Alice si Bob

25/11/2012

So You Want to Be a Cyber Spook

https://www.hacktivity.com/ Most organizations do not monitor their online postings with Cyber Operational Security in mind. Online postings across multiple ...

04/10/2012

Să mergem la Hacktivity!!! Adrian Furtuna de la București va vorbi despre Instrumente Digipass pentru distracție și profit.
http://packages.hacktivity.com/

SecureNinjaTV will be covering Hacktivity 2012 in Budapest, Hungary! Hacktivity is the largest IT Security conference in Central and Eastern Europe with more...

07/06/2012

http://www.cbsnews.com/8301-501465_162-57448443-501465/linkedin-confirms-password-leak-encourages-users-to-update-passwords/

06/03/2012

CIO breakfast

Experţilor calificaţi în securitate IT le este suficientă o conversaţie de mai puţin de 30 de minute pentru a explora prin întrebări bine gândite potenţialele ameninţări de securitate IT care afectează o companie. Combridge şi securityangel.com au organizat un eveniment, CIO breakfast, în Bucureşti (9 februarie 2012) despre aceste ameninţări şi soluţiile aferente. A fost primul eveniment comun al celor două companii partenere.

http://www.combridge.ro/ro/stiri/100-cio-breakfast.html

Combridge - connecting regions

06/03/2012

Experienţă structurală

În ultimele două săptămâni am avut ocazia de a trăi două experienţe structural. De fiecare dată un dezvoltator, integrator, furnizor de soluţii sau numeşte-l cm doreşti, a afirmat ceva de genul: “Deci, acum, în această situaţie vom dezvolta o structură, care, ulterior, va putea fi pur şi simplu convertit într-o altă strucutră, într-adevăr nu e mare lucru”, sau “într-adevăr, în sistem poate fi dezvoltată o structură oarecare.”
În astfel de cazuri povestesc de fiecare dată că într-un anume moment al vieţii mele mi-am câştigat şi eu existenţa ca dezvoltator, şi ştiu exact care este diferenţa între SE POATE FACE şi ESTE FĂCUT. Mai mult de atât, de fapt, putem privi programarea ca şi crearea de structuri, este dată unealta de dezvoltare, limbajul de programare, iar programatorul nu face altceva decât foloseşte toate acestea pentru a crea structuri (sistem).
Deci, în ceea ce mă priveşte, folosirea cuvântului structură în ceea ce priveşte o anumită activitate de programare, poate însemna două lucruri. Sau programatorul nu înţelege deloc necesităţile de business, deoarece businessul nu se gândeşte la necesităţile proprii ca la nişte structuri. Să ne gândim puţin: shoppin cart = structura antetului + a componentelor?! Asta niciodată nu înseamnă ceva bun. Sau programatorul nu are nici o idée despre ce are de făcut, şi în acest caz formulează un adevăr universal: va construe structuri.
Eu am aceeaşi reacţie în ambele cazuri. Îi atrag atenţia, să vorbească deschis, să lase textele. În aceste cazuri, de fiecare dată îmi amintesc că la locul de muncă anterior, cu mai mult de 15 ani în urmă (câţi ani au trecut de atunci...) analizam medii de dezvoltare 4GL, deoarece atunci acestea erau la modă, era un mediu de dezvoltare uşor de utilizat şi eficient. Am analizat produsele a mai multor companii, şi fiecare prezentare din acele vremuri transmitea mesajul că sistemul este universal, că poate fi folosit la rezolvarea multor probleme, dar nimeni nu afirma niciodată câtă muncă era necesară pentru efectuarea acestora.
Este interesant, că de multe ori nici programatorii nu înţeleg (sau nu consideră important) diferenţa. Deşi, ei chiar ar trebui să ştie câtă muncă este necesară pentru efectuarea unei activităţi aparent simple (să nu uităm, că şi marea presupunere a lui Fermat este uşor de înţeles, şi totuşi omenirea a petrecut mult timp cu demonstraţia acesteia, să nu mai menţionăm, că chiar şi acum, foarte puţini oameni o înţeleg).
Eu propun, ca după descrierea fiecărui feature, prezentarea unui produs, afirmarea unei promisiuni să puneţi şi întrebarea “câtă muncă efectivă este necesară?”. Pe mine m-a ajutat de cele mai multe ori să ajung mai aproape de esenţa lucrurilor.
Experienţa structurală pentru mine este asemănătoare cu o întoarcere în timp în anii 90. Ar trebui să însemne déjà altceva.
Aţi avut déjà experienţe structurale?

06/03/2012

Lumea dinaintea internetului

Îmi aduc aminte, că am decis să învăţ să programez în C la vârsta de 16 ani, deoarece la o întrunire familială m-am întâlnit cu un student, care făcuse programare înainte şi mi-a povestit ce tare e să faci asta (nu a avut dreptate). Deoarece nu trăiam într-un mediu de programatori, am făcut singurul lucru care părea logic la momentul respectiv, m-am dus la biblioteca judeţeană şi am căutat carte despre programarea în C.
Toate cărţile lor referitoare la IT erau puse pe o poliţă construită în jurul unui stâlp de susţinere. Erau vreo 20. Şi spre surprinderea şi bucuria mea, erau acolo clasicii lui Kerninghan şi Richie. Bucuria mea a ţinut pănâ când am citit câteva rânduri din cărţi, deoarece mi-am dat seama că este prea mult pentru mine (şi nu aveam nici translator pentru aşa ceva), cauză din care am rămas la programarea C+4 basic şi assembly.
Dar, mi-am amintit de toate acestea, deoarece una din aminitirile semnificative ale copilăriei mele a fost aceea că se putea ajunge la informaţii foarte greu. Bilbioteci, cunoştinţe, prieteni, rude, şcoală – au fost singurele surse. Tocmai de aceea, astăzi, când am în mână telefonul mobil, şi cu un singur click pot accesa orice conţinut, mă fascinează cât de mult s-a schimbat lumea. Tot ceea ce fiind copil, cu câţiva ani în urmă, era neimaginabil de departe, astăzi, mot-a-mot este în buzunarul nostru.
E fascinant.
Lumea s-a schimbat enorm, dar observ, că noi oamenii ne-am schimbat într-o măsură mult mai mică. Sau, poate această afirmaţie nici nu este adevărată, deoarece copii care au crescut, cresc cu Internetul, vor fi diferiţi. Dar noi, cei care am crescut înaintea Internetului, nu ne-am dat seama că noua lume necesită o abordare diferită a informaţiei.
Dacă în trecut întrebarea era de fapt dacă poţi ajunge la o anumită informaţie, asta astăzi a devenit o certitudine. Orice cantitate de informaţie în orice domeniu este la dispoziţia noastră. În trecut întrebarea era ce anume poţi citi, astăzi întrebarea este dacă vrei sau nu să citeşti. În trecut puteai să ai o singură sursă de informaţie, astăzi google îţi oferă milioane de surse.
Omul dinaintea internetului adună pe DVD cărţile descărcate de pe torenţi, copiază tone de filme, mp3-uri. Aşa face, ca bunicii noştri, gândind că nu se aruncă nimic, putând fi folosit cândva în viitor la ceva. Aşa cm noi la rândul nostru zâmbeam când auzeam astfel de explicaţii, deoarece în lumea produselor de retail şi a produselor de unică folosinţă un cui îndreptat sau o şosetă cusută pare non-sens, probabil la fel vor zâmbii (sau zâmbesc déjà) oamenii care au crescut cu internet.
Dacă în trecut obsesiile bătrânilor noştri contribuiau doar la creşterea cantităţii nimicurilor depozitate în poduri, obsesiile noastre costă bani, ne costă pe noi, vă costă pe voi, îi costă pe toţi. Orice regulament inutil, orice pagină inutilă este scrisă de cineva, este controlat de cineva, plătit de cineva, necitit de altcineva – ne consumă timpul.

Oare de ce trebuie să adunăm datele şi informaţiile în documente fără sfârşit şi fără vre-un scop concret? Şi să le atichetăm? Doar pentru că printarea este ieftină? Pentru că copy-paste e gratuit?
Credeţi-mă, dacă am vrea, am putea scrie oricât în orice formă de reglementare. Dar nu vrem. De ce să o facem? Cu ce scop? Producerea de hârtie nu poate fi un scop.
Eu sunt satisfăcut, dacă reuşesc să predau informaţia folosind cât mai puţine caractere. Pentru mine regulamentele şi specificaţiile lungi nu sunt un merit, cu o greşeală. Orice poveste inutilă, orice formalitate, orice abstracţie existentă pentru ea însăşi, orice repetiţie reprezintă o insultă.
Reprezintă abuz asupra timpului meu, deoarece omului care a crescut déjà cu internetul, valoarea nu o reprezintă informaţia, ci timpul!

06/03/2012

Windows into the wild

Colegul nostru Laci, campionul nostru de hacking, ne-a dezvăluit noua lui filosofie suprinzătoare, adică faptul că el acasă nu foloseşte pe calculatorul lui un antivirus din mai multe cauze, dar una din acestea este faptul că nu are de ce să îi fie frică. La această fază, evident, ne-am ridicat capul mai mulţi colegi deodată, şi am iniţiat o discuţie controversată care s-a finalizat cu un pariu – hai să testăm .
Deoarece nu am avut la îndemână o licenţă de Windows7, am limitat testarea la produse anterioare acestuia, în primul rând pe XP. Din păcate nici pe acesta nu-l aveam, dar dorinţa noastră arzătoare nu ne-a lăsat în pace, aşa că am fost nevoiţi să începem cu un server Windows 2003. Mai târziu a fost necesară şi găsirea unui XP....
Condiţiile de testare formulate de Laci:
• instalarea unui Windows nou-nouţ
• nivelul cel mai nou de patch
• NO FLASH!
• NO JAVA!
• DEP on!
• nu rulăm nici o aplicaţie
• nu rulăm ActiveX
• navigăm cu un utilizator simplu
Condiţiile noastre de testare:
• vizualizarea diferitelor site-uri warez
• vizualizarea diferitelor site-uri p***o
• vizualizarea unor site-uri malware blacklisted
• activarea ferestrelor popup
• completarea tutor “căsuţelor cu un buton”
• click pe orice foto, video şi orice obiect ce mişcă sau nu, click, click şi click
• pentru simplicitate am utilizat Internet Explorer-ul 8, inclus
• navigăm ca şi administrator local
Metodologie:
• Metodologia a fost simplă. Am luat motoarele de căutare Google, Yahoo şi Bing şi am introdus tot felul de criterii simple de căutare ca de ex: „free warez”, „free porn”, „free download”, „infected site list”, şi am ales aleatoriu pagini dintre acestea, pe care am dat click inconştienţi pe tot ce mişca. Mai ales, cu o deosebită cruzime, pe site-uri ruseşti, chineze, coreene, pe care, habar nu aveam ce vedem de fapt.
• http://www.malwaredomains.com/wordpress/?p=1364kk

Metodologia de control:
Controlul l-am efectuat cu 3 programe diferite:
• SpyBot Search and Destroy free
• Comodo Internet Security free
• NOD32 Internet Security trial
Am lăsat către exterior tot traficul intern printr-un firewall care funcţiona pe bază de IP, pe Ubuntu, ca în cazul în care se întâmplă ceva, să nu lăsăm, totuşi, acest trafic pe reţeaua internă. Pe Ubuntu am verificat traficul de date către exterior în afara porturilor 80,443,53 să vedem dacă se întâmplă ceva.
Deci, asta e tema întrebarea e, ce credeţi, ce am observat?
Aici puteţi vota:
http://host1.easypolls.net/poll.html?p=31808

Rezultate luni sau marţi

194 new domains to add to your blacklist or sinkhole. Sources include honeywhales.com, safebrowsing.clients.google.com, secuboxlabs.fr, sucuri.net:

18/01/2012

http://www.businesscover.ro/17-01-2012-securitatea-datelor-%E2%80%9Eplimbate-prin-stick-uri-usb-o-problema-tot-mai-mare-pentru-companii/?utm_source=Newsletter+Business+Cover&utm_campaign=b12e3f29bc-RSS_EMAIL_CAMPAIGN&utm_medium=email

24/10/2011

Criptarea este altceva

Acum se rulează pe unul din canalele de televiziune al şaptelea sezon al filmului 24. În ultimele episoade au fost chiar două perle.
Prima dată a trebuit spart un fişier encriptat cu blowfish. A venit personajul şi a afirmat că poate fi spart doar dacă este cunoscut backdoor-ul. Desigur el îl cunoştea. Săracul Bruce Schneier dacă ştia că există backdoor în propria encriptare! Uite aici analiză criptografică diferenţiată, şi alte lucruri similare.
Iar ieri a trebuit spart un card de acces protejat cu A-E-S. Aici au introdus ceva jucărie după care au început să spargă sistemul din exterior. Apoi a urmat scena bine cunoscută – filarea numerelor. Apoi a apărut numărul câştigător. Eu nu înţeleg cine şi de ce crede că encriptarea cheii se face pe baza caracterelor rând pe rând. Adică au fost din astea, ca de exemplu Cesar Chiper, dar de atunci au trecut vreo două mii de ani. În cazul încercărilor trail and error într-o zonă de securitate maximă cu siguranţă ar porni alarmele sau pur şi simplu s-ar limita accesul cu card. Ar fi fost mai credibil dacă ar fi intrat prin uşă cu forţa. Desigur asta nu e high-tech.
Nu scriu astea doar ca să vă conving să nu vă însuşiţi cunoştinţele IT din filme, unde se fac tâmpenii. Viaţa reală nu este aşa. După astea să nu încerce nimeni să-şi facă encriptarea proprie. Sigur nu va reuşi (99%). Mai bine utilizaţi lucruri déjà făcute.
Apropo, încă ceva şi Steaua Morții din Războiul Stelelor a fost doar o poveste.
Aţi experimentat vreodată ceva similar?

24/10/2011

Cină din lături

Imaginează-ţi că nu ştii să găseşti. Reuşeşti? Acum, hai să ne închipuim că ai vrea să impresionezi femeia visurilor tale cu o cină pregătită de tine. Ce ai face?
Îţi spun ce aş face eu. Aş lua în considerare două opţiuni: aş căuta o reţetă şi aş practica de atâtea ori înaintea cinei până aş învăţa să gătesc felul respective de mâncare. Ştiu, asta ia destul de mult timp, dar pentru femeia visurilor omul face orice. Dar dacă totuşi nu, atunci aş ruga unul din prietenii mei, care găteşte foarte bine, să mă ajute să gătesc felul respectiv de mâncare. Apoi la cină aş recunoaşte că nu am gătit singur mâncarea. Onestitatea câştigă întotdeauna.
Dar, nu aş lucre atât de mult, mai degrabă aş duce-o undeva, unde nu este necesar nici să faci curăţenie anterior.
Acum imaginează-ţi că tu eşti un manager IT şi eşti forţat să te ocupi de securitate IT, deoarece site-ul companiei a fost spart şi eşti forţat de şefi să faci ceva, dar habar nu ai de domeniul respectiv. Ce ai face?
Îţi spun ce aş face eu. Nu aş ascunde problema adevărată, nu aş face de parcă înţeleg despre ce este vorba şi nu aş invita o grămadă de firme pentru o consultare în prealabil, ca să obţin de la ei informaţia ce anume ar face ei în astfel de cazuri, apoi nu aş face o cerere de oferte de preţ pe baza informaţiilor adunate în timpul consultaţiilor.
Nu aş face asta, deoarece există riscul, că fiecare din ei a înţeles altceva din cele expuse de mine, a înţeles mai degrabă lucruri la care se pricepe el ca şi companie, iar uniunea acestor înţelegeri probabil diferite, de obicei nu se soldează cu un rezultat concludent.
Ştiu, nici tu nu ai face asta, dar ne-am întâlnit déjà cu multe companii care fac asta. Cine îi înţelege?!
Apropo titlu…. Nu uitaţi că lăturile la origini puteau fi multe-multe feluri minunate de mâncare, capodoperi gastronomice. La origin. Fiecare separate. Dar amestecate sunt doar lături.

24/10/2011

Cum să alegi ginecolog?

Am trăit într-o căsnicie fericită mai mult de 10 ani. Fericirea noastră s-a bazat pe faptul că soţia mea a acceptat superioritatea mea, iar eu am acceptat că ea a acceptat. Am fost de acord.
Nu aşa am pornit. La început a trebuit să ne acomodăm unul cu celălalt, am povestit mult, m-a întrebat multe lucruri şi eu i-am dat sfaturi, de fapt asta e şi munca ma. Consilier.
Cred că am câştigat de fapt războiul când în dorinţa de a ne optimiza costurile, am învăţat-o să facă alegerea optimă. A ginecologului.
Ea de felul ei este naivă şi într-un mod total neoptimizat, mergea de ani de zile la acelaşi ginecolog. Se cunoşteau de mulţi ani, se ajutau întotdeauna, ştia ce unde este, iar soţia mea mergea de fiecare dată la el. Avea încredere în ginecolog.
Conform legii şi practicii achiziţiilor publice ştiam că încrederea, ajutarea reciprocă nu duce în fiecare caz la rezultate optime în cazul în care acest lucru nu se întâmplă într-un anumit context. Al reciprocităţii.
Am făcut-o să înţeleagă că optimul poate fi atins doar dacă înainte de fiecare consultaţie va lua decizia pe baza a mai multor oferte cerute în prealabil. Şi va decide lângă cea mai ieftină ofertă.
I-am explicat că definirea exactă a cerinţelor, solicitarea referinţelor corespunzătoare va avea drept rezultat avantajele metodei alese de ea. A încrederii.
Recent au început să apară anumiţi nori peste relaţia noastră, deoarece cred că am o problemă de urologie, şi am nevoie de o consultaţie în acest sens.
Eu am cerut ajutor de la prieteni, să-mi recomande un medic bun, în care pot avea încredere, cu cine au experienţe positive, dar soţia mea este de neclintit. Cere oferte de preţ.
Degeaba i-am spus că banii nu sunt totul, de unde aş putea să ştiu că medicul este bun, cunoştinţele medicale nu pot fi formulate într-o solicitare de câteva propoziţii, fiecare bolnav are personalitatea lui, nu o pot convinge. Am pierdut războiul.

24/10/2011

Ethical Hacking vs. Pe*******on Testing

Sunt interesante aceste concept, le folosim aproape zilnic, dar sunt corecte? De fapt ce este considerat „corect”? Cine spune care din aceste concepte când poate sau nu poate fi folosit? Nu e totuna de fapt? Ooooooooo..., ba da, sau nu.
De o vreme a început şi acasă un fel de evanghelizare în vederea clarificării acestor concepte, unul din promotorii cei mai mari ai acesteia fiind prietenul meu Pánczél Zoli, aşa că am decis că folosind mijloacele modeste personale (şi desigur ale Alice & Bob) îl voi ajuta în postura lui de misionar. De ce? Deoarece cred că înţelegerea corectă a acestor două concepte contribuie semnificativ la înţelegerea corectă a conţinutului auditului de securitate IT. Este deosebit de important ca aceste lucruri să fie înţelese şi de client, deoarece dacă Clientul ştie despre ce este vorba şi îşi poate defini singur ce anume doreşte, care sunt aşteptările sale, atunci este mult mai mare probabilitatea unui proiect de succes, decât în cazul în care pur şi simplu ghicim unii gândurile celuilalt. Deci să vedem ce sunt aceste concepte. În prealabil aş vrea să adaug că aceste definiţii printre altele sunt folosite şi de SANS.
Să începem cu Ethical Hacking-ul (EH). Scopul unui proiect de EH este ca într-un cadru de timp definit auditorul să găsească cele mai multe vulnerabilităţi. Dacă de exemplu vorbim despre o pagină de web, atunci scopul EH-ului este să analizeze “toate” vulnerabilităţile de web, cât de securizată este pagina de noi. Auditorul nu se va opri la prima greşeală, ci va căuta şi altele. Putem spune că asta este o analiză orizontală, rămânând la exemplul paginii de web, se referă doar la nivelele de web, dar la acestea la toată paleta. Adică, de exemplu, nu va fi analizat ca ajungând la server prin acea greşeală de SQL injection este sau nu posibilă obţinerea unui acces de domain admin, deoarece aceasta analiză nu face obiectul contractului.
În schimb, în cazul unui proiect de Pe*******on testing (PT) scopul este ca “hacker”-ul să ajungă cât mai departe. Asta este mai mult o analiză vertical, deoarece aici întrebarea este de fapt cât de adânc se poate merge. Rămânând la exemplul anterior, este oare posibil, ca prin greşeala găsită pe respectiva pagină de web să obţinem un acces de domain admin. În acest caz auditorul nu va căuta toate greşelile de pe pagina de web, va căuta doar până va găsi una prin care poate pătrunde mai adânc. De exmeplu spargerea unui upload sau un sql injection. În cazul în care a găsit greşeala cu care poate rula o comandă OS nu va mai căuta alte greşeli (XSS, info leakage, etc.), ci va pătrunde cu un nivel mai adânc, va încerca să obţină drepturi de admin pe acel server, dacă le obţine, merge mai departe, va încerca să acceseze cât mai multe calculatoare. De multe ori, în cazul acestor proiecte Clientul defineşte un scop tangibil (un anumit fişier sau scrisoare, o parolă, etc.)
La ce este folositor unul şi la ce anume celălalt? Am fost déjà întrebat ce rost are un proiect de PT? Deoarece de fapt Clientul nu primeşte o listă completă de greşeli, doar finalizarea unui singur mod de atac. Este acest lucru bun pentru Client? Da, în primul rând din prisma faptului că PT de fapt simulează un atac de hacking, iar un hacker va proceda la fel, va căuta drumul cel mai simplu şi îl va urma până la capăt. În cazul unei analize EH dacă se găseşte o singură greşeală pe pagina de web, este de fapt un rezultat bun, dar un PT poate arăta ce se poate face cu acea singură greşeală (de ex. citirea corespondenţei directorului general).
În cazul introducerii unui system nou poate fi oportun EH, deoarece în acest caz Clientul este de obicei curios cât de bine şi-au făcut munca dezvoltatorii, cât de securizată este aplicaţia, pentru asta fiind evident necesară identificarea numărului maxim de vulnerabilităţi. Cu toate acestea, în urma unui PT se poate constata ca în cazul în care infrastructura IT este privită ca un system global, cât de bine poate acest sistem să reziste împotriva unui atac de hackeri. Desigur, ambele audituri au justificarea proprie, nu se poate afirma că una ar fi mai “bună” decât cealaltă, deoarece merele nu pot fi comparate cu pere. Clientul trebuie să fie conştient ce anume doreşte, ce anume doreşte să testeze şi conform acestora să definiteze o solicitare de EH sau de PT.
(Desigur, se poate întâmpla ca cele două să fie amestecate, sau de fapt să fie solicitate concomitant. Şi noi am avut déjà proiect de EH al unei pagini web, dar în acelaşi timp Clientul era curios până unde se poate ajunge cu greşeala identificată).