usługi lokalizacji to ciekawy zwierz – na podstawie adresu MAC potrafi zlokalizować Cię geograficznie. może to być MAC dowolnego WiFi w zasięgu. ponieważ MAC jest dostępny nawet bez logowania – wystarczy, że urządzenie jest widoczne, bez konieczności logowania. popularność androida spowodowała pojawianie się setek tysięcy.. milionów! agentów, którzy skanują i wysyłają informacje do centralnej bazy.

kontrowersyjne. zarówno idea agenta jak i zbierania takich informacji. pojawił się hint – jak spowodować, żeby konkretne urządzenie nie zostało zarejestrowane w bazie? należy w nazwie SSID dodać “_nomap” – tak w każdym razie donosi OSnews… tylko jak to przetestować? no i co jak już wprowadzone?

pozostaje kwestia innych firm – jak Microsoft czy Skyhook. jak się uwolnić od nich? pytania w stylu ‘czy to nie powinno być zabronione?’ pozostają jako temat rozprawki filozoficznej. w końcu inny przykład – czy jeśli bym zbierał informacje o rejestracjach samochodowych i na tej podstawie tworzył mapę – powiedzmy skan okolicznych rejestracji sugeruje, że jesteś tu-a-tu – czy to też jest zabronione? czyli jeśli spisuję to, co widzę, powinno podlegać kontroli? w końcu adresy MAC, tak jak nazwy ulic – są publiczne.

imho zabronić czegoś takiego się nie da – a być może nawet nie powinno, pod warunkiem jeśli istnieje możliwość wyrejestrowania. późno i nie do końca tak, jak by można oczekiwać, ale google daje taką możliwość? co z pozostałymi firmami? powinny być serwisy, pozwalające sprawdzić czy dane urządzenie jest w bazie, z możliwością wyrejestrowania.

eN

“system sweeper” to bezpłatny tool stworzony dla tych, którzy tak zapuścili swój system, że strach go uruchamiać (; offlineowa wersja antywirusa i rootkit revealera wraz z wizardem przygotowującym płytę CD/DVD lub USB. całość ma 25o MB i jest do zassania, na razie w wersji beta, z connecta.

***UPDATE

sprawdziłem ten programik w praktyce. rootkit revealera nie znalazłem – chyba, że jakoś jest ‘niejawnie’ wbudowany w MSE. generalnie to po prostu offline’owa wersja MSE. skoro jest na winPE to powinni dodać chociaż możliwość odpalenia konsoli – nie mówiąc o kilq praktycznych toolach.

eN.

mówią, że poniedziałki są najgorsze, ale dziwne przypadłości potrafią dopaść w dowolnym momencie. po wczorajszej wizycie u dentysty [kilka znieczuleń AUU] z czwartq przesunął mi się ten cały syf, na tak zazwyczaj piękny dzień, jakim jest piątek. cały tydzień jest w zasadzie przesrany bo helpdesk chory i odwalam głupią robotę FUJ.

przyszedł komp z wirusem. po raz kolejny wspaniały McAfee dał pupy i z jakiegoś powodu nie wybronił użytkownika, który oczywiście jakimś trafem, miał admina lokalnego [pozostanie to w czasie przeszłym]. ponieważ testujemy Forefront Endpoint Protection kilka spostrzeżeń:

ogólnie jestem bardzo zadowolony. w przeciwieństwie do McAfee wykrywa wirusy. trochę gorzej z ich usuwaniem – nie wiedzieć czemu, tego wynalazq [dysk podłączony po USB] nie potrafił wywalić. i pomimo, że nie potrafił to restartować każe. restarty od wiecznych czasów były problemem środowiskiem Windows – ale do cholery, czas z tym skończyć! parę razy na konferencjach developerskich słyszałem, że programiści dodają ‘restart’ tak profilaktycznie – żeby mieć pewność, że biblioteki odświeży. do tej pory czasem [nie potrafię znaleźć regularności] po włożeniu urządzenia USB winda krzyczy ‘urządzenia zainstalowano poprawnie. zrestartuj system..’. oczywiście nie restartuję i też działa dobrze. denerwujący jest też czas, podczas wykonywania operacji – np. usunięcia czy przesunięcia do kwarantanny – coś co powinno trwać 1-2sec rozciąga się do pół minuty [WTF?]. na szczęście takie akcje to wyjątki, więc nie jest to specjalnie uciążliwe. po prostu dziwne. jeszcze dziwniejsze jest to, że po nieudanej próbie usunięcia .. wycina wpis DNS z ustawień TCP/IP. nie wiem czy to tak normalnie bo nie mogłem znaleźć podobnego przypadq O_o

drugim problem FEP są polisy GPO, które nie pozwalają na danie użytkownikowi możliwości definiowania wyjątków – można zdefiniować wyjątki via GPO , ale oddanie tego userowi – nie. w efekcie jeśli jest kilka kompów o specyficznych katalogach, które mają nie być skanowane – albo trzeba wyłączyć dla nich polisy albo tworzyć je oddzielnie. niewygodne.

poza tym podtrzymuję opinię, jaką miałem o Security Essentials – program wydajny, ‘przeźroczysty’, niekłopotliwy… po prostu przeciwieństwo gównianego McAfee [die bitch!]

eh.. piątek… po południu trzeba zacząć sekwencję weekendowego restartu q:

eN.

październikowy biuletyn to jakiś hardcore. 16 poprawek, z czego 1o o statusie ‘important’ i 4 ‘critical’ z adnotacją ‘Could Allow Remote Code Execution’.

eN.

Kiedyś dyskutowaliśmy czy Microsoft Security Essentials można używać w małych firmach. Z analizy licencji wynikało, że tylko gdy firma mieści się w domu/mieszkaniu. Nie była to trafna decyzja ze strony Microsoftu, Forefront to jednak za wielka kobyła dla firm typu biuro, parę obrotnych osób i tyleż komputerów. Na szczęście ma się to zmienić, MSE będzie darmowy dla organizacji posiadających do 10 komputerów. Wreszcie:)

Otwarta parę miesięcy temu z wielką pompą, zamknięta pare godzin temu przez problemy z pompą:

vod.onet.pl można przechrzcić na vodonet… bo jak widać bezpieczeństwo poniżej pierwszej warstwy też jest bardzo istotne :)

Od numer majowego 2010, magazyn HAKIN9 będzie wydawany za darmo w postaci elektronicznej.

Miłego czytania i testowania ;-)

W pewnym momencie na wszystkich W2k8R2 przestało działać podłączanie się do shareów na jednym z węzłów DFS. W dodatku nie działało tylko po nazwie DNS/NetBios. Chwila konsternacji i patrzymy do logów: w security pojawiają się wpisy Authentication Failed EventId 537:

Logon Failure:
     Reason:        An error occurred during logon
     User Name:   
     Domain:       
     Logon Type:    3
     Logon Process:    Kerberos
     Authentication Package:    Kerberos
     Workstation Name:    -
     Status code:    0xC000006D
     Substatus code:    0×8009030E
     Caller User Name:    -
     Caller Domain:    -
     Caller Logon ID:    -
     Caller Process ID:    -
     Transited Services:    -
     Source Network Address:    10.2.2.27
     Source Port:    0

Dziwne.. ogólnie wygląda jakby serwer nie rozumiał biletu, który dostaje. Szybkie zrobienie klist na R2 i widać, że próbuję dostać się do serwera z access ticketem zaszyfrowanym AES-256 (kontroler domeny, to 2k8R2). Zaraz zaraz… Przecież 2003 nie obsługuje szyfrowania AES. Szybkie przejrzenie KB i wygrzebanie czegoś takiego: http://support.microsoft.com/default.aspx/kb/961302 niby dotyczy klastrów, ale rozwiązanie się sprawdza. na klientów (2008+ i Vista+) nakładamy odpowiednie GPO i śmiga :)

Jeszcze jedna niepokojąca rzecz – drugim węzłem DFS jest 2k8R2, więc replikacja się wywala, bo partner nie może się uwierzytelnić do 2k3. po restarcie powinno zacząć śmigać, jak komputery dostaną nowe bilety.

Po świeżej instalacji DPM 2010 beta wszystko działało dobrze tylko raportowanie się wywalało. Przy próbie uruchomienia jakiekolwiek raportu dostawałem śliczny błąd:

An error has occurred during report processing. (rsProcessingAborted)
Cannot impersonate user for data source ‘DLS’. (rsErrorImpersonatingUser)
Log on failed. (rsLogonFailed)
Logon failure: the user has not been granted the requested logon type at this computer. (Exception from HRESULT: 0×80070569)

Chwila grzebania i wymyśliłem, że źródło danych dla raportów jest źle skonfigurowane. Niestety URL do Report Managera nie jest standardowy w DPM2010, więc znalazłem go w konfiguracji Reporting Services:

I rzeczywiście nie było źródła DLS, ale za to było jakieś inne. sprawdziłem konfigurację DPMReporterDataSource i wyciągnąłem z niego connection string:

Wyglądał on tak: data source="DPM\MSDPMV3Beta1EVAL";persist security info=False;initial catalog=DPMDB 

Więc stworzyłem nowe źródło i nazwałem je DLS

Zwróćcie uwagę, że raporty uruchamiają się w kontekście osoby, która go generuje (opcja Windows Integrated Security)

Z tak skonfigurowanym źródłem:

Teraz trzeba zmodyfikować każdy raport ustawiając nowo stworzony obiekt jako źródło danych (we właściwościach każdego raportu wybieramy Data Source i klikamy Browse):

I po takich paru prostych zabiegach raportowanie śmiga aż miło :)

Portal Virtual Study ma przyjemnośd zaprosid na sesję Pauli Januszkiewicz (MVP: Enterprise Security)
- Techniki hakerskie użyteczne dla administratora IT. Będzie to sesja dostępna online za pomocą
bezpłatnego klienta Microsoft Live Meeting.
Każdy z nas słyszał o hakerach. Doskonale wiadomo, że ich praca różni się od zadań administratora,
jednak wiele technik używanych przez hakerów może byd z powodzeniem wykorzystywanych przez
administratorów w codziennej pracy. Z tej sesji dowiemy się jak naszą infrastrukturę postrzegają
hakerzy, jakich metod używają i dzięki temu jak się przed nimi bronić. Gorąco zachęcamy do udziału
na żywo! Jakość sesji jest zdecydowanie lepsza niż nagrania; nieoceniona jest także możliwość
zadawania pytań w trakcie i po prezentacji. Przewidziane są również nagrody do rozlosowania wśród
uczestników. Sesja miała swoją premierę na TechEd 2009 w Berlinie i cieszyła się tak dużym
zainteresowaniem, że na ponad trzystuosobowej sali zabrakło miejsca dla wszystkich chętnych i
organizatorzy zadecydowali o jej dodatkowym powtórzeniu w ostatnim dniu konferencji.
Poniżej kilka wypowiedzi osób, które miały przyjemność uczestniczenia w prezentacji Pauli na TechEd
Europe 2010:

Paula pokazała metody przeprowadzenia ataków offline, wykorzystywania debuggera oraz parę
świetnych tipów dotyczących szkolenia użytkowników i administratorów. Naprawdę dobra sesja.
Brawo!

- Karol Stilger, Microsoft MVP

Paula opowiedziała o podmianie pliku binarnego usługi, enumeracji kont, białym wywiadzie,
odtworzeniu systemu po pełnym crashu - offline access, debuggowaniu crash dumpów. Sesja była
bardzo dobrze poprowadzona, a prelegentka nawiązała świetny kontakt z publicznością.

- Robert Stuczyński, Microsoft MVP

Sesja była ciekawie poprowadzona i udało mi się kilka rzeczy dowiedzieć o których nie miałem
pojęcia. Ale nie będę zdradzał szczegółów, bo może Paula będzie chciała tę sesję pokazać kiedyś
gdzieś w Polsce :)

- Mariusz Kędziora, Microsoft Polska

I ten dzień właśnie nadszedł. Już 1 lutego 2010 20:00 społeczność IT w Polsce będzie miała okazję
wziąć udział w polskiej premierze sesji Pauli: Techniki hakerskie użyteczne dla administratora IT.
Nie zwlekaj! Zarejestruj się już teraz!

Po sesji planowana jest debata na poniższe tematy:

• Czy Administrator powinien mieć pojęcie o bezpieczeństwie?
• Social Networking – dlaczego udostępniamy swoją tożsamość w sieci i co się z tym wiąże?

Udział w sesji wymaga wcześniejszej rejestracji i jest darmowy. Ilość miejsc ograniczona!

************************************
news ochoczo zamieszczam na prośbę noisa. od siebie dodam, że Paulinka jest ewenementem na polskiej scenie IT - młoda, ładna, ambitna i świetna technicznie - trudno znaleźć drugą taką ^^’ a to znaczy, że obejrzeć trzeba koniecznie! jak tylko dostane owego linka

eN.

16. lutego odbędzie się konferencja System Center Technology Review 2010 i będziemy z Pekim na niej prelegentami :). Agenda:

• Rejestracja i powitanie 9:00-9:30
• Techniczne spojrzenie na Service Manager 2010 Jacek Doktór 9:30-10:30
• Przerwa 10:30-10:45
• Świeże spojrzenie na System Center Data Protection Manager 2010 Daniel Stefaniak 10:45-11:45
• Przerwa 11:45-12:00
• Niższe koszty utrzymania PC dzięki technologii Intel® vPro™ i MS SCCM SP2 Dariusz Wittek 12:00-13:00
• Przerwa obiadowa 13:00-13:45
• System Center Operations Manager 2007 R2 - Podstawy tworzenia skryptów, wykrywanie i monitorowanie środowiska Łukasz Rutkowski 13:45-14:45
• Przerwa PLGSC 14:45-15:00
• Quest Software a System Center Krzysztof Pietrzak 15:00-16:00

Więcej szczegółów tutaj: http://ms-groups.pl/plgsc/SCTR2010/default.aspx

Mały tip ku pamięci – jeśli dodajesz agentów DPM-a do serwera i mimo komunikatu, że dołączenie (attatch) udał się a potem dostajesz error 270:

To upewnij się, że:

• masz dodane wyjątki do Firewalla (polecenie SetDPMServer.exe to robi na końcówce)
• Konto komputera na którym stoi serwer DPM-a ma prawo do dostępu do końcówek z sieci (Prawo “Computer Configuration\Security Settings\Local Policies\User Rights Assignment\Access this computer from the network”)

Jakiś czas temu zastanawiałem się co siedzi w aktualizacjach bazy wirusów w Forefroncie. i jak się okazuje jest KB na ten temat: http://support.microsoft.com/default.aspx?scid=kb;en-us;977939 :)

W najbliższy worek będę się produkować w M$ na temat FCS.

Agenda Spotkania:
18:00 - 18:20 - Powitanie liderzy grupy MSSUG
18:25 - 19:25 - Forefront Client Security: Wstęp - cechy, architektura, ogólne zastosowanie oraz wymagania instalacyjne FCS | Daniel Stefaniak
19:30 - 19:35 - Przerwa
19:35 - 20:35 - Forefront Client Security: Wdrożenie i zarządzanie - krótkie omówienie procesu instalacji, a następnie konfiguracji środowiska i wdrożenia | Daniel Stefaniak

Opis: W dobie Internetu komputery są wystawione na niezliczone niebezpieczeństwa, dlatego jednym z obowiązków każdego administratora jest zabezpieczenie oddanej pod jego opiekę infrastruktury. Producenci oprogramowania, widząc potrzebę rynku, zaczęli wypuszczać całe rodziny produktów mające na celu ochronę użytkowników przed atakami z sieci. Jednym z kluczowych elementów tego procesu jest zapobieganie zainfekowaniu złośliwym oprogramowaniem (malware). Firma Microsoft®, zauważywszy ten trend, wprowadziła produkt Microsoft Forefront Client Security (FCS) chroniący przed: wirusami, trojanami, wszelkiego rodzaju programami szpiegującymi (spyware) oraz rootkitami. Prezentacja dotycząca FCS-a została podzielona na dwie części:
1. Wstęp - cechy, architektura, ogólne zastosowanie oraz wymagania instalacyjne Forefront Client Security
2. Wdrożenie i zarządzanie – krótkie omówienie procesu instalacji, a następnie konfiguracja środowiska i wdrożenie

Link do rejestracji: http://ms-groups.pl/mssug/4.%20Spotkanie%20MSSUG/Lists/Rejestracja%20na%20spotkanie/AllItems.aspx

Opis: http://ms-groups.pl/mssug/Lists/Kalendarz/DispForm.aspx?ID=5

Wszystkich serdecznie zapraszam :)

Fajny wpis na temat dostrajania wydajności FCS-a na nowo wyszperanym blogu: http://blogs.technet.com/kfalde/archive/2009/12/30/determining-the-cause-of-fcs-client-performance-issues.aspx

Ogólnie znów z pomocą przychodzi ProcMon :) Mark Russinovich rządzi ;)

Na portalu WSS.pl właśnie opublikowani tryptyk moich artykułów na temat FCS. Chętnych zapraszam do czytania:

Część 1 - Informacje ogólne i przygotowanie środowiska

Część 2 – Instalacja

Część 3 - Konfiguracja i raportowanie

A za chwilę przygotuję screencast ze skonfigurowania SCCM2007R2 do współpracy z FCS.

pewien user zapytał mnie jak to jest z tym XP Mode - czy to jest bezpieczne? zacząłem zastanawiać się nad kwestiami update’u i zabezpieczenia takich maszyn [ostatnio mało czytam newsów i nie wiedziałem, że dysqsja toczy się dość mocna na ten temat]. problem faktycznie jest dość istotny, bo maszyny takie przeważnie będą miały dostęp do sieci a więc są zagrożone - hardening i update’y to dwa podstawowe zagadnienia.
nie udało mi się znaleźć informacji czy licencja na XP Mode pozwala dodać taki komputer do domeny. jeśli tak to przynajmniej w środowisq produkcyjnym można stacje konfigurować standardowymi procedurami: GPO, WSUS, SCCM - i to w dużym stopniu problem rozwiązuje.

zastanawiałem się też co się stało z Med-V - przez jakiś czas sądziłem, że może XP Mode to nowa nazwa dla wcześniej zapowiadanej usługi. i znów ciekawostka: o ile strona Med-V żyje i można na niej znaleźć m.in. taką informację:

Deploy and provision

• Deploy IT-managed virtual XP environment to end users.
• Enable customization in heterogeneous desktop environments.
• Automate first-time Virtual PC setup (i.e., initial network setup, computer name, domain join).
• Adjust Virtual PC memory allocation based on available RAM on host.
• Application provisioning based on Microsoft Active Directory® users/groups
• Assign a virtual image and define which applications are available to the user.
• Redirect web requests that require Internet Explorer 6 to the virtual XP environment.

to w oficjalnym doqmencie na temat deploymentu XP Mode nie ma informacji o Med-V - pewnie dla tego, że oficjalne wsparcie dla w7 będzie w SP1 dla Med-V na początq przyszłego roq. w każdym razie kilka podstawowych informacji o zabezpieczeniu i konfiguracji można znaleźć, chociaż ograniczają się do spisania standardowych praktyk stosowanych do normalnych stacji.
nie znalazłem jeszcze sprytnego opisu wykorzystania skryptów mountujących XP Mode i wykorzystania DISM - czyli offline servicing. a szkoda. mam nadzieję, że znajdę w końcu czas [huehuehue] albo że ktoś się weźmie za skryptowanie iXPeka w offlajnie.

todo:

• sprawdzić defaultowe ustawienie firewalla
• sprawdzić defaultowe ustawienie WU

eN.

Taki mały startup script do usuwania FCS-a ze stacji:

if not exist C:\UninstallFCS md C:\UninstallFCS 

rem uninstall Microsoft Forefront Client Security Antimalware Service
MsiExec.exe /X {D3E31640-DC20-4722-A1CF-604FF6C540B0} /norestart /qn /l*v C:\UninstallFCS\UninstallFCSAM.LOG 

rem uninstall Microsoft Forefront Client Security State Assessment Service
MsiExec.exe /X {E8B56B38-A826-11DB-8C83-0011430C73A4} /norestart /qn /l*v C:\UninstallFCS\UninstallFCSSSA.LOG 

rem uninstall Microsoft Operations Manager 2005 Agent
MsiExec.exe /X {F692770D-0E27-4D3F-8386-F04C6F434040} /norestart /qn /l*v C:\UninstallFCS\UninstallMOM.LOG

Przy czym trzeba pamiętać, żeby odfiltrować/odpiąć polisę, która go wcześniej zainstalowała.

rozumiem problem prywatności i tego, że nasze dane są przechowywane w różnych miejscach ale przez ostatnie kilka dni tyle razy ktoś zwracał na to uwagę, że zastanawiam się czy ta paranoja nie jest zdeczka przesadzona. kilka przykładów z ostatnich 24h:

• dane do karty miejskiej w ZTM. faktycznie - po co im te dane? ale czy zarejestrowanie jej powoduje, że faktycznie ktoś będzie w stanie wykorzystać… no właśnie - co? mój numer dowodu? wydaje mi się, że można go zdobyć na 1o.ooo innych sposobów. o tożsamości dużo pisze gibon i podaje tam tyle przykładów, że zastanawiam się, czy podanie firmie swoich danych czy ich nie podanie zmienia co kolwiek? rozmowa skończyła się tym, że moje dane finansowe przekazywane sa do USA
• fotki na FB. gdybym się bał o swoją tożsamość tak potwornie, to bym w ogóle nie zakładał tam konta [jak część z moich znajomych - tych “najbardziej dbających o swoje dane”]. ideą tego portalu jest wymiana informacji pomiędzy użytkownikami, i utrzymywanie jakiegoś kontaktu. nie wpisuje tam za dużo swoich danych ale czy dodanie jakiejś fotki czy wysłanie wiadomości z ‘trochę bardziej wrażliwszą informacją’ jest na prawdę niebezpieczna? jakoś nie chce mi się wierzyć, żeby działał ‘projekt FBEchelon’ i ktoś skanuje wszystkie rozmowy - kim ja niby jestem, żeby mnie ktoś konkretnie wiskał?
• no a teraz komentarze do publicznego DNS google… przecież w firmach i tak ustawiane są wewnętrzne a w domu od ISP - ten addr jest zajebisty w prostym scenariuszu: coś, gdzieś na szybko trzeba sprawdzić i nie pamięta się addr. “normalnych” serwerów - ode wieków mam w notatkach w telefonie addr kilq addr DNS właśnie na taką okazję, a teraz ich nie będę potrzebował…

reasumując - nie wiem czy ja jestem aż tak naiwny czy ludzie dookoła zaczynają paranoizować? pod ostrzałem uwag i komentarzy straciłem możliwość “zdroworozsądkowego podejścia” bo autentycznie zaczynam się bać - a strach prowadzi do paranoi. czy ktoś ma jakiś przykład [choćby z drugiej ręki] wykorzystania np. nr-u dowodu osobistego? gdzie jest środek ciężkości? czy mam zrezygnować z kart płatniczych [bo przecież wiedzą co, gdzie i kiedy qpuję - zresztą dla tego często korzystam z bankomatów q:], czy mam wyrobić fałszywy dowód i zacząć rejestrować się na fałszywych danych?
co z ogólnie rozumianym SSO [takim życiowym - np. jedna karta do kilq systemów, openIdentity i inne wynalazki?]? czyż nie chcemy ułatwiać sobie życia? aby to było możliwe *musi* istnieć jakieś ID powiązane z innymi ID w stałej relacji i zawsze na końcu wiąże się to z jakimiś danymi.

grrrr… nie dość, że ostatnio generalnie się zgubiłem to jeszcze wpadnę w paranoję q: może warto przeprowadzić się do Afryki albo Ameryki Południowej… albo zaginąć w tłumie w Indiach - tam nie ma kontroli urodzeń, można żyć bez dowodów i mieć wymyśloną tożsamość. czy ceną za wygodne życie nie jest *zaufanie* do instytucji z których się korzysta? [ot choćby, że jak dzwonię po taxi to wiedzą kto dzwoni i gdzie jeździłem - niebezpieczne? dla mnie po prostu wygodne, bo oszczędza mi każdorazowego przedstawiania się, skąd jadę etc.]

eN.