Infosec

Infosec: Wpisy

@74@101010.pl

@avolha @mateuszchrobok
Nie. Mastodon ignoruje ogonki, więc hasztagi "łaska" i "laska"🦯 to dla niego to samo.

@wikiyu@sprawy.eu

@74 @avolha @mateuszchrobok
to nie jest dobre... ;-)

@avolha@infosec.exchange

W ciągu trzech lat od uruchomienia przez CERT Polska listy niebezpiecznych stron internetowych trafiło na nią ponad 100 tys. domen. W samym tylko 2022 r. zablokowano dzięki temu 21 mln prób wejścia na strony, które wyłudzały dane logowania do kont bankowych i serwisów społecznościowych.

https://www.nask.pl/pl/aktualnosci/5160,Mija-trzeci-rok-funkcjonowania-listy-niebezpiecznych-domen-prowadzonej-przez-CER.html

(i @74 już nie musi rzucać hasztagiem ;-))

@m0bi13@mastodon.social

@avolha Nie znalazłem w tekście, a informacja chyba przydatna:

Jeśli twój dostawca internetu nie korzysta z listy niebezpiecznych stron internetowych od CERT Polska, to zmieniając samodzielnie serwer DNS na urządzeniu lub routerze na ten od https://dns0.eu zabezpieczysz się, bo oni współpracują z wieloma krajowymi zespołami CERT.

Na stronie przykłady konfiguracji systemów.

Obsługiwany jest również DNS-over-TLS / HTTPS, więc i twój ISP nie będzie wiedział, o co pytasz dns.

Polecam.

@avolha@infosec.exchange

@m0bi13 to dodam jeszcze, że aby sprawdzić, czy nasz dostawca internetu korzysta z listy ostrzeżeń CERT Polska, wystarczy wejść na stronę: https://lista.cert.pl

Jeśli nie korzysta, możemy ją zaimportować do naszego blokera reklam - w ustawieniach szukamy opcji dodawania własnych filtrów i wklejamy: https://hole.cert.pl/domains/domains_adblock.txt

@avolha@infosec.exchange

A propos wycieku danych z mastodon.social i mastodon.online, do którego doszło wskutek błędnej konfiguracji obu instancji, to wg najnowszych danych mógł on dotyczyć ponad 6 tys. osób. Podatność zauważono 24 lutego, jej naprawienie zajęło pół godziny. Według administratora problem występował od 2 lutego, ale niektórzy twierdzą, że znacznie dłużej - nawet trzy miesiące. Co istotne, wyciekły posty użytkowników (również te bezpośrednie), ale nie dane osobowe.

https://basic-tutorials.com/news/major-data-leak-from-mastodon/

Info rozesłane do poszkodowanych przez admina można znaleźć np. tu: https://hachyderm.io/@tedivm/110035436100991357


@mlesiak @tedivm

@avolha@infosec.exchange

Wygląda na to, że problem występuje nadal i może mieć związek ze skalowaniem infrastruktury:

https://agora.echelon.pl/notice/ATkA6drBEwdKc0hIki

@mlesiak @kravietz dzięki za link

@to3k@tomaszdunia.pl

@avolha @mlesiak @tedivm wyciek DM, które wiadomo, że nie są prywatne to w sumie żaden wyciek 😉 Na masto najgorsze co mogłoby wyciec to adresy e-mail, no o hasła, ale to problem jedynie dla ludzi bez menedżerów haseł 😉

@taeluralexis@infosec.exchange

@lukem flight booked, I’m stoked :3 !!

@lukem@masto.ai

@taeluralexis HYPE

@74@101010.pl

@avolha rzucam hasztagiem

@avolha@infosec.exchange

scamerzy dostosowali oszustwo "na telefon z banku" do lokalnych warunków. Otóż dzwonią do potencjalnej ofiary i podszywając się pod organy ścigania, straszą, że nieuczciwy pracownik banku, w którym ma ona konto, wykradł jej dane uwierzytelniające i posługując się nimi, wykonuje przelewy na rzecz ukraińskiej armii. Wmawiają ofierze, że to na nią spada odpowiedzialność za takie działanie i że może ona zostać oskarżona o zdradę stanu, za co grozi do 20 lat więzienia. Kolejnym krokiem - jak w klasycznej wersji tego oszustwa - jest połączenie ofiary z fałszywą obsługą banku, która nakłania ją do przelania środków na inne konto celem ich uratowania, może też zachęcać do wzięcia kredytu, co rzekomo pozwoli namierzyć złoczyńcę.

Źródło: http://www.sberbank.ru/ru/sberpress/all/article?newsID=dc22ca94-fb63-4655-bbbf-8d46dffadda9&blockID=1303&&regionID=77&lang=ru&type=NEWS

@happygeek@infosec.exchange

New by me at Forbes this morning: Microsoft threat intelligence reports new and critical (9.8/10) Outlook zero-day is already being exploited by Russian threat actors. What's more, CVE-2023-23397 requires no user interaction for exploitation. Here's what we know so far.

https://www.forbes.com/sites/daveywinder/2023/03/15/microsoft-outlook-warning-critical-new-email-exploit-triggers-automatically-update-now/

@avolha@infosec.exchange

Wskutek włamania na konto jednego z pracowników ukraińskiej firmy GSC Game World doszło do wycieku 30 GB danych z tworzonej przez nią gry S.T.A.L.K.E.R. 2: Heart of Chornobyl. Atakujący - w zamian za nieupublicznianie pozyskanych materiałów - zażądali przeprosin za "niegodne podejście do zwykłych graczy" z Rosji i Białorusi oraz przywrócenia rosyjskiej wersji językowej gry. Firma przyjęła potencjalny wyciek na klatę i odmówiła.

Źródło: securitylab[.]ru/news/536881.php

@74@101010.pl

@avolha rzucam hasztagiem

@Marventh@mastodon.pl

@avolha i bardzo dobrze zrobili.

@74@101010.pl

@avolha rzucam hasztagiem

I have recently decided to change the architecture of my web services, mostly to offload a single HP MicroServer which over time has accumulated so many roles that it became a true single point of failure. As it also has 16 GB of RAM and 4 TB of disk space in ZFS cluster, but only 2 CPU cores, it was always suited for a NAS rather than an application server. Because I also decided to migrate it not only to but actually flavour[^1], it was a long journey, but very interesting too…

  • HardenedBSD is not really suitable to run most production services. It’s not the problem of the fork, but with the latter - their code base is not ready for all the mitigations. Most native (!) NFS or NIS daemons will crash due to CFI, some will crash due to random other PAX mitigations, and some will crash due to memory execution protection when they try to use features that rely on it - most notably JIT in PHP and PostgreSQL. It’s not the fault of HardenedBSD, but it tells a lot about the whole legacy code base we’re using right now in systems with these mitigations disabled. I’ve ended up doing buildworld with CFI disabled for some daemons, but quickly hit the wall with the others, and eventually just reverted to regular FreeBSD.
  • NFSv4 is a nightmare and NFSv4 with Kerberos is a nightmare squared. After a few days of trying to get it to work I followed the best advice found on some FreeBSD forum under a long thread on getting it to work: “just don’t”. NFSv4 architecture is complex and relies on many moving parts but the daemons have close to zero logging and you quickly end up in a “computer says NO” situation with tcpdump and truss as your only diagnostic tools.
  • ZFS is funny in that the pools I created under Ubuntu 20.04 had some modern features such as feature@edonr enabled, which are not supported by stable FreeBSD 13.1. So I tried under 14-CURRENT, and it worked, but then stupidly made zpool upgrade, which enabled other features, which then prevented me from importing the pool into FreeBSD 13.2 prerelease which would likely import the original pool, but not the one upgraded under 14-CURRENT. But hey, FreeBSD 14 is due in July so I can live on the edge until then.
  • OK, all that could have been trivially avoided by simply reverting to the simplest but working solutions like unauthenticated NFSv3 and regular FreeBSD with fewer mitigations, which I ultimately did. But you don’t end up in the industry by doing things the easy way 😉
  • One unexpected moment in migration is that there’s one particular index (activities_visibility_index) whose generation on full SQL dump and restore took literally 15 hours. This particular cursed index is not documented anywhere in Pleroma migration documentation[^2], but it is mentioned in documentation of its fork Akkoma[^3] with a workaround.

All in all, it seems to be mostly done and the NAS is happily grunting right now while Pleroma pulls a few days long of outstanding news from Fediverse…

[^1]: https://hardenedbsd.org/ [^2]: https://docs-develop.pleroma.social/backend/administration/backup/ [^3]: https://docs.akkoma.dev/stable/administration/backup/

@parvXm

To provide a more balanced picture, the problem with CFI is that all of the NFS code is written in C and some CFI checks seem to be extremely sensitive to things like e.g. passing control between functions compiled and not compiled with CFI (cfi-icall). The idea of HardeneBSD is that the whole system is compiled with these mitigations and this places quite a responsibility on the underlying code. I suppose it would be much easier with apps written in modern languages such as Go, Elixir or Python. Pleroma (Elixir) ran under HardenedBSD without any problems, at least until it found out my database indexes are screwed up and crashed but that’s another problem 😂

As for storage, I ran some tests and of course local disk is much faster than any network storage. For example, on a local ZFS raidz I was getting 190 MiB/sec write while NFS on best cables and Gigabit switch was getting 8 MiB/sec. I can imagine this can be a bottleneck on busy instances but mine is a single-user one and so far it happily runs with uploads mounted on NFS (database is on the same server so also runs over network).

I had a look at GlusterFS and SeaweedFS but decided I want a running instance before I will have another 5 days blackout due to experiments 😉

@parvXm@mastodon.social

@kravietz Thanks for the details.

@avolha@infosec.exchange

W jaki sposób działa funkcja Safe Browsing, używana w przeglądarkach Chrome, Firefox, Safari i innych - wyjaśnia @InfZakladowy, który chyba zapomniał, że ma konto także na Mastodonie i niczego tu nie udostępnia (a szkoda!)

https://informatykzakladowy.pl/przegladarka-cie-chroni-ale-nie-sledzi/

@74@101010.pl

@avolha @InfZakladowy rzucam hasztagiem