najslabsze ogniwo

ostatnio przypadlo mi zajmowac sie audytami bezpieczenstwa. audyt penetracyjny to sama przyjemnosc (: no gorzej z robieniem pozniej dokumentacji ale to na razie przyszlosc. w koncu moge przetestowac narzedzia, bo przez pstryka na pejocie nic nie dziala – wszystko tak polatane, ze nic sie nie da zlapac. 'siec jest tak bezpieczna jak jej najslabszy punkt’ – tak mowi teoria i faktycznie:

  • od odpalenia skanera, po 3 min juz jest haslo przeslane niekodowanym POP3.
  • w tym samym czasie zlapane zostaja dwa hashe zakodowane LM
  • konto nalezace do glupiej grupy domain users na standardowych ustawieniach pozwolilo na przeprowadzenie w ciagu 3o min: dodanie kompa do domeny, odpalenie sobie ADUnC i przejrzenie calej struktury AD, sprawdzenie rol serwerow, kto nalezy do grupy administratorow i zorientowanie sie ktore kompy naleza do adminow.
  • admini siedza sobie w innym segmencie, ale nie sa bezpieczni! arp poisoning, na wyszukane kompy adminow pomiedzy ich stacjami a serwerem pocztowym, 1o min czekania i zaraz rozkodowane haselka usera z pelnymi uprawnieniami.
  • zlamanie hasel zakodowanych LM trwalo kilka minut.

reasumujac – glupia usluga pop3, smpt, ftp lub co kolwiek innego niekodowanego, i siec jest otwarta jak aplikacje GNU.

a kilka dni temu prowadziliem mailowa dysqsje z jakims studenciakiem, ktory twierdzil, ze te wszytkie zabezpieczenia [mowil o VPN i FTPs] to tylko utrudniaja ludziom zycie i sa wogole nie potrzebne. no na koniec stwierdzil, ze on dane ma gdzies i wogole dane wszystkich powinny byc publiczne… ciekawe czy ktos zgadza sie z ta opinia?

linux is doomed

taki przytlaczajacy topic mozna bylo dzis znalezc na blink.nu. złowróżba wynika z przeprowadzonych statystyk, ktore pokazuja, ze MS wygrywa z linuxem na rynq, na ktorym do tej pory panowal pingwin – rynq serverowym.

gigant panoszy sie coraz bardziej, ale w sumie nie dziwie sie. rozwiazania wielkokorporacyjne w GNUswiatq qleja mocno. microsoft sam bedac gigantem, zmuszony jest rozwijac aplikacje i systemy, pozwalajace zarzadzac wlasna firma. linuxa rozwiaja glownie hobbisci, ktorzy poki co nie sa wstanie siegnac na tak wysoka polke. trzymam za nich kciuki, bo … bez konqrencji nie ma rozwoju. po cichutq licze na come back novella [bardziej 'z braq laq’ niz realnie], ktory ma propozycje pokrywajaca to, co proponuje ms. osobiscie nie lubie novella – glownie z powodu przesiadki na jave, i wciaz-wywyalacjace-sie aplikacje. w takim stanie ostatnio widzialem ta upadajaca firme [to byly czasy pojawiania sie piatki]. wydajnosciowo to byl trup. no i dzialalo fatalnie. chetnie zobaczylbym gdzies duze wdrozenie nowej wersji dla porownania.

singularity – zupelnie serio

to, ze ms zupelnie serio podchodzi do sprawy i ze wydaje sie, ze ten system zaistnieje na prawde, potwierdzaja oficjalne artykuly. mozna nawet sciagnac wstepna dokumentacja tego OSa [topic jest linkiem, jest tez w podanym arcie].
to co mnie niepokoi to zdanie [tlumaczenie wolne]:
„nowy os jest calkowicie napisany w c# i w jego pochodnym jezyq – nazywanym sing#. (sing# jest pochodnym od spec#, ktory jest pochodnym od c#). docelowo system ma byc pisany w sing#.”
juz sam pomysl pisania systemu operacyjnego w jezyq wysokiego poziomu jest niepokojacy. sun od wielu lat pisal javaos i jakos dupa z tego wyszla. ms byc moze sobie z tym poradzi lepiej, ale hmm… no moze ja starej daty jestem, ale os powinien byc w C++ wykanczany gdzieniegdzie assemblerem. w sumie to framework potrzebuje w zasadzie systemu zeby dzialac… hmmm.. no ja developerem nie jestem. pewnie jakos to kompiluja do kodu natywnego i pisza tak, zeby nie bylo zalezne od istniejacych bibliotek.

w doqmencie mozna znalesc opis nieco rozny od tego, ktory jest w artyqle:
„Code in Singularity is either verified or trusted. Verified code’s type and memory safety is checked by a compiler. Unverifiable code must be trusted by the system and is limited to the hardware abstraction layer (HAL), kernel, and parts of the run-time system. Most of the kernel is verifiably safe, but portions are written in assembler, C++, and unsafe C#.
All other code is written in a safe language, translated to safe Microsoft Intermediate Language (MSIL) , and then compiled to x86 by the Bartok compiler [20]. Currently, we trust that Bartok correctly verifies and generates safe code. This is obviously unsatisfactory in the long run and we plan to use typed assembly language to verify the output of the compiler and reduce this part of the trusted computing base to a small verifier”
.

warty uwagi jest rozdzial 6ty dokumentu [calego nie czytalem, tak przegladalem z ciekawosci], ktory mowi o wydajnosci. porownywane byly freebsd 5.3, fedora 4 i windows xp sp2. wydajnosc jest 3krotnie wieksza. nie czytalem dokladnie, chociaz nasowa sie pytanie jak mierzyc wydajnosc czegos, czego w zasadzie nie ma [no bo te pare linijek niczego w zasadzie nie realizuje], do pelnego systemu z pelna gama powiazan miedzy bibliotekami etc itd? o wydajnosci to porozmawiamy, jak to bedzie System. czyli cos co mozna uruchomic, zainstalowac cos i uruchomic.

co kolwiek by nie mowic – wielkie brawa dla zacofanego spiocha giganta, ze dysponuja najwiekszym na swiecie majatkiem w koncu postanowili napisac system od nowa. tak powstala java – i zrewolujonowala programowanie. tak powstal linux i stal sie konqrencja dla niemal monopolisty. moze znow powstanie cos NA PRAWDE przelomowego?
byleby tylko nie zaczeli ich zbyt szybko naciskac na kompatybilnosc wstecz… q:

ps. te testy wydajnosci to niezla reklama MSa. na linuxie odpalenie procesu zabiera 719,ooo cykli procesowa, freebsd 1,o32,ooo a wxp sp2….. 5,376,ooo!!!!! no ale co sie dziwic. co robi windows – tego nie wie nawet aniol stroz bila gatesa. wystarczy odpalic regmona czy filemona i ze zdziwieniem stwierdzic, ze kazde otwarcie okna dialogowego to kilka tysiecy odwolan do jakichs plikow i kluczy rejestru. przewaznie po kilka razy do tego samego. standardem jest tez np. ze windows sprawdza czy klucz istnieje. nie istnieje. zaklada go, sprawdza czy istnieje, kasuje go i sprawdza czy istnieje i tak np. 6 razy do tego samego klucza!
zabawe regmonem czy filemonem ciezko nazwac 'pouczajaca’. ja bym raczej powiedzial 'totalnie oglupiajaca’, bo nikt nie potrafi wyjasnic z czego takie zachowanie wynika…

invincible explorer

przychodzi baba do lekarza i mowi:
– chciala bym tak zrobic, zeby user nie mogl odpalac IE, bo u mnie wszyscy maja korzystac z FF
– no nie ma problemu – rzecze lekarz – wystarczy go zarejestrowac jako defaultowa przegladarke, usunac skroty i powinno wystarczyc
– no tak, ale mnie ci userzy hakierzy ich mac, moga odpalac go nadal. np. uruchamiajac moj kompiuter i tam wpisujac adres.
– ah. no moga. no to moze uprawnienia NTFS odebrac wszystkim od pliku iexplore.exe
– no probowalam. nie dziala.
– ?? jak to nie dziala. no to moze polise GPO zalozyc, i zabronic odpalac po nazwie, albo jesli to w2k3 to po hashu programu
– no ja tez probowala i nadal nic to nie daje
– eee tam. musi dawac.
lekarz odpala swojego hakierskiego desktopa. podreczy geektool w postaci processexplorera z sysinternalsow zamiast magicznej qli zeby zbadac procesy. klika na 'moj komputer’, przechodzi do paska adresu i wpisuje tam swoj ulubiony adres czyli www.microsoft.com. oczom swoim uwierzyc nie moze, poniewaz ani jeden dodatkowy proces sie nie pojawil! zaladowala sie strona, wyglad exploratora zmienil sie w iexplorera a w procesach nic.
tak zostac nie moze. w takim razie do restricted sites wpisze sie, zeby wszystkie strony blokowal. probuje wpisac *://* – blad. probuje http://*.pl – blad. okazuje sie, ze w restricted mozna wpisac jokera minimalnie na 3cim levelu!!!! czyli np *://*.com.pl – wiecej sie nie da!
zdziwienie wielkie, wscieklosc coraz wieksza.
– ZALATWIE SUKINSYNA! – wscieka sie lekarz i wpisuje w polaczeniach opcje proxy, tam ustawia adres servera na 'falseproxy.fuck.ie:666′. wpisuje na probe w IE adres, oczywiscie nie moze sie polaczyc z proxy wiec soti. sukces!
no ale przetestujemy. klika moj komputer, wpisuje adres strony…

siedzisz wygodnie? zapiales pasy?
albo lepiej – przetestuj sam…
WTF?

mobile hightech

xxi wiek. technologie daja mozliwosc polaczenia sie do sieci wszedzie. tak zaczynaly sie ksiazki gibsona z przed kilkunastu lat – cyberpunk. dzis niby rzeczywistosc.
niby?
bluetooth – wspanialy wynalazlek. ale poruszajac sie gubi sie sygnal. rozlaczenie, a potem zwiecha calego urzadzenia. zeby polaczyc sie po raz wtory, trzeba albo pojsc na latwizne i restartnac system, albo bawic sie wywalajac urzadzenie i przeinstalowywujac je.

wifi – gadzeciarska technologia. moze za kilka lat bedzie mozna z niej normalnie skorzystac. ponoc intel pracuje nad nowa technolowia WiMax. ponoc rewolucyjna. sie okaze. kolejna rewolucja, ktora bedzie przelomem w technologii marketingu.
ciekawe, kiedy ilosc zajetych czestotliwosci w powietrzu bedzie tak olbrzymia, ze ledwie starczy na oddech. juz widze 'KURTKI Z TARCZA ODBIJAJCA FALE! NOWOSC NA RYNQ’. czapki z wkladem aluminiowym, chroniaca mozg od czestotliwosci gotujacych mysli.

niby wygoda….
a rak, byle jak

certyfikatów ciąg dalszy

niedawno nabyta wiedze o PKI mialem okazje wykorzystac na froncie, podczas walki z konfiguracja WiFi, oparta o autentykacje na certyfikatach via IAS/RADIUS. najpierw pojawil sie problem z certyfikatmi usera – recznie da sie je wygenerowac, ale nie ma opcji autoenrollmentu. RootCA postawiony zostal na wersji standard servera, ktora autoenrollmentu nie obsluguje. informatyk sobie ceryfikat via www certyfikat wygeneruje… ale tlumaczyc end-luserom jak z tego skorzystac, nie wchodzi w rachube. jak w takim razie zarzadac certyfikaty z commandline? znalazlem narzedzie o nazwie certreq.exe. najpierw w jakichs artyqlach, w ktorych bylo napisane, ze to jest standardowe narzedzie w w2k,xp i w2k3… co sie okazalo blefem. jest tylko w2k3. tak czy inaczej to wspaniale narzedzie potrzebuje na wejsciu dostac plik 'req’, kotry „może być żądaniem certyfikatu PKCS #10, żądaniem odnowienia certyfikatu PKCS #7, żądaniem certyfikatu formatu tagu KEYGEN lub żądaniem protokołu zarządzania certyfikatami (CMC) korzystającego ze składni komunikatów kryptograficznych (CMS, Cryptographic Message Syntax) określanego także jako protokół CMC.” co mozna przeczytac [nawet po polsq] na stronach microsoftu. supcio.
no to niech mi ktos, prosze bardzo, pomoze zrobic. posiedzialem nad tym dluzsza chwile i sie poddalem poki co. na wss.pl zadalem kolejne nierozwiazywalne pytanie. chyba zaczne sie chwalic, ze jeszcze nikt nie odpowiedzial na zadne z moich pytan.

kolejnym problemem bylo to, ze drugi IAS nie chcial autentykowac. w logach mozna bylo znalesc dobrze mi znany i opisywany blad eventID 13. szybko wiec zorientowalem sie, ze zeby moc autentykowac innych, sam IAS, kotry stal na DC musi miec certyfikat. problem w tym, ze wtedy blad poprawilem tworzac nowy szablon komputera z autoenrollmentem. teraz tego zrobic sie nie da… bo to standard. z przystawki mmc przy probie reqesta o certyfikat domain controller dostalwalem komunikat, ze albo rootca nie dziala, albo nie mam uprawnien dostepu.

poprzedio popelnilem blad. glupi blad, ktory popelnilem juz drugi raz [i mam nadzieje nie popelnic go wiecej]. wcale nie trzeba certyfiaktu z autoenrollmentem zeby DC dostal swoj certyfikat. prawidlowa odpowiedzia jest prezentowany na eventid scenariusz, gdzie grupe Domain Controllers trzeba dodac do grupy CERTSVC_DCOM_ACCESS. a moj blad wtedy polegal na tym, ze po dodaniu tej grupy nie zrestartowalem kontrolera.
przeciez token bezpieczenstwa tworzony jest raz – w przypadq usera podczas logowania, w przypadq komputera tez [czyli de facto podczas startu i pierwszej autoryzacji w domenie].
tak czy inaczej moja ostatnia walka szybko zaoowocowala. dzieki temu teraz nie stracilem nie-wiadomo-ilu-dni nad glupia zagadka, czemu IAS nie autoryzuje…

ostatnia kwestia jaka pozostaje jest WPA2. micorsoft wypuscil update dla wXP. swietnie. nowy soft do AP ma juz WPA2. super.
no tylko ani na radiusie ani w GPO nie da sie wymusic WPA2, co wiecej, na AP nie opcji autentykacji WPA2 via RADIUS.
tu jest co nieco o WPA2 ale nigdzie nie znalazlem opisu ani jasnej odpowiedzi – czy da sie to skonfigurowac z IASem, czy sie nie da….

office 2oo3 nie dziala bez clipartow

nie mialem potrzeby zawalania dysq niepotrzebnymi clipartami, wiec ich nie instalowalem. jesli tylko sprobuje sie wykonanac jakakolwiek czynnosc zwiazana z clipartami – np. wtawienie pola TextBox [SIC!], office przy kazdej akcji wyswietla komunikat 'nie masz clipartow – mozesz je zainstalowac ….’. i tak po kazdej literce. jedynym sposobem zamkniecie dokumentu i ponowne uruchomienie.

po prostu wspaniale. gratulacje za pomysl!

cisco wpada na czarna liste

cisco zarobilo sobie u mnie na wpis na czarna liste. urzadzenia maja niewatpliwie dobre, ale znow ten sam zarzut – zeby korporacja o takim potencjale zarowno finansowym jak i developerskim nie potrafila wydac pozadnego softu.
po pierwsze jakis czas temu cisco VPN client rozwalil mi caly system. do 1oo% informacji o tym, ze ten klient na w2k3 nie dotarlem ani w zadnym readme ani na stronach. gdzies tam mozna bylo przeczytac, ze to dla w2k/xp, ale bez okreslenia konkretnej wersji. poza tym, podczas instalacji mogla by wyskoczyc informacja 'ten system nie jest wspierany’.
teraz testuje karte wifi cisco aironet. wraz z karta jest zastepstwo dla windowsowego managera wifi – Aironet Desktop Utility. w porownaniu do windowsowego niesamowite narzedzie – dziesiatki mozliwych konfiguracji, bardzo szczegolowa konfiguracja, masa paremetrow, o ktorych nawet nie ma mowy w innych narzedziach tego typu [a bez ktorych wifi dziala swietnie (;]. nawet maly scaner sieci, wykrywajacy sieci bez ssid i tester ustawien.
no i co z tego? zdarzylo mi sie zrobic literowke przy wpisywaniu ssid. soft w zaden sposob nie poinformowal mnie o tym, ze wogole probuje sie laczyc. myslalem, ze po prostu nie dzaiala. przy tescie troubleshooting napisal ze nie ma 'associated network’. teraz moge sie domyslac co to znaczy.
podczas instalacji/deinstalacji softu wymuszany jest restart, a pomimo ze aplikacja i drivery sa niezalezynymi elementami nie da sie ich oddzielnie odinstalowac.

do tego soft wylacza standardowy komponent windowsy nie dajac mozliwosci [moze mi sie nie udalo?] wykorzystac go do innych interface’ow wifi dostepnych w systemie.

szczegoly? czepiam sie? owszem. bo kiedy sie cos testuje i czynnosci powtarza sie nie jednokrotnie a 1o krotnie, i kiedy czas gra duza role a punktem odniesienia jest, wydawaloby sie prymitywne narzedzie defaultowe, ktore zachowuje duzo bardziej po ludzq, to niestety takie aplikacje wygladaja blado. jestem przeciwnikiem linuxowego myslenia 'profesjonalne = nieczytelne i user unfriendly’. uwazam, ze profesjonalnie zrobiony soft, moze byc zabaweczka dopracowana w szczegolach. praca moze byc przyjemnoscia a nie walka z wiatrakami.