Ludzie z CERT Polska stworzyli ciekawe (i darmowe!) narzędzie do monitorowania swoich stron i adresów IP.
Aktywowałem usługę jakiś czas temu.
Jak to działa? 🧵 ↓
CERT już od pewnego czasu udostępnia system "Artemis" do sprawdzania zabezpieczeń swoich aplikacji webowych. Rozwiązanie jest otwartoźródłowe i można je uruchomić w wersji selfhosted — o ile jesteś osobą na tyle techniczną, aby to ogarnąć.
Drugim interesującym projektem od CERT-u jest n6, który służy do monitorowania infrastruktury sieciowej. Dowiemy się, gdy nasze adresy IP staną się częścią botnetu, zaczną hostować phishing lub wysyłać spam. Użyteczne, zwłaszcza gdy masz sporą liczbę serwerów.
Te systemy istnieją, ale ja dziś nie o tym!
CERT postanowił połączyć te narzędzia w jednego SaaS-a dostępnego dla wszystkich, bez opłat. Zwie się to "Moje CERT" i pozwala Ci na monitorowanie Twoich zasobów w sieci i to bez konieczności posiadania technicznego skilla.
Jak to działa w praktyce?
1) Zakładasz konto na moje.cert.pl/
2) Tworzysz nową "organizacje"
3) Do organizacji dodajesz wszystkie swoje domeny oraz adresy IP
4) Czekasz ⏳
Zanim skanowanie pod względem bezpieczeństwa się rozpocznie, musisz udowodnić, że dodane przez Ciebie zasoby naprawdę należą do Ciebie.
W przypadku domen dodałem odpowiednie wpisy TXT do rekordów DNS, a przy adresach IP odpaliłem serwer webowy i umieściłem tam plik weryfikacyjny
Przez kilka dni nie działo się nic. Przy moich zasobach widniał tylko komunikat, że "Skanowanie TRWA". Po około 3 dniach na skrzynkę mailową zaczęły spływać pierwsze raporty.
Na jednej subdomenie miałem nieaktualnego Wordpressa. Gdzieś na świat wystawiony był MySQL itd.
Dostałem także powiadomienie o wycieku hasła jednego z uczestników moich kursów, co przyznam, mocno mnie zdziwiło.
To nie był użytkownik maila w mojej domenie, a ktoś, kto założył konto kursanta na mojej domenie (miał maila na WP). Powiadomiłem więc usera o wycieku.
Przyznam, że to wygodne w użyciu narzędzie, zwłaszcza dla osób spoza środowiska cybersecurity, które nie chcą samodzielnie dbać o regularne skany bezpieczeństwa, a chcą jedynie dostawać cykliczne raporty na maila z poradami, jak znalezione zagrożenia samodzielnie usunąć.
Techniczne osoby mogą zapytać:
"a nie wystarczy po prostu regularnie odpalać nmapa, skanować webappki Burpem i ZAPem, bruteforcować pliki i katalogi, sprawdzać raporty HaveIBeenPwned i..."
Rób to, co lubisz i co przynosi Ci korzyść.
Pokazuję rozwiązanie ułatwiające życie 🤷♂️