December 2008 - Posts

Kreiranje foldera iz komandne linije se izvodi krajnje jednostavno komandom MKDIR (ili MD).

Nagradno pitanje:

Kako napraviti prazan fajl iz komandne linije koristeći Windows ugrađene komande?

Nagrada je 5 pčelica (može i bambija) u dnevniku  :-)
Šalim se. Ko pobedi dobije majicu sa NSS logom.

 

P.S. Aco ti nemas pravo učestvovanja. Možeš da budeš u komisiji ;-)

Dva ozbiljna stručnjaka su razmenila argumente po pitanju budućnosti penetration testinga u 2009. godini.

Brian Chess (Fortify) i Ivan Arce (Core Security) su predstavili svoja dijametralno suprotna mišljenja u vezi ovog pitanja, naravno, i jedan i drugi su malo "poterali vodu na svoju vodenicu". Brian kaže da pentesting umire i da je 2009. oproštajna godina za PT u formi koju danas poznajemo, dok Ivan tvrdi suprotno i predviđa da 2009. god. predstavlja idealnu godinu za PT.

Originalne tekstove možete pročitati ovde i ovde.

Ko je danas prisustvovao predavanju HTG tima na Web Fu konferenciji, mogao je videti da je u našoj zemlji potreba za pentestingom realna, ali da se isti očigledno ne primenjuje (ili se bar ne vide rezultati).

XSS, SQL injection i veliki broj drugih propusta, manje-više kompletna OWASP top 10 lista, glavna su (ne)bezbednosna odlika vladinih i finansijskih sajtova i pored veoma neprijatnih iskustava tokom ove godine.

Dakle kada je sudbina PT-a kod nas u pitanju, ne moramo da se brinemo, pošto nešto prvo mora da postoji, da bi moglo da nestane :-)

 

Pozz!

S vremena na vreme, kolege i ja otkrijemo po neki bezbednosni propust na webu, u komercijalnom softveru i sl..

Nekada je to deo posla, kada npr. radimo Penetration Testing pa je pronalaženje "rupa" nešto što se podrazumeva, nekad slučajno primetimo problem dok koristimo aplikaciju ili krstarimo webom, a nekada to radimo i iz čiste dosade.

Koji god razlog bio u pitanju, kada se propust pronađe, red je da se vendor obavesti kako bi zaštitio svoje klijente time što će zakrpiti propust i pustiti update u opticaj. Nakon što vendor zvanično izda zakrpu, smatra se da je OK da researcher objavi detalje, ali i kulturnim da se vendor zahvali onima koji su ne samo pomogli da se problem otkrije, nego i bili korektni, pa nisu objavili detalje o propustu pre nego što su obavestili vendora ili prodali to što znaju (polu)legalnim marketima (ZDI i slični) ili nekim underground ekipama.

Da bi se ovi prilično osetljivi odnosi na relacji researcher <-> vendor nekako definisali, postoji inicijativa koja se zove "Responsible Disclosure Policy", trenutno RFC draft, koja omogućava i jednima i drugima uspostavljanje standardnog procesa saradnje i rešavanja problema tako da svi koji su u igri znaju pravila. Većina vendora profitira na saradnji uspostavljenoj na ovaj način ji s obzirom da postoji veliki broj ljudi koji rade testiranje za 0 EUR, tj. iz hobija.

Jedini profit koji researcheri imaju od svega ovoga je kada vendor objavi zahvalnicu, najčešće na svom sajtu, gde imenom i prezimenom pomene onoga koji je pronašao propust i pomogao da se isti prevaziđe.

RDP naravno definiše i ponašanje u slučaju da vendor odbije saradnju. Odijanje saradnje može imati nekoliko formi: vendor ne odgovara u predviđenom vremenu, proces krpljenja propusta traje više nego što je realno potrebno i slično.

Iako mislim da je ovo značajna tema i da sam trebao već da napišem par reči o istoj i bez nekog naročitog povoda, priznajem da sam iznerviran ponašanjem Yahoo-a koji ima čitavu istoriju neodgovaranja na mejlove kolega (i moje, između ostalih), a da pri tome naravno koristi obaveštenja koja dobija od security zajednice i u tišini krpi rupe. Korisnici Yahoo sajta/sajtova nisu ni svesni kakvih tamo bezbednosnih problema ima. Neprofesionalnost i neodgovornost su adekvatni termini da se opiše odnos Yahooa prema klijentima, a o tome kakav je odnos prema researcherima najbolje govori to što za razliku od Microsofta, Googlea i sličnih, Yahoo uopšte nema web stranicu posvećenu onima koji im štite klijente, čime stvaraju lažnu sliku o sebi kao o firmi koja nema bezbednosne propuste.

Dakle, povod za ovoliki post je to što sam 30.11. javio kompaniji Yahoo da imaju preko 100 (slovima: stotinu) potencijalnih XSS propusta na svom sajtu. Radi se o totalno lamerskom flash clicktag xss-u.

Pogađate: odgovor nisam dobio. Pogađajte još jednom: propuste su zakrpili. Istina, nisam probao svih 100 ;-)

 

POzzz!!!

 

P.S. ne bih da neko pomisli da je ovo jadikovka jadnog researchera koji eto radi za univerzalnu bezbednost Interneta i  mir u svetu, a sve to volonterski   :-D
Mi svakako koristimo kredite vendora u marketinške svrhe i profitiramo na tome, to nije sporno (tako valjda i treba, mora 'lebac da se jede od nečega).

Popularni MDaemon mejl server je ranjiv na XSS napade i u najnovijoj verziji 10.0.2.

Propust je otkrio Nenad Vijatov, inače učesnik finala HTG takmičenja održanog na Sinergiji 08.

Više detalja možete videti na:

http://secunia.com/advisories/32885/

 

Pozz!

Systeminfo.exe je odličan alat za prikupljanje osnovnih podataka kako o lokalnoj tako i o udaljenim mašinama. U pozadini svega se nalazi WMI (naravno).

Systeminfo prikuplja podatke o instaliranim zakrpama putem upita registry bazi i to ključu:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\HotFix

Verovatno ste primetili da u prikupljnim podacima o instaliranim HotFixevima ima i onih koji nemaju nikakvog smisla, kao npr. u ovom izlazu sa moje mašine:

<snip>

[01]: File 1
.
.
.
[37]: File 1
[38]: Q147222
[39]: M928366 - Update
[40]: S867460 - Update
[41]: KB926749 - Update
[42]: KB926751 - Update
.
.
.
[96]: XpsEPSC

</snip>

U datom slučaju postoji 37 linija koje se zovu "File1", što nam ne govori baš ništa o tome koji je KB u pitanju, ali ih možete slobodno ignorisati jer to nisu nerazrešeni nazivi KB-ova, već podključevi instaliranih zakrpa.

reg

 

Napomena: upit možete da postavite i direktno koristeći REG QUERY komandu:

reg query "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\HotFix"

 

Pozz!

 

.

Procitao sam malopre članak gorenavedenog naslova na hrvatskom potalu za informatičku bezbednost, pa me zanimaju vaši komentari u vezi iste teme ali u Srbiji. I nedostatak  komentara je na neki način komentar per se, bilo zato što niko ne čita ovaj blog osim mene (ja moram pošto pišem na njemu :-) ), bilo zato što nemamo čime da se pohvalimo. U tom kontekstu, imam nekoliko pitanja, pa ako možete da pomognete, onda odlično...

1. Koje konferencije su kod nas održane u 2008. god. a da su bile posvećene informatičkoj bezbednosti?

2. Koji zakoni/uredbe, šta god, su kod nas doneseni a da imaju veze sa ovom temom?

3. Da li je bilo kurseva/obuka koje su vodili strani stručnjaci?

4. Da li kod nas uopšte postoji svest o informatičkoj bezbednosti?