You are currently browsing the monthly archive for Aprilie 2009.

Cu toate ca a fost prezentat deja la Blackhat DC in februarie anul asta, nu am auzit pina acum de tool-ul „SSLStrip” scris si prezentat de Moxie Marlinspike. Despre ce este vorba? Conceptul este simplu si genial in acelasi timp. Modul in care oamenii ajung sa acceseze linkurile de HTTPS este de obicei prin click-ul unor butone/linkuri din pagini normale HTTP, care apoi trimite informatia prin HTTPS serverului. Un exemplu este pagina http://www.raiffeisen.ro unde in pagina HTTP este introdusa username-ul si parola care sint apoi postate prin HTTPS catre https://www.raiffeisen.ro/ . A doua modalitate este scrierea numelui de domeniu (ex: paypal.com) in bara de URL a browserului. Acesta trimite o cerere prin HTTP serverului care la rindul lui genereaza un raspuns din parte serverului de genul 302. Redirectare catre pagina HTTPS.

Ce face SSLStrip. Se interpune intre user si server si in momentul in care userul incearca sa acceseze pagina HTTPS, el va face cererea in numele clientui catre server pe HTTPS, primeste raspunsul si il livreaza pe HTTP userului. Pentu a reusi sa pacaleasca userului soft-ul se foloseste si de un trick ingenios inlocuind „Favorit Icon” cu iconita de lacatel, dind impresia de conexiune securizata. Interesante sint si rezultatele pe care le-a obtinut in urma rularii soft-ului in unul din nodurile de iesire a retelei TOR. Numarul de parole, sau carduri de credit este destul de mare. Ma astept deci ca numarul de astfel de atacuri folosind reteaua TOR sau retele Wireless sa creasca.

Ce poate ajuta impotriva unui astfel de atac ? Phising  filter-ul de la IE  activat sau in Firefox 3 (about:config) browser.identity.ssl_domain_display este setat 1 ?Da ,atit timp cit userul chiar va face click pe iconita pentru a verifica ca acela nu este un Fake „Favotite Icon” ci ca este chiar modalitatea browser-ului de a indica ca este un certificat SSL.

Prezentarea si tool-ul pot fi gasite aici.

Have Fun.

Vazuta si primita de la Bogdan. Multumesc.

Ce parere aveti?

Astazi am citit un post interesant unde se punea urmatoarea intrebare:

Which would you rather tell the board or your customers? (1) „We had no security incidents last year, and aren’t sure why,” or (2) „Our customer database was pillaged 9 times, despite a cross-organizational investment in ISO 27001 which was aligned with our balanced scorecard and measured to be in the top quartile of all infosec programs?”

Interesanta intrebare. :-)) Miine si articolul ….de unde provine.
Have fun.

Ieri a fost conferinta de securitate realizata de Bussines Standard unde a venit si domnul Varujan Pambuccian(tot respectul pentru dumnealui). Dansul a spus in alocutiunea sa ca noi ar trebui sa-l respectam pe hackerul Vladut, pentru inventivitatea si desteptaciunea sa. La intrebarea mea de ce ar trebui respect,  mi-a raspuns ca este normal sa-ti respecti adversarii. Eu nu-l vad pe Vladut ca pe un adversa si inteleg ca trebuie sa respectam un smecher care s-a folosit de nestiinta si naivitatea unor oameni pentru a accesa niste conturi de e-mail.

Eu nu vreau sa respect genialitatea unui infractor. Eu vreau sa respect genialitatea oameniilor care scriu cod pentru produse de antivirus, sisteme de operare sau care creeaza produse soft de calitate. Eu ii respect pe oamenii care l-au prins.  Eu aleg sa il respect pe Marian Selea.

„Cisco IOS Software operates on millions of systems from small home-office routers to the world’s largest service provider networks. But its inherent accessibility is perhaps described best by Marian Selea, a blind Cisco support engineer who provides Cisco IOS customer support daily.”

Acestea sint valorile pe care le respect.

A-l respecta pe Vladut este ca si cum noi ar trebui sa respectam pe cel care in loc sa ne atraga atentia ca portofelul ne cade din buzunar, ni-l fura si apoi ride de noi ca am fost atit de fraierieri.

Pentru a pregati conferinta am inceput sa ma uit putin la Youtube.  Modulul de resetare a parolei si cel de schimbare a ei trimit username-ul si parola in necriptat. How lame for Youtube.  Have fun.

Parola Necriptata Youtube.

Marti 07.04.2009 Bussines Standars organizeaza o conferinta de securitate despre Securitate Informatica in era web 2.0. Datorita faptului ca o sa am o prezentare acolo despre 10 aspecte importante ale securitatii in spatiul web si despre OWASP, pot sa ofer o invitatie primului doritor care imi va posta un comentariu pentru postul acesta.

Pentru cei care nu sint interesati de conferinta poate sinteti interesati sa va petreceti timpul studiind ceva command line kung-fu pe acest blog. Ideea este foarte misto si va cred ca o sa placa sa urmariti posturile de acolo.

Have fun anyway. 🙂

Cum functioneaza? Se stie ca troianul are ca simtom blocarea unor site-uri de unde utilizatorul poate face download la update-urile de semnaturi pentru antivirusii care il recunosc. Pa aceste restrictii la site-urile respective se afla si urmatorul test. Deci fara teama apasati aici si spuneti tare cite imagini vedeti. Nu are nimic de-a face cu 1 aprilie. :-))

Have fun.

Aprilie 2009
L M M M V S D
« Mar   Mai »
 12345
6789101112
13141516171819
20212223242526
27282930