[資訊安全] Email Spoofing

最近收到好心人(？)的信，告知因為 MX 的設定不對，可能會有 Email Spoofing 的可能。 

會發生問題主要是 SPF 和 DMARC 設定不正確。 

舉例來說，原本參考 Google 的 SPF 設定建議。 

```

v=spf1 include:_spf.google.com ~all 

``` 

但在好心人的信裡，建議使用 `-` 取代 `~`，半信半疑，但有找到某篇文章說明這兩種區別，好吧就這樣用吧。 

``` 

v=spf1 include:_spf.google.com -all 

``` 

另外 DMARC 原本也是參考 Google 的建議。 

``` 

v=DMARC1; p=none; rua=mailto:dmarc-reports@google.com 

``` 

後來好心人建議，要有積極作為，因此改為 

``` 

v=DMARC1; p=reject; rua=mailto:dmarc-reports@google.com 

``` 

但其實我要講的重點是。 

1. rua 後面要先接 mailto 才行！ 因為一開始看錯，導致掃描時顯示 DMARC 沒有 enable。 

2. 我只有付少少的獎金，希望大家都愉快。 

* [Google] 新增DMARC 記錄- Google Workspace 管理員說明 

* [Google] 在網域供應商網站新增SPF 記錄- Google Workspace 管理員說明 

* [MX 工具] SuperTool Beta7 

* [工具] DMARC Check 

* How To use an SPF Record to Prevent Spoofing & Improve E-mail Reliability 

* How to Implement DMARC/DKIM/SPF to Stop Email Spoofing/Phishing: The Definitive Guide

[Security] conoret.com

今天在檢查網站的時候，從 developer tools 的 network 發現有一個 script 會連到 conoret.com，過很久連不上才會 timeout。 

 一開始以為裝到奇怪的 open source，所以將 source code 根據關鍵字查了一遍都沒有。想說可能是儲存在資料庫裡，可是 dump 全部資料庫也沒看到這關鍵字。google 了一下沒有太多討論，但用 whois 查發現是連到 .ru，而且該網域是 2022 年才註冊的，這就需要緊張了。

開始做各種實驗，比如說把套件一個一個拔掉測試，沒效果。把佈景主題換掉也沒效果，隨便建立一個頁面發現還是會連到 conoret.com。感覺是主機被駭了或是 apache 的 module 有被感染了。 

因為好幾個網域都有這樣的情況，這當然超緊張的，難道我固若金湯(?)的安全設定都被破解了嗎？ 而且我檢查不出來是怎麼進來的，也不知道這東西在哪裡，真沮喪... 

但換了一個瀏覽器測試，發現連線不見了。哇賽那就很明顯了嘛 就是有壞壞的 extension 偷連出去。 起初懷疑最有可能就是 VPN，這種我當時沒特別檢查就裝了兩個，先移掉，沒效果。再來就要懷疑各種 downloader，例如 哔哩哔哩bilibili影片下載工具，也不是。 

 最後兇手找到了，是 SaveFrom Helper，這是 youtube 下載器，我蠻常用的。但最常用的還是網頁板 ssyoutube。果然移掉就正常了。耶

[Security] 病毒程式

都什麼年代了，還有人寄病毒？
https://gofile.io/?c=5xGBTo
https://gofile.io/?c=PtgOhB

Virustotal
https://www.virustotal.com/gui/file/fa039fee994700aa7ef9df116ae18f33d0f02768717b5f6285786b1324c209b3/detection
https://www.virustotal.com/gui/file-analysis/ZjEzYjIwNzA5M2UwNTYzMGE2OWQ0YTQ2YzNkZTUwZTg6MTU1NTQxMTI0NA==/detection

[Security] SQL Injection

還可以用欸
https://klionsec.github.io/categories/all-sql-injection/

[RF] 逆向工程

你的LoRa在裸奔嗎？

Matt 之前的演講就已經說明如何逆向工程 LoRa RN2483 的解調變，扣都放在 https://github.com/rpp0/gr-lora
https://github.com/rpp0/gr-lora/wiki/Capturing-LoRa-signals-using-an-RTL-SDR-device

HackRF 端執行

gr-lora$ sudo python ./apps/lora_receive_realtime.py

發送端的範例程式

import serial
import time
import sys 

lora = serial.Serial("/dev/ttyACM0", 57600)

# bw=125
print('cmd> radio set bw 125')
lora.write(b'radio set bw 125\r\n')
lora.readline()

# sf=sf12
print('cmd> radio set sf sf11')
lora.write(b'radio set sf sf11\r\n')
lora.readline()

print('cmd> radio set freq 868100000')
lora.write(b'radio set freq 868100000\r\n')
lora.readline()

while True:
    print('----------------------------------')

    lora.write(b'mac pause\r\n')
    lora.readline()

    t = int(time.time())

    cmd = 'radio tx ' + str(t) + '\r\n'
    print('cmd> ' + cmd.strip())

    byte_cmd = bytes(cmd)
    lora.write(byte_cmd)
    lora.readline()
    ret = lora.readline().strip()

    time.sleep(1 + 0.01 * int(len(cmd)))

做完的結果大概長這樣

[Security] 救救硬碟

sudo ddrescue -d -r3 /dev/sdb2 /media/ubuntu/PORTABLE/recovery/recovery.img recovery.log http://gsyan888.blogspot.com/2014/06/tools-ddrescue-phtorec.html https://darkranger.no-ip.org/content/ddrescue-%E7%A1%AC%E7%A2%9F%E6%95%91%E6%8F%B4%E5%8F%8A%E5%B0%8D%E6%8B%B7

[資安] whereareyou

https://github.com/futurice/whereareyou https://github.com/WGierke/whereareyou

[security] wifi-position-system

https://github.com/futurice/whereareyou
https://github.com/nezha/WIFIDemo
https://github.com/ninc/wifi-client-logger
https://github.com/mattboschetti/wifi-positioning

https://nezha.github.io/%E8%AF%BE%E7%A8%8B%E7%A0%94%E7%A9%B6/2015-12-2-WIFI%E5%AE%A4%E5%86%85%E5%AE%9A%E4%BD%8D%E6%8A%80%E6%9C%AF%E7%9A%84%E4%BB%94%E7%BB%86%E4%BB%8B%E7%BB%8D/

[MySQL] Error establishing a database connection

太久沒有管 MySQL 就會有奇怪的問題, 所以也不太確定問題的由來, 只能用土法解決

InnoDB: The error means the system cannot find the path specified.
InnoDB: If you are installing InnoDB, remember that you must create
InnoDB: directories yourself, InnoDB does not create them.
InnoDB: Error: could not open single-table tablespace file ./mysql/innodb_index_stats.ibd
InnoDB: We do not continue the crash recovery, because the table may become
InnoDB: corrupt if we cannot apply the log records in the InnoDB log to it. 
InnoDB: To fix the problem and start mysqld:
InnoDB: 1) If there is a permission problem in the file and mysqld cannot
InnoDB: open the file, you should modify the permissions.
InnoDB: 2) If the table is not needed, or you can restore it from a backup,
InnoDB: then you can remove the .ibd file, and InnoDB will do a normal
InnoDB: crash recovery and ignore that table.
InnoDB: 3) If the file system or the disk is broken, and you cannot remove
InnoDB: the .ibd file, you can set innodb_force_recovery > 0 in my.cnf
InnoDB: and force InnoDB to continue crash recovery here.

先直接講解法好了, 就是在 my.cnf 多設定一行
nnodb_force_recovery = 1

重啟 MySQL 後再註解掉就可以了


參考: http://linux-server-tutorial.blogspot.tw/2014/02/mysql-is-not-starting-operating-system.html

[Security] RF 逆向工程

Matt Knight 的演講是目前看到講得最好的一篇, 還帶實做唷

這幾篇傳說也不錯, 有空補一下吧, 從 adafruit 看到的

• All Your RFz Are Belong To Me: Hacking The Wireless World With Software-Defined Radio
• Noise Floor: Exploring Unintentional Radio Emissions
• Hacker + Airplane = No Good Can Come Of This

[Security] 小米手環逆向工程

先隨便紀錄一下吧
* http://thinkingiot.blogspot.tw/2015/03/ble-2.html
* http://thinkingiot.blogspot.tw/2015/04/ble-4.html
* http://thinkingiot.blogspot.tw/2015/05/ble-5.html
* http://thinkingiot.blogspot.tw/2015/12/ble-5-sniffer.html
* http://en.miui.com/thread-53761-1-1.html
* https://github.com/lwis/miband-notifier
* http://www.cnblogs.com/jarvise/p/5153291.html
* https://read01.com/ARQO.html
* http://www.freebuf.com/news/88281.html

[資訊安全] 免費憑證

最近 Let's Encrypt 很紅, 免費的用起來很開心

但如果是用 plesk 或是 cpanel 這類的虛擬主機就不太容易申請憑證了

但現在可以用 sslforfree 幫忙申請 Let's Encrypt
https://www.sslforfree.com/

Manual Verification ==> Manuall Verify Domain ==> Download SSL Certificate (我沒有自己了CSR)

使用起來蠻容易的, 例如這篇, 這篇, 這篇只是最後常常會是虛擬主機廠商的一些設定有問題,
還要和他們溝通確認設定是否正常等等

如果不是使用虛擬主機而是 VPS, 參考這篇的設定就可以了

不過不是我在講, 虛擬主機商要強一點, 使用舊得平台很糟糕, 用的不開心

(PLESK) 服務 > 憑證 > 新建憑證
---
私密金鑰 = Private Key
憑證 = Certificate
CA 憑證 = CA Bundle
==> 發送文字
---
再來就是最重要的 ==> 打電話給客服, 將憑證指到新的憑證

[多媒體] 用Wireshark錄Vodeo Straming

使用 Wireshark 這神兵利器錄 Video Straming 真是太容易了, 我之前是用 follow stream 後再儲存, 後續還要再處理檔案標題頗麻煩

現在有找到更簡單的方法, 直接這樣做吧

File > Export > Objects > HTTP

將 streaming 的結果儲存下來就可以了

Reference: WIRESHARK – EXTRACT VIDEO FROM CAPTURE FILE

[Security] USB Sniffer

要注意幾個地方：
1. $ sudo modprobe usbmon
2. filter 要從 USB 開始下手

參考：
http://twlinuxnotes.blogspot.tw/2013/01/wireshark-usb.html
https://wiki.wireshark.org/CaptureSetup/USB