You are currently browsing the monthly archive for Octombrie 2007.

Sourcefire, pentru cei care nu stiu este partea comerciala a celebrului IDS Snort. Dupa cum relatam acum ceva timp, Sourcefire se desprinde usor ca fiind una din cele mai inovative firme din domeniul securitatii IT, incercind sa ofere solutii la nivel de enterprise. Intr-un webcast vazut ieri despre noile feature-uri oferite de sistemul comercial 3D versiunea 4.7 aparea o informatie interesanta despre port scanner-ul NMAP. NMAP este integrat in versiunea 4.7 a produsului comercial 3D, oferind posibilitati de scanare direct din interfata de administrare. Dar totodata se spune ca nmap-ul va fii transformat impreuna cu Insecure.org intr-un vulnerability scanner, la fel ca si Nessus, ..si na ca argument au dat…pentru cei care sint obisnuiti cu interfata nmap. Hmmm……….Eu cel putin n-am folosit niciodata front-end-ul. Si daca ne gindim ca Sourcefire a cumparat anul acesta prin august proiectul Open Source ClamAV. Sper ca sourcefire sa suporte si o versiune Open Source a acestui NMAP „2.0” si sa nu se intimple ca si cu Nessus, care cu versiunea 3 a devenit closed source. Let’s hope for the best.

Anunțuri

Ce este DEP? DEP (Data Execution Prevention) este un pachet de tehnologii Hardware si Software care au ca scop protejarea accesului la memorie a programelor executabile. Cel putin asa defineste Microsoft-ul in articolul sau in Technet. Dar citeodata pentru a putea sa faci analiza unui malware este important sa se poata fi oprit DEP-ul.

Cum se face? In boot.ini se scrie:

/noexecute=AlwaysOff

(Atentie, sintaxa este case sensitiv). Restul optiunilor sint explicate frumos si clar de Microsoft.

Have fun.

Exploits of a mom

See more on http://xkcd.com/

Pentru cei care nu vor sa asculte explicatie pina la capat raspunsul este 15 caractere. De ce? Initial in sistemele Windows parola era stocata in format de hash LM (Microsoft Lan Manager) sau in format de hash NTLM (versiune 1 sau 2). Algoritmul LanMan de criptare este slab in primul rind datorita faptului ca parola este sparta in blocuri de cite 7 caractere. Daca aveti o parola de 9 caractere ea va fii impartita in un bloc de 7 si unul de 2 care este usor de ghicit cu programe de brutforce de genul Cain & Abel sau algoritme de genul Rainbow Tables. Cind parola este mai mare de 14 caractere atunci ea nu mai poate fii salvata in format LanMan si este automat salvata in format NTLN ce foloseste un algoritm de criptare mult mai bun, iar in registrii la valoarea LanMan este salvat AAD3B435B51404EEAAD3B435B51404EE care este echivalent cu null password. Siguranta 100% nu exista pentru ca NTLM insusi ca protocol de autentificare este vulnerabil la atacuri de genul „Hash Replay”. In loc sa incerci sa afli parola…de ce sa nu folosesti hash-ul pentru autentificare care tocmai l-ai achizitonat cu ajutorul sniffer-ului.

Dar oricum 15 caractere ofera o siguranta aproape de 100%. Si asha esti sigur ca nici cel de la IT nu are cum sa-ti afle parola.

Ca administrator de IT aveti posibilitatea sa fortati sistemul sa nu stocheze hash-uri LM. (vezi Microsoft)

S-a creat multa confuzie in urma problemelor detectate prima data in Iunie in modul in care aplicatiile complementare interactioneaza cu Internet Explorer-ul si ultimul Security Adviser 943521 care se refera la modul in care Internet Explorer 7 instalat pe platforma Windows XP sau Windows 2003 treateaza URI-urile. Dar haide sa facem putina lumina.

Ce sint URI-urile . Conform definitiei din Wikipedia reprezinta un sir compact de caractere folosit pentru a identifica o resursa. Scopul lor este de a permite interactiunea cu diferite resurse din retea folosind anumite protocoale de comunicatie. Exemplul cel mai elocvent si cunoscut este http://. De exemplu https://securityaspects.wordpress.com care inseamna ca:

  • resursa (pagina de web HTML) va fi interpretata folosint un program care interpreteaza cod HTML in cazul nostru browserul
  • poate fi obtinuta folosind protocolul http de la o anumita locatie (site-ul de web).

Sintaxa unui URI este protocol :resursa  Important de mentionat ca sintaxa accepta si alti parametrii care vor fii tratati de aplicatia caruia ihi este adresat ca parametrii. Alte exemplu celebrú este maito:adresademail@domeniu care care inseamna ca resursa va fii interpretata de programul default de mail din sistem si va folosi protocolul de mail (SMTP) pentru a indetifica resursa, adresa destinatarului.

Acum ca am vazut ce este un URI haide sa vedem ce se intimpla de fapt.

In Iunie s-a demonstrat ca Windows API-urile nu filtreaza URI-ule corect in momentul interactiunii dintre un browser si o aplicatie complementara cu ar fii Skype sau Acrobat Reader. Microsoftul a remediat ce a putut dar a recomandat ca si cei care fac aplicatii sa verifice URI-urile in momentul in care sint tratate de aplicatiile lor.

In Iulie s-a semnalat insa ca IE7 este cel care nu trateaza corect URI-ule.

Ce se intimpla? IE 6 de exemplu, primeste URI-ul si incearca sa-l valideze din punct de vedere al sintaxei. Este valid, atunci este trimis catre Windows shell32 function ShellExecute() pentru a fii executat. Nu este valid,  atunci IE-ul reactioneaza normal si se intoarce la starea initiala abandonind executia. La IE 7 pe platforma Windows XP sau 2003, browserul in momentul in care detecteaza ca URI-ul nu este valid, incearca sa-l repare dar toata procedura nu este implementata corect si se poate transmite cod personal catre functia ShellExecute().

Modalitatile de exploatare sint prin convingerea victimei de a accesa o resursa web ( a da click pe un link care are o anumita structura).

Ce se poate face? Patch , patch si atentie la toate URI-urile care sint inregistrate in sistemul vostru. Cu cit sint mai putine, cu atit suprafata de atac este mai mica.

Have fun,

De citit:

Departamentul „Homeland Security” a pus la dispozitia publica draftul final al unui document foarte interesant in care se definesc competentele si nivelul de cunoastere a acestora in corelatie cu rolul fiecarui participant din structura de IT Security a unei organizatii. Nivelele de cunoastere sint impartite intre (manage, design. implement si evaluate). Deci ce este si cum arata in viziunea DHL un Chief Information Officer?

4.3 Information Security Officer/Chief Security Officer
The Information Security Officer/Chief Security Officer (ISO/CSO) specializes in the information and physical security strategy within an organization. The ISO/CSO is charged with developing and subsequent enforcing of the company’s security policies and procedures, security awareness program, business continuity and disaster recovery plans, and all industry and governmental compliance issues.

Competencies:

  • Data Security: Manage, Design, Evaluate
  • Digital Forensics: Manage, Design
  • Enterprise Continuity: Manage, Evaluate
  • Incident Management: Manage, Design, Evaluate
  • IT Security Training and Awareness: Manage, Evaluate
  • Physical and Environmental Security: Manage, Evaluate
  • Procurement: Manage, Design, Evaluate
  • Regulatory and Standards Compliance: Manage, Design, Evaluate
  • Risk Management: Manage, Design, Evaluate
  • Strategic Management: Manage, Design, Implement, Evaluate
  • System and Application Security: Manage, Evaluate

Example Job Titles:

  • Chief Cyber Security Officer
  • Chief Security Officer
  • Information Security Officer
  • Senior Agency Information Security Officer

O fisa a postului destul de frumoasa si de bine pusa la punct. La voi in organizatie credeti ca CSO are competentele la nivelul cerut de DHS?

Oricum cred ca acest document in sine va schimba sistemele de certificare in domaniul de IT Security.

Have fun.

PS: Ati accepta oare un post care sa fie denumit Chief Cyber Secuty Officer? Eu nu. Nici macar in America.

Have Fun

Bluehat este versiunea proprie a celor de la Microsoft pentru celebra conferinta Blackhat care acum este la versiunea 4.0. La ea participa normal numai angajatii Microsoft, probabil doar citiva invitati alesi pe sprinceana dar cu siguranta nu participa nici un reprezentant al presei. Temele de anul acesta par foarte interesante dar ..na ..pacat ca nu avem access la ce s-a prezentata acolo. Oricum interesant de citit este blogul conferintei si mai ales postul lui Halva despre securitatea sistemului de operare Microsoft Vista si despre care sint noile tinte in domeniul descoperii de bug-uri si dezvoltarii de exploituri.

“As a result I think that most of the security researchers will move on to greener pastures for a while. Why try to chase a difficult overflow out of Vista when you have Acrobat Reader installed, some antivirus software with shoddy file parsing, and the latest iTunes?”

A …si chiar daca sint vechi ascultati podcasturile de anul trecut. Chiar sint interesante.

Octombrie 2007
L M M M V S D
« Sep   Noi »
1234567
891011121314
15161718192021
22232425262728
293031