Archive forSecurity

The Age of Insecurity (part 3)

Vorbesc deja de ceva ani (in mod repetat) despre “The Age of Insecurity”.

Ei bine, am avut ocazia să țin recent un curs de security. Și ca de fiecare dată când îmi fac temele pentru așa ceva, m-am speriat de ce se întâmplă în jur.

În primul rând, numărul de atacuri reușite la adresa companiilor mari a crescut dramatic în ultima vreme. Doar în 2013 și-au luat-o Twitter, Evernote, Living Social, Northrop Grumman (da, băieții care fac bombardiere B2, drone, etc :) ), Adobe (care a pierdut 150 de milioane de conturi, cu username și parole), Yahoo! Japan, eBay, Target, T-Mobile

Și cele de mai sus sunt doar o mică parte dintr-o listă foarte mare – dacă sunteți curioși, aruncați un ochi aici. Filtrați după anul 2013, și veți vedea zeci de exemple. Și țineți cont că în general site-ul se limitează doar la cazurile din US!

Partea cea mai gravă este însă alta – în timp ce atacurile se intensifică, software-ul de securitate are probleme din ce în ce mai mari. OpenSSL a avut Heartbleed, și acum au găsit încă vreo 6 vulnerabilități prin el. Denyhosts este unmaintained de ceva timp, și ca urmare a fost scos din repository-urile Ubuntu 14.04. Și Truecrypt a fost și el discontinued recent (pentru TC chiar nu știu vreun înlocuitor rezonabil pe Windows. Și vă rog, nu spuneți Bitlocker!!).

Se spune că un blestem chinezesc zice „may you live to see interesting times!” Ei bine, se anunță vremuri interesante…

Comments (2)

Algerian Hacker si site-urile .ro

Astăzi de dimineață (2012/11/28, 08:00 +2), google.ro arăta cam așa…

Ținând cont că se pare că nu este singurul site .ro afectat, am o bănuială că a scăpat cineva prin NS-urile de la RoTLD. Că tot mai vorbeam eu de ei pe aici

[ LE: Din păcate, a trebuit să fug înainte să apuc să sap mai adânc prin DNS-uri. Se pare totuși că datele confirmă bănuielile mele – un NS compromis la RoTLD. O analiză detaliată găsiți aici ]

Comments (1)

RoTLD Reloaded

Cum în ultima vreme mă joc cu niște migrări măricele de zone, mă tot plimb pe site-ul RoTLD. Dacă tot am vorbit (și eu și Meekuu) de genialul mod în care se face validarea NS-urilor, nu pot să nu mai adaug două comentarii:

1. Stau de câteva minute să sap ca să îmi dau seama dacă parola de administrare a domeniului se trimite în clar sau nu. Până la urmă se pare că e HTTPS, dar nu e tocmai frumos să deschizi un link https într-un frame. Nu de alta, dar utilizatorul nu are nici o modalitate de a verifica certificatul primit.

Se pare că băieții care au făcut implementarea au fost colegi de clasă cu cei care au făcut implementarea 3DSecure (care e fix la fel de inspirată :) )

2. Nu pot să nu menționez modalitatea de plată cu cardul. Care presupune completarea unui formular cu toate datele cardului, și trimiterea lui prin fax împreună cu copie față-verso după card (adică număr card, nume deținător, CVV, absolut tot ce este necesar ca să îți dispară toți banii din cont). Și da, trebuie să ai o naivi^H^H^H^H^H încredere nemărginită că hârțoaga respectivă este procesată și stocată în mod sigur. Nu de alta, dar eu personal sunt foarte greu de convins că ea nu rămâne aruncată pe un birou, unde numai cine nu vrea nu poate înhăța datele respective.

Ambele mi se par niște lucruri cumva… neașteptate. Mai ales venind de la cei care se ocupă de aproape tot ce înseamnă Internetul din .ro.

Comments (4)

DNSSEC Rollout

Mâine, 5 mai, este ziua în care se va realiza deployment-ul DNSSEC pe toate serverele root. Dacă aveți vreun PIX/ASA care să filtreze mesajele DNS, vedeți aici ce modificări sunt necesare pentru a suporta pachetele (semnificativ mai mari) necesare pentru noul format de mesaje.

Comments (1)

The Age of Insecurity

Nu, nu exagerez. Hai să vedem câteva din cele mai importante știri din ultimele câteva luni:

  1. Algoritmul de criptare folosit pentru protocolul GSM a fost spart. O dată. Și a doua oară. Complexitate – suficient de mică pentru a rula programul în 2 ore pe un singur PC.
  2. Protocolul de comunicație folosit pentru comunicația cu un card cu chip (știți voi care – alea cu „e mai secure, că are chip!”) are o vulnerabilitate majoră – nu autentifică verificarea PIN-ului. Ca urmare, este foarte ușor de creat un device care să spună „PIN corect” la orice PIN introdus. Mai multe detalii aici (și dacă tot sunteți acolo, puteți citi încă o serie luuuungă de vulnerabilități ale cardurilor / terminalelor POS).
  3. Protocolul de autentificare 3DSecure (sau MasterCard SecureCode, sau VerifiedByVisa…) are și el o serie de vulnerabilități importante.

Nu vi se pare prea grav? Hai să vedem ce pot însemna cele de mai sus:

  1. Orice conversație GSM, ascultată de oricine, oricând. Costuri? Minime.
  2. În cazul pierderii/furtului unui card, faptul că doar tu știi PIN-ul nu te mai protejează. Mai mult – ținând cont că log-urile tranzacției arată „PIN corect introdus”, ai toate șansele ca banca să nu îți dea nici un ban înapoi. Pe motiv că „nu ai ținut PIN-ul secret”.
  3. Iei card cu 3DSecure, că „e mai sigur” (sigur ați văzut și voi diversele reclame…). Și de fapt constați că singurul „avantaj” al 3DSecure este… pentru bancă. De fapt, dacă vă uitați pe diversele vulnerabilități de pe site, veți constata un lucru foarte interesant (pe care îl menționam și eu acum ceva timp). Practic toate tehnologiile noi au introdus (și chiar au fost promovate prin) „liability shift”. În cazul unei tranzacții frauduloase, banca/procesatorul de plăți/vânzătorul aruncă pisica decedată în spinarea clientului. Și le iese din ce în ce mai bine!

Comments (5)

StartSSL – Quick HowTo

După cum ziceam, am reușit să găsesc o alternativă la (acum defunctul) Thawte Web of Trust, și anume WoT-ul de la StartSSL. A venit timpul să detaliez un pic modalitatea de validare în sistemul respectiv.

Pasul 1 – cauți doi notari ( startssl.com / WoT / notary finder / Bucharest ).

Pasul 2 – ceri validare de la cei doi notari aleși. (request validation)

Pasul 3 – te întâlnești cu ei, și le arăți 2 documente de identitate (cu poză/semnătură). Nu ai nevoie de copii, doar de originale. De asemenea, semnezi și formularul de validare.

Pasul 4 – după 2 validări, ai un certificat digital (Class-1 validated), cu numele tău în el, valabil timp de 1 an.

Pasul 5 – după un an, sari din nou la pasul 1 :)

Din păcate, la StartSSL este un pic mai dificil să devii notar. Pentru că trebuie să plătești o validare de identitate Class-2 (40 USD în momentul actual). Dar odată ce ai devenit notar, îți menții statusul pe termen nelimitat, cât timp ești validat periodic (la intervale de 1 an) de alt notar. ;-)

Comments

StartSSL Notary

Vă povesteam acum câteva zile de StartCom. Ei bine, nu am rezistat și am plătit un „identity validation” la ei. Mi-a plăcut că sistemul nu este numai electronic – trimit și o scrisoare recomandată cu un cod de validare (pentru o confirmare suplimentară a persoanei/adresei).

Astăzi am primit scrisoarea, și sunt oficial validat în sistemul lor. Cireașa de pe tort? Prin aceasta am devenit și notar în sistemul lor WoT. Vrea cineva validări? :-D

Acum caut încă un om care să devină notar. Pentru că:

  • oricine altcineva are nevoie de 2 validări de la 2 notari diferiți
  • noi doi ne putem valida între noi pentru a ne menține validarea de identitate activă pe termen nelimitat.

Doritori? :-D

Comments (6)

An Alternative to Thawte?

Vă spuneam mai devreme că Thawte Web of Trust nu mai există. Ei bine, am găsit un posibil înlocuitor…

E vorba de StartSSL. Care până acum văd că oferă:

  • Certificate SSL (recunoscute de ffox/IE). Gratuit!
  • Certificate e-mail (gratuite pentru CN=„free user”, pe bani dacă se cere validarea persoanei)
  • OpenID provider (de forma http://choose_your_username.startssl.com)

Îmi place mult și modelul de business – nu plătești pentru certificate, ci pentru validare. Adică plătești o dată pentru validarea domeniului, după care poți emite oricâte certificate pentru domeniul respectiv (sau subdomenii). La fel și pentru persoane – plătești validarea identității personale, după care poți emite oricâte certificate de mail.

Cireașa de pe tort? Mai nou există și un sistem de tip „Web of Trust”. Care este doar la început, dar… eu unul sper că va deveni o alternativă viabilă la (fostul) Thawte WoT.

Dacă sunteți curioși cum arată un astfel de certificat, ubergeek.ro folosește un certificat de la ei.

Comments (3)

Cu datele-n nori

Citeam un articol despre un sistem care permite datelor trimise electronic să „dispară” (sau, mai degrabă, să devină inaccesibile) după o perioadă de timp.

Sistemul pare chiar interesant (citiți pagina oficială a lui pentru detalii – practic cheia de criptare este sparta in multe bucati, si trimisă într-un sistem P2P. Unde… dispare în timp :) ). Sau, pentru și mai multe detalii, citiți direct documentul tehnic [PDF] . Și da, autorul principal este o româncă.

Revenind totuși la articolul din Cotidianul, nu pot să nu comentez – parcă unele cuvinte ar fi fost bine să rămână în engleză…

  • În plus, conceptul de “cloud computing” (informatică în nori) lua avânt semnificativ
  • păstrarea confidenţialităţii datelor stocate în norii informatici”
  • utilizatorii nu pot să spună unde, cum şi pentru cât timp datele lor sunt stocate în aceşti nori.”
  • încercăm să le oferim utilizatorilor control asupra unui anumit aspect al datelor lor stocate în nori sau în web”
  • am început să lucrez la probleme legate de migrarea către norii informatici.”

Comments (4)

DD-WRT Vulnerability

DD-WRT este unul din cele mai populare firmware-uri open-source folosite de routere. Ei bine, se pare că build-urile recente au fost afectate de o vulnerabilitate destul de gravă.

Practic este suficient un HTTP request care să treacă prin router pentru a permite… remote command execution pe echipament. Ca root (!).

Detalii despre vulnerabilitate aici și aici .

Comments (1)

« Previous entries