Blind Injection

Kako napisati RFP za penetration testing

levaja — Tue, 07 Feb 2012 13:32:00 GMT

Kako napisati RFP za penetration testing

Prirodom posla kojim se bavim, relativno često sam u prilici da dobijem ili čitam zahteve za dostavljanje ponuda za penetration testing usluge. U 10% slučajeva, RFP (request for proposal) je napisan smisleno, u ostalih 90% nije, što je uglavnom posledica nedovoljnog poznavanja ovog tipa usluga na našem tržištu. Ovaj post ima za cilj da bar malo razveje maglu koja obavija datu temu i da omogući donosiocima odluka u kompanijama/institucijama/bankama/štagod da lakše napišu RFP, kao i da bolje odaberu izvođača (OK, bilo bi idealno da je to uvek moja firma, ali nažalost to nije moguće :) ). Cela priča ide u 6 tačaka i to:

1. Potreban nam je penetration testing/vulnerability assessment

2. Šta se testira i kako?

3. Pošto penetration testing (Daj 5)?

4. Ko treba da radi PT?

5. Nastup

6. Primer

Vežite se, krećemo:

1. Potreban nam je penetration testing/vulnerability assessment.

Čekajte...da li vam je potreban penetration testing ili vulnerability assessment? To nije isto.

Da ne bih pisao nešto što je već X puta napisano, evo jednostavnog objašnjenja:

http://www.darknet.org.uk/2006/04/penetration-testing-vs-vulnerability-assessment/

2. Šta se testira i kako?

PT može da se izvede na dva osnovna načina:

· bez prethodnog poznavanja ciljeva

· sa poznavanjem ciljeva.

Ukoliko želite najrealniju sliku bezbednosti vaše mreže, onda je testiranje bez prethodnog poznavanja ciljeva, baš ono što vi želite, posebno kada se radi o testiranju iznutra (internal PT). Zašto? Zato što ovakav pristup ima i realan napadač na vašoj mreži. Da li ćete vašeg zaposlenog koji je, eto malo rešio da neautorizovano eskalira svoje privilegije, zamoliti da ne dira ona dva domen kontrolera koji su još uvek pod Windowsom 2000 i ažurirani su poslednji put dok je još postojala SFRJ ili tako nekako? Ne naravno. Nećete najverovatnije ni znati da je neko počeo napad, a samim tim ni šta napadač napada. Pred njim je široko polje i ima mogućnost da zloupotrebi bilo koji sistem ili deo sistema za svoje potrebe. Takva su pravila igre. Ako želite realan uvid u stanje bezbednosti, konsultant treba da poštuje isto pravilo igre. Izuzeci naravno postoje. Možete se dogovoriti koji sistemi ne treba da se testiraju npr. u radno vreme, jer testiranje može da proizvede „štucanje“ u radu produkcije, te je iz tog razloga pametno da se npr. produkciona Oracle baza zaobiđe u radno vreme ili da se preslika na neko virtuelno okruženje (što efikasno onemogućava deo testova, ali bar aplikativni nivo može da se proveri). Drugi razlog za ovakav pristup je što je on u isto vreme i kontrola vašeg IT odeljenja. Gotovo redovno nam se događa da kada IT unapred zna šta će biti testirano, ti sistemi budu „specijalno“ podešeni za testove (bivaju ažurirani dan pre testiranja iako nisu ažurirani proteklih 6 meseci, razna ometanja komunikacije, nerealni ACLovi na mrežnoj opremi itd..). Nama je takav setup dodatni izazov sa kojim se rado (i uspešno) nosimo, ali vi ne dobijate realnu sliku bezbednosti, a to je ono zašta nas plaćate! Ovakvo ponašanje nije samo greška ljudi iz IT odeljenja, već i menadžmenta koji rezultate koristi da „nabije na nos“ administratorima, iako pre toga naravno nisu slali ljude na security kurseve a smatraju ih odgovornima za sve, pa se oni prirodno brane na ovaj način. U krajnjem skoru, ispašta kompanija. Dakle, testovi širokog opsega daju realniju sliku (još ako su nenajvaljeni IT-ju, tim bolje). Ne dozvolite da se rezultati koriste za „prepucavanje“. Rezultati su tu da bi kompanija bezbednije, a samim tim i bolje poslovala.

3. Pošto penetration testing (Daj 5)?

Ukoliko ovako postavite pitanje, odgovori koje ćete dobiti se kreću u cenovnom rangu od par stotina evra do par desetina hiljada evra.

Penetration testing (PT) nije burek. Pa čak i bureka ima različitih i na osnovu toga ima i različitih cena. Takođe, nisu svi pekari, kao ni sve pekare, isti, tako da cena zavisi i od toga.

Cena zavisi od tačke 2 (šta se testira i kako). Ukoliko se testira bez prethodnog poznavanja ciljeva, onda ste vi ti koji određujete koliko će testovi trajati, a ne konsultanti!!!

Dužina trajanja testova zavisi od toga kako ste uradili analizu. Ukoliko vaša analiza kaže da prosečan napadač provede toliko i toliko sati pokušavajući da vam hakne sajt, onda je to odlična polazna osnova. Za testiranje iznutra stvari su malo komplikovanije, jer najverovatnije nemate logove koje bi ste analizirali kao u slučaju extraneta i doneli neki zaključak o potrebnom vremenu (nemate logove? :) ovo je tema za sasvim drugi post). U zavisnosti od veličine i kompleksnosti mreže, kao i od sprovedenih zaštitnih mehanizama, varira i vreme. Ukoliko ne možete nekom internom matematikom doći do toga koliko bi napadač posvetio vremena pokušajima upada, pitajte nekoga.

Ukoliko ste odabrali drugi pristup, odnosno testiranje sa prethodnim poznavanjem opsega ciljeva, onda možete dobiti od ponuđača njihovu procenu vremena potrebnog za testiranje. Međutim:

Poznavanje ciljeva nije nabrajanje opsega IP adresa!!! Ukoliko tražite da vam dostave ponudu na osnovu broja IP adresa, opet ćete dobiti uglavnom netačne procene vremena. Možda u ovom trenutku pomislite da vas baš briga ako se konsultantska firma prevarila pa dala pogrešnu procenu na svoju štetu. E pa razmislite ponovo na čiju je štetu. Da li više volite da automehaničar odvoji vreme da vam detaljno pregleda auto pred put na more ili da pošalje momka koji uči zanat da otalja posao jer je majstor loše pogodio posao? Sve ima svoju cenu. Nema besplatnog ručka (sada vam nisam rekao ništa novo, ali bolje da naglasim).

Jedna IP adresa može imati samo jedan otvoren port/servis, a može ih imati XY (reverse proxy, anyone?). Na osnovu IP adrese ne možete dobiti dobru ponudu. Poznavanje ciljeva znači da ste u svom RFP-u tačno naveli šta treba da se testira i koliko čega ima. U slučaju eksternog testiranja koje često obuhvata i web sajt/web aplikacije, podrazumeva se da ponuđač unapred zna kolika je web aplikacija - nije isto testirati sajt moje firme koji je 10 stranica statičkog HTMLa i testirati neku online prodavnicu sa milion interaktivnih formi. Ovakav način naručivanja posla, posebno kroz tendere koji su javno dostupni nosi u sebi rizik da celom svetu opišete šta od opreme imate i koliko i gde mislite da ste „tanki“ pa zato to želite i da testirate. Hakeri prate ovakve RFP-ove, ne pomažite im da vam ugroze sistem. Ukoliko odaberete ovaj pristup RFP-u, napravite tender po pozivu ili tako nekako.
I tako stižemo i do sledećeg:

4. Ko treba da radi PT?

I ovde postoje dva pristupa:

· Sertifikati

· Reference

Neke firme preferiraju ljude sa sertifikatima. Sertifikati dokazuju da je neko prošao neku obuku. Kao što i diploma fakulteta pokazuje da je neko završio fakultet. Svi znamo na koje sve načine može da se stigne do diplome/sertifikata, tako da oslanjanje na papir ovog tipa, kada je PT u pitanju, nije dobar izbor. Postoji još jedan problem, opet u vezi sa nepoznavanjem ove problematike od strane naručilaca posla, a to je zahtevanje pogrešnih sertifikata u RFP-u. Ljudi, hajde da jednom za svagda definišemo ovu stvar: CISSP je menadžment sertifikat, a ne tehnički sertifikat!!!

To je kao da vam treba centarfor za tim, ali stalno raspisujete konkurs za trenera. U ovom slučaju, CISSP je veoma, veoma cenjen sertifikat i nimalo ga nije lako dobiti, čak šta više, nemoguće je „namestiti“ ispit, to znaju svi koji su u struci. Međutim, poznavanje procedura za rukovanje incidentima, svakako nije ono što ste vi tražili...vama ljudi treba neko ko ume da prepozna tehničku anomaliju i da je zloupotrebi. Ima CISSP sertifikovanih koji poseduju i ovaj skill set, ali to definitivno nema nikakve veze sa time što su CISSP sertifikovani.

Dalje, sertifikati iz security struke koji se stiču tako što se na ispitu odgovara na na a,b,c,d pitalice su blago rečeno smešni kada je PT u pitanju. Odgovorno ovo tvrdim jer sam i sam ponosni vlasnik nekih od njih. Isti su mi potrebni samo da bih odgovorio na RFP koji je pogrešno napisan :).

Mali je broj sertifikata koji zaista zahtevaju demonstraciju praktičnog znanja. Pogledajte npr. Offsec sertifikate http://www.offensive-security.com/ . Ispiti traju 24 do 48 sati i polažu se hands on. Nema pitalica, nema drag-and-drop pitanja. Samo vi, metasploit i debugger :).

Reference. E to je ono što vama treba. I to ne reference firme. Trebaju vam lične reference konsultanata koji će eventualno raditi posao, jer firme ostaju a ljudi odlaze i drugi dolaze. Pogledajte FK CZ danas i FK CZ 1991. god.. Isto ime, a današnji rezultati – drama J (BTW, navijam za Partizan).

Pogledajte za koga su ti ljudi radili, šta su radili (do onog stepena do kojeg to mogu da vam kažu, sigurno su obavezani mnogim NDA ugovorima). Pogledajte da li su objavljivali radove, pisali alate, koliko su zero-day ranjivosti pronašli. To su bitni parametri. Svako (ili skoro svako) ume da pokrene Nessus i da vam da izveštaj. To nije ono što vi plaćate!

Firmu pitajte da li zapošljava ljude sa krimogenom prošlošću. Poslednje u životu što vam treba je da angažujete konsultante sa dosijeom u MUP-u. Posle njih možete lepo „format C:\“ cele mreže, pa lagano ispočetka. Proverite imena na internetu, Google (skoro) sve zna i pamti kao slon.

5. Nastup

Nastup: Vi ste u velikom problemu, samo vam mi možemo pomoći! Postoji određen etički kodeks u našem poslu koji zabranjuje FUD (http://en.wikipedia.org/wiki/Fear,_uncertainty_and_doubt ) marketing prema klijentima. Ukoliko primetite da konsultanti primenjuju ove metode, tražite odmah druge. Neiskrenost prema klijentu je loša u svakom poslu, a u pitanjima bezbednosti može imati vrlo poražavajuće implikacije po naručioca.

Nastup: Poznajemo sve tehnologije. Ukoliko konsultanti sve znaju, onda mi javite njihove telefone ili email adrese. Mnogo bih voleo da upoznam nekoga ko sve zna. Evo ja se bavim ovim poslom skoro deceniju, pa svaki dan učim nešto novo. Šta ću, verovatno sam glup :).

Nastup: Sada ste garantovano bezbedni. Ukoliko vam konsultanti garantuju da ste bezbedni nakon njihovih testova, razmislite ponovo. To niko ne može da vam garantuje. Ko tvrdi suprotno, ili nema pojma o čemu priča ili srpski rečeno - laže. Penetration testing ne dokazuje da ste bezbedni. Penetration testing može samo da dokaže da niste bezbedni! Zapamtite ovo. To što mi nismo uspeli u određenom roku da vam upadnemo u sistem, ne znači da ste bezbedni. To samo znači da mi nismo pod datim uslovima i u tom vremenu uspeli. Možda bi neko drugi uspeo. Uvek ima neko jači. Možda je jutros neko pronašao zero-day ranjivost za koju mi ne znamo a odnosi se na sistem koji vi koristite. Penetration testing je „best effort“ pristup. Lažni osećaj sigurnosti je mnogo gori od svesti o tome da možda nešto nije u redu. Komunicirajte sa konsultantima.

Nastup: Naši testovi su 100% bezbedni po produkciju. Ma ‘hajte molim vas J. Možda ako se ne izvode na toj produkciji. Prilikom testiranja koriste se pored manuelnih tehnika i alata i automatizovani alati koji vrše i po nekoliko desetina hiljada testova. Iako postoje kategorije testova koji su opasniji po produkciju od nekih drugih, niko ne može da garantuje da neće imati uticaja. Potpisnik ovih redova je jednom vrlo uspešno „ubio“ bankarsku aplikaciju najobičnijim port skenom. Naravno, na konsultantima je da primene sve mere opreza da do takvih događaja ne dođe, već sam pominjao prebacivanje produkcionih osetljivih servera u virtuelno okruženje i slično, međutim napadač neće imati takvih skrupula. Možda je bolje da utvrdite nestabilnost sistema u kontrolisanom okruženju i uslovima kada možete ispratiti kako je došlo do incidenta nego da otkrijete na teži način. Pentesteri su probni vozači vaše mreže, bolje da sada ispadne menjač, nego na autoputu :).

6. Primer zahteva za dostavljanje ponuda

Primer kratkog i preciznog zahteva za PT :

Ciljevi i vremenski okvir

· Externi graybox penetration testing, na mrežnom i aplikativnom nivou, 5 dana van radnog vremena.

· Interni Blackbox penetration testing, na mrežnom i aplikativnom nivou, 10 dana u toku radnog vremena.

· Interni Blackbox penetration testing, na mrežnom i aplikativnom nivou, 2 dana van radnog vremena.

Lokacije:

· Externi penetration testing se radi sa lokacije konsultanta

· Interni penetration testing se radi sa naše lokacije i sa naše opreme.

Izveštaj

· Executive i tehnički izveštaj sa rangiranjem ranjivosti po CVSS sistemu i preporukama za ublažavanje rizika, rok 10 radnih dana.

Detalji se dalje definišu ugovorom, ali već ste naveli sve što treba da bi ste dobili kvalitetne ponude.

Nadam se da sam bar malo pomogao!

Javna rasprava o Nacrtu zakona o informacionoj bezbednosti

levaja — Tue, 31 Jan 2012 13:01:25 GMT

Uključite se!

http://www.digitalnaagenda.gov.rs/vesti/javna-rasprava-povodom-nacrta-zakona-o-informacionoj-bezbednosti/

Срећна Нова година и Божић уз нови MS epic fail :)

levaja — Thu, 29 Dec 2011 10:18:11 GMT

http://pastebin.com/wur40B8X

http://seclists.org/fulldisclosure/2011/Dec/477

mergeness, a tool to merge .nessus report files

levaja — Fri, 11 Nov 2011 21:34:00 GMT

If you need to merge .nessus report files from time to time, here is a tool to help you out.

Download mergeness!

Zbogom TMG!

levaja — Tue, 26 Jul 2011 21:07:02 GMT

Microsoft je izgleda odlučio da prestane sa izbacivanjem novih verzija ISA/TMG. Nisam uspeo da nađem zvaničnu MS potvrdu u vezi ovoga ali čini se da je TMG 2010 poslednji džedaj :(

Malo više detalja na: http://blogs.isaserver.org/shinder/2011/05/27/death-of-tmg/

Da li je vreme da se okrenemo alternativama? I kojim? Šta mislite?

Što se mene lično tiče, moram da priznam da se osećam pomalo kao magarac jer sam preporučivao ljudima da pređu na TMG i sad ispade da sam ih dovukao čamcem na sred mora i ostavio ih bez jedra, vesla ili bilo čega sličnog. Možda naučim nešto pametno iz svega ovoga…

Ako naiđem na neki update, baciću ga ovde.

Pozz!

MDaemon WorldClient Email Subject Script Insertion Vulnerability

levaja — Thu, 19 May 2011 08:30:33 GMT

Izašao je update za popularni mejl server MDaemon verzija 12.0.2 koji sprečava napad na korisnike WorldClient web mejla.

Zakrpljena ranjivost se ogleda u izvršavanju koda upisanog u Subject polje email poruka prilikom logovanja na WorldClient (Summary View), bez (XSS) ili sa minimalnom interakcijom korisnika(kreiranje korisnika npr.), a pod privilegijama korisnika.

Primer:

Ovde računamo da će korisnik naravno kliknuti na Yes :)

http://secunia.com/advisories/44144/

http://files.altn.com/MDaemon/Release/relnotes_en.html

Novi krug obuke iz oblasti bezbednosti u martu!

levaja — Thu, 24 Feb 2011 08:37:32 GMT

Prenosim poruku u celini:

Poštovani,

Ovom prilikom želimo da Vas obavestimo da 15. marta 2011. počinje treci krug programa obuke i sertifikacije iz oblasti sigurnosti informacionih sistema i da vas pozovemo da se prijavite. Obuka je organizovana u saradnji Privredne komore Beograda, Network Security i 2ETC, uz podršku USAID Projekta za razvoj konkurentnost i usmerena na usvajanje znanja potrebnih za dobijanje međunarodnih sertifikata CISSP i CompTIA Security+. Obuku vode domaći stručnjaci sa dugogodišnjim iskustvom koji i sami poseduju ove sertifikate.

Model obuke kombinuje obuku u učionici, sa učenjem na daljinu – tzv. kombinovano učenje (“blended learning”). Kroz pet (šest za CISPP) jednodnevnih radionica u savremeno opremljenim učionicama Privredne komore Beograda koje su rasporedjene tokom pet radnih nedelja, prelazi se korpus znanja vezan za odgovarajući sertifikat. Paralelno sa radionicama, polaznici dobijaju pristup SkillSoft IT Security Knowledge Center-u koji im obezbeđuje veliki broj materijala (knjiga, prezentacija, vezbi, testova, audio i video zapisa) za pripremu ispita, u trajanju od 6 meseci. Obuka ce se izvoditi u dve grupe a ukupan broj polaznika ograničen je na 30.

Planirano je da se CompTIA kurs odrzava utorkom u teminu od 9h-17h (15.03., 22.03., 29.03., 05.04. i 12.04.2011.), a CISSP kurs cetvrtkom u istom terminu (17.03., 24.03., 31.03.,

07.04., 14.04. i 21.04.2011.). Tačni datumi će biti potvrdjeni po prijemu aplikacija. Kursevi će se održavati u Privrednoj komori Beograda, Kneza Miloša 12 (kod Londona).

Privredna komora Beograda je u mogucnosti da obuku ponudi po beneficiaranoj ceni zbog podrske USAID Projekta za razvoj konkurentnosti.

Cena za CompTIA Security+ kus je 300 EUR + PDV u dinarskoj protivvrednosti, odnosno 400 EUR+ PDV za CISSP. Akitvni članovi Privredne komore Beograda imaju dodatni popust od 30 EUR po polazniku.

Prednost pri izboru imaju kandidati koji su:

• Srpski državljani

• Poseduju min. 2 god iskustva na IT poslovima

• Imaju dobro poznavanje engleskog jezika

Kako se prijaviti?

1. Popuniti aplikacioni formular i poslati na isstraining@compete.rs do 10. marta 2011

2. Odobrenim kandidatima projekat izdaje vaučer koji im daje pravo na povlašćenu cenu obuke.

3. Kandidat se sa vaucerom obraća Privrednoj Komori Srbije i u obavezi je da plati sponzorisanu cenu obuke Privrednoj komori Beograda pre početka treninga.

4. Kandidat pohađa obuku.

5. Kandidat je odgovoran za polaganje sertifikacionog ispita do kraja 2011.

6. Kandidati koji dobiju sertifikate mogu se Projektu obratiti za refundaciju polovine troškova polaganja.

Dakle, ukoliko ste zainteresovani za Program, molim Vas da popunite aplikacioni formular i pošaljete ga na isstraining@compete.rs najkasnije do 10. marta 2011. Ukoliko imate dodatnih pitanja, slobodno nas kontaktirajte.

Srdačan pozdrav,

___________

Miloš Džepina

ICT Sector

USAID Competitiveness Project

Booz │ Allen │ Hamilton

Dalmatinska 17, 11000 Belgrade, Serbia

Tel: +381 11 2769 464

E-mail: mdzepina@compete.rs

http://www.compete.rs/

Tražimo Security konsultanta sa iskustvom

levaja — Tue, 09 Nov 2010 21:01:50 GMT

Network Security Solutions d.o.o. traži iskusnog Sistem inženjera za rad na poslovima IT bezbednosti.

Obavezno:

Odlično poznavanje Microsoft ISA/TMG u enterprise okruženju
Odlično poznavanje mrežnih protokola
Odlično poznavanje Windows Server 2003/2008 servera
Sposobnost samostalnog rešavanja problema

Veliki plus:

Poznavanje Microsoft PKI

Poželjno:

Linux
Cisco
Scripting (batch, powershell, vbs...)
Iskustvo u pisanju projektne dokumentacije
Sertifikati: MCSE, MCSE+S, Security+, CCNA

Vaš CV možete poslati na: office@netsec.rs

CompTIA Security+ & CISSP u oktobru!

levaja — Thu, 02 Sep 2010 10:05:17 GMT

Pozdrav svima, evo zvaničnog obaveštenja:

Poštovani,

Ovom prilikom želimo da Vas obavestimo da 5. oktobra 2010. počinje drugi krug programa obuke i sertifikacije iz oblasti sigurnosti informacionih sistema i da vas pozovemo da se prijavite. Obuka je organizovana u saradnji Privredne komore Beograda, Network Security i 2ETC, uz podršku USAID Projekta za razvoj konkurentnost i usmerena na usvajanje znanja potrebnih za dobijanje međunarodnih sertifikata CISSP i CompTIA Security+. Obuku vode domaći stručnjaci sa dugogodišnjim iskustvom koji i sami poseduju ove sertifikate.

Model obuke kombinuje obuku u učionici, sa učenjem na daljinu – tzv. kombinovano učenje (“blended learning”). Kroz pet (šest za CISPP) jednodnevnih radionica u savremeno opremljenim učionicama Privredne komore Beograda koje su rasporedjene tokom pet radnih nedelja, prelazi se korpus znanja vezan za odgovarajući sertifikat. Paralelno sa radionicama, polaznici dobijaju pristup SkillSoft IT Security Knowledge Center-u koji im obezbeđuje veliki broj materijala (knjiga, prezentacija, vezbi, testova, audio i video zapisa) za pripremu ispita, u trajanju od 6 meseci. Obuka ce se izvoditi u dve grupe a ukupan broj polaznika ograničen je na 30.

Planirano je da se CompTIA kurs odrzava utorkom u teminu od 9h-17h (5.10., 12.10., 19.10., 26.10. i 2.11.2010.), a CISSP kurs cetvrtkom u istom terminu (7.10., 14.10., 21.10.,

28.10., 4.11. i 11.11.2010.). Tačni datumi će biti potvrdjeni po prijemu aplikacija. Kursevi će se održavati u Privrednoj komori Beograda, Kneza Miloša 12 (kod Londona).

Privredna komora Beograda je u mogucnosti da obuku ponudi po beneficiaranoj ceni zbog podrske USAID Projekta za razvoj konkurentnosti.

Cena za CompTIA Security+ kus je 300 EUR + PDV u dinarskoj protivvrednosti, odnosno 400 EUR+ PDV za CISSP. Akitvni članovi Privredne komore Beograda imaju dodatni popust od 30 EUR po polazniku.

Prednost pri izboru imaju kandidati koji su:

• Srpski državljani

• Poseduju min. 2 god iskustva na IT poslovima

• Zaposleni su u domaćem malom ili srednjem preduzeću (MSP)

• Imaju dobro poznavanje engleskog jezika

• Posluju u jednom od sledećih sektora:

Ø Informaciono-komunikacione tehnologije

Ø Građevinski sektor, auto industrija, energetika

Ø Industrija nameštaja i prerada drveta

Ø Turizam, film i produkcija

Kriterijumi za domaće MSP:

• Većinski srpski kapital

• Do 250 zaposlenih

• Obrt do 10 mil EUR godišnje

Kako se prijaviti?

1. Popuniti aplikacioni formular i poslati na isstraining@compete.rs do 10. septembra 2010.

2. Odobrenim kandidatima projekat izdaje vaučer koji im daje pravo na povlašćenu cenu obuke.

3. Kandidat se sa vaucerom obraća Privrednoj Komori Srbije i u obavezi je da plati sponzorisanu cenu obuke Privrednoj komori Beograda pre početka treninga.

4. Kandidat pohađa obuku.

5. Kandidat je odgovoran za polaganje sertifikacionog ispita do kraja 2010.

6. Kandidati koji dobiju sertifikate mogu se Projektu obratiti za refundaciju polovine troškova polaganja.

Dakle, ukoliko ste zainteresovani za Program, molim Vas da popunite aplikacioni formular i pošaljete ga na isstraining@compete.rs najkasnije do 10. septembra 2010. Ukoliko imate dodatnih pitanja, slobodno nas kontaktirajte.

Application form Application form

Sinergija 10: Hack The Gate :: Reloaded

levaja — Wed, 25 Aug 2010 16:26:26 GMT

Pozdrav svima,

Sa zadovoljstvom najavljujem da će ove godine na Sinergiji ponovo biti Hack The Gate takmičenja i to i za developere i za sistemaše.

Developeri će svoje 31337 skillz imati priliku da isprobaju u brojnim web izazovima kako na ASP tako i na PHP platformi. Sistemaše čekaju forenzičke i “secure the host” enigme ;)

Takmičenje će se obaviti u dva kruga: kvalifikacije do početka Sinergije i finale, naravno uživo, na Sinergiji.

Pravo učestvovanja imaju sva pravna i fizička lica koja su se prijavila za konferenciju.

Dakle drage kolege & koleginice izoštrite svoje web security veštine uz OWASP i sistemaške uz Wireshark i scripting (batch, power, vbs, šta god …), takmičenje kuca na vrata!!

Batch scripting: Reimenovanje fajlova u poddirektorijumima

levaja — Fri, 20 Aug 2010 09:25:25 GMT

Pozdrav svima.

Imao sam danas potrebu da reimenujem veći broj fajlova (zapravo da dodam ekstenziju) koji se nalaze u 40-tak poddirektorijuma, iz ekstenzije .module u .php. Pošto je lenjost u mom slučaju majka svih skriptova, iako bi mi bilo 2x brže da sam to uradio ručno, pokušao sam da stvar ipak izguram kroz skript (i to batch, ne python, osećam se mazohistički od jutros ;) ).

Struktura izgleda ovako:

<snip>

Directory of D:\Downloads\drupal-5.5\modules\system

20-Aug-10 11:10    <DIR>          .
20-Aug-10 11:10    <DIR>          ..
23-Nov-06 13:05             1,686 admin.css
25-Aug-06 11:01               737 defaults.css
21-Dec-06 18:13             6,932 system.css
06-Dec-07 22:30               311 system.info
07-Nov-07 07:53           126,680 system.install
06-Dec-07 22:23            94,610 system.module
               6 File(s)        230,956 bytes

Directory of D:\Downloads\drupal-5.5\modules\taxonomy

20-Aug-10 11:10    <DIR>          .
20-Aug-10 11:10    <DIR>          ..
06-Dec-07 22:30               299 taxonomy.info
06-Dec-07 20:16            55,791 taxonomy.module
               2 File(s)         56,090 bytes

Directory of D:\Downloads\drupal-5.5\modules\throttle

20-Aug-10 11:10    <DIR>          .
20-Aug-10 11:10    <DIR>          ..
06-Dec-07 22:30               327 throttle.info
20-Dec-06 12:29             9,071 throttle.module
               2 File(s)          9,398 bytes

</snip>

Pošto mi posao savršeno završava dodavanje .php na postojeću .module ekstenziju (npr. throttle.module => throttle.module.php), rešenje bi izgledalo ovako:

for /F "tokens=1" %i in ('dir /b /s ^| findstr /E "module"') do move %i %i.php

Objašnjenje:

Petlja FOR sa svičem /F trči kroz izlaz komande iz zagrade i reimenuje, odnosno prebacuje fajl iz jedne ekstenzije u drugu. MOVE komanda je korišćena umesto REN zbog jednostavnije sintakse. Zapravo ne znam kako bih u jednoj liniji rešio problem sa REN….možda ugnježdavanjem FOR unutar FOR….to su već suicidalne tendencije….

DIR /B /S lista u “golom” formatu (/b) sve poddirektorijume (/s). Izlaz se preusmerava u ulaz FINDSTR komande (mlađi brat GREP komande ;) ), pri čemu je svič /E ključan jer traži reč “module” na kraju stringa a ne bilo gde. U suprotnom, pošto sama putanja do fajla takodje sadrži reč “module”, izlaz komande bi bio neželjen jer bi nam izlistao sve fajlove. Komande u zagradi su pod jednostrukim navodnicima, koji rade otprilike isto što i backticks na linuxu, a sam pipe ( | ) je eskejpovan sa ( ^ ) inače bi usledila poruka o grešci. Na kraju, MOVE prebacuje fajl u željenu ekstenziju.

Pozz!

Python :: Detect input locale

levaja — Fri, 30 Jul 2010 19:10:00 GMT

While playing around with a python keylogger I had a problem finding out a way to detect keyboard input locale. After spending whole afternoon trying to make it work, I finally succeeded (IMHO :) ). If you have better/shorter/more pythonic way to do it, I will be more than happy to hear about it.

Anyway, start the script, open other apps (browser, notepad, whatever...) and switch between input locales. Have fun ;)

from ctypes import *
from _winreg import *
import sys, time
user32 = windll.user32

layout_map={}

def FindLocaleName():
    hklm = ConnectRegistry(None, HKEY_LOCAL_MACHINE)
    path = "SYSTEM\CurrentControlSet\Control\Keyboard Layouts"
    key = OpenKey(hklm, path)
    layouts = []
    for i in range(1024):
        try:
            layouts.append(EnumKey(key, i))
        except:
            pass
    CloseKey(key)
    for subkey in layouts:
        path = "SYSTEM\CurrentControlSet\Control\Keyboard Layouts\\"+subkey
        key = OpenKey(hklm, path)
        txt = QueryValueEx(key, "Layout Text")
        layout_map[subkey]=txt[0]
        CloseKey(key)

def MapLayout(kbd):
    base = str(kbd[5:])
    pad = '0000'
    layout = pad+base
    if layout in layout_map:
        layout_name = layout_map[layout]
        return layout_name
    else:
        print "Can not find layout %d", layout
def Keyboard():
    w = ""
    l = ""
    while 1:
        time.sleep(1)
        tid = user32.GetWindowThreadProcessId(w, 0)
        if (w == user32.GetForegroundWindow()) and (l==hex(user32.GetKeyboardLayout(tid))):
            pass
        else:
            w = user32.GetForegroundWindow()
            tid = user32.GetWindowThreadProcessId(w, 0)
            kbd = hex(user32.GetKeyboardLayout(tid))
            l=kbd
            buf_size = user32.GetWindowTextLengthA(w)
            buf=c_buffer(' ' * buf_size)
            window_text = user32.GetWindowTextA(w,buf,256)
            window_name = "".join(buf)
            print ' window name:\t', window_name
            print 'window handle:\t', w
            print 'locale:\t\t', kbd
            layout_name=MapLayout(kbd)
            print 'locale name:\t', layout_name
            sys.stdout.flush()
def SelfPraise():
    print " "
    print "            _"
    print " _ __   ___| |_ ___ ___ ___ "
    print "| '_ \ / _ \ __/ __|/ _ \/ __|"
    print "| | | | __/ |_\__ \ __/ (__ "
    print "|_| |_|\___|\__|___/\___|\___|"
    print "     http://www.netsec.rs"
    print "   dejan.levaja@netsec.rs "
if __name__ == '__main__':
    SelfPraise()
    FindLocaleName()
    Keyboard()

</Python>

CompTia Security+ kursevi :: novi krug obuke

levaja — Fri, 30 Jul 2010 09:15:38 GMT

Pozdrav svima,

Novi krug obuke za CompTia Security+ u oktobru. Stay tuned!

CompTIA Security+ kursevi u Privrednoj komori Beograda

levaja — Sun, 23 May 2010 10:37:32 GMT

Pozdrav svima!

Nisam baš bio vredan po pitanju blogovanja u poslednjih nekoliko meseci (kriv sam, priznajem ;) ).

Imam vest koja kasni već u startu, ali možda nije loše da znate, pa da se formira još neka grupa ukoliko je moguće.

Privredna komora Beograda, USAID, 2ETC i Network Security Solutions su napravile miksovan trening (classroom based + computer based) za CompTIA Security+ i CISSP sertifikate. Trenutno imamo dve grupe koje su prošle nedelje počele Sec+ i sutra kreće grupa za CISSP.

Organizacija funkcioniše ovako: USAID sponzoriše, 2ETC daje online trening, podršku i obimnu knjižaru u trajanju od 6 meseci, PK Beograda daje fantastične učionice, moja firma daje 5 dana (9-17h) classroom treninga za CompTIA Security+, a kolega Milan Vlahović iz PK Beograda drži trening za CISSP (isto 5 dana od 9-17h). Sve ovo navedeno uz pomoć USAID-a košta samo 300 EUR!!! Ukoliko položite ispit, USAID plaća i pola cene ispita!

Puna cena Sec+ treninga i pomenutog online pristupa bez pomoći USAID-a bi bila oko 1200 EUR i to bez uračunatog polaganja ispita.

Ukoliko ste želeli da otpočnete security karijeru, eto prilike.

Zainteresovani mogu da se jave na office@netsec.rs , pa ću ih uputiti dalje ka nadležnima.

Kritično!!! MS10-018 –> Instalirajte odmah!

levaja — Wed, 31 Mar 2010 13:15:25 GMT

Microsoft je danas pustio kumulativni Out-of-band security update za IE (sve verzije). Ovaj update zamenjuje MS10-002 (Aurora exploit patch).

Više informacija ovde.