Menu Zamknij

Tag: security

Ochrona własnego intranetu za pomocą rozwiązania Authelia i historia odejścia od web serwera Caddy

Jak większość osób mających małą sieć hostującą laba z eksperymentami i kilka prywatnych rozwiązań, które nie powinny być otwarte dla całego świata z szerokiego wachlarza powodów (od bezpieczeństwa infrastruktury po ratelimiting kluczy API zewnętrznych aplikacji) jednym z wyzwań, przed jakimi stoję, jest zabezpieczenie czegoś, co można by nazwać intranetem. Niekoniecznie VPNem, bo nie zewsząd da się do takowego podłączyć, a zwykle i tak chodzi o zestaw webaplikacji – nierzadko napisanych na kolanie bez cienia autoryzacji.

CVE 2017-milion-82 i kilka słów o listach mailingowych security

Fartem bo fartem ale zostałem odnotowany jako osoba zgłaszająca CVE 2017-1000082 które udowadnia że „systemd is not safe to run on a security critical machine. The developers are simply too lax about safety” (~Perry E. Metzger) bowiem kiedy wpadniemy na pomysł utworzenia usługi odpalanej przez zgodnego z POSIX użytkownika o nazwie zaczynającej się cyfrą (lub co odkryto później – zawierającego znak unicode) to systemd zfailbackuje do… roota. Bez zgłasznia tego faktu najmniejszym warningiem. A to już otwarte gwałcenie bezpieczeństwa.

DRAC5 – „Error when reading from SSL socket connection”

Karta zdalnego zarządzania od Della – DRAC5 stosowana m.in. w PowerEdge 1950 jest tak stara jak sam serwer. Serwer dalej chodzi, ale koncepcje bezpieczeństwa – już nie. Kiedy spróbujemy się podłączyć ze zaktualizowanego hosta do zdalnego sterowania (console redirection), albo menadżera nośników wirtualnych (virtual media) wyskoczy nam komunikat z maszyny wirtualnej Javy „Error when reading from SSL socket connection”. Winny jest pudel (a dokładniej POODLE).

TrueCrypt – NSA wsadziło swoje łapska i tu?

TrueCrypt zyskał popularność głównie dzięki łatwości używania, przenośności i funkcjonalności – przeciętny script-kiddie używający Windowsa, czy nawet Mac OS może zaszyfrować hasła do botnetu na karcie SD i w razie nalotu miłych panów z Agencji Budzenia Wczesnoporannego dać im hasło, ale do innej części karty. I to wszystko może sobie wyklikać (!)
Jak wiemy NSA próbuje wejść wszędzie gdzie się da – reakcja Linusa na pytanie o NSA na ostatniej LinuxCon, czy zaszyty backdoor w kodzie jądra to potwierdzają. Dlaczego nie mieliby się zainteresować oprogramowaniem niemal tak samo strategicznym?