You are currently browsing the monthly archive for Septembrie 2006.

Sint sigur ca multi dintre voi, de-a lungul unui pentest folosind metasploit ajungeti pina la urma sa vedeti urmatorul mesaj:

Metasploit error
[*] Started bind handler
[*] No target detected for Windows Server 2003 R2 3790 Service Pack 1/Windows Server 2003 R2 5.2…
[*] Exploit completed, but no session was created.

Nu exista nici un exploit functional in tool-urile de gen Metasploit, Canvas sau Core Impact pentru sistemele de operare de genul Windows XP Service Pack 2 sau Windows 2003 R2. De ce? Microsoft a hotarit ca trebuie sa faca ceva. A inceput prin a cumpara toti specialistii de securitate care erau disponibili pe piata, LSD (last stage of Delirium), NGS software, nRun = Phenoelit. A schimbat modul in care analizele de securitate erau facute in cadrul companiei. Cind s-a pornit cu analiza unei componente nu a mai existat nimic care sa fie definit „out of scope”. A cumparat, a ascultat si a invatat. A investit in programul MSDL (Microsoft Software Development Life Cycle) care include printre altele training-uri pentru developeri si ceea ce e cel mai important, modul in care softul este scris si modul cum se face asigurarea calitatii si acceptarea sa in „main steam”. Securitatea a capatat locul pe care il merita in procesul de producere a soft-ului. Pe departe de a fi un fan al concernului din Seatle stau sa ma intreb daca comunitatea open-source va avea puterea sa implementeze asa ceva? Sint firme ca Novell si Red Hat dispuse sa se implice mai activ in modul in care soft-ul open-source este scris in asa fel incit sa avem aceeasi calitate. Imi doresc din toata inima.
Ce ne va ramine noua ca pentesteri? Atacul aplicatiilor de genul SAP sau Oracle care prefera sa isi faca singure managementul de memorie si care nu beneficiaza de functionalitatile de securitate cum ar fii Data Execution Protection (DEP) oferite de sitemul de operare.
Si ce va ramine atunci cind si aceste aplicatii vor fii total integrate in noile versiuni de Windows? Cu siguranta renuntarea la nmap si metasploit. In acel moment va trebui probabil sa incercam sa sarim pe o alta treapta de gindire pentru a fii in stare sa descoperim ce este prost gindit sau implementat intr-o aplicatie sau intr-un sistem de operare. Orium un lucru e sigur. Will all have our fun!

Anunțuri

Azi am terminat raportul pentru un audit de securitate la ceea ce eu denumesc „aplicatie singulara” . Prin aplicatie singulara inteleg acea aplicatie exotica, pe care nu o intilnesti decit odata in viata, pe care nu o poti asemana cu nici o alta si la care ai nevoie intotdeauna de cineva cu cunostinte de specialitate pentru a te ajuta in procesul de pentesting.

Din punctul de vedere al unei firme de securitate nu se merita sa te angajezi in asa ceva. Costurile consultantului de specialitate ( partea de bussines ) sint foarte ridicate si apoi experinta pe care o cistigi nu o poti folosi si la auditul unei alte aplicatii. Pe linga asta, timpul investit de pentester pentru asimilarea noilor tehnologii este mare.

Noua ne-a luat o saptamina sa construim un simplu statement SQL nu pentru o baza de date relationala ci pentru o „multi value database” din cauza lipsei de decumentatie, a lipsei de cooperare a firmei producatoare, si de a lipsei de experienta in domeniu. Pe linga barierele tehnologice existe si cele „politice” sau „sociologice”. Nu intotdeauna clientul este foarte incredintat ca un audit de securitate este facut de fapt ca sa ii dea o imagine clara a riscului pe care il impune din punct de vedere a securitatii exploatarea aplicatie. Managementul riscurilor pare sa fie o carenta la orice nivel si in orice cultura. Pentru pentester ca individ este o experinta in care trebuie sa isi foloseasca toata fantezia si puterea creativa. El trebuie sa defineasca noi suprafete de atac si totodata sa gaseasca metodele corespunzatoare pentru a le exploata .

Intrebarea se pune, daca se merita din punctul de vedere al unei firme de securitate, sa se implice in asa ceva, tinind cont de costurile ridicate legate de procesul de pentesting, si la gradul de reusabilitate a informatie si experientei cistigare ? Poate o firma de securitate sa traiasca numai din contracte de genul asta? Se renteaza din punct de vedere economic, pentru ca din punct de vedere profesional este o experienta unica ?

Septembrie 2006
L M M M V S D
    Oct »
 123
45678910
11121314151617
18192021222324
252627282930