Paweł Goleń, blog

Czy warto szyfrować cały dysk? Tak. Dowód “nie wprost” znajduje się tutaj: TrueCrypt's Deniable File System. Nie, nie chodzi mi tu o DFS, tylko o to, że system i aplikacje ciekną. Szyfrując cały dysk, problem plików tymczasowych, pliku pagefile.sys , hiberfil.sys , rejestru (The Windows Registry as a Log File), narzędzi indeksujących i innych tego typu “niespodzianek” znacznie się zmniejsza. Oczywiście, należy pamiętać choćby o możliwości odzyskania kluczy z pamięci (Lest We Remember: Cold Boot Attacks on Encryption Keys)... A szyfrowanie na wyższych warstwach (kontenery TC, EFS, szyfrowane archiwa, ...) też się przydaje. Oczywiście z kluczem/hasłem innym, niż przy starcie systemu.

O tym, że walidacja danych wejściowych jest istotna, pisałem już wiele razy. Tym razem będzie o XML.

Kolejny element w kolekcji rzeczy ZŁYCH. Dziś w roli głównej protokół FTP.

Ostatnio miał miejsce gigantyczny wyciek danych osobowych z PEKAO S.A.. Można się spierać, czy był on rzeczywiście taki gigantyczny, ale nie o tym chcę pisać. Jeśli ktoś jeszcze o tym nie słyszał, może zacząć swoją lekturę tu. Chcę pokazać dlaczego do takich zdarzeń dochodzi i będzie dochodzić.

W informacjach dotyczących phishingu jak mantrę powtarza się zalecenie, by sprawdzić adres strony, oraz to, czy adres zaczyna się od https. Problem w tym, że to nie daje wiele, o czym już zresztą pisałem. Owszem, zalecenia te mogą być wystarczające, gdy jest to “czysty” phishing, gorzej, gdy pojawia się wrogi kod.

Tak jakoś nagle pojawiła się nowa wersja TrueCrypt, tym razem jest to wersja 6.0. Jest już również dostępna odpowiednia tcgina. Nowych funkcji jest trochę, ale dla mnie chyba najbardziej będą użyteczne zmiany związane z wydajnością. Implementować ukrytego systemu operacyjnego u siebie nie zamierzam...

Temat bezpieczeństwa aplikacji internetowych oraz ich testów penetracyjnych poruszałem już wielokrotnie. Tym razem trochę refleksji.

Zgodnie z Guidelines for Evidence Collection and Archiving jednym z elementów, które należy (w miarę szybko) pobrać jest pamięć. Można zrzucić pamięć fizyczną i następnie analizować ją choćby przy pomocy pakietu Volatility. Można też do sprawy podejść inaczej.

Wspominałem już o technologii U3 i jej potencjalnym wykorzystaniu do Złych Celów. Tym razem postaram się zebrać te informacje w jednym miejscu.

Kilka razy pisałem (i pewnie jeszcze napiszę) na temat zagrożeń związanych z USB. W szczególności stwierdziłem, że U3 jest ZŁE. Z tego właśnie powodu właśnie nabyłem SanDisk Cruzer® Micro 8GB. W planach mam osadzenie na nim zestawu narzędzi, których ogólne przeznaczenie można określić jako live response (takie rozwinięcie zabawy z moim Tamagotchi).

W szczególności zestaw ten ma:

• wykonać zrzut pamięci fizycznej systemu (dlatego 8GB),
• jeśli nie może wykonać zrzutu pamięci systemu – wykonać zrzut pamięci poszczególnych aplikacji,
• zainstalować i uruchomić narzędzie F-Response (jeśli chciałbym analizować zawartość dysku “ofiary”),
• zebrać informacje o stanie systemu (Guidelines for Evidence Collection and Archiving),

Całość z dwóch powodów:

• ile w końcu można się zajmować aplikacjami internetowymi,
• na wszelki wypadek (w celu ułatwienia sobie życia w przypadku konieczności prowadzenia analizy powłamaniowej),