~/docs/User-Agent_Hunting

Premessa Lo User-Agent è una riga di testo che un browser o un’applicazione invia a un server web per identificarsi. In genere include il nome e la versione del browser/applicazione, il sistema operativo e la lingua. La struttura è formata da un elenco di parole chiave, con commenti facoltativi, che forniscono ulteriori dettagli. Questi token … Leggi tutto

~/log4j/kthmimu.elf

Preambolo Da qualche giorno a questa parte sto notando un incremento esponenziale da parte di threat actors di sfruttare la vulnerabilità legata a Log4J. Sebbene non vi siano stati impatti ai sistemi è bene ricordare che, un modus operandi dei gruppi criminali, consiste nello scansionare periodicamente le risorse liberamente accessibili su internet, alla ricerca di … Leggi tutto

~/docs/sysdig.howto

Prefazione Oggi vedremo cos’è sysdig, per cosa serve e perché è un alleato fenomenale se ti occupi di amministrazione server e/o di cybersecurity. Prima di addentrarci però nel dettaglio è bene avere ben chiaro un po’ di termini che andremo ad usare. Glossario MOK file I file MOK (Machine Owner Key) sono utilizzati in Linux … Leggi tutto

./shorts/blocklists.out

Qualche tempo fa scrissi un articolo su come creare regole per il blocco del traffico sui firewall Fortigate prendendo come sorgente una lista di feed pubblici. Disclaimer Lo script che segue è uno scraper da varie fonti autorevoli e liberamente accessibili tuttavia, per ovvie ragioni, non mi prendo la responsabilità di eventuali falsi positivi che … Leggi tutto

~/tips/hardening_tls.key

Prefazione Secure Sockets Layer (SSL) era un protocollo progettato per proteggere il traffico di rete in transito, tuttavia nel ’99 è stato sostituito da Transport Layer Security (TLS). Questi protocolli sono noti per proteggere il traffico web con HTTPS. Tuttavia, possono essere utilizzati per proteggere molti tipi di traffico diversi, ad esempio il traffico e-mail, … Leggi tutto

~/tips/linux_hardening_pt1.sh

Premessa Nel corso del tempo abbiamo parlato tanto di hardening su sistemi Windows Server, un po’ meno di quello su sistemi Linux. Come ben sappiamo il concetto di hardening indica l’insieme di operazioni mirate sulla configurazione di un dato sistema informatico (e dei suoi componenti) che mirano a minimizzare l’impatto di possibili attacchi informatici. Pertanto, … Leggi tutto

~/docs/ldap_enumeration.check

Enumeration Quando si parla di enumerazione (enumeration) si parla di tutte quelle operazioni eseguite sui sistemi atte a restiture informazioni relative al contesto per il quale si sta interrogando. Nel caso specifico di oggi parleremo di enumerazione del servizio LDAP. Event 1644 L’evento in questione registra un log sull’event viewer per ogni ricerca LDAP effettuata … Leggi tutto

~/docs/golden-ticket.krbtgt

Il Golden Ticket in Active Directory, proprio come ne la fabbrica di cioccolato di Willy Wonka, garantisce al portatore un accesso illimitato a tutte le risorse della nostra Active Directory. Un attacco Golden Ticket abusa del protocollo Kerberos il quale usa sistemi per crittografare e firmare i messaggi. Uno di questi è l’hash della password … Leggi tutto

~/docs/stop_DNS-hijacking

Con questo articolo vorrei portare in cattedra qualche piccola tecnica di hardening che personalmente implemento sempre su tutte le infrastrutture che gestisco. Lo scopo è quello di monitorare, gestire, bloccare (o mitigare) tutto il traffico DNS che circola sulla nostra infrastruttura per eliminare (o ridurre) il fenomeno del DNS hijacking. One step backward Ponendo ad … Leggi tutto