Book Give-away: 'Microsoft Dynamics AX 2012 Development Cookbook'</h1> <article> <h1>Book Give-away: 'Microsoft Dynamics AX 2012 Development Cookbook'</h1> <p>Bojan Jovičić — Fri, 11 May 2012 04:40:00 GMT</p> Book Give-away: Hold a chance to win free copy of the ' Microsoft Dynamics AX 2012 Development Cookbook ', just by commenting! For the contest we have two copies of Microsoft Dynamics AX 2012 Development Cookbook to be given away to two lucky winners. How you can win: To win your copy of this book, all you need to do is come up with a comment below highlighting the reason "why you would like to win this book”. Duration of the contest & selection of winners: The contest is valid...(<a href="http://msforge.net/blogs/bojan/archive/2012/05/11/book-give-away-microsoft-dynamics-ax-2012-development-cookbook.aspx">read more</a>) </article> <article> <h1>Speaking @ Microsoft WinDays 2012</h1> <p>Bojan Jovičić — Tue, 17 Apr 2012 17:52:00 GMT</p> I am happy to be invited as presented at the biggest IT conference in Croatia - Microsoft WinDays . This will be my second time to present at this conference with a long tradition and splendid organization. I will be speaking about Microsoft Dynamics AX 2012 . Conference will be held in beautiful seaside town of Rovinj ....(<a href="http://msforge.net/blogs/bojan/archive/2012/04/17/speaking-microsoft-windays-2012.aspx">read more</a>) </article> <article> <h1>Microsoft MVP Award - Dynamics AX for the third time</h1> <p>Bojan Jovičić — Fri, 06 Apr 2012 04:40:00 GMT</p> At the beginning of this month (not an April Fools' Day joke) I was notified by Microsoft that I have been re-awarded as MVP ( M ost V aluable P rofessional) for Dynamics AX . Same as last year this is a great honour for me, especially with so few MVPs in Microsoft Dynamics AX field. In this area currently only 9 other people in the world share this award. You can see who are some of the new MVPs in CEE in this award cycle here . Congratulations to them and to all other re-awarded MVPs. I will...(<a href="http://msforge.net/blogs/bojan/archive/2012/04/06/microsoft-mvp-award-dynamics-ax-for-the-third-time.aspx">read more</a>) </article> <article> <h1>2012 Windows PowerShell Scripting Games</h1> <p>aleksandar — Tue, 03 Apr 2012 13:57:00 GMT</p> <p> Juče su započele 2012 Windows PowerShell Scripting Games i trajaće do 13. aprila. Još uvek nije kasno da se pridružite, tek je drugi zadatak objavljen pre par sati. Učesnike očekuje mnoštvo <a target="_blank" href="http://blogs.technet.com/b/heyscriptingguy/archive/2012/03/31/official-rules-for-the-2012-scripting-games-challenge.aspx" title="Pravila i nagrade" class="null">nagrada</a>, kako dnevnih, tako i velika nagrada - besplatna ulaznica za <a target="_blank" href="http://northamerica.msteched.com/#fbid=6xJMxoTyyJM" title="Microsoft TechEd NA 2012" class="null">Microsoft TechEd North America 2012</a> u Orlandu. Takmičenje se odvija u dve kategorije—početničkoj i naprednoj—u vidu 10 zadataka koji će biti objavljeni svakog radnog dana tokom naredne dve nedelje. Rešenja ocenjuje velika grupa <a target="_blank" href="http://blogs.technet.com/b/heyscriptingguy/archive/2012/03/09/announcing-the-powershell-judges-for-the-2012-scripting-games.aspx" title="Malo o sudijama" class="null">PowerShell eksperata</a> iz celoga sveta. Da bi učestvovali u takmičenju potrebno je da se prijavite na sajtu <a target="_blank" href="http://2012sg.poshcode.org/" title="Glavni sajt igara" class="null">http://2012sg.poshcode.org/</a> i počnete da objavljujete svoja rešenja. Možete se takmičiti samo u jednoj od kategorija. Ako ne možete da odlučite koja kategorija je za vas, organizator je napravio mali <a target="_self" href="http://go.microsoft.com/fwlink/?LinkId=214948" title="Windows PowerShell Quiz" class="null">PowerShell kviz</a>.</p> <p>Proučite <a target="_blank" href="http://blogs.technet.com/b/heyscriptingguy/archive/2012/03/08/2012-scripting-games-judging-criteria-revealed.aspx" class="null">zvanične uslove ocenjivanja</a> kako bi saznali više o kriterijumima koji se primenjuju tokom dodele poena (svako poslato rešenje dobija 1 poen za samo učestovanje, a posle se poeni dodaju do maksimalnih 5). Pridružite se igrama—veoma je zabavno, a velike su šanse i da ćete puno naučiti. I same sudije tokom igara nauče neki novi trik. PowerShell is fun! :) </p> <p>Sve potrebne informacije i linkove o 2012 Windows PowerShell Scripting Games ćete naći na prigodno nazvanoj stranici <a target="_self" href="http://blogs.technet.com/b/heyscriptingguy/archive/2012/02/04/the-2012-windows-powershell-scripting-games-all-links-on-one-page.aspx" title="Sve što sve oduvek želeli da saznate o PowerShell Scripting Games" class="null">2012 Windows PowerShell Scripting Games: All Links on One page</a>.</p> <p>Zvaničan Twitter hashtag igara je <a target="_blank" href="https://twitter.com/#!/search/%232012sg" title="informacije o igrama na Twitter-u" class="null">#2012SG</a>.</p><div style="clear:both;"></div> </article> <article> <h1>Speaking @ FON in Microsoft Academic Tour "Пролеће@University '12"</h1> <p>Bojan Jovičić — Fri, 23 Mar 2012 06:50:00 GMT</p> As one of the MVPs from our country , I have been invited to participate in Microsoft Academic Tour "Пролеће@University '12".Since I am deeply involved with academia, I loved the idea, and gladly accepted. I will be speaking about at Faculty of Organizational Sciences on 27.03.2012 about Microsoft Dynamics AX 2012 . There is a very nice overview of this event at Microsoft Academic website , and there has been a short announcement at the faculty's website ....(<a href="http://msforge.net/blogs/bojan/archive/2012/03/23/speaking-fon-in-microsoft-academic-tour-quot-university-12-quot.aspx">read more</a>) </article> <article> <h1>Novi krug kurseva iz oblasti bezbednosti!</h1> <p>levaja — Mon, 20 Feb 2012 22:35:00 GMT</p> <p>Privredna komora Beograda u saradnji sa firmom Network Security Solutions organizuje novi krug obuke iz oblasti IT bezbednosti.</p> <p>U pitanju su kursevi <strong>Fundamentals of Network Security</strong> (počinje 28.02.2012., traje pet dana, svake nedelje po jedan) i <strong>Fundamentals of Information Security</strong> (počinje 02.03.2012., traje šest dana, svake nedelje po jedan) . Prvi je tehničkog tipa i pokriva oblasti koje pokrivaju Microsoftov Fundamentals of Network Security i CompTIA Security+, dok drugi pokriva oblasti CISSP kursa i orijentisan je na menadžment u IT bezbednosti. Ovo nisu zvanični kursevi sa Security+ i CISSP, ali obrađuju teme neophodne za navedene sertifikate.</p> <p>Za sve detalje možete se obratiti Aleksandru Matiću (tel. 3625-143), e-mail: matica[at]kombeg.org.rs i Milanu Vlahoviću (tel. 3629-330), e-mail: milanvl[at]kombeg.org.rs ili mojoj malenkosti na dejan.levaja[at]netsec.rs.</p> <p> </p> <p> </p> <p>Agenda kursa <strong>Fundamentals of Network Security:</strong></p> <p> </p> <p> </p> <h2>Uvod u informacionu bezbednost </h2> <p>Modul obrađuje pojmove kao što su digitalne informacije, podaci, informacioni sistemi i njihov značaj u savremenom poslovanju i životu. Šta je to informaciona bezbednost i kako se postiže. Koji faktori utiču na bezbednost i do kakvih sve problema može dovesti neadekvatna zaštita računara i podataka.</p> <p> </p> <h2>Pretnje, rizici i ranjivosti</h2> <p>Modul obrađuje ko, zašto i kako napada informacione sisteme. Koji je profil napadača/hakera, kakvim se tehnikama i alatima služi. Tema pokriva različite vrste napada kao što su DoS, MitM, Spoofing, BoF, DNS poisoning i brojne druge. Polaznici kursa će imati prilike da se upoznaju sa BackTrack Linux distribucijom, Metasploit frejmvorkom i drugim javno dostupnim alatima, virusima, trojancima i ostalim programima zlonamernog koda. Modul obuhvata demonstracije i praktične vežbe.</p> <p> </p> <h2>Mrežna bezbednost</h2> <p>Modul opisuje tehnologije, uređaje i softvere koji omogućavaju kreiranje bezbednih mreža kao što su firewalli, uređaji za detekciju i prevenciju upada (IDS/IPS), VPN koncentratori i ostala aktivna mrežna oprema. Posaban naglasak se daje na pravilno dizajniranje mreže sa stanovišta bezbednosti (DMZ, VLAN, NAT, Wireless, virtualizacija i slično), kao i na preporučene bezbednosne prakse za IT administratore (ACL, 802.1x, Port Security, analiza logova). Ovaj modul takođe obrađuje mrežne protokole i servise kao i načine njihove zaštite.</p> <p> </p> <h2>Bezbednost aplikacija, podataka i računara</h2> <p>Modul obrađuje bezbednost operativnih sistema, desktop i web aplikacija sa stanovišta napadača. Polaznici kursa će kroz seriju demonstracija videti kako hakeri pronalaze propuste u aplikacijama i kako ih zloupotrebljavaju. Poseban naglasak je dat na pisanje bezbednog koda, kao i na druge mehanizme zaštite aplikacija i operativnih sistema (anti virusi, bezbedna podešavanja operativnih sistema). Termini sa kojima će se polaznici upoznati su između ostalog i: Fuzzing, Debugging, XSS, XSRF, DEP, ASLR i drugi. Obrađuju se i teme bitne za zaštitu podataka: backup, šifrovanje podataka, prevencija gubitka podataka i drugo.</p> <p> </p> <h2>Kontrola pristupa i menadžment identiteta</h2> <p>Modul obrađuje principe autentifikacije i autentifikacione protokole kao što su Kerberos, RADIUS, TACACS i drugi. Polaznici će se upoznati sa tokenima, smart karticama, preporučenim praksama u vidu razdvajanja privilegija, upravljanja lozinkama i kontrolama pristupa.</p> <p> </p> <h2>Kriptografija</h2> <p>Modul obrađuje kriptografske principe u vidu simetričnih, asimetričnih i heš algoritama. Polaznici će se upoznati sa steganografskim tehnikama, odnosno tehnikama sakrivanja podataka. Biće obrađeni i kriptografski alati i proizvodi, kao i principi rada infrastrukture javnih ključeva i digitalnih sertifikata. </p> <p> </p> <h2>Regulativa i operativna bezbednost</h2> <p>Ovaj modul se bavi analizom rizika i načinima proračuna. Upućuje polaznike u načine ublažavanja rizika, pa se u okviru toga obrađuju i upravljanje rizicima, upravljanje izmenama (Change Management), bezbednosne politike i procedure, treninzi podizanja bezbednosne kulture i svesti (Security Awareness), oporavljanje od pada sistema i drugo. Ovaj modul takođe obrađuje i upravljanje incidentima, kao i digitalnu forenziku.</p> <p> </p> <p>Svi polaznici kursa dobijaju knjigu <b>CompTIA Security + All-in-One Exam Guide (Exam SY0-301), 3rd Edition </b>i CD-ROM sa testovima(ili sličnu).</p> <p> </p> <p> </p> <p> </p> <p> </p><div style="clear:both;"></div> </article> <article> <h1>Otvorena OWASP podružnica u Srbiji!</h1> <p>levaja — Mon, 20 Feb 2012 18:32:00 GMT</p> <p>Sa zadovoljstvom vas obaveštavam da je otvoren OWASP Serbia chapter, prvenstveno zahvaljujući radu i zalaganju kolege Nikole Miloševića.</p> <p><a href="https://www.owasp.org/index.php/Serbia">https://www.owasp.org/index.php/Serbia</a> </p><div style="clear:both;"></div> </article> <article> <h1>Testni time stamping server</h1> <p>levaja — Tue, 14 Feb 2012 15:05:00 GMT</p> <p>Pošta Srbije je pokrenula testni TSA server!</p> <p><a href="http://test-tsa.ca.posta.rs/">http://test-tsa.ca.posta.rs/</a> </p><div style="clear:both;"></div> </article> <article> <h1>SCOM kao MSP alat</h1> <p>oparnica — Tue, 14 Feb 2012 14:06:00 GMT</p> SCOM svojim mogućnostima duboko pokriva i oblast MSP tržišta. Sve više ozbiljnih MSP provider-a koristi SCOM za nadziranje svojih SLA klijentata. O SCOM-u kao MSP alatu na sledećem linku http://viewer.zmags.com/publication/037db268#/037db268/46...(<a href="http://msforge.net/blogs/oparnica/archive/2012/02/14/scom-kao-msp-alat.aspx">read more</a>) </article> <article> <h1>27. februar – Security Awareness trening</h1> <p>levaja — Mon, 13 Feb 2012 17:19:00 GMT</p> <p> </p> <p>27. februara, u prostorijama firme Network Security Solutions, održava se trening podizanja IT bezbednosne kulture.<br />Trening traje od 9-14h, košta 60 EUR u dinarskoj protivvrednosti + PDV. </p> <p>U nastavku se nalazi agenda, a prijave možete slati na <a href="mailto:office@netsec.rs">office@netsec.rs</a></p> <p> </p> <h1>Agenda Security Awareness treninga</h1> <h2>(Trening podizanja bezbednosne svesti)</h2> <p> </p> <p>Jednodnevni trening u trajanju od 5 školskih časova.</p> <p> </p> <h2>Uvod u informacionu bezbednost </h2> <p> Tema obrađuje pojmove kao što su digitalne informacije, podaci, informacioni sistemi i njihov značaj u savremenom poslovanju i životu. Šta je to informaciona bezbednost i kako se postiže. Koji faktori utiču na bezbednost i do kakvih sve problema može dovesti neadekvatna zaštita računara i podataka.</p> <h2>Internet</h2> <p>Globalna mreža čiji smo i mi deo. Svi imamo pristup Internetu, ali i drugi korisnici Interneta potencijalno imaju pristup našem računaru. Kako funkcioniše Internet. Lokacijena mreži koje treba izbegavati. Osnovna bezbednosna kultura korišćenja Interneta.</p> <h2>Pretnje i rizici</h2> <p>Kakve pretnje postoje na mreži. Zašto bi nas neko napao? Tipovi i motivacije napadača. Faze napada na naš sistem.</p> <h2>Zlonamerni programi</h2> <p>Тema obrađuje razne vrste zlonamernih programa kao što su virusi, trojanci i slično. Poseban osvrt na alate i metode zaštite od zlonamernih programa.</p> <h2>Socijalne mreže</h2> <p>Socijalne mreže - fenomen današnjice. Nebezbednost socijalnih mreža. Kako odajemo informacije o sebi ili drugima? Načini zloupotrebe i posledice.</p> <h2>Elektronska pošta</h2> <p>Značaj elektronske pošte u savremenom poslovanju. Značaj elektronske pošte za zlonamerne korisnike/hakere. Načini zloupotrebe elektronske pošte i sistema za prenos (spam, hoax, virusi...)</p> <h2>Lozinke</h2> <p>Predstavljanje sistemu - autentifikacija. Pravilno i nepravilno korišćenje lozinki za pristup sistemu. Zloupotreba lozinki i njihov značaj za zlonamerne korisnike/hakere.</p> <h2>Detekcija upada</h2> <p>Tema obrađuje sisteme za zaštitu računara i računarskih mreža. Poseban osvrt na sisteme za detektovanje napada od strane zlonamernih korisnika/hakera. </p> <h2>Rukovanje incidentima</h2> <p>Kako postupiti u trenutku kada detektujemo napad na naš informacioni sistem? Šta je to bezbednosni incident. Koji su koraci za prevazilaženje bezbednosnog incidenta. Bezbednosne politike i procedure.</p> <h2>Bezbedno čuvanje podataka i opreme</h2> <p>Podaci i načini njihovog čuvanja. Fizička i tehnička bezbednost računara. Zaštita podataka - šifrovanje, dozvole pristupa, rezervne kopije. Zaštita računara na poslu i kod kuće. Alarmni sistemi, kemere, brave i sefovi - da li su podaci dovoljno bezbedni?</p> <h2>Napredni napadi na sisteme</h2> <p>Anatomija hakerskog napada. Demonstracija realnih i aktuelnih tehnika koje hakeri koriste da bi ugrozili naše podatke i informacione sisteme.</p> <h2>Test usvojenog znanja</h2> <p>Test predstavlja samoproveru usvojenog znanja na treningu, anoniman je i ne ocenjuje se. </p> <p> </p> <p> </p><div style="clear:both;"></div> </article> <article> <h1>Kako napisati RFP za penetration testing</h1> <p>levaja — Tue, 07 Feb 2012 13:32:00 GMT</p> <p>Kako napisati RFP za penetration testing</p> <p>Prirodom posla kojim se bavim, relativno često sam u prilici da dobijem ili čitam zahteve za dostavljanje ponuda za penetration testing usluge. U 10% slučajeva, RFP (request for proposal) je napisan smisleno, u ostalih 90% nije, što je uglavnom posledica nedovoljnog poznavanja ovog tipa usluga na našem tržištu. Ovaj post ima za cilj da bar malo razveje maglu koja obavija datu temu i da omogući donosiocima odluka u kompanijama/institucijama/bankama/štagod da lakše napišu RFP, kao i da bolje odaberu izvođača (OK, bilo bi idealno da je to uvek moja firma, ali nažalost to nije moguće :) ). Cela priča ide u 6 tačaka i to:</p> <blockquote> <p>1. Potreban nam je penetration testing/vulnerability assessment</p> <p>2. Šta se testira i kako?</p> <p>3. Pošto penetration testing (Daj 5)?</p> <p>4. Ko treba da radi PT?</p> <p>5. Nastup</p> <p>6. Primer</p> </blockquote> <p>Vežite se, krećemo:</p> <blockquote> <p>1. Potreban nam je penetration testing/vulnerability assessment.</p> </blockquote> <p>Čekajte...da li vam je potreban penetration testing ili vulnerability assessment? To nije isto.</p> <p>Da ne bih pisao nešto što je već X puta napisano, evo jednostavnog objašnjenja:</p> <p><a href="http://www.darknet.org.uk/2006/04/penetration-testing-vs-vulnerability-assessment/">http://www.darknet.org.uk/2006/04/penetration-testing-vs-vulnerability-assessment/</a></p> <blockquote> <p>2. Šta se testira i kako?</p> </blockquote> <p>PT može da se izvede na dva osnovna načina: </p> <blockquote> <p>· bez prethodnog poznavanja ciljeva </p> <p>· sa poznavanjem ciljeva.</p> </blockquote> <p>Ukoliko želite najrealniju sliku bezbednosti vaše mreže, onda je testiranje bez prethodnog poznavanja ciljeva, baš ono što vi želite, posebno kada se radi o testiranju iznutra (internal PT). Zašto? Zato što ovakav pristup ima i realan napadač na vašoj mreži. Da li ćete vašeg zaposlenog koji je, eto malo rešio da neautorizovano eskalira svoje privilegije, zamoliti da ne dira ona dva domen kontrolera koji su još uvek pod Windowsom 2000 i ažurirani su poslednji put dok je još postojala SFRJ ili tako nekako? Ne naravno. Nećete najverovatnije ni znati da je neko počeo napad, a samim tim ni šta napadač napada. Pred njim je široko polje i ima mogućnost da zloupotrebi bilo koji sistem ili deo sistema za svoje potrebe. Takva su pravila igre. Ako želite realan uvid u stanje bezbednosti, konsultant treba da poštuje isto pravilo igre. Izuzeci naravno postoje. Možete se dogovoriti koji sistemi ne treba da se testiraju npr. u radno vreme, jer testiranje može da proizvede „štucanje“ u radu produkcije, te je iz tog razloga pametno da se npr. produkciona Oracle baza zaobiđe u radno vreme ili da se preslika na neko virtuelno okruženje (što efikasno onemogućava deo testova, ali bar aplikativni nivo može da se proveri). Drugi razlog za ovakav pristup je što je on u isto vreme i kontrola vašeg IT odeljenja. Gotovo redovno nam se događa da kada IT unapred zna šta će biti testirano, ti sistemi budu „specijalno“ podešeni za testove (bivaju ažurirani dan pre testiranja iako nisu ažurirani proteklih 6 meseci, razna ometanja komunikacije, nerealni ACLovi na mrežnoj opremi itd..). Nama je takav setup dodatni izazov sa kojim se rado (i uspešno) nosimo, ali vi ne dobijate realnu sliku bezbednosti, a to je ono zašta nas plaćate! Ovakvo ponašanje nije samo greška ljudi iz IT odeljenja, već i menadžmenta koji rezultate koristi da „nabije na nos“ administratorima, iako pre toga naravno nisu slali ljude na security kurseve a smatraju ih odgovornima za sve, pa se oni prirodno brane na ovaj način. U krajnjem skoru, ispašta kompanija. Dakle, testovi širokog opsega daju realniju sliku (još ako su nenajvaljeni IT-ju, tim bolje). Ne dozvolite da se rezultati koriste za „prepucavanje“. Rezultati su tu da bi kompanija bezbednije, a samim tim i bolje poslovala.</p> <blockquote> <p>3. Pošto penetration testing (Daj 5)?</p> </blockquote> <p><a href="http://msforge.net/cfs-file.ashx/__key/CommunityServer.Blogs.Components.WeblogFiles/levaja/clip_5F00_image0021_5F00_63EEC090.jpg"></a></p> <p>Ukoliko ovako postavite pitanje, odgovori koje ćete dobiti se kreću u cenovnom rangu od par stotina evra do par desetina hiljada evra. </p> <p>Penetration testing (PT) nije burek. Pa čak i bureka ima različitih i na osnovu toga ima i različitih cena. Takođe, nisu svi pekari, kao ni sve pekare, isti, tako da cena zavisi i od toga.</p> <p>Cena zavisi od tačke 2 (šta se testira i kako). Ukoliko se testira bez prethodnog poznavanja ciljeva, <b><u>onda ste vi ti koji određujete koliko će testovi trajati, a ne konsultanti!!!</u></b></p> <p>Dužina trajanja testova zavisi od toga kako ste uradili analizu. Ukoliko vaša analiza kaže da prosečan napadač provede toliko i toliko sati pokušavajući da vam hakne sajt, onda je to odlična polazna osnova. Za testiranje iznutra stvari su malo komplikovanije, jer najverovatnije nemate logove koje bi ste analizirali kao u slučaju extraneta i doneli neki zaključak o potrebnom vremenu (nemate logove? :) ovo je tema za sasvim drugi post). U zavisnosti od veličine i kompleksnosti mreže, kao i od sprovedenih zaštitnih mehanizama, varira i vreme. Ukoliko ne možete nekom internom matematikom doći do toga koliko bi napadač posvetio vremena pokušajima upada, pitajte nekoga. </p> <p>Ukoliko ste odabrali drugi pristup, odnosno testiranje sa prethodnim poznavanjem opsega ciljeva, onda možete dobiti od ponuđača <b><u>njihovu</u></b> procenu vremena potrebnog za testiranje. Međutim:</p> <p><b><u>Poznavanje ciljeva nije nabrajanje opsega IP adresa!!!</u></b> Ukoliko tražite da vam dostave ponudu na osnovu broja IP adresa, opet ćete dobiti uglavnom netačne procene vremena. Možda u ovom trenutku pomislite da vas baš briga ako se konsultantska firma prevarila pa dala pogrešnu procenu na svoju štetu. E pa razmislite ponovo na čiju je štetu. Da li više volite da automehaničar odvoji vreme da vam detaljno pregleda auto pred put na more ili da pošalje momka koji uči zanat da otalja posao jer je majstor loše pogodio posao? Sve ima svoju cenu. Nema besplatnog ručka (sada vam nisam rekao ništa novo, ali bolje da naglasim).</p> <p>Jedna IP adresa može imati samo jedan otvoren port/servis, a može ih imati XY (reverse proxy, anyone?). <b><u>Na osnovu IP adrese ne možete dobiti dobru ponudu</u></b>. Poznavanje ciljeva znači da ste u svom RFP-u tačno naveli šta treba da se testira i koliko čega ima. U slučaju eksternog testiranja koje često obuhvata i web sajt/web aplikacije, podrazumeva se da ponuđač unapred zna kolika je web aplikacija - nije isto testirati sajt moje firme koji je 10 stranica statičkog HTMLa i testirati neku online prodavnicu sa milion interaktivnih formi. Ovakav način naručivanja posla, posebno kroz tendere koji su javno dostupni nosi u sebi rizik da celom svetu opišete šta od opreme imate i koliko i gde mislite da ste „tanki“ pa zato to želite i da testirate. Hakeri prate ovakve RFP-ove, ne pomažite im da vam ugroze sistem. Ukoliko odaberete ovaj pristup RFP-u, napravite tender po pozivu ili tako nekako. <br />I tako stižemo i do sledećeg:</p> <blockquote> <p>4. Ko treba da radi PT?</p> </blockquote> <p>I ovde postoje dva pristupa:</p> <blockquote> <p>· Sertifikati</p> <p>· Reference</p> </blockquote> <p>Neke firme preferiraju ljude sa sertifikatima. Sertifikati dokazuju da je neko prošao neku obuku. Kao što i diploma fakulteta pokazuje da je neko završio fakultet. Svi znamo na koje sve načine može da se stigne do diplome/sertifikata, tako da oslanjanje na papir ovog tipa, kada je PT u pitanju, nije dobar izbor. Postoji još jedan problem, opet u vezi sa nepoznavanjem ove problematike od strane naručilaca posla, a to je <b><u>zahtevanje pogrešnih sertifikata u RFP-u</u></b>. Ljudi, hajde da jednom za svagda definišemo ovu stvar: <b><u>CISSP je menadžment sertifikat, a ne tehnički sertifikat!!!</u></b><u></u></p> <p>To je kao da vam treba centarfor za tim, ali stalno raspisujete konkurs za trenera. U ovom slučaju, CISSP je veoma, veoma cenjen sertifikat i nimalo ga nije lako dobiti, čak šta više, nemoguće je „namestiti“ ispit, to znaju svi koji su u struci. Međutim, poznavanje procedura za rukovanje incidentima, svakako nije ono što ste vi tražili...vama ljudi treba neko ko ume da prepozna tehničku anomaliju i da je zloupotrebi. Ima CISSP sertifikovanih koji poseduju i ovaj skill set, ali to definitivno nema nikakve veze sa time što su CISSP sertifikovani. </p> <p>Dalje, sertifikati iz security struke koji se stiču tako što se na ispitu odgovara na na a,b,c,d pitalice su blago rečeno smešni kada je PT u pitanju. Odgovorno ovo tvrdim jer sam i sam ponosni vlasnik nekih od njih. Isti su mi potrebni samo da bih odgovorio na RFP koji je pogrešno napisan :).</p> <p>Mali je broj sertifikata koji zaista zahtevaju demonstraciju praktičnog znanja. Pogledajte npr. Offsec sertifikate <a href="http://www.offensive-security.com/">http://www.offensive-security.com/</a> . Ispiti traju 24 do 48 sati i polažu se hands on. Nema pitalica, nema drag-and-drop pitanja. Samo vi, metasploit i debugger :).</p> <p><b><u>Reference.</u></b> E to je ono što vama treba. I to ne reference firme. Trebaju vam lične reference konsultanata koji će eventualno raditi posao, jer firme ostaju a ljudi odlaze i drugi dolaze. Pogledajte FK CZ danas i FK CZ 1991. god.. Isto ime, a današnji rezultati – drama J (BTW, navijam za Partizan).</p> <p>Pogledajte za koga su ti ljudi radili, šta su radili (do onog stepena do kojeg to mogu da vam kažu, sigurno su obavezani mnogim NDA ugovorima). Pogledajte da li su objavljivali radove, pisali alate, koliko su zero-day ranjivosti pronašli. To su bitni parametri. Svako (ili skoro svako) ume da pokrene Nessus i da vam da izveštaj. To nije ono što vi plaćate!</p> <p>Firmu pitajte da li zapošljava ljude sa krimogenom prošlošću. Poslednje u životu što vam treba je da angažujete konsultante sa dosijeom u MUP-u. Posle njih možete lepo „format C:\“ cele mreže, pa lagano ispočetka. Proverite imena na internetu, Google (skoro) sve zna i pamti kao slon.</p> <blockquote> <p>5. Nastup</p> </blockquote> <p><b><u>Nastup: Vi ste u velikom problemu, samo vam mi možemo pomoći!</u></b> Postoji određen etički kodeks u našem poslu koji zabranjuje FUD (<a href="http://en.wikipedia.org/wiki/Fear,_uncertainty_and_doubt">http://en.wikipedia.org/wiki/Fear,_uncertainty_and_doubt</a> ) marketing prema klijentima. Ukoliko primetite da konsultanti primenjuju ove metode, tražite odmah druge. Neiskrenost prema klijentu je loša u svakom poslu, a u pitanjima bezbednosti može imati vrlo poražavajuće implikacije po naručioca.</p> <p><b><u>Nastup: Poznajemo sve tehnologije.</u></b> Ukoliko konsultanti sve znaju, onda mi javite njihove telefone ili email adrese. Mnogo bih voleo da upoznam nekoga ko sve zna. Evo ja se bavim ovim poslom skoro deceniju, pa svaki dan učim nešto novo. Šta ću, verovatno sam glup :).</p> <p><b><u>Nastup: Sada ste garantovano bezbedni. </u></b>Ukoliko vam konsultanti garantuju da ste bezbedni nakon njihovih testova, razmislite ponovo. To niko ne može da vam garantuje. Ko tvrdi suprotno, ili nema pojma o čemu priča ili srpski rečeno - laže. <b><u>Penetration testing ne dokazuje da ste bezbedni. Penetration testing može samo da dokaže da niste bezbedni! </u></b>Zapamtite ovo. To što mi nismo uspeli u određenom roku da vam upadnemo u sistem, ne znači da ste bezbedni. To samo znači da mi nismo pod datim uslovima i u tom vremenu uspeli. Možda bi neko drugi uspeo. Uvek ima neko jači. Možda je jutros neko pronašao zero-day ranjivost za koju mi ne znamo a odnosi se na sistem koji vi koristite. Penetration testing je „best effort“ pristup. Lažni osećaj sigurnosti je mnogo gori od svesti o tome da možda nešto nije u redu. Komunicirajte sa konsultantima. </p> <p><b><u>Nastup: Naši testovi su 100% bezbedni po produkciju.</u></b> Ma ‘hajte molim vas J. Možda ako se ne izvode na toj produkciji. Prilikom testiranja koriste se pored manuelnih tehnika i alata i automatizovani alati koji vrše i po nekoliko desetina hiljada testova. Iako postoje kategorije testova koji su opasniji po produkciju od nekih drugih, niko ne može da garantuje da neće imati uticaja. Potpisnik ovih redova je jednom vrlo uspešno „ubio“ bankarsku aplikaciju najobičnijim port skenom. Naravno, na konsultantima je da primene sve mere opreza da do takvih događaja ne dođe, već sam pominjao prebacivanje produkcionih osetljivih servera u virtuelno okruženje i slično, međutim napadač neće imati takvih skrupula. Možda je bolje da utvrdite nestabilnost sistema u kontrolisanom okruženju i uslovima kada možete ispratiti kako je došlo do incidenta nego da otkrijete na teži način. Pentesteri su probni vozači vaše mreže, bolje da sada ispadne menjač, nego na autoputu :).</p> <blockquote> <p>6. Primer zahteva za dostavljanje ponuda</p> </blockquote> <p>Primer kratkog i preciznog zahteva za PT :</p> <p> <table cellspacing="0" cellpadding="0"> <tr> <td> <p><b><i>Ciljevi i vremenski okvir</i></b></p> <p><b><i></i></b></p> <p>· <i>Externi graybox penetration testing, na mrežnom i aplikativnom nivou, 5 dana van radnog vremena.</i></p> <p>· <i>Interni Blackbox penetration testing, na mrežnom i aplikativnom nivou, 10 dana u toku radnog vremena.</i></p> <p>· <i>Interni Blackbox penetration testing, na mrežnom i aplikativnom nivou, 2 dana van radnog vremena.</i></p> <p><i></i></p> <p><b><i>Lokacije:</i></b></p> <p><i></i></p> <p>· <i>Externi penetration testing se radi sa lokacije konsultanta</i></p> <p>· <i>Interni penetration testing se radi sa naše lokacije i sa naše opreme.</i></p> <p><i></i></p> <p><b><i>Izveštaj</i></b></p> <p><i></i></p> <p>· <i>Executive i tehnički izveštaj sa rangiranjem ranjivosti po CVSS sistemu i preporukama za ublažavanje rizika, rok 10 radnih dana.</i></p> </td> </tr> </table> </p> <p>Detalji se dalje definišu ugovorom, ali već ste naveli sve što treba da bi ste dobili kvalitetne ponude.</p> <p>Nadam se da sam bar malo pomogao!</p><div style="clear:both;"></div> </article> <article> <h1>Februarski sastanak IT PRO korisničke grupe u Beogradu</h1> <p>aleksandar — Wed, 01 Feb 2012 12:11:00 GMT</p> <p>Sutra, 2. februara 2012. godine, <strong>od 18 časova, </strong>u prostorijama Microsofta (Makedonska 30, VI sprat, Beograd) održaće se prvi sastanak IT PRO korisničke grupe u ovoj godini. Naziv predavanja je <strong>PowerShell v3 Remoting: Nove mogućnosti.</strong><span id="ctl00_ctl00_ctl00_ContentPlaceHolderAll_ContentPlaceHolderContent_ContentPlaceHolderContent_FormViewNews_ctl00_LabelBody"></span></p> <p>Apstrakt predavanja: <em>Remoting je osnovna odlika Windows PowerShell-a. Mada uveden u prethodnoj verziji Windows PowerShell-a, dolazi do punog značaja u v3 kao osnovni način za upravljanje Windows Server-om 8. Iako to ne bi rekli na prvi pogled, novi Server Manager se zasniva na PowerShell Remoting-u. Pridružite nam se da se upoznate sa promenama koje je donela nova verzija, kao i potpuno novim mogućnostima koje PowerShell Remoting čine mnogo robusnijim, pouzdanijim, fleksibilnijim i efikasnijim.</em></p> <div>Dođite da se družimo i da saznate nešto novo. Vidimo se.</div><div style="clear:both;"></div> </article> <article> <h1>Javna rasprava o Nacrtu zakona o informacionoj bezbednosti</h1> <p>levaja — Tue, 31 Jan 2012 13:01:25 GMT</p> <p>Uključite se!</p> <p><a title="http://www.digitalnaagenda.gov.rs/vesti/javna-rasprava-povodom-nacrta-zakona-o-informacionoj-bezbednosti/" href="http://www.digitalnaagenda.gov.rs/vesti/javna-rasprava-povodom-nacrta-zakona-o-informacionoj-bezbednosti/">http://www.digitalnaagenda.gov.rs/vesti/javna-rasprava-povodom-nacrta-zakona-o-informacionoj-bezbednosti/</a></p><div style="clear:both;"></div> </article> <article> <h1>Software Developer’s Journal - Demystifying Lazy Load Pattern</h1> <p>vukoje — Tue, 17 Jan 2012 21:33:00 GMT</p> I have written an article for Software Developer’s Journal 1/2012 titled “Demystifying Lazy Load Pattern”. READ MORE>>...(<a href="http://msforge.net/blogs/vukoje/archive/2012/01/17/software-developer-s-journal-demystifying-lazy-load-pattern.aspx">read more</a>) </article> <article> <h1>SCOM - monitorisanje Office 365</h1> <p>oparnica — Fri, 06 Jan 2012 10:37:00 GMT</p> Iako još od 28. Juna 2011. postoji Office 365, monitorisanje istog je mesec dana mladje.. 27. Jul 2011. Evo kako se podešava SCOM da monitoriše Office 365 http://www.systemcentercentral.com/BlogDetails/tabid/143/IndexID/90983/Default.aspx...(<a href="http://msforge.net/blogs/oparnica/archive/2012/01/06/scom-monitorisanje-office-365.aspx">read more</a>) </article> <article> <h1>Срећна Нова година и Божић уз нови MS epic fail :)</h1> <p>levaja — Thu, 29 Dec 2011 10:18:11 GMT</p> <p><a href="http://msforge.net/cfs-file.ashx/__key/CommunityServer.Blogs.Components.WeblogFiles/levaja/SrecnaNG_5F00_76EB24A8.png"></a> </p> <p><a title="http://pastebin.com/wur40B8X" href="http://pastebin.com/wur40B8X">http://pastebin.com/wur40B8X</a></p> <p><a href="http://seclists.org/fulldisclosure/2011/Dec/477">http://seclists.org/fulldisclosure/2011/Dec/477</a></p><div style="clear:both;"></div> </article> <article> <h1>Otkud moj SCOM zna da je kafe ponestalo?</h1> <p>oparnica — Sat, 24 Dec 2011 08:48:00 GMT</p> SCOM je ekstremno ozbiljan proizvod. Može bre kuću da sruši ! Kad predstavljam SCOM i njegove mogućnosti vezane za monitorisanje i upravljanje IT entitetima (IT servisima, aplikacijama, procesima, kodom, šasijama, itd.. itd..) prva reakcija je uvek poštovanje. Kad napomenem da SCOM može da nadzire i klima uredjaje, proizvodne mašine, automatiku, .. tu su već klijenti očarani proizvodom... Ali kad im pokažem da SCOM može da kontroliše i nivo kafe u kafe automatu...(<a href="http://msforge.net/blogs/oparnica/archive/2011/12/24/otkud-moj-scom-zna-da-je-kafe-ponestalo.aspx">read more</a>) </article> <article> <h1>System Center Operations Manager 2007 / R2 Pregled</h1> <p>oparnica — Wed, 21 Dec 2011 11:23:00 GMT</p> Pozdrav, SCOM i ja. Susret sa SCOM-om je proizašao iz potrebe da se pronadje adekvatan MSP (Managed Service Provider) alat, koji zadovoljava visoke zahteve tržišta. Dobili smo zadatak (moj kolega Nicklas Westerberg i ja) da izgradimo MSP sistem centar koji će raditi kao "Inteligence surveillance" centar i vršiti nadzor svih IT servisa tadašnjih SLA (Service Level Agreement) klijenata.... da ne dužim mnogo..proslo je tu mnogo proizvoda, Sysorb, WhatsUp Gold, itd...(<a href="http://msforge.net/blogs/oparnica/archive/2011/12/21/system-center-operations-manager-2007-r2-pregled.aspx">read more</a>) </article> <article> <h1>Najava sastanaka NS IT i BG IT Pro korisničkih grupa</h1> <p>aleksandar — Sun, 20 Nov 2011 20:00:00 GMT</p> <p><span style="font-family:arial, sans-serif;font-size:13px;border-collapse:collapse;"> </span></p> <div style="color:#222222;">Sastanak NS IT UG će se održati 23. novembra 2011. sa početkom u 17:30h.</div> <div style="color:#222222;">Lokacija: <a title="Vega IT Sourcing" href="http://www.vegaitsourcing.rs/contact.aspx" target="_blank" style="color:#1155cc;"><span style="color:#3366cc;">Vega IT Sourcing</span></a> (<a href="http://www.vegaitsourcing.rs/contact.aspx" target="_blank" style="color:#1155cc;">http://www.vegaitsourcing.rs/contact.aspx</a>)</div> <p> </p> <div style="color:#222222;">Sastanak BG IT Pro UG će se održati 1. decembra 2011. sa početkom u 18:00h.</div> <div style="color:#222222;">Lokacija: Makedonska 30, VI sprat - Microsoft Srbija</div> <p> </p> <div><span style="color:#222222;">Tema oba sastanka će biti</span><span style="color:#500050;"> Windows PowerShell Remoting.</span></div> <div></div> <div class="im" style="color:#500050;"> <div> <div>Apstrakt: PowerShell v2 je doneo dugo priželjkivanu funkcionalnost—PowerShell remoting—i omogućio nam da izvršavamo PowerShell komande na udaljenim računarima. Tokom ove prezentacije videćete kako se omogućava PowerShell remoting, kako izvršavamo udaljene komande, šta je PowerShell sesija, kako uspostavljamo interaktivnu sesiju, na koji način istovremeno izvršavamo komandu na većem broju računara...</div> <p> </p> <div>Očekujte veliki broj praktičnih primera.</div> <p> </p> <div>Dođite da se družimo i da saznate nešto novo. Poželjno je da postavite što veći broj pitanja. Vidimo se.</div> <p> </p> </div> </div><div style="clear:both;"></div> </article> <article> <h1>mergeness, a tool to merge .nessus report files</h1> <p>levaja — Fri, 11 Nov 2011 21:34:00 GMT</p> <p>If you need to merge .nessus report files from time to time, here is a tool to help you out. </p> <p> </p> <p></p> <p> </p> <p><a href="http://msforge.net/cfs-file.ashx/__key/CommunityServer.Blogs.Components.WeblogFiles/levaja/mergeness.zip">Download mergeness!</a></p><div style="clear:both;"></div> </article> <article> <h1>Šta želite da saznate o PowerShell-u?</h1> <p>aleksandar — Thu, 03 Nov 2011 22:03:00 GMT</p> <p>Planiramo za kraj novembra sastanke IT Pro korisničkih grupa u Beogradu i Novom Sadu. Koje teme vezane za Windows PowerShell vas zanimaju? Šta bi želeli da čujete? Evo par predloga:</p> <ul> <li>PowerShell za početnike</li> <li>PowerShell i WMI</li> <li>PowerShell Remoting</li> <li>Interactive PowerShell Scripting</li> </ul> <p>Ostavite komentar- glasajte za neki od predloga ili predložite novu temu. Vidimo se krajem novembra.</p> <p> </p><div style="clear:both;"></div> </article> <article> <h1>Sinergija 11: Automating Windows Server 2008 R2 Administration with Windows PowerShell</h1> <p>aleksandar — Thu, 03 Nov 2011 18:11:00 GMT</p> <p> Na Microsoft <a href="http://www.mssinergija.net" title="Microsoft Sinergija" class="null">Sinergiji 11</a> imali ste priliku da čujete par prezentacija koje su za temu imale <a href="http://www.microsoft.com/powershell" title="Scripting with Windows PowerShell" class="null">Windows PowerShell</a>. Jedna od njih, <em>Automating Windows Server 2008 R2 Administration with Windows PowerShell</em>, je bila izuzetno posećena i sala nije bila dovoljno velika da primi sve zainteresovane. Ako ste i vi bili među njima, evo prilike da pogledate prezentaciju.</p> <div id="__ss_10005900" style="width:425px;"><strong style="display:block;margin:12px 0 4px;"><a target="_blank" href="http://www.slideshare.net/alexandair/automating-windows-server-2008-r2-administration-with-windows-powershell" title="Automating Windows Server 2008 R2 Administration with Windows PowerShell">Automating Windows Server 2008 R2 Administration with Windows PowerShell</a></strong> <div style="padding:5px 0 12px;">View more <a target="_blank" href="http://www.slideshare.net/">presentations</a> from <a target="_blank" href="http://www.slideshare.net/alexandair">alexandair</a> </div> </div> <p><a href="https://skydrive.live.com/?cid=5DEC3B62D9308943&sc=documents#!/?cid=ae5f13a01302c385&sc=documents&id=AE5F13A01302C385%21195!cid=AE5F13A01302C385&id=AE5F13A01302C385%21195&sc=documents" title="Preuzmite demo kod" class="null">Demo kod</a> je takođe dostupan za preuzimanje.</p> <p> </p> <p>Svima koji su izdržali tropsku temperaturu u sali i sačekali kraj predavanja, još jednom hvala. Nadam se da se isplatilo.</p><div style="clear:both;"></div> </article> <article> <h1>Sinergija 11 presentation material</h1> <p>vukoje — Sun, 23 Oct 2011 01:10:00 GMT</p> Here is the presentation material [ download ] [ view online ]. Also I have a some interesting resources for you. READ MORE>>...(<a href="http://msforge.net/blogs/vukoje/archive/2011/10/23/sinergija-11-presentation-material.aspx">read more</a>) </article> <article> <h1>Sinergija11 Announcement</h1> <p>vukoje — Sat, 15 Oct 2011 19:55:00 GMT</p> I will be giving a talk on 19th October at this year Sinergija titled “ Soprex framework on .NET in action ”. The target of this session is to cover leading ideas and basic principles behind Soprex Core Application (SCA) framework for building enterprise applications. I will cover some of the most important design decisions we made while building it. Some of them are: How we implemented Domain objects (entities) and why. What are we using for Data Access and why it is awesome! How Model...(<a href="http://msforge.net/blogs/vukoje/archive/2011/10/15/sinergija11-announcement.aspx">read more</a>) </article> <article> <h1>Microsoft Sinergija (Synergy) 2011</h1> <p>Bojan Jovičić — Sat, 08 Oct 2011 09:01:00 GMT</p> This year I will be speaking at the annual Microsoft conference Sinergija 2011 (Sinergy) . As a CIO I am very proud that this year there are even two speakers from our company's IT team, beside myself. This is a significant acknowledgement both to the whole company as well as to my work in inspiring and motivating others to grow and learn, but also to join the community and share the knowledge (starting with 2009 when one of my associates held one track, to 2010 and this with two of my associates...(<a href="http://msforge.net/blogs/bojan/archive/2011/10/08/microsoft-sinergija-synergy-2011.aspx">read more</a>) </article> </main></body></html>