怎么脱节Google的影响,完成一个完全无Google要素的 *** 环境

访客5年前关于黑客接单709

本文我得先从我最近参加的一个安全检测项目开端谈起,本次的客户是一家企业,不得不说,本次咱们的客户的安全防护做得非常好。他们的安全运营中心(SOC)装备了许多先进的内部反常检测东西以及坚强的作业呼应团队。这儿我要说一句,他们是Google的客户,并运用G Suite来处理他们根据云的事务应用程序。
2019年4月,Google为 G Suite带来了一系列更新,本轮更新要点增强了公司数据的维护,既包含操控用户的拜访权限,还可以经过供给新的东西来避免 *** 垂钓和歹意软件进犯。本次Google还发布了高档 *** 垂钓和歹意软件维护Beta版别,旨在协助办理员维护用户免受歹意附件和电子邮件诈骗等要素的影响。
所以,我花了适当长的时刻研讨和学习怎么破解G Suite并将它们兵器化,以下我会具体介绍我运用过的许多不同进犯办法。
对G Suite进行浸透测验时,被Google反制裁。在我和我的团队运用CredSniper(一个运用Python微结构Flask和Jinja2模板编写的 *** 垂钓结构)成功地损坏了凭据并绕过了双要素验证之后,咱们当即开端横向地在Google应用程序中寻觅典型的公司数据。不过,咱们碰到了G Suite的反常检测体系,由于它们运用Google Groups向技能团队发送电子邮件,其中就包含风趣的安全警报和crontab命令行日志。不久之后,客户在Google的协助下发现咱们的身份验证活动是可疑的,并触发了一系列内部安全流程。经过努力,咱们终究侵入了其他一些账户,此刻即便企业有强壮的作业呼应团队,他们也无法进入咱们的OODA循环。后来咱们发现,Google的办理API实际上并不是实时的,并且日志延迟了15分钟,这让咱们有了满足的进犯决心。为了验证G Suite的强壮防御才能,他们联系了Google的SOC寻求协助。
果然在24小时内,就有安全研讨人员一直在盯梢、记载和损坏咱们的进犯进程。
在此,我想说的是,客户和Google之间的及时交流非常重要。可是,有时作业或许会适得其反,这点我会在下面讲到。
企业和Google之间的联合防备战略的完成
在这24小时内,GoogleSOC可以盯梢和相关我的一切有关此次浸透测验的帐户、 *** 和API令牌,然后暂停一切帐户。更糟的是,他们还将进犯的目标与我的一切相关账户进行了相关匹配,暂停了我的作业账户。尽管咱们的体系办理员第二天从头启用了它,但又被暂停了,一起还暂停了体系办理员从头启用它的权限。由此可见,Google盯梢和相关账户的才能非常非常好。在接下来的几天里,我乃至无法收到Google现已康复的客户的邮件,且无法拜访任何与Google身份验证帐户相关的资源。除此之外,我的作业日程也无法拜访。
假如抵触发生在企业账户等级,那么这意味着企业的整个事务或许会戛可是止。在接下来的几周里,我和妻子不断遇到身份验证问题,一切设备(笔记本电脑、电视、恒温器、平板电脑等等)上的Google帐户会话都会随机要求从头身份验证。至此我非常置疑,咱们的家庭IP地址是否在Google体系中被符号为歹意?
假如我的置疑事实,则意味着一家科技巨子可以操纵我作业和日子的方方面面,想想都可怕,这现已逾越了安 *** 业的范畴。后来,我的客户告诉我,GoogleSOC给他们供给了初始拜访向量的链接。
别的,Google是否有关于我的一切相关账户的信息呢? 尽管我的这次浸透测验是违背了Google对浸透测验的要求的规则,但却不违背其云服务条款。明显,每个测验人员在浸透测验时,都需求留意的相关的规则,这是一切测验人员在测验任何根据云的服务时都需求留意的问题。在云服务浸透测验方面,咱们还处于空白范畴。所以,许多供给商都误以为,即咱们永久不会测验他们的中心服务。
免除Google对浸透测验人员的追寻
需求阐明的是,我所具有的每一部智能手机都运转Android体系,我家里简直一切的智能设备或许都运转Android体系,或许归Google所具有的,而我自身也是一个G Suite用户。由于我一切的文件都备份到Google云端硬盘,我的Google帐户是我的上网首要帐户,我的一切TOTP 2FA都依靠Google身份验证器,我的 *** 号码乃至是谷歌语音。毋庸置疑,免除Google对我的追寻是多么火急。
替换Google移动操作体系
为此我考虑了以下的体系:
1.FireOS(好像现已停用了);
2.PureOS( ,一款全新的免费Linux发行版);
3.Firefox OS(现已停用了);
4.KaiOS(一个根据Linux的移动操作体系);
5.Ubuntu Touch(不错的挑选);
6.LightPhone 2(还没有发布);
7.Windows 10手机版(今年年底发布)
8.Blackberry/SilentPhone/Cryptophone(现在都运转Android)
9.iOS;
在对一切可用的挑选都测验之后,我终究买了一部iPhone,它与Macbook Pro笔记本电脑结合在一起,彻底改变了我的整个 *** 日子。
替换2FA验证计划
尽管挑选一个TOTP 2FA解决计划适当简略,可是我想再深化一些,并为根据 *** S的2FA创立一个彻底独立的验证计划。尽管有些人或许以为它与prepper-level status归于同一类别,但它确实为进犯者在进犯备份 *** S 2FA完成时创立了额定的维护过程。有许多TOTP选项,以及运用应用程序集成其他 *** 号码的VOIP供给商。我没有看到大多数选项之间的太大差异,以下是一些我考虑过的选用TOTP多因子身份验证的应用程序:
Authy ;Authy是一款跨渠道的、支撑多个设备一起运用的两步验证办理东西,是“Google 身份验证器”的有力替代者。Authy 的长处在于,它可以一起办理多个渠道的两步验证,一起支撑多设备一起运用,也可以快速在设备之间搬迁、抹除,还支撑 Touch ID 验证。Authy 可以办理一切运用“Google 身份验证器”的账号体系,包含 Gmail、Evernote、Facebook、Dropbox、LastPass等。Authy 改进了 Google Authenticator 的功用:
Duo Mobile :Duo Mobile 是一款手机体系软件,下载并安装了这款软件后,可以得到Duo *** 安全的双要素认证服务,使登录愈加安全。

[1] [2]  黑客接单网

相关文章

安全防备:nginx下git引发的隐私走漏问题

1   安全事情 最近阿里云服务器后台办理体系中收到一条安全提示音讯,体系装备信息走漏: http://my.domain.com/.git/config 能够被公网无认证即可拜访,请修正。...

用于浸透测验WordPress的Ruby结构:WordPress Exploit Framework

这个Ruby结构包括一些能够浸透测验WordPress网站和体系的模块,用户也能够自己开发模块扩展其功用。 运转它需求什么条件? 保证体系上装置了Ruby 2.2.x,翻开一个指令行窗口,切换当时目录...

javaweb的常见web缝隙

 0x01 前语 材料来历: http://javaweb.org/?p=567 http://zone.wooyun.org/content/19379 http://drops.wooyun.or...

利用PHP解析字符串函数parse_str的特性来绕过IDS、IPS和WAF-黑客接单平台

众所周知,PHP将查询字符串(在URL或正文中)转换为$_GET或$_POST中的相关数组。例如:/ ?foo=bar被转换为Array([foo] => "bar")。查询字符串解析进程运用下...

由此次阿里云事情谈粗犷的安全防护手法

 昨日阿里接连爆出了两个有意思的事情,一是阿里云服务器呈现毛病,导致误删除了许多用户文件( http://www.weibo.com/1747505067/CyvEkrxPS );二是阿里供认下一年校...

代码审计之Fiyo CMS事例共享

Fiyo CMS是小型的商务电话服务及移动协作东西,由一名前职业学校学生初次开发和创立的,后者其时在RPL的SMK 10三宝垄学习。 那时他的姓名不是Fiyo CMS,而是Sirion,它是Site...