Chuyên mục
Lỗ Hổng Bảo Mật

Google ra mắt Backstory – Công cụ bảo mật mạng mới dành cho doanh nghiệp

Hôm nay, liên minh an ninh mạng của Google, Chronicle đã công bố sản phẩm thương mại đầu tiên của mình, được gọi là Backstory, một nền tảng phân tích mối đe dọa cấp doanh nghiệp dựa trên đám mây được thiết kế để giúp các công ty nhanh chóng điều tra các sự cố, xác định lỗ hổng và tìm kiếm các mối đe dọa tiềm ẩn.

Google ra mắt Backstory - Công cụ bảo mật mạng mới dành cho doanh nghiệp - CyberSec365.org
Google ra mắt Backstory – Công cụ bảo mật mạng mới dành cho doanh nghiệp 

Theo đó, cơ sở hạ tầng mạng tại hầu hết các doanh nghiệp luôn tạo ra một lượng lớn dữ liệu và nhật ký hàng ngày và rất khó để có thể tìm ra chính xác những gì đã diễn ra khi xảy ra sự cố bảo mật.

Tuy nhiên, hầu hết các công ty đều không thể thu thập từ xa các dữ liệu này, hoặc ngay cả khi họ thực hiện, họ cũng không thể giữ lại những dữ liệu đó trong hơn một hoặc hai tuần, khiến các nhà phân tích không thể đưa ra phán đoán nếu có sự cố bảo mật xảy ra trước đó.
Backstory giải quyết vấn đề này bằng cách cho phép các tổ chức tải lên và lưu trữ “dữ liệu bảo mật nội bộ từ xa” của họ trên nền tảng đám mây của Google và tận dụng các công nghệ phân tích dữ liệu và máy học để theo dõi và phân tích hiệu quả nhằm phát hiện và điều tra bất kỳ mối đe dọa tiềm tàng nào từ bảng điều khiển hợp nhất.

“Backstory normalizes, indexes, and correlates the data, against itself and against third party and curated threat signals, to provide instant analysis and context regarding risky activity,” Alphabet subsidiary Chronicle said in a blog post.
“With Backstory, our analyst would know, in less than a second, every device in the company that communicated with any of these domains or IP addresses, ever.”

Cũng giống như các giải pháp SIEM, Backstory chuyển đổi dữ liệu logs, chẳng hạn như lưu lượng DNS, NetFlow, nhật ký điểm đầu cuối, nhật ký proxy thành thông tin có ý nghĩa, có thể tìm kiếm và hành động để giúp các công ty hiểu rõ hơn về các mối đe dọa và tấn công mạng, ở quy mô để cung cấp một bức tranh đầy đủ hơn về cảnh quan đe dọa.

Google ra mắt Backstory - Công cụ bảo mật mạng mới dành cho doanh nghiệp - CyberSec365.org
Google ra mắt Backstory – Công cụ bảo mật mạng mới dành cho doanh nghiệp – CyberSec365.org

Backstory cũng so sánh dữ liệu với các dấu hiệu được đánh giá là “mối đe dọa tình báo” được thu thập từ nhiều đối tác của Alphabet bao gồm VirusTotal, Avast, Proofpoint và Carbon Black.

Microsoft gần đây cũng đã công bố các dịch vụ phân tích bảo mật tương tự, được gọi là Threat Hunter và Azure Sentinel, được Microsoft gọi là “native SIEM trên nền tảng đám mây ” để giúp các công ty phát hiện, ngăn chặn và đối phó với các mối đe dọa mạng của họ.
Splunk, một công ty cung cấp một sản phẩm tương tự, đã chứng kiến cổ phiếu của mình giảm 5% tại thời điểm đóng cửa vào thứ Hai sau thông báo về dịch vụ Backstory.

Nguồn: The Hacker News
Chuyên mục
An Toàn Thông Tin

Phòng chống bị tấn công máy chủ RDP và Demo Tấn công THEROCK RDP

Vừa qua, có nhiều thông tin cảnh báo khả năng nhiều máy chủ VN bị tấn công qua dịch vụ RDP, và đây cũng là một trong những con mồi hấp dẫn nhất đối với hacker, thay vì hack 1 website thì họ sẽ làm chủ cả trăm trang trên server nếu như đây là máy chủ web.

Hoặc hacker sẽ chiếm quyền điều khiển và sau đó dùng làm máy cày đào coin. Nhưng nói rõ hơn thì tình trạng tấn công vào RDP đã có từ lâu chứ không phải mới đây. Và vừa qua BKAV cũng cho ra 1 công cụ test bẻ khóa, việc này rất đáng hoan nghênh nhưng không hẳn là hiệu quả, cho nên đứng trên phương diện “đào tạo” thì tôi có một số hướng dẫn sau cho những ai chưa biết bên cạnh những phương án được VnCert, SOC hay nhiều chuyên gia khác đưa ra.

1.Phòng chống Enumeration (CEH v10 Module 4)
Trước tiên, để có thể bẻ khóa máy chủ RDP và nhiều dịch vụ online khác thì attacker cần phải dò được tài khoản đăng nhập. Bởi vì nếu biết được tài khoản thì attacker đã có được 50% thông tin cho nên người quản trị thường thay đổi các thông tin quản lý mặc định là administrator hay admin thành 1 tên khác khó đoán hơn.

Vậy hãy thay đổi tên quản trị, không nên dùng tên mặc định !

Ngoài ra, ngay cả khi ta đã thay đổi tên thì chúng ta vẫn có khả năng bị attacker tiến hành dò tìm qua thao tác enumration với xfreerdp. Các bạn có thể theo dõi video hướng dẫn này của tôi tại kênh http://bit.ly/2NlPkdf

Enum RDP vối XFREERDP : Đây là một bài lab của Pentest lab v10 rất hay mà nhiều người đã biết. Hãy tải Kali Linux 2019 và thử dò xem tài khoản quản lý máy chủ RDP của mình có khả năng bị dò ra hay không, nếu có hãy tăng cấp độ bảo mật cho việc xác thực tài khoản. Việc này không khó lắm, các bạn chỉ cần xem các tùy chọn trên máy chủ của mình rồi chọn và kiểm tra lại với xfreerdp cho chắc ăn.

2.Đặt mật khẩu mạnh

Việc này là hiển nhiên, ngay cả khi attacker tìm ra tên tài tài khoản quản lý RDP thì học phải hack vào bằng cách bẻ khóa với các tập từ điển mạnh. Các bạn hãy thử bẻ khóa hệ thống của mình với các tool chuyên dùng cho tình huống này ví dụ Cowbar, còn từ điển thì tải trên mạng, tự tạo …
Chủ đề này thuộc module System Hacking của CEH v10 hay lớp Hacker Mũ Xám, nếu các bạn chưa biết hãy tham gia học là cách nhanh nhất.

Tiền nhiều đề làm gì ? Để học, và học điểm làm nhiều tiền 🙂
Chữ học ở đây rất là rộng lớn

Quay trở lại vấn đề, nếu tự bẻ được thì phải làm gì các bạn biết rồi đó, hãy đặt password sao cho thật khó bẻ khó. Nói thì dễ nhưng coi bộ cũng mất công lắm !

3. Chống tấn công Bruteforce

Một cách hiệu quả khác là chống dò mật khẩu, ví dụ khi nhập sai mật khẩu vài lần thì khóa tài khoản không cho đăng nhập. Điều này có thể thực hiện dễ dàng trong Group Policy của hệ thống, một kiến thực thuộc Course Comptia Security+

Kết luận : Với các thao tác trên, các bạn có thể phòng chống hiệu quả việc bị dò hay bẻ khóa mật khẩu RDP từ xa. Dĩ nhiên, ta loại bỏ các tình huống bị sniffer hay bị tấn công qua đường khác như MS17-010 …Và nên phối hợp thêm với các hương dẫn khác. Lưu ý : Nếu không có nhu cầu thì nên tắt RDP đi.

Nguyễn Vinh / Founder of Security365

Các chương trình đào tạo về An Ninh Mạng http://akademy.edu.vn/cac-khoa-hoc/
Video http://bit.ly/2NlPkdf / Group https://www.facebook.com/groups/dongduongict/

Chuyên mục
Lỗ Hổng Bảo Mật

[Cảnh Báo] Lỗ hổng bảo mật mới cho phép tin tặc qua mặt cơ chế xác thực của WordPress

Các nhà nghiên cứu bảo mật khuyến cáo quản trị viên nên cập nhật website WordPress của mình lên phiên bản WordPress V5.1.1 mới nhất trước khi tin tặc có thể lợi dụng để chiếm quyền điều khiển hệ thống.

[Cảnh Báo] Lỗ hổng bảo mật mới cho phép tin tặc qua mặt cơ chế xác thực của WordPress - CyberSec365.org
[Cảnh Báo] Lỗ hổng bảo mật mới cho phép tin tặc qua mặt cơ chế xác thực của WordPress – CyberSec365.org
Theo Simon Scannell – một nhà nghiên cứu bảo mật tại RIPS Technologies GmbH, người trước đây đã báo cáo nhiều lỗ hổng nghiêm trọng trong WordPress, một lần nữa phát hiện ra một lỗ hổng mới trong phần mềm quản lý nội dung (CMS) có khả năng dẫn đến các cuộc tấn công thực thi mã từ xa.
Lỗ hổng xuất phát từ vấn đề giả mạo cross-site request forgery (CSRF) trong phần bình luận của WordPress, một trong những thành phần cốt lõi của nó được bật theo mặc định và ảnh hưởng đến tất cả các cài đặt WordPress trước phiên bản 5.1.1.
Không giống như hầu hết các cuộc tấn công trước đây được ghi nhận chống lại WordPress, khai thác mới này cho phép ngay cả một “kẻ tấn công từ xa, không được xác thực” thỏa hiệp và có được sự thực thi mã từ xa trên các trang web WordPress chứa lỗ hổng.

 “Considering that comments are a core feature of blogs and are enabled by default, the vulnerability affected millions of sites,” Scannell says.

Scannell cũng cung cấp các giai đoạn tấn công bao gồm: 
  • WordPress doesn’t use CSRF validation when a user posts a new comment, allowing attackers to post comments on behalf of an administrator.
  • Comments posted by an administrator account are not sanitization and can include arbitrary HTML tags, even SCRIPT tags.
  • WordPress frontend is not protected by the X-Frame-Options header, allowing attackers to open targeted WordPress site in a hidden iFrame from an attacker-controlled website.
[Cảnh Báo] Lỗ hổng bảo mật mới cho phép tin tặc qua mặt cơ chế xác thực của WordPress - CyberSec365.org
[Cảnh Báo] Lỗ hổng bảo mật mới cho phép tin tặc qua mặt cơ chế xác thực của WordPress – CyberSec365.org

 Theo nhà nghiên cứu, kẻ tấn công thậm chí có thể kiểm soát hoàn toàn các trang web WordPress từ xa bằng cách chèn một tải trọng XSS có thể sửa đổi trực tiếp WordPress template và chèn vào một cửa hậu PHP độc hại.
Sau khi Scannell báo cáo lỗ hổng này trở lại vào tháng 10 năm ngoái, nhóm WordPress cố gắng giảm thiểu vấn đề bằng cách giới thiệu một thông báo bổ sung cho quản trị viên trong biểu mẫu nhận xét.
Đến 13/3/2019,  WordPress 5.1.1 chính thức được phát hành với bản vá lỗi cho lỗ hổng nói trên.

Nguồn: The Hacker News
Chuyên mục
Lỗ Hổng Bảo Mật

[Cảnh báo] Hình ảnh riêng tư lưu trong Google Photos có thể bị lộ lọt thông qua lỗ hổng bảo mật trên Android Tivi

Các nhà nghiên cứu bảo mật đến từ nhóm XDA Developers đã phát hiện một lỗ hổng bảo mật nghiêm trọng trong các thiết bị Android TV. Lỗ hổng này có khả năng làm rò rỉ các hình ảnh lưu trong Google Photos của người dùng.

[Cảnh báo] Hình ảnh riêng tư lưu trong Google Photos có thể bị lộ lọt thông qua lỗ hổng bảo mật trên Android Tivi - CyberSec365.org
[Cảnh báo] Hình ảnh riêng tư lưu trong Google Photos có thể bị lộ lọt thông qua lỗ hổng bảo mật trên Android Tivi – 
Cụ thể, một người dùng có đến từ Ấn Độ có biệt danh là Prashanth đã phát hiện ra lỗ hổng này là chia sẻ trong một Tweet của mình.
[Cảnh báo] Hình ảnh riêng tư lưu trong Google Photos có thể bị lộ lọt thông qua lỗ hổng bảo mật trên Android Tivi - CyberSec365.org
[Cảnh báo] Hình ảnh riêng tư lưu trong Google Photos có thể bị lộ lọt thông qua lỗ hổng bảo mật trên Android Tivi – CyberSec365.org
Sau đó, anh cũng chia sẻ thểm rằng anh ta có thể xem các hình ảnh riêng tư được lưu trong Google Photos của người khác. Chính xác hơn, anh có thể thấy được danh sách người dùng liên kết xuất hiện bên dưới tab cài đặt
[Cảnh báo] Hình ảnh riêng tư lưu trong Google Photos có thể bị lộ lọt thông qua lỗ hổng bảo mật trên Android Tivi - CyberSec365.org
[Cảnh báo] Hình ảnh riêng tư lưu trong Google Photos có thể bị lộ lọt thông qua lỗ hổng bảo mật trên Android Tivi – CyberSec365.org
Khi phát hiện ra lỗ hổng, Prashanth đang sử dụng thiết bị Android TV của VU. Tuy nhiên, sau khi chia sẻ thông tin về lỗ hổng này, một số người dùng khác cho biết các thiết bị Android TV của IFFALCO cũng xuất hiện lỗ hổng bảo mật tương tự. Nguy hiểm hơn, người dùng cón có thể xem ảnh người khác trong chế độ Ambient Mode – chế độ giúp chiếc Smart Tivi của bạn có thể tái hiện không gian phía sau bức tường.
Theo báo cáo của XDA Developers và được VU Televisions xác nhận, bản chất lỗ hổng này nằm ở ứng dụng Google Home của Google. Do đó, lỗ hổng này cũng có thể làm ảnh hưởng đến các dòng ti vi khác.

“Vu Televisions were recently informed about a malfunction of the Google Home App in an Android TV. After verifying the incident Vu Televisions informed Google who has confirmed it was a software malfunction of the Google Home App”

Phản hồi của Google Google

Google gần như ngay lập tức đã có phản hồi về các vấn đề trên. Ở giai đoạn đầu, Google đã đưa ra rất nhiều giải pháp để khắc phục. Cuối cùng, Google cũng phải vô hiệu hoá tạm thời ứng dụng Google Photos cho Android TV như một biện pháp khắc phục ngay tạm thời.
[Cảnh báo] Hình ảnh riêng tư lưu trong Google Photos có thể bị lộ lọt thông qua lỗ hổng bảo mật trên Android Tivi - CyberSec365.org
[Cảnh báo] Hình ảnh riêng tư lưu trong Google Photos có thể bị lộ lọt thông qua lỗ hổng bảo mật trên Android Tivi – CyberSec365.org
Đến thời điểm viết bài, Google vẫn đang làm việc để có thể phát hành bản vá lỗi sớm nhất
Nguồn: Latest Hacking News
Chuyên mục
Lỗ Hổng Bảo Mật

5 cách đơn giản phát hiện camera quay trộm trong nhà nghỉ, khách sạn

Cách đơn giản nhất để phát hiện camera bị giấu kín trong phòng nhà nghỉ, khách sạn hoặc trong nhà bạn là gì? Làm thế nào để phát hiện camera bị giấu sau gương?

Sau đây là những cách đơn giản để phát hiện camera quay lén mà bạn có thể áp dụng ngay!
1. Dùng mắt và tai rà soát kỹ khắp phòng để phát hiện camera quay trộm
Làm thế nào để phát hiện camera được giấu trong phòng, nhà tắm, phòng thay đồ? Cách đơn giản nhất là kiểm tra xung quanh cẩn thận, quan sát kỹ sẽ giúp bạn phát hiện camera ở những khu vực hay được dùng để che giấu chúng.
Dưới đây là những thiết bị dễ bị gắn camera quay trộm:
Máy báo cháy
Thiết bị lọc không khí
Sách
Các vật trang trí treo tường
Ổ điện
Chậu cây nhỏ trên bàn
Hộp khăn giấy
Thú nhồi bông
Gối ôm trên sô-pha, bàn, giá
Đừng coi thường không gian ngoài cửa. Cây xanh hay những chiếc lỗ trên cửa,… có thể chính là điểm ngắm của những kẻ thích rình mò.
Một số đồ vật sẽ để lộ những dây điện, ánh đèn, thấu kính,… là những dấu hiệu khả nghi của camera quay trộm. Nếu bạn phát hiện những ổ điện hay cục sạc bất thường, hãy rút phích cắm ngay lập tức.
Trong khi đi quanh phòng hãy nghe ngóng, nhiều camera quay trộm sẽ có âm thanh rè rè rất nhỏ khi đang hoạt động, nhưng nếu bạn chú ý thì có thể sẽ nghe thấy.
2. Tắt hết đèn trong phòng để phát hiện camera quay trộm
Bạn có thể tắt hết đèn điện để kiểm tra xem có camera quay trộm trong bóng tối bị giấu trong phòng hay không. Ngày nay hầu hết các thiết bị camera sẽ có đèn LED đỏ hoặc xanh.
Đèn LED sẽ nhấp nháy hoặc sáng khi ở trong điều kiện thiếu ánh sáng.
Chất lượng phim của camera hồng ngoại quay hình trong đêm tối
3. Dùng điện thoại iPhone/Android để định vị camera quay trộm
Cách dễ nhất để kiểm tra camera quay trộm trong phòng bằng điện thoại là gọi một cuộc điện thoại.
Camera giấu kín thường phát ra một loại sóng đặc biệt làm nhiễu tín hiệu điện thoại.
Hãy gọi điện thoại cho bạn bè và đi quanh phòng. Nếu bạn nhận thấy dấu hiệu nhiễu sóng ở một vị trí, khu vực nào đó, bạn có thể dừng lại và kiểm tra kĩ lưỡng để xem liệu có camera bị giấu ở đó hay không.
Bạn có thể sử dụng một ứng dụng miễn phí phát hiện camera quay lén ngay trên điện thoại iPhone hay Android để phát hiện camera trong nhà nghỉ, khách sạn,…
Ví dụ ứng dụng ‘Spy hidden camera detector’ là một ứng dụng khá tốt mà bạn có thể thử dùng.
4. Dùng máy dò phát hiện camera quay lén chuyên dụng
Bạn có thể mua một chiếc máy phát hiện camera quay lén chuyên dụng để kiểm tra camera giấu trong nhà vệ sinh, nơi làm việc, văn phòng, khách sạn, nhà nghỉ,…
Thiết bị này rất dễ cầm theo và dễ sử dụng. Chỉ cần mở nó lên và quét khắp phòng để phát hiện camera quay trộm.
Tuy nhiên điểm yếu của các thiết bị này là được sản xuất chỉ có thể phát hiện một loại tần số nhất định. Nếu camera dùng nhiều tần số thay đổi liên tục thì có thể thiết bị sẽ không phát hiện được.
Tin tốt là những kẻ quay lén thường không lắp đặt những loại camera như thế đâu, vì chúng đắt hơn rất nhiều lần.
Những thiết bị dò tìm camera này nhỏ gọn, giá tầm 2 – 5 triệu đồng
5. Kiểm tra các tấm gương để phát hiện camera quay trộm
Bạn có biết nhiều kẻ xấu thường lắp đặt camera ở mặt sau các tấm gương hai chiều, mà một chiều có thể nhìn xuyên qua, chiều còn lại chỉ như một tấm gương bình thường.
Biện pháp đơn giản để phát hiện gương 2 chiều là đặt tay lên gương. Nếu thấy ngón tay và ảnh có khoảng cách thì đó là gương bình thường, nếu không có khoảng cách thì là gương 2 chiều
Hãy sử dụng các mẹo và kỹ năng trên để phát hiện camera bị giấu trong phòng, nhà nghỉ, khách sạn để đảm bảo riêng tư của bản thân.
Làm gì khi phát hiện camera quay trộm?
Tốt nhất là không động đến thiết bị đó và báo với cơ quan chức năng để xử lý. Cảnh sát sẽ vào cuộc và nhanh chóng tìm kiếm phát hiện kẻ nhìn trộm nhanh chóng và hiệu quả.
Chuyên mục
An Toàn Thông Tin

Ẩn Thông Tin Như Mr Robot với DeepSound – Audio Steganography Tool

DeepSound là một công cụ audio steganography và chuyển đổi âm thanh nhằm ẩn dữ liệu bí mật vào các tệp âm thanh như trong phim Mr Robot. Ngoài ra ứng dụng cũng cho phép bạn trích xuất các tệp bí mật trực tiếp từ các tệp âm thanh hoặc từ các bản nhạc  hay CD.

DeepSound - Audio Steganography Tool
DeepSound  hỗ trợ mã hóa các tệp bí mật bằng AES-256 (Tiêu chuẩn mã hóa nâng cao) để cải thiện bảo vệ dữ liệu. Ngoài ra, ứng dụng này cò cón Audio Converter Module dễ sử dụng, có thể mã hóa một số định dạng âm thanh (FLAC, MP3, WMA, WAV, APE) cho đến các loại khác (FLAC, MP3, WAV, APE).

Hướng Dẫn Sử Dụng DeepSound Audio Steganography Tool

  • Click  ‘Open carrier files (F2)’  hay drag & drop audio file (flac, wav, wma, mp3, ape) đến dành sách Carrier audio files.
  • Click  vào ‘Add secret files (F3)’  hay drag & drop secret  tập tin trong danh sách Secret files  trên bottom side của ứng dụng.
  • Nhấn phím F4  hay click vào  nút ‘Encode secret files’ .
  • Ta có thể chọn định dạng xuất của file  (wav, flac hay ape). DeepSound không hỗ trợ định dạng xuất wma. Do đó nếu muốn dấu dữ liệu mật vào tập tin  wma ta cần dùng tool để chuyển đổi
  • Trong hộp thoại ‘Encode secret files’ ta có thể  bật hay tắt mã hóa  AES-256 ..
  • Click  vào nút ‘Encode secret files’  để bắt đầu tiến trình.
Download DeepSound tại đây :DeepSoundSetup.msi
Hoặc xem thêm tại đây (here.)
Chuyên mục
Bạn Cần Biết

Cần Chuẩn Bị Gì cho Nghề An Ninh Mạng Trong Năm 2019 để từ “Zero lên Hero” ?

Chào các bạn, trong năm mới ta nên đề ra vài mục tiêu nho nhỏ bên cạnh mục tiêu to là kiếm Tiền. Sự chuẩn bị ở đây không có gì to tát nhưng tốn kém và hiệu quá. Và nếu không từ Zero đến Hero được thì tới Zero + cũng OK rồi !

Trang bị về phần cứng nên có :          Đã học là phải hành, có nghĩ là phải thực hành trên Lab ảo thật nhiều. Nhưng nếu các bạn chạy lab ảo trên ở thường sẽ không nhanh bằng SSD nên chúng ta cần đầu tư 1 box SSD chưa lab và chạy máy ảo cho ngon. 

Hãy lên tiki hay các trang để tìm ổ cứng SSD giá tốt, nên dùng ổ 500GB (nếu không thì 250GB), ổ di động càng tốt. Nếu ổ thường thì mua cái box gắn vào, tôi không biết có ổn không nhưng chắc là được.  Trước đây tôi hay mua Lazada nhưng bị lừa vài lần nên rút kinh nghiệm vậy !

Bên cạnh đó nên trang bị 1 con crad Wifi thật xịn, như là Alfa AHUS hay bét nhất phải là TpLink WN722 v1, hoặc cao hơn chút là DWA 182 Wifi. Chịu chơi hơn là phải có NANO Wifi Pinaple, trong group chúng ta có nhiều bạn xài tới hàng Tetra, còn tôi thì chơi tới 2 cái chỉ để nhìn cho đẹp đội hình.

Dữ hơn nữa là phải có mấy con malware dạng hardward, ai đó có kỹ thuật thí tự làm 1 con còn nhưng bạn có $ nhưng không có thời gian thì thích mua luôn và có các hãng chuyên bán như Hak5. 
Và độc hơn nữa là kiếm 1 con chuyên hack sóng hồng ngoại như HackerOne, cái này trên eBay có bán.

… Còn nữa, nên sắm 1 con USB xịn để cài sẳn tool Kali Linux 2019 nhằm mục đích chiến ở bất kì nơi nào hoặc có thể pentest, dò lỗi ở bất kì đâu (cần phải cài thêm tool như OpenVas, Nessus)
Đồ chơi để hack thì có rồi, nhưng đồ chơi để secure thì thế nào ? Các bạn thử tìm xem trên PwnieExpress nó có bán hàng đỉnh để dò tìm mấy cái đồ chơi độc hại ở trên, nhưng mua cần phải tìm hiểu thêm.

P/R luôn : Hiện trung tâm đang chạy lại các lớp đào tạo Live với chương trình khuyến học 3 in 1.
Đó là về các thiết bị nho nhỏ về mặt phần cứng và phần mềm chỉ cần tầm 1000 $ trở lại là sắm FULL ! Còn về mặt “phần xám” thì có tiền cũng không mua được, mà ngoài $ ta cần phải học tập rèn luyện chuyên cần, đôi khi phải có người hướng dẫn, người đi trước chỉ đường (ví dụ đứng ở ngã 3 chỉ cần chỉ đúng hướng phải hay trái là đủ giá trị rồi, còn đi ngược lại thì ai cũng biết rồi đấy, trong năm qua tôi cũng may mắn chỉ đúng hướng cho một số bạn)

Vậy trong năm này các bạn nên đặt một mục tiêu nho nhỏ cho phần xám hay chất xám là lấy 1 chứng chỉ quốc tế nào đó (có sự hỗ trợ từ công ty đang làm thì càng tốt). Cái chứng chỉ nho nhỏ đó có thể là (ở đây tôi đưa từ thấp đến cao theo ý kiến của mình)

1 – Comptia Security+ SY0 – 501 : Đây là sự khởi đầu tốt cho bất kì ai, tôi đã đề pa với chứng chỉ này từ nằm 2003 và giờ ngắm nhìn nó vẫn thấy thích, lần đầu tiên thi đậu sau những ngày cố gắng và bỏ thời gian ôn luyện ở Vũng Tàu. Ngoài ra, các cert xịn của Comptia còn có Pentest + và CySA+ , hãy tùy cơ ứng biến hay nói như kiểu VN là “liệu cơm mà gắp mắm”, hãy xác định cái nào cần cho công việc của mình trước.

2 – CEH v10 : Đây là chứng chỉ giá trị nằm trong base Cert của Bộ Quốc Phòng Mỹ, DOD họ  không đánh giá sai đâu các bạn. Nếu học cho ra ngô ra khoai món này thì từ Zero lên đến Hero luôn, và CEH VIETNAM đang phấn đấu đào tạo mọi người theo learning Path như vậy.

3 – CHFI v9 : cert này nằm trên cert CEH v10 một ít, nếu các bạn đã trãi qua thì sẽ hiểu rõ sự trên cơ của nó. Nhiều người chủ quan luyện tập theo dump và đã ôm hận khi vào phòng thi. Nhưng nêu luyện kỹ, học bài bản theo giáo trình, sữa cả những câu đã trả lời sai, luyện tập flashcard và dump xịn thì khả năng pass khá cao. Tôi hơi bị tự hào là vừa qua ôn luyện cho 7 bạn theo hướng này đều pass hết, nhưng cũng phải nói là 7 bạn này đã giỏi sẳn rồi, học chỉ để đốt giai đoạn và rút ngắn thời gian thôi. Nhưng nói vậy để mọi người yên tân vào chất lượng đào tạo.

Ngoài ra, ECC còn có các chứng chỉ như ECSA và đỉnh cao LPT mà nhiều người mong ước, nhưng muốn học và thi ECSA các bạn phải trãi nghiệm CEH đã, không thể đốt giai đoạn này được vì đ1o là quy định của EC-Council

4 – OSCP : Đây là chứng chỉ đang lên và cũng đang được đánh giá cao cũng như ưa chuộng còn hơn cả CEH tại nhiều khu vực, và ngeh đâu cũng được DoD của Mỹ đưa vào base Cert của họ. Để học và thi món này ta cần vững vàng trong thao tác hacking với Kali Linux, nói chung là cứ phải làm lab thật là nhiều cho quen với thao tác. Việt Nam hiện nay cũng có khá nhiều bạn thi đạt OSCP, và một số ít còn có chứng chỉ nâng cao hơn là OSCE.

5 – CISSP : cùng với các chứng chỉ thiên về quản lý và hoạch định khác như CISA, CCSP … thì CISSP là niêm mong ước của rất nhiều người. Nó như sự mở rộng của Security+ nhưng mở khá rộng, và sâu hơn chút nữa nên làm cho nhiều bạn gặp khá nhiều khó khăn và trở ngại. 

Nhưng bạn nào có cả CISSP và CEH / OSCP thì đúng là “Văn Võ Song Toàn”, nhưng nên có thêm CHFI hay các chứng chỉ Forensic của SANS thì mới đúng là “cao thủ võ lâm”. Thật vậy, đừng nên qua tự hào khi mà không biết làm cách nào để “moi” 1 con malware nằm trong bộ nhớ hay làm sao thấy được trafic “lạ” ở trên mạng (đây là các kỹ năng thuộc về Computer Forensic). Giống như khi chúng ta có chứng chỉ đầy mình nhưng gặp câu hỏi : Bạn có chắc là máy của bạn không có malware hay không ? thì rất hoang mang và trả lời hơi lí nhí thiếu tự tin. 

Mặc dù không ai có thể có câu trả lời quyết đoán cho câu hỏi này trừ khi chúng ta tắt máy và chôn xuống đất (nghe hơi quá nhưng sự thật là thế), nhưng cũng phải có được phương án hành động hay quy trình thực hiện để chứng mình hay dò tím malware thích hợp.
Như vậy, về mặt kiến thức thì cần có mục tiêu mà mục tiêu nào rõ ràng hơn là bằng cấp đã được chứng nhận.

Các ý kiến trên đây là về mặt cá nhân, và có thể thay đổi, hiệu chỉnh khi thấy thích hợp.

Các bạn có thể trang bị về “Phần Xám” của mình qua các khóa học tại CEH VIETNAM (có live) hay chỉ cần đăng kí học Learning Anytime qua Akademy http://www.akademy.edu.vn

Các bạn có thể trao đổi thêm với tôi về mục đích của mình (ý là muốn học cái gì hay thì lấy chứng chỉ nào) qua Facbook https://www.facebook.com/dongduonggiaochu
Hoặc cần đăng kí và tư vấn khóa học qua Admin https://www.facebook.com/vosimaytinh
Group thảo luận về An Ninh Mạng Security365 https://www.facebook.com/groups/dongduongict/
All in One http://akademy.edu.vn/courses/all/

Chuyên mục
Lỗ Hổng Bảo Mật

Cloudflare triển khai rule mói để ngăn chặn khai thác vào các lỗ hổng của Drupal.

Các nỗ lực khai thác lỗ hổng nghiêm trọng được phát hiện trong phần mềm quản lý nội dung (CMS) Drupal vào ngày 20 tháng 2 đã bị Cloudfare chặn bằng cách sử dụng các rules Tường lửa ứng dụng Web (WAF) được thiết kế để bảo vệ trang web của khách hàng khỏi bị xâm phạm.

Cloudflare triển khai rule mói để ngăn chặn khai thác vào các lỗ hổng của Drupal - CyberSec365.org
Cloudflare triển khai rule mói để ngăn chặn khai thác vào các lỗ hổng của Drupal – CyberSec365.org
Theo tư vấn bảo mật của nhóm dự án Drupal, các trang web bị ảnh hưởng bởi lỗ hổng có mã hiệu là CVE-2019-6340 là những trang web đã bật mô-đun RESTful Web Services (rest) của Drupal và cũng cho phép các yêu cầu PATCH hoặc POST.
Để tránh phải yêu cầu mỗi khách hàng của họ cập nhật cài đặt sau khi phiên bản vá được Drupal phát hành cùng ngày, Cloudfare “đã xác định loại lỗ hổng” trong vòng 15 phút họ “có thể triển khai các quy tắc để chặn khai thác tốt trước khi bất kỳ cuộc tấn công nào nhắm vào lỗ hổng này. “

Cuộc tấn công đầu tiên vào lỗ hổng này xuất hiện chỉ 48 giờ sau khi lỗ hổng bị tiết lộ

Sau khi phân tích sâu bản vá của Drupal, nhóm bảo mật của công ty đã phát hiện ra rằng việc khai thác tiềm năng sẽ dựa trên quá trình deserialization có thể bị lạm dụng với sự trợ giúp của maliciously crafted serialized Object.
Điều tồi tệ nhất là những kẻ tấn công có thể khai thác lỗ hổng CVE-2019-6340 mà không cần bất kỳ yêu cầu xác thực nào, cho phép tất cả dữ liệu trên hệ thống được sửa đổi hoặc xóa.
Sau nhiều lần điều chỉnh, Cloudfare cuối cùng đã triển khai quy tắc WAF mà họ đặt tên là D0020, rất hiệu quả trong việc tự động chặn những kẻ tấn công đang cố gắng khai thác lỗ hổng cực kỳ nghiêm trọng có trong các bản cài đặt Drupal chưa được vá.
Cloudflare triển khai rule mói để ngăn chặn khai thác vào các lỗ hổng của Drupal - CyberSec365.org

Theo nhóm bảo mật của Cloudflare, lúc đầu, các tác nhân đe dọa chỉ thăm dò các phiên bản Drupal  bằng cách gọi từ xa các lệnh như phpinfo và thực hiện tải trọng thử nghiệm, các cuộc tấn công đã sớm cố gắng giảm tải trọng cửa sau được thiết kế để giúp kẻ gian duy trì quyền truy cập của họ ngay cả khi máy chủ đã đã được vá sau này.

Nguồn: Bleeping Computer
Chuyên mục
Lỗ Hổng Bảo Mật

[Cảnh Báo] Tin tặc đã bắt đầu các cuộc tấn công nhắm vào các thiết bị Cisco RV110, RV130, và RV215

Các cuộc tấn công bắt đầu hai ngày sau khi Cisco phát hành bản vá, một ngày sau khi các nhà nghiên cứu công bố mã khai thác demo.

[Cảnh Báo] Tin tặc đã bắt đầu các cuộc tấn công nhắm vào các thiết bị Cisco RV110, RV130, và RV215 - CyberSec365.org
[Cảnh Báo] Tin tặc đã bắt đầu các cuộc tấn công nhắm vào các thiết bị Cisco RV110, RV130, và RV215 – CyberSec365.org
Chỉ 2 ngày sau khi Cisco chính thức phát hành bản vá cho lỗ hổng nghiêm trọng trong các thiết bị định tuyến của mình, và chỉ 1 ngày sau khi các nhà nghiên cứu công bố bằng chứng khai thác, các tin tặc đã tiến hành các cuộc tấn công rà quét và khai thác các lỗ hổng nói trên nhằm chiếm quyền các thiết bị chưa kịp cập nhật.
Lỗ hổng, có mã hiệu là CVE-2019-1663, đáng chú ý khi nó được phát hành vào ngày 27/2/2019 với mức độ đánh giá lỗ hổng là “rất nghiêm trọng” và điểm đánh giá là 9,8/10.
Cụ thể, lỗ hổng này được đánh giá là “rất nghiêm trọng” bởi nó rất dễ để khai thác và gần như không đòi hỏi kẻ tấn công phải có những kỹ năng phức tạp. Lỗ hổng này hoàn toàn bỏ qua các phương thức xác thực và các bộ định tuyến của Cisco sẽ dễ dàng bị tấn công từ xa qua Internet mà không cần kẻ tấn công phải tiếp cận với thiết bị.
Các thiết bị bị ảnh hưởng bởi lỗ hổng này bao gồm Cisco RV110, RV130, và RV215, cùng tất cả các thiết bị WiFi được triển khai trong các doanh nghiệp nhỏ và hộ gia đình.
Điều này có nghĩa là chủ sở hữu của các thiết bị này sẽ không chú ý đến các cảnh báo bảo mật của Cisco và hầu hết các bộ định tuyến này sẽ vẫn chưa được cập nhật – giống như trong các môi trường doanh nghiệp lớn nơi nhân viên CNTT đã triển khai các bản sửa lỗi của Cisco.
Theo báo cáo của hãng bảo mật Rapid7, có hơn 12.000 thiết bị này có sẵn trực tuyến, với phần lớn nằm ở Mỹ, Canada, Ấn Độ, Argentina, Ba Lan và Romania.
Tất cả các thiết bị này hiện đang bị tấn công, theo công ty bảo mật mạng Bad Packets, báo cáo phát hiện vào ngày 1 tháng 3.
[Cảnh Báo] Tin tặc đã bắt đầu các cuộc tấn công nhắm vào các thiết bị Cisco RV110, RV130, và RV215 - CyberSec365.org
[Cảnh Báo] Tin tặc đã bắt đầu các cuộc tấn công nhắm vào các thiết bị Cisco RV110, RV130, và RV215 – CyberSec365.org
Bên cạnh đó, hãng này cũng cho biết có thể tin tặc đã sử dụng công cụ khai thác được công bố trước đó một ngày bởi Pen Test Partners, một công ty bảo mật mạng có trụ sở tại Anh. Trong công bố này, Pen Test Partners cho biết cho nguyên nhân chính của CVE-2019-1663 là các lập trình viên của Cisco đang sử dụng chức năng không an toàn của ngôn ngữ lập trình C – có tên là strcpy (sao chép chuỗi).
Bài đăng trên blog của công ty bao gồm một lời giải thích về cách sử dụng chức năng lập trình C này để lại cơ chế xác thực của các bộ định tuyến Cisco RV110, RV130 và RV215 mở cho bộ đệm tràn cho phép kẻ tấn công tràn vào trường mật khẩu và đính kèm các lệnh độc hại được thực thi với quản trị viên quyền trong quá trình xác thực.
Những kẻ tấn công đọc bài đăng trên blog dường như đang sử dụng ví dụ được cung cấp trong bài viết Pen Test Partners để chiếm lấy các thiết bị dễ bị tấn công.
Bất kỳ chủ sở hữu của các thiết bị này sẽ cần phải áp dụng các bản cập nhật càng sớm càng tốt. Nếu họ tin rằng bộ định tuyến của họ đã bị xâm phạm, nên khởi động lại phần sụn của thiết bị
Chuyên mục
Lỗ Hổng Bảo Mật

Kỹ thuật khai thác mới cho phép tin tặc chiếm quyền kiểm soát các thiết bị Windows IoT Core

Phát biểu tại một hội nghị hôm nay, Dor Azouri – một nhà nghiên cứu bảo mật đến từ hãng bảo mật SafeBreach, đã tiết lộ một khai thác mới tác động đến hệ điều hành Windows IoT Core, cho phép các tin tặc đe dọa toàn quyền kiểm soát các thiết bị dễ bị tấn công.

Kỹ thuật khai thác mới cho phép tin tặc chiếm quyền kiểm soát các thiết bị Windows IoT Core - CyberSec365.org
Kỹ thuật khai thác mới cho phép tin tặc chiếm quyền kiểm soát các thiết bị Windows IoT Core – CyberSec365.org
Azouri cho biết lỗ hổng này chỉ ảnh hưởng đến Windows IoT Core, phiên bản HĐH Windows IoT dành cho các thiết bị thông minh. Phiên bản này thường chỉ chạy 1 ứng dụng duy nhất, chẳng hạn như thiết bị thông minh, bảng điều khiển, thiết bị cá nhân và các thiết bị khác.
Lỗ hổng này không ảnh hưởng đến Windows IoT Enterprise, phiên bản cao cấp hơn của hệ điều hành Windows IoT, phiên bản hỗ trợ cho chức năng của máy tính để bàn và có khả năng được tìm thấy triển khai trong robot công nghiệp, dây chuyền sản xuất và công nghiệp khác môi trường.
Azouri cho biết vấn đề bảo mật mà anh ta phát hiện cho phép kẻ tấn công thực thi mã lệnh tuỳ ý với các đặc quyền “SYSTEM ” trên các thiết bị Windows IoT Core.

“This exploit works on cable-connected Windows IoT Core devices, running Microsoft’s official stock image,” 

“Phương pháp được mô tả trong bài viết này khai thác dịch vụ “Sirep Test Service” được tích hợp và chạy trên các phiên bản chính thức được cung cấp tại trang web của Microsoft”, Azouri cho biết. “Dịch vụ này là phần client của thiết lập HLK mà quản trị viên có thể xây dựng để thực hiện kiểm tra trình điều khiển / phần cứng trên các thiết bị IoT. Nó sử dụng giao thức Sirep / WPCon.”

Kỹ thuật khai thác mới cho phép tin tặc chiếm quyền kiểm soát các thiết bị Windows IoT Core - CyberSec365.org
Kỹ thuật khai thác mới cho phép tin tặc chiếm quyền kiểm soát các thiết bị Windows IoT Core – CyberSec365.org

Theo Azouri, với lỗ hổng này, kẻ tấn công có thể kiểm soát hoàn toàn các thiết bị IoT sử dụng hệ điều hành Windows IoT của Microsoft. Trong các thử nghiệm của mình, Azouri đã phát hiện một mã độc truy cập từ xa (RAT) được đặt tên là SirepRAT, sẽ được công bố trên GitHub trong thời gian tới.
Được biết, hệ điều hành Windows IoT là hệ điều hành miễn phí thuộc dự án Windows Embedded. Hệ điều hành này có thị phần lớn thứ 2 trong thị trường thiết bị IoT, với 22,9% thị phần. Đứng trước nó là Linux với 71,8 thị phần. Hiện tại, Microsoft vẫn chưa đưa ra bất kỳ bình luận nào về vấn đề này