Segmented Web Browser DMZ.

Saptamana aceasta, citind blogul lui Daniel Missler, am dat peste un post foarte interesant, care propune o noua arhitectura de folosirea a browserelor in organizatii. Ceea ce propune el si Steve Crapo este o infrastructura de masini virtuale, localizata in DMZ, care sa fie folosita pentru browsing. Userilor nu li se va mai permite accesul din interiorul organizatiei direct la Internet, ci numai prin conectare la niste masini/desktop-uri virtuale, localizata in DMZ, care vor fi usor de mentinut, patch-uit si restabilit in cazulin care una din masini este compromisa. Solutia pare interesanta si datorita protectiei oferita la posibilul upload in internet a informatiilor existente in organizatie.

Ce prere aveti? O astfel de solutie ar avea succes in organizatia voastra? Ar fi acceptata de utilizatori?

Intreg articolul aici.

Have fun

Vulnerabilitate IE “Aurora” (cont 2)

Firma Vupen Security pune la dispozitie celor care dispun de resurse financiare, un exploit bazat pe vulnerablitatea browser-ului Internet Explorer, facut public si sub numele de “Aurora”, care reuseste sa-l faca functional chiar si pentru browserele IE 8 sau 7 care au mecanismul de DEP (Data Execution Prevention) activat . Deci, folositi temporar sau definitiv Firefox.

Microsoft QSR

Foarte multe persoane, pornind de la manageri pina la arhitecti de sisteme si dezvoltatori IT, cind vine vorba despre probleme de securitate si vectori de atac, ridica din umeri. Multi au auzit de ele, dar nu au o intelegere a fenomenului si a ceea ce inseamna . Articolele disponibile online sint ori prea tehnice, ori prea generale. Microsoft s-a hotarat sa dezvolte in cadrul SDL-ului, asa numitele QSR-uri, Quick Security Reference, care prezinta diferite atacuri din diferite puncte de vedere: al managerilor, al arhitectilor, al dezvoltatorilor de aplicatii si a tester-ilor/oameni de QA. Pentru fiecare este prezentata informatia in asa fel incat sa poata intelege si sa ia decizii avind informatiile sintetizate conform nevoilor personale. Primele doua documente descriu atacul “Cross Site Scripting” si “SQL Code Injection”. Merita citite!

Have Fun.

Predictiile Verizon in domeniul de securitate pentru 2010.

Ross Cooper de la Verizon Bussines Security a scris citeva predictii pentru 2010, pe care as vrea sa le comentez putin.

1. Services will protect themselves: Facebook, Google, Twitter, TinyURL and the like will gain more control over criminal content… Intr-un an in  care “iesirea din criza” este cuvantul la ordine, nu vad companiile investind semnificativ in domeniul de securitate. Doar sa ne amintim ca Microsoft a ratat o versiune de Windows cu Vista,  facind un produs sigur dar greu acceptat de utilizatori. Isi permit aceste companii investitii in securitate sau se vor concentra pe consolidarea cistigurilor? Raspunsul cred ca il stim cu totii.

2. Malware will not evolve. No significant changes in malware will occur in 2010. Consider ca 2010 va fi anul in care criptografia isi va face prezenta simtita foarte pregnant in domeniul de concepere  si distributie a malware-ulurilor. Anul de raspandire a virusilor criptografici.

3. Consumers are getting smarter: The number of older “newbies” being introduced to the Internet’s crime is going to be significantly less in 2010 than in the past.  Tehnologia este din ce in ce mai prezenta in viata noastra. Aflam despre patch-uri pentru Windows de la buletinele de stiri. Deci folosirea tehnologiei va fi mult mediatizata si atunci ca rezultat, nivelul cunostintelor de securitate IT va creste.

4. Windows 7 (not necessarily IE8) will prove to be more robust than expected, but ISV’s will have the light shone on them by MS as the attacks move more towards the applications (and, possibly, away from browser exploits.) ATL issues in ISV products will have a spotlight in 2010 (those that don’t use IE to do their interactions.). Observatiile de la primul punct cred ca sunt valabile si aici. Windows 7 va fi o solutie robusta, dar ISV (Independet Software Vendor) vor oferi intotdeauna o portita. Long life Adobe.

5. Serious finger-pointing and frustration over basic essential protocols (SMTP, DNS) will occur amongst “governments”, and non-technical organizations as spam and phishing prove even more difficult to thwart. Serious finger-pointing poate, dar nu vad adoptarea unor masuri coerente sau finantarea unor solutii de genul DNSSEC.

6. Breaches will increase, albeit possibly smaller in average number of records compromised. There will be more money transfers made via accounting staff compromised credentials in 2010 than past years. Companiile de procesare de carduri/bancile vor incerca sa evite orice fel de probleme de securitate si de expunere a datelor. Visa si Mastercard vor taxa scump pe cei care nu vor lua masuri de securizare.

7. Nothing of note happens to non-PCs (e.g. phones, PDAs, Macs, etc). Cred ca vom vedea aici primele atacuri in masa. PDA-urile sunt noile tinte, sunt device-urile care sint target-ate de noile platforme de networking.

8. CaaS works, not surprisingly for most of us. CaaS (Communications-as-a-Service) va deveni noua tinta. Aici se va concentra informatia si granitele vor fi din ce in ce mai greu de tras si prin urmare de aparat.

9. Virtualization does not come under real-world attack as a target, but the media will sensationalize at least one story where VM’s were involved (but the VM software had nothing to do with the issue.) Joanna will continue to ride her horse. Aici sunt de acord.

10. China will continue to be blamed for everything. Evident ca asa va fi, dar as reformula China and the Romanian Hacker will continue to be blamed for everything.

Have Fun in 2010.

In gura presei: Nemtii si “Aurora”

Se pare ca acest exploit “Aurora”, care nu este cu nimic mai spectaculos decit alte exploit-uri,  este atit de mediatizat incit ajunge sa aiba parte de exagerarile caracteristice presei de cancan.  De exemplu BankNews anunta pompos ca “Germania recomanda utilizatorilor sa nu mai foloseasca browser-ul Internet Explorer al Microsoft” cind de fapt comunicatul oficial spune “BSI recomanda folosirea temporara a unui browser alternativ”.  Isterie legata de tehnologia IT. Interesant.

Don’t panic and have fun.

Vulnerabilitate IE (cont)

Pe blogul Microsoft a aparut o analiza interesanta despre sistemele care sint afectate de noul exploit “Aurora” si un link catre solutia propusa de ei, care consta in activarea optiunii de DEP pentru Internet Explorer. Aceasta se face prin instalarea urmatorului patch.  Cealalta solutie, de dezactivare a scripturilor java, este nereala in Internetul actual.

Have fun.

Din testele mele, exploitul este stabil pentru IE6, dar duce doar la distrugerea instantei de IE7 sau 8.

Vulnerabilitate IE.

Codul malware-ului, care a fost folosit luna trecuta, pentru atacul impotriva a 33 de firme, printre care Google si Adobe a fost trimis spre analiza pe site-ul Wepawet. Acest exploit, foarte stabil,  are ca target IE6,7 si 8 rulind pe diferite platforme.  Problema este ca Microsoft ,cu toate ca a emis un Microsoft Security Advisory (979352), nu a facut public un patch in regim de urgenta. Exploit-ul este valabil chiar in platforma Metasploit.  (use windows/browser/it_aurora)

Informatie primita via NetworkWorld.

Deci:

Take care and have fun.

Google safe browsing

Google pune la dispozitia webmaster-ilor un tool pentru a putea verifica daca motorul de indexare a identificat cod malware in domeniul respectiv.  Cred ca acest tool poate fi folosit si de utilizatori sau de cei care incearca sa faca o analiza “post-mortem” a unui incident de securitate.

Poate fi accesat in modul urmator:
http://www.google.com/safebrowsing/diagnostic?site=DomeniulMeu.ro si face parte din suita Google Webmaster Tools.

Backtrack 4 Final Release

Distributia de pentesting Backtrack versiunea 4 finala a fost facut public ieri . Mai multe informatii aici.

Pentru cine nu are rabdare Download direct aici .

Have fun.

Log Management centralizat.

Din ce in ce mai multi administratori si persoanele care sint implicate in Securitatea IT ridica problema centralizarii log-urilor. Inainte de a lua o astfel de decizie este bine sa se fie clarificate citeva aspecte privitoare la o astfel de solutie.

De ce? – in primul rind.

- creste vizibilitatea asupra problemelor existente in retea

- ajuta la scaderea timpului de remediere a problemelor printr-o identificare si corelare mai usoara

- ajuta la identificarea anomaliilor in retea si depistarea posibilelor incercari de atac asupra infrastructurii IT

- ofera statut de “conform cu standardul” pentru organizatiile ce incearca sa obtina certificari de tip PCI

- oferirea de rapoarte de catre departametul IT pentru  management si alte departamente

- pentru procesul de IT forensics.

Dar ce trebuie tinut minte inainte de a putea sa te gindesti la achizitionarea si implementarea unei astfel de solutii.  Daca pretul stocarii informatiei scade continuu in asa fel incit  solutiile hardware sa devina din ce in ce mai accesibile,  noi probleme trebuie rezolvate.

- Normalizarea. Pentru a putea corela evenimentele si pentru o mai buna ierarhizare, logurile trebuiesc normalizate. Ce inseamna termenul de normalizare? Convertirea logurilor din diferite formate intr-un format care sa permita interpretarea, corelarea si raportarea. De exemplu logurile de la Windows Server 2008 sint diferite ca format de cele de la 2003. Blocarea unui pachet este logata diferit de IPTables in Syslog sau de Cisco ASE.

Solutia s-ar putea sa fie adoptarea standardului  Mitree CEE (Mitre Common Event Expression), adoptat de majoritatea ofertantilor de soft incepind cu Oracle si Microsoft si terminind cu Syslog.

- Raportarea. Pentru a procesa un volum mare de informatii si a detecta ceea ce este important, este nevoie ca sistemul sa poata suporta crearea automata de rapoarte, accesarea lor pe baza de autorizare si transmiterea lor  pe cit mai multe canale (SMS, email, Web).

- Design. Sistemele de logging inca tind sa foloseasca UDP-ul ca protocol de transmisie. In cazul unei arhitecturi distribuite trebuie luata in considerare o arhitectura bazata pe protocolul TCP. De unde se colecteaza logurile? Acum se colecteaza in principal de la sisteme de operare si dispozitive de retea. Dar in acest moment conectarea bazelor de date si aplicatiilor devine necesara pentru a putea avea si un mecanism robust de DLP (Data Loss Prevention)

- Implicare. Managementul trebuie sa acorde suport pentru construirea unei astfel de solutii, pentru alocare resurselor care sa monitorizeze si sa interpreteze informatiile oferite. Totodata Log Management-ul trebuie sa devina parte din procesele curente de IT si de “Incident Response”.

Exista solutii comerciale: Arcview, Intellitactics, LogLogic, Splunk sau AllienVault. Recomandarea mea ar fi sa incepeti cu o solutie  demo, de la Splunk sau AllienVault, invatati ce poate oferi un astfel de sistem, definiti-va cerintele si apoi daca mai ramin si bani, indreptati-va catre o solutie comerciala.

Have Fun,

SQL Code Injection – Sport National

Mie mi se pare ca romanii au dezvoltat abilitati speciale in a folosi si exploata site-uri de web folosind SQL Code Injection. Pentru cei care doresc sa se perfectioneze recomand un post de pe blog-ul OWASP, care sumarieaza multe din resursele pentru a intelege acest tip de atac si totodata pentru a pune in practica cunostintele.

Eu recomand acest extra si acest document.

Have fun.

Pariez ca e adevarata.

During a recent password audit in a company – it was found that a person was using the following password:
MickieMinniePlutoHueyLouieDeweyDonaldGoofySacramento

When asked why such a long password – she said she was told it had to be 8 characters and include at least one capital…

Voi ce parere aveti?

Ce reprezinta termenii de threat, vulnerability, risk si exploits

Mi se intampla foarte des sa aud oameni din domeniul IT Security facand foarte des confuzia intre vulnerability (vulnerabilitate), threat (amenintare), exploit si risk (risc). Ce inseamna de fapt?

Amenintarea (threat) reprezinta o cauza potentiala pentru un incident nedorit. Acesta poate fi o persoana sau entitatea ce ar putea produce pagube unei organizatii. In aceasta categorie intra (un hacker, compania concurenta, un worm care foloseste un exploit, un angajat nemultumit sau un botnet care incearca sa iti compromita infrastructura de IT.

Vulnerabilitatea este un punct slab al infrastructura de IT. Poate fi o configuratie prost facuta, un calculator care nu a fost patch-uit sau chiar o parola care poate fi usor ghicita.

Risc-ul reprezinta potentialul ca o anumita amenintare (THREAT) sa poata folosi o vulnerabilitate impotriva infrastructurii IT a unei organizatii. De obicei riscul se poate masura printr-o combinatie a impactului si a probabilitatii de aparitie. Deci putem spune ca daca avem o anumita amenintare dar nici o vulnerabilitate atunci nu avem nici un risc si vice-versa daca avem vulnerabilitatea dar nimeni nu este interesata de informatii atunci iarasi nu apare nici un risc.

Un exploit este obiectul sau actiunea intreprinsa de un infractor, care foloseste o vulnerabilitate pentru a crea o pierdere. Exploit-ul poate fi un soft sau poate fi chiar o actiune luata de un infractor(ex social engineering-ul) pentru a putea obtine informatii relevante. Sper sa fi putut adus ceva lumina in definirea acestor termeni.

Un an nou interesant la toata lumea.

Update:

Cautind in internet dupa o definitie cit mai exacta pentru aceste aspecte, am gasit urmatoarele site-uri care ar putea sa fie utile:

CWE (Common Weakness Enumeration ) Glossary of Terms.

ISO 27001 Glosary of Terms.

PalmSecure – noua metoda biometrica

PalmSecure este o tehnologie de recunoastere biometrica a topologiei venelor din mina. Este o tehnologie oferita de Fujitsu si pare a fi metoda de identificare biometrica ce va inlocui metoda de recunoasterea a amprentelor de la deget. Tehnologia consta in implementare unei camere de unde infrarosii intr-un mouse. In momentul in care cineva pune mina pe mouse, este emis un fascicul de unde infrarosii care citesc topologia venelor din mina oferind destule puncte de unicitate pentru a fi luata in considerare in folosirea topologiei ca baza de autentificare. Automat user-ul este autentificat de sistemul de operare sau de aplicatie.

Tehnologia nu presupune atingerea senzorului, ceea ce elimina posibilele amprente lasate pe dispositiv.

De mentionat ca pe parcursul vietii, incepind de la virsta de 12 ani,  topologia venelor de la o mina nu se schimba si ca topologia venelor de la mina stinga este diferita de cea de la mina dreapta.

Pretul unui dispozitiv de citire este de aproximativ 400 USD la aceasta ora,  mult mai ieftin decit dispozitivele de recunoastere a retinei, oferind aceeasi acuratete.

Posibile aplicatii: ATM-uri, oferind in acest fel autentificare bazata pe 2 factori . IBM si Citrix au inclus deja tehnologia in solutiile proprii de SSO (Single Sing On). Pagina de informatii asupra tehnologiei aici.

Metasploit 3.3

Ieri a fost facuta publica versiunea 3.3 a platformei de pentesting  Metasploit.Ce e nou? In primul rind:

Metasploit now has 445 exploit modules and 216 auxiliary modules (from 320 and 99 respectively in v3.2)

support pentru Windows 7 ….

Deci..

Happy Hunting..:))

Tot release note-ul este aici.

Owasp Top Ten versiunea 2010

Saptamina  asta a fost facuta publica, la conferinta OWASP AppSec DC, versiunea release candidate nr.1 a documentui OWASP Top Ten, ce contine cele mai fregvente vulnerabilitati ale aplicatiilor de web. Se pare ca este foarte asteptat, pentru ca de jumatate de ora nu reusesc sa descarc draft-ul. Documentul, care este supus discutiilor publice pina pe data de 31.12.2009, poate fi descarcat de aici. Este interesant ce modificari apar tinind cont de faptul ca de la versiunea initiala, documentul a fost modificat substantial la a doua versiune.

Have fun…

 

Rapid7 cumpara proiectul Metasploit

Compania Rapid7 a anuntat intr-un comunicat de presa ca a achizitionat proiectul open source Metasploit pentru al integra in solutia de management al vulnerabilitatilor pe care o ofera. HD Moore, omul din spatele proiectului va fi angajat de Rapid7, devenind astfel Chief Security Officer si ramine in acelasi timp principalul arhitect al proiectului Metasploit. Sper din tot sufletul ca proiectul va ramine Open pentru comunitate. Ar fi pacat sa devina o alta solutie comerciala.

Have fun,

Carte ce pare ca merita citita.

Adia astept sa citesc o carte. Este vorba de Daemon lui Daniel Suarez. De mult nu am mai auzit atit de multe aprecieri si elogii asupra unei carti despre tehnologie, de la aparitia seriei de carti de la Syngress ”How to own a …”.  Ceea ce m-a convins sa vreau sa citesc aceasta carte este un interviu pe care l-am auzit in Pauldotcom.com cu autorul si pe care va invit sa-l ascultati. Despre ce este vorba? Despre modul in care societatea de azi este atit de mult si atit de complicat interconectata tehnologic incit afectarea unei parti duce la efecta dramatice pentru intreaga civilizatie. Suna interesant? Astept paririle voastre despre carte.

Ceva bash si nessuscmd

Acum ceva timp am incercat sa-mi construiesc o masina care sa stea in Internet si pe care sa o pot accesa remote si sa o pot folosi pentru diferite Penetration Teste. Singurele metode de access  pe care vreau sa le folosesc pentru acest sistem este este un serviciu de SSH si HTTPS, ambele bazate numai pe autentificare cu certificat. De aici apar si anumite inconveniente la care vreau sa gasesc solutii. De aceea m-am uitat mai mult la nessuscmd, command line tool care este oferit de nessus. Exemplul de mai jos este un exemplu real de folosire  in care am incercat sa aflu toate serverele SSH dintr-o retea si sa aflu cite dintre ele folosesc versiuni vechi si care pot fi atacate cum ar fi 1,3 sau 1,5 sau 1.99.

Cum se poate folosi nessuscmd?

./nessuscmd -help

Output-ul ne arata urmatoarele posibilitati:

Examples :
———-
nessuscmd -p 1-1024 localhost
nessuscmd -O 10.0.1.2
nessuscmd -V -i 10884 172.16.1.1

Ceea ce mi-a atras atentia este “-i” care inseamna sa indici id-ul plugin-ului de Nessus, ce vor fi folosite. Pentru a afla toate id-urile plugin-urilor care se refera la SSH poti rula ceva de genul:

fgrep -i script_id /opt/nessus/lib/nessus/plugins/ssh* | cut -d “(” -f2 | cut -d “)” -f1 |  tr ‘\n’ ‘,’

Aceasta aduce la o lista care poate fi folosita de nessuscmd. Deci comanda va arata cam asa:

sudo ./nessuscmd -O -p 22 -i 10882,10708,10965,11341,10607,32320,32314,10267,11821,11343,12634,10268,10472,11340,11195,10269,10881,11339,11169,14273,31421,20927 172.16.22.0/24

Interesant a fost output-ul lui nessus care arata dupa 10 min cam asa:

+ Results found on SCAN-ERROR :
- Host information :
[!] Plugin ID 19506
| Too many live hosts scanned in a row while on a HomeFeed – please
| upgrade to a ProfessionalFeed

Asta a insemnat ca a trebuit sa folosesc nmap-ul prima data pentru a putea sa gasesc toate serverele de SSH si apoi sa le import in nessuscmd.

Si asa se pare ca functioneaza.

Un lucru care ma va ajuta este ca versiunea 5.0 a scanner-ului nessus nu va mai avea un client. Clientul va fi inlocuit de o interfata de web. O informatie interesanta care cred ca ma va ajuta in proiectul meu dar pina atunci sper ca kung-fu-ul meu in folosirea lui nessuscmd va fi atit de mare incit nu voi mai avea nevoie de interfata web.

Have Fun

Compromis chiar si fara sa deschizi fisierul…

Ieri am citit un articol interesant in numarul 21 al revistei Insecure, in care Didier Stevens descrie o modalitate inedita in care poate fi compromis un calculator. El foloseste pentru exemplificare bug-ul procesorului de imagine JBIG2 al soft-ului Adobe Acrobat Reader si arata ca nu este nevoie de deschiderea unui document pentru a fi cumpromis un calculatorul ci pur si simplu un simplu view in Windows Explorer este de ajuns.

Cum functioneaza?  La instarea multor soft-uri se aduc si “imbunatatiri” Shell-ului de windows, permitindu-i acestuia sa poate citi informatii suplimentare despre anumite tipuri de fisiere. De exemplu, in cazul PDF-urilor, se pot viziona in windows explorer informatii suplimentare cum ar fi autorul documentului. Aceasta inseamna automat o procesare a fisierului. Deci daca se introduce codul care executa exploatarea in portiunea ce va fi procesata de extensia de PDF a shell-ului, atunci procesul de exploatare are loc fara sa fie nevoie de deschiderea fisierului.

Solutia propusa de el este dezintalarea extensie de shell pentru documentele PDF.  Simplu, dar nu la indemina tuturor utilizatorilor.  Exista si alte soft-uri care ofera aceeleasi tip de “imbunatatiri”. VLC si Winzip sint doar 2 care imi vin in minte.

Articolul integral poate fi citi aici:

Have fun ) and try this only at home .