Navigind pe Picasa , citeodata un simplu back in browser-ul IE8  duce la …..

..in domeniul de securitate IT pare sa fie Certified Ethical Hacker. Intr-un comunicat de presa Departamentul de Aparare (DoD) al SUA a anuntat aprobarea oficiala a programului de certificare CEH ca baza de pornire in pregatirea personalui apartinind Departementului de Aparare.  Deci se pare ca cei de la CISSP trebuie sa vina cu ceva pentru a putea mentine interesul oamenilor pentru aceasta certificare. Cu siguranta contractele in domeniul securitatii vor incepe sa ceara certificarile cerute de cei de la DoD. Azi in America, miine in toata lumea. Are cineva ambele certificari si poate face o comparatie intre ele?

Cercetatorii de la Universitatea Cambridge, condusi de Ross Anderson,  au descoperit o noua problema de design a sistemului de autorizare a tranzactiilor cu ajutorul cip-ului si  a pin-urilor. Comunicatia dintre un card cu cip si un terminal se face printr-un protocol neautentificat, care informeaza terminalul ca autorizarea se poate face cu cip si pin, cu ajutorul semnaturii sau niciuna. Dar daca autorizarea s-ar face cu cip si semnatura? Cazul in care cardul ar transmite terminalului ca autorizarea se face pe baza de cip si semnatura, atunci banca crede ca autorizarea se face cu pin, si cip-ul ca se face prin intermediul semnaturii. Este inspaimantator, pentru ca in acest caz hotii de carduri nu au nevoie sa mai cunoasca pin-ul pentru a autoriza tranzactii. El trebuie doar sa pacaleasca terminalu si atunci poate introduce orice pin.

Aici un reportaj BBC despre cit e de usor, si articolul original poate fi citit  aici cit si comentariile despre lui Bruce Schneier.

Aveti grija cu cardurile pierdute.

Verified by Visa si Mastercard SecureCode au fost obiectul analizei unui grup de cercetatori de la Universitatea Cambridge. Postul initial semnat de unul din autori Ross Anderson si mai multe reflectii asupra studiului se pot gasi aici. Aceasta analiza a vulnerabilitatilor de design, a acestor sisteme de autentificare, a atras multe reactii si discutii printre care cea mai notabila este  acea a celor de la RSA, urmata apoi de raspunsul autorilor. Intreaga dezbatere este o frumoasa lectie de concepte de securitate. Merita citit pe  blogului lui Bogdan Manolea, postul si comentariile referitoare la acest studiu recent.

Have fun.

Btw. Ati trimis flori la inmormantarea lui IE6? Microsoft-ul a facut-o. Citeva poze de la inmormintare se gasesc aici. lol

Have fun

HTTP-ul ca protocol nu a fost niciodata gandit sa suporte conceptul de sesiuni. De aceea au fost introduse elemente suplimentare care sa contina informatia de stare, cum ar fii cookie-urile sau ID-urile de sesiune.

Acum se profileaza o noua ideea ca in momentul actual informatiile care identifica browser-ul vostru, pot oferi atitea elemente de unicitate incit sa  poata fi folosit in viitor ca element de identificare al sesiunilor. Care este avantajul? Informatiile stau pe server si nu sint direct modificabile de utilizator.

Electronic Frontier Foundation (EFF) a creeat un nou tool online denumit Panopticlick care calculeaza unicitatea browser-ului vostru bazat pe informatii cum ar fi User Agent-ul, header-ele HTTP acceptate, plug-in-urile din browser, time zone, dimensiunea screen-ului si storage settings-uri.

Nu stiu daca aceste informatii vor fi de ajuns pentru a putea inlocui mecanismele actuale de mentinere a sesiunii, dar sint convins ca sint o baza reala pentru procesele de computer forensic.

Saptamana aceasta, citind blogul lui Daniel Missler, am dat peste un post foarte interesant, care propune o noua arhitectura de folosirea a browserelor in organizatii. Ceea ce propune el si Steve Crapo este o infrastructura de masini virtuale, localizata in DMZ, care sa fie folosita pentru browsing. Userilor nu li se va mai permite accesul din interiorul organizatiei direct la Internet, ci numai prin conectare la niste masini/desktop-uri virtuale, localizata in DMZ, care vor fi usor de mentinut, patch-uit si restabilit in cazulin care una din masini este compromisa. Solutia pare interesanta si datorita protectiei oferita la posibilul upload in internet a informatiilor existente in organizatie.

Ce prere aveti? O astfel de solutie ar avea succes in organizatia voastra? Ar fi acceptata de utilizatori?

Intreg articolul aici.

Have fun

Firma Vupen Security pune la dispozitie celor care dispun de resurse financiare, un exploit bazat pe vulnerablitatea browser-ului Internet Explorer, facut public si sub numele de „Aurora”, care reuseste sa-l faca functional chiar si pentru browserele IE 8 sau 7 care au mecanismul de DEP (Data Execution Prevention) activat . Deci, folositi temporar sau definitiv Firefox.

Foarte multe persoane, pornind de la manageri pina la arhitecti de sisteme si dezvoltatori IT, cind vine vorba despre probleme de securitate si vectori de atac, ridica din umeri. Multi au auzit de ele, dar nu au o intelegere a fenomenului si a ceea ce inseamna . Articolele disponibile online sint ori prea tehnice, ori prea generale. Microsoft s-a hotarat sa dezvolte in cadrul SDL-ului, asa numitele QSR-uri, Quick Security Reference, care prezinta diferite atacuri din diferite puncte de vedere: al managerilor, al arhitectilor, al dezvoltatorilor de aplicatii si a tester-ilor/oameni de QA. Pentru fiecare este prezentata informatia in asa fel incat sa poata intelege si sa ia decizii avind informatiile sintetizate conform nevoilor personale. Primele doua documente descriu atacul „Cross Site Scripting” si „SQL Code Injection”. Merita citite!

Have Fun.

Ross Cooper de la Verizon Bussines Security a scris citeva predictii pentru 2010, pe care as vrea sa le comentez putin.

1. Services will protect themselves: Facebook, Google, Twitter, TinyURL and the like will gain more control over criminal content… Intr-un an in  care „iesirea din criza” este cuvantul la ordine, nu vad companiile investind semnificativ in domeniul de securitate. Doar sa ne amintim ca Microsoft a ratat o versiune de Windows cu Vista,  facind un produs sigur dar greu acceptat de utilizatori. Isi permit aceste companii investitii in securitate sau se vor concentra pe consolidarea cistigurilor? Raspunsul cred ca il stim cu totii.

2. Malware will not evolve. No significant changes in malware will occur in 2010. Consider ca 2010 va fi anul in care criptografia isi va face prezenta simtita foarte pregnant in domeniul de concepere  si distributie a malware-ulurilor. Anul de raspandire a virusilor criptografici.

3. Consumers are getting smarter: The number of older “newbies” being introduced to the Internet’s crime is going to be significantly less in 2010 than in the past.  Tehnologia este din ce in ce mai prezenta in viata noastra. Aflam despre patch-uri pentru Windows de la buletinele de stiri. Deci folosirea tehnologiei va fi mult mediatizata si atunci ca rezultat, nivelul cunostintelor de securitate IT va creste.

4. Windows 7 (not necessarily IE8) will prove to be more robust than expected, but ISV’s will have the light shone on them by MS as the attacks move more towards the applications (and, possibly, away from browser exploits.) ATL issues in ISV products will have a spotlight in 2010 (those that don’t use IE to do their interactions.). Observatiile de la primul punct cred ca sunt valabile si aici. Windows 7 va fi o solutie robusta, dar ISV (Independet Software Vendor) vor oferi intotdeauna o portita. Long life Adobe.

5. Serious finger-pointing and frustration over basic essential protocols (SMTP, DNS) will occur amongst “governments”, and non-technical organizations as spam and phishing prove even more difficult to thwart. Serious finger-pointing poate, dar nu vad adoptarea unor masuri coerente sau finantarea unor solutii de genul DNSSEC.

6. Breaches will increase, albeit possibly smaller in average number of records compromised. There will be more money transfers made via accounting staff compromised credentials in 2010 than past years. Companiile de procesare de carduri/bancile vor incerca sa evite orice fel de probleme de securitate si de expunere a datelor. Visa si Mastercard vor taxa scump pe cei care nu vor lua masuri de securizare.

7. Nothing of note happens to non-PCs (e.g. phones, PDAs, Macs, etc). Cred ca vom vedea aici primele atacuri in masa. PDA-urile sunt noile tinte, sunt device-urile care sint target-ate de noile platforme de networking.

8. CaaS works, not surprisingly for most of us. CaaS (Communications-as-a-Service) va deveni noua tinta. Aici se va concentra informatia si granitele vor fi din ce in ce mai greu de tras si prin urmare de aparat.

9. Virtualization does not come under real-world attack as a target, but the media will sensationalize at least one story where VM’s were involved (but the VM software had nothing to do with the issue.) Joanna will continue to ride her horse. Aici sunt de acord.

10. China will continue to be blamed for everything. Evident ca asa va fi, dar as reformula China and the Romanian Hacker will continue to be blamed for everything.

Have Fun in 2010.

Se pare ca acest exploit „Aurora”, care nu este cu nimic mai spectaculos decit alte exploit-uri,  este atit de mediatizat incit ajunge sa aiba parte de exagerarile caracteristice presei de cancan.  De exemplu BankNews anunta pompos ca „Germania recomanda utilizatorilor sa nu mai foloseasca browser-ul Internet Explorer al Microsoft” cind de fapt comunicatul oficial spune „BSI recomanda folosirea temporara a unui browser alternativ”.  Isterie legata de tehnologia IT. Interesant.

Don’t panic and have fun.

Pe blogul Microsoft a aparut o analiza interesanta despre sistemele care sint afectate de noul exploit „Aurora” si un link catre solutia propusa de ei, care consta in activarea optiunii de DEP pentru Internet Explorer. Aceasta se face prin instalarea urmatorului patch.  Cealalta solutie, de dezactivare a scripturilor java, este nereala in Internetul actual.

Have fun.

Din testele mele, exploitul este stabil pentru IE6, dar duce doar la distrugerea instantei de IE7 sau 8.

Codul malware-ului, care a fost folosit luna trecuta, pentru atacul impotriva a 33 de firme, printre care Google si Adobe a fost trimis spre analiza pe site-ul Wepawet. Acest exploit, foarte stabil,  are ca target IE6,7 si 8 rulind pe diferite platforme.  Problema este ca Microsoft ,cu toate ca a emis un Microsoft Security Advisory (979352), nu a facut public un patch in regim de urgenta. Exploit-ul este valabil chiar in platforma Metasploit.  (use windows/browser/it_aurora)

Informatie primita via NetworkWorld.

Deci:

Take care and have fun.

Google pune la dispozitia webmaster-ilor un tool pentru a putea verifica daca motorul de indexare a identificat cod malware in domeniul respectiv.  Cred ca acest tool poate fi folosit si de utilizatori sau de cei care incearca sa faca o analiza „post-mortem” a unui incident de securitate.

Poate fi accesat in modul urmator:
http://www.google.com/safebrowsing/diagnostic?site=DomeniulMeu.ro si face parte din suita Google Webmaster Tools.

Distributia de pentesting Backtrack versiunea 4 finala a fost facut public ieri . Mai multe informatii aici.

Pentru cine nu are rabdare Download direct aici .

Have fun.

Din ce in ce mai multi administratori si persoanele care sint implicate in Securitatea IT ridica problema centralizarii log-urilor. Inainte de a lua o astfel de decizie este bine sa se fie clarificate citeva aspecte privitoare la o astfel de solutie.

De ce? – in primul rind.

– creste vizibilitatea asupra problemelor existente in retea

– ajuta la scaderea timpului de remediere a problemelor printr-o identificare si corelare mai usoara

– ajuta la identificarea anomaliilor in retea si depistarea posibilelor incercari de atac asupra infrastructurii IT

– ofera statut de “conform cu standardul” pentru organizatiile ce incearca sa obtina certificari de tip PCI

– oferirea de rapoarte de catre departametul IT pentru  management si alte departamente

– pentru procesul de IT forensics.

Dar ce trebuie tinut minte inainte de a putea sa te gindesti la achizitionarea si implementarea unei astfel de solutii.  Daca pretul stocarii informatiei scade continuu in asa fel incit  solutiile hardware sa devina din ce in ce mai accesibile,  noi probleme trebuie rezolvate.

Normalizarea. Pentru a putea corela evenimentele si pentru o mai buna ierarhizare, logurile trebuiesc normalizate. Ce inseamna termenul de normalizare? Convertirea logurilor din diferite formate intr-un format care sa permita interpretarea, corelarea si raportarea. De exemplu logurile de la Windows Server 2008 sint diferite ca format de cele de la 2003. Blocarea unui pachet este logata diferit de IPTables in Syslog sau de Cisco ASE.

Solutia s-ar putea sa fie adoptarea standardului  Mitree CEE (Mitre Common Event Expression), adoptat de majoritatea ofertantilor de soft incepind cu Oracle si Microsoft si terminind cu Syslog.

Raportarea. Pentru a procesa un volum mare de informatii si a detecta ceea ce este important, este nevoie ca sistemul sa poata suporta crearea automata de rapoarte, accesarea lor pe baza de autorizare si transmiterea lor  pe cit mai multe canale (SMS, email, Web).

Design. Sistemele de logging inca tind sa foloseasca UDP-ul ca protocol de transmisie. In cazul unei arhitecturi distribuite trebuie luata in considerare o arhitectura bazata pe protocolul TCP. De unde se colecteaza logurile? Acum se colecteaza in principal de la sisteme de operare si dispozitive de retea. Dar in acest moment conectarea bazelor de date si aplicatiilor devine necesara pentru a putea avea si un mecanism robust de DLP (Data Loss Prevention)

Implicare. Managementul trebuie sa acorde suport pentru construirea unei astfel de solutii, pentru alocare resurselor care sa monitorizeze si sa interpreteze informatiile oferite. Totodata Log Management-ul trebuie sa devina parte din procesele curente de IT si de “Incident Response”.

Exista solutii comerciale: Arcview, Intellitactics, LogLogic, Splunk sau AllienVault. Recomandarea mea ar fi sa incepeti cu o solutie  demo, de la Splunk sau AllienVault, invatati ce poate oferi un astfel de sistem, definiti-va cerintele si apoi daca mai ramin si bani, indreptati-va catre o solutie comerciala.

Have Fun,

Mie mi se pare ca romanii au dezvoltat abilitati speciale in a folosi si exploata site-uri de web folosind SQL Code Injection. Pentru cei care doresc sa se perfectioneze recomand un post de pe blog-ul OWASP, care sumarieaza multe din resursele pentru a intelege acest tip de atac si totodata pentru a pune in practica cunostintele.

Eu recomand acest extra si acest document.

Have fun.

During a recent password audit in a company – it was found that a person was using the following password:
MickieMinniePlutoHueyLouieDeweyDonaldGoofySacramento

When asked why such a long password – she said she was told it had to be 8 characters and include at least one capital…

Voi ce parere aveti?

Mi se intampla foarte des sa aud oameni din domeniul IT Security facand foarte des confuzia intre vulnerability (vulnerabilitate), threat (amenintare), exploit si risk (risc). Ce inseamna de fapt?

Amenintarea (threat) reprezinta o cauza potentiala pentru un incident nedorit. Acesta poate fi o persoana sau entitatea ce ar putea produce pagube unei organizatii. In aceasta categorie intra (un hacker, compania concurenta, un worm care foloseste un exploit, un angajat nemultumit sau un botnet care incearca sa iti compromita infrastructura de IT.

Vulnerabilitatea este un punct slab al infrastructura de IT. Poate fi o configuratie prost facuta, un calculator care nu a fost patch-uit sau chiar o parola care poate fi usor ghicita.

Risc-ul reprezinta potentialul ca o anumita amenintare (THREAT) sa poata folosi o vulnerabilitate impotriva infrastructurii IT a unei organizatii. De obicei riscul se poate masura printr-o combinatie a impactului si a probabilitatii de aparitie. Deci putem spune ca daca avem o anumita amenintare dar nici o vulnerabilitate atunci nu avem nici un risc si vice-versa daca avem vulnerabilitatea dar nimeni nu este interesata de informatii atunci iarasi nu apare nici un risc.

Un exploit este obiectul sau actiunea intreprinsa de un infractor, care foloseste o vulnerabilitate pentru a crea o pierdere. Exploit-ul poate fi un soft sau poate fi chiar o actiune luata de un infractor(ex social engineering-ul) pentru a putea obtine informatii relevante. Sper sa fi putut adus ceva lumina in definirea acestor termeni.

Un an nou interesant la toata lumea.

Update:

Cautind in internet dupa o definitie cit mai exacta pentru aceste aspecte, am gasit urmatoarele site-uri care ar putea sa fie utile:

CWE (Common Weakness Enumeration ) Glossary of Terms.

ISO 27001 Glosary of Terms.

PalmSecure este o tehnologie de recunoastere biometrica a topologiei venelor din mina. Este o tehnologie oferita de Fujitsu si pare a fi metoda de identificare biometrica ce va inlocui metoda de recunoasterea a amprentelor de la deget. Tehnologia consta in implementare unei camere de unde infrarosii intr-un mouse. In momentul in care cineva pune mina pe mouse, este emis un fascicul de unde infrarosii care citesc topologia venelor din mina oferind destule puncte de unicitate pentru a fi luata in considerare in folosirea topologiei ca baza de autentificare. Automat user-ul este autentificat de sistemul de operare sau de aplicatie.

Tehnologia nu presupune atingerea senzorului, ceea ce elimina posibilele amprente lasate pe dispositiv.

De mentionat ca pe parcursul vietii, incepind de la virsta de 12 ani,  topologia venelor de la o mina nu se schimba si ca topologia venelor de la mina stinga este diferita de cea de la mina dreapta.

Pretul unui dispozitiv de citire este de aproximativ 400 USD la aceasta ora,  mult mai ieftin decit dispozitivele de recunoastere a retinei, oferind aceeasi acuratete.

Posibile aplicatii: ATM-uri, oferind in acest fel autentificare bazata pe 2 factori . IBM si Citrix au inclus deja tehnologia in solutiile proprii de SSO (Single Sing On). Pagina de informatii asupra tehnologiei aici.

Ieri a fost facuta publica versiunea 3.3 a platformei de pentesting  Metasploit.Ce e nou? In primul rind:

Metasploit now has 445 exploit modules and 216 auxiliary modules (from 320 and 99 respectively in v3.2)

support pentru Windows 7 ….

Deci..

Happy Hunting..:))

Tot release note-ul este aici.

Aprilie 2017
L M M M V S D
« Mar    
 12
3456789
10111213141516
17181920212223
24252627282930