Despre dreptul la intimitate în fața calculatorului

Săptămâna trecută am făcut disponibilă tehnologia U-Prove:

  1. specificațiile criptografice ale U-Prove sub Open Specification Promise
  2. kituri de dezvoltare (SDK) pentru C# și Java sub licența BSD
  3. un prim preview (CTP) cu implementarea Microsoft a U-Prove sub forma unei extensii la Windows Identity Framework, plus actualizări pentru CardSpace și ADFS 2.0

De ce este important? Fiindcă tehnologia asta permite niște scenarii foarte interesante. Știm de la grădiniță că în IT dacă impunem securitate, de obicei se sacrifică ușurința în utilizare și, de cele mai multe ori, se sacrifică din intimitatea utilizatorului (nz: voi folosi ”intimitate” pentru conceptul de privacy). Există foarte multe scenarii, în care este de dorit să nu se divulge ”chestii” despre utilizator, decât ceea ce este necesar. De exemplu:

  • în tranzacțiile (plățile) mici de pe internet, unde nu este necesar să se știe cine face plata (donații, micropayments)
  • la cumpărarea de medicamente (sau alte plăți anonime), unde nu doresc să dezvălui identitatea mea, decât faptul că sunt eligibil (am rețetă de la medic) și că am suficienți bani
  • în sisteme medicale, care să elibere doar anumite rezultate ale pacientului către medicul destinație
  • în scenarii în care nu dorim trasabilitatea comportamentului utilizatorului, nici măcar de către furnizorul de identitate (de ex: sisteme de vot electronic) etc

Toate astea în condițiile în care se păstrează securitatea sistemului. Se numește ”minimal disclosure”, iar aplicațiile sunt ”privacy-enabled”. Este într-adevăr magic, sau cum spune Stefan Brands, creatorul U-Prove: crypto magic.

Vă recomand să urmăriți interviurile lui Vittorio de pe Channel9 IdElement:

  1. Announcing Microsoft’s U-Prove Community Technical Preview
  2. Deep Dive into U-Prove Cryptographic protocols
  3. U-Prove CTP: a Developers’ Perspective

TrojanDownloader:Win32/Fakeinit

Na, că a venit momentul și pentru un malware, care să semene cu Microsoft Security Essentials. E drept că seamănă doar la nume, dar se pare că este suficient pentru utilizatorii mai naivi:

TrojanDownloader:Win32/Fakeinit

Reamintesc că:

  1. Dacă cineva (bad guy) vă convinge să instalați o aplicație pe calculatorul vostru, atunci acel calculator nu mai este al vostru, indiferent de sistemul de operare. Atenție la ce mizerii descărcați de aiurea!
  2. Microsoft Security Essentials este un antivirus gratuit, descărcabil de la http://www.microsoft.com/security_essentials/. Ah, aveți și versiunea în limba română. Enjoy!

Rezistă BitLocker din Windows la atacuri?

Depinde. Dacă este configurat cum trebuie, da, rezistă. Cât de restrictiv să-l configurați? Asta numai voi știți, fiindcă depinde de ce fel de atacuri vreți să vă apărați. Dacă vreți să vă apărați de atacurile sofisticate arătate săptămâna trecută la conferința Black Hat, atunci ar fi bine să configurați BitLocker măcar: 1) ca TPM-ul să ceară PIN și 2) să opriți mașina dacă nu o folosiți. Astea sunt suficiente pentru a opri atacurile de acest tip:

”desfă mașina, arde/taie chipul TPM cu acid sau unelte specializate, curăță-l să ajungi la circuite, îngheață-i memoria cu He lichid, fă conexiuni cu unelte specializate, extrage cheile din memorie etc„,

sau atacurile de orice alt tip din familia cu două sau mai multe ”vizite”. Dacă sunteți paranoici, atunci 3) configurați BitLocker să detecteze modificările din secvența de boot. Pe de altă parte, dacă dețineți informații atât de importante, ca să atrageți astfel de atacuri sofisticate, atunci aveți probleme mult mai grave decât BitLocker-ul din Windows. Poveștile astea mă duc cu gândul la scenariile în care cineva trebuie să transporte o sumă mare de cash sau documente importante într-o geantă și își leagă geanta de mână cu cătușe. Ei bine, dacă valoarea genții e foarte mare, credeți că un atacator ezită la tăierea unei mâini?

Pentru cei care încă nu știu, BitLocker este tehnologia de criptare a discurilor din Windows 7, Vista și Windows Server, bazată pe un microcontroler hardware, numit TPM. Acest TPM se ocupă și cu stocarea cheilor de criptare și este capabil să se autoizoleze, dacă detectează o intruziune.

Sunt curios cât va dura, până vom avea pe plăcile de bază TPM-uri, care să se autoizoleze, dacă sesizează intruziune fizică sau modificări majore de temperatură?

Herczeg. Zoli Herczeg

Ghid de autentificare și autorizare

După aproape un an de muncă, Eugenio Pace a publicat A Guide to Claims-Based Identity and Access Control, o lucrare esențială pentru orice dezvoltator, care s-a săturat să creeze dependențe față de diferitele tehnologii de autentificare. Structura ghidului este:

A Guide to Claims-Based Identity and Access Control

Nu uitați nici de prezentarea de la Solution Architect Briefing: SAB 26jan2010 claims-based identity.pptx (1MB)

Este timpul pentru un patch de securitate out-of-band

Da, ăla pentru IE.
Pentru profani: lăsați bifa de automatic update să-și facă treaba.
Pentru cei care încă nu știu: este out-of-band fiindcă iese din regula de a trimite patch-uri în a doua marți a lunii.
Pentru sysadmini: dacă vreți detalii, știți unde le găsiți. Hint: http://technet.microsoft.com/security

Antivirus free: Microsoft Security Essentials

Am făcut-o și pe asta.
Enjoy and spread the word!

Filed under: Securitate

# re: Antivirus free: Microsoft Security Essentials

Wednesday, September 30, 2009 4:11 PM by tibbs

Mai trebuie lucrat la el. La mine nu vrea sa se instaleze (Win 7 Prof.)

# re: Antivirus free: Microsoft Security Essentials

Wednesday, September 30, 2009 7:24 PM by adrian.munteanu

tibbs,

eu am pus si pe XP si pe Win7 enterprise si a mers uns…

# re: Antivirus free: Microsoft Security Essentials

Wednesday, September 30, 2009 7:28 PM by zoltanhe

Eu am Windows 7 Ultimate acasă și merge… Zice ceva când nu vrea?

# re: Antivirus free: Microsoft Security Essentials

Wednesday, September 30, 2009 9:04 PM by Valy Greavu

Eu am Win 7 Enterprise pe 64 B si merge.

Zoli o intrebare, si te rog sa gandesti bine si sa raspunzi sincer. Stii ca nu sunt un anti MS, DAR… Nu cumva devenim prea MS dependenti?

Mie imi convine sa-mi pun pe comp AV de la MS, dar oare nu ar trebui totusi sa ma gandesc si la intrebarea de mai sus? AV-ul si SO-ul se leaga destul de bine si folosesc librarii comune. Daca cineva compromite o librarie a SO-ului, compromite si AV-ul, nu?

Multumesc.

# re: Antivirus free: Microsoft Security Essentials

Thursday, October 01, 2009 12:58 PM by zoltanhe

Păi nu. Suprafața de atac este la fel ca la orice altă combinație AV+Windows.

# re: Antivirus free: Microsoft Security Essentials

Saturday, October 03, 2009 1:20 PM by tudor.t

Intrebarea e: de ce atunci cand accesez http://www.microsoft.com/security_essentials de pe IE 8 imi spune ca:

„Not available in your country or region

You appear to be in a country or region where Microsoft Security Essentials is not available”

dar daca il accesez cu FireFox 3.5.3 nu apare nici un mesaj si il pot downloada?

# re: Antivirus free: Microsoft Security Essentials

Saturday, October 03, 2009 6:04 PM by zoltanhe

@tudor.t, probabil ai locale diferite în cele două browsere

# re: Antivirus free: Microsoft Security Essentials

Saturday, October 03, 2009 7:38 PM by tudor.t

Probabil asta e: in IE aveam la preffered language ro-RO, iar in FF ,era en-EN… 🙂

Roadmap de produse de securitate – Forefront

Încercuit cu roșu mai jos este produsul care avea numele de cod ”Stirling”. Ca o paranteză, știm deja că familia de produse de securitate de la Microsoft sunt sub brand-ul Forefront, iar cele de management sunt sub System Center. Ei bine, Stirling Protection Manager este un fel de System Center pentru Forefront 🙂

Sub highlight-ul galben se află produsele care au purtat numele de cod ”Geneva” și care sunt la baza metasistemului de identitate reglementat de Identity Metasystem Interoperability Version 1.0:

  • Geneva Framework devine WIF (Windows Identity Foundation), parte a .NET Framework,
  • Geneva Server devine ADFS (Active Directory Federation Services), practic o nouă versiune,
  • CardSpace Geneva devine, simplu, CardSpace, practic o nouă versiune.

Da, viitorul identității este bazat pe ”claim”-uri!

Microsoft Security Essentials (da, cel care va fi lansat în curând) nu e aici, în familia Forefront.

Forefront Roadmap 2

Filed under: Securitate, Identitate, Forefront, System Center, WIF, CardSpace, ADFS

E timpul pentru un patch de securitate out-of-band

E vorba de vulnerabilitatea din biblioteca ATL. Problema e că dacă ați dezvoltat controale cu ATL, chiar și în urmă cu zece ani, este probabil să fi ”moștenit” vulnerabilitatea în controalele respective. De fapt sunt două patch-uri: unul pentru IE, care activează killbit pentru controalele scrise cu codul vulnerabil și, bineînțeles, celălalt pentru Visual Studio.

Detalii aici și aici.

Filed under: Internet Explorer, Securitate, Visual Studio

# re: E timpul pentru un patch de securitate out-of-band

Wednesday, July 29, 2009 4:46 PM by MrSmersh

Viata era frumoasa daca patch-urile s-ar instala 100% din cazuri…

KB971092 cam da gherla pe vreo 10% din masini. Da si la noi in retea proportia s-a pastrat. Ca shop (si de) instalari presupunem ca e un cetificat la impachetare, dar sa dam jos versiunea standalone si aruncam o geana in msi sa vedem ce si cum.

In the mean time e un workaround pe connect https://connect.microsoft.com/VisualStudio/feedback/ViewFeedback.aspx?FeedbackID=478117&wa=wsignin1.0

da cind vine standalone il incercam si pe ala Smile

90 adica ala de 2005 parese ca nu are atita personalitate

# re: E timpul pentru un patch de securitate out-of-band

Thursday, July 30, 2009 11:25 AM by MrSmersh

OK, workaround merge. Atentie e silent, msp nu zici nimica nici ba nici da la rulare. Si posibil ca problema sa aiba legatura cu KB909520 daca e instalat sau nu.

Dar cum workaround merge si pe cecu meu nu scrie MS acuma sa imi vad de treaba Smile

# re: E timpul pentru un patch de securitate out-of-band

Thursday, July 30, 2009 11:26 AM by cilu

Tocmai am primit un forward la un email venit la firma de la Microsoft.

Buna ziua,

Va trimit acest email pentru a va atrage atentia asupra unei alerte de securitate out-of-band.  Este  vorba de vulnerabilitatea din biblioteca ATL. Problema este ca daca au fost dezvoltate controale cu ATL, chiar cu multi ani in urma, este probabil sa fi ”mostenit” vulnerabilitatea in controalele respective. Sunt doua patch-uri: unul pentru IE, care activeaza killbit pentru controalele scrise cu codul vulnerabil si unul pentru Visual Studio.

Atasate sunt sugestiile primite de la corporatie pentru diminuarea si eliminarea riscurilor. De asemenea, puteti regasi informatii suplimentare aici și aici.

Se pare ca cineva te copiaza, Zoli. 😉

# re: E timpul pentru un patch de securitate out-of-band

Friday, July 31, 2009 2:36 AM by zoltanhe

@cilu, e Lore.

# re: E timpul pentru un patch de securitate out-of-band

Monday, August 03, 2009 11:50 AM by cilu

Nu, nu e Lore, e Raluca. Oricum, n-are nici o importanta. Era doar o nota ca ai fost folosit mot-a-mot ca si sursa de inspiratie. 😉

Despre identitate si controlul accesului

În timp ce la RSA Conference vorbim despre ”A New Approach to Enterprise Security”, voi știți deja că vorbim despre Geneva, nu-i așa? Dacă nu știați, proiectul Geneva, sau dacă vreți metasistemul de identitate, dorește să rezolve problema autentificării și autorizării pe bază de claim-uri în enterprise dar și la nivelul internetului.

A fost un bun prilej să lansăm un show dedicat pe Channel9, numit The Id Element, ne anunță Vittorio.

The Id Element pe Channel9

Filed under: Securitate, Identitate, Arhitectura

Cum a castigat un hacker roman 300keur

Citesc acum pe Hotnews, care citează Gândul „Cum a căștigat un hacker român 300000eur”. Se spune „cum a furat”, boilor deștepților! Să nu vă mire că România e în top la fraudele pe net, dacă încurajați copiii să devină infractori. Nu e cool deloc. Pușcăria e la fel de răcoroasă și pentru geeks.

Filed under: Securitate, Civic, Pfui

# re: Cum a castigat un hacker roman 300keur

Thursday, March 12, 2009 9:12 AM by blackhat

Mie mi-a placut cel mai mult asta, extrasa din articolul original, din Gandul: „Acestea ajungeau, în realitate, la piraţii cibernetici, care ulterior le foloseau pentru a intra în conturile fraierilor.”

Asadar, ce pretentii poti sa mai ai….

# re: Cum a castigat un hacker roman 300keur

Thursday, March 12, 2009 9:34 AM by ignatandrei

se poate da punctaj la articolul din gindul – puneti si voi 1

# re: Cum a castigat un hacker roman 300keur

Thursday, March 12, 2009 10:06 AM by blackhat

Da, sunt convins ca asta o sa-l invete minte…

# re: Cum a castigat un hacker roman 300keur

Thursday, March 12, 2009 11:32 AM by zoltanhe

măcar articolul din Gândul spune că ”superstarul” a fost reținut de mascați

# re: Cum a castigat un hacker roman 300keur

Thursday, March 12, 2009 11:33 AM by ignatandrei

A, nu … nu o sa il invete minte neaparat … Dar simt ca trebuie facut ceva…

Tu ce ai face ?

# re: Cum a castigat un hacker roman 300keur

Thursday, March 12, 2009 1:06 PM by blackhat

Exista o mare diferenta intre cei care evidentiaza critic o realitate si cei care se confunda cu ea senzatia ei. Primii traiesc o viata linistita, ceilalti una plina de frustrari si refulari.

Este inutil sa iti incarci constiinta cu lucruri asupra carora nu ai nici o influenta directa.

# re: Cum a castigat un hacker roman 300keur

Thursday, March 12, 2009 1:12 PM by naicul

zoli, sa nu exageram. langa titlu e si o poza cu „tanarul” incatusat, flancat de un mascat (care, dupa inaltime, e o tipa, dar asta nu mai conteaza).