Статья про форензику андроид📱🔑


Article about forensics android📱🔑
#mobile #android #forensics

Привет, Нео 💊🧩

Вот и долгожданный пост про слежку и мобилки .
Про ss7 и подобное я уже рассказывала. Сначала в этом постея я хотела более подробно рассказать про андроиды их драйвера и тд . Но мне предложили более интересные темы с вязанные с сетью как я люблю =)
Сатья будет делиться на поста по причине того что она длинная, тем не мение отдельных частей не будет
Поехали!
Начнем , с GPS и aGPS ибо это относительно смежные вещи.

Кто не знает GPS это спутниковая система навигации. Она позволяет определять текущее местоположение телефона при помощи  сигнала со спутника. А aGPS это не совсем полноценная система, а некая пристройка к ней работающая с мобильной сетью . 

Но давайте по порядку.
"a" в aGPS – это Assisted GPS.
При этом сама GPS это система глобального позиционирования.
В которой спутник для определения местоположение передает дальномерные сигналы, используется приемниками GPS для расчета положения приемника и текущее время. Эти спутники контролируются системой GPS Control.
Часть на Земле, которая отвечает за оценку параметров орбиты и часов каждого спутника и загрузку этой информации спутникам. Каждый из этих спутников имеет на борту атомный
часы для точного учета времени. Спутники транслируют сигналы GPS на двух несущих частотах L-диапазона, называемых L1 (1575,42 МГц) и L2 (1227,6 МГц). Более новые спутники также вещают на L5.
Частота (1176,45 МГц).
Теперь об А-GPS, это технология, которая ускоряет "холодный старт" GPS-приемника.В системах A-GPS информация предоставляется сотовой сетью, которая может помочь приемнику GPS быстрее рассчитать точное положение.

A-GPS использует информацию из более чем одного источника при расчете положения устройства. A-GPS сокращает время, необходимое для получения сигнала, за счет исключения участков
пространство поиска сигнала. К примеру с помощью ретрансляции эфемеридных данных с базовой станции прямо на телефон, вместо того, чтобы загружать эфемеридные данные из более медленного спутникового канала.
A-GPS на основе MS вычисляет конечную информацию о местоположении на самом устройстве, в то время как MS просто предоставляет рассчитанные данные от устройства до сетевого сервера, который использует эту информацию вместе с другой информацией для определения окончательные данные об устройстве. Кстати A-GPS с поддержкой MS обычно используется для целей E911
Думаю у вас уже возникли догадки чем он опасен, но я хочу потянуть кота за хвост и сначала рассказать про атаки на обычный GPS .

Есть несколько основных видов атак:

Спуфинг GPS - человек изменяет данные таким образом, что устройство отображается в другом месте или часовом поясея;
Атаки на уровне данных GPS. Они могут причинить больше вреда, чем простые
спуфинг. Например, они могут удаленно повредить профессиональный приемник высокого класса;
Атаки на программное обеспечение GPS-приемника. GPS-приемники — это компьютеры.
Младшие ресиверы работают на базовом стеке ОС (например, Windows CE) и простое программное обеспечение. Ресиверы высокого класса добавляют сетевые возможности и сложное программное обеспечение, включая веб-сервера и FTP-серверы.. Поскольку GPS-приемники обычно рассматриваются как устройства, а не компьютеры, такие уязвимости обычно, останутся неисправленными и представляют собой серьезную угрозу;
Системные атаки, зависящие от GPS. Программное обеспечение более высокого уровня и системы обычно рассматривают решения GPS-навигации как надежные входные данные. Атаки на уровне GPS могут распространяться на зависимое программное обеспечение;
Кстати в GPS есть еще уязвимость к моим любимым электромагнитным атакам, но как я знаю они используются чаще всего лишь для его глушения в военных и гражданских целях (если я не права можете поправить)

Про обычные атаки я немного расказала , но так чем же вреден A-GPS ?🪄7
#gps #anonymity #attacks #android #mobile #network #snooping

Как вы помните устройства AGPS определяют информацию о местоположении от сетевых станций (BTS/NodeB/eNodeB) на основе технологий GSM, CDMA или LTE, используемых в мобильном терминале.

Системы базовых станций в технологии A-GPS, в свою очередь, обмениваются данными со спутником, держат информацию в готовности и предоставляют информацию мобильным терминалам по запросу.

Про MSB. В режиме A-GPS расчет положения выполняется мобильным устройством с использованием вспомогательных данных с сервера A-GPS. Мобильное устройство получает вспомогательные данные, такие как время, эфемериды и другие данные, с сервера A-GPS. Используя эти данные, мобильное устройство вычисляет положение спутника GPS.

А раз они работают подобным образом то я думаю далеко не секрет что определенными манипуляциями товарищ майор и товарищ оператор ибо именно он оперирует этими данными могут получить данные от туда .

Теперь про captitive portal ну с ним я думаю понятнее больше всего ( вы ведь у меня умные ) .
Когда вы юзайте гостевые сети wifi, как правило, получаете всплывающую веб-страницу, как только вы подключаетесь к сети Wi-Fi, которая просит вас согласиться с условиями и / или ввести информацию, адрес электронной почты . Это плюсик для злоумышленников, желающих получить доступ к устройству гостевого пользователя и, таким образом, к более крупной корпоративной сети.

Тот факт, что устройства пользователей должны автоматически загружать веб-страницу авторизованного портала и связанный с ней javanoscript (а js это зло для приватности как мы знаем) перед доступом в Интернет, означает, что пользователи , по сути, отдают свою безопасность в руки сетевых администраторов, которые управляют этим конкретным общедоступным Wi-Fi
Если к примеру сеть была взломана, вы по сути, предоставляете хакерам прямой доступ к вашему ноутбуку или смартфону, да и когда вы загружаете веб-страницу входа в авторизованный портал.

Этот тип точки доступа может использоваться для выполнения атак MitM и MitB.

Да и вообще я искренне не советую подключаться к общественному wifi ибо это чревато большими негативными последствиями для вашей приватности , доходя до слежки .
Ибо вы передаете свой трафик к каким то людям чья эта сеть🙃
#gps #anonymity #attacks #android #mobile #network

Теперь про вред DoT/DoH.

Для начала что это

По умолчанию запросы и ответы DNS отправляются через UDP, что означает, что они могут быть прочитаны сетями, интернет провайдерами или кем-либо, кто может отслеживать передачи. 

DoH (DNS через HTTPS) и DoT (DNS через TLS) — это реализации безопасности для переноса запросов DNS в протоколы HTTPS и TLS соответственно. Их, пользователи могут обойти ограничения, налагаемые фильтрацией DNS. Есть один прикол типо группа британских интернет провайдеров как то назвала внедрение DoH в Mozilla злом , учитывая, как это упрощает обход ограничений, установленных правительством, и затрудняет отслеживание пользователей.

Так какой же в этом бред если провайдеры злятся?

Ну думаю в этом и первая проблема .В Android нет простого способа добавить абстракцию DoT или DoH по умолчанию , и если вы его добавите это может спровоцировать некие подозрения к вам .


Да и различные профили конфиденциальности, защита, предлагаемая DoT, во многом зависит от того, как он настроен. 

Кроме того, DoT необязательно используется между всеми резолверами и авторитетными серверами, поэтому предоставляемые средства защиты применяются только явно к трафику между клиентом и рекурсивным резолвером.

Также, что аутентичность, обеспечиваемая DoT, относится только к серверу , а не к записям .

Хотя записи между распознавателем и клиентом не могут быть изменены, клиент не может быть уверен, что распознаватель предоставил правильный ответ или что злоумышленники не манипулировали им где-либо на пути или в системах.

Здесь я рассказала только про некоторые технологии сезонные с сетью, но проблем гораздо больше и далеко не только в сети .
По этому в бедующем я выпущу продолжение этого поста (если вам будет интересно) там будет еще про сеть , про внутринние драйера и много чего еще .

И еще на засыпку ниже я прикреплю матерьялы про атаки на GPS, разбор про A-GPS, атаки на captitive portal и как работает DoT/DoH. 

💚
А на этом все , спасибо за прочтение ❤️.
И помните если Алиса маленькая от не стоит путать ее с Мери Эн🐰
#gps #anonymity #attacks #android #mobile #network

Hi Neo 💊🧩

Here comes the long awaited post about surveillance and mobiles .
I've told you about ss7 and such before. At first in this post I wanted to talk about androids in more detail about their drivers and so on. But it was suggested to me to talk about networking as I like it.)
The article will be divided into posts, because it is long, but nevertheless there will be no separate parts.
Let's go!
Let's start with GPS and aGPS for it is relatively related things.

Who does not know GPS is a satellite navigation system. It allows you to determine the current location of the phone using a signal from the satellite. AGPS is not quite a full-fledged system, a kind of add-on to it working with the mobile network. 

But let's go in order.
The "a" in aGPS is Assisted GPS.
GPS itself is a global positioning system.
In which the satellite to determine the location transmits ranging signals, used by GPS receivers to calculate the position of the receiver and the current time. These satellites are controlled by GPS Control.
The part on Earth that is responsible for estimating the orbit and clock parameters of each satellite and downloading that information to the satellites. Each of these satellites has an atomic
clock for accurate timekeeping. The satellites broadcast GPS signals on two L-band carrier frequencies, called L1 (1575.42 MHz) and L2 (1227.6 MHz). Newer satellites also broadcast on L5.
Frequency (1176.45 MHz).
Now about A-GPS, this is a technology that speeds up the GPS receiver's cold start.In A-GPS systems, information is provided by the cellular network, which can help the GPS receiver calculate the exact position faster.

A-GPS uses information from more than one source when calculating the device's position. A-GPS reduces the time it takes to get a signal by eliminating areas of
signal search space. For example by relaying ephemeris data from the base station directly to the phone instead of downloading ephemeris data from a slower satellite channel.
MS-based A-GPS calculates the final location information on the device itself, while MS simply provides the calculated data from the device to a network server, which uses this information along with other information to determine the final device data. By the way, MS-enabled A-GPS is commonly used for E911 purposes
I think you have already guessed why it is dangerous, but I want to pull the cat by the tail and first talk about attacks on regular GPS.

There are several basic types of attacks:

GPS spoofing - a person changes the data so that the device shows up in a different location or time zone;
GPS data level attacks. They can cause more damage than simple
spoofing. For example, they can remotely damage a high-end professional receiver;
Attacks on GPS receiver software. GPS receivers are computers.
Junior receivers run on a basic OS stack (such as Windows CE) and simple software. High-end receivers add networking capabilities and sophisticated software, including Web and FTP servers. Since GPS receivers are usually treated as devices rather than computers, such vulnerabilities will usually be left uncorrected and pose a serious threat;
GPS-dependent system attacks. Higher-level software and systems typically treat GPS navigation solutions as reliable inputs. GPS-level attacks can extend to dependent software;
By the way GPS also has vulnerability to my favorite electromagnetic attacks, but as I know they are mostly only used to jam it for military and civilian purposes (if I'm wrong you can correct me)

About conventional attacks I said a little, but so what harm A-GPS? 🪄
#gps #anonymity #attacks #android #mobile #network

As you remember AGPS devices determine location information from network stations (BTS/NodeB/eNodeB) based on GSM, CDMA or LTE technology used in the mobile terminal.

The base station systems in A-GPS technology, in turn, exchange data with the satellite, keep the information ready and provide the information to the mobile terminals on demand.

About MSB. In A-GPS mode, position calculation is performed by the mobile device using auxiliary data from the A-GPS server. The mobile device receives auxiliary data such as time, ephemeris and other data from the A-GPS server. Using this data, the mobile device calculates the position of the GPS satellite.

And if they work in this way then I think it's no secret that by certain manipulations Comrade Major and Comrade Operator, because it is he who operates these data can get the data from there.

Now about the captive portal I think it's the most understandable (you're clever).
When you use guest wifi networks, you typically get a popup web page as soon as you connect to a wifi network, asking you to agree to the terms and/or enter your info, email address. This is a plus for attackers wanting to gain access to the guest user's device and thus to the larger corporate network.

The fact that the user's devices have to automatically load the web page of the authorized portal and the associated javanoscript (and js is a privacy scourge as we know) before accessing the internet, means that users essentially put their security in the hands of the network administrators who manage this particular public Wi-Fi
If for example the network has been compromised, you're essentially giving hackers direct access to your laptop or smartphone, and even when you're downloading a web page logging into an authorized portal.

This type of access point can be used to perform MitM and MitB attacks.

In fact, I strongly advise against using a public wifi because it will have a huge impact on your privacy, up to and including snooping.
Because you send your traffic to some people whose network🙃
#gps #anonymity #attacks #android #mobile #network #snooping

Now about the harm of DoT/DoH.

For starters, what is it

By default, DNS queries and responses are sent over UDP, which means that they can be read by networks, ISPs, or anyone who can monitor transmissions. 

DoH (DNS over HTTPS) and DoT (DNS over TLS) are security implementations to move DNS queries to HTTPS and TLS respectively. With these, users can bypass the restrictions imposed by DNS filtering. There's a quirk like a group of British ISPs once called Mozilla's implementation of DoH evil, given how it makes it easier to bypass government restrictions and makes it harder to track users.

So what's the harm in that if the ISPs are angry?

Well I think that's the first problem .There is no easy way to add DoT or DoH abstraction by default in Android , and if you add it it might provoke some suspicion towards you .
Yes and the different privacy profiles, the protection offered by DoT depends a lot on how it is configured.

In addition, DoT is not necessarily used between all resolvers and authoritative servers, so the protections provided only apply explicitly to traffic between the client and the recursive resolver.

Also, that the authenticity provided by DoT applies only to the server , not to the records .

Although the records between the resolver and the client cannot be altered, the client cannot be assured that the resolver has provided the correct response or that attackers have not manipulated it somewhere along the way or in the systems.

Here I only told you about some of the technologies that are seasonal with the network, but the problems are much more and not only in the network.
Therefore, in the future, I will continue this post (if you will be interested) there will be more about the network, about the internal drivers and more.

And as a clue I will attach below some material about attacks on GPS, the breakdown of the A-GPS, attacks on the captive portal and how DoT/DoH works. 

💚
That's all for now, thanks for reading ❤️.
And remember if Alice is little from not to be confused with Mary Ann🐰
#gps #anonymity #attacks #android #mobile #network

Полезные сатьи по матерьялу из поста❣️🔆

Useful articles on the material in the post❣️🔆
#gps #anonymity #attacks #android #mobile #network

Здраствуйте Алисы .🔑
Хочу показать забавную cve -rce Confluence Server и Data Center
Эта уязвимость от удаленного выполнение кода до аутентификации в Confluence через внедрение OGNL
Вот несколько poc на нее
https://github.com/h3v0x/CVE-2022-26134
https://github.com/alcaparra/CVE-2022-26134
И помнит, будьте окуратнее и обновляйте версии ❣️
#cve

Привет, Алиски .🎀🔑
Хочу вам рассказать про сборку всяких LFS Linux .

Для начала LFS Это линукс собранный грубо говоря по кусочкам их исходного кода .
Твоими собственными ручками как ты хочешь .
Естественно из этого исходят преимущества той же безопасности . Если собираешь пакеты какие, хочешь и тд, контролируя все. Да и мне кажется удобно настраивать все изначально под себя.
Да ,безусловно лучше писать свой линукс, но у меня нет столько времени , думаю у многих из вас тоже .🙃

Давайте немножечко тех подробностей и матерьялов про сборку lfs- .
На самом деле недавно собирала lfs и хотела сделать подробный разбор со скринами . Но решила что будет правильнее добавить это в свою статью про линукс которую я до сих пор пишу .
По этому здесь просто дам несколько полезных советов 🧩

https://www.linuxfromscratch.org/ вся документация и книги на этом сайте
Вот ссылка на книги https://www.linuxfromscratch.org/lfs/downloads/stable/.
Вот еще видосы на ютюбе как парень собирает lfs по документации
https://youtube.com/playlist?list=PLTd7y0vdxhK614YGAImDjaD3M3lkJRZsT

А я хочу посоветовать вам клевые пакетики 🙃 и рассказать как их собрать .
К примру расскажу про пакетик с llvm - все же любят компиляторы ?)

Для начала нужно скачать все необходимое 
Модули cmake для llvm

https://anduin.linuxfromscratch.org/BLFS/llvm/llvm-cmake-15.0.1.src.tar.xz

clang

https://github.com/llvm/llvm-project/releases/download/llvmorg-15.0.1/clang-15.0.1.src.tar.xz

compiler rt

https://github.com/llvm/llvm-project/releases/download/llvmorg-15.0.1/compiler-rt-15.0.1.src.tar.xz
Еще вам может потребоваться пакет с питоном по этому предварительно поставьте его .
Вот ссылка на инструкцию https://www.linuxfromscratch.org/blfs/view/svn/general/python3.html
Сама установка(примечание предварительно у вас должна быть настроена среда как в книге ваше) :
Расспоковка llvm в папку

tar xf ../llvm-cmake-15.0.1.src.tar.xz &&
mv cmake-15.0.1.src ../cmake

расспаковка clang

tar -xf ../clang-15.0.1.src.tar.xz -C tools &&
mv tools/clang-15.0.1.src tools/clang

расспаковка compiler rt

tar -xf ../compiler-rt-15.0.1.src.tar.xz -C projects &&
mv projects/compiler-rt-15.0.1.src projects/compiler-rt

Создаем и преходим в нужные папочки

cd cmake
mkdir -v build &&
cd       build &&

Настраиваем комприлятор

CC=gcc CXX=g++                                  \
cmake -DCMAKE_INSTALL_PREFIX=/usr               \
      -DLLVM_ENABLE_FFI=ON                      \
      -DCMAKE_BUILD_TYPE=Release                \
      -DLLVM_BUILD_LLVM_DYLIB=ON                \
      -DLLVM_LINK_LLVM_DYLIB=ON                 \
      -DLLVM_ENABLE_RTTI=ON                     \
      -DLLVM_TARGETS_TO_BUILD="host;AMDGPU;BPF" \
      -DLLVM_BINUTILS_INCDIR=/usr/include       \
      -DLLVM_INCLUDE_BENCHMARKS=OFF             \
      -DCLANG_DEFAULT_PIE_ON_LINUX=ON           \
      -Wno-dev -G Ninja ..                      &&

Установка

ninja
ninja install

Вообще сбор своего линукс и в частности подбор пакетов очень занимательная задача и очень зависит от того что ты хочешь.
По этому каких то конкретных советов по поводу пактов дать не могу - ибо завист для чего оно нужно
Так же советую ознакомиться с рекомендациями по безопасности https://www.linuxfromscratch.org/blfs/advisories/consolidated.html .

В бедующем когда выйдет статья (надеюсь скоро просто нет особенно времени и сил ее писать) там будет про lfs ориентированный на безопасность .
Что-ж удачи вам в своем пути продвижение по lfs .

Спасибо за прочьтение❤️
И помните если чеширский кот говорит что на чаепитие у шляпника все не так как кажется , возможно это правда.🐱🎩
#linux #lfs

Hi Alice .🎀🔑
I want to tell you about building all sorts of LFS Linux .

For starters LFS It's linux built roughly from bits and pieces of their source code .
Your own hands as you want.
Naturally this gives you the same security advantages. If you build packages as you want, control everything. And I think it is convenient to customize everything initially.
Yes , it is definitely better to write your own linux , but I dont have that much time , I think many of you do too .🙃

Let's have some of those details and stuff about building lfs.
In fact I recently built lfs and wanted to do a detailed breakdown with screenshots . I thought it would be better to add it to my article about linux which I still write.
So here I will just give you some useful tips 🧩

https://www.linuxfromscratch.org/ all the documentation and books on this site .
Here is the link to the books https://www.linuxfromscratch.org/lfs/downloads/stable/.

Here are more videos on youtube of how a guy builds lfs according to the documentation

https://youtube.com/playlist?list=PLTd7y0vdxhK614YGAImDjaD3M3lkJRZsT

I want to advise you some cool packs 🙃 and tell you how to assemble them.
I give you an example of llvm package. (Everybody loves compilers, right?)

You need to start by downloading the following 
The cmake modules for llvm

https://anduin.linuxfromscratch.org/BLFS/llvm/llvm-cmake-15.0.1.src.tar.xz

clang

https://github.com/llvm/llvm-project/releases/download/llvmorg-15.0.1/clang-15.0.1.src.tar.xz

compiler rt

https://github.com/llvm/llvm-project/releases/download/llvmorg-15.0.1/compiler-rt-15.0.1.src.tar.xz

You might also need a python package, so you have to install it first. 

Here is a link to the manual https://www.linuxfromscratch.org/blfs/view/svn/general/python3.html
The installation itself (note: you must have the environment preconfigured like in your book) :
Unpack llvm in the folder

tar xf ../llvm-cmake-15.0.1.src.tar.xz &&
mv cmake-15.0.1.src ../cmake

unpack clang

tar -xf ../clang-15.0.1.src.tar.xz -C tools &&
mv tools/clang-15.0.1.src tools/clang

unpack compiler rt

tar -xf ../compiler-rt-15.0.1.src.tar.xz -C projects &&
mv projects/compiler-rt-15.0.1.src projects/compiler-rt

Create and change these folders

cd cmake
mkdir -v build &&
cd build &&

Configure the compiler

CC=gcc CXX=g++ \
cmake -DCMAKE_INSTALL_PREFIX=/usr \
      -DLLVM_ENABLE_FFI=ON \
      -DCMAKE_BUILD_TYPE=Release
      -DLLVM_BUILD_LLVM_DYLIB=ON \
      -DLLVM_LINK_LLVM_DYLIB=ON \
      -DLLVM_ENABLE_RTTI=ON \
      -DLLVM_TARGETS_TO_BUILD="host;AMDGPU;BPF \
      -DLLVM_BINUTILS_INCDIR=/usr/include \
      -DLLVM_INCLUDE_BENCHMARKS=OFF \
      -DCLANG_DEFAULT_PIE_ON_LINUX=ON \
      -Wno-dev -G Ninja ...                      &&
       

Installing

ninja
ninja install

Generally, building your Linux system and especially the selection of packages is a very interesting task and depends very much on what you want.
I can't give you any advice about packages because it depends on what you need.
I also suggest you read the security advisory https://www.linuxfromscratch.org/blfs/advisories/consolidated.html .

In the future, when an article will be published (I hope this won't be too long before it is written), it will be about the security oriented lfs.
Well, good luck on your lfs journey.

Thanks for reading❤️
And remember, if the Cheshire cat says that everything is not as it seems at the hatter's tea party, it may be true.🐱🎩
#linux #lfs

Привет, Шляпники мои 🎩
Сеть победила и сегодня/завтра выложу что-нибудь интересное про трафик и сеть.
Но сейчас спонтанно пришла идея написать про waf, и в первую очередь скинуть статьи про них .✨

Какие у waf есть методы защиты

Анализ поведения и репутационный анализ

Грубо говоря есть базы подозрительных ip - c странных прокси или тор . И различные шаблонны поведения атак они могут указывать на вредоносный трафик, включая типы запросов, аномальные ответы сервера. Раньше WAF юзали в основном его , но сейчас часто используют и другие методы

Анализ трафика с помощью ИИ 

Алгоритмы искусственного интеллекта позволяют проводить поведенческий анализ шаблонов трафика, используя базовые поведенческие показатели для различных типов трафика для обнаружения аномалий, указывающих на атаку. Это позволяет обнаруживать атаки, которые не соответствуют известным вредоносным шаблонам. Но к этому методу у меня всегда были подозрения ибо я понимаю как сложно собрать обучающею базу для такого и потом эффективно применить на практике . Это минимум очень дорого. По этому часто такие методы не эффективны

Профилирование приложений  

Это включает в себя анализ структуры приложения, включая типичные запросы, URL-адреса, значения и разрешенные типы данных. Это позволяет WAF идентифицировать и блокировать потенциально вредоносные запросы.

Корреляционные двигатели  

Они анализируют входящий трафик и сортируют его с помощью известных сигнатур атак, профилирования приложений, анализа ИИ и настраиваемых правил, чтобы определить, следует ли его блокировать.

Добавление времени задержки при проксирование трафика так же полезно.

Настоятельно советую глянуть архив ниже💥.
Кстати помимо waf там есть статьи про работу F5. Мне кажется это довольно крутая тема.

А на этом все . Спасибо за прочьтение❤️ .
И не бегайте в сад к карточной королеве не будучи готовыми красить розы🌹🃏
#waf #web #protection

Hello, Hatterheads 🎩
The net has won and I'll post something interesting about traffic and the net today/tomorrow.
But now the idea came spontaneously to write about waf, and first of all to discount articles about them .✨

What are the waf's defenses

Behavior Analysis and Reputation Analysis.

Roughly speaking there are bases of suspicious ip - from strange proxies or tor . And different patterns of attack behavior they can indicate malicious traffic, including types of requests, anomalous server responses. WAF used to use it mainly, but now other methods are often used too.

Traffic analysis using AI 

Artificial intelligence algorithms allow behavioral analysis of traffic patterns, using basic behavioral indicators for different types of traffic to detect anomalies indicative of an attack. This allows you to detect attacks that don't match known malicious patterns. However, I've always been suspicious of this method because I understand how difficult it is to build a training foundation for this and then effectively enforce it. This minimum is very expensive. Because of this often such methods are not effective

Application profiling  

This involves analyzing the application structure, including typical queries, URLs, values and allowed data types. This allows WAF to identify and block potentially malicious requests.

Correlation engines.  

They analyze incoming traffic and sort it using known attack signatures, application profiling, AI analysis, and customizable rules to determine whether it should be blocked.

Adding lag time when proxying traffic is just as useful.

I strongly suggest checking out the archive below💥. 

By the way in addition to waf there are articles about how F5 works. I think it's a pretty cool topic.

And that's it . Thanks for reading❤️ .
And don't run to the card queen garden without being ready to paint roses🌹🃏
#waf #web

статьи про waf

articles about waf

#waf #web #ddos #f5

Здравствуйте мои Алисы- любители физики.🧬🎀

Простите за мое отсутствие.😢
Сегодня мы поговорим про взлом Air Gapped через кабели Ethernet.📡

Эта наша электромагнитная атака позволяет злоумышленникам получить чувствительные к утечке данные из изолированных сетей с воздушным зазором.  

Пост будет делиться на две части: 1 краткое описание , 2 тех подробности и защита

Первая часть- Описание

Начнем с того что такое Air Gapped или воздушного зазора?
В связи с повышенным риском утечки информации, когда речь идет об особенно секретных данных(к примеру правительственных и военных) , организация может перейти к так называемой изоляции воздушного зазора. (как в пентагоне или например, SIPRNet это система изолированных и взаимосвязанных сетей, используемые Министерством обороны США для обмена информацией)
Компьютеры с воздушным зазором полностью отделены от внешних глобальных сетей (WAN).
Хоть многие и говорят "такое нельзя взломать", это далеко не правда.
Просто атаки нужно делать более на физическом уровне продвинутыми, более профессиональными так сказать .
Как например атака через модули wifi на телефонах, или есть чудесный вид атак через usb накопители .

Вообще если более конкретно какие есть методы атак то: можно использовать радиоволны, исходящие от внутренних электронных компонентов для передачи данных ,светодиоды состояния на настольных компьютерах для скрытой передачи информацию, акустические , тепловые , магнитные ,электрические ..

Сейчас я хочу рассказать про атаки типа LANTENNA

Отностительно новый тип электромагнитной атаки, использующий сетевые кабели Ethernet.

Если кратко о нашей атаке:

Вредоносный код на изолированных компьютерах собирает конфиденциальные данные, а затем кодирует их радиоволны, исходящие от кабелей Ethernet, используя их как антенны.
Ближайшее принимающее устройство может перехватывать сигналы по беспроводной сети, декодировать и отправить злоумышленнику наши данные . 

Конкретнее про модель атаки модель атаки состоит из двух основных этапов: Заражение закрытой среды и эксфильтрация данных( в посте будет про последние) .
В первом шаге атаки, среда с воздушным зазором заражена вредоносным ПО.
Цель APT обычно состоит в повышение привилегий и распространения в сети, для усиления точки опоры в организации. На этом этапе злоумышленник может собирать данные со взломанных компьютеров: документами, базами данных, учетными данными доступа, ключи шифрования и тд

Далее идеи передача данных: как только данные собраны, вредоносное ПО эксфильтрует его по скрытому каналу.
В этом случае атаки LANTENNA, они модулирует данные и передают их через радиоволны, исходящие из Ethernet. Вредоносное ПО, на изолированной рабочей станции генерирует электромагнитное излучение от
Ethernet-кабеля м двоичная информация модулируется поверх сигналов и перехватывается ближайшим радиоприемником.
Грубо говоря модель атаки: злоумышленники собрали важные данные на нашем рабочем компе . Теперь им нудно их вытащить . Это они смогут сделать чрез придачу UDP-пакетов, из кабелей Ethernet на их рабочей частоте.
#еtthernet #wireless_hacking #network #air_gap

Чать 2 -Техподробности и защита 🔧

Кабели Ethernet соединяют сетевые устройства, такие как рабочие станции и серверы, принтеры, камеры, маршрутизаторы и коммутаторы внутри локальной сети (LAN). 
Сетевой кабель состоит из восьми проводов, скрученных в четыре пары. Несколько категории (cat) кабелей Ethernet определяют такие параметры, как рабочие частоты, экранирование и полоса пропускания. 

Про кабели
Есть розненные кабели :
Cat 5e,5 , работает на максимальной частоте 100 МГц. Cat 6 и 6a поддерживают пропускную способность до 1 Гбит/с . Cat 6a пропускная способность сети до 10 Гбит/с.
Cat 7 и Cat 7a кабели поддерживают более высокую пропускную способность до 10-40 Гбит на дальность около 15 метров. Кабели категории 7 экранированы и содержат
четыре индивидуально экранированные пары внутри общего экрана. Они изготовлены с разъемом GG45, который также совместим с портами RJ45 Ethernet.
Помимо них есть еще кабели, но они мнение распространённые

Так к чему это?
Кабели Ethernet излучают электромагнитные волны на частоте 125 МГц и ее гармоники (например, 250 МГц и 375 МГц).
Обратите внимание, что излучаемые полосы частот определяются по рабочей частоте кабеля (например, 0-250 МГц для Cat 6, 0–500 МГц для Cat 6a и 0–700 МГц для кабелей категории 7).

Скорость адаптера или включение и выключение позволяет регулировать электромагнитное излучение и его амплитуду активности слоев данных и ссылок определяют текущий поток на медных проводах кабелей Ethernet. Отправляя необработанные UDP-пакеты, мы могли бы инициировать и регулировать передачу из кабель Ethernet на его рабочей частоте.🔭
В статье данные с компьютера с воздушным зазором были переданы через кабель Ethernet на расстоянии 200 см друг от друга. Точная полоса частот зависит от типа передающего устройства. База
частот обернута вокруг 250 МГц с различиями менее 0,1 МГц между ними.

А как же защищаться?💊

Есть несколько защитных мер, которые можно предпринять LANTENNA атак.

Например, самое эффективное это то что любой радиоприемник должен быть запрещен в зоне закрытых сетей.

🙃

Это понятно, а как можно обнаружить такие атаки ?

Можно отслеживать активность соединения сетевой карты у пользователя и уровни ядра.

В нашем случае любое изменение состояния ссылки должно вызвать оповещение. Например, использование ethtool для изменения конфигурации интерфейса должна быть проверена. Если скорость переключается в течение короткого периода времени, активность должна блочиться .
Но этот метод можно обойти различными вредоносми🦠 .

По этому есть подход, где брандмауэр уровня гипервизора

Он проверяет изменения в сетевом интерфейсе и проверяет UDP от активной виртуальной машины.
Нерегулярные действия регистрируются, а исходящие пакеты блокируются.
Еще есть несколько видов защиты таких как: мониторинг сигналов или их заглушение
Еще есть метод такой как экранирование кабеля :
Металлическое экранирование является типичной мерой, используемой для блокировки или ограничения электромагнитные поля от помех или исходящих от них экранированных проводов.

Подобные взломы в основном происходят на проф уровне. А в обычной жизни доступны в основном всяким федералам. 🔑
Советую вам прочитать статью ниже там дан более подробный матерьял с примерами кода и иллюстрациями .

Спасибо за прочтение .❤️
И помните пока вы, следуйте за белым кроликом чеширский кот следует за вами🐰
#еtthernet #wireless_hacking #network #air_gap #protection

Hello my Alice physics lovers.🧬🎀

Forgive my absence.😢
Today we're going to talk about hacking Air Gapped through Ethernet cables.📡

This electromagnetic attack of ours allows attackers to get leak-sensitive data from isolated networks with an air gap.  

The post will be divided into two parts: 1 brief denoscription , 2 tech details and protection

Part 1 Denoscription

Let's start with what is Air Gap?
Due to the risk of increased security risks, when it comes to sensitive data (e.g. from the government and the military), an organization can move to what is called an air gap isolation. (as in the Pentagon or e.g. SIPRNet is a system of isolated and interconnected networks used by the US Department of Defense for the exchange of information)
Air-gap computers are completely separate from external wide area networks (WANs).
While many people say "you can't hack that," it's far from the truth.
The attacks just need to be more physically advanced, more professional so to speak.
Like for example the attack via wifi modules on phones, or there is a wonderful kind of attack via usb drives.

In general, if you are more specifically what are the methods of attack: you can use radio waves coming from internal electronic components for transmitting data, LEDs on desktops for hidden data transfer, acoustic, thermal, magnetic, electrical.

Now I want to talk about LANTENNA type attacks

A relatively new type of electromagnetic attack, using Ethernet network cables.

To give you a brief introduction to our attack:

Malicious code on isolated computers collects sensitive data and then encodes it with radio waves emanating from Ethernet cables, using them as antennas.
A nearby receiving device can intercept the signals over the wireless network, decode and send the attacker our data . 

More specifically about the attack model the attack model consists of two main steps: Infecting a closed environment and exfiltrating the data (the latter will be discussed in the post) .
In the first step of the attack, the air gap environment is infected with malware.
The purpose of APT is usually to elevate privilege and spread in the network, to strengthen the fulcrum in the organization. At this stage, the attacker can collect data from compromised computers: documents, databases, access credentials, encryption keys, etc.

Next, the data transfer ideas: once the data is collected, the malware exfiltrates it through a covert channel.
In this case, LANTENNA attacks, they modulate the data and transmit it through radio waves coming from Ethernet. The malware, on an isolated workstation, generates electromagnetic radiation from the
Ethernet cable m binary information is modulated over the signals and intercepted by a nearby radio receiver.
Roughly speaking, the attack model: the intruders have collected important data from our work computer. Now they need to get it out. They can do this by attaching UDP packets, from the Ethernet cables on their working frequency.
#еtthernet #wireless_hacking #network #air_gap

Part 2 -Technical details and protection 🔧

Ethernet cables connect network devices such as workstations and servers, printers, cameras, routers, and switches within a local area network (LAN). 
A network cable consists of eight wires twisted into four pairs. Several categories (cat) of Ethernet cables determine parameters such as operating frequencies, shielding, and bandwidth. 

About cables
There are different cables:
Cat 5e,5 , operates at a maximum frequency of 100 MHz.
Cat 6 and 6a support bandwidth up to 1 Gbit/s. Cat 6a bandwidth up to 10 Gbit / s.
Cat 7 and Cat 7a cables support higher bandwidths up to 10-40 Gbps over a range of about 15 meters. Category 7 cables are shielded and contain
four individually shielded pairs within a common shield. They are made with a GG45 connector, which is also compatible with RJ45 Ethernet ports.
There are other cables besides these, but they are common

So what is the point?
Ethernet cables emit electromagnetic waves at 125 MHz and its harmonics (e.g. 250 MHz and 375 MHz).
Note that the emitted frequency bands are determined by the operating frequency of the cable (e.g. 0-250 MHz for Cat 6, 0-500 MHz for Cat 6a, and 0-700 MHz for Category 7 cables).

The adapter speed or on and off allows you to adjust the electromagnetic emission and its amplitude of activity of the data and link layers determine the current flow on the copper wires of the Ethernet cables. By sending raw UDP packets, we could initiate and regulate the transmission from the Ethernet cable at its operating frequency.🔭

In the article, the data from the air gap computer was transmitted over an Ethernet cable 200 cm apart. The exact bandwidth depends on the type of transmitting device. The base
frequencies are wrapped around 250 MHz with less than 0.1 MHz difference between them.

So how do you protect yourself? 💊

There are several defensive measures that can be taken by LANTENNA attacks.

For example, the most effective one is that any radio should be banned from the area of closed networks.

🙃

This is clear, but how can one detect such attacks ?

You can monitor the link activity of the NIC at the user and the kernel levels.

In our case, any change in link state should trigger an alert. For example, using ethtool to change the interface configuration should be checked. If the speed is switched for a short period of time, the activity should be blocked .
But it is possible to bypass this method with different malware🦠 .

So there is an approach where a hypervisor-level firewall

It checks for changes on the network interface and checks for UDP from the active virtual machine.
Irregular activities are logged and outgoing packets are blocked.
There are also several types of protection such as: signal monitoring or signal jamming
There is also a method such as cable shielding:
Metal shielding is a typical measure used to block or limit electromagnetic fields from interference or outgoing shielded wires.

This kind of hacking mostly takes place at the professional level. And in normal life are mostly available to all sorts of feds. 🔑
I suggest you read the article below where you can find more detailed information with code examples and illustrations.

Thank you for reading.❤️
And remember while you, follow the white rabbit the cheshire cat follows you🐰
#еtthernet #wireless_hacking #network #air_gap