Страницы

Domain fronting


Domain fronting весьма любопытная техника обхода сетевых средств мониторинга, которая эксплуатирует особенности современной архитектуры крупных интернет узлов (Google, Amazon...). Домеин фронтинг использовал Тор, использовал Телеграмм чтобы мимикрировать свой трафик под гуглозапросы, но лавочку прикрыли. Точнее не прикрыли, а сузили до родных сервисов.

В кратце суть такова:

Как работает HTTPS:

curl -H "Host: <real-host.com>" "https://www.host.com/path"

Весь пакет HTTP целиком со всеми хэдэрами шифруется. При этом "www.host.com" копируется в открытом виде в SNI header (это, кстати, опционально). Именно SNI хэдэр - это то, что вы видите на файрволе/прокси/DNS если не заглядываете в HTTPS.

Если вам нужен любой из сервисов Гугла (Ютюб, Драйв, ДНС..) - вы кидаете пакеты на один и тот же центральны сервер-терминатор SSL Гугла, и он уже дальше роутит траффик внутри локальной сети ГуглоДЦ. Этот SSL терминатор использует "Host" хэдэр из тела HTTP пакета чтобы определить, куда отправить пакет дальше.

Вот мы и добрались к самому интересному: СЗИ работает с SNI хэдэром (который есть копия домена из URL), а сервера Гугла работают с Хост хэдэром (который часть HTTPS пакета и зашифован по пути до ).

То же самое справедливо для всех крупных облачных провайдеров.

Для чего оно надо?
  • во-первых для малвари чтобы скрытно качать/выкладывать файлы с/на Google Drive, маскируя траффик под YouTube (я такое, пока что, не встречал)
  • во-вторых для DNS-over-HTTPS если компания блокирует гуглоDNS (8.8.8.8).  Можно спокойно достучаться до гуглоДНС так:
curl -s -H 'Host: dns.google.com' 'https://youtube.com/resolve?name=internetbadguys.com'

такой запрос сгенерирует один DNS пакет с доменом youtube.com, в ответ вебсервер вернёт вам IP заблокированного сайта internetbadguys.com. К сожалению/к счастью, браузеры пока такой фокус не поддерживают :( / :)

Сортируем фоточки


Написал два скритпа на питоне:
  • первый можно натравить на папку с фоточками и он ее рассортирует по дате и по типу
  • второй - найдет все старые видео и пережмёт их в HEVC дабы освободить место
Третий уже не мой - https://github.com/instaloader/instaloader. Поможет выкачать все инстаграмки. Тоже для бэкапа, на всякий случай.. 

Оч люблю моменты, когда можно "покодить по хозяйству": использовать питон для решения повседневных задач. Раньше как-то питон был только на работе (надо будет про это отдельно написать), а сейчас вот SublimeText + Anaconda Python вошли в стандартный набор и на домашних ПК. Кстати, редактор SublimeText может запускать питоновские скрипты по нажатию Ctrl+B, если кто не знал.

А вот PowerShell так и не прижился. Да, для внутренней кухни продуктов Microsoft ему замены то нет, но для всего остального - bash через Windows Subsystem for Linux или python через Sublime. У меня даже есть питон скрипт, который позволяет запускать PowerShell через Python и работать с выводом, так как в один прекрасный день я понял, что PowerShell'а с меня хватит.

Типичное применение питона для меня: POST/GET запросы к какому-нибудь серверу или СЗИ. "Пробить по базе" хэш или айпи, сложить результат в csv файл или отобразить на экране. Это гораздо удобней сделать из командной строки одной строчкой, чем ждать пока загрузится вебконсоль СЗИ и 10 раз повторять одни и те же действия снова снова.

Второе любимое дело для питона - собирать дневную статистику с СЗИ и хранить историю. Пришел утром на почту, а у тебя свежее письмо от бота со всей аналитикой, которая тебе нужна. Клеартекст, 0 булщит. И графики уже готовые лежат для квартальных отчётов. Класс!


Слив сотрудников Сбербанка

420 тысяч записей вида "SAMAccountName","DisplayName","CanonicalName" утекли у Сбербанка через powershell запрос Get-ADUser.

Я вам скажу Сбербанк ещё легко отделался.

Правдивый обзор Cisco Umbrella


Cisco купила OpenDNS пару лет назад и выпустила новый продукт - фильтрующий DNS сервер (точнее облако) Cisco Umbrella.

Решил запилить свой обзор, с дырами и скелетами в шкафу, ибо достало уже :)

Тюнинг сигнатур Cisco IDS (aka Sourcefire / FireSIGHT / FirePOWER )

У меня особое отношение к Сиско идскам. Я их нелюблю. Они полны багов (тупых, хронических и "катастрофических"), вебинтерфейс ужасно тормознутый (даже на топовой модели с 40 ядрами и нулевой загрузкой) и порог входа чрезвычайно высок - нужно суметь найти среди десятков страниц настроек маленькую кнопочку, дабы всё, наконец, заработало.

Особая боль - это отсутствие RMB опции "Copy" и невозможность быстрого экспорта событий в csv.
 
"Cisco, за что??" 

Однако Gartner киску любит, а джунипер еще большее дерьмо.

Модель защищенного доступа от Микрософта



Почитал про то, как устроен доступ привилегированных пользователей у Микрософт ( http://aka.ms/cyberpaw ). Рекомендации, в целом, стандартны - выделенная система для привилегированного доступа. Необычно тут то, что система с максимальным уровнем доступа (например enterprise admin) - это физический ПК, а менее привилегированные системы - это ВМ.

Засланный казачок


AV stands for "another vulnerability"

Конечно, все об этом знают (а кто не знает - тот догадывается), но ваш антивирус работает не на вас. Это софт, который был разработан для того, чтобы уничтожать файлы из вашей корпоративной сети и делать это так быстро, что ваше участие в этом процессе исключается.

Поэтому мне абсолютно понятно за что Госдеп не взлюбил Касперыча, не понятно только почему одного его (точнее и это понятно, но кроме как русофобией объяснить это нечем).

Любопытный фишинг



Хороший фишер делает домашние задания. Идёт на ЛинкедИн, покупает премиумакк и собирает ящики сотрудников организации, фильтрует сотрудников ИБ, отмечает HR.

А вы до сих пор блокируете?

Интересную модель определения зрелости ИБ услышал на SANS курсах.
Возьмите листик и ручку. Сделайте два столбца: Превентивные меры, Детективные меры. И запишите в них все имеющиеся у вас контроли / инструменты ИБ.
Если превентивных контролей у вас >80%  - поздравляю, ваш уровень 0.