BMoro's Blog

A sosit vremea sa-mi iau la revedere de la ITBoard. Am mai avut aceasta intentie vara aceasta, dupa anumite atacuri gratuite, dar de data aceasta nu revin asupra deciziei.

Nu pretind ca-mi va simti cineva lipsa mai ales ca zona de Infosec este cenusareasa IT-ului, in special in Romania. Pentru cei care sunt interesati vor mai gasi cate ceva pe winadmin.ro.

Motivele pentru care imi iau la revedere sunt multiple, dar principalul este starea de repulsie care mi-o provoaca ipocrizia si tupeul, doua “calitati” atat de specifice societatii alterate in care traim, dar care nu ma caracterizeaza.

In ultima vreme ITBoard a ajuns o unealta de promovare a unor oameni si chiar firme, in detrimentul calitatii discutiilor si articolelor.

Andrei are si el defectele lui, ca orice om, dar, prin prisma faptului ca il cunosc si am lucrat impreuna de sapte ani incoace, pot spune ca pune multa pasiune in ceea ce face si existenta ITBoard lui i se datoreaza, nu oportunistilor care au iesit in fata in ultimul timp. De asemeni, din punctul meu de vedere, Andrei este un profesionist desavarsit, tot datorita faptului ca pune pasiune in ceea ce face.

Probabil nu foarta multa lume stie din dedesubturile unor actiuni de preluare abuziva a ITBoard, dar nu voi detalia eu, in schimb il provoc pe Vali Greavu sa povesteasca tuturor ce a facut si a incercat sa faca vara trecuta si din nou de ieri incoace.

Si cu asta va urez tuturor multa bafta si numai bine!

PS Comentariile sunt dezactivate, nu ma mai intereseaza reactiile. Cine are ceva de zis poate s-o faca pe forum.

Echipa Universitatii Tehnice Darmstadt castiga din nou competitia Solar Decathlon, competitie organizata de Ministerul Energiei al US in Washington DC, cu surPLUShome, o casa care produce de doua ori mai multa energie decat are nevoie.

Puteti vedea aici casa cu care aceeasi universitate a castigat in 2007, casa care a fost si cea mai populara pentru vizitatori.

Ma intreb daca la noi exista vreo universitate care sa aiba vreun proiect nu de anvergura acestuia, dar macar de 5% din acesta...

Sursa: Inhabitat.com

Scriam acum aproape un an despre Microsoft Morro, solutia gratuita de protectie impotriva malware-ului, destinata home-userilor. Ei bine, tocmai s-a lansat sub numele Microsoft Security Essentials si gasiti detalii aici.

Voi reveni cat de curand cu un test drive.

Nu, nu va alarmati, cel putin nu inca. O echipa de specialisti de la Immunity, sub coordonarea lui Kostya Kortchinsky, a dezvoltat un exploit pentru vulnerabilitatea SMB2, vulnerabilitate pentru care exista deja cod functional, dar care produce “numai” DOS (denial of service). Exploit-ul a fost inclus in produsul Immunity Canvas, produs de penetration testing. Motivul real de ingrijorare este ca si Metasploit Project este pe cale sa termine propria versiune de remote exploit. Pentru cine nu stie, Metasploit este o aplicatie folosita pentru dezvoltarea si testarea de exploit-uri, folosita atat de white hats cat si de black hats.

Intre timp, Microsoft a publicat o noua versiune a paginii despre vulnerabilitatea SMBv2, pagina din care puteti foarte simplu sa dezactivati sau sa reactivati SMBv2.

Sursa: TheRegister

Ma gandesc ca poate s-au lovit si altii de aceasta problema asa ca va impartasesc din experienta mea cu Skype si conectarea la diverse sisteme de conferinta.

Se pare ca inca de prin 2005 Skype-ul are o problema cu trimiterea tonurilor DTMF folosind dialpad-ul. Mai exact, formezi numarul sistemului de conferinta si dupa conectare acesta asteapta sa introduci numarul conferintei respective, numar care se introduce din interfata Skype cu ajutorul dialpad-ului. Din pacate, in foarte multe cazuri, tonurile trimise prin intermediul acestui dialpad nu se potrivesc cu ceea ce asteapta sistemul de conferinta sa primeasca.

Care este rezolvarea? Cu ajutorul unei aplicatii care genereaza tonuri DTMF, aplicatie pe care o gasiti aici, tinand microfonul in dreptul unei casti, va veti conecta fara probleme.

Dupa multi ani in care eram aproape convins ca au disparut atacurile de tip remote BSOD asupra sistemelor Windows, iata ca a aparut unul nou-nout bazat pe o vulnerabilitate in SMB2 (Server Message Block).

Ultima oara am folosit teardrop (compilat pe Linux, bineinteles ;) prin 1999; cum mai crapau NT-urile unul dupa altul... Acum a venit randul Windows 2008, Windows 7, Windows Vista; le-am testat pe toate 3 cu acelasi “succes”. Pana in acest moment singura protectie locala este sa va asigurati ca aveti Windows Firewall activat si nu exceptati “File and Printer Sharing” (ceea ce va fi cam greu pentru DC-uri si file servere). In cazul in care aveti IDS/IPS asigurati-va ca a aparut semnatura atacului la producator si downloadati-o cat mai repede.

Lista sistemelor de operare afectate o gasiti aici (includeti si Windows 2008).

Detalii suplimentare asupra vulnerabilitatii aici.

Demo:

Nu contest in nici un fel utilitatea Bitlocker-ului, dar prefer o modalitate de criptare a datelor care sa-mi dea posibilitatea de a accesa aceste date de pe mai multe platforme. Puteti face asta cu TrueCrypt, o aplicatie opensource disponibila atat pe Windows cat si pe Linux si MacOS X.

Primul screencast contine un scurt tutorial despre cum puteti cripta o partitie de pe un USB memory stick cu ajutorul TrueCrypt folosind o parola pentru acces la date. Este posibil sa criptati intregul drive USB dar pentru asta trebuie stearsa in prealabil partitia, ceea ce nu se poate face nativ din Windows, dar exista un utilitar numit DelPart pe care il gasiti aici (http://radified.com/Files/).

Operatiunea de criptare a unui volum de 1 GB ce contine un fisier de 118 MB dureaza in jur de 16 min (folosind si optiunea de wipe cu 3 treceri). In cazul in care nu doriti sa folositi optiunea wipe durata criptarii se reduce la maxim 6 minute.
In cazul criptarii unui volum (partitie) cu date pe el, trebuie ca acesta sa fie NTFS. Atentie, daca incercati sa accesati drive-ul USB criptat direct din Windows veti primi un mesaj de avertisment cum ca drive-ul nu este formatat si vi se va da optiunea sa fie formatat! Presupun ca nu doriti asta asa ca montati volumul criptat folosind TrueCrypt si il veti putea accesa folosind o alta litera de drive, cea selectata din TrueCrypt.

Cel de-al doilea screencast va arata intr-o prima parte cum puteti crea un drive USB cu TrueCrypt instalat in mod portabil, adica il puteti rula de pe orice sistem cu Windows. Partea a doua prezinta cum se creeaza un volum criptat intr-un fisier stocat pe acelasi drive USB si cum pot fi folosite "keyfiles" pentru criptarea datelor.
Bineinteles ca exista posibilitate de a folosi si parola si "keyfiles" pentru o siguranta si mai mare. Foarte interesant este faptul ca aplicatia TrueCrypt permite stocarea "keyfiles" pe smart card-uri sau token-uri protejate cu PIN.

TrueCrypt poate folosi oricare dintre urmatorii algoritmi de criptare: AES-256, Serpent, Twofish, sau orice combinatie intre acestia: AES-Serpent, AES-Twofish-Serpent, etc.

Desi aplicatia TrueCrypt pare complexa la prima vedere datorita mai multor ferestre prin care trebuie sa treceti si a diverselor mesaje de avertisment va asigur ca, daca cititi cu atentie textul din fiecare fereastra, nu veti intampina nici o problema in a o folosi cu succes.

1. Daca ai de gand sa faci cumparaturi pe Internet foloseste un card de credit cu o suma disponibila cat mai mica sau chiar un card pe care sa-ti virezi inainte exact suma necesara tranzactiei. Foloseste cardul respectiv numai pentru acest tip de cumparaturi. Majoritatea bancilor ofera carduri dedicate cumparaturilor si platilor online, bunurile beneficiind de sistemul “Money back guarantee” in caz de tranzactii cu probleme.

2. Nu da click niciodata pe un link primit pe e-mail sau messenger, chiar daca pare a veni de la un prieten/cunoscut. In cazul in care linkul pare a fi al unui site legitim mai bine foloseste - copy textul din link/paste in browser. Cel mai probabil nu vrei Viagra sau Cialis foarte ieftin, sa-ti faci vreo marire, sau sa o vezi pe “lonely_virgin”…

3. Fii cu update-urile la zi, atat pentru sistemul de operare (Windows, Linux, MacOS X, etc.) cat si pentru browser (Internet Explorer, FireFox, etc.) si aplicatii (Office, Adobe Flash/Reader, etc.). Foloseste un plug-in de browser care blocheaza on-demand scripturile din paginile web (NoScript pentru Firefox); acesta este o buna protectie impotriva atacurilor de tip “cross-site scripting”.

4.    4. Foloseste un antivirus, mai ales daca esti utilizator de Windows; exista produse antivirus gratuite pentru folosinta personala: AVG Antivirus, Avast!, Avira, ClamXav (MacOS X), Panda (Linux). Nu uita sa-l configurezi sa ia update-urile zilnic si sa mai si verifici din cand in cand daca este la zi!

5.    5. Foloseste o adresa de e-mail de “sacrificiu” in cazul in care trebuie sa completezi un formular pe web pentru a descarca ceva; iti poti crea aceasta adresa de e-mail pe Gmail, Hotmail sau Yahoo.

6.    6. Foloseste parole diferite pentru adresele web importante (site-uri de ibanking, e-mail-ul personal, etc.). Nu cred ca ai fi prea fericit daca parola de pe Hi5 ar fi compromisa si o foloseai pe inca 20 de site-uri, printre care si cel cu e-mail-ul personal sau blogul personal.

7.    7. Nu introdu niciodata date personale intr-o pagina de web fara criptare (SSL)! Uita-te cu atentie dupa lacatel (la IE sus dreapta, langa bara de adrese, la FF jos dreapta in bara de stare) ca sa fii sigur ca este criptata comunicatia.

8.    8. Nu ignora mesajele de avertisment afisate de browser, majoritatea browser-elor noi (IE7, FF3, Chrome, Safari) afiseaza mesaje de alarma la incercarea de accesare a site-urilor de phishing si/sau in cazul accesarii unor site-uri ce folosesc pentru criptarea comunicatiei certificate SSL expirate sau invalide. In cazul in care decizi sa ignori mesajele de avertisment macar fa o analiza a situatiei, verifica in PhishTank site-ul sau vezi detaiile certificatului SSL.

9.    9. Opreste Bluetooth-ul si wireless-ul de la laptop sau smartphone atunci cand nu le folosesti, in special Bluetooth-ul este susceptibil la un numar de atacuri (Bluejacking, Bluebugging, Bluesnarfing).

     10. Nu te conecta la retele wireless open necunoscute; in cazul in care totusi folosesti o retea wireless fara criptare limiteaza-te la a accesa site-uri web de interes general, nu folosi un site de ibanking, chiar daca site-ul respectiv este criptat (SSL)!

…Iar pentru a fi absolut protejat nu deschide deloc calculatorul…

Surse: BCS, GetSafeOnline

Slide-urile, nu si prezentarea:

Poate cei care activeaza in domeniul web stiu deja despre ce este vorba, dar eu m-am lovit de acest concept de curand si trebuie sa spun ca m-a pus pe ganduri.

Ce este de fapt "Internetul Lucrurilor"? Este o parte integranta a ceea ce va insemna Internetul Viitorului; initial o viziune asupra unui internet conectat la marele Internet, internet ce va contine toate obiectele folosite zi de zi, incepand de la electrocasnice, mobila, haine, alimente, medicamente, autovehicule, strazi, cladiri, etc., aceste obiecte putand fi reperate, identificate, adresate si controlate prin intermediul Internetului. Am spus ca a fost o viziune pentru ca intre timp, prin intermediul unor tehnologii cum ar fi RFID, NFC, Bluetooth, IPv6, este pe cale sa se transforme in realitate. Alte tehnologii, cum ar fi Smartdust, par a tine mai mult de domeniul SF, dar si acestea exista, deocamdata la nivelul cercetarii in zona militara. Chiar de curand, NEC a anuntat reducerea costurilor de productie pentru produsele RFID la sub 10% din pretul pietei.

Termenul "Internetul Lucrurilor" este atribuit lui Kevin Aston (Procter & Gamble), care l-a folosit prima data intr-o prezentare in anul 1998: "Adding radio-frequency identification and other sensors to everyday objects will create an Internet of Things, and lay the foundations of a new age of machine perception."

Desi aproximativ in aceeasi perioada, grupul ISTAG (Information Society Technologies Program Advisory Group) al Uniunii Europene, folosea termenul de "inteligenta ambientala" pentru a descrie o viziune similara a unui viitor in care oamenii vor fi inconjurati de interfete inteligente si intuitive integrate in obiectele inconjuratoare, pana la urma s-a impus "Internetul Lucrurilor" .

Care vor fi aplicatiile practice ale "Internetului Lucrurilor" ? Primele exemple vin din zona de retail, logistica, productie, sectoarele farmaceutic si alimentar – inventarul obiectelor, urmarirea transportului si livrarii, stocurile, prevenirea falsurilor si contrafacerilor. Un alt exemplu, corelat cu utilizarea nanotehnologiilor, este prevenirea abuzului de medicamente de catre pacienti si informarea in timp util a farmacistului/medicului pentru a opri sau continua tratamentul. Deja situatia aceasta arata cum va interfera "Internetul Lucrurilor" cu dreptul la viata privata.

Legat de aceste exemple va invit sa vedeti un demo realizat de SAP al unui magazin virtual in Second Life:

http://www.youtube.com/watch?v=Tfh_YvXZU9M

O alta aplicabilitate practica va fi dispozitivele inteligente care vor adapta mediul inconjurator, monitorizandu-ne starile si dorintele, actionand in anumite situatii in locul nostru. Spre exemplu: un senzor de presiune din patul inteligent va monitoriza pulsul, respiratia, miscarile, sensori din podea vor detecta daca o persoana cade, senzori din periuta de dinti vor detecta nivelul de toxine din respiratie si din gura, etc. Computer-ul ambiental care va monitoriza camera video aflata in spatele oglinzii din baie va detecta dimineata fata noastra cazuta dupa petrecerea de pomina de azi-noapte, va trece instalatia audio pe un post cu muzica vesela si ne va livra pe display-ul din bucatarie o lista de alimente de dieta recomandate... Probabil bancul de aici va deveni realitate cat de curand...

Convergenta tehnologiilor Nano-Bio-Info-Cogno va aduce schimbari dramatice in viata zilnica, promovand o imbunatatire sensibila a nivelului calitatii vietii.

Este evident ca "Internetul Lucrurilor" va aduce schimbari pozitive in aproape orice aspect al vietii, dar, in acelasi timp, este foarte greu de estimat impactul negativ, mai ales pe termen lung.

Surse: Europe's Information Society, Internet of Things Conference

Renumita firma de analiza Gartner sfatuieste companiile sa sara peste Vista si sa se pregateasca de migrarea la Windows 7. Motivul invocat este ca pregatirea unei migrari la Vista presupune acelasi efort ca si in cazul Windows 7, in plus implementarea de Windows 7 va avea o mai mare longevitate. Chiar si firmele care au inceput planificarea migrarii la Vista sunt sfatuite sa abandoneze proiectul, chiar cu pretul unei intarzieri de 6 luni.

Gartner estimeaza ca anul 2012 ar trebui sa fie anul limita de migrare la Windows 7 pentru a se evita probleme de compatibilitate a aplicatiilor.

Cateodata analistii Gartner seamana cu oracolul din Delphi, undeva pe la jumatatea anului 2007, anuntau ca este riscant pentru firme sa ramana cu Windows XP pana la aparitia Windows 7. In 2008 vicepresedintele Gartner, Michael Silver, avertiza ca este periculos pentru managerii IT sa amane sau sa abandoneze planurile de migrare la Vista... Acum, ca data de lansare a Windows 7 s-a apropiat, se pare si-au schimbat opinia...

Surse: PCPro, ITBusinessEdge

Conform Tripp Cox, vicepresedinte Damballa, o versiune piratata de Windows 7 RC a dus la crearea unei retele de aproximativ 27.000 de boti. Cercetatorii Damballa au preluat controlul asupra centrului de comanda si control (C&C) si au anihilat o buna parte a retelei respective. In perioada de maxima activitate rata de host-uri infectate cu troianul inclus in Windows 7 a ajuns la 200 pe ora. Se pare ca majoritatea produselor antivirus nu detecteaza troianul pentru ca este inclus in sistemul de operare si, in plus, multe din aceste produse nu sunt compatibile cu Windows 7. Detalii suplimentare aici.

O alta stire de la Trend Micro ne prezinta un alt pachet software deghizat in Windows 7 disponibil pe anumite site-uri de tip torrent, pachet ce contine troianul "TROJ DROPPER.SPX" inclus in fisierul “setup.exe”.

De ce din nou despre Conficker? Din doua motive: unu - pentru ca in cursul lunii martie, mai precis pe data de 4, a aparut o noua varianta (C), varianta mult imbunatatita, daca se poate spune asa, si 2 - pentru ca pe 1 aprilie se activeaza un alt algoritm de generare a numelor de domenii Internet cu care incearca sa comunice, algoritm care va genera zilnic 50.000 de nume (posibile puncte de comanda si control) in loc de 250.

Conficker C este cu adevarat un exemplar de malware scris de profesionisti, autorii sai raspunzand la multe din masurile de eliminare si control exercitate de diverse companii si/sau aliante din domeniul securitatii informatice. Schimbarea algoritmului de generare a numelor de domenii Internet si cresterea numarului de la 250 la 50.000 este un raspuns evident la adresa aliantei de care aminteam aici.

O alta schimbare care apare in varianta C este un nou mecanism de propagare si control, prin intermediul unui protocol P2P (peer-to-peer). In firul de executie P2P este inclusa si o protectie impotriva debugging-ului, codul de protectie oprind procesul Conficker atunci cand este rulat intr-un debugger. De asemeni, autorii au introdus trei mecanisme de blocare a scoaterii Conficker C din sistemele infectate, acestea fiind:

1. Stergerea tuturor “restore points” existente pana la momentul infectarii si dezactivarea posibilitatii de restart in safeboot.

2. Modificarea functionarii rezolutiei de nume DNS pentru a preveni conectarea la peste 100 de site-uri web ale unor firme din domeniul securitatii sau producatori de antivirusi, printre care: sans, f-secure, f-prot, norton, microsoft, panda, kasperski, clamav, symantec, avira, sunbelt, sophos, wireshark, etc. La incercarea de rezolvare a unui nume ce contine unul din string-urile de mai sus, translatarea in adresa IP nu functioneaza si host-ul infectat nu se poate conecta la domeniul dorit.

3. La fiecare initializare a procesului Conficker C un fir de executie va dezactiva serviciile de securitate ale Windows si va monitoriza sistemul oprind rularea unui numar de 23 de procese apartinand unor produse care curata Windows de Conficker. Serviciile Windows dezactivate sunt BITS (Background Intelligent Transfer Service), Windows Defender si Windows error reporting service. Dintre procesele blocate amintite mai sus: autoruns, kb890, kb958, mbsa, ms08-06, filemon, procexp, regmon, wireshark, etc.

Ca o dovada care arata nivelul de cunostinte tehnice atat pe partea de programare cat si pe cea a produselor de securitate a autorilor Conficker este si faptul ca au introdus semnaturi digitale si algoritmi de hashing avansati pentru a preveni hijacking-ul sistemelor infectate. In varianta Conficker B a fost folosit algoritmul de hashing MD6, algoritm facut public cu numai cateva saptamani inainte. Mai mult decat atat, dupa publicarea unei posibile vulnerabilitati prin intermediul unui buffer overflow in implementarea MD6 si apoi corectarea codului de catre grupul lui Ron Rivest, in varianta Conficker C apare aceeasi corectie.

Autorii Conficker au in acest moment la indemana cea mai mare retea de distributie de cod malware, sistemul lor de update si control este bine pus la punct, putand folosi atat adrese Internet cat si noua varianta, P2P. Pana in acest moment acest botnet nu a fost inca folosit pentru activitati criminale, dar faptul ca malware-ul a fost continuu schimbat si perfectionat ne poate da o indicatie asupra intentiilor producatorilor sai.

Ca de obicei, analiza detaliata a Conficker C este facuta de SRI.

LE: A mai aparut o analiza a celor de la Honeynet Project, analiza pe baza careia au fost scoase deja cateva utilitare de detectie si indepartare a Conficker printre care si plug-in-uri pentru Nmap si Nessus.

Salcamul este o specie originara din America de Nord si considerata invaziva in majoritatea tarilor UE. Salcamul afecteaza ireversibil padurile inlocuind speciile native, dar in Romania chiar Romsilva incurajeaza plantarea salcamilor, in detrimentul altor specii existente de mii de ani in padurile noastre.

"Tendinta in Romania e de a planta specii de pomi alogeni care nu au nimic in comun cu clima noastra si ecosistemul nostru. Orice ati face nu plantati salcam, salcamul (Robinia pseudoacacia) nu e o specie de la noi din Europa e o specie invaziva din America de Nord."

"Romsilva a plantat salcam si la Hanul Conachii (GL) unde este rezervatie de dune mobile, acum foste mobile, pentru ca nu prea mai sunt dune fara salcam si astfel s-a distrus o zona deosebita - zonele fara salcam din rezervatie sunt numite de ei neproductive (neimportante) desi tocmai pentru acelea a fost declarata rezervatie; tot salcam a fost plantat si in rezervatia de la Agigea (CT) iar acum se lupta sa il scoata pentru ca s-a extins foarte mult si practic anuleaza importanta rezervatiei distrugand plantele specifice."

"A worldwide problem affecting the success of habitat conservation is the invasion of alien species. An invasive alien species was defined by the Invasive Species Specialist Group, part of the International Union for the Conservation of Nature (2000) as “an alien species which becomes established in natural or semi-natural ecosystems or habitat, is an agent of change, and threatens native biological diversity.” According to Davis (2000) “Species invasions are one of the main ecological consequences of global changes in climate and land use.”

Due primarily to man’s land use practices involving the distribution and planting of non-native species, Robinia pseudoacacia L. (black locust) is recognized as a global invader. R. pseudoacacia, because of its pioneering abilities, invades disturbed systems, such as restorations, and inhibits the growth of native species. The invasion and dominance of R. pseudoacacia outside of its native range can result in a loss of native biodiversity and, therefore, degradation of restored and natural areas."

http://horticulture.cfans.umn.edu/vd/h5015/00papers/sabo.htm

Ce face fundatia MaiMultVerde ajutata (si de) Romsilva:

6500 de voluntari au plantat aproape 40.000 de puieți de pin, salcam si sălcioară pe suprafata de 8 ha a unui teren despădurit, la iesirea din municipiul Iasi, spre localitatea Sculeni.

Campania ''Romania prinde rădăcini'' a continuat în 22 martie 2009 cu plantări în localitatea Dăbuleni, județul Dolj. Voluntarii au plantat aproximativ 35.000 de puieti de salcam într-o zonă grav afectată de desertificare din sudul Olteniei, în urma defrișărilor masive din ultimii ani....

...Voluntarii MaiMultVerde si angajatii RNP Romsilva au continuat activitatea de plantare inceputa la jumatatea lunii trecute, reusind sa finalizeze, pe 29 noiembrie, plantarea celor 30.000 de puieti de frasin si salcam in apropierea Capitalei. Cei peste 300 de voluntari au fost mobilizati in cadrul actiunii Marea Plantare, derulata de Asociatia MaiMultVerde cu sprijnul ING Asigurari de Viata si Cosmote Romania si in parteneriat cu RNP Romsilva si Cosmopolis.

Parteneri ai fundatiei MaiMultVerde:

Fundaţia Principesa Margareta a Romaniei
Asociaţia "Tăsuleasa Social"
Ministerul Mediului şi Dezvoltării Durabile
Ministerul Educaţiei, Cercetării şi Tineretului
Radio ONG
Asociaţia Salvaţi Dunărea şi Delta
Garda Naţională de Mediu

Mai corect ar fi warwalking, dar chiar si asa este o exagerare. De fapt am facut o enumerare a retelelor wireless din trei locatii diferite, doua in apropierea unor blocuri de locuinte, a treia in preajma unei cladiri de birouri.

Rezultatele:

Locatia 1 – 19 retele

• 11 - no encryption

• 3 – WEP

• 5 – WPA

Locatia 2 – 14 retele

• 8 – no encryption

• 5 – WEP

• 1 – WPA

Locatia 3 – 11 retele

• 6 – no encryption

• 2 – WEP

• 3 – WPA

Ca amuzament, una din retele avea numele “Babanu” iar o alta “Reteaua de diamant”, amandoua fiind fara criptare.

Problema este ca prea putini realizeaza implicatiile instalarii unei retele Wi-Fi deschise, fara criptare. Argumentele pe care le-am auzit pentru o retea fara criptare ar fi urmatoarele:

• nu conteaza daca se conecteaza cineva si foloseste conexiunea Internet, prefer usurinta in utilizare, nu-mi bat capul cu securitatea;

• oricum nu bate la mare distanta si chiar daca se conecteaza cineva ii merge prost legatura;

• la cat de ieftina este o conexiune la Internet de ce si-ar bate cineva capul sa se conecteze la AP-ul meu?

Ce nu iau in considerare cei mai multi este ca Internetul nu inseamna doar browsing web, iar o persoana rau intentionata poate folosi aceasta conexiune wireless pentru activitati ilegale, activitati ale caror efecte daca vor fi mai tarziu descoperite vor conduce catre proprietarul retelei respective.

Bruce Schneier ne dezvaluie un scenariu demn de filmele SciFi, dar care s-ar putea sa devina real cat de curand. In epoca informationala datele incep sa se transforme intr-un agent de poluare. Ca si Hansel si Gretel, lasam zilnic o dara de informatii digitale in urma noastra, de cate ori cumparam ceva folosind cardul, de cate ori dam un telefon sau un sms, cand trimitem un e-mail sau intram pe Internet sa cautam ceva sau sa citim site-ul preferat de stiri, undeva se aduna informatii legate de toate aceste activitati. In curand se vor introduce pasapoarte electronice, in multe tari se introduc carti de identitate electronice, in orasele mari exista camere de supraveghere, iar tehnologia de recunoastere a fetelor exista deja... Chiar in acest moment putem fi localizati prin intermediul telefoanelor mobile, chiar daca nu vorbim la ele... Puterea de procesare a crescut foarte mult, preturile fiind din ce in ce mai mici, asa ca nu mai este o problema in a prelucra cantitati uriase de date, mai ales pentru diverse agentii si/sau guverne... Se pare ca in urmatorii ani vom asista la o schimbare din ce in ce mai mare a conceptului de intimitate, de viata privata. Va indemn sa cititi intreg articolul aici.

In aceeasi tenta sumbra, ziarul The Guardian a publicat un articol in care prezinta dezvaluirile fostului coordonator al securitatii al guvernului U.K., Sir David Omand. Acesta recunoaste ca in lupta impotriva gruparilor teroriste dreptul la viata privata, la intimitate, va trebui sacrificat pentru a oferi serviciilor secrete acces la tot felul de informatii personale ale locuitorilor. Deja sunt folosite informatiile din bazele de date ale companiilor aeriene si de cale ferata, informatii bancare, informatii ale companiilor de telefonie, sunt folosite atat informatii din sectorul public cat si din cel privat. Aceste surse au fost intotdeauna puse la dispozitia politiei sau serviciilor secrete in cazul unui anumit suspect, dar acum metodele moderne de prelucrare a datelor vor folosi pentru analiza toate informatiile, inclusiv cele ale persoanelor care nu sunt implicate. Si, pentru ca se spune ca amenintarea terorista se manifesta la nivel global, diversele agentii de securitate vor folosi in comun toate aceste informatii, indiferent de tara de provenienta. David Omand recunoaste ca “a cauta si gasi secretele oamenilor inseamna incalcarea regulilor morale uzuale”. Se pare insa ca asta nu va fi o piedica...

Locul 126 din 134 de tari in ceea ce priveste calitatea drumurilor;

Locul 2 in UE in ceea ce priveste numarul de victime ale accidentelor rutiere;

Ultimul loc in UE ca fonduri alocate educatiei;

Ultimul loc in UE in ceea ce priveste procentul de populatie care stie sa foloseasca Internetul;

Penultimul loc in UE in ceea ce priveste comertul electronic.

Pentru cine nu stie, “Marine One” este numele de cod asignat elicopterului folosit de presedintele SUA; similar cu “Air Force One”.

Tiversa, o firma care furnizeaza servicii de monitorizare a retelelor P2P (peer-to-peer), a descoperit ca un fisier cu specificatiile de constructie, financiare si ale sistemelor de comunicatii ale “Marine One” au ajuns, prin intermediul Gnutella, pe un calculator din Iran. Responsabila de aceasta scurgere de informatii este o firma care are contracte cu Departamentul de Aparare al SUA. Se pare ca un angajat al acestei firme a instalat un client de Gnutella pe sistemul pe care lucra fara sa fie constient ca expune informatii senzitive catre reteaua P2P.

Conform Bob Boback, CEO Tiversa, intre tarile care cauta informatii clasificate/confidentiale pe retelele P2P, in afara Iranului, mai sunt si Pakistanul, China, Yemenul si Quatarul.

In presa se speculeaza ca persoana care a fost responsabila de aceasta scurgere de informatii isi va pierde slujba; parerea mea este ca zona de securitate IT nu si-a facut treaba si ar trebui sa zboare cu totii. In primul rand mai mult ca sigur in acea firma exista o politica de securitate care spunea ca angajatii nu au voie sa instaleze aplicatii de tip P2P pe calculatoarele firmei; cine era responsabil ca acesti angajati sa cunoasca politica si s-o aplice? In al doilea rand, fiind vorba de sisteme pe care existau informatii secrete/confidentiale, nu ar fi trebuit ca acestea sa fie bine protejate, sa fie “locked down” in asa fel incat utilizatorii sa nu poata instala aplicatii pe ele? Sa nu mai spunem ca anumite retele ce contin informatii senzitive nici nu au acces la Internet... Si in al treilea rand, conform principiului “defense in depth”, de ce nu exista un sistem de monitorizare si a traficului care iese din reteaua companiei?

Referitor la monitorizarea informatiilor care ies din retea, recomand celor interesati cartea lui Richard Bejtlich, “Extrusion Detection: Security Monitoring for Internal Intrusions”.

Stiu ca in comunitatea ITBoard multa lume prefera Windows-ul, dar sper sa nu se simta nimeni ofensat de un articol in care prezint cum am rezolvat o problema folosind Linux.

Am avut nevoie zilele trecute sa recuperez niste fisiere sterse de pe un USB stick (VFAT=FAT32) si pentru ca lucram in Ubuntu m-am gandit sa rezolv problema cu utilitarele native.

In primul rand am facut o imagine a stick-ului in caz ca nu-mi reuseste recuperarea si fac totul varza sa pot restaura:

dd if=/dev/sdc1 of=/home/undeva/usbimg bs=1024

(inlocuiti /dev/sdc1 cu device-ul/partitia relevanta)

Pentru ca nu sunt asa masochist incat sa scot numele fisierelor sterse din FAT cu hexdump am folosit PhotoRec, un utilitar destinat initial recuperarii fisierelor multimedia din memoriile camerelor digitale, dar care acum lucreaza cu o multime de formate: pdf, html, zip, doc, xls, mp3, etc. Un tutorial despre utilizarea PhotoRec gasiti aici.

Bineinteles daca vreti sa recuperati sisteme de fisiere/partitii sau fisiere individuale de pe HDD ar fi recomandabil sa folositi utilitarele amintite mai sus dupa ce ati boot-at de pe un CD/USB live cu o distributie Knoppix, Ubuntu, sau ce varianta Linux preferati.

Si pentru ca poate vreti si sa stergeti device-uri de stocare in asa fel incat sa fie cat mai greu de recuperat (imposibil pentru un individ fara resurse echivalente cu ale NSA) o puteti face folosi comanda shred:

shred -vfz -n 100 /dev/hda

Linia de mai sus rescrie intreg HDD-ul de o suta de ori cu zero-uri.

Echipa de la “Malware Threat Center” apartinand de SRI (fostul Stanford Research Institute, nu hulita institutie din Romania) a descoperit pe 16 februarie o noua varianta a viermelui Conficker, numita B++.

Inainte de a intra in detalii despre aceasta noua varainta trebuie spus ca se va produce o schimbare dramatica in modul de functionare al Conficker, cei care controleaza reteaua de boti (bot herders) vor putea impinge noi variante sau chiar nou cod malitios catre masinile infectate, in loc sa se bazeze pe acestea sa se conecteze la anumite domenii Internet si sa-si ia “update-urile”.

Pentru cei care nu au avut de-a face cu Conficker/Downadup voi reaminti caile de propagare:

• prima versiune, Conficker A, s-a bazat in exclusivitate pe exploatarea vulnerabilitatii MS08-67 – dupa conectarea masinii atacatoare la SRVSVC de pe masina victima, se trimite un pachet special construit care declanseaza un buffer overflow prin intermediul functiei NetPathCanonicalize, dupa care victima compromisa downlodeaza de la atacator un fisier DLL ce va fi rulat ca serviciu prin intermediul “svchost.exe”;

• Conficker B foloseste, aditional aceluiasi mecanism utilizat si de varianta A, alte doua modalitati de propagare:

  1. prin intermediul share-urilor neprotejate sau protejate cu conturi avand parole usor de spart (incearca brute force cu o lista de 240 de parole uzuale); de asemeni se copiaza pe share-urile administrative;

  2. prin intermediul drive-urilor USB, folosindu-se de “facilitatea” de AutoRun; se copiaza pe aceste drive-uri ca “autorun.inf”.

Din punctul de vedere al vectorilor de raspandire Conficker B++ nu aduce nimic nou, dar mecanismul de update este modificat. Variantele A si B folosesc ca puncte de intalnire a masinilor compromise cu cei care le controleaza cele 250 nume de domenii Internet generate zilnic in baza unui algoritm specific (similar, dar nu identic intre cele doua versiuni). Odata downloadat noul update de la una din adresele web accesate, acesta este verificat pentru a nu permite unor eventuali hijackeri sa introduca propriul cod. Creatorii Conficker au introdus un sistem de verificare al codului bazat pe semnatura digitala – dupa verificarea si confirmarea acestei semnaturi digitale codul binar este decriptat folosind un algoritm RC4.

Probabil datorita aliantei de care aminteam aici, alianta ale carei actiuni de blocare a inregistrarii domeniilor Internet de catre cei care controleaza Conficker au avut succes, creatorii acestuia au introdus in varianta B++ doua noi “facilitati”:

1. posibilitatea de a updata botii de la orice adresa web de pe Internet;

2. facilitatea ca masina infectata sa ruleze cod malitios sub forma de executabile Win32, nemaifiind limitata ca actiuni doar la reinfectarea altor PC-uri.

Cei interesati pot citi documentul cu analiza detaliata a Conficker aici, vi-l recomand cu toata caldura.

MID – Mobile Internet Device – este un nume generic pentru computere ce pot fi folosite pentru accesarea Internetului si sunt suficient de mici sa incapa intr-un buzunar.

In iunie 2008 NVIDIA anunta familia Tegra, o linie de procesoare de tipul “system-on-a-chip” (SOC), destinate device-urilor mobile, procesoare cu un consum foarte mic de energie si cu facilitati multimedia avansate.

Familia de procesoare Tegra 600 ruleaza la 650 MHz si 750 MHz, fiind capabile de decodare de semnal video 1080p si codare video 720p in timp real, de asemeni dispun de suport direct pentru WiFi, disk drives, tastatura si mouse. Desi Tegra nu pare a fi un concurent direct al Atom-ului, se speculeaza ca pozitia Intel ar putea fi amenintata cel putin pe sectorul MID. Raspunsul Intel se vrea a fi platforma SOC cu numele de cod “Moorestown”, care ar trebui sa fie lansata dupa jumatatea lui 2009.

Un alt anunt recent care va incinge competitia este cel al parteneriariatului intre NVIDIA, Google si Open Handset Alliance pentru lansarea de device-uri mobile bazate pe Tegra si Android.

Pe de alta parte LG si Intel colaboreaza in lansarea unui MID LG bazat pe platforma “Moorestown” si sistemul de operare Moblin (Linux-based). Proiectul Moblin a fost lansat de Intel ca o platforma open-source software pentru dezvoltarea de aplicatii dinamice, multimedia, care sa ruleze pe device-uri construite in jurul Intel Atom.

Sa speram ca vom ajunge cat de curand sa vedem pe piata device-uri mobile, smartphone-uri, la preturi sub 200$, conform predictiei celor de la Strategy Analytics.

Mai multi furnizori de servicii DNS, servicii Internet si firme din domeniul securitatii informatice s-au constituit intr-un grup avand ca scop blocarea raspandirii viermelui Conficker/Downadup si, in acelasi timp, prevenirea constituirii celei mai mari retele de boti (se estimeaza la 10 milioane numarul de gazde infectate).

Grupul include, printre altii, ISC (Internet Systems Consortium), ICANN, CNNIC (China Internet Network Information Center), Public Internet Registry, Microsoft, VeriSign, Symantec, F-Secure, ISC.

Obiectivul grupului este ca, pe baza algoritmului de generare a celor 250 de domenii Internet cu care Conficker incearca sa comunice zilnic pentru a primi comenzi sau update-uri, sa blocheze inregistrarea acestor domenii lasandu-l astfel fara acces la infrastructura de comanda si control (C&C).

In paralel OpenDNS si Kaspersky Lab, folosind acelasi algoritm, blocheaza accesul la cele 250 domenii Internet pentru clientii serviciului OpenDNS.

Peste toate acestea, este a treia oara cand Microsoft ofera o recompensa de 250.000 USD pentru informatii care ar duce la arestarea si condamnarea responsabililor de introducerea Conficker. Prima data recompensa a fost oferita pentru prinderea celui responsabil de Sobig, dar fara succes, a doua oara fiind primita in 2005 de catre doua persoane care au ajutat la prinderea celui care a creat Sasser.

Red Hat si Microsoft au semnat un acord pentru a imbunatati interoperabilitatea platformelor de virtualizare. Fiecare din cele doua companii va participa la programul de validare/certificare a virtualizarii al celeilalte si va furniza suport tehnic coordonat pentru clientii din zona de virtualizare a serverelor.

Cateva elemente importante ale acordului:

• Red Hat va valida guest-uri Windows Server 2003 SP2, Windows 2000 Server SP4 si Windows Server 2008 pe tehnologiile de virtualizare Red Hat Enterprise;

• Microsoft va valida guest-uri Red Hat Enterprise Linux 5.2 si 5.3 pe Windows Server 2008 Hyper-V (toate versiunile) si Microsoft Hyper-V Server 2008;

• Odata ce fiecare companie termina etapa de testare, clientii cu contracte de suport vor primi suport tehnic coordonat pentru a rula: Windows Server virtualizat pe Red Hat Enterprise Linux (RHEL) si RHEL virtualizat pe Windows Server 2008 Hyper-V;

• Acordul nu contine referiri la patente si licentiere open source;

• Acordul nu contine clauze de natura financiara, altele decat costurile standard de certificare/validare.

Acordul va aduce beneficii atat clientilor cat si partenerilor, Red Hat avand mari sanse a se impune in fata Novell, pana la acest moment Suse Linux fiind singura varianta de Linux suportata in proiecte de consolidare de servere bazate pe Hyper-V.

Detalii suplimentare aici.

Este un subiect care ar trebui sa fie cunoscut de toti cei care au tangenta cu domeniul IT, faptul ca utilizatorii care folosesc conturi administrative sunt mult mai expusi infectarii cu malware fata de cei cu conturi standard de user. Orice administrator de sistem responsabil ar trebui sa descurajeze folosirea conturilor administrative atat pentru utilizatori, dar si pentru el insusi; vedeti de pe blogul lui Andrei ce a facut Conficker.

Raportul Beyondtrust arata ca prin folosirea unui cont fara drepturi administrative ar fi putut fi eliminat sau diminuat riscul a:

• 94% din vulnerabilitatile Microsoft Office raportate in 2008;

• 89% din vulnerabilitatile Internet Explorer raportate in 2008;

• 53% din vulnerabilitatile Microsoft Windows raportate in 2008;

• 69% din totalul vulnerabilitatilor publicate de Microsoft in 2008.

Studiul a folosit informatia din buletinele de securitate Microsoft pentru a clasifica vulnerabilitatile si impactul acestora, de asemeni tot din aceste buletine s-a stabilit daca impactul vulnerabilitatii ar fi redus prin eliminarea drepturilor administrative.