You are currently browsing the category archive for the 'Uncategorized' category.
Compania Rapid7 a anuntat intr-un comunicat de presa ca a achizitionat proiectul open source Metasploit pentru al integra in solutia de management al vulnerabilitatilor pe care o ofera. HD Moore, omul din spatele proiectului va fi angajat de Rapid7, devenind astfel Chief Security Officer si ramine in acelasi timp principalul arhitect al proiectului Metasploit. Sper din tot sufletul ca proiectul va ramine Open pentru comunitate. Ar fi pacat sa devina o alta solutie comerciala.
Have fun,
Astazi am citit un post interesant unde se punea urmatoarea intrebare:
Which would you rather tell the board or your customers? (1) “We had no security incidents last year, and aren’t sure why,” or (2) “Our customer database was pillaged 9 times, despite a cross-organizational investment in ISO 27001 which was aligned with our balanced scorecard and measured to be in the top quartile of all infosec programs?”
Interesanta intrebare. 
) Miine si articolul ….de unde provine.
Have fun.
Ieri a fost conferinta de securitate realizata de Bussines Standard unde a venit si domnul Varujan Pambuccian(tot respectul pentru dumnealui). Dansul a spus in alocutiunea sa ca noi ar trebui sa-l respectam pe hackerul Vladut, pentru inventivitatea si desteptaciunea sa. La intrebarea mea de ce ar trebui respect, mi-a raspuns ca este normal sa-ti respecti adversarii. Eu nu-l vad pe Vladut ca pe un adversa si inteleg ca trebuie sa respectam un smecher care s-a folosit de nestiinta si naivitatea unor oameni pentru a accesa niste conturi de e-mail.
Eu nu vreau sa respect genialitatea unui infractor. Eu vreau sa respect genialitatea oameniilor care scriu cod pentru produse de antivirus, sisteme de operare sau care creeaza produse soft de calitate. Eu ii respect pe oamenii care l-au prins. Eu aleg sa il respect pe Marian Selea.
“Cisco IOS Software operates on millions of systems from small home-office routers to the world’s largest service provider networks. But its inherent accessibility is perhaps described best by Marian Selea, a blind Cisco support engineer who provides Cisco IOS customer support daily.”
Acestea sint valorile pe care le respect.
A-l respecta pe Vladut este ca si cum noi ar trebui sa respectam pe cel care in loc sa ne atraga atentia ca portofelul ne cade din buzunar, ni-l fura si apoi ride de noi ca am fost atit de fraierieri.
Pentru a pregati conferinta am inceput sa ma uit putin la Youtube. Modulul de resetare a parolei si cel de schimbare a ei trimit username-ul si parola in necriptat. How lame for Youtube. Have fun.
M-am hotarit din mai multe motive sa ofer celor de la ejobs o consultatie pro bono pentru a intelege care este cauza si sa arat si ce ar trebui sa faca ca sa poata evita o noua problema de securitate.
Ceea ce s-a intimplat este un caz standard de SQL Code Injection. Parametrul http://www.ejobs.ro/arhiva/2007/august/PARAMETRU%20union%20select … nu este verificat. Atunci cind este interogata baza de date ceva de genul “select asta, siasta from mydatabase where zi = PARAMETRU”, este modificat acest select si completat cu “union all select 1, concat (nume coloana,:,altnume coloana) from companies limit by nr” . In construirea acestui statement este foarte important sa se cunoasca numele coloanelor, si numele tabelei. Modul in care se poate obtine este ori daca aplicatia intoarce erori sql, sau prin metoda de brute force.
Ce s-ar fi putut face?
1). La nivel de limbaj de programare este datoria programatorului sa scrie statementul SQL in asa fel incit sa nu permita continuarea lui. Recomand tuturor o documentatie mai veche dar buna si acum.
2) Defence in depht . Ceea ce inseamna un application firewall de genul mod_security pentru Apache care sa filtreze stringurile de genul “union all select”.
3) Design Flow. Nici o aplicatie nu ar trebui sa stocheze parolele in clar. Se pot stoca in format hash (SHA1) si verificat hash-ul parolei user-ului cind acesta o introduce.
4) Awareness. Compania ar fi trebuit sa implice pe cineva specializat in securitate pentru a testa aplicatia. Oricum se pare ca ejobs nu are nici o procedura de incident management, pentru ca lucrul pe care il face acum este sa treaca totul sub tacere.
Pentu cei care dau peste asemenea erori de securitate: exista conceptul de responsible disclosure.
O zi minunata
Versiunea 3 a distributiei live, care este dedicata in primul rind auditurilor de securitate, va fii finalizata si prezentata la congresul Chaos Computer Club din Berlin care are loc intre 27 – 30 12.2007. Un tool care merita toata atentia este portbunny-ul lui FX, un port scanner care este conceput pentru scanneri de domenii mari de adrese de IP si este mult mai rapid decit celebrul nmap. Despre portbunny-ul lui Felix voi vorbi mai mult intr-un post urmator. Si ca intotdeauna: Have fun
Acum exista si oficial. Poti cumpara propriul tau 0-day. Frima Wabisabilab ofera o platforma de licitatie pentru exploit-uri. Cu 500 de EUR poti cumpara un exploit pentru PhpMyAdmin sau daca te tine buzunarul dai 5000 de EUR pentru un exploit de SAP GUI. Hmmmm….cine o fii oare in spatele acestei firme care din intimplare are sediul in Elvetia? Voi ce parere aveti?
Odata cu modificarea legii penale germane din (11. August 2007), prin introducerea articolului 202c se inchide poarta tuturor cercetatorilor germani din domeniul securitatii. Ce stipuleaza acest articol si care sint implicatiile modificarii legii()?
(1) Wer eine Straftat nach § 202a oder § 202b vorbereitet, indem er
1. Passworte oder sonstige Sicherungscodes, die den Zugang zu Daten (§ 202a
Abs. 2) ermöglichen, oder
2. Computerprogramme, deren Zweck die Begehung einer solchen Tat ist,
herstellt, sich oder einem anderen verschafft, verkauft, einem anderen überlässt, verbreitet
oder sonst zugänglich macht, wird mit Freiheitsstrafe bis zu einem Jahr oder mit
Geldstrafe bestraft.
O traducere aproximativa ar fii ca: Cei care publica parole sau coduri de acces care permit logarea intr-un sistem informatic sau cei care dezvolta, vind, folosesc sau fac public programe soft, a caror scop poate fi accesarea ilegala a unui sistem informatic sint pasibili de pedeapsa cu privarea de libertate pina la un an sau amenda.
Consecintele a acestei modificari sint inchiderea site-ului german al clubului THC, eliminarea uneia din cele mai buna liste de parole default pentru sisteme informatice de pe sie-ul celor de la Pheneolit si eliminarea tuturor POC pentru PHP de pe site-ul lui Stefan Esser si lista ar putea continua.
Intr-un interviu cu HD Moore, liderul proiectului Metasploit, el declara ca tot framework-ul si documentatia aferenta cad sub incidenta acestei legi si din cauza asta va evita orice calatorie in Germania. Oricum conform lui toate distibutiile de linux ar putea fii considerate ilegale din moment ce majoritate au integrat programul nmap.
Ce consecinte se pot trage? Numarul de tool-uri create pentru analizele de securitate vor fii din ce in ce mai mic si calitatea lor va scade datorita imposibilitatii comunitatii de a-si aduce aportul la imbunatatirea lor. Procurarea unor astfel de tool-uri va fii posibila numai daca ai contact direct cu dezvoltatorul iar detinerea lor va fii ilegala.
Sper ca Romania, odata cu alinierea la Recomandarile 2006/24/EG din 15 martie 2006 privitoare la combaretea criminalitatii in spatiul Internet, sa nu se inchida inchida poarta cercetatorilor romani din acest domeniu cum a fost facut in Germania.
Google a cumparat compania Postini, o companie specializata in securizarea sistemelor de e-mail, criptare si instant messaging. O mutare interesanta, care urmareste probabil dezvoltare de soluti enterprise de messaging. Google nu a reusit sa impresioneze analistii, si de aceea planuieste probabil ori o mutare catre piata enterprise ori sa cumpere DoubleClick, o companie care este specializata in reclama pe bannere.
Steve Orrin The SOA/XML Threat Modeling.
O prezentare foarte buna despre atacurile din lumea XML si a serviciilor web. Atacurile care au luat amploare pare a fi XML schema abuse. O prezentare foarte buna.
Dan Kaminsky Black Ops 2007.
Omul care a impachetat trafic DNS in trafic DNS, pune in aplicare o alta gluma a sa IP over SPAM. Astepta-ti inregistrarea pe site-ul de la DefCon. Merita vazuta.
Panel Internet War.
Concluziile directorului “Internet Storm Center”: Atacurile devin din ce in ce mai specifice si directionate catre indivizi sau grupuri de useri si incep sa combine lumea reala cu cea virtuala. Cum?. Unul dintre ultimii trojan-i chinezi fura identitati pentru a crea muncitori in jocul Warcraft care extrag aur , ce era apoi vindut in lumea reala. Modalitate frumoasa de a spala bani.
Dan Habbard Honeyjax
Porind de la comceptul de Honeypot, Honeyjax-urile sint programe care sint folosite in site-urile de genul myspace.com sau linkedin.com pentru a detecta boot-urile ce au ca target furturi de identitati. Programele resprective sint in stare sa initieze contacte sau sa accepte contacte si sa raspunda la mesaje.
Avis Raff – Widgets and Gadgets,
Vista vine cu ele, iGoogle se bazeaza pe ele. Elemente care infrumuseteaza paginile dar care aduc si insecuritate. Exemple de exploi pentru vista folosind un widgets si cum se poate cred un trojan care sa citeasca mail-urile de la Google bazat pe Widgets.
Brendon O’Conner Internet Banking in USA.
Presentarea a fost buna dar a fost specifica sistemului bancar american . Bine ca lumea nu copiaza America in privinta modalitatilor de combatere a phising-ului.
Concluzie
O editie foarte buna unde a cistigat la CTF (Capture the Flag) 1@stplace. Lumea incearca sa redefineasca conceptul de exploiting, indepartindu-se de OS exploiting si concentringu-se pe aplicatii.
Chiar daca blogul meu este un blog de securitate, nu pot sa nu ma opresc si sa lacrimez pentru omul care m-a invatat sa ascult John Lennon, si care refuza sa pronunte numele celui care l-a impuscat, sau sa-i inteleg pe Stones si care m-a facut sa inteleg si sa iubesc muzica rock de calitate. Dumnezeu sa-ti aiba in paza sufletul de hoinar . Cred ca ar trebui sa deschida cineva un site in care sa scriem toate amintirile despre el.
La Blackhat-ul de anul acesta nu va participa si celebrul researcher german in domeniu de reverse engineering Halva Flake. De ce? Pentru ca autoritatile americane au hotarit dupa 4 ore de interviu ca viza lui nu se potriveste cu tipul de acrivitate pe care o va desfasura si USA. Mai sa fie….nu e prima data cind Halva vine in US si face conferinte si training-uri. Care era oare tema prezentarii lui Halva pentru anul asta? Mai multe despre incident puteti citi aici
Si in alta ordine de idei, pentru ca am sansa sa fiu la Defcon anul asta o sa incers sa fac pentru prima data live blogging. Sa vedem ce iese.
Uitindu-ma ieri dupa “Linkin Park” am avut parte de unul din cele mai interesante mesaje de “500 Internal Server Error” vazute vreodata. Ingeniosi baietii de la Youtube, pentru ca au gasit o metoda de a permite mesaje de eroare care totusi sa nu poata fi folosite pentru un viitor atac. Ma intreb oare ce algoritm de cripare au folosit, ca base64 nu e 
? Voi ce ziceti?
In perioada 18-20 mai 2007 a avut loc la Brasov prima conferinta romaneasca de Open Source. O initiativa a grupului ROSI , conferita si-a propus si a reusit sa fie o prima intilnire a oamenilor care cred in solutiile Open Source. Am avut si eu o prezentare despre Resurse Open Source in Computer Forensic. Imi pare rau ca au fost alocate numai 30 de minute pentru prezentare ceea ce nu mi-a permis sa intru in detalii tehnice cum as fii vrut.
Ce mi-a placut cel mai mult:
-Invitatii, organizarea (Agora si in special Gabriela Bartic). Speaker-i romani si straini.
-Prezentari care au fost pline de patos.
-Discutii (panel-uri) despre ideea de open source.
-Prezentarea lui Bogdan Manolea despre legislatie in domeniul de open Source.
-Proiectul Yart (concurentul Asterix-ului).
Ce mi-as dori:
- Conferinta sa ajunga la nivelul de participare a LinuxTag-ului german . Atunci sigur ar fii multi mai multi participanti si automat biletul mai ieftin.
- Mai mult timp pentru prezentari pentru ca evenimentul acesta se adreseaza in marea majoritate oamenilor tehnici care de obicei sint doritori de cit mai multe detalii.
- Un eventual survey printre participanti si pe baza interesului aratat de acestia pentru diversele prezentari sa se aloce timpul si viitoarea locatie.
Prezentare mea de la Eliberatica poate fii downloadata de aici.
Dar cred ca cel mai important pentru mine a fost ca am intilnit romani care cred in ideea de Open Source.
Site-ul german de stiri din dimeniul IT Heise informeaza astazi ca site-ul cancelarei Germaniei Angela Merkerls a fost compromis folosindu-se directory traversal ( Ex: www.site-exemplu.com/../../../etc/passwd) si a fost instalat pe server un proxy de IRC. Ma intreb daca acest atac aspra prezentei internet a celui mai important om politic german, care este banal de contracarat din punct de vedere a securitatii, nu a fost luat in considerare , va schimba opinia oamenilor care decid in domeniul de IT in privinta importantei securitatii? Hmmmm..sper ca da.
comentarii recente