Kozel je nebezpečný zepředu, kůň zezadu, hlupák ze všech stran.
 NavigaceNáhodný obsah
TagyRSS FeedSecurity-Portal.cz |
|
PřihlášeníPoslední komentářeKonference         |
This work is licensed under a Creative Commons Attribution-Share Alike 3.0 Unported License.
CC-BY-SA Security-Portal.cz | secured by paranoid sense | we hack to learn
Budeme se snažit (hlavně tedy cm3l1k1) :)
Už jsem si seriálu všimnul.
Jen pokračujte, a vydržte.
A jak je myšleno spojení.. "jen ti co vědí"?
Jinak článek krásný a pravdivý... Jen škoda že si přečte jen pár lidí a z toho cca 10% pochopí..
viz update, akce je zrušena
"Karlínská budova je zatím bez akutního nebezpečí, byla však také zastavena dodávka vody a WC tedy rovněž nelze používat. Normální provoz je i v tomto objektu DO ODVOLÁNÍ UZAVŘEN."
(http://www.mff.cuni.cz/vnitro/povoden2013/)
Bude to bezat aj tak?
Naprosty souhlas, DELETE je to nejmensi, ale ze se firmy propaguji timhle vnucovanym zpusobem a ze se kazdy den musite probiraht stovky mailu, jenom aby ste se konecne dostali k tem dulezitym, to je fakt hnus. Sama mam firmu a nikdy bych si nedovolila rozesilat a lidi otravovat moji reklamou. Ti co potrebuji a chteji si me najdou, prece jsou firmy evidovane i na webu. A presne tak. Ty prachy co dostane nekdo za to, ze vasi emailovou adresu a cislo proda jinemu, bez vaseho svoleni, to je na mne fakt hodne. Nejnovejsi blbecek, ktery zacal spamovat je sam pan velky primitiv Jan Sinagl. A kdyz jsem mu vysvetlila ze SPAMUJE tak se na mne jeste ohradil, ze JA jsem sprosta. Mam toho fakt uz plne zuby. Reportuji a taky to nesnesitelne vyvolavani vsech pojistoven a malickych spolecnosti na pujcku. STOP!!!!!!
Velice pekny clanek
Nechtel bys ho updatnout a zverejnit zde?
Dalsim silenym napadem muze byt dorazit na session :]
Dodani videii nebude hned, neni to uplne jednoduche je ziskat a nastrihat, ale budou. Afterparty je nicmene nepublikovatelna :]
Dufam ze tento rok sa organizator poucil co sa tyka videomaterialov a ze ich znova nebude drzat pod zamkom tak ako posledne...
Osobne sa mi Freenet páči trocha viac, keďže čím je v ňom ničo populárnejšie, tým dostupnejšie sa to stane. To je rozdiel oproti Tor hidden service, ale aj napríklad normálnemu internetu, kde prílišná popularita znamená ddos.
Ďalšou výhodou je, že aspoň trocha populárny obsah ostane na Freenete v podstate donekonečna. Žiadne riziko cenzúry a pod.
Trocha podrobnejší návod:
https://uzivatel.wordpress.com/2010/06/13/stahovanie-suborov-v-sieti-fre...
Ahoj,
omlouvam se predem za delay s odpovedi.
Seznamu a ostatnim se nazahltili spoje. Slo o relativne maly traffic, problemem je vycerpani resourcu load balanceru, ktere maji pred backend servery.
Nekteri i SYN cookies zapnute meli, ale v defaultnim nastaveni, kdy se "aktivuje" az po urcitem poctu spojeni. Tim chci rict ze to proste neresili a uz nenastavili dalsi subsystemy, ktere mohou zahltit BigIP i kdyz jsou SYN cookies zapnute. Zde je kratky souhrn toho co by se melo na BigIP zapnout pro castecnou ochranu: http://support.f5.com/kb/en-us/solutions/public/7000/300/sol7301.html#syn
U Seznamu slo jeste o problem trochu nekde jinde.
Me doporucene navrhy na ochranu pred SYN floodem musi byt totiz implementovane na vsech zarizenich na ceste, pokud tomu tak neni tak proste lehne zarizeni, ktere je pro zajisteni konektivity potrebne.
Kazdy vyrobce zarizeni ma urcitou ochranu proti SYN floodu, ale ta se musi aktivovat. Uz i Cisco PIX pred 15 lety takovou ochranu mel a rikal ji embryonic connection, ktera navic chrani servery za nim, kteri tuto ochranu nemaji... Chce to proste obejit vsechna zarizeni v siti a vsude nastavit dostupne ochrany pred DoS/DDoS podle instrukci vyrobce, coz tito velikani nedelaji. A tak je to se vsim...
Diky za odkaz na dokument, prectu si ho hned jak budu mit chvilku.
Ano, je to tak jednoduche. Toto nemohou delat velci ISP starajici se o paterni site, protoze muze dochazet k asymetrii, ale vsichni ostatni maji pridelene bloky adres a proste cokoliv co odchazi z jejich site a nema tuto adresu ma byt zahozeno.
Nenapada me kdy by se spoofovani adres na Internetu mohlo hodit. Stejne nevidis odpoved. Pouziva se to jen interne, kdy mas napr. ACL na VPNku a chces ji zkusit nahodit, tak posles spoofnuty SYN a uvidis jestli se VPN nahodi, pripadne pak testovani rule skrz firewall, ale toto se na Internetu nedeje.
Kdyby všichni ISP zapnuli anti-spoofing filtry na svých routerech, tak tyto útoky nemohou existovat. Prostě já jakožto uživatel konkretní sítě v ČR nemám co posílat paket se zdrojovou IP adresou např. z Ruska.Je to tak jednoduche? Su IP bloky pridelovane jednotlivym statom tak velke? Nebola by to v konecnom dosledku zbytocna zataz na hw ked by musel aj kontrolovat do akeho "rangu" patri source ip a ci je validna?
Okrem toho, urcite su aj nejake "legalne" (moralne spravne) pripady vyuzivania ip spoofingu.
Dík za přínosný článek k DDOS v záplavě polopravd, lží a mýtů šířených i v jindy "seriózních" médiích.
Mám pár poznámek:
Z toho mi plyne, že informace, které se dostaly na veřejnost (pouze syn flood) neodpovídají zcela realitě.
Protože dlouhá léta používám na firewally BSD systémy (Open nebo FreeBSD) a v nich je od dob packet filtru pf možné použít tzv synproxy tzn., že pf za cíl spojení udělá tcp handshake sám, což je poměrně účinné proti syn floodu. Do 100 Mbps stačí běžný x86 HW tj. 1 server-firewall. Pro vyšší rychlosti se paralelizují.
Nakonec přidám dle mě zajímavý popis jednoho DDOS a hlavně i obrany proti němu.
Jen doufám, že se v budoucnu dočkáme podobného popisu nynějších útoků.
VTy
Ahoj,
to uz jsme u jineho tematu nez DoS ne? :] Uprimne nevim k cemu takove karty maji byt (muzes poslat odkaz na specifikaci?). Dnesni karty zvladaji vetsinu offloadingu jen pomoci ovladace. Videl jsem karty od 3COMu, ktere v sobe meli obdobu firewallu a centralne jsi pres sifrovane spojeni nastavoval uzivatelum politiku, coz melo spoustu vyhod (hlavne to user nemohl vypnout ani s admin pravy). Jak jsem zminoval ve clanku i toto je potreba identifikovat jako riziko a omezit moznost zneuziti. Z podstaty veci mi to prijde jako uplna hloupost a tyto karty bych proste zakazal pouzivat. Jestli na nich bezi nejake prehistoricke jadro, ktere samozrejme nepujde tak jednoduse aktualizovat, tak je to takovy box in the box.
Cim vic toho HW equipment umi tim hur. Je to dobre videt na dnesni evoluci malwaru. Bezne programy/viry/wormy/rootkity bezici v pocitaci uz nejsou tak zajimave. Dnes jsou trendem bootkity, ktere nahradi MBR a nacitaji se pred OS (takze prectou i passphrase k zasifrovanemu disku), a VGA persistent rootkity nezavisle na OS sidlici v graficke karte, ktere se take spousteji pred OS. Navic se spatne dostavaji ze systemu, protoze pred tim nez predaji kontrolu OS smazou svoje stopy.
http://corelabs.coresecurity.com/index.php?module=Wiki&action=attachment...
Jeste bych rad doplnil jeden link :] "Packet of Death" - http://www.h-online.com/security/news/item/Intel-Packet-of-Death-not-Int...
Ahoj,
nemas moc pravdu, precti si prosim peclive jak funguje SYN cookies http://cr.yp.to/syncookies.html
Navic tva teze, ze staci "akorat strefit sequence" number je prave to nejtezsi. Vseobecne vzato na generatoru pseudonahodnych cisel stoji sifrovani (ted me asi kryptologove zadupou). Pouziva se ke generovani klicu, generovani symetrickeho klice pro SSL (HTTPS) sifrovani apod. Starsi systemy OS Windows to moc neresili a proto bylo mozne se obcas trefit do sequence numberu a injectovat do spojeni sva data, coz samozrejme znamenalo obdobu MitM utoku. Bylo tak mozne aplikaci podsouvat data misto uzivatele, posilat do telnet session svoje prikazy apod.
Dnes je situace jina. Od Windows NT Microsoft vykradl IP stack z BSD a od Vist maji pry svuj, ktery na to nijak zvlast netrpi. Vsak si zkus nmapem oscanovat nejaky stroj s parametrem (-v) a uvidis jak na tom dane zarizeni je (TCP Sequence Prediction - http://nmap.org/book/osdetect-methods.html#osdetect-gcd). Nektere typy tiskaren a cinskych routeru/switchu/wifi-AP stale maji spatny generator nahodnych cisel a proto je mozne je zneuzit i k idle/zombie scanu - http://nmap.org/book/idlescan.html
I systemy s dobrym generatorem nahodnych cisel mohou byt postizitelne utokem, kdy se snazis vycerpat entropii pro nahodna cisla. Tim bud system prestane komunikovat, nebo ta nahodna cisla uz nebudou tak nahodna.
Zkus si na linuxu:
cat /proc/sys/kernel/random/entropy_availStandard FIPS-140 vyzaduje alespon 112bitu
Nemusi jit ani o utok. On server, ktery ukoncuje velke mnozstvi SSL spojeni, se proste k limitum entropie muze dobrat sam. To se da resit HW generatory nahodnych cisel (na desce, nebo CPU), pripadne pak existuji USB klice s generatorem, nebo rovnou samostatna zarizeni. http://www.entropykey.co.uk/
Rikam to moc obecne a ne uplne presne v navaznosti na IP ID a sequence number generator, ale proste odhadnout sequence number neni uplne jednoduche.
Navic nektere security patche dokazou tuto entropii jeste znasobit, jako napr. Grsecurity - http://en.wikibooks.org/wiki/Grsecurity/Appendix/Grsecurity_and_PaX_Conf...
Jenom jestli ty SYN cookies nebudou další bezpečnostní dírou.. Zdá se, že vůbec není potřeba posílat SYN, stačí jenom final ACK, akorát se člověk musí trefit do sequence, a spojení je vytvořeno!
PoD se používá stále, jen se fyzicky trochu změnil. Některé nové síťové karty (giga) jsou již malé počítače zhusta s vlastním procesorem a Linuxem (jádro stále lze osekat a stláskat lehce nad disketu a kapacita pamětí karty je kolem 10 mega). Takže pak po síti přilétne správné pořadí packetů a s určitým obsahem a útočník přebere kontrolu nad kartou. Následně, jakmile spustí fork/exec, už má k dispozici plný arzenál funkcí jádra a DoS je jednou z možností.
Další (velmi nepříjemnou) je třeba špatně detekovatelný MitM, fyzicky prováděný kartou (detekce nutná zvenčí). Nejdrzejší je nacpat do karty vlastní upravené jádro s patřičnými obsahem.
Problematika řešena cca 1/4 roku zpátky na ABCL (blob instalátoru ovladače karty měl cca 30mega a samotný balík ovladače kolem 2 mega se soubory jako "vmlinux", proto vyvolal zájem).
aj sa to v nasich koncinach vyskytuje? :)
Odkaz do rchivu ministerstva vnitra je nedostupný, vypadá to, že neexistuje DNS zaznam k aplikace.mvcr.cz
no stýmito tzv .wifi nieje ziadny problem heslo zistis aj cez CMD (Comand-prikazovy riadok) a firewall sa da pekne oblukom obist .ASI TAK ::D
Ano, bonzujeme všichni strašně rádi, protože nás to jednoduše baví. Máme malé ptáky a tak si to kompenzujeme. Jestli si myslíte, že někoho obněkčí tenhle srdceryvný blábol, jste na špatném místě. Ze spamu mají spameři nemalé zisky, a pokud to provádí firma sama, nezaslouží si nic než pokutu. Já jim svolení k zasílání obchodních sdělení nedal. Je to stejný bordel jako obtěžování po telefonu. Apropo, pokud vám spam nevadí, dejte mi vaši mailovou schránku a já vám ji budu ode mě přeposílat. Uvidíme, jak dlouho vás bude bavit se v tom přehrabovat.
Moc by mně zajímalo co vám brání ve stisku delete, když máte kurzor na zprávě. Nezlobte se na mně, ale tato forma bonzáctví mně přijde mnohem horší než samotný spam. Sám jich dostávám denně vzhledem k veřejně známé adrese mraky, ale uchýlit se k bonzování je fakt těžká podúroveň. Většinou si tak lidé řeší osobní problémy a těší je když můžou někomu způsobit "něco" a oni na něho nemůžou zpětně reagovat = je schovaný pěkně u maminky doma. Pokud vás spam opravdu tak strašně trápí, je mnohem lepší obrana evidence registrací emailových adres a potom důsledná kontrola toho kdo adresu poskytl třetí osobě a ne bonzování.
Pokud uvedete adresu v seznamu firem, nemůžete se divit, že na ni chodí obchodní nabídky.
mne ani chat neukazuje ukazuje my ako keby to bolo vytvorene na eska strankach abo take nieco
Cilem nebylo vytvorit FUD shellcode. Pouze poskytnout lidem testovaci shellcode na hrani.