PKI – a nie mówiłem…?

ROTFLMAO – tak można podsumować wtopę, jaką zaliczył eMeS w ten weekend. a w zasadzie od piątq. cała chmura Azure wyparowała. dosłownie *cała*. od usług komercyjnych, darmowych, xbox… a wszystko przez… nieodświeżony certyfikat!

o tym, że PKI jest sztuką zanikającą i dla większości wdrożeń nazwa “PKI” jest mocno na wyrost, pisałem całkiem niedawno. ale to co się wydarzyło ciężko nawet komentować, więc zamiast się nabijać kilka wniosqw dla nas wszystkich:

  • CERTYFIKATY SĄ WAŻNE. jak widać – jeden zły cert i cała wielka machina może zdechnąć.
  • to, że nie dzieje się tak w innych firmach wynika z faktu, że każdy zna trywialim “bezpieczeństwo jest bardzo ważne/najważniejsze” ale środowisko konfiguruje się przeciwnie. ponieważ niewiele osób certyfikaty rozumie, aby sobie nie utrudniać życia, wszystko konfiguruje się tak, żeby “niewadziły”. czyli używa się self-signów, wyłącza się weryfikację CRL, pozwala się na połączenia pomimo braku poprawnej walidacji itd. czyli jakiś cert jest, jakieś szyfrowanie jest i wszyscy skaczą szczęśliwi że mają PKI i super bezpieczeństwo.
  • w Windows od zawsze brakowało automatu, przypominającego o wygasającym certyfikacie. taka funkcjonalność została dodana – AFAIR w Vista, jednak trzeba się lokalnie zalogować na serwer/stację, aby komunikat zobaczyć. tam, gdzie PKI jest istotne – jak np. główny cert firmy czy jakiejś aplikacji Web – admin powinien od razu wrzucić jakieś przypomnienie do kalendarza…

zamiast ustawiać przypomnienia na konkretne daty, co jest mało elastyczne z 1ooo powodów, warto byłoby zrobić coś bardziej uniwersalnego. na szybko – skrypt, który sprawdza wszystkie certy w computerMY i jeśli data jest powżej 6o% czasu życia, wysyła maila z informacją. skrypt można by wrzucić do do schedulera na serwerach. trzeba będzie nad tym pomyśleć…

eN.

łamanie haseł do wifi

AP cisco i d-linka implementują WPS – WiFi Protexted Setup. to taki dyngs dla lame-userów, który pozwala w przypadku zapomnienia hasła do sieci wpisać krótki PIN, i urządzenie wysyła hasło użytkownikowi [w skrócie]. są implementacje trochę bardziej bezpieczne – np. wymagają naciśnięcia jakiegoś guzika, albo po kilqkrotnym wpisaniu złego PINu blokują na jakiś czas, ale wiele urządzeń jest podatnych na ataki na owy PIN. co więcej – wystarczy wysłać tylko pierwsze 4 znaki PINu, żeby przekonać się czy jest nieprawidłowy.

dzięki temu nawet WiFi z uwierzytelnieniem WPA2 można złamać szybko i łatwo. narzędzie do tego celu nazywa się reaver.

eN.

Certificate request processor: object already exists. 0×8009000f (-2146893809)

podczas generowania certyfikatu przy pomocy certreq można natknąć się na taki ciekawy błąd. ciekawy – ponieważ nie mogłem go nigdzie wygooglać a natrafiałem na niego dość często.

błąd pojawia się w momencie, jeśli rozpocznie się generowanie certyfikatu ale z jakiś-tam powodów nie uda się zakończyć. certyfikaty to dziwne zwierzęta i mają legowiska w różnych miejscach systemu. w tym konkretnym przypadku za pierwszym razem wpisałem złą nawę szablony w pliq ini. za drugim wyglądało to tak:

>certreq –new certreq.inf user.req
Active Directory Enrollment Policy
   {GUID}
   ldap:
DumpVarianStringWorker: 0: “…” Certificate request processor: object already exists. 0x8009000f (-2146893809).

i nigdzie odpowiedzi. okazało się, że te konkretne requesty nie są przechowywane jak pan gejst przykazał w rejestrze tylko w %userprofile%AppDataRoamingMicrosoftCryptoRSA{UserSID} – usunięcie tego katalogu wywaliło tymczasowe informacje o starym requescie i całość zahulała

gdzie jeszcze indziej są fragmenty związane z certyfikatami:

  • cache CRL można usunąć ręcznie nie czekają na automatyczne przedawnienie przy pomocy certutil –crlcache * delete
  • klucze prywatne i certy trzymane są w %userprofile%AppDataRoamingMicrosoftSystemCertificates
  • są tam też przechowywane erquesty wygenerowane za pomocą MMC – czyli m.in. klucz prywatny. requesty zresztą widać w MMC ‘certmgr.mmc’ w gałęzi ‘Certificates Enrollment Requests’
  • no i teraz okazuje się że jest jeszcze ten CryptoRSA… o kórym nigdzie się nie doczytałem wcześniej.

eN.

Windows Firewall na serwerach – GPO czy lokalnie?

GPO to wspaniały mechanizm pozwalający na centralną i automatyczną konfigurację. bez GPO jak bez ręki. okazało się, że braqje trochę innej funkcjonalności i do polis dodano preferencje – GPP. potęga.

Windows Firewall uległ totalnej modernizacji do Windows Firewall with Advanced Security, wraz z implementacją stosu TCP/IP i całym modelem zarządzania od longhorna. kolejny świetny mechanizm – w zasadzie od wersji Vista nie trzeba żadnego dodatkowego softu. ma swoje ograniczenia ale ogólnie sprawuje się świetnie. GPO pozwala na jego konfigurację co umożliwia centralne zarządzanie zabezpieczeniami sieciowymi. no i jest wspaniały mechanizm NLA – Network Location Awarness, który sam wykryje typ sieci i ustawi najbezpieczniejszy profil.

od wersji w7/w2k8R2 NLA zostało jeszcze rozbudowane, pozwalając na używanie kilq profili na raz! czyli przy dwóch+ połączeniach każde może działać z innym profilem.

ilość superlatyw sugeruje gruby sarkazm… a fakt jest taki: przy bardziej zaawansowanych konfiguracjach nie można konfigurować WFwAS za pomocą GPO a NLA – jak większość automatów – potrafi nieźle namieszać.

  • na początek proponuję taki oto wątek – jak się NLA uprze, to nie ma … we wsi.
  • nie ma możliwości tworzenia własnych typów profili ponad 3 zdefiniowane. zapomniano o tym, że w serwerach jest często, gęsto od połączeń różnych typów – management, iSCSI, direct connections, VLANs itp itd etc i inne trzyliterówki
  • jeśli skonfiguruje się WFwAS via GPO nie ma możliwości wyłączenia firewalla dla konkretnej sieciówki. nie ma też możliwości zdefiniowania własnej sieci, dla której profil będzie wyłączony
  • na serwerze nie ma możliwości zdefiniowania profilu dla konkretnej sieci – nie do końca rozumiem dla czego. nie ma też możliwości zrobienia tego via netsh
  • nie ma mechanizmu pozwalającego określić że sieć np. X.Y.Z.0/24 jest ‘private’ nadpisując mechanizm NLA. to nadal było by za mało ale już coś
  • GPP nie oferuje możliwości włączenia FW przez co nie mechanizmu do zrealizowania scenariusza ‘włącz podstawowy firewall by default a potem sobie dodefiniuj’ bo polisy będą nadpisywać. oczywiście jest mechanizm mergowania zasad FW więc można dopisać parę rzeczy ponad te z GPO ale zarządzania profilami, chwilowe wyłączenie FW czy zarządzanie filtrowaniem per interfejs nie jest możliwe.

reasumując – mam dylemat czy to rozwój czy niedorozwój mechanizmu zabezpieczeń. w każdym razie na serwerach – GPO do śmietnika. ręczne włączenie zasad ):

eN.

usługi lokalizacji

usługi lokalizacji to ciekawy zwierz – na podstawie adresu MAC potrafi zlokalizować Cię geograficznie. może to być MAC dowolnego WiFi w zasięgu. ponieważ MAC jest dostępny nawet bez logowania – wystarczy, że urządzenie jest widoczne, bez konieczności logowania. popularność androida spowodowała pojawianie się setek tysięcy.. milionów! agentów, którzy skanują i wysyłają informacje do centralnej bazy.

kontrowersyjne. zarówno idea agenta jak i zbierania takich informacji. pojawił się hint – jak spowodować, żeby konkretne urządzenie nie zostało zarejestrowane w bazie? należy w nazwie SSID dodać “_nomap” – tak w każdym razie donosi OSnews… tylko jak to przetestować? no i co jak już wprowadzone?

pozostaje kwestia innych firm – jak Microsoft czy Skyhook. jak się uwolnić od nich? pytania w stylu ‘czy to nie powinno być zabronione?’ pozostają jako temat rozprawki filozoficznej. w końcu inny przykład – czy jeśli bym zbierał informacje o rejestracjach samochodowych i na tej podstawie tworzył mapę – powiedzmy skan okolicznych rejestracji sugeruje, że jesteś tu-a-tu – czy to też jest zabronione? czyli jeśli spisuję to, co widzę, powinno podlegać kontroli? w końcu adresy MAC, tak jak nazwy ulic – są publiczne.

imho zabronić czegoś takiego się nie da – a być może nawet nie powinno, pod warunkiem jeśli istnieje możliwość wyrejestrowania. późno i nie do końca tak, jak by można oczekiwać, ale google daje taką możliwość? co z pozostałymi firmami? powinny być serwisy, pozwalające sprawdzić czy dane urządzenie jest w bazie, z możliwością wyrejestrowania.

eN

microsoft system sweeper

“system sweeper” to bezpłatny tool stworzony dla tych, którzy tak zapuścili swój system, że strach go uruchamiać (; offlineowa wersja antywirusa i rootkit revealera wraz z wizardem przygotowującym płytę CD/DVD lub USB. całość ma 25o MB i jest do zassania, na razie w wersji beta, z connecta.

***UPDATE

sprawdziłem ten programik w praktyce. rootkit revealera nie znalazłem – chyba, że jakoś jest ‘niejawnie’ wbudowany w MSE. generalnie to po prostu offline’owa wersja MSE. skoro jest na winPE to powinni dodać chociaż możliwość odpalenia konsoli – nie mówiąc o kilq praktycznych toolach.

eN.

FEP i inne takie

mówią, że poniedziałki są najgorsze, ale dziwne przypadłości potrafią dopaść w dowolnym momencie. po wczorajszej wizycie u dentysty [kilka znieczuleń AUU] z czwartq przesunął mi się ten cały syf, na tak zazwyczaj piękny dzień, jakim jest piątek. cały tydzień jest w zasadzie przesrany bo helpdesk chory i odwalam głupią robotę FUJ.

przyszedł komp z wirusem. po raz kolejny wspaniały McAfee dał pupy i z jakiegoś powodu nie wybronił użytkownika, który oczywiście jakimś trafem, miał admina lokalnego [pozostanie to w czasie przeszłym]. ponieważ testujemy Forefront Endpoint Protection kilka spostrzeżeń:

ogólnie jestem bardzo zadowolony. w przeciwieństwie do McAfee wykrywa wirusy. trochę gorzej z ich usuwaniem – nie wiedzieć czemu, tego wynalazq [dysk podłączony po USB] nie potrafił wywalić. i pomimo, że nie potrafił to restartować każe. restarty od wiecznych czasów były problemem środowiskiem Windows – ale do cholery, czas z tym skończyć! parę razy na konferencjach developerskich słyszałem, że programiści dodają ‘restart’ tak profilaktycznie – żeby mieć pewność, że biblioteki odświeży. do tej pory czasem [nie potrafię znaleźć regularności] po włożeniu urządzenia USB winda krzyczy ‘urządzenia zainstalowano poprawnie. zrestartuj system..’. oczywiście nie restartuję i też działa dobrze. denerwujący jest też czas, podczas wykonywania operacji – np. usunięcia czy przesunięcia do kwarantanny – coś co powinno trwać 1-2sec rozciąga się do pół minuty [WTF?]. na szczęście takie akcje to wyjątki, więc nie jest to specjalnie uciążliwe. po prostu dziwne. jeszcze dziwniejsze jest to, że po nieudanej próbie usunięcia .. wycina wpis DNS z ustawień TCP/IP. nie wiem czy to tak normalnie bo nie mogłem znaleźć podobnego przypadq O_o

drugim problem FEP są polisy GPO, które nie pozwalają na danie użytkownikowi możliwości definiowania wyjątków – można zdefiniować wyjątki via GPO , ale oddanie tego userowi – nie. w efekcie jeśli jest kilka kompów o specyficznych katalogach, które mają nie być skanowane – albo trzeba wyłączyć dla nich polisy albo tworzyć je oddzielnie. niewygodne.

poza tym podtrzymuję opinię, jaką miałem o Security Essentials – program wydajny, ‘przeźroczysty’, niekłopotliwy… po prostu przeciwieństwo gównianego McAfee [die bitch!]

eh.. piątek… po południu trzeba zacząć sekwencję weekendowego restartu q:

eN.