You are currently browsing the monthly archive for Ianuarie 2009.

Pe data de 23 ianuarie au avut alegerile in chapter-ul romanesc al organizatiei ISACA. ISACA este in momentul actual cea mai mare organizatie de certificare in domeniul de IT governence, management de IT dar in principal cunoscuta pentru certificarile de auditori in IT sau de manageri responsabili de securitate. Cine ne sint alesii?

President                           Yugo Neumorni
Vice-President                    Radu Herinean
Secretary                           Florin Gogoasa
Director                            Florin Iliescu
CISA Cordinator                Bogdan Radu
CISM Cordinator               Catalin Alexandru
Education chair                Gheorghe Hriscu

Ce vrem de la alesii nostri, pentru ca odata cu laurii vin si responsabilitatile? Sa reuseasca sa readuca Chapter-ul romaneasc ISACA la viata, caci cu starea ei de semipareza ne-am obisnut (ultimul post pe forum este de acum 4 luni) Ce datorie avem noi, membrii? Sa le aducem aminte alesii nostrii ca ideea de ISACA e frumoasa si merita tinuta in viata.

Ieri colegii mei au fost la o prezentare de produs a firmei Intellinx. Firma s-a specializat in sisteme de supraveghere online si detectare de frauda. Ce inseamna asta? Un server este legat in SPAN port-ul swith-urilor tale  si devine panaceul universal al tuturor problemelor de frauda.

Eu am refuzat sa ma duc, pentru ca conceptual acesta filozofie mi se pare falimentara.  De ce? O companie de la o anumita marine are propriile procese, care sint foarte greu de implementat algoritmic intr-o masinarie. Niciodata procedura nu va fii atit de frumosa incit sa-ti permita o transpunere a ei in matematica. Si chiar daca reusesti sa o transpui atunci iti ramine un numar finit de exceptii care trebuie filtrate. Deci cineva care stie acel proces, trebuie sa i-a decizia de bine sau rau. Oricum este o solutie reactiva, cu toate ca compania are ca logo „Get Proactive about insighter thread”. La design-ul unui sistem trebuie puse acele puncte de control care iti vor permite sa eviti frauda si sa minimizezi anomaliile.

Ce parere aveti voi?

Mitul consta in faptul ca pentru a sterge „sigur” un mediu de stocare este nevoie de o stergere repetata de 6-10 ori, iar in cazul diskete-lor, pina la 35 de ori. Exista pentru acest task o gramada de softuri comerciale cit si softuri OpenSource cum ar fii utilitarul DBan. Companiile si-au facut „stergerea sigura a datelor” un obiectiv strategic care poate duce pina la gaurirea HDD-ului.

Ce inseamna de fapt si de unde a pornit? Trebuie sa va inchipuiti putin mecanismul de functionare a scrierii pe hard-disk-uri. O unitate de stocare, adica un bit, este pe suprafata HDD-ului un interval, unde capul se pozitioneaza pentru a stoca informatia. Dar datorita imperfectiunii mecanismului de pozitionare pe acest interval, capul poate ateriza exact la mijloc, iar la a doua rescriere la 2/3 de una din margini. Deci teoretic avem pe acelasi interval stocate 2 informatii. Deci este posibila reconstruirea informatiei chiar dupa ce HDD-ul a fost rescris de mai multe ori.

O echipa de cercetatori au presentat la conferinta ICISS 2008 un studiu recent despre acesta teorie. Rezultatul a fost ca dupa o rescriere completa a mediului este aproape imposibil sa se reconstruiasca datele existente. Acest studiu nu provoaca valuri de bucurie intre firmele ofertante de soft pentru ca ar insemna scoaterea lor de pe piata.

Dar ce se poate face pentru a se sterge in mod sigur un mediu. Formatul din Windows nu ajuta. Reprezinta doar stergerea tabelei de partitie,  adica localul unde se stocheaza locatia fisierelor pe HDD. In rest ele ramin acolo, neatinse.

Cel mai usor se poate sterge boot-ind o distributie live de linux si folosind comanda dd.

dd if=/dev/random of=/dev/yourHDD bs=512.

Dureaza ceva timp, adica pina la citeva ore, dar nimeni nu va mai putea citi ce ati avut acolo stocat. Sau daca nu DBan „do the magic”.

PS. Acum putem sa pornim o discutie despre /dev/random sau /dev/zero.

Voi ce folositi, random, zero sau unu?

In decembrie a avut loc in Berlin editia cu numarul 25 „Nothink to hide” a congresului organizatiei Chaos Computer Club (CCC). O editie care a stabilit un nou record de participare 4230. Una din prezentarile care mi s-au parut foarte interesante a fost „MD5 considered harmful today” in care un grup de matematicieni si un grup de cercetatori in domeniul de securitate au reusit creare unei Autoritati de Cerificare (CA) valide folosindu-se de coliziunile in algoritmul de hash-ing MD5.

Putina teorie pentru cei care nu o cunosc:

  • MD5 este o functie care returneaza o valoare unica fixa ca lungime ( 128 ) biti pentru orice intrare. Coliziune in algoritmul de hash-ing reprezinta de fapt situatia in care 2 valori de intrare diferite genereaza acelasi valoare de hash-ing.
  • Un certificat SSL este compus din 2 parti. Parte ce trebuie semnata continind informatii cum ar fi: numele, un „serial number”, validitatea certificatului, propietate daca este CA sau nu si sematura CA-ului.

Atacul:

Atacul derulat pe un cluster de 200 de Playstation 3 a constat in cumpararea unui certificat de la RapidSSL si crearea bazindu-se pe acesta a unei nou certificat care sa aiba propietatea CA=True, fiind insa un FALS . Cu acest nou CA se pot genera foarte usor certificate valide pentru site-uri cum ar fi microsoft.com si BancaTaCareOFiEa.ro. Deci phising-ul poate devine o realitate cu care greu se mai poate lupta.

Ce inseamna asta?

Toate CA-urile care foloseau MD5 s-au mutat rapid pe SHA1.Era si timpul pentru ca coliziunile in MD5 au fost dovedite in 2004 iar primul atac teoretic impotriva certificatelor SSL a fost facut public in 2007.
E bina ca atunci cind cumpatati un certificat SSL sa verificati ca algoritmul de hash-ing folosit de CA este cel putin SHA1 si ca „serial number”-ul are o valoare cu adevarat aleatoare.

Pentru cei care doresc sa aprofundeze intreg articolul este aici.

Ianuarie 2009
L M M M V S D
« Sep   Feb »
 1234
567891011
12131415161718
19202122232425
262728293031