W trakcie spotkania SPIN pojawiło się pytanie w jaki sposób można określić czas trwania/pracochłonność penetracyjnego testu bezpieczeństwa. Nie istnieje prosta formuła, która na wejściu dostaje "opis aplikacji" (cokolwiek to oznacza), a na wyjściu podaje ilość osobodni potrzebnych na wykonanie testu. W znacznym stopniu określenie pracochłonności (co wprost przekłada się na czas trwania testu) opiera się na doświadczeniu i wcześniej realizowanych projektach. Po rekonesansie w aplikacji (no niestety, bez tego każda "wycena pracochłonności" jest w zasadzie zgadywaniem) można porównać aplikację z wcześniej wykonywanymi testami - w szczególności istotną informacją jest jak długo w rzeczywistości trwał taki test. Warto zauważyć, że ten sposób określania harmonogramów "występuje w przyrodzie": Evidence Based Scheduling (wielkie dzięki dla Tomka za to, że polecił mi kiedyś stronę Joel on Software).
Ciąg dalszy "Szacowanie czasu trwania testu: Evidence Based..." »Saturday, April 25. 2009
Friday, April 24. 2009
VBootkit 2.0
Na konferencji Hack In The Box zaprezentowany został VBootkit2 (materiały konferencyjne), w rezultacie czego można przeczytać tego typu informacje: Researchers show how to take control of Windows 7, albo Windows 7 z nieusuwalnym exploitem (autor artykułu chyba nie do końca rozumie pojęcie "exploit"). Ja powiem tak - proponuję zapoznać się z pracami Joanny Rutkowskiej (Invisible Things Lab, blog), gdzie tego typu koncepcje przewijają się od kilku lat. Ot, choćby taki przykład: Attacking SMM Memory via Intel® CPU Cache Poisoning. Zresztą in the wild występuje już od pewnego czasu malware "przejmujący system przed jego uruchomieniem", mowa oczywiście o Mebroot. To chyba pozwala popatrzeć na temat VBootkit2 z szerszej perspektywy. Przy okazji warto zauważyć, że ten problem nie dotyczy tylko Windows. W 2007 roku, po prezentacji pierwszej wersji VBootkit pojawił się artykuł VBootkit vs. Bitlocker in TPM mode, ciekawe, czy i tym razem pojawi się taka analiza.
Na koniec jeszcze jeden artykuł do przeczytania: Why do I miss Microsoft BitLocker?
Ciąg dalszy "VBootkit 2.0" »SPIN - materiały
Zgodnie z zapowiedzią udostępniam materiały dotyczące spotkania SPIN. Znajduje się tam prezentacja (cała, wyciętych tylko kilka nieistotnych slajdów z obrazkami), oraz tekst (tylko do tej części slajdów, które zdążyłem pokazać).
Ciąg dalszy "SPIN - materiały" »Thursday, April 23. 2009
I po spotkaniu SPIN
Z przygotowanych 83 slajdów udało mi się dojść do slajdu 23. I bardzo mnie to cieszy, bo chyba dyskusje, które "wyszły w trakcie" również były ciekawe. Dziękuję wszystkim za tak liczne przybycie i udział w dyskusji. Jeśli nie zanudziłem Was, to się cieszę. Materiały wkrótce umieszczę (podam tutaj informację), być może wraz z prezentacją udostępnię również tekst do (części) slajdów. Mam taki zwyczaj, że do prezentacji piszę również tekst właśnie po to, by później można go było ze slajdami wystawić, choć tym razem jakość tego tekstu jest niska, za duży temat za mało czasu.
Przykłady, które demonstrowałem pod koniec prezentacji pochodzą z mojego bootcamp.
Ciąg dalszy "I po spotkaniu SPIN" »Satelity - do czego mogą się przydać
Tomek podesłał mi link do ciekawego artykułu: The Great Brazilian Sat-Hack Crackdown. Interesujący przykład, gdy dostępna funkcjonalność zostaje (nad)użyta przez osoby do tego nieuprawnione. Co więcej, obciążenie generowane przez "obcych" może spowodować niedostępność systemu dla "swoich" (klasyczny przykład DoS). Być może w czasach, gdy powstawał system FLTSATCOM, technologia potrzebna do zbudowania "klienta" nie była powszechnie dostępna, teraz, blisko 30 lat później, świat się trochę zmienił.
Ciąg dalszy "Satelity - do czego mogą się przydać" »