Catch me, if you can!

-=^_^=-


Top post.
Яяя
isox
All non-professinals topics are friends-only.

(no subject)
red hat soul
isox
Минутка любительского автоспорта для вас, друзья, которые так любят повалить бочком зимой.
Тут просиживая яйца в офисе мы решили внезапно съездить промчать чуть подальше чем в ближайшее поддефолтситье.
И наш выбор пал на любительское ралли в Туле: "Улетные Гонки".
Краткий отчет про нашу поезду в первом комменте.

image

Read more...Collapse )

SELinux на практике: DVWA-тест
red hat soul
isox
По мотивам моей статьи на хабре.

После публикации предыдущей статьи про SELinux поступило много предложений «на практике доказать полезность» этой подсистемы безопасности. Мы решили произвести тестирование. Для этого мы создали три уязвимых стенда с типовыми конфигурациями (Damn Vulnerable Web Application на CentOS 5.8). Отличия между ними были лишь в настройках SELinux: на первой виртуальной машине он был отключен, на двух других были применены политики «из коробки» — targeted и strict.


В таком составе стенд виртуальных машин подвергся тестированию на проникновение. Взглянем на результаты?

Read more...Collapse )

(no subject)
red hat soul
isox
Привет, коллеги!
Многие из нас занимаются настройкой рабочих серверов для веб-проектов. Я не буду рассказывать о том, как настроить Apache или Nginx: вы знаете об этом больше меня. Но один важный аспект создания frontend-серверов остается неосвещенным: это настройки подсистем безопасности. «Отключите SELinux», — вот стандартная рекомендация большинства любительских руководств. Мне кажется, что это поспешное решение, ибо процесс настройки подсистем безопасности в режиме «мягкой» политики чаще всего весьма тривиален.

Сегодня я расскажу вам о некоторых методах настройки подсистемы безопасности SELinux, применяемой в семействе операционных систем Red Hat (CentOS). В качестве примера мы настроим связку для веб-сервера Apache + mod_wsgi + Django + ZEO на CentOS версии 5.8.

Read more...Collapse )

Citrix XenServer Security Guide
red hat soul
isox
Приветствую, коллеги!
Многие из вас работают с операционной системой Citrix XenServer 5.6.
Компания Citrix предлагает весьма ограниченный набор документов по безопасной настройке системы. Он состоит из Common Criteria Documents и User Security Guide. Полноценные же Security Guide или CIS Benchmark отсутствуют.

Чтобы решить эту проблему, специалисты исследовательского центра Positive Research провели анализ операционной системы Citrix XenServer 5.6. Результатом работы стал документ "Positive Technologies: Citrix XenServer 5.6 Free/Advanced Hardening Guide (Public Beta)". Надеюсь, он заполнит пробел в документации по данной операционной системе в сфере информационной безопасности.
Read more...Collapse )

iPhone: MiTM атака из кармана
red hat soul
isox
Оригинал моей статье на Хабрахабре тут.

imageПриветствую, коллеги!
Традиционным устройством для проведения атаки на сети Wi-Fi, пожалуй, является ноутбук. Это обусловлено многими факторами: возможностью использования "специфичных" модулей Wi-Fi, наличием необходимого ПО и достаточной вычислительной мощностью. Поэтому "классическим" образом злоумышленника является человек в машине с ноутбуком и торчащей из окна антенной. Но развитие мобильных платформ не стоит на месте, и многие операции давно уже можно выполнять "из кармана".

Многие из нас пользуются "яблочными" устройствами на операционной системе iOS. И ни для кого не является секретом, что iOS является по-сути представителем *nix-семейства со всеми вытекающими из этого плюсами, в числе которых и возможность использовать многие классические pentest-приложения. Сегодня мне хотелось бы рассказать об инструментах для проведения простейшей классической атаки Man in the Middle на клиентов сети Wi-Fi с использованием метода arp poisoning.

Read more...Collapse )

OVAL® или «миф об идеальном сканере»
red hat soul
isox
imageПриветствую, коллеги. Вопрос автоматических сканеров безопасности стоит весьма остро на "корпоративном" рынке услуг. Конечно, кому же хочется проверять тысячи хостов вручную ? Поскольку спрос рождает предложение, вы можете найти их на любой вкус, цвет и бюджет. Они призваны решать одни и те же цели: комплайнс-менеджмент. Тем самым сэкономить корпорации огромное количество денег при массовой стандартизации PCI DSS и подобным стандартам. Они все такие разные, но все же у них есть одна общая черта: полнейшая анархия и разброд в формате отчетов, результатов инвентаризации и контента для обновления. Как каждая группа программистов придумала, так и было сделано. Такая ситуация привод к тому, что сравнить сканеры безопасности становится чрезвычайно трудоемко. А разговора о том, что бы использовать накопившиеся за время использования продукта "А" данные при переходе на продукт "Б" не может быть и речи. Как же: куда не сунься, везде "коммерческая тайна" да "интеллектуальная собственность". Решение, уважаемый мой читатель, очевидно: стандартизация входных и выходных форматов на всех этапах деятельности сканера. Именно это и описано в стандарте Open Vulnerability and Assessment Language (OVAL®) Read more...Collapse )

Citrix XenServer 5.6 Security
red hat soul
isox
Оригинал моей статьи на Хабрахабре тут.

Чем дальше развиваются технологии виртуализации, тем больше разнообразных «грандов ИТ технологий» выходит на рынок. Несмотря на то, что проект Xen как таковой довольно давно существует в виде open source решения, такая операционная система с интегрированным гипервизором как Citrix XenServer относительно недавно привлекла внимание клиентов Enterprise уровня. Изначально ОС была ориентирована на low/mid-end предприятия и предназначалась для решения проблем минимизации затрат на мультисерверную архитектуру. Но в процессе развития, компания Citrix интегрировала в свой гипервизор такие жизненно важные вещи как High Availability и Likewise интеграцию c Active Directory. Таким образом, на данный момент существуют коммерческие версии Citrix XenServer позиционирующиеся как реальная альтернатива VMWare ESX/ESXi. Но, как известно, к гипервизорам предъявляются особые требования безопасности. Это обусловлено тем, что при захвате гипервизора наиболее вероятно, что компания потеряет не только его, но и все виртуальные машины.



Read more...Collapse )

Введение в CPE: Common platform enumeration
red hat soul
isox
Оригинал моей статьи на хабре: http://habrahabr.ru/company/pt/blog/138262/

image
Доброго времени суток, коллеги!
Одна из проблем, стоящих перед создателями продуктов compliance-management, это процесс сопоставления результатов инвентаризации системы и данных уязвимостей. Она основывается на том, что при формальном документировании уязвимости в базе данных (к примеру, в NVD) применимость уязвимости описывается формальным языком CPE. Он представляет собой способ описания всех возможных продуктов, операционных систем и аппаратных устройств.
Read more...Collapse )

Citrix XenServer Free: hardening user access with RBAC and PAM.
red hat soul
isox
Hello everyone.
XenServer is one of the most popular hypervizors today.
Surely, mostly it is because it have free versions.
According to this many big solutions are made on "free" edition of it.
But there are some nice features in enterprise editions: RBAC and external authentication.
In Free/Advanced edition the only thing you have is mono-user system, where every system user is pool-admin.
Lets try to find a solution to make free version multiuser with RBAC implemented.




Read more...Collapse )

You are viewing isox