Certificate SSL pentru server cu parola.

Mai toata literatura de specialitate care trateaza problema certificatelor SSL pentru serverele Apache recomanda folosirea certificatelor fara parola. Motivul? Pentru ca de fiecare data cind serverul trebuie restartat este nevoie sa se introduca parola pentru certifcate. 😀

Dar de la versiunea 2.1 mod_ssl a implementat optiunea exec pentru „SSLPassPhraseDialog”.Aceasta optiune accepta ca argument calea catre un script care nu faca altceva decit sa scrie parola in <stdout>.

Exemplu:
SSLPassPhraseDialog exec:/etc/httpd/conf.d/echo_passwd.sh

Serverul in sine va furniza 2 argumente acestui script. Primule este combinatia servarename:port si al doilea este tipul de certificat RSA sau DSA. De ce este important?
In cazul in care se ruleaza scenariul Apache in configuratia multihost se pot folosi diferite parole pentru diferite certificate. Cum arata un asemenea script?

#!/bin/sh
case "$1" in
localhost.localdomain*)
echo "Par0lamea"
;;
esac

Acest fisier trebuie bineinteles protejat:

sudo chown root:root echo_password/etc/httpd/conf.d/echo_password.sh
sudo chmod 500 echo_password.sh/etc/httpd/conf.d/echo_password.sh

In cazul distribuitiei Fedora unde Selinux este funtional, este necesar schimbare contextului de securitate:

sudo chcon -h -t httpd_exec_t /etc/httpd/conf.d/echo_passwd.sh

So, let’s do thinks better.

Fast-Flux servers. Noi tendinte in Phishing

Acum ceva timp am citit un articol destul de interesant pe site-ul organizatiei Honeynet Project. Tema acestui articol este in principal un concept foarte nou folosit de echipele de phishing.

Datorita faptului ca organizatiile internationale au reusit sa puna la punct mecanisme destul de rapide pentru a scoate din retea site-urile „fake” sau drop-zone-urile (site-urile in care se aduna informatiile despre tan-uri, useri si parole pentru internet banking), organizatiile de phising s-au gindit la ceva inovativ. De ce nu am construi o retea de DNS-uri in care informatia despre IP-urile site-urilor implicate sa fie schimbata la fiecare 3-10 min. Pornind de la conceputul  DNS „round-robin” acces, care in principal inseamna ca aceasi adresa de URL (http://www.bancafake.name) poate fii asociata cu diferite adrese de IP,  este implementat acum procesul automat de schimbare a acestor adrese de IP cu un tact de maximun 30 de min.

In acest caz devine aproape  imposibil ca toate serverele sa fie scoase din retea.

Si ca toata infrastuctura sa poata fii vinduta mai frumos este fost oferita pentru 100 USD/an sub numele de „bullet proof domain name”.

Intre timp conceptul a evoluat in asa numita  arhitectura „Duble-Flux”. In aceasta configuratie, adresa serverelor de DNS, care sint responsabile penru translatarea adresa de IP – nume,  se schimba la fiecare 30 de minute.  Deci in acest caz chiar scoaterea din joc a serverului de DNS nu duce la nici un rezultat.

Cine vrea sa citeasca mai mult despre concept recomand articolul de la HoneyNet Project.

Weekend placut si cum spun aia de la guerrila „fiti buni si fiti nebuni”.