Proteinfest och flytt

Idag slutar en mycket uppskattad kollega av alla på företaget- och vi samlas hela IT på restaurang Funkalistic för att tacka av henne denna fredag som dessutom är en halvdag.

Epic Protein Chocolate Pudding med Raw choklad topping. Slut :-(

Epic Protein Chocolate Pudding med Raw choklad topping. Slut :-(

Gårdagens benpass tog ut sin rätt iom minimalt med sömn under natten, och jag hade både 200mg koffeinpuller, 1 Red Bull och en halv kopp kaffe i mig innan 08:30. Nivån av självömkan låg på topp tills jag fick en mycket uppskattad överraskning väntandes i kylskåpet i form av Epic Protein Chocolate Pudding med Raw choklad topping från kollegan i fråga.

Det här är protein-intag på helt nya nivåer. Om jag förstod det rätt så är det alltså en blandning av casein, kakao, kaffe och vatten som tillsammans som resulterar i en chokladmousse a’la premium. Jag har försökt mig på liknande själv, men inte kommit i närheten av detta underverk.

Kvällen kommer idag att bestå av ett fortsatt packande, i morgon hämtar vi lastbilen på 18 kubikmeter och får hjälp av familj och släkt med lastning. Det känns skönt att lämna lägenheten då vi har levt i limbo med alla kartonger. På söndag skall städfirman ha gjort sitt, och måndagen därpå lämnas nycklarna över till köparna.

Täby – here we come!

Helgen och Security council

I helgen passade familjen på att njuta av det fina vädret. Vi träffade upp min frus bror med fru och tog en promenad nära pampas marina. Sonen uppskattade alla djur som de har där och det blev både mata/klappa häst, get och ankor.

Jobb-relaterat så började veckan hektiskt. Jag hade som agenda att sätta upp en ny dev-miljö (OS konfiguration, Databas-management, site-konfiguration etc) samtidigt som ett projekt i produktionsmiljön skulle deployas. Det gällde att hålla tungan rätt i munnen för att inte göra misstag och bränna tid i onödan.

Något jag sprang på efter emigreringen av sidorna till nya VPSen var följande:

1. PHP require fel som ledde till att sidorna ej fungerade
– orsak var bla MimeMail modulen som hänvisade till dev-folder struktur (nya dev miljön kommer ej innehålla referenser till dev iom enklare deployment till produktion)

Eftersom sidan var trasig och därav admin GUI så löstes allt mha terminalen och drush. Modulerna avaktiverades och symbollänk skapades för dev-folder struktur. Drush vset för att ändra file/file-private URL i siterna och sedan var vi tillbaka på banan.

Note to self: manuellt ändra databasreferens till dev och radera symbollänkar efter.

2. SMTP modulen hade inställningar som berörde en 3e part leverantör – bort bort!
– lösning genom att installera postfix och konfigurera modulen

3. Iom att vi jobbar mot en IP och virtuel host så får vi problem med relativa länkar. Vi vill dessutom kräva HTTPS-requests från alla källor.
– lösning genom Drupals .htaccess samt default-ssl vhost fil ändring.

4. Tidigare så körde vi ej HTTPS eller certifikat på dev-miljön.
– orsak till varför nu är att klienterna haft tendens att länka in HTTP resurser i sidan och bryta HTTPS anslutningen. Nu kör vi med SSL EV och ej ett wildcard certifikat vilket betyder att klienterna får en varning när certifikatet används under dev-domänen – men inget som påverkar deras arbete.

5. Ruby on rails -> Gem SASS och Compass installation
– inga konstigheter, temat installerat för Drupal site-nätverket och vi test-kompilerade SASS-filen för att verifiera konfigurationen.

Annars gick allt rätt fram och jag löste samtliga puckar innan hemgång – nu inväntar jag bara en DNS ompekning innan nya dev-miljön är så pass färdig att klienterna kan släppas på och jag kan börja validera URL-struktur samt länkade resurser.

Dagen erbjöd även ett coach-möte där jag fick förfrågan att ingå i företagets Security Counsil vilket jag tacksamt ville. Mitt intresse för säkerhet har sedan återkomsten från pappaledigheten vuxit enormt och i samband med detta min marginella kunskap. Jag nämnde även mina planer på OSCP-certifieringen varpå min coach bad om denna kursinformation (ev en öppning att ta detta via jobbet och ej privat som jag planerade tidigare) – positivt!

I helgen flyttar vi även till svärmor – så just nu är det fullt upp både på jobb och privat. Ett tack går till apoteket och deras koffeinpiller – föräldrars bästa vän.

Network time protocol attack

Fredagen är här, och denna helg kommer onekligen att helt gå åt till packning inför nästa vecka då flytten till svärmor blir av. Idag har varit en effektiv arbetsdag, och jag har hunnit med mycket förberedelse inför nästa veckas konfiguration + release.

Det blir ingen tid över till labbande i Kali Linux, men fick via kollegan en mycket intressant länk gällande vad som ser ut att vara en av det mest kritiska vi haft på ett bra tag – och då nämner jag Heartbleed.

Läs mer i följande artikel om network-time-protocol attacken.

Ikväll har jag f.ö en date med fru knäböj och benspark.

Trevlig helg!

Hus och attackvektorn

I onsdags var familjen på möte med banken för att skriva under några papper gällande framtida huset i Åkersberga. Ett orosmoln är att företaget vi skriver kontrakt med nu ej kunde garantera tillträde i slutet av jan 2016 – utan att de skulle ”försöka”.

Nåväl, oavsett hur detta påverkar oss med tillökning i familjen i  början av januari så är det ett i-landsproblem. Vi har ett boende hos svärmor, och det kommer inte att gå någon nöd på oss.

I arbetsväg så har jag kommit en lång bit med ett stort projekt som legat i pipen sedan jag åter var på plats efter pappaledigheten. Release för detta stora projekt är planerad efter nästa vecka – och det kommer i sin tur att äntligen innebära att jag får möjlighet att grotta ner mig i lastbalansering och spegling av både filer samt databas. En utmaning blir att möjliggöra spegling av OS konfiguration – allt beror på vad vår externa partner kan erbjuda då det i detta fall handlar om en VPS tjänst.

Privat så har det blivit en del studier gällande Kali Linux 2.0, jag gick igenom en del av ramverken och fastnade specifikt på metasploit sektionen som just nu är av störst intresse. Tragiskt nog visade det sig även att SMS spoofingen är borttagen från Kali Linux 2.0, och det krävs att man antingen nedgraderar SEO – toolkit alternativt kör en virtuell image på backtrack för att få tillgång till denna tjänst.

Tillbaka till metasploit – jag kommer aldrig diskutera en nuvarande eller gammal arbetsgivares säkerhetsaspekter eftersom det både är en säkerhetsrisk i sig samt dåligt omdöme från min sida. Men jag har uppmärksammat att just metasploit och email-spoofing är något som de flesta företag dagligen utsätts för. Detta kan jag konstatera och prata om eftersom alla seriösa företag har rutiner och säkerhet på plats för att stävja detta. De som ej har det är minst sagt skyldiga sina egna kunder att förvalta och hantera deras information på ett säkert sätt med best practices som minimal requirements.

Nyligen så publicerade SweClockers en väldigt bra artikel som bryter ned allt väldigt high-level för en bra översikt. Artikeln kan läsas här.

Efter att ha läst på om metasploit och på vilka sätt som en payload kan skickas till måldatorn läste jag flertalet bloggar och artiklar om hur både antivirus samt en korrekt konfigurerad brandvägg med loggning kan ge både skydd samt heads-up när något väl inträffar. Men enligt artikeln från SweClockers som får stöd av andra källor är det enbart ca 40% av hoten som virusprogrammen stoppar.

Ett vanligt förekommande scenario är att metasploit mha social enginering tar sig in på en måldator -> exempelvis skickas en PDF fil från en spoofad email adress som har någon form av koppling till måldatorn eller dess företag (exempelvis från samma maildomän eller en extern samarbetspartner). Innehållet i PDF filen innehåller de instruktioner som krävs för att etablera en anslutning till måldatorn (via reverse connection) som i sin tur levererar en payload. Denna payload kan vara allt från en key-logger, remote-desktop mjukvara etc beroende på vad syftet är med attacken.

Men hur exakt är det virusprogrammen stoppar ett PDF dokument innehållandes den skadliga koden? Jo – det är precis som med ett vanligt virus. Virusprogrammet flaggar en fil eller ett dokument som skadligt  baserat på dess signatur. Finns signaturen i virusprogrammets databas kommer filen eller dokumentet med all säkerhet att blockeras, finns signaturen ej så kommer dokumentet ha större chans att komma igenom. Som artikeln nämner är ett första steg att skydda sig: uppdatera ditt antivirus kontinuerligt 

Orsaken till varför bara 40% av hoten stoppas är en kombination mellan att nya exploits skapas (signaturen finns ej ännu i virusdatabasen) eller att signaturen ändrats mha encoding -> msfencode

Det är faktiskt så enkelt som att i metasploit ramverket i Kali Linux välja vilken encoding Du vill använda för din exploit. Vi encodar alltså om vår exploit (utan att förstöra dess funktionalitet) och ändrar således signaturen. Det finns en rad populära encoders som används flitigt och ovan kan ni läsa mer via länken msfencode.

Men i slutändan så är det inte så enkelt som att bara förbjuda PDF attachments i sitt företag då många externa partners levererar viktig information på detta sätt -> exempelvis fakturor och avtal.

Ett alternativ för att lösa interna behov vore att kräva digital signering på alla email, och enbart tillåta PDF attachments från dessa typer av avsändare internt via exempelvis exchange mail-server rules. Då har man ett verktyg mot just email spoofing som fokuserar på social enginering där en anställd ombeds öppna ett dokument som ser ut att komma från en kollega eller liknande. Att även blockera länkar som går direkt till externa resurser (ex PDF dokument) vore passande -> öppnas ett PDF dokument direkt i webbläsaren så är det upp till måldatorns antivirusprogram att blockera eller tillåta dokumentet.

Att kräva digital certifiering från externa partners är naturligtvis ej rimligt.

LUKS Nuke kryptering

Efter att lekt med min tool-box ett par dagar så har jag nu börjat beta mig igenom en lång lista på saker som jag vill lära mig. En av dessa punkter är just kryptering av känslig information.

Jag valde vid installation av Kali Linux 2.0 att kryptera hela hårddisken med LUKS,  vilket innebär att vid boot så krävs ett lösenord för krypteringen innan man kommer vidare till inloggningen för Kali Linux 2.0. I samband med att ha läst på för att avgöra om kryptering av hemma-mappen räckte så snubblade jag över Nuke för LUKS krypteringen.

Vad detta innebär är kort att Du har möjlighet att ”nuka” hela din disk via ett unikt lösenord som Du anger vid boot (nämnt ovan) varpå din disk blir oanvändbar samt oåtkomlig -aka ”Bricked”. Scenarion då detta skulle kunna vara intressant är tex:

1. Din fru anar att din mapp drivers.dll inte alls innehåller drivrutiner som slutar på .mov (förekommande på min tid då US Robotics 56k modem var installerat i hemmet)

2. Du fraktar känslig data i en fysisk container (lagringsmedia), och nöjer dig ej med att enbart kryptera enheten (återkommer till detta exempel nedan)

För att ge en snabb överblick gällande hur Nuke fungerar så måste vi först förstå att när vi krypterar vår container (i detta fall hårddisken) så sparas en krypterad master-key i ett slot på mediet. Det är denna master-key som lösenorder vid boot är kopplat till.

Skulle denna master-key försvinna, så finns det helt enkelt inget sätt att avkryptera containern – om man nu inte valt att spara master-keyn krypterad på ett annat media!

Det sistnämnda gör nämligen Nuke till något ännu mer användbart – nämligen möjligheten att frakta känslig data krypterad och utan en master-key (nämnt i #2 ovan). När datan sedan är levererad kan master-key importeras och Du får tillgång till datan igen.

Detta innebär alltså att vi kan nuka vår disk med Kali Linux 2.0, och sedan återställa master-key för att återuppta arbetet.

Jag har själv min master-key sparad på ett säkert media krypterad mha openssl. Anledningen till att vi krypterar vår master-key (header) gör att även om nyckeln stjäls – så kommer ett extra lager säkerhet (krypteringen av headern) göra det minst sagt obekvämt för tjuven.

Sist men inte minst, fick mitt carbon skin till min tool-box och med Thules skydd monterat ser det väldigt kung ut! Det som saknas nu är bara ett svart beezel-skin innan allt är komplett.

Jag passade även på att beställa ett nytt batteri även då det nuvarande har många cykler på sin nacke. Jag utförde en hel del konfiguration gällande just power-management och installerade bla TLP Advanced Power Management + tillämpade rekommendationerna från Samuix blog. Den här killen är riktigt duktig på sitt arbete – jag kommer att länka till hans blogg f.o.m. detta inlägg och rekommenderar ev läsare med intresset inom säkerhet att läsa/se några av hans inlägg/guider/videos.

IMG_1313 IMG_1314