In viata oricarui om care are treaba cu Windows vine momentul ala in care vrei sa citesti remote Security events de pe un server remote.

Pentru ca Windows, pentru ca Security si pentru ca vrei remote – e un pic complicat :)

In Windows 2008 exista un grup built-in numit Event Log Readers care are permisiune sa citeasca ce scrie in logurile de Security (are un SID predeterminat care este trecut in permisiunile pentru Event Viewer Security). Daca ai un user local si vrei sa-i dai voie sa citeasca logurile, il bagi un grupul asta si treaba e terminata.

Cand vrei sa faci asta remote, trebuie sa te scarpini un pic.

1. Se creeaza un user obisnuit (sa-i zicem logreader) si se face membru in Event Log Readers.
2. Ne logam ca administrator pe masina target
3. Umblam la permisiunile de DCOM astfel:
   1. Start -> Run -> dcomcnfg
   2. In casuta Component Services, se expandeaza Component Services, dupa aia Computers si dupa aia dai click dreapta pe My Computer
   3. In casuta de dialog, click pe tab-ul COM Security
   4. Dupa aia, se selecteaza Launch and Activation Permissions.
   5. In campul de Launch Permissions, click pe Edit Limits, se adauga acolo grupul Event Log Readers si ca permisiuni pentru el se selecteaza Remote Launch si Remote Activation
   6. In campul Access Permissions, click pe Edit Limits, se adauga grupul Event Log Reader si la permisiuni se selecteaza Remote Access
   7. Click pe OK in toate casutele de dialog si am terminat cu DCOM
4. Umblam la permisiunile WMI asttfel:
   1. Control Panel -> Administrative Tools -> Computer Management
   2. In fereastra de Computer Management, click pe Services and Applications, apoi click dreapta pe WMI Control si dupa aia click pe Properties
   3. Se selecteaza tab-ul Security
   4. Se selecteaza Root -> CIMV2 si dupa aia click pe Security
   5. Se adauga grupul Event Log Readers si dupa aia click pe Advanced
   6. In fereastra Advanced, se da click pe grupul Event Log Readers dupa aia click pe butonul Edit si acolo se selecteaza ca permisiuni Enable Account si Remote Enable, iar la Apply to se selecteaza This namespace and subnamespaces
   7. Se da OK pana se termina cu toate casutele de dialog
5. Din Services se da restart la Windows Management Instrumentation (daca e Domain Controller, trebuie reboot)

Si voila, acum putem citi remote logurile de securitate de pe o masina Windows Server 2008+ folosind un utilizator fara nici un drept special.

Ce-am descris mai sus este varianta kosher si corecta, adica aplicand principiul Least Privilege.

Mai exista si o varianta si mai complicata, care presupune drepturi pe user si nu pe grup, insa trebuie modificate si permisiunile pe Event Viewer Security care sunt un picut mai voodoo de facut. Asta poate necesara cand ai un mediu de tip High Security Assurance si ai si resurse sa inspectezi fiecare bit si fiecare permisiune sa nu scape ceva pe langa.

Daca ne doare la bascheti de securitate, varianta simpla e sa faci userul cu care vrei sa citesti logurile remote membru in Domain Admins si ai rezolvat problema din 3 click-uri.

Mai invatai si io ceva azi :)

Mai nou, in Romania, avem parte de Legea securitatii cibernetice, pentru ca trebuie tara protejata de oamenii rai ai internetului.

In primul rand, un mic sumar al definitiilor folosite in lege:

• infrastructuri cibernetice: infrastructuri din domeniul tehnologiei informatiei si comunicatii, constand in sisteme informatice, aplicatii aferente, retele si servicii de comunicatii electronice.
• infrastructuri cibernetice de interes national (ICIN): infrastructurile cibernetice care sustin serviciile publice sau de interes public, ori servicii ale societatii informationale, a caror afectare poate aduce atingere securitatii nationale, sau prejudicii grave statului roman ori cetatenilor acestuia, denumite in continuare ICIN
• managementul identitatii: metode de validare a identitatii persoanelor, cand acestea acceseaza anumite anumite infrastructuri cibernetice
• operatii in retele de calculatoare: procesul complex de planificare, coordonare, sincronizare si desfasurare a actiunilor in spatiul cibernetic pentru protectia, controlul si utilizarea retelelor de calculatoare in scopul obtinerii superioritatii informationale, concomitent cu neutralizarea capabilitatilor adversarului
• spatiu cibernetic: mediul virtual, generat de infrastructurile cibernetice, incluzand continutul informational procesat, stocat sau transmis, precum si actiunile derulate de utilizatori in acesta
• securitate cibernetica: starea de normalitate rezultata in urma aplicarii unui ansamblu de masuri proactive si reactive prin care se asigura confidentialitatea, integritatea, disponibilitatea, autenticitatea si non-repudierea informatiilor in format electronic, a resurselor si serviciilor publice sau private din spatiul cibernetic. Masurile proactive si reactive pot include politici, concepte, standarde si ghiduri de securitate, managementul riscului, activitati de instruire si constientizare, implementarea de solutii tehnice de protejare a infrastructurilor cibernetice, managementul identitatii, managementul consecintelor.

Ce zice prin lege (am scos pasajele care mi se par importante):

• Cap. II, Art. 6 (1): In vederea asigurarii cadrului general de cooperare pentru realizarea securitatii cibernetice se constituie Sistemul National de Securitate Cibernetica (SNSC), care reuneste autoritatile si institutiile publice cu responsabilitati si capacitati in domeniu.
• Cap. II, Art. 6 (2): SNSC colaboreaza cu detinatorii de infrastructuri cibernetice, mediul academic, mediul de afaceri, asociatiile profesionale si organizatii neguvernamentale.
• Cap. II, Art. 8 (1): Coordonarea unitara a activitatilor SNSC se realizeaza de catre Consiliul Operativ de Securitate Cibernetica, denumit in continuare COSC
• Cap. II, Art. 8 (2): COSC este format din reprezentanti ai MApN, MAI, MAE, MSI, SRI, SIE, STS, SPP, ORNISS, secretarul CSAT
• Cap. II, Art. 8 (5): La activitatile COSC pot participa, in calitate de invitati, reprezentanti ai altor institutii sau autoritati publice.
• Cap. II, Art. 9 (1) (f): In exercitarea atributiilor sale, COSC analizeaza si evalueaza starea securitatii cibernetice, formuleaza si inainteaza CSAT propuneri privind cerinte minime de securitate cibernetica si politici de securitate cibernetica pentru autoritatile si institutiile publice prevazute la Cap. II, Art. 10 (1) si (2).
• Cap. II, Art. 9 (2): COSC coopereaza pentru realizarea securitatii cibernetice cu organismele de coordonare sau sau conducere constituite, potrivit legii, la nivel national, pentru managementul situatiilor de urgenta, a actiunilor in situatii de criza in domeniul ordinii publice, pentru prevenirea si combaterea terorismului si pentru apararea nationala, asa cum sunt prevazute in legislatia in domeniu.
• Cap. II, Art. 10 (1): SRI este desemnat autoritate nationala in domeniul securitatii cibernetice, calitate in care asigura coordonarea tehnica a COSC, precum si organizarea si executarea activitatilor care privesc securitatea cibernetica a Romaniei. In acest scop, in structura SRI functioneaza Centrul National de Securitate Cibernetica, denumit in continuare CNSC
• Cap. II, Art. 11 (1) (e): CNSC are urmatoarele atributii principale: genereaza avertizari pentru detinatorii de infrastructuri cibernetice si ICIN cu privire la posibile incidente de securitate cibernetica si emite recomandari cu privire la modalitatea de actiune
• Cap. II, Art. 15 (1): La nivel national se constituie Sistemul National de alerta Cibernetica, denumit in continuare SNAC, reprezentand un ansamblu organizat de masuri tehnice si proceduri, si principalul mijloc al SNSC destinat prevenirii si contracararii activitatilor de natura sa afecteze securitatea cibernetica.
• Cap. II, Art. 15 (3): In cadrul SNAC, starile de amenintare reflecta gradul de risc pentru securitatea cibernetica si sunt identificate prin niveluri de alerta cibernetica. Acestea pot fi instituite pentru intreg teritoriul national, pentru o zona geografica delimitata, pentru un anumit domeniu de activitate sau pentru una sau mai multe persoane juridice de drept  public sau privat.
• Cap. II, Art. 15 (2): Organizarea SNAC, masurile specifice pe care autoritatile si institutiile publice competente le implementeaza pentru fiecare nivel de alerta, precum si procedura de instituire a nivelurilor de alerta si cerintele privind elaborarea planurilor de actiune se aproba prin norme metodologice, la propunerea SRI.
• Cap. II, Art. 15 (5): Pentru punerea in aplicare a masurilor specifice prevazute la alin. (2), persoanele juridice de drept public sau privat detinatori de ICIN elaboreaza planuri de actiune proprii, corespunzatoarea fiecarui nivel de alerta cibernetica.
• Cap. II, Art. 15 (7): Detinatorii de infrastructuri cibernetice au obligatia sa sprijine autoritatile si institutiile publice competente pentru implementarea masurilor corespunzatoare fiecarui nivel de alerta cibernetica, potrivit solicitarilor acestora, adresate in condtiile Cap. III, Art. 17 (1) (a).
• Cap. III, Art. 16: Detinatorii de infrastructuri cibernetice au urmatoarele obligatii:
  • (a) sa aplice politici de securitate cibernetica, cu respectarea cerintelor minime de securitate stabilite la nivel national MSI, ANCOM sau alte autoritati publice competente, potrivit legii
  • (b) sa identifice si sa implementeze masurile tehnice si organizatorice adecvate pentru a gestiona eficient riscurile de securitate in infrastructurile cibernetice proprii sau aflate in responsabilitate
  • (c) sa previna si sa reduca la minimum impactul incidentelor care afecteaza infrastructurile cibernetice proprii sau aflate in responsabilitate
  • (d) sa nu afecteze, prin actiunile proprii, securitatea altor infrastructuri cibernetice
  • (e) sa se asigure ca datele si/sau informatiile referitoarea la configurarea si protectia infrastructurilor cibernetice sunt diseminate exclusiv persoanelor autorizate sa le cunoasca
• Cap. III, Art. 17 (1): Pentru realizarea securitatii cibernetice, detinatorii de infrastructuri cibernetice au urmatoarele responsabilitati:
  • (a) sa acorde sprijinul necesar, la solicitarea motivata a SRI, MApN, MAI, ORNISS, SIE, STS, SPP, CERT-RO si ANCOM, in indeplinirea atributiilor ce le revin acestora si sa permita accesul reprezentantilor desemnati in acest scop la datele detinute, relevante in contextul solicitarii
  • (b) sa informeze, de indata, autoritatile si institutiile publice prevazute la (a) cu privire la incidentele cibernetice identificate, conform procedurilor stabilite prin normele metodologice la prezenta lege
• Cap. III, Art. 18: Detinatorii de infrastructuri cibernetice, furnizorii de servicii de internet au obligatia de a-si notifica clientii, persoane de drept public sau privat, de indata, dar nu mai tarziu de 24 de ore din momentul in care au fost sesizati de autoritatile competente potrivit prezentei legi, cu privire la situatiile in care sistemele informatice folosite de acestia au fost implicate in incidente sau atacuri cibernetice si de a dispune masurile necesare in vederea restabilirii conditiilor normale de functionare.
• Cap. III, Art. 19 (1): La nivel national se constitue catalogul ICIN, care se aproba in termen de 90 de zile de la intrarea in vigoare a prezentei legi, prin hotarare a Guvernului.
• Cap III, Art. 19 (3): Identificare ICIN se realizeaza pe baza criteriilor de selectie cuprinse in metogologia elaborata de SRI si MSI, si aprobata in termen de 60 de zile de la intrarea in vigoare a prezentei legi, prin hotarare de Guvern.
• Cap. III, Ar. 19 (4): La elaborarea catalogului ICIN, MSI va colabora si cu ANCOM, in situatia persoanelor de drept privat care detin calitatea de furnizori de retele publice sau servicii de comunicatii electronice destinate publicului
• Cap III, Art. 20 (1): Persoanele juridice de drept public sau privat care detin sau au responsabilitate ICIN, au urmatoarele obligatii:
  • (a) sa stabileasca si sa aplice masuri pentru asigurarea rezilientei infrastructurilor cibernetice proprii sau aflate in responsabilitate
  • (b) sa intocmeasca planul de securitate al ICIN, precum si planuri de actiune proprii corespunzatoarea fiecarui nivel de alerta cibernetica
  • (c) sa efectueze anual auditari de securitate cibernetica sau sa permita efectuarea unor astfel de auditari la solicitarea motivata a autoritatilor competente potrivit legii
  • (f) sa aplice politicile de securitate prevazute prin cerintele minime stabilite conform dispozitiilor prezentei legi
• Cap. III, Art. 21 (2) (c): […] sa permita autoritatilor competente sa intervina pentru identificarea si analizarea cauzelor incidentelor cibernetice, respectiv pentru inlaturarea sau reducerea efectelor incidentelor cibernetice
• Cap. III, Art. 21 (2) (d): […] sa retina si sa asigure integritatea datelor referitoare la incidentele cibernetice pentru o perioada de 6 luni de la data notificarii, cu respectarea principiului confidentialitatii si sa le puna la dispozitia autoritatilor competente
• Cap. III, Art. 23 (6): In implementare prevederilor prezentei legi, ANCOM va constitui si va operationaliza o structura specializata de securitate cibernetica, de tip CERT.
• Cap. IV, Art. 26 (2): Conducerea operatiunilor de aparare cibenetica in caz de agresiune armata, la instituirea starii de asediu, declararea starii de mobilizare sau de razboi se realizeaza de catre Centrul National Militar de Comanda in cooperare cu COSC.
• Cap. V, Art. 27 (1): Monitorizarea si controlul aplicarilor prevederilor prezentei legi se asigura, potrivit competentelor stabilite prin lege, de catre:
  • (b) SRI […] pentru detinatorii de ICIN, persoane juridice de drept public
  • (c) MSI, respectiv ANCOM, dupa caz, pentru detinatorii de ICIN, persoane juridice de drept privat
• Cap. V, Art. 27 (2): […] conducatorii autoritatilor desemneaza persoane abilitate care […] au dreptul […] sa:
  • (b) sa faca inspectii, inclusiv inopinate, la orice instalatie, incinta sau infrastructura destinata ICIN […]
  • (c) sa primeasca la cerere, la fata locului, justificari sau informatii

Acum, parerea mea unde sunt problemele:

• SRI, prin aceasta lege, se autoproclameaza imparatul absolut infrastructurilor din Romania. Ceea ce este “wrong on so many levels”. Si cum asta nu era suficient, ii aduce si pe prietenii lui din aproape toate structurile de securitate din Romania.
• Conform definitiilor folosite, orice firma din Romania care detine mai mult de 2 computere are o “infrastructura cibernetica”. Asta inseamna ca probabil in afara de orice firma cu un singur computer, legal SRI-ul poate accesa datele oricarei firme fara absolut nici un control sau raspundere in fata unui judecator.
• Sunt tare curios cum va arata procesul si cine va plati despagubiri atunci cand SNAC va decreta alerta pentru o anumita firma (conform abilitatilor) si se dovdeste a fi alarma falsa.
• Conform “prezentei legi” (sa folosesc limbajul de lemn care place asa mult legiuitorilor tarii) reprezentantii societatii civile nu au ce cauta la COSC si nici nu pot reclama in vreun fel activitatea acestuia. Un fel de “statul stie mai bine ce e bine pentru pentru populatie, aveti incredere”. O alta mare problema.
• Toate firmele de comunicatii, la cum arata legea, vor deveni ICIN si drept urmare toate institutiile alea de au membri in COSC isi vor putea baga nasul in cum arata retelele operatorilor, cum sunt configurate si tot asa. Pentru ca “national security, terrorists” si ce o mai fi maine la moda pe tema bau-bau.
• Sunt cerinte in lege care nu sunt realizabile si se bat un pic cap in cap, precum cele din Cap. III, Art. 16.
• Daca da fericirea peste tine si te clasifica SRI drept ICIN, ai supt-o in fericire. Vine si te inspecteaza “autoritatea competenta” cand vrea muschii ei si “conform legii (Cap. V, Art. 27 (2))” tre sa stai drepti si sa raspunzi la intrebari si sa te justifici. Pentru ca asa functioneaza o societate normala, sa stai cu palaria in maini si cu capul plecat in fata organului.
• Articolul 17 (cel mai contestat dintre toate):
  • orice firma detinatoare de infrastructuri cibernetice, care conform definitiei inseamna orice firma cu cel putin 2 computere care comunica intre ele, este obligata prin lege sa accepte accesul reprezentantilor statului cand li se scoala sa vada ce date au pe acolo pe baza “solicitarii motivate”. Ti-ai luat un virus de pe “Internet” care sa zicem ca spameaza chestii si tu habar nu ai (acu ca ala o fi plantat chiar de baietii si fetele albastre e alta traba), legal are voie SRI sa-ti ceara datele din computer ca sa “le investigheze” si sa scoata necuratul din ele.
  • nu exista nicio mentiune cum ca “solicitarea motivata” trebuie intai aprobata de un judecator sau sa poata fi cumva contestata in instanta atunci cand este considerata abuziva. Adica o sa fie un fel de “ete motivatia, da-mi alea doua laptopuri de pe birou – de se vad de aici din usa si ne mai gandim ce sa-ti luam data viitoare”.
  • Nu vad nicaieri obligatii ale statului, vad doar obligatii ale firmelor private. Ca altfel vine SRI-ul si le da peste degete daca gresesc. Chiar iti poate da si amenda.
• Legea asta parca e facuta sa legitimize un abuz deja pus la cale.

Pare mea:

• O sa se inventeze politici de securitate nationale pe care diversi trebuie sa le implementeze. Daca sunt firme de stat, o sa se mai justifice angajari pe “securitate cibernetica”.  O sa fie plina de specialisti tara asta.
• O sa se faca treaba la minimul necesar si dupa aia “dupa mine potopul”. Si daca totusi o sa dea coltul careva din cauza unei brese de “securitate cibernetica” o sa se trambiteze sus si tare ca “institutiile statului si-au facut treaba” si aia e, viata merge mai departe. De ce? Pentru ca in loc de dialog frumos cu explicatii si chestii, SRI-ul a luat-o pe calea securista: faceti ca noi ca numai noi stim cu e bine, altfel va dam amenda.
• O sa fie Romania plina ce CERT-uri: la SRI, la ANCOM si la toti aia din lista. N-o sa mai stie malware-ul pe unde sa fuga de atatia politisti cibernetici care il alearga cu pulanele cibernetice pe Internetul romanesc.
• Cuiva i-a placut la nebunie termenul asta de “cibernetic” ca e folosit in textul legii de parca l-a castigat la lotto si n-a stiut ce sa faca cu atatea exemplare.

Eu nu pricep de unde atata incrancenare din partea SRI-ul cu Internetul, retele de comunicare si ce mai intra la mijloc. Parca au fumat lipici din ala expirat, asa pe aratura sunt. Adica am inteles ca pentru ei “dreptul la viata privata”, sustinut de trei ori de CCR (o data cu BigBrother initial cand le-a taiat din pretentii, a doua oara cand au dat-o jos pe baza precedentului de la Curtea Europeana de Justitie si a treia oara cand SRI-ul a vrut sa ne faca tara bananiera sa luam internet cu buletinul) este ceva la care cetateanul nu are voie si daca s-ar putea sa ne instalam de buna voie microfoane si in fund, ei ar fi cei mai fericiti oameni. Acu au gasit o alta cale sa se duca dupa datele oamenilor. E un fel de soarecele si pisica, doar ca intr-un film prost.

O alta chestie pe care nu pot s-o pricep este de ce, ca si in alelalte legi unde si-a bagat SRI-ul coada nu zice nimic ca inainte sa se duca sa spioneze romanii, intai sa treaca pe la un judecator care sa zica DA/NU. Si o alta intrebare este, cum poate afla o firma cine i s-a uitat prin date si pe unde au mai fost trimise?

Cu legil ca astea o sa ajungem democratici ca americanii, cand primesti un NSL si la schimb trebuie sa dai din casa tot.

Pur si simplu mi se par stupide justificarile cu teroristiisi sau ce bau-bau mai e acu la moda. Deja in Romania au distrus politicienii tot ce era functional; ce-o sa distruga un terorist cu bomba prin Bucuresti mai rau decat poate distruge Oprescu din pix?

Prezentarile tinute cu fost cam asa, pe scurt (sper sa apara si slide-urile la un moment dat).

Ziua I:

• Crypto as a global business – Mika Lauhde: Pretty much o prezentare despre compania SSH communications, impanata pe ici pe colo cu FUD despre OSS (ca e codul liber sa-l vada oricine si sa vada daca-s vulnerabilitati in el, ca n-ai la cine suna dupa suport si alte obisnuite plangeri ale astora comerciali).
• Leading and developing the Cyber Workforce – Anthony Guess-Johnson: asta am ratat-o ca imi cautam cafea.
• Cyber Necromancy: Reverse engineering dead protocols – Matthew Halchyshak: “calatoria” unui om in a face un joc vechi de PS2 sa mearga in retea dupa ce producatorul jocului a oprit serverele sale. Aproape un an de zile sa afle ce fac vreo 80 de functii/comenzi si inca mult mai multe luni sa le puna cap la cap. Dar acum se joaca online :)
• Vulnerability assesments on SCADA Networks: Outsmarting the SmartGrid – Fadly B. Sidek: pe asta am ratat-o, dar din ce mi-au zis unii de au fost in sala, tipul de a prezentat a dat si el o scanare de Nessus intr-o retea cu ceva PLC-uri si dupa aia a dat un ping si a ridicat un robot o mana. Vroiam s-o vad, da uitasem programul. Se pare ca n-am pierdut nimic.
• Finding an European way for a safer cyberworld integrating our continent’s millenary values – Laurent Chrzanovsky: Am ratat-o ca vorbeam cu oameni pe afara. Din titlu probabil propune sa ne impacam toti si sa ne facem o tara mare fara nici un fel de divergente :)
• Managing risk effectively – Cristian Stoica: Si pe asta am ratat-o ca m-am lungit la discutii.
• What happens in Windows 8 stays in Windows 8 – Moti Joseph & Marion Marschalek: O prezentare foarte interesanta despre vulenrabilitatile din Windows 8, cum se face bug hunting si cum se identifica potentialele vulnerabilitati. Pe langa asta, un intro despre cat mai costa un 0-day, despre cum functioneaz sistemul de brokeraj si cat castiga un broker la o intermediere. Exploiturile pleaca de la 10-15K pana pe la 250K USD in functie de platforma, disponibilitate etc. Daca vinzi chestii la mare cautare, poti face si un milion pe exploit.
• A look intro bullet proof hosting – Catalin Cosoi & Silviu Sofronie: In detaliu despre munca celor de la BitDefender in identificarea centrelor de comanda si control (C&C) ale botnetilor si mai noi a malware-ului de tip Ransomware. Ce mi s-a parut interesant este ca oamenii de se ocupa cu asa ceva folosesc layere de proxy-uri peste proxy-uri pentru a ascunde adresele finale ale centrelor de control, iar mai nou, dupa primul layer, traficul intra in Tor si *poof* – dispare. Si nu in ultimul rand, o explicatie foarte buna despre Domain Generation Algorithms prin care malware-ul, in functie de data, alege sa foloseasca anumite servere de C&C pe baza de nume de domeniu generate algoritmic si care sunt inregistrare foarte repede si cu un lifetime de 1-2 zile maxim. Mi se pare interesant jocul asta de-a soarecele si pisica si faptul ca “the bad guys” sunt mult mai tari cand vine vorba de facut chestii decat “law enforcement”.
• PuttyRider: Pivoting from Windows to Linux in a penetration test – Adrian Furtuna: sau cum poti face dump realtime la ce vede un utilizator de putty si cum poti face hijack la o sesiune de putty fara ca cine il foloseste sa nu se prinda. Adrian a scris un utilitar care injecteaza un DDL in memoria procesului de PuTTY care in functie de comenzile primite poate deschide o conexiune inversa catre host-ul atacatorului care mai departe vede ca la televizor tot ce face un administrator si poate lua controlul terminalului sa faca chestii. Pretty nifty stuff si foarte “movie like” modalitatea gasita de el.
• Practical study of security problems on one of the most efficient Web Application Firewall – Cernica Ionut-Cosmin: WAF-ul in cauza era Fortinet (laughably “most efficient”, cel mult un mod_security cu GUI), iar vulnerabilitatile constau in accesul neautentificat la anumite parti din interfata de administrare: config dump si incarcarea fisierului de licenta. Buba mare mi s-a parut la la a doua parte, pentru ca se pare ca WAF-ul rescrie licenta si dupa aia vede daca e sau nu valida, caz in care nu mai functioneaza. Mi se pare un vector de atac foarte interesant daca vrei sa frustrezi maxim pe administratorul WAF-ului :)
• Security nightmares for journalists, why we all must be SysAdmins – Julie Gommes: o tanti ziarista care s-a plimbat prin diverse locuri “fierbinti” din lume. A discutat despre problemele intampinate cu protejarea datelor, a surselor, ce metode de criptare foloseste (LUKS si PGP), despre cum mai intideaza diverse tari jurnalistii. Ocazie cu care am aflat ca in Franta (ea fiind frantuzoaica) vrea sa se dea o lege prin care e liber la interceptat pe toata lumea in numele “luptei impotriva terorismului”. Un proiect de a proteja datele remote si a distruge tot ce ai local la o apasare de buton ar fi fantastic pentru jurnalisti. Whoopsy…
• Android (in)security – Ralf C. Staudemeyer: O prezentare cu note de teoria consporatiei pe ici pe colo, despre ce servicii sunt On implicit in Android, ce date primeste Google de la utilizatori. Dupa aia a vorbit de BlackPhone si de faptul ca fiind Android based e la fel de insecure ca firmware-ul de baseband vine ca binary blob si nu prea stii ce face. Despre SMS-uri silent, sau mai bine zis de SMS-urile destinate SIM-ului. Overall asa am avut mixed feelings, ca unele chestii zise au fost bune, la altele a luat-o pe ulei grav. Bottom line, nu folositi un smartphone daca tineti la privacy prea mult.
• Cognitive Bias and Critical Thinking in Open Source Intelligence (OSINT) – Benjamin Brown: despre biasul in gandire, despre cum “prior knowledge” ne influenteaza deciziile, despre cum putem sa ne verificam daca suntem sau nu biased, despre “bandwagon effect”, groupthink si altele. Plus o prezentare foarte misto despre cum oamenii internetului de pe Reddit au dat-o de gard cand au anuntat in mod gresit numele unuia din suspectii de la “Boston Marathon Bombings” si cum informatia s-a transmis si multiplicat in cateva ore la milioane de oameni. A fost o super prezentare, nimic tehnic in ea, doar chestii de bun simt si de “auto control” despre cum sa te verifici daca esti biased sau nu intr-o anume activitate. Si mai misto a fost ca a discutat si despre metacognition, ca nu prea multa zice de asta cand e vorba de gandit si luat decizii pe baza unor informatii.
• The heritage of Snowden for Europe – Mika Lauhde: la prezentarea asta a luat-o finlandezul pe tot butoiul de ulei, ca am dat-o in teoria conspiratiei, state actors si tot ce vorbesc oamenii cu “tinfoil hat” pe cap :) Asta a urmat dupa ce unul din sponsori, Domeniile Samburesti, a livrat cateva baxuri de licoare bahica. You can imagine the rest.
• Privacy in Mobile Apps. Enterprise opportunities – Yury Chemerkin: un nene rus a vorbit despre ce date stocheaza aplicatiile importante de mobil si modul in care transmit datele: unele in clar, altele pe SSL iar altele trimit chestii inutile criptate si chestii importante (precum datele de card) in clar. Because fuck logic, that’s why. A vorbit pana m-a plictisit. Am stat mai mult pentru accent, ca mi-am adus aminte de fostul meu coleg etnic rus din UAE.
• All your bitcoins are beling to us – Alexandru George Andrei. Pe asta am ratat-o ca a fost programul foarte mult decalat si daca mai stateam nu mai apuca sa dorm sa ma trezesc pentru a doua zi.
• SSH tunneling, a gate to freedom and a threat – Andrei Hodorog: idem ca mai sus.

Ziua II:

• Cyber Ranges – Paul de Souza: un sales pitch mascat ca o prezentare tehnica. Niste oameni au creat “poligoane” virtuale pentru ca viitorii soldati “cibernetici” sa se poata antrena si sa poata simula “Internet in a box” intr-un mod cat mai realist. Ideea in sine este foarte misto, da prea mult vorbit fara sa zica nimic (genul de politician american). In other news, vand o distributie de Linux cu “proprietary crypto” pe ea si cu un fel de VPN peste care ruleaza un tunel SSH pentru “robustete” si asta se cheama “Twisted encryption”.
• The utilization of “Cyber Hygiene” to mitigate SCADA systems vulnerabilities – Roger W. Kuhn, Jr. Un fel de copy/paste din ghidurile de la NIST despre SCADA cu multa vorbarie fara sa spuna nimic, la fel ca predecesorul lui ca au venit la pachet cu prezentarile. Speram la ceva mai mult, mai ales ca prezentarea nu a fost inregistrata ca asa a vrut prezentatorul, sa nu plece lumea cu proprietatea lui intelectuala…
• Securing networks using SDN and Machine Learning – Dragos Comaneci. Un proiect de doctorat al unui inginer de la Ixia despre cum poti folosi un controller pentru a profila traficul intr-o retea de tip SDN si prin folosirea unor algoritmi de tip Machine Learning sa poti redirecta traficul considerat “anomalous” printr-un honeypot sau chiar sa-i faci “discard” direct. O alta utilizarea a profilelor de trafic ar fi provizionarea de “reguli/rute” de trafic cand stii dinainte ce tip de trafic o sa vina, de unde si pana unde. Mi se pare super tare ideea si cu potential mare de tot pentru viitor.
• CubeSats – A fairy tale: How academia got the chance to implement satellite (in)security and how I tried to fix it – Marius Munch. Rachetele de duc pe orbita diverse incarcaturi s-au dovedit ca au loc suplimentar sa duca si cativa sateliti miniaturali pentru diverse universitati din lumea. Prezentarea omului (care a fost si teza lui de master) s-a axat pe ce tip de securitate se poate implementa pentru microsatelitii folositi de universitati pentru studiu. Omul a facut un algoritm de securitate pentru a securiza comunicarea de tip Uplink astfel incat satelitul sa nu primeasca comenzi decat de la un base-station cunoscut. Ocazie cu care am aflat si eu unde se mai foloseste AX.25 :)
• Democracy and massive control in the post-Snowden age – Raoul “Nobody” Chiesa: sau despre cum diverse guverne din lumea au impus cenzurarea nationala a retelelor de socializare pentru a ascunde atrocitatile comise in numele “sigurantei statului” sau pentru a bloca pe cat posibil accesul “scurgerea” informatiilor in afara atunci cand lumea se revolta si politia si alte forte care au arme le folosesc fara discriminare. Un alt topic a fost costul tot mai scazut al supravegherii in masa a populatiei si profilarea automata a acesteia. De asemenea s-a discutat despre faptul ca tot mai multe servicii de informatii cer in mod explicit fonduri pe achizitionarea de 0-days pentru a fi folosit in scopuri ofensive.
• SCADA software or Swiss Cheese software – Celil Unuver: sau despre cum majoritatea sistemelor de control industrial nu a fost proiectate pentru a fi conectate la internet si despre vulnerabilitati aproape triviale care pot fi gasite in sisteme de a caror buna functionare depind sute/mii de vieti omenesti. Pana acum nu s-a trecut peste linia rosie, insa la un moment dat cineva va cauta sisteme vulnerabile pe Shodan si va apasa pe butoanele de acolo si o sa fie interesant spre trist.
• Owning the girl next door – Alex Balan. O prezentare foarte misto facuta, despre cum putem face spoofing intr-o retea locala, cum putem modifica si injecta cod malitios in tranzit in pachete software si despre cum poti exploata diverse aplicatii pentru a obtine “root” pe computerul vecinei ;)
• Penetration testing: 7 deadly sins – Marek Zmyslowsky. Pentesting-ul nu e usor, trebuie sa ai multa rabdare, sa intelegi ce faci, sa ai un pic de people skills sa stii sa vorbesti cu oamenii si sa le explici ca bagarea sub pres a problemelor nu este “the way to go”. Multe exemple mi-au fost foarte familiare prin peripetiile mele (nu m-am ocupat de pentest niciodata dar am participat la unele ca observator sau in postura de client) iar altele au fost chestii de bun simt ignorate cu buna stiinta de clienti.
• Pytotechnic composition: Fireworks, embedded wireless and in-security by design – Andrei Costin. Ce faci cand descoperi ca lansatoarele de artificii sunt wireless, componentele de comanda si control discuta in clar cu modulul care da comanda de lansare si ca poti face sniffing la traficul de pairing si dupa aia poti trimite ce fel de comenzi vrei tu la lansator ca si cum ai fi statia de comanda? Well, poti sa faci ca lansatoarele de artificii sa para ca sunt posedate.
• Memory Forensics & Security Analytics: Detecting Unknown Malware – Fahad Ehsan. Pe principiul ca antivirusul prinde un set limitat de amentintari si ca produsele de tip gateway anti-malware mai pot prinde un alt procent de malware, ce te faci cand totusi lucrurile nedorite totusi ajung pe un computer si nu poti rula un produs care sa poate face “application whitelisting”? Well, nene asta de “lucreaza la o mare banca elvetiana din Singapore” s-a gandit sa faca dump periodic la memoria unui calculator si folosind Volatility sa scoata lista de procese, socketi si ce mai e pe acolo si sa le compare periodic si daca ceva e diferit de baseline sa zica “cre’ca avem o problema cu celulele de dilithiu”. Ideea pare OK, mai ales ca este implementata si comercial de diversi producatori (Mandiant, EnCase si altii) insa trebuie sa ai retea buna si cat timp faci dump sa nu se panicheze utilizatorul ca merge treaba greu. Mi se pare foarte fezabila treaba asta intr-un mediu cu conexiune de 10Gbps si cam un 8GB RAM pe acolo sa nu stai sa faci dump forever.
• Social engineering or “hacking people” – Tudor Damian. Pretty much o prezentare generica de “this is how you do social engineering” si cu un link bait in prezentare pe care au dat click vreo ~30 de oameni din sala. N-as zice ca a fost ceva spectaculos sau nemaivazut in prezentare.
• I can track you! They can track you! Everyone can track you! – Miguel Mota Veiga. Well, telefoanele mobile leakuiesc informatii despre retele wireless la greu. Unul din motive este ca pentru a face o autentificare cat mai rapida, telefonul nu mai asteapta sa vada ce retele sunt prin jur, ci cauta direct ultimele SSID-uri la care s-a conectat, lucru care poate fi interceptat si folosit pentru profilarea utilizatorului. Cum randomizarea adresei MAC a placii wireless nu este implementata in Android/Windows Phone/iOS mai vechi de 8, o data ce stii MAC-ul unui telefon, il poti urmari cam peste tot. Pe langa asta, un operator mobil are mereu idee pe unde te afli aproximativ din datele celulei la care esti legat. It’s a scary world out there.

Pe langa sesiunea de prezentari, a fost si una de CTF care a fost castigata de o echipa din Rusia, Balalaika Cr3w.

In afara salii unde s-au tinut prezentarile a fost un stand de la chapterul local de la OWASP, care a fost o supriza foarte mare si foarte placuta pentru mine.

Overall mi s-a parut foarte misto evenimentul, mai ales ca au venit cateva sute de oameni de prin aproape toata lumea.

Cred ca cel mai mult a contat faptul ca s-au prezentat idei, lucruri muncite de oameni si tot asa. Mi-era dor de un eveniment de genul asta, ca in ultimii ani am cam avut parte numai de crapuri comerciale cu “cumparati voi X si o sa fiti super mega ultra secure” si alte aberatii din astea.

La final pe un monitor, s-a afisat si un “Wall of Sheep” cu parolele sniffuite ale celor de s-au conectat pe wireless-ul pus la dispozitie de organizatori si foloseau chestii in clear text. Ocazie cu care am aflat ca mai sunt companii de folosesc POP3 nesecurizat si SMTP auth la fel de nesecurizat. Like, srsly? In 2014?

Ecranul laptopului se pare ca a capatat un bug. Literally speaking bug. Arata de parca ar fi murit multi pixeli, da tipul de la Apple Store a zis ca nu, e o insecta, ca au mai venit clienti cu problema in fix acelasi loc.

Acum cum s-or fi nimerit insectele in fabrica sa se aseze toate pe display-uri fix in acelasi loc o sa ramana un mister pentru mine. Partea buna e ca fiind in garantie o sa-mi schimbe display-ul. Wee!

Tot aveam in plan sa-mi iau un Apple Care, acum cred ca chiar o sa-l iau, e buna garantia la casa omului.

De la 12.1 la 12.3, cu reboot cum trebuie pe jucarii

sin@chasis> request system software nonstop-upgrade ftp://server/pub/juniper/jinstall-ex-4200-12.3R6.6-domestic-sign...
Chassis ISSU Check Done
ISSU: Validating Image
Fetching package...
ISSU: Preparing Backup RE
Installing image on other FPC's along with the backup
Checking pending install on fpc1
Fetching package...
Fetching package...
Pushing bundle to fpc1
NOTICE: Validating configuration against mchassis-install.tgz.
NOTICE: Use the 'no-validate' option to skip this if desired.
WARNING: A reboot is required to install the software
WARNING:     Use the 'request system reboot' command immediately
Completed install on fpc1
Backup upgrade done
Rebooting Backup RE
Rebooting fpc1
ISSU: Backup RE Prepare Done
Waiting for Backup RE reboot
GRES operational
Initiating Chassis In-Service-Upgrade
Chassis ISSU Started
ISSU: Preparing Daemons
ISSU: Daemons Ready for ISSU
ISSU: Starting Upgrade for FRUs
.
.
.
ISSU: Preparing for Switchover
ISSU: Ready for Switchover
Checking In-Service-Upgrade status
Item          Reason
FPC 0          Online
FPC 1          Online
Going to install image on master
NOTICE: Validating configuration against mchassis-install.tgz.
NOTICE: Use the 'no-validate' option to skip this if desired.
WARNING: A reboot is required to install the software
WARNING:     Use the 'request system reboot' command immediately

Din categoria ce am mai invatat io azi: cum se face upgrade la un cluster de f5 fara sa te panichezi si sa belesti tot in incercarea de a debuga o problema care nu exista…

• Se downloadeaza ISO de OS nou + ISO de HF-uri dupa caz
• Se uploadeaza ISO-urile in OS sau HF dupa caz
• Se instaleaza OS-ul pe o partitie nefolosita sau cu un OS mai vechi (din cele 3 disponibile)
• Se rebuteaza in noul OS
• Cand OS-ul nou rebuteaza, o sa se strice un pic clusterul in sensul ca n-o sa se mai sincronizeze, insa membrul nou stie ca face parte din cluster si o sa treaca in Standby (Disconnected, Changes Pending etc)
  • Asta e partea in care nu e nici nu motiv de panica si nu trebuie debugat nimic.
• Se instaleaza si HF pentru noul OS (daca e cazul) si se da reboot.
  • La fel, nici un motiv de panica ca nu se sincronizeaza cei doi membri de cluster
• Se face un failover de pe Active pe Standby
• Se purcede la instalarea OS-ului + HF-ului pe celalalt membru care acum este in Standby
• Dupa ce buteaza si ambele sisteme vor avea acelasi OS, se face o sincronizare manuala intre ele
• Celebrate!

Ieri in timp ce ma uitam pe un geam mare la niste verdeata, mi-a venit o idee.

Spionilor astora de pe la cam toate agentiile de informatii le place foarte tare sa se uite prin e-mailuri, poate, poate le-o pica si lor vre-un terorist. Sau macar ceva conversatii picante sa treaca timpul mai repede.

Si cum cam oriunde te-ai duce din cauza colaborarii intre tari a serviciilor de informatii nu prea poti fi in siguranta cu posta electronica, mi-a strafulgerat mintea o chestie: daca s-ar hosta un serviciu din asta securizat de e-mail in Coreea de Nord ? Eventual undeva bine pazit, sa fie treaba treaba.

Aia nu’s prieteni cu nimeni. E greu de intrat acolo sa ajungi la servere sa le faci ceva. N-au nimic de castigat daca afla ca Gigi se fute pe ascuns cu Maricica sa nu-l prinda nevasta’sa si tot asa.

S-ar frustra maxim toti spionii ca nu se mai pot duce in secret la judecatori secreti (sic!) sa le puna aia stampile pe mandate de urmarire fara sa puna prea multe intrebari si providerii de servicii sa nu aiba voie sa zica nimic despre asta.

Iar castigul cel mai mare ar fi ca tara cea mai inchis din lumea unde daca nu razi cand trebuie mori e folosita de oamenii din lumea libera sa poata discuta fara riscul de a fi interceptati de cine stie cine. Nu cred ca ar fi ironie mai mare :)

Ce citesc io acu intr-o carte de programare: