konfigurační balíček. Takto fungují distribuce IPCop, IPFire a možná i další, se kterými nemáme zkušenost. Postup správce firewallu není předmětem tohoto návodu.

Nastavit OpenVPN server takovým způsobem, aby u klienta mohl být využit tento standardní postup, je přirozeně možné i v prostředí jiných distribucí. Celý příspěvek

Soukromí na účtech Gmailu

Na Britských listech vyšel článek Google: „Uživatelé Gmailu nemohou očekávat soukromí“

Článek popisuje aktuální stav, kdy obsah emailů ovlivňuje zobrazovaný obsah reklam. stanovisko společnosti Google je v článku Firma Google v tiskovém prohlášení potvrzuje, že “ informace v Gmailu mohou být použity různými způsoby“

Pro odbornou veřejnost tato fakta již dlouhou dobu nejsou tajemstvím. Několik let mám zprávy z různých zdrojů o spolupráci Google a velkých mezinárodních společností působících jako telefonní operátoři i u nás. Celý příspěvek

Kupte si komerční software! A s ním starosti a náklady.

Nákup software nebo nasazení otevřeného software?

Nákup software je mnohými managery považován za standardní způsob získání prostředků pro plnění požadavků jimi řízeného podniku. Otevřený software není příliš v kurzu. Na první pohled vypadá totiž celá záležitost velice jednoduše: Koupíme software a máme vyřešený problém.

Na pohled další to už tak idylicky nevypadá. Celý příspěvek

Může nastartovat svobodný software vaše podnikání?

Odpověď na tuto otázku je velice jednoduchá:

Svobodný software nebo také otevřený software vám ušetří hodně peněz.

Tedy, pokud máte potřebné informace, a postupujete plánovitě a s rozumem.

Přesto, prakticky vždy, když se někoho zeptám, jestli svobodný sofware využívají pro své podnikání, dostávám následující tři odpovědi:

  1. Když ale my máme všude Windows!
  2. Když my jsme už zkoušeli program XY a ono nám nefungovalo YZ …..!
  3. Když on u nás Linuxu (nebo svobodnému software) nikdo nerozumí!

Celý příspěvek

SELinux na RHEL a CentOS prakticky IV.

Ve čtvrtém díle našeho seriálu se budeme věnovat podrobněji na příkazy využívající logy daemona auditd

Auditd a pokročilé nástroje SELinuxu

Tyto nástroje mohou vyřešit i problémy se SELinuxem, které nejsou řešitelné pomocí booleans ani změnou bezpečnostních kontextů příkazem semanage.

Daemon auditd implicitně  generuje log /var/log/audit/audit.log a s ním budeme pracovat.

 Příkazy audit2allow a audit2why

Audit2why je vlastně alias k příkazu audit2allow s parametrem -w. Příkaz:

# audit2allow -w -a

vám parsuje soubor audit.log a upozorňuje na potřebné akce.

Příkaz audit2allow má ale mnohem širší využití. Příkaz : Celý příspěvek

Samba Active Directory Server

Od poloviny prosince 2012 připravujeme a testujeme zákaznické řešení Active Directory Serveru na platformě Samba 4.

Ve stavu vhodném k nasazení u zákazníka bude k 1.2.2013. Cenový model je ještě připravován, ale je již nyní jisté, že bude pro zákazníky velice ekonomicky zajímavý.

Upgrade stávajících řešení na platformě Samba 3.X budou realizovány od 1.3.2013.

Pokud chcete bližší informace, kontaktujte nás.