На недавно минулій конференції Zeronights я розповідав про двофакторну аутентифікацію, і які проблеми можуть бути при її впровадженні. На жаль, час виступу для повного занурення в тему було мало, тому я постараюся розкрити деякі деталі в рамках окремих постів.
І почну з самої популярної теми, а саме двофакторної аутентифікації на linux — які є варіанти настройки і чому навіть дуже гарне рішення потрібно доопрацювати напилком.

Читати далі →

Security Week 05: вхід в Facebook за жетоном, уразливості в роутерах Netgear, сам-собі-DDoS в британському моз

Кібербезпека — це не обов'язково захист від зовнішніх кібератак. сообщает британське видання The Register, 14 листопада минулого року день в британському моз (National Health Service) не задався. Вранці співробітниця створила новий список розсилки для колег з власного невеликого відділу. Після створення списку вона відправила туди пусте повідомлення з темою «Тест».

Як з'ясувалося пізніше, у системі створення списків розсилки був обраний пункт «тільки співробітники моєї організації», що насправді означало «всі співробітники, взагалі все», а їх, на хвилиночку, у відділенні NHS в Англії 850 тисяч осіб. Після того, як тест був відправлений, приблизно 80 роздратованих колег відповіли в список розсилки з проханням виключити їх негайно. І пішло-поїхало.

За даними джерел The Register, всього за годину з невеликим поштовій системі департаменту промайнуло близько 500 мільйонів поштових повідомлень, що викликало затримки в доставці звичайних листів протягом дня. До честі співробітників зовнішнього підрядника, відповідальних за налаштування пошти, система так до кінця і не впала, незважаючи на раптово відкрився колективний чатик. У підсумку все одно зробили винуватим підрядника, змусили доопрацювати систему створення списків розсилки і відключили її від гріха подалі. Такий ось мимовільний DDoS.

Читати далі →

2FA в Oracle ApEx

Пропоную Вашій увазі реалізацію 2FA в Oracle Application Express. В якості другого фактора буде використано рішення від Google з встановленим на телефон додатком Кодів.



Читати далі →

Подвійна аутентифікація Вконтакте — секс чи імітація?

Всім привіт! Нещодавно вирішив протестувати апаратний OTP токен з можливістю перепрошивки за NFC, підключивши його до своєї з у vk.com. При цьому натрапив на недоробки в системі двофакторної аутентифікації Вконтакте, які здалися мені досить істотними. Хочу поділитися своїми спостереженнями з вами, так як в самому VK помилок не визнали. Можливо, я трохи параноїк? Цікаво, що скажете ви, хабровчане.

Читати далі →

Security Week 45: обхід двофакторної авторизації в OWA, перехоплення облікових записів GMail уразливість в OpenSSL

Дослідник Ахмед Мехтаб знайшов (новина, исследование) нетривіальний спосіб часткового злому облікових записів GMail. Використовуючи помилку у функції об'єднання різних акаунтів і пересилання пошти, він показав, як можна відправляти повідомлення від імені жертви. В нормальних умовах підключити додатковий обліковий запис до власної можна з допомогою відповідного меню в налаштуваннях. Після цього на додаткову пошту відправляється підтвердження. Необхідно клікнути на посилання в цьому повідомленні, і у вас з'являється можливість відправляти пошту з власного ящика від імені цього додаткового облікового запису.

Відповідно, якщо у вас немає доступу до атакується поштою, ви не побачите лист з підтвердженням та посилання. Але в рідкісних випадках це не потрібно: якщо атакується обліковий запис деактивовано, і поштовий сервер Google надсилає нотифікацію про неможливість доставки повідомлення. Тоді можна стандартними засобами запросити підтвердження, воно відправиться на атакується ящик, і повернеться цілком у складі повідомлення про неможливість доставки. Залишиться тільки клацнути посилання.

Зрозуміло, що атака має вкрай обмежену сферу застосування: проти реальних поштових скриньок вона можлива лише у разі, якщо будь-яким чином змусити власника деактивувати аккаунт. Другий варіант: жертва заблокувала ваш поштовий ящик, в такому разі починають надсилатися аналогічні повідомлення. Як би те ні було, можна тільки відправляти листи від імені жертви, але не отримувати їх. Досліднику вдалося прикрутити до своєї поштою неіснуючі адреси з красивими іменами типу gmail@gmail.com. Природно, на момент публікації дослідження, лазівка вже була закрита.

Читати далі →

Двофакторна аутентифікація і відкриті двері

Sony все ж додала двофакторну аутентифікацію для захисту ста з гаком мільйонів облікових записів користувачів в мережі Sony PlayStation Network. Цього кроку вже давно чекали користувачі PSN, особливо після знаменитого злому в 2011 році, в результаті якого доступ до ігрового сервісу був закритий на цілий місяць, і під загрозою опинилися дані кредитних карт, адреси електронної пошти та інша персональна інформація користувачів. Можливо, навіть занадто давно…



Читати далі →

Двофакторна аутентифікація в Redmine

З давніх пір для другого кроку аутентифікації ми використовували одноразові паролі надсилаються через СМС. Такий функціонал з'явився в Redmine 2013, коли ми розробили плагін redmine_sms_auth. Про це ми писали в давньої статті.
Але час не стоїть на місці. Ми активно впроваджуємо Telegram в бізнес-процеси компанії (раз, два, три).
У зв'язку з цим вирішили зробити аутентифікацію через Telegram в Redmine. Заодно з цим переписати старий плагін про СМС і додати підтримку Google Authenticator.

Далі ми розповімо про те як встановити, налаштувати і використовувати цей плагін.
Читати далі →

Перші 10 хвилин на сервері

Азбука безпеки Ubuntu
«Мої перші 5 хвилин на сервері» Брайана Кеннеді — відмінне введення, як швидко захистити сервер від більшості атак. У нас є кілька в цю інструкцію, щоб доповнити нею наше повне керівництво. Також хочеться детальніше пояснити деякі речі для більш юних інженерів.

Щоранку я перевіряю поштові повідомлення logwatch і отримую грунтовне задоволення, спостерігаючи кілька сотень (іноді тисяч) безуспішних спроб отримати доступ. (Багато досить прозаїчні — спроби авторизуватися
root
з паролем
1234
знову і знову). Наведена тут загальна методика підходить для серверів Debian/Ubuntu, які особисто ми вважаємо за краще всім іншим. Вони зазвичай служать тільки хостами для контейнерів Docker, але принципи ті самі.

На великих масштабах краще використовувати повністю автоматичні установки з інструментами на зразок Ansible або Shipyard, але іноді ви просто піднімаєте єдиний сервер або підбираєте завдання для Ansible — для таких ситуацій призначена інструкція.

Примітка: Ця довідка створена як базова абетка. Її слід розширити та доповнити у відповідності з вашими потребами.

Читати далі →

Як налаштувати двофакторну аутентифікацію для логіна та sudo



Безпека в моді, як це і повинно бути. Ми живемо в світі, де дані — неймовірно цінна валюта, яку ви завжди ризикуєте втратити. Тому ви повинні зробити все, щоб переконатися, що те, що ви тримаєте на серверах і десктопах — у безпеці. Для цього адміністратори і користувачі створюють неймовірно складні паролі, використовують менеджери паролів і т. д. Але що, якщо я вам скажу, що ви можете логінитися на ваші сервери та десктопи Linux за два кроки замість одного? Ви можете це робити завдяки Google Authenticator. Більш того, це неймовірно легко налаштувати.

Я збираюся провести вас через процес налаштування двофакторної аутентифікації для використання її на логін і sudo. Я продемонструю це на десктопної Ubuntu 16.04, але процес також працює і для сервера. Щоб впоратися з двофакторної стороною речей, я буду використовувати Google Authenticator.

Читати далі →

Двофакторна аутентифікація. Нові виклики

Замість прологу: у даній статті мова піде про крадіжку грошей з рахунків користувачів платіжних систем, різних клієнт-банків і т. п.

image

Читати далі →