Tag: Security

Κτηματολόγιο

Η φωτογραφία αυτή είναι από μια κολώνα στην Αγία Παρασκευή. Παρόλο που από όσο έχω καταλάβει δεν επιτρέπεται να συμπληρώνονται οι δηλώσεις από άλλον εκτός από το δικαιούχο, αντιλλαμβάνομαι πως υπάρχει η ανάγκη. Βλέπω όμως πως υπάρχει και ένα πρόβλημα:

Όλοι αυτοί οι μεσάζοντες καταλλήγουν να έχουν -χωρίς δεσμεύσεις ή άλλο έλεγχο- στην κατοχή τους πληροφορία για τα περιουσιακά στοιχεία ανθρώπων.

Χμ, τι να μπορεί να πάει στραβά άραγε;

The MIT presentation at DEFCON

It has been discussed in various places over the net that a presentation at DEFCON from three MIT students about vulnerabilities in Boston’s transit fare payment system was canceled by a Federal Court judge’s order. Usually such decisions only serve to widen the audience, so here are the (87) slides of the presentation:

http://www-tech.mit.edu/V128/N30/subway/Defcon_Presentation.pdf

Read more at “The Tech”.

[via cryptography]

Μεγάλης κλίμακας πρόβλημα στους DNS servers

Ο Dan Kaminsky ανακοίνωσε ένα πρόβλημα στο πρωτόκολλο του DNS, γεγονός που σημαίνει πως επηρεάζονται οι περισσότερες υλοποιήσεις. Μπορείτε να διαβάσετε σχετικά εδώ και εδώ.

Η ανάγκη για αναβάθμιση είναι άμεση.

Update – Related posts:

cisco IOS rootkits

Στις παρουσιάσεις του EuSecWest βλέπω την ακόλουθη από τον Sebastian Muniz, exploit writer της Core Security Technologies:

Killing the myth of Cisco IOS rootkits: DIK (Da Ios rootKit)

Public rootkit implementations for Cisco IOS have not been seen and system administrators tend to think that this is not possible or that even being possible, a generic method could not be created and that a skilled attacker is needed to target them. We will present DIK (Da Ios rootKit), a real multi-architecture rootkit to show that real threat exist and that advanced IOS forensics are probably not enought to detect it.

No public IOS rootkit implementation has been publicly presented before and the techniques employed here are generic and could be easiy usd to implement other closed-source OS rootkits.”

  1. Wow! Δεν είναι βέβαια η πρώτη φορά που το διαβάζει κανείς, π.χ. ήδη από το 2002 ο Rik Farrow έγραφε:

    “One rumor is that the source code for IOS, Cisco’s Internetworking Operating System, has been stolen. That rumor dovetails nicely with a second rumor, that a rootkit for Cisco routers is in the wild.
    :
    The notion of a Cisco rootkit disturbed me at first. I guess I just didn’t like to think of a router as something running a vulnerable OS with vulnerable services. But, of course, routers run operating systems. Cisco has written their own. Juniper Networks uses a modified version of BSD.”

    Έστω και μετά από τόσα χρόνια …wow!

  2. Ελπίζω να υπάρχει κανείς γνωστός που να του πλήρωσε ο εργοδότης τις £2100 (EuSecWest + The Exploit Laboratory) για να μεταφέρει αυτά που είδε.
  3. Θυμάμαι πως τον καιρό που δούλευα στο NTUA-NOC προσπαθούσα να βρω buffer overflow στον BGP listener των router. Ήταν φρέσκο το “Smashing the stack for fun and profit” τότε… Βέβαια εμένα με ενδιέφερε περισσότερο το denial of service (σαφώς πιο εύκολο) από το remote access ή ένα rootkit. Ο router-master υπολόγισε σωστά στον όγκο της καθημερινής εργασίας και αν και δεν ήθελε, μου έδωσε access για να “παίξω”. Χρειάζεται ελεύθερο χρόνο κανείς για να πειραματιστεί.
  4. Άντε να δούμε πότε θα αρχίσουμε να τρέχουμε third-party software στους router (online ή offline πάνω στο image δεν έχει σημασία)…

[via]

IT audit forum

Steve Shofner wrote to cisaca-l:

I was recently looking for other good sources of information regarding
IT Audit on the web, discussion groups in particular. There aren’t too
many. So, I’ve started one in Google Groups. It is a place for IT
Auditors to ask questions, get answers, and collaborate on IT Audit
matters.

This Purdue group is a great resource. However, if you, like me, are
also interested in other points of view as well, please check out the
following link: http://groups.google.com/group/it-audit-forum

I’ll be leaving some invitations with other groups as well. So,
hopefully, it will blossom into another diverse resource for
information.

Please spread the word….

Spreading the word then.

[via cisaca-l]

data loss (?)

Ο Δημήτρης ζητάει ένα σχόλιό μου πάνω σε αυτό το θέμα:

Darling admits Revenue loss of 25 million personal records

Συνοπτικά: Η υπηρεσία που είναι υπεύθυνη για τη συλλογή των φόρων στο Ηνωμένο Βασίλειο ανακοίνωσε πως χάθηκαν δύο CD, που ταχυδρόμησε στο NAO, με records που αφορούν περίπου 25 εκατομμύρια πολίτες. Τα στοιχεία περιείχαν:

  • Ονοματεπώνυμο
  • Ημερομηνία Γέννησης
  • Ενιαίος Αριθμός Ασφάλισης
  • Τραπεζικός λογαριασμός (όχι σε όλες τις εγγραφές)

(Δείτε και το σχετικό άρθρο στο Wikipedia)

Τα σχόλιά μου:

  • Δεν εύχομαι κάτι τέτοιο ούτε στον εχθρό μου
  • Συμβαίνουν και στις καλύτερες οικογένειες λοιπόν
  • Θυμήθηκα πόσο μεγάλο μπορεί να είναι το bandwidth ενός φορτηγού γεμάτου σκληρούς δίσκους / CD / storage devices*

Συγνώμη Δημήτρη, αλλά δεν νομίζω πως υπάρχουν (ακόμα) στη δημοσιότητα αρκετά στοιχεία για να κάνει κάποιος σοβαρό σχολιασμό επί του θέματος, και μάλλιστα από τόσο μακριά από τα γεγονότα. Υποτίθεται πως διαδικασίες υπήρχαν, όπως και αμοιβαία συννενόηση ανάμεσα στις υπηρεσίες για την ανταλλαγή των δεδομένων. Αλλά όπως λέει και ένας φίλος, Τελικά η κρίσιμη υποδομή είναι ο άνθρωπος.”:

“The discs were sent by junior staff at HM Revenue and Customs (HMRC) based at Waterview Park in Washington, Tyne and Wear, to the National Audit Office (NAO), as unrecorded internal mail via TNT N.V” (ref)

Εάν υπάρχει κάποιο δίδαγμα από αυτήν την υπόθεση, τότε αυτό είναι:

It is not a matter of “if” but of “when

και άρα πρέπει να είσαι έτοιμος για το damage control / containment.

Την παραπάνω πρόταση στα Ελληνικά μπορεί να την έχεις ακούσει σαν:

“Όσο περνάει ο καιρός και το σύστημά σας δεν έχει παραβιαστεί, η πιθανότητα να παραβιαστεί πλησιάζει το P=1”

Την διατύπωση αυτή την άκουσα πρώτη φορά το 2001 από τον Δημήτρη Γκρίτζαλη.


[*] “Never underestimate the bandwidth of a truck full of tapes hurling down the highway” –Andrew S. Tanenbaum