CansecWest P0w2Own

In Canada a avut loc saptamina trecuta conferinta de securitate CansecWest. Aici are loc un concurs traditional de descoperire de exploituri pentru browsere. Ce a rezultat? Charlie Miller, cistigatorul de anul trecut, a reusit in citeva minute sa creeze un exploit pentru browserul Safari si sa plece cu cel de-al doile notebook Apple acasa. Marea revelatie pare a fi un doctorant german, sub pseudonimul de Nils care a reusit sa gaseasca bug-uri pentru Safari, IE8 instalat pe Windows 7 cit si Firefox reusind sa plece acasa cu Sony Vaio-ul aferent. Mai multe informatii aici. Acest concurs este pe cit de interesant pe atit de ingrijorator cu cit un bug pe piata neagra a ajuns sa coste in jur de $100.000. Deci …sa incercam Opera?

Have fun.

Ati auzit de CrossBeam?

De obicei sint impotriva recenziilor produselor comerciale insa am sa fac de data asta o exceptie deoarece ca consider ca informatia este interesanta si ideea frumoasa. Ce face Crossbeam? Ofera niste appliance-uri care virtualizeaza diferitele sisteme de securitate cum ar fi Firewall-urile de la Checkpoint, IDS-uri si IPS-uri de la Sourcefire, application firewalls-uri de la Imperva si sisteme de filtrare a continutului de la Websence, sisteme de filtrade mail de la Trendmicro, samd.  Ceea ce face aceasta solutie foarte interesanta sint posibilitatile de recovery revolutionare ale sistemului cit si faptul ca incorporeaza toata infrastructura adica si switch-uri si load-balance-urile necesare. Pentru ce este asa ceva indicat? Pentru ISP-uri care ofera Virtual Security as a Service, sau mari organizatii care doresc sa consolideze infrastructura de securitate si sa scape de teroarea upgrade-urilor si a integrarilor diferitelor componente.  Exista un partener local in Romania , google este prietenul vostru.  Produsul mi s-a parut inovativ si prezzentarea frumoasa bomboanele aferente sint expirate. Oricum ambalajul este cool.

Have fun.

Go for green if you play with green (Extended Verification SSL)

Initial a fost gindit ca o unealta de lupta impotriva phising-ului. Browserele prezinta bara de URL in verde in momentul in care se acceseaza un site care are un Extenden Verification SSL.  In cazul unui certificat SSL normal ea este albastra .

Ce reprezinta?

Tehnologic nu exista nici o diferenta fata de certificatul normal dar procesul de emitere a unui certificat este mai complex. De ce? Persoana sau organizatia care solicita certificatul SSL este mult mai bine verificata din punct de vedere juridic si legal pentru a se stabili ca este cine pretinde ca este. Deci automat utilizatorii pot distinge mai usor diferenta intre  site-urile autentice si cele care sint contrafacute.

Aceasta optiune apare in momentul in care este selectat Phising  filter-ul de la IE  este activat sau in Firefox 3 (about:config) browser.identity.ssl_domain_display este setat 1.

Ce dezavantaje sint?

Oamenii care nu au nici o experinta in securitatea pe internet nu vor interpreta in nici un fel colorile afisate in bara de URL. Ceilalti insa care citesc help-ul de la IE sau se interezeaza macar de ce sint diferita au sansa de a evita un numar mare de incercari de phishing.

Diferenta de pret? La Thawte EV-SSL-ul este de 3 ori mai mare decit cel normal.

Este implementata? Aici este un studiu netcraft care arata ca site-urile care au nevoie de SSL tind catre EV-SSL.

Fazit.

Merita sa cumperi asa ceva?  Daca esti o institutie financiara sau doresti sa inspiri incredere clientilor tai, atunci este o investitie meritata.

Exista site-uri de internet banking in romania care au EV SSL?  Nu dupa cunostinta mea.  Incercati PostBank ca sa vedeti diferenta. Site-urile Alphabank, Banca Transilvania, Banca Romaneasca si BRD. Lista de MCTI m-a ajutat. 😀

Have fun.

Ce este DLP (data leakage prevention)?

Documentele word, excel, powerpoint , PDF cit si imaginile contin informatii ce ar putea fi folosite ca punct de pornire pentru un eventual atac. Fiecare document pe linga continut inregistreaza si metadate (numele utilizatorului care a editat documentul, calea unde a fost salvat, tipul si versiunea programului folosit). Este usor de imaginat ca astfel de informatii pot fi folosite pentu atacuri de tip brute-force sau exploituri create special pentru a putea sa penetrezi reteaua unei anumite companii. Daca va aduceti aminte am prezentat si metagoofil-ul, un soft dezvoltate pentru culegerea si analiza de metadate.

Data leakage prevention inseamna in primul rind un complex de masuri organizationale, cit si tehnice care permit eliminarea acestor metadate in cazul in care documentele parasesc compania. Care ar fi acestea?

– „constientizarea” pericolului de catre utilizatori. Utilizatorii ar trebui sa fie constienti ca in momentul in care trimit documente sint trimise si infromatii confidentiale.

– crearea in organizatii a unor politici de securitate care sa trateze exact acesta problema.

– implementare unor masuri tehnice care sa permita anonimizarea metadatelor cum ar fi solutiile de genul: iScub sau WorkShare Protect Network.

Daca doriti sa cititi mai multe despre medatate va recomand documentul creat de Larry Pesce „Document Metadata, The Silent Killer”. Personal eu nu sint de acord cu solutia propusa de el referitoare la crearea unor compartimente diferite unde sa fie stocate documentele ce urmeaza sa fie anonimizate sau cele ce urmeaza sa ramina in companie. At aduce un grad de complexitate in ceea ce un utilizator are de rezolvat cu ajutorul calculatorului. E ca si cum l-ai obliga sa treaca de la o parole de 6 caractere la una de 12 cu un grad de complexitate ridicat. :-))

Voi ce parere aveti?

GIFAR cel mai bun vector de atac al anului 2008

Un juriu format din Rich Mogull, Chris Hoff, H D Moore si Jeff Forristal , dupa cum ne informeaza blogul lui Jeremiah Grossman, a desemnat GIFAR cea mai  buna metoda de exploatare a anului 2008 . Prezentata prima data in august 2008 la Blackhat de catre  Nathan McFeters, John Heasman, Rob Carter noul concept propune inserarea unui cod java intr-o imagine GIF (GIF+JAR)=GIFAR. Noua „imagine” va reusi sa treaca peste restrictiile legate de „same origin policy” care restrictioneaza modalitatea in care limbajele de programare care ruleaza in browser acceseaze alte resurse sau metode decit cele din domeniul de unde provin. Ce inseamna asta: un script de pe site-ul Evil.com nu poate accesa cookie-ul din domenul mybank.com.

Dar acum, datorita faptului ca Java nu tine cont de aceasta restrictie exista posibilitatea ca daca concomitent navigam pe site-ul evil.com acesta sa poata accesa resursele site-ului mybank.com.  Scripturi java pot fi inserate si in documente Word2007 sau alte resurse cum ar fii video-uri. Aplicatie imediata? Facebook (care intre timp a fost patch-uit) sau alte site-uri colaborative.  Odata logat pe Facebook si accesind alta pagina, contul tau (cookie-ul) tau este furat. Intreaga prezentare poate fi citita aici si un video despre cum se face aici.

Protectie? Patch your java.

Have fun.