Archive forNetworking

IEEE Approves 802.11n

A durat ceva timp (7 ani 😛 ), dar în sfârșit standardul 802.11n a fost aprobat.

http://mobile.slashdot.org/story/09/09/11/2220223/IEEE-Approves-80211n-Wi-Fi-Standard

Comments (2)

Cu datele-n nori

Citeam un articol despre un sistem care permite datelor trimise electronic să „dispară” (sau, mai degrabă, să devină inaccesibile) după o perioadă de timp.

Sistemul pare chiar interesant (citiți pagina oficială a lui pentru detalii – practic cheia de criptare este sparta in multe bucati, si trimisă într-un sistem P2P. Unde… dispare în timp 🙂 ). Sau, pentru și mai multe detalii, citiți direct documentul tehnic [PDF] . Și da, autorul principal este o româncă.

Revenind totuși la articolul din Cotidianul, nu pot să nu comentez – parcă unele cuvinte ar fi fost bine să rămână în engleză…

  • În plus, conceptul de “cloud computing” (informatică în nori) lua avânt semnificativ
  • păstrarea confidenţialităţii datelor stocate în norii informatici”
  • utilizatorii nu pot să spună unde, cum şi pentru cât timp datele lor sunt stocate în aceşti nori.”
  • încercăm să le oferim utilizatorilor control asupra unui anumit aspect al datelor lor stocate în nori sau în web”
  • am început să lucrez la probleme legate de migrarea către norii informatici.”

Comments (4)

DD-WRT Vulnerability

DD-WRT este unul din cele mai populare firmware-uri open-source folosite de routere. Ei bine, se pare că build-urile recente au fost afectate de o vulnerabilitate destul de gravă.

Practic este suficient un HTTP request care să treacă prin router pentru a permite… remote command execution pe echipament. Ca root (!).

Detalii despre vulnerabilitate aici și aici .

Comments (1)

100GE is Here!

Comments (1)

Modificari CCIE RS

“The upcoming Version 4.0 of Cisco CCIE® Routing and Switching certification will test hands-on troubleshooting, Multiprotocol Label Switching (MPLS), and VPN networking.”

Textul complet al anunțului îl găsiți aici. Modificările au fost anunțate astăzi, iar noile examene vor fi folosite începând cu data de 18 octombrie 2009.

Comments (3)

Cisco Hack

Am dat peste un articol care spune:

“The bottom line is that before, all IOS exploits had to know the exact IOS image running on the target to get code execution. This is approximately a 1 to 100,000 chance, [and] a professional attacker doesn’t risk his 0-day exploit when the odds are stacked against him like that,” Linder says. “I [demonstrated] that at least on one group of Cisco routers, there is a way to execute code without knowing the IOS image version [they are] running.”

Din păcate, articolul (link aici) este foarte vag, și nu spune mai nimic despre vulnerabilitatea folosită (faptul că „putem ataca un router dacă există o vulnerabilitate IOS” mi se pare destul de LMC* ). În schimb, PDF-ul cu prezentarea (link aici ) explică mai multe – se pare că atacul se bazează pe versiunea de ROMMON, și nu pe versiunea de IOS. Iar dacă versiunea de IOS variază foarte mult de la router la router, versiunile de ROMMON sunt mult mai puține (și de multe ori nu se poate face update de ROMMON pe un router). În plus, se adaugă câteva „tricks” menite să facă atacul portabil pe mai multe versiuni de IOS.

Soluții? Well… just the basics:

  • filtrare agresivă a traficului care are ca destinație router-ul
  • update de IOS, pentru a elimina eventualele vulnerabilități descoperite. Din nou, pare LMC*, dar… dacă PC-ul de acasă îmi permit să îl rebootez de 10 ori în 2 zile din cauza update-urilor (vezi post-ul anterior 😛 ), nu același lucru îl pot spune despre router-ul care îmi ține 1000 de clienți în spate. Și care de multe ori are uptime de ani de zile.

*La Mintea Cocoșului, in case you were wondering 😛

Comments

Hash Competition

Nu mai devreme de ieri scriam un lucru pe care îl spun de mult timp:

Și eu (ca și mulți alții) consider că soluția cea mai bună ar fi organizarea unei competiții de tipul celei organizate pentru algoritmii de criptare în 1997 (competiție în urma căreia a apărut AES-ul).

Ei bine, iată că se întâmplă! Se pare că eram în urmă cu știrile – deja există așa ceva!

Concursul este deja deschis, și s-au primit 64 de propuneri. Cel mai probabil vom avea un standard undeva prin 2012. Not a moment too soon, aș putea spune 🙂

Detalii aici (wired.com), aici (schneier.com), sau aici (cio.com).

Comments (4)

MD5 Considered Harmful Today

Urmăresc de ceva vreme progresul făcut în direcția „spargerii” algoritmului MD5. Și nu o dată m-am contrazis cu oamenii care susțineau că a fost deja spart. De ce? Pentru că „posibilitatea găsirii unor coliziuni random” nu echivalează cu „posibilitatea găsirii unor coliziuni pentru un text dat”, sau (și mai important) cu „posibilitatea realizării unui atac pe baza acestor coliziuni”.

Ei bine, iată că a fost făcut și acest ultim pas. Astăzi a fost anunțat ceea ce este (din câte știu eu) primul atac „real-world” bazat pe vulnerabilitățile MD5. Un grup de cercetători au reușit să obțină un certificat „fals”, care apare în browsere ca fiind emis de un CA comercial. Ca urmare, certificatul este recunoscut și acceptat ca valid de către browser-ele web.

Mai mult – certificatul emis este un certificat de CA intermediar. Ca urmare, toate certificatele semnate ulterior folosind acest certificat vor fi recunoscute și acceptate ca valide de către browsere!

Da, cercetarea nu s-a bazat numai pe vulnerabilitățile MD5-ului. S-a bazat și pe anumite vulnerabilități din implementarea CA-ului (numere de secvență liniare, moment predictibil al emiterii certificatului, path length lipsă în CA-ul root, etc). Totuși, faptul că atacul a reușit (timpul necesar pentru calcul fiind de numai câteva zile!!) înseamnă că într-adevăr perioada de utilitate a MD5-ului s-a terminat.

Aș spune că este momentul să ne căutăm alți algoritmi de hashing, dar…. nu prea avem alternative. SHA-1 este mai secure, dar și el are o serie de vulnerabilități (nu de aceeași anvergură, dar vulnerabilități nevertheless). Ca urmare, și el va trebui înlocuit până în 2010 (recomandare NIST).

Cu ce? Încă nu știm. Și eu (ca și mulți alții) consider că soluția cea mai bună ar fi organizarea unei competiții de tipul celei organizate pentru algoritmii de criptare în 1997 (competiție în urma căreia a apărut AES-ul).

Detaliile despre atac le găsiți aici. Credits go to LifeTester, care se pare că în loc să se gândească la anul nou stă și citește despre MD5 pe ‘Net. 🙂

Comments (6)

CiscoExpo 2008

A început CiscoExpo 2008… Eveniment important, măcar prin faptul că îți permite să afli ce mai e nou prin domeniul în care te învârți 🙂 (sau, în cazul meu, să revezi oameni cu care nu te-ai mai întâlnit de un an 😛 )

Au fost câteva mici probleme – faptul că s-a scumpit (din fericire au avut inspirația să trimită niște coduri gratuite pe la unii – probabil cei care au fost prezenți și prin anii trecuți 😀 ), sau faptul că voluntarii de la academia Cisco prezenți acolo anul acesta nu au avut viață tocmai ușoară.

S-ar mai adăuga faptul că s-au mutat de la Marriott la hotel Radisson SAS. Hotel care arată bine, recunosc, dar… nu este făcut pentru a face față unui număr așa de mare de persoane. Și când de stat jos nu ai unde, de lăsat papornița (citiți: geanta cu hărtii primită de la ei) la garderobă nu ai cum (!!!), iar conversațiile cu diverși oameni le porți înghesuit între 2 standuri și o masă, parcă îți vine să lași naibii tot.

Dar până la urmă, nu asta e cel mai important. Ce contează am spus deja mai sus: prezentările, și oamenii cu care te (re)întâlnești. Vorba lui Meekuu – priceless! 😀

[ Acum sincer – doar nu vă așteptați să pun poze din vreo prezentare, nu? 😀 ]

Comments (3)

Juniper. No Compromise

Ce primesc eu astăzi pe mail:

Dear xxxxxxxxxxxxxx

With the Juniper Networks SRX Dynamic Services Gateway, you can scale the mission-critical applications across the whole enterprise and get the competitive edge that you need – without worrying about performance or security issues.

The SRX natively integrates:

* Intrusion Prevention System (IPS)
* Distributed Denial of Service Attack (DDos/DoS)
* Network Address Translation (NAT)
* Dynamic Routing, and
* Quality of Service (QoS).

Cum nu mă pot abține niciodată de la un comentariu răutăcios: vă dați seama? Avem o mașină care integrează rutarea dinamică, QoS, NAT, și DDoS! Vă deranjează concurența? No problem – 2 comenzi pe mașină, și rețeaua competiției va fi flood-ată imediat! Fără să mai fie nevoie să compromiteți zeci de mii de mașini de pe Internet (just think of the cost savings!!). Iar pe viitor, este în plan introducerea unui sistem care să detecteze automat potențialele victime (pe baza unor metrici de tipul „creșterea cotei de piață”), și să lanseze automat atacul! Nu ezitați – cumpărați acum! Fiți atacatorul, nu victima!!!

[ Don’t get me wrong – am o părere foarte bună despre produsele Juniper. Și deși eu sunt un „cisco guy”, recunosc că au existat destule ocazii când uitându-mă în curtea Juniper am salivat după anumite features. Chiar și echipamentul prezentat aici (concurent direct pentru ASA, din descriere) sună bine (până la 120Gbps trafic prin firewall? Sună chiar foarte bine!).

Doar că… nu pot să mă abțin de la comentarii răutăcioase. Mai ales când e vorba de departamentul de marketing >:) ]

Comments (1)

Next entries » · « Previous entries