raport uprawnień w AD

podczas audytu AD warto przejrzeć gdzie, kto i co  może. pisałem jakieś skrypty i inne wynalazki, ale są narzędzia, które można zassać bez napocenia się aż tak bardzo. dwa z nich to:

  • dla tych, którzy chcą sobie tylko pooglądać – LIZA. zaletą jest interfejs pozwalający chodzić sobie po drzewq. jednak do audytów jest niezbyt przydatny – nie filtruje defaultSecurityDescriptors, co znacząco utrudnia wykrycie anomalii.. no i nie ma exportu. niewątpliwie tool bardziej administratorski do zapytań typu: „gdzie ma dostęp grupa G?„.
  • fajniejszy jest IMHO ten oto skrypcik w PS. ma wszystko to, co jest potrzebne do analizy – tworzy raporty html/csv, filtruje co trzeba, no i jest w powershellu więc można sobie dokonywać modyfikacji bez konieczności visual studio (;

eN.

Odrobina prywatności na codzień

Temat PRISM powoli się przewala, choć najprawdopodobniej to tylko wierzchołek góry lodowej. Ja trochę się poddałem, bo po kilku latach wykorzystania własnych narzędzi do synchronizacji telefonów, stawiania serwerów do tego celu i ogólnie z góry przegranej walki o prywatność przez przypadek znychronizowałem wszystkie moje skrupulatnie chronione kontakty telefoniczne z kontem gmaila i cała prywatność w pizduuu…

Dla dociekliwych stronka https://prism-break.org przedstawiająca wszelkie „darmowe”, „wolne”, „chroniące prywatność” narzędzia. Ja już chyba jestem za stary na używanie TOR’ów w codziennym życiu, a na forach nie hejtuje, wiec potulnie korzystam z chroma….  ale może ktoś skorzysta z wyszukiwarek mających zastąpić googla… powodzenia.

Windows 8.1 z reklamami

Jak zwykle Microsoft nie zawodzi w dostarczaniu tematów do pisania.

Ostatni news z teamu Windowsa jest co najmniej niepokojący – otóż w Win 8.1 mają być serwowane reklamy – mają one być integralną częścią systemu.

I nie byłoby to dziwne, w sumie Google serwuje reklamy w Androidzie, Ubuntu również – z tym, że te dwa systemy są darmowe – jest to pewien rodzaj układu – my dajemy wam system za darmo w zamian serwujemy reklamy.

W przypadku Windowsa sytuacja jest zupełnie inna – to produkt komercyjny za który się płaci – i to nie mało, z mi znanych popularnych systemów operacyjnych jest to najdroższy system operacyjny na rynku: http://windows.microsoft.com/pl-pl/windows/buy

Ktoś kto płaci taką kwotę za goły system operacyjny ma prawo oczekiwać, że to co dostaje będzie ad-free – a tutaj.. rozczarowanie.. chociaż – może MS zrobi Win 8 Premium – bez reklam za cenę odpowiednio jeszcze wyższą.

Teraz druga strona medalu – skoro reklamy mają być serwowane w lokalnych wynikach wyszukiwania to jak np będziemy chcieli odnaleźć na naszym lokalnym dysku rozebrane zdjęcia swojej dziewczyny której kiedyś zrobiliśmy takie fotki, to czy teraz, wraz z Windowsem 8.1, dostaniemy reklamy spersonalizowane np innych rozebranych dziewczyn w twojej okolicy? Co z prywatnością? Wszyscy przecież wiemy, że MS skanuje np prywatne foldery na Skydrive (http://www.neowin.net/news/microsofts-ban-of-nudity-on-skydrive-questioned) – czy teraz będzie również skanował twój osobisty i prywatny komputer by dopasować reklamy?

http://community.bingads.microsoft.com/ads/en/bingads/b/blog/archive/2013/07/02/new-search-ad-experiences-within-windows-8-1.aspx

PKI – a nie mówiłem…?

ROTFLMAO – tak można podsumować wtopę, jaką zaliczył eMeS w ten weekend. a w zasadzie od piątq. cała chmura Azure wyparowała. dosłownie *cała*. od usług komercyjnych, darmowych, xbox… a wszystko przez… nieodświeżony certyfikat!

o tym, że PKI jest sztuką zanikającą i dla większości wdrożeń nazwa “PKI” jest mocno na wyrost, pisałem całkiem niedawno. ale to co się wydarzyło ciężko nawet komentować, więc zamiast się nabijać kilka wniosqw dla nas wszystkich:

  • CERTYFIKATY SĄ WAŻNE. jak widać – jeden zły cert i cała wielka machina może zdechnąć.
  • to, że nie dzieje się tak w innych firmach wynika z faktu, że każdy zna trywialim “bezpieczeństwo jest bardzo ważne/najważniejsze” ale środowisko konfiguruje się przeciwnie. ponieważ niewiele osób certyfikaty rozumie, aby sobie nie utrudniać życia, wszystko konfiguruje się tak, żeby “niewadziły”. czyli używa się self-signów, wyłącza się weryfikację CRL, pozwala się na połączenia pomimo braku poprawnej walidacji itd. czyli jakiś cert jest, jakieś szyfrowanie jest i wszyscy skaczą szczęśliwi że mają PKI i super bezpieczeństwo.
  • w Windows od zawsze brakowało automatu, przypominającego o wygasającym certyfikacie. taka funkcjonalność została dodana – AFAIR w Vista, jednak trzeba się lokalnie zalogować na serwer/stację, aby komunikat zobaczyć. tam, gdzie PKI jest istotne – jak np. główny cert firmy czy jakiejś aplikacji Web – admin powinien od razu wrzucić jakieś przypomnienie do kalendarza…

zamiast ustawiać przypomnienia na konkretne daty, co jest mało elastyczne z 1ooo powodów, warto byłoby zrobić coś bardziej uniwersalnego. na szybko – skrypt, który sprawdza wszystkie certy w computerMY i jeśli data jest powżej 6o% czasu życia, wysyła maila z informacją. skrypt można by wrzucić do do schedulera na serwerach. trzeba będzie nad tym pomyśleć…

eN.

łamanie haseł do wifi

AP cisco i d-linka implementują WPS – WiFi Protexted Setup. to taki dyngs dla lame-userów, który pozwala w przypadku zapomnienia hasła do sieci wpisać krótki PIN, i urządzenie wysyła hasło użytkownikowi [w skrócie]. są implementacje trochę bardziej bezpieczne – np. wymagają naciśnięcia jakiegoś guzika, albo po kilqkrotnym wpisaniu złego PINu blokują na jakiś czas, ale wiele urządzeń jest podatnych na ataki na owy PIN. co więcej – wystarczy wysłać tylko pierwsze 4 znaki PINu, żeby przekonać się czy jest nieprawidłowy.

dzięki temu nawet WiFi z uwierzytelnieniem WPA2 można złamać szybko i łatwo. narzędzie do tego celu nazywa się reaver.

eN.

Certificate request processor: object already exists. 0×8009000f (-2146893809)

podczas generowania certyfikatu przy pomocy certreq można natknąć się na taki ciekawy błąd. ciekawy – ponieważ nie mogłem go nigdzie wygooglać a natrafiałem na niego dość często.

błąd pojawia się w momencie, jeśli rozpocznie się generowanie certyfikatu ale z jakiś-tam powodów nie uda się zakończyć. certyfikaty to dziwne zwierzęta i mają legowiska w różnych miejscach systemu. w tym konkretnym przypadku za pierwszym razem wpisałem złą nawę szablony w pliq ini. za drugim wyglądało to tak:

>certreq –new certreq.inf user.req
Active Directory Enrollment Policy
   {GUID}
   ldap:
DumpVarianStringWorker: 0: “…” Certificate request processor: object already exists. 0x8009000f (-2146893809).

i nigdzie odpowiedzi. okazało się, że te konkretne requesty nie są przechowywane jak pan gejst przykazał w rejestrze tylko w %userprofile%AppDataRoamingMicrosoftCryptoRSA{UserSID} – usunięcie tego katalogu wywaliło tymczasowe informacje o starym requescie i całość zahulała

gdzie jeszcze indziej są fragmenty związane z certyfikatami:

  • cache CRL można usunąć ręcznie nie czekają na automatyczne przedawnienie przy pomocy certutil –crlcache * delete
  • klucze prywatne i certy trzymane są w %userprofile%AppDataRoamingMicrosoftSystemCertificates
  • są tam też przechowywane erquesty wygenerowane za pomocą MMC – czyli m.in. klucz prywatny. requesty zresztą widać w MMC ‘certmgr.mmc’ w gałęzi ‘Certificates Enrollment Requests’
  • no i teraz okazuje się że jest jeszcze ten CryptoRSA… o kórym nigdzie się nie doczytałem wcześniej.

eN.

Windows Firewall na serwerach – GPO czy lokalnie?

GPO to wspaniały mechanizm pozwalający na centralną i automatyczną konfigurację. bez GPO jak bez ręki. okazało się, że braqje trochę innej funkcjonalności i do polis dodano preferencje – GPP. potęga.

Windows Firewall uległ totalnej modernizacji do Windows Firewall with Advanced Security, wraz z implementacją stosu TCP/IP i całym modelem zarządzania od longhorna. kolejny świetny mechanizm – w zasadzie od wersji Vista nie trzeba żadnego dodatkowego softu. ma swoje ograniczenia ale ogólnie sprawuje się świetnie. GPO pozwala na jego konfigurację co umożliwia centralne zarządzanie zabezpieczeniami sieciowymi. no i jest wspaniały mechanizm NLA – Network Location Awarness, który sam wykryje typ sieci i ustawi najbezpieczniejszy profil.

od wersji w7/w2k8R2 NLA zostało jeszcze rozbudowane, pozwalając na używanie kilq profili na raz! czyli przy dwóch+ połączeniach każde może działać z innym profilem.

ilość superlatyw sugeruje gruby sarkazm… a fakt jest taki: przy bardziej zaawansowanych konfiguracjach nie można konfigurować WFwAS za pomocą GPO a NLA – jak większość automatów – potrafi nieźle namieszać.

  • na początek proponuję taki oto wątek – jak się NLA uprze, to nie ma … we wsi.
  • nie ma możliwości tworzenia własnych typów profili ponad 3 zdefiniowane. zapomniano o tym, że w serwerach jest często, gęsto od połączeń różnych typów – management, iSCSI, direct connections, VLANs itp itd etc i inne trzyliterówki
  • jeśli skonfiguruje się WFwAS via GPO nie ma możliwości wyłączenia firewalla dla konkretnej sieciówki. nie ma też możliwości zdefiniowania własnej sieci, dla której profil będzie wyłączony
  • na serwerze nie ma możliwości zdefiniowania profilu dla konkretnej sieci – nie do końca rozumiem dla czego. nie ma też możliwości zrobienia tego via netsh
  • nie ma mechanizmu pozwalającego określić że sieć np. X.Y.Z.0/24 jest ‘private’ nadpisując mechanizm NLA. to nadal było by za mało ale już coś
  • GPP nie oferuje możliwości włączenia FW przez co nie mechanizmu do zrealizowania scenariusza ‘włącz podstawowy firewall by default a potem sobie dodefiniuj’ bo polisy będą nadpisywać. oczywiście jest mechanizm mergowania zasad FW więc można dopisać parę rzeczy ponad te z GPO ale zarządzania profilami, chwilowe wyłączenie FW czy zarządzanie filtrowaniem per interfejs nie jest możliwe.

reasumując – mam dylemat czy to rozwój czy niedorozwój mechanizmu zabezpieczeń. w każdym razie na serwerach – GPO do śmietnika. ręczne włączenie zasad ):

eN.

usługi lokalizacji

usługi lokalizacji to ciekawy zwierz – na podstawie adresu MAC potrafi zlokalizować Cię geograficznie. może to być MAC dowolnego WiFi w zasięgu. ponieważ MAC jest dostępny nawet bez logowania – wystarczy, że urządzenie jest widoczne, bez konieczności logowania. popularność androida spowodowała pojawianie się setek tysięcy.. milionów! agentów, którzy skanują i wysyłają informacje do centralnej bazy.

kontrowersyjne. zarówno idea agenta jak i zbierania takich informacji. pojawił się hint – jak spowodować, żeby konkretne urządzenie nie zostało zarejestrowane w bazie? należy w nazwie SSID dodać “_nomap” – tak w każdym razie donosi OSnews… tylko jak to przetestować? no i co jak już wprowadzone?

pozostaje kwestia innych firm – jak Microsoft czy Skyhook. jak się uwolnić od nich? pytania w stylu ‘czy to nie powinno być zabronione?’ pozostają jako temat rozprawki filozoficznej. w końcu inny przykład – czy jeśli bym zbierał informacje o rejestracjach samochodowych i na tej podstawie tworzył mapę – powiedzmy skan okolicznych rejestracji sugeruje, że jesteś tu-a-tu – czy to też jest zabronione? czyli jeśli spisuję to, co widzę, powinno podlegać kontroli? w końcu adresy MAC, tak jak nazwy ulic – są publiczne.

imho zabronić czegoś takiego się nie da – a być może nawet nie powinno, pod warunkiem jeśli istnieje możliwość wyrejestrowania. późno i nie do końca tak, jak by można oczekiwać, ale google daje taką możliwość? co z pozostałymi firmami? powinny być serwisy, pozwalające sprawdzić czy dane urządzenie jest w bazie, z możliwością wyrejestrowania.

eN