Mamy nową wysoce krytyczną lukę w Windows 7, która w połączeniu z przeglądarką Safari umożliwia uruchomienie dowolnego kodu z uprawnieniami jądra systemu. Luka ta jest już wykorzystywana do instalacji złośliwego oprogramowania.
Wg porady Secunii nr SA47237 podatność dotyczy win32k.sys, a jest to kod, który pracuje z uprawnieniami jądra systemu. Skutek naruszenia pamięci w takim procesie jest oczywisty, jest nim możliwość wykonania dowolnego kodu przez napastnika, niekiedy z uprawnieniami jądra systemu. Obecnie jedynym znanym programem, który może posłużyć do wykorzystania tego błędu jest przeglądarka Safari, przy czym luka omija wszystkie zabezpieczenia, takie jak DEP czy mechanizm uprawnień Windows. Od strony kodu HTML, wystarczy utworzyć ramkę IFRAME z nadzwyczaj dużą zadeklarowaną wysokością.
Opisy włamań udowadniają, że eksploit może pozyskać kontrolę nad w pełni zaktualizowanym systemem Microsoft Windows 7 64 bit, prawidłowo skonfigurowanym, w którym z przeglądarką Safari pracuje użytkownik o bardzo ograniczonych uprawnieniach w systemie.
Krótkie poszukiwania na forach dyskusyjnych wskazują, że wyłączenie interfejsu Aero i wybranie klasycznego znacząco zmniejsza podatność na atak. Ponadto ataku nie udało się jeszcze odtworzyć w przeglądarce Mozilla Firefox, zatem prawdopodobnie ryzyko jest mniejsze, gdyż Safari w wydaniu dla Windows posiada niewielki udział w rynku. Microsoft jeszcze nie wydał aktualizacji, ale jest to wysoce krytyczny błąd dotyczący jądra Windows, zatem można oczekiwać opracowania łatki poza zwykłym cyklem aktualizacji. Krótka porada dla administratorów – zablokujcie Safari w firmie za pomocą GPO i tymczasowo wyłączcie Aero do czasu wydania i przetestowania aktualizacji.
W tym roku pożegnaliśmy bardzo dobre narzędzie do przeszukiwania lokalnego – Google Desktop. Zakończenie projektu Google Desktop oznacza także, że jedna z najbardziej cenionych wizjonerskich firm uważa, że epoka przechowywania informacji na stacjach roboczych ma się ku końcowi. Uważam jednak, że mimo wszystko jest to przedwczesny wniosek, przynajmniej dla tak zwanych „power userów” do których niewątpliwie się zaliczam.
Dla mnie jest to podstawowe narzędzie przeszukiwania informacji, gdyż nadal przechowuję komplet informacji lokalnie, z regularnie wykonywaną kopią bezpieczeństwa. Ponieważ aplikacji Google Desktop nie da się już pobrać ze stron producenta, odtworzyłem katalog /opt z kopii bezpieczeństwa i uruchomiłem to narzędzie razem z migracją do drugiej maszyny. Rozglądam się jednak nadal za czymś, co w bliższej przyszłości będzie mogło godnie zastąpić produkt Google. Być może będzie nim Beagle.
Nowy stary laptop
gru 11
Ponieważ autor tego bloga otrzymał służbowego laptopa (Fujitsu-Siemens Amilo Pro V3525), niezbędne okazały się narzędzia do pracy na obu komputerach w możliwie elastyczny sposób. Na netbooku (MSI Wind U100) od początku działa Ubuntu Linux, zatem nowy komputer również zyskał ten system, w wersji 10.04 LTS zamiast oryginalnych Windows XP Home (edycje domowe nie nadają się do sensownej pracy, co Microsoft potwierdza, wydając o wiele lepsze edycje biznesowe, które polecam).
Na szczęście Ubuntu Linux wyposażony w narzędzie OneConf potrafi utrzymać automatycznie stan zainstalowanego oprogramowania na obu komputerach, doinstalowując w miarę potrzeb pakiety na tym z nich, gdzie któregoś z programów brakuje, zatem skupiłem się na narzędziach, które będą synchronizować katalogi domowe. Linux nie posiada rejestru ani dokuczliwych w synchronizacji plików PST, zatem do synchronizacji między komputerami wystarczy kontrola plików w katalogach domowych oraz wspomniane automatyczne utrzymywanie tego samego oprogramowania po obu stronach. Po kilku testach okazało się, że poczciwy rsync działa na tyle sprawnie, że z powodzeniem nadaje się do okresowej synchronizacji, ale prawdopodobnie po dłuższych testach skorzystam z narzędzia Unison.
Plusy nowego komputera – o wiele szybszy procesor (Core2Duo kontra Atom 1,6), większa rozdzielczość (1280×800 kontra 1024×600). Minusy: sprzęt jest używany, zużyta bateria wytrzymuje zaledwie 15 minut pracy. Różnica w ilości RAM (1GB kontra 2GB w netbooku) nie wpływa tak bardzo na wydajność, natomiast bardzo poważnie widać wpływ prędkości pracy dysku (5200rpm kontra hybrydowy Momentus XT w netbooku – MSI Wind z takim dyskiem jest co najmniej 3x szybszy przy operacjach dyskowych).
Oto dowód:
Tak wygląda raport z wydajności dysku z netbooka
A tak z dużego laptopa
Najgorszym minusem jest jednak błyszcząca matryca. Nadal nie wiem dlaczego użytkownicy przedkładają wygląd komputera nad ergonomię pracy w pomieszczeniach oświetlonych zgodnie z odpowiednimi normami (500-1000lx). Tęsknię za jakością matrycy testowanego kiedyś Lenovo T510.
Gdy słyszymy „procesor” zazwyczaj przychodzą nam do głowy produkty zachodnich firm. Tymczasem w Polsce powstaje procesor, który z powodzeniem może pracować w rozwiązaniach przemysłowych, militarnych lub motoryzacyjnych. Producentem jest firma GryfTechnologia, jest to procesor 32 bitowy o obecnej wydajności około 0,17 MIPS na MHz i poborze energii rzędu 0,5mW/MHz przy napięciu 3,3V.
Oprogramowanie dla niego jest pisane w języku Java i wykonywane jako Byte Code, dostępne jest stosowne API oraz narzędzia rozwijane w modelu open source. Firmę GryfTechnologia założył Marcin Kwiatkowski, wicemistrz świata International Java Masters Competition z roku 2005.
Oto procesor o nazwie Warszawa w rękach swojego twórcy:
Z ciekawością będę śledził dalszy rozwój tej konstrukcji.
O procesorze „Warszawa” rodem z okolic Pisza na Mazurach będzie można przeczytać w najnowszym wydaniu tygodnika Computerworld.
Banki i telefony komórkowe
lis 18
Ludzie korzystają z systemów transakcyjnych w telefonach komórkowych i nawet nie zastanawiają się, czy to jest bezpieczne.
Dyrektor ds. marketingu mBanku i MultiBanku, Paweł Kucharski mówi:
Obecnie 35% logowań do systemu MultiBanku pochodzi z iPhone’a. W mBanku ten odsetek wynosi 20%.
Cytat pochodzi stąd.
Bardzo ważnym problemem jest autoryzacja niektórych operacji (takich jak przelewy niezdefiniowane czy zmiana parametrów) – odbywa się ona za pomocą wiadomości SMS *). Jeśli użytkownik korzysta ze swojego telefonu komórkowego do połączenia się z serwisem transakcyjnym, to wiadomość SMS przychodzi na to samo urządzenie, z którego dana osoba się łączy. Zatem jeśli w systemie operacyjnym telefonu znajduje się złośliwe oprogramowanie, to….
odpowiedź wydaje się oczywista. Można zrealizować za jego pomocą dowolny przelew bez zgody i wiedzy właściciela rachunku, jedynie za pomocą złośliwego oprogramowania.
Moja mała rada – nigdy nie łączcie się z serwisem transakcyjnym z tego samego telefonu, na który przychodzi wiadomość SMS, gdyż w ten sposób likwidujecie drugi składnik uwierzytelnienia osoby przy autoryzacji transakcji.
Z jakich narzędzi można skorzystać, by podwyższyć bezpieczeństwo? Na przykład z takich:
Wtedy SMS zostanie przesłany na inne urządzenie, skąd go trzeba ręcznie przepisać.
*) Chyba, że ktoś nadal korzysta z papierowych haseł jednorazowych.
Tablet a korporacja
lis 7
Dyrektorzy IT oraz specjaliści do spraw bezpieczeństwa mają tendencję do zakazywania, gdy chodzi o tablety i inne gadżety. Po części mają rację. Jestem przeciwny wdrażaniu takich urządzeń w firmach metodą ad-hoc – kupimy, dołączymy i będzie działać.
Będzie działać, ale ucierpi na tym bezpieczeństwo organizacji.
Z drugiej strony zakaz wprowadza się bardzo prosto, ale o wiele trudniej się go respektuje, patrz iPad prezesa oraz smartfony dyrekcji.
Byłem świadkiem audytu w jednej z firm, gdzie wprowadzone ograniczenia chroniące przed obcymi komputerami (firma posiadała wdrożone restrykcje adresów sprzętowych) uniemożliwiły włączenie iPada do sieci firmowej. Zatem szef samodzielnie zainstalował kupiony w supermarkecie router, który samoczynnie sklonował sobie taki sam MAC jak w połączonym doń laptopie, dzięki czemu przełącznik sieciowy „wpuścił” go do sieci. Co robił ten router? Udostępniał połączenie po Wi-Fi z ESSID default, zabezpieczeń brak. Router stał przy oknie. Komentarz wydaje się zbyteczny.
Należy zatem postawić pytanie: „Jak wdrożyć urządzenia klasy konsumenckiej, takie jak tablety, by nie powodować dramatycznego wzrostu ryzyka biznesowego?”. Postaram się nakreślić problem w najbliższym wydaniu tygodnika Computerworld. Prezentacja Kurta Roemera, głównego stratega do spraw bezpieczeństwa w firmie Citrix ujmowała to bardzo ciekawie, była to bardzo dobra sesja, jedna z najlepszych na całej konferencji Synergy 2011.
Linux w przeglądarce!
paź 21
JavaScript oraz HTML5 to są potężne narzędzia. Umożliwiają uruchomienie kompletnego emulowanego systemu operacyjnego – w tym przypadku jest to mikrodystrybucja Linuksa – w całości w przeglądarce. Nie jest to żadna usługa terminalowa, wszystko uruchamiane jest w olbrzymim, tłustym i ciężkim jak wieloryb środowisku wirtualizacyjnym – za pomocą motoru przeglądarki. W praktyce może posłużyć zatem jedynie do demonstracji możliwości, albo… do hackingu. Zawartość okna z emulatorem jest wyświetlana jako tekst, który można skopiować. Prędkość pracy nie zachwyca, ale jest to projekt, który pokazuje do czego zdolne są nowoczesne przeglądarki. Uprzedzam pytanie – w starszym Internet Explorerze albo nie działa w ogóle, albo nie działają opcje z pobieraniem i wrzucaniem obrazu systemu. Za to działa na iPadzie, a także w Firefoksie. Nota bene da się w tym odpalić nieco skrojony MS-DOS włącznie z bardzo starym Lotusem 1-2-3. Nie dysponuję jednak licencją na to oprogramowanie, więc zrezygnowałem z dokładniejszych testów.
Link do emulatora jest tu: http://stud.hro.nl/0814604/jslinuxdemo/emulator.html. Użytkownicy NoScripta muszą włączyć skrypty i obiekty z tej strony (a dokładniej z tego katalogu).
Miłej zabawy, użytkownik root nie ma hasła.
Oracle w wirtualce
paź 20
Chociaż technicznie jest to możliwe od dawna, zmiana w polityce wsparcia VMware w praktyce umożliwia przedsiębiorstwom wirtualizację baz danych Oracle. Jeśli firma nie ma wyśrubowanych wymagań odnośnie do dostępności usługi, ale potrzebuje jedynie szybkiego odtworzenia po awarii, może z powodzeniem migrować z klastra RAC do pojedynczej instancji (o wiele tańsze licencje na bazę Oracle), a o szybkość odtworzenia zadba klaster VMWare. Można także uzyskać lepszą wydajność, niż RAC pracujący bezpośrednio na sprzęcie. O tym zagadnieniu napiszemy w najnowszym wydaniu tygodnika Computerworld.
Przyczyną, dla której dotąd rzadko wirtualizowano Oracle w VMware, są założenia wsparcia technicznego Oracle, zakładające przy zgłoszeniu serwisowym dotyczącym wirtualizowanej bazy konieczność odtworzenia błędu bezpośrednio na sprzęcie. Obecnie VMWare przejmuje na siebie w takich przypadkach ticket zgłoszenia wsparcia technicznego i załatwia sprawę z Oracle. Link jest tu: http://www.vmware.com/support/policies/oracle-support.html
Oprócz ciekawostek technicznych, chmury jako takiej, rozwiązań partnerskich oraz świetnego labu (czy muszę dodawać, że skorzystałem z niego?), prezentacja związana z wirtualizacją Oracle była jedną z ciekawszych na konferencji VMworld 2011 w Kopenhadze.
O ojcu nikt nie pamięta
paź 13
Media rozpisywały się nad śmiercią Steve’a Jobsa, ale mało kto pisze o tym, że 9 października zmarł ktoś znacznie od niego ważniejszy. Ba, był to ktoś, dzięki komu właśnie Steve Jobs mógł odnieść taki sukces.
Tym człowiekiem był Dennis Ritchie, który w 1969r. razem z Kenem Thompsonem stworzył świetny system operacyjny UNIX.
Współpracując z Thompsonem i Brianem Kernighanem, opracował język C, a następnie napisał książkę The C Programming Language (razem z Kerniganem). Książka ta jest popularna do dziś, w języku C napisana jest większość kodu standardowych systemów typu UNIX.
MacOS X jest de facto systemem typu UNIX (podobnie jak Linux), korzysta z dorobku BSD.
To kto był ważniejszy?
#include <stdio.h>
int main()
{
printf("goodbye, dad\n");
return 0;
}
Po raz kolejny okazuje się, że przyczyna problemów z bezpieczeństwem może znajdować się między fotelem a klawiaturą. Wewnętrzne śledztwo prowadzone w banku UBS wykazało, że systemy zarządzające ryzykiem wykryły niecodzienną aktywność maklera Kweku Adoboli. Przypomnijmy – na instrumentach pochodnych stracił on 1,3 miliarda funtów szterlingów. Problem polegał nie na tym, że nikt nie wykrył jego działań, ale na tym, że nikt nie podjął stosownych działań po zgłoszeniu alertu przez systemy monitorujące aktywność i zarządzające ryzykiem w tej instytucji. UBS odmówił wyjaśnień brytyjskiemu wydaniu Computerworld na temat systemów wykorzystywanych w tej instytucji, ponadto nie ujawniono czy Adoboli obszedł któreś z zabezpieczeń, czy po prostu udało się obejść przynajmniej część tego systemu. W wyniku tego zdarzenia ze stanowiska zrezygnował prezes banku Oswald Grubel a także dwóch innych szefów global equities business: Francois Gouws oraz Yassine Bouhara.
Wiadomość na ten temat jest tutaj.
Jestem ciekawy jak wygląda stan zabezpieczeń polskich banków przed takimi zdarzeniami. Każdy bank posiada komórkę zarządzania ryzykiem, która powinna posiadać odpowiednie instrumenty kontrolne, także do transakcji na rynku instrumentów pochodnych. Wiem, że nikt oficjalnie tego nie powie, ale może uda mi się dowiedzieć czegoś ciekawego.