Skip to Content

IT nieuczesane.
category

Category: security

łamanie haseł do wifi

AP cisco i d-linka implementują WPS – WiFi Protexted Setup. to taki dyngs dla lame-userów, który pozwala w przypadku zapomnienia hasła do sieci wpisać krótki PIN, i urządzenie wysyła hasło użytkownikowi [w skrócie]. są implementacje trochę bardziej bezpieczne – np. wymagają naciśnięcia jakiegoś guzika, albo po kilqkrotnym wpisaniu złego PINu blokują na jakiś czas, ale wiele urządzeń jest podatnych na ataki na owy PIN. co więcej – wystarczy wysłać tylko pierwsze 4 znaki PINu, żeby przekonać się czy jest nieprawidłowy.

dzięki temu nawet WiFi z uwierzytelnieniem WPA2 można złamać szybko i łatwo. narzędzie do tego celu nazywa się reaver.

eN.

linked-in hacked

a czy ty, już zmieniłeś swoje hasło na Linked-In?

jak nie – to proponuję szybciutko… http://betanews.com/2012/06/06/linkedin-hack-is-much-worse-than-you-think/

eN.

zaqpy za darmo

generalnie jestem przeciwny robieniem ‚wałków’ – mówiąc wprost ‘kradzieży’, ale po przeczytaniu tego jak działa owy ‘sofort’ aż mnie korci, żeby dać im nauczkę i wypie… takie coś z naszego kraju ASAP.

jeśli to zatem prawda to .. brak mi słów [tych cenzuralnych]:

http://corporate-misfire.blogspot.com/2012/05/jak-za-darmo-dostac-buty-w-deichmanie.html

eN.

Certificate request processor: object already exists. 0×8009000f (-2146893809)

podczas generowania certyfikatu przy pomocy certreq można natknąć się na taki ciekawy błąd. ciekawy – ponieważ nie mogłem go nigdzie wygooglać a natrafiałem na niego dość często.

błąd pojawia się w momencie, jeśli rozpocznie się generowanie certyfikatu ale z jakiś-tam powodów nie uda się zakończyć. certyfikaty to dziwne zwierzęta i mają legowiska w różnych miejscach systemu. w tym konkretnym przypadku za pierwszym razem wpisałem złą nawę szablony w pliq ini. za drugim wyglądało to tak:

>certreq –new certreq.inf user.req
Active Directory Enrollment Policy
   {GUID}
   ldap:
DumpVarianStringWorker: 0: “…” Certificate request processor: object already exists. 0x8009000f (-2146893809).

i nigdzie odpowiedzi. okazało się, że te konkretne requesty nie są przechowywane jak pan gejst przykazał w rejestrze tylko w %userprofile%AppDataRoamingMicrosoftCryptoRSA{UserSID} – usunięcie tego katalogu wywaliło tymczasowe informacje o starym requescie i całość zahulała

gdzie jeszcze indziej są fragmenty związane z certyfikatami:

  • cache CRL można usunąć ręcznie nie czekają na automatyczne przedawnienie przy pomocy certutil –crlcache * delete
  • klucze prywatne i certy trzymane są w %userprofile%AppDataRoamingMicrosoftSystemCertificates
  • są tam też przechowywane erquesty wygenerowane za pomocą MMC – czyli m.in. klucz prywatny. requesty zresztą widać w MMC ‘certmgr.mmc’ w gałęzi ‘Certificates Enrollment Requests’
  • no i teraz okazuje się że jest jeszcze ten CryptoRSA… o kórym nigdzie się nie doczytałem wcześniej.

eN.

Windows Firewall na serwerach – GPO czy lokalnie?

GPO to wspaniały mechanizm pozwalający na centralną i automatyczną konfigurację. bez GPO jak bez ręki. okazało się, że braqje trochę innej funkcjonalności i do polis dodano preferencje – GPP. potęga.

Windows Firewall uległ totalnej modernizacji do Windows Firewall with Advanced Security, wraz z implementacją stosu TCP/IP i całym modelem zarządzania od longhorna. kolejny świetny mechanizm – w zasadzie od wersji Vista nie trzeba żadnego dodatkowego softu. ma swoje ograniczenia ale ogólnie sprawuje się świetnie. GPO pozwala na jego konfigurację co umożliwia centralne zarządzanie zabezpieczeniami sieciowymi. no i jest wspaniały mechanizm NLA – Network Location Awarness, który sam wykryje typ sieci i ustawi najbezpieczniejszy profil.

od wersji w7/w2k8R2 NLA zostało jeszcze rozbudowane, pozwalając na używanie kilq profili na raz! czyli przy dwóch+ połączeniach każde może działać z innym profilem.

ilość superlatyw sugeruje gruby sarkazm… a fakt jest taki: przy bardziej zaawansowanych konfiguracjach nie można konfigurować WFwAS za pomocą GPO a NLA – jak większość automatów – potrafi nieźle namieszać.

  • na początek proponuję taki oto wątek – jak się NLA uprze, to nie ma … we wsi.
  • nie ma możliwości tworzenia własnych typów profili ponad 3 zdefiniowane. zapomniano o tym, że w serwerach jest często, gęsto od połączeń różnych typów – management, iSCSI, direct connections, VLANs itp itd etc i inne trzyliterówki
  • jeśli skonfiguruje się WFwAS via GPO nie ma możliwości wyłączenia firewalla dla konkretnej sieciówki. nie ma też możliwości zdefiniowania własnej sieci, dla której profil będzie wyłączony
  • na serwerze nie ma możliwości zdefiniowania profilu dla konkretnej sieci – nie do końca rozumiem dla czego. nie ma też możliwości zrobienia tego via netsh
  • nie ma mechanizmu pozwalającego określić że sieć np. X.Y.Z.0/24 jest ‘private’ nadpisując mechanizm NLA. to nadal było by za mało ale już coś
  • GPP nie oferuje możliwości włączenia FW przez co nie mechanizmu do zrealizowania scenariusza ‘włącz podstawowy firewall by default a potem sobie dodefiniuj’ bo polisy będą nadpisywać. oczywiście jest mechanizm mergowania zasad FW więc można dopisać parę rzeczy ponad te z GPO ale zarządzania profilami, chwilowe wyłączenie FW czy zarządzanie filtrowaniem per interfejs nie jest możliwe.

reasumując – mam dylemat czy to rozwój czy niedorozwój mechanizmu zabezpieczeń. w każdym razie na serwerach – GPO do śmietnika. ręczne włączenie zasad ):

eN.

usługi lokalizacji

usługi lokalizacji to ciekawy zwierz – na podstawie adresu MAC potrafi zlokalizować Cię geograficznie. może to być MAC dowolnego WiFi w zasięgu. ponieważ MAC jest dostępny nawet bez logowania – wystarczy, że urządzenie jest widoczne, bez konieczności logowania. popularność androida spowodowała pojawianie się setek tysięcy.. milionów! agentów, którzy skanują i wysyłają informacje do centralnej bazy.

kontrowersyjne. zarówno idea agenta jak i zbierania takich informacji. pojawił się hint – jak spowodować, żeby konkretne urządzenie nie zostało zarejestrowane w bazie? należy w nazwie SSID dodać “_nomap” – tak w każdym razie donosi OSnews… tylko jak to przetestować? no i co jak już wprowadzone?

pozostaje kwestia innych firm – jak Microsoft czy Skyhook. jak się uwolnić od nich? pytania w stylu ‘czy to nie powinno być zabronione?’ pozostają jako temat rozprawki filozoficznej. w końcu inny przykład – czy jeśli bym zbierał informacje o rejestracjach samochodowych i na tej podstawie tworzył mapę – powiedzmy skan okolicznych rejestracji sugeruje, że jesteś tu-a-tu – czy to też jest zabronione? czyli jeśli spisuję to, co widzę, powinno podlegać kontroli? w końcu adresy MAC, tak jak nazwy ulic – są publiczne.

imho zabronić czegoś takiego się nie da – a być może nawet nie powinno, pod warunkiem jeśli istnieje możliwość wyrejestrowania. późno i nie do końca tak, jak by można oczekiwać, ale google daje taką możliwość? co z pozostałymi firmami? powinny być serwisy, pozwalające sprawdzić czy dane urządzenie jest w bazie, z możliwością wyrejestrowania.

eN

microsoft system sweeper

“system sweeper” to bezpłatny tool stworzony dla tych, którzy tak zapuścili swój system, że strach go uruchamiać (; offlineowa wersja antywirusa i rootkit revealera wraz z wizardem przygotowującym płytę CD/DVD lub USB. całość ma 25o MB i jest do zassania, na razie w wersji beta, z connecta.

***UPDATE

sprawdziłem ten programik w praktyce. rootkit revealera nie znalazłem – chyba, że jakoś jest ‘niejawnie’ wbudowany w MSE. generalnie to po prostu offline’owa wersja MSE. skoro jest na winPE to powinni dodać chociaż możliwość odpalenia konsoli – nie mówiąc o kilq praktycznych toolach.

eN.

FEP i inne takie

mówią, że poniedziałki są najgorsze, ale dziwne przypadłości potrafią dopaść w dowolnym momencie. po wczorajszej wizycie u dentysty [kilka znieczuleń AUU] z czwartq przesunął mi się ten cały syf, na tak zazwyczaj piękny dzień, jakim jest piątek. cały tydzień jest w zasadzie przesrany bo helpdesk chory i odwalam głupią robotę FUJ.

przyszedł komp z wirusem. po raz kolejny wspaniały McAfee dał pupy i z jakiegoś powodu nie wybronił użytkownika, który oczywiście jakimś trafem, miał admina lokalnego [pozostanie to w czasie przeszłym]. ponieważ testujemy Forefront Endpoint Protection kilka spostrzeżeń:

ogólnie jestem bardzo zadowolony. w przeciwieństwie do McAfee wykrywa wirusy. trochę gorzej z ich usuwaniem – nie wiedzieć czemu, tego wynalazq [dysk podłączony po USB] nie potrafił wywalić. i pomimo, że nie potrafił to restartować każe. restarty od wiecznych czasów były problemem środowiskiem Windows – ale do cholery, czas z tym skończyć! parę razy na konferencjach developerskich słyszałem, że programiści dodają ‘restart’ tak profilaktycznie – żeby mieć pewność, że biblioteki odświeży. do tej pory czasem [nie potrafię znaleźć regularności] po włożeniu urządzenia USB winda krzyczy ‘urządzenia zainstalowano poprawnie. zrestartuj system..’. oczywiście nie restartuję i też działa dobrze. denerwujący jest też czas, podczas wykonywania operacji – np. usunięcia czy przesunięcia do kwarantanny – coś co powinno trwać 1-2sec rozciąga się do pół minuty [WTF?]. na szczęście takie akcje to wyjątki, więc nie jest to specjalnie uciążliwe. po prostu dziwne. jeszcze dziwniejsze jest to, że po nieudanej próbie usunięcia .. wycina wpis DNS z ustawień TCP/IP. nie wiem czy to tak normalnie bo nie mogłem znaleźć podobnego przypadq O_o

drugim problem FEP są polisy GPO, które nie pozwalają na danie użytkownikowi możliwości definiowania wyjątków – można zdefiniować wyjątki via GPO , ale oddanie tego userowi – nie. w efekcie jeśli jest kilka kompów o specyficznych katalogach, które mają nie być skanowane – albo trzeba wyłączyć dla nich polisy albo tworzyć je oddzielnie. niewygodne.

poza tym podtrzymuję opinię, jaką miałem o Security Essentials – program wydajny, ‘przeźroczysty’, niekłopotliwy… po prostu przeciwieństwo gównianego McAfee [die bitch!]

eh.. piątek… po południu trzeba zacząć sekwencję weekendowego restartu q:

eN.

październikowe biuletyny

październikowy biuletyn to jakiś hardcore. 16 poprawek, z czego 1o o statusie ‘important’ i 4 ‘critical’ z adnotacją ‘Could Allow Remote Code Execution’.

eN.

Microsoft Security Essentials dla SMB

Kiedyś dyskutowaliśmy czy Microsoft Security Essentials można używać w małych firmach. Z analizy licencji wynikało, że tylko gdy firma mieści się w domu/mieszkaniu. Nie była to trafna decyzja ze strony Microsoftu, Forefront to jednak za wielka kobyła dla firm typu biuro, parę obrotnych osób i tyleż komputerów. Na szczęście ma się to zmienić, MSE będzie darmowy dla organizacji posiadających do 10 komputerów. Wreszcie:)

%d bloggers like this: