Архивы CyberSecurity

Мобильный телефон и информационная безопасность

Сотовый телефон стал незаменимым атрибутом современного человека, вне зависимости от статуса, социального положения или цвета кожи. При наблюдении со стороны за многими людьми создается впечатление, что мобильный телефон является неотъемлимой частью их личности, без которой нельзя прожить и час. Частенько замечал и за собой необъяснимую взаимосвязь с этим устройством. Психологические нюансы взаимодействия со смартфонами в данном материале сильно затрагивать не хочется. Хотелось бы сосредоточиться на вопросах информационной безопасности при пользовании мобильником. Зачастую считается, что о таких вопросах должны задумываться только большие компании, которые используют различные серьезные аплаинсы и софт для контроля за потоками информации. Однако, современная жизнь и технологические тенденции в ней наврятли обойдут кого-то стороной. Знать, какие угрозы таятся в мобильных устройствах, а также, как можно их нивелировать и контролировать, крайне желательно каждому современному человеку.

Большинство людей из моего окружения не считает нужным вообще заморачиваться на какие-либо способы защиты данных и информации на мобильнике. Даже банальная установка пароля на телефон зачастую воспринимается как крайне избыточная и неоправданная мера. Моя позиция в этом плане кардинально отличается, наверное, в силу постоянной взаимосвязи с различными информационными технологиями и средствами защиты информации. Кроме этого осознание того, сколько всего на данный момент у каждого человека привязано к мобильному телефону, а также те последствия, которые возникнут в случае доступа к ним злоумышленников, лично меня заставляют частенько задумываться о возможных рисках и методиках защиты.

OpenVPN через stunnel

OpenVPN очень успешная Open Source технология, которая применяется во многих компаниях для организации удаленного доступа сотрудникам. Для того, чтобы улушчить безопасность данного типа подключений, можно использовать утилиту stunnel, которая обеспечивает организацию дополнительного шифрования с помощью протокола ssl. Ранее уже писал статью в блоге — «Stunnel как Socks сервер» о возможном применении данной утилиты. Однако, ее функционал позволяет найти ей место и в других ситуациях. При добавлении к OpenVPN дополнительной защиты в виде stunnel приходится также использовать данное ПО и на клиентской части, что созадет определенные неудобства и должно учитываться заранее.

Stunnel как Socks сервер

Небольшая утилита stunnel позволяет обеспечить ssl шифрование для трафика, который изначально не обладает такой защитой. Однако, использование данной программы не ограничивается обозначенной задачей. Недавно наткнулся на один интересный способ использования данной утилиты. С помощью только stunnel можно организовать Socks прокси без использования дополнительного ПО. При этом это будет простейший вариант для частного применения. Подключать сторонних пользователей будет крайне не разумно при таком варианте. Как это настроить и запустить постараюсь показать в оной статье. В этом процессе также важно понимать, что stunnel устанавливается и настраивается как со стороны серверной части, так и с клиентской. То есть, если вы решили использовать эту утилиту, придется заморачиваться на конфигурацию также и клиентской стороны.

Приватность и Pegasus

В июле 2021 года широко в мировых СМИ освещался скандал, связанный с хакерским программным обеспечением под кодовым названием Pegasus, которое было разработано израильской компанией NSO Group. Статья в TheGuardian — What is Pegasus spyware and how does it hack phones? показала как этот шпионский софт был использован и его реальные возможности. Кроме этой статьи было множество других во всем мире, которые очень остро затрагивали данную тематику. Основная суть поднятого вопроса — данное хакерское программное обеспечение позволяет взламывать любые телефоны под управлением iOS и Android с помощью множества zero day эксплойтов. При этом зачастую это может происходить без какого-либо участия пользователей данных телефонов. После того, как аппарат будет взломан, люди, стоящие за Pegasus, получают доступ по сути ко всей информации, которая может на нем хранится. Для меня во всей этой истории центральной идеей пролегла мысль о приватности, вернее об ее отсутствии при наличии современных телефонов на базе iOS и Android. Для любого человека, кто ценит конфиденциальность своей частной жизни, его собственный мобильный телефон становится наиболее опасным девайсом, способным легко разрушить ее.

Буквально недавно в сентября этого года специалистами citizenlab.ca был обнаружен и проанализирован реальный zero-day эксплойт, который используется Pegasus для взлома iphone через iMessage. Это показано в статье на их сайте — NSO Group iMessage Zero-Click Exploit Captured in the Wild. Что крайне интересно, он позволяет использовать уязвимость в библиотеках, используемых iMessage на устройствах iOS & MacOS. Этот эксплойт в частности используется Pegasus для проникновения на мобильные устройства. Вроде бы думается, что можно отключить iMessage на своем устройстве и ты окажешься в безопасности. Но судя по всему, даже на данный момент уже есть несколько других zero day эксплойтов, способных достичь того же результата, но с помощью других программ и библиотек. И скорее всего их не будет становится меньше в будущем.

FreeIPA клиент на Ubuntu 20.04

Обычная аутентификация на современных системах под управлением ОС Linux, как правило, подразумевает использование файлов /etc/passwd и /etc/shadow, в которых содержится информация о пользователях и их паролях. Однако, недра операционной системы Linux поддерживают с помощью механизма PAM гораздо больше возможностей по аутентификации и авторизации пользователей. PAM (Pluggable Authentication Modules) — низкоуровневые библиотеки, работающие на уровне операционной системы, позволяющие задействовать различные способы идентификации пользователей. Сценарии использования модулей PAM в операционной системе Ubuntu 20.04 находятся в директории — /etc/pam.d/. Другим важным компонентом операционной системы, задействованным в вопросах аутентификации является Name Service Switch. С помощью данного сервиса ОС в том числе определяет источник данных для пользователей и их паролей. Конфигурация данной службы находится в файле — /etc/nsswitch.conf.

FreeIPA клиент в Linux позволяет интегрировать отдельные операционные системы серверов и виртуальных машин в общую управляемую среду с централизованной базой пользователей и правил безопасности. Центральной частью всей подобной системы, безусловно, является сервер FreeIPA, который требует отдельной установки и настройки. Непосредственно на клиентских операционных системах кроме самого freeIPA клиента необходим также System Security Services Daemon (SSSD), который напрямую интегрируется с модулями PAM. При этом сервис SSSD может задействовать различные способы идентификации и аутентификации пользователей — такие как LDAP, Kerberos. Конфигурация демона SSSD находится в файле /etc/sssd/sssd.conf.

Немного о цифровых сертификатах X509

С цифровыми сертификатами сейчас сталкивается любой житель страны, даже глубоко не разбирающий в IT. Банальный пример, чтобы получить ряд сервисов в «Центре Гос Услуг» необходима ЭЦП. Или другой простой повседневный образец использования цифровых сертификатов — доступ к веб серверу по протоколу HTTPS. Мы, используя эти технологии шифрования и безопасности, даже не задумываемся о той подводной части IT айсберга под ними. Тут не буду углубляться в дебри теории. Об этом написано много талмудов и трудов. Поговорим о практике и конкретно об утилите OpenSSL и ее использовании для работы с сертификатами, ключами ассиметричного шифрования и прочими нюансами.

Как правило, для ассиметричного шифрования и подлинности используются ключи RSA. Есть конечно же и варианты с Elliptic-curve и чем-то еще более экзотичным, но в повседневной практике такого использования практически не встречается. Сам по себе цифровой сертификат X509 представляют собой открытый ассиметричный ключ, подписанный центром сертификации.Также в этом сертификате содержатся специфичные атрибуты, которые позволяют включать дополнительную информацию о хозяевах сертификатов. В операционной системе Linux/Unix/MacOS практически все возможные операции c ключами и сертификатами можно проводить с вышеуказанной утилитой OpenSSL. Диапазон ее возможностей огромен. С помощью только этой одной утилиты возможно организовать отдельный центр сертификации. Однако, мы тут рассмотрим базовые вещи, которые необходимы ITшникам в процессе работы.

Автоматизируем pfsense через pfsense PHP Shell

Продолжу свою серию статей об open source межсетевом экране pfsense. Хотелось бы затронуть тему автоматизации процесса настройки и перенастройки этого программного продукта. Веб интерфейс фаервола безусловно отлично продуман и функционален. Однако, в работе современных больших IT систем, этого зачастую бывает недостаточно. Для динамически быстро меняющейся инфраструктуры крайне необходима автоматизация всех ее элементов. А реализовать это через веб интерфейс крайне затруднительно и проблематично. Так же и элементы Информационной Безопасности в сети должны быть максимально автоматизироваться. Каких-то прямых и готовых инструментов для этого к сожалению нет. Но разработчики дают доступ к pfsense Dev shell или pfsense PHP Shell. Эта командная оболочка не радует обилием документации, но позволяет с помощью скриптов управлять межсетевыми экранами pfsense.

Сами разработчики не очень приветствуют использование данного инструмента. В интернете для автоматизации работы pfsense есть варианты с самописными модулями ansible, а также внешним модулем Rest API для pfsense. Но для меня эти инструменты показались недостаточно функциональны и опасны в использовании. Так с помощью Rest API — FauxAPI можно вносить изменения напрямую в конфигурационный файл /cf/conf/config.xml. По сути, все найстройки межсетевого экрана находятся в этом файле. Однако, любая ошибка или неточность при работе с данным файлом приводит к общему фейлу фаерволу и глобальным проблемам в его работе. Поэтому в продакшене использование такого подхода для меня кажется слишком рискованным. И наиболее адекватным для автоматизации видится обращение к функционалу pfsense PHP Shell.

Тонкости работы pfsense в среде vmware

Pfsense — отличные опенсорсные межсетевые экраны. Я писал в своем блоге уже о них в статье «Сложный NAT на pfsense». В их процессе эксплуатации возникает ряд нюансов, про которые лучше знать заранее. И, учитывая их, заблаговременно планировать свою инфраструктуру. Между тем, виртуализация вычислительных ресурсов под управлением систем VMware преобладает в современном IT мире. С моей точки зрения и опыта, другие системы виртуализации не дают таких возможностей, а также удобства в работе. Все что написано в этой статье, почерпнуто из опыта работы на продуктах Vsphere. Тем не менее, я думаю, что это будет полезно, даже если Вы используете pfsense и в других виртуальных средах.

В статье расскажу о том, как избежать некоторых неприятных нюансов при работе с межсетевыми экранами pfsense. Это касается добавления новых сетевых интерфейсов в наш фаервол. Как оказалось это не совсем тривиальная задача. Потом затрону проблему с измененим очередности виртуальных сетевых интерфейсов после перенастройки фаервола. Также рассмотрим простоту и удобство кластеризации pfsense. И затронем проблему, которая возникает если в Вашей сети или сети Вашего провайдера работает также протокол VRRP.

Контролируем уязвимости с OpenVAS

Тематика обнаружения и контроля за уязвимостями в сети актуальна для любого специалиста по Информационной Безопасности. Не важно занимаетесь Вы построением системы защиты IT инфраструктуры, проводите пентесты или аудиты информационной безопасности. Уязвимости в программном обеспечении и оборудовании — это наиболее критический момент, который в большинстве случаев позволяет злоумышленникам получить несанкционированный доступ к IT ресурсам. Я сам в свое время долгое время проработал в компании системном интеграторе. И прекрасно знаю о коммерческих решениях по поиску уязвимостей. Это и Qualys, и Nessus. И ряд прочего аналогичного программного обеспечения. Такие продукты шикарно закрывают вопрос с поиском уязвимостей в сети. Но обладают недостатком в необходимости ежегодно платить хорошую сумму в у.е. за подписку на них. К тому же Qualys — это полностью облачный продукт. И для меня, например, нет 100 процентной уверенности, что данные из этого облака не утекают в ЦРУ или АНБ.

Опенсорсное решение OpenVAS позволяет создать систему по анализу уязвимостей в сети организации или дома. Да, при этом Вам придется посложнее, чем при работе с Qualys. Но думаю, что при работе с любым Open Source продуктом инженеру приходится проявлять ум и смекалку. Если говорить общими словами, то OpenVAS поддерживают большую базу уязвимостей, которая постоянно пополняется. Он позволяет без ограничений по количеству ip адресов проводить сканирования. Чем больше Вы выделите ему компьютерных мощностей, тем более производительным он будет. Кроме того OpenVAS позволяет создавать сканирования сети по расписанию c отправкой оповещений о проделанной работе, например, по электронной почте. Все это, а также прочие возможности продукта, делают OpenVAS отличным претендентом на сканер уязвимостей в сети организации.

Защищаем свой сайт с LetsEncrypt

В Интернете часто приходится видеть много веб сайтов, которые работают только по протоколу http. Также можно наблюдать использование протокола https с самоподписанными сертификатами в глобальной паутине. Для больших организаций это выглядит, как минимум, не серьезно. А как максимум, это и настоящая угроза безопасности при передаче данных между сайтом и клиентами. Если Вы используете пароли, какие-то админки управления на сайте, то без шифрования с помощью https, весь Ваш трафик может быть легко перехвачен и просмотрен. Поэтому, использование шифрования для передачи веб трафика в современном мире это не каприз, а важная необходимость. Для корректного использования протокола https на веб сайте в Интернете необходим цифровой сертификат, который будет выпущен общепризнанным мировым Центром Сертификации. Как правило, такие сертификаты стоят денег, и зачастую хороших денег. Но, сервис letsencrypt позволяет free of charge получить нужные сертификаты на свой веб сайт. Для блогера или особенно человека, который не получает монетизации от своего веб ресурса, это особенно важно и полезно.

В этой небольшой статье хотелось бы поделиться тем, как каждый владелец веб сайта, может настроить шифрование и протокол HTTPS на своем сервере. С моей точки зрения, сервис letsencrypt — просто огромная находка для любого сайтодержателя. Для автоматизации всего процесса получения и обновления цифровых сертификатов используется certbot. При этом поддерживаются популярные веб платформы и методы использования https сертификатов.