Narzędzia

Amazon Simple Storage Service to popularna usługa umożliwiająca wygodne przechowywanie praktycznie nieograniczonej ilości danych w chmurze Amazon Web Services. Jak się okazuje, dostęp do miliardów prywatnych oraz poufnych plików przechowywanych w S3 nie jest w żaden sposób zabezpieczony. Spójrzmy.

Zapraszamy do przeczytania – oraz zabookmarkowania :) – tekstu o odzyskiwaniu skasowanych danych. W artykule zaprezentuję bezpłatne narzędzia umożliwiające odzyskanie plików np. po sformatowaniu / uszkodzeniu dysku twardego, czy pomyłkowym usunięciu plików z HDD / nośnika USB.

Czytelnicy Sekuraka wiedzą już, że systemy Windows przechowują hasła w pamięci operacyjnej w postaci jawnej, a ich wydobycie jest banalnie proste. Dziś, dla porównania, przedstawiamy podobne zagadnienie na przykładzie Linuksa.

Pierwsza wersja BackTrack Linuksa została udostępniona niemal siedem lat temu i od tego czasu ten system stał się bezsprzecznie najpopularniejszą zintegrowaną platformą do przeprowadzania testów penetracyjnych oraz wszelkich praktycznych audytów bezpieczeństwa. (Nie)stety, nigdy nie doczekamy się już kolejnej (szóstej) odsłony BackTracka.

Mimo coraz większej liczby zagrożeń naszej prywatności oraz anonimowości, nadal mamy do dyspozycji stosunkowo niewiele łatwych w użyciu narzędzi anonimizujących nasze poczynania w Internecie. Warto więc zwrócić uwagę na mało znany system operacyjny Whonix.

Możecie wierzyć lub nie, ale system Windows przechowuje wasze hasło w pamięci operacyjnej w zupełnie jawnej postaci, a jego wyciągnięcie jest banalnie proste. Również przez innych użytkowników zalogowanych do tego samego systemu…

Każdy, nawet niedoświadczony użytkownik może dzięki Clonezilli wykonać bezpieczną kopię zapasową swoich danych zapisanych na dysku. Bez angażowania wyszukanych, drogich i skomplikowanych narzędzi. Zapraszam do spotkania z Clonezillą Live w dwóch odsłonach “krok po kroku”.

Ataki słownikowe niezmiennie pozostają jedną z najskuteczniejszych metod odzyskiwania haseł. Tam, gdzie próby siłowe nie są w stanie w rozsądnym czasie doprowadzić do jakichkolwiek rezultatów, dobry słownik może zdziałać cuda…

Współczesne aplikacje internetowe to bardzo rozbudowane projekty, wykorzystujące wiele różnorodnych zasobów. Podczas testów penetracyjnych warto zaopatrzyć się w zestaw wyspecjalizowanych narzędzi, przydatnych w określonych sytuacjach. Jednym z nich jest DirBuster – prosty skaner aplikacji webowych, przeznaczony do wykrywania nieosiągalnych z poziomu nawigacji serwisu folderów i plików.
Do czego opisywany program może nam się przydać w praktyce?

Shodan to bardzo interesujący projekt zapoczątkowany przez Johna Matherly’ego, w ramach którego powstała nietypowa wyszukiwarka. W przeciwieństwie do zwykłych wyszukiwarek treści internetowych, takich jak Google, Shodan pozwala na wyszukiwanie komputerów, rozmaitych urządzeń sieciowych, a nawet pracujących na nich specyficznych wersji oprogramowania. Brzmi jak opis świetnego narzędzia dla pentesterów oraz wszystkich zainteresowanych tematyką bezpieczeństwa informatycznego?

Jednym z niewielu narzędzi mogących pomóc w testach penetracyjnych systemów VPN, opartych o IPsec, jest ike-scan. Wśród wielu różnych możliwości oferowanych przez to narzędzie jest też możliwość wykorzystania problemów bezpieczeństwa przy łączeniu się z serwerem VPN w tzw. trybie agresywnym (Aggressive Mode). W przeciwieństwie do trybu głównego (Main Mode) ma on pewne słabości…

Przeprowadzając testy penetracyjne, możemy skorzystać z Metasploita. Przygotowując testy socjotechniczne, powinniśmy zapoznać się z Social Engineer Toolkit. Jednak każde z tego typu działań rozpoczynamy zazwyczaj od rekonesansu. Warto więc wiedzieć, że dostępny jest bardzo interesujący i wszechstronny kombajn automatyzujący zbieranie i wykorzystywanie rozmaitych informacji dostępnych w zakamarkach Sieci. Recon-ng. Przyjrzyjmy mu się dokładniej.

Czy wysyłałeś kiedyś dokument z zamazanym swoim PESEL-em, numerem dowodu osobistego, czy inną istotną informacją? W wielu sytuacjach istnieją proste sposoby na odczytanie tych danych…

Keepass jest programem, który bardzo ułatwia zarządzanie hasłami statycznymi. Wykorzystując go na co dzień, znacznie zwiększymy bezpieczeństwo naszych kont i uprościmy proces uwierzytelniania (zarówno na komputerze, telefonie, jak i tablecie).
Keepass ma wiele odmian, przystosowanych do wielu systemów operacyjnych i architektur. Zapraszam do bliższego poznania tego programu.

W dzisiejszym tekście z cyklu „Narzędzia” zajmiemy się… workami treningowymi. Nie będę oczywiście rozwodził się nad przyborami wykorzystywanymi przez miłośników sportów walki, zamiast tego zajmiemy się systemami stworzonymi specjalnie z myślą o praktycznym trenowaniu testów penetracyjnych. Zapraszam do krótkiego przeglądu rozwiązań, które pozwolą na wygodne i bezpieczne stawianie pierwszych kroków w testach penetracyjnych.