Category Archives: diverse

despre legea securitatii cibernetice

diverse

Mai nou, in Romania, avem parte de Legea securitatii cibernetice, pentru ca trebuie tara protejata de oamenii rai ai internetului.

In primul rand, un mic sumar al definitiilor folosite in lege:

  • infrastructuri cibernetice: infrastructuri din domeniul tehnologiei informatiei si comunicatii, constand in sisteme informatice, aplicatii aferente, retele si servicii de comunicatii electronice.
  • infrastructuri cibernetice de interes national (ICIN): infrastructurile cibernetice care sustin serviciile publice sau de interes public, ori servicii ale societatii informationale, a caror afectare poate aduce atingere securitatii nationale, sau prejudicii grave statului roman ori cetatenilor acestuia, denumite in continuare ICIN
  • managementul identitatii: metode de validare a identitatii persoanelor, cand acestea acceseaza anumite anumite infrastructuri cibernetice
  • operatii in retele de calculatoare: procesul complex de planificare, coordonare, sincronizare si desfasurare a actiunilor in spatiul cibernetic pentru protectia, controlul si utilizarea retelelor de calculatoare in scopul obtinerii superioritatii informationale, concomitent cu neutralizarea capabilitatilor adversarului
  • spatiu cibernetic: mediul virtual, generat de infrastructurile cibernetice, incluzand continutul informational procesat, stocat sau transmis, precum si actiunile derulate de utilizatori in acesta
  • securitate cibernetica: starea de normalitate rezultata in urma aplicarii unui ansamblu de masuri proactive si reactive prin care se asigura confidentialitatea, integritatea, disponibilitatea, autenticitatea si non-repudierea informatiilor in format electronic, a resurselor si serviciilor publice sau private din spatiul cibernetic. Masurile proactive si reactive pot include politici, concepte, standarde si ghiduri de securitate, managementul riscului, activitati de instruire si constientizare, implementarea de solutii tehnice de protejare a infrastructurilor cibernetice, managementul identitatii, managementul consecintelor.

Ce zice prin lege (am scos pasajele care mi se par importante):

  • Cap. II, Art. 6 (1): In vederea asigurarii cadrului general de cooperare pentru realizarea securitatii cibernetice se constituie Sistemul National de Securitate Cibernetica (SNSC), care reuneste autoritatile si institutiile publice cu responsabilitati si capacitati in domeniu.
  • Cap. II, Art. 6 (2): SNSC colaboreaza cu detinatorii de infrastructuri cibernetice, mediul academic, mediul de afaceri, asociatiile profesionale si organizatii neguvernamentale.
  • Cap. II, Art. 8 (1): Coordonarea unitara a activitatilor SNSC se realizeaza de catre Consiliul Operativ de Securitate Cibernetica, denumit in continuare COSC
  • Cap. II, Art. 8 (2): COSC este format din reprezentanti ai MApN, MAI, MAE, MSI, SRI, SIE, STS, SPP, ORNISS, secretarul CSAT
  • Cap. II, Art. 8 (5): La activitatile COSC pot participa, in calitate de invitati, reprezentanti ai altor institutii sau autoritati publice.
  • Cap. II, Art. 9 (1) (f): In exercitarea atributiilor sale, COSC analizeaza si evalueaza starea securitatii cibernetice, formuleaza si inainteaza CSAT propuneri privind cerinte minime de securitate cibernetica si politici de securitate cibernetica pentru autoritatile si institutiile publice prevazute la Cap. II, Art. 10 (1) si (2).
  • Cap. II, Art. 9 (2): COSC coopereaza pentru realizarea securitatii cibernetice cu organismele de coordonare sau sau conducere constituite, potrivit legii, la nivel national, pentru managementul situatiilor de urgenta, a actiunilor in situatii de criza in domeniul ordinii publice, pentru prevenirea si combaterea terorismului si pentru apararea nationala, asa cum sunt prevazute in legislatia in domeniu.
  • Cap. II, Art. 10 (1): SRI este desemnat autoritate nationala in domeniul securitatii cibernetice, calitate in care asigura coordonarea tehnica a COSC, precum si organizarea si executarea activitatilor care privesc securitatea cibernetica a Romaniei. In acest scop, in structura SRI functioneaza Centrul National de Securitate Cibernetica, denumit in continuare CNSC
  • Cap. II, Art. 11 (1) (e): CNSC are urmatoarele atributii principale: genereaza avertizari pentru detinatorii de infrastructuri cibernetice si ICIN cu privire la posibile incidente de securitate cibernetica si emite recomandari cu privire la modalitatea de actiune
  • Cap. II, Art. 15 (1): La nivel national se constituie Sistemul National de alerta Cibernetica, denumit in continuare SNAC, reprezentand un ansamblu organizat de masuri tehnice si proceduri, si principalul mijloc al SNSC destinat prevenirii si contracararii activitatilor de natura sa afecteze securitatea cibernetica.
  • Cap. II, Art. 15 (3): In cadrul SNAC, starile de amenintare reflecta gradul de risc pentru securitatea cibernetica si sunt identificate prin niveluri de alerta cibernetica. Acestea pot fi instituite pentru intreg teritoriul national, pentru o zona geografica delimitata, pentru un anumit domeniu de activitate sau pentru una sau mai multe persoane juridice de drept  public sau privat.
  • Cap. II, Art. 15 (2): Organizarea SNAC, masurile specifice pe care autoritatile si institutiile publice competente le implementeaza pentru fiecare nivel de alerta, precum si procedura de instituire a nivelurilor de alerta si cerintele privind elaborarea planurilor de actiune se aproba prin norme metodologice, la propunerea SRI.
  • Cap. II, Art. 15 (5): Pentru punerea in aplicare a masurilor specifice prevazute la alin. (2), persoanele juridice de drept public sau privat detinatori de ICIN elaboreaza planuri de actiune proprii, corespunzatoarea fiecarui nivel de alerta cibernetica.
  • Cap. II, Art. 15 (7): Detinatorii de infrastructuri cibernetice au obligatia sa sprijine autoritatile si institutiile publice competente pentru implementarea masurilor corespunzatoare fiecarui nivel de alerta cibernetica, potrivit solicitarilor acestora, adresate in condtiile Cap. III, Art. 17 (1) (a).
  • Cap. III, Art. 16: Detinatorii de infrastructuri cibernetice au urmatoarele obligatii:
    • (a) sa aplice politici de securitate cibernetica, cu respectarea cerintelor minime de securitate stabilite la nivel national MSI, ANCOM sau alte autoritati publice competente, potrivit legii
    • (b) sa identifice si sa implementeze masurile tehnice si organizatorice adecvate pentru a gestiona eficient riscurile de securitate in infrastructurile cibernetice proprii sau aflate in responsabilitate
    • (c) sa previna si sa reduca la minimum impactul incidentelor care afecteaza infrastructurile cibernetice proprii sau aflate in responsabilitate
    • (d) sa nu afecteze, prin actiunile proprii, securitatea altor infrastructuri cibernetice
    • (e) sa se asigure ca datele si/sau informatiile referitoarea la configurarea si protectia infrastructurilor cibernetice sunt diseminate exclusiv persoanelor autorizate sa le cunoasca
  • Cap. III, Art. 17 (1): Pentru realizarea securitatii cibernetice, detinatorii de infrastructuri cibernetice au urmatoarele responsabilitati:
    • (a) sa acorde sprijinul necesar, la solicitarea motivata a SRI, MApN, MAI, ORNISS, SIE, STS, SPP, CERT-RO si ANCOM, in indeplinirea atributiilor ce le revin acestora si sa permita accesul reprezentantilor desemnati in acest scop la datele detinute, relevante in contextul solicitarii
    • (b) sa informeze, de indata, autoritatile si institutiile publice prevazute la (a) cu privire la incidentele cibernetice identificate, conform procedurilor stabilite prin normele metodologice la prezenta lege
  • Cap. III, Art. 18: Detinatorii de infrastructuri cibernetice, furnizorii de servicii de internet au obligatia de a-si notifica clientii, persoane de drept public sau privat, de indata, dar nu mai tarziu de 24 de ore din momentul in care au fost sesizati de autoritatile competente potrivit prezentei legi, cu privire la situatiile in care sistemele informatice folosite de acestia au fost implicate in incidente sau atacuri cibernetice si de a dispune masurile necesare in vederea restabilirii conditiilor normale de functionare.
  • Cap. III, Art. 19 (1): La nivel national se constitue catalogul ICIN, care se aproba in termen de 90 de zile de la intrarea in vigoare a prezentei legi, prin hotarare a Guvernului.
  • Cap III, Art. 19 (3): Identificare ICIN se realizeaza pe baza criteriilor de selectie cuprinse in metogologia elaborata de SRI si MSI, si aprobata in termen de 60 de zile de la intrarea in vigoare a prezentei legi, prin hotarare de Guvern.
  • Cap. III, Ar. 19 (4): La elaborarea catalogului ICIN, MSI va colabora si cu ANCOM, in situatia persoanelor de drept privat care detin calitatea de furnizori de retele publice sau servicii de comunicatii electronice destinate publicului
  • Cap III, Art. 20 (1): Persoanele juridice de drept public sau privat care detin sau au responsabilitate ICIN, au urmatoarele obligatii:
    • (a) sa stabileasca si sa aplice masuri pentru asigurarea rezilientei infrastructurilor cibernetice proprii sau aflate in responsabilitate
    • (b) sa intocmeasca planul de securitate al ICIN, precum si planuri de actiune proprii corespunzatoarea fiecarui nivel de alerta cibernetica
    • (c) sa efectueze anual auditari de securitate cibernetica sau sa permita efectuarea unor astfel de auditari la solicitarea motivata a autoritatilor competente potrivit legii
    • (f) sa aplice politicile de securitate prevazute prin cerintele minime stabilite conform dispozitiilor prezentei legi
  • Cap. III, Art. 21 (2) (c): […] sa permita autoritatilor competente sa intervina pentru identificarea si analizarea cauzelor incidentelor cibernetice, respectiv pentru inlaturarea sau reducerea efectelor incidentelor cibernetice
  • Cap. III, Art. 21 (2) (d): […] sa retina si sa asigure integritatea datelor referitoare la incidentele cibernetice pentru o perioada de 6 luni de la data notificarii, cu respectarea principiului confidentialitatii si sa le puna la dispozitia autoritatilor competente
  • Cap. III, Art. 23 (6): In implementare prevederilor prezentei legi, ANCOM va constitui si va operationaliza o structura specializata de securitate cibernetica, de tip CERT.
  • Cap. IV, Art. 26 (2): Conducerea operatiunilor de aparare cibenetica in caz de agresiune armata, la instituirea starii de asediu, declararea starii de mobilizare sau de razboi se realizeaza de catre Centrul National Militar de Comanda in cooperare cu COSC.
  • Cap. V, Art. 27 (1): Monitorizarea si controlul aplicarilor prevederilor prezentei legi se asigura, potrivit competentelor stabilite prin lege, de catre:
    • (b) SRI […] pentru detinatorii de ICIN, persoane juridice de drept public
    • (c) MSI, respectiv ANCOM, dupa caz, pentru detinatorii de ICIN, persoane juridice de drept privat
  • Cap. V, Art. 27 (2): […] conducatorii autoritatilor desemneaza persoane abilitate care […] au dreptul […] sa:
    • (b) sa faca inspectii, inclusiv inopinate, la orice instalatie, incinta sau infrastructura destinata ICIN […]
    • (c) sa primeasca la cerere, la fata locului, justificari sau informatii

Acum, parerea mea unde sunt problemele:

  • SRI, prin aceasta lege, se autoproclameaza imparatul absolut infrastructurilor din Romania. Ceea ce este “wrong on so many levels”. Si cum asta nu era suficient, ii aduce si pe prietenii lui din aproape toate structurile de securitate din Romania.
  • Conform definitiilor folosite, orice firma din Romania care detine mai mult de 2 computere are o “infrastructura cibernetica”. Asta inseamna ca probabil in afara de orice firma cu un singur computer, legal SRI-ul poate accesa datele oricarei firme fara absolut nici un control sau raspundere in fata unui judecator.
  • Sunt tare curios cum va arata procesul si cine va plati despagubiri atunci cand SNAC va decreta alerta pentru o anumita firma (conform abilitatilor) si se dovdeste a fi alarma falsa.
  • Conform “prezentei legi” (sa folosesc limbajul de lemn care place asa mult legiuitorilor tarii) reprezentantii societatii civile nu au ce cauta la COSC si nici nu pot reclama in vreun fel activitatea acestuia. Un fel de “statul stie mai bine ce e bine pentru pentru populatie, aveti incredere”. O alta mare problema.
  • Toate firmele de comunicatii, la cum arata legea, vor deveni ICIN si drept urmare toate institutiile alea de au membri in COSC isi vor putea baga nasul in cum arata retelele operatorilor, cum sunt configurate si tot asa. Pentru ca “national security, terrorists” si ce o mai fi maine la moda pe tema bau-bau.
  • Sunt cerinte in lege care nu sunt realizabile si se bat un pic cap in cap, precum cele din Cap. III, Art. 16.
  • Daca da fericirea peste tine si te clasifica SRI drept ICIN, ai supt-o in fericire. Vine si te inspecteaza “autoritatea competenta” cand vrea muschii ei si “conform legii (Cap. V, Art. 27 (2))” tre sa stai drepti si sa raspunzi la intrebari si sa te justifici. Pentru ca asa functioneaza o societate normala, sa stai cu palaria in maini si cu capul plecat in fata organului.
  • Articolul 17 (cel mai contestat dintre toate):
    • orice firma detinatoare de infrastructuri cibernetice, care conform definitiei inseamna orice firma cu cel putin 2 computere care comunica intre ele, este obligata prin lege sa accepte accesul reprezentantilor statului cand li se scoala sa vada ce date au pe acolo pe baza “solicitarii motivate”. Ti-ai luat un virus de pe “Internet” care sa zicem ca spameaza chestii si tu habar nu ai (acu ca ala o fi plantat chiar de baietii si fetele albastre e alta traba), legal are voie SRI sa-ti ceara datele din computer ca sa “le investigheze” si sa scoata necuratul din ele.
    • nu exista nicio mentiune cum ca “solicitarea motivata” trebuie intai aprobata de un judecator sau sa poata fi cumva contestata in instanta atunci cand este considerata abuziva. Adica o sa fie un fel de “ete motivatia, da-mi alea doua laptopuri de pe birou – de se vad de aici din usa si ne mai gandim ce sa-ti luam data viitoare”.
    • Nu vad nicaieri obligatii ale statului, vad doar obligatii ale firmelor private. Ca altfel vine SRI-ul si le da peste degete daca gresesc. Chiar iti poate da si amenda.
  • Legea asta parca e facuta sa legitimize un abuz deja pus la cale.

Pare mea:

  • O sa se inventeze politici de securitate nationale pe care diversi trebuie sa le implementeze. Daca sunt firme de stat, o sa se mai justifice angajari pe “securitate cibernetica”.  O sa fie plina de specialisti tara asta.
  • O sa se faca treaba la minimul necesar si dupa aia “dupa mine potopul”. Si daca totusi o sa dea coltul careva din cauza unei brese de “securitate cibernetica” o sa se trambiteze sus si tare ca “institutiile statului si-au facut treaba” si aia e, viata merge mai departe. De ce? Pentru ca in loc de dialog frumos cu explicatii si chestii, SRI-ul a luat-o pe calea securista: faceti ca noi ca numai noi stim cu e bine, altfel va dam amenda.
  • O sa fie Romania plina ce CERT-uri: la SRI, la ANCOM si la toti aia din lista. N-o sa mai stie malware-ul pe unde sa fuga de atatia politisti cibernetici care il alearga cu pulanele cibernetice pe Internetul romanesc.
  • Cuiva i-a placut la nebunie termenul asta de “cibernetic” ca e folosit in textul legii de parca l-a castigat la lotto si n-a stiut ce sa faca cu atatea exemplare.

Eu nu pricep de unde atata incrancenare din partea SRI-ul cu Internetul, retele de comunicare si ce mai intra la mijloc. Parca au fumat lipici din ala expirat, asa pe aratura sunt. Adica am inteles ca pentru ei “dreptul la viata privata”, sustinut de trei ori de CCR (o data cu BigBrother initial cand le-a taiat din pretentii, a doua oara cand au dat-o jos pe baza precedentului de la Curtea Europeana de Justitie si a treia oara cand SRI-ul a vrut sa ne faca tara bananiera sa luam internet cu buletinul) este ceva la care cetateanul nu are voie si daca s-ar putea sa ne instalam de buna voie microfoane si in fund, ei ar fi cei mai fericiti oameni. Acu au gasit o alta cale sa se duca dupa datele oamenilor. E un fel de soarecele si pisica, doar ca intr-un film prost.

O alta chestie pe care nu pot s-o pricep este de ce, ca si in alelalte legi unde si-a bagat SRI-ul coada nu zice nimic ca inainte sa se duca sa spioneze romanii, intai sa treaca pe la un judecator care sa zica DA/NU. Si o alta intrebare este, cum poate afla o firma cine i s-a uitat prin date si pe unde au mai fost trimise?

Cu legil ca astea o sa ajungem democratici ca americanii, cand primesti un NSL si la schimb trebuie sa dai din casa tot.

Pur si simplu mi se par stupide justificarile cu teroristiisi sau ce bau-bau mai e acu la moda. Deja in Romania au distrus politicienii tot ce era functional; ce-o sa distruga un terorist cu bomba prin Bucuresti mai rau decat poate distruge Oprescu din pix?

biting the bullet (1)

diverse

De cand m-am intors in .ro si pana o sa-mi iau iar bocceluta in spate, mi-am propus sa-mi rezolv din dilemele de le am pe diverse planuri.

  • Anxietatea sociala: mereu mi-a fost tarsa sa ma duc sa ma bag in seama cu lumea. Chestiile de baza de gen “buna, io sunt sin. voi cine sunteti si ce faceti?”. Daca ma introduce cineva intr-un grup e OK, ma decurc singur dupa aia sa ma imprietenesc (sau nu) cu lumea. Da de capu meu mai bine dau cu degetele de la picioare aiurea in mobila. Asa ca saptamana asta m-am dus (in stilul meu carcateristic) direct la apa mare: nu intr-un grup cu interese comune cu ale mele, ci intr-un grup de oameni cu interese si “background-uri” extrem de diverse. Si m-am descurcat onorabil, n-am dat cu bata in balta, am vorbit frumos, am cunoscut oameni interesanti si abia astept sa ma duc si data viitoare, sa exersez si sa ma cizelez pe baza observatiilor facute de mine asupra mea (da, fac si de astea).
  • Conditia fizica: cu scuza “io’s IT-ist, nu-mi trebuie muschi” sunt “couch potato” in cel mai adevarat sens al cuvantului. Asa ca dupa ceva dat inapoi de la initiative (mi-am facut inclusiv abonament  si nu m-am dus niciodata), mi-am gasit o sala diferita. N-are aparate clasice, tot efortul fizic il fac folosindu-ma de forta/greutatea corpului si de gantere, saci tactici, coarda (behai dupa ce sar duda aia de coarda de parca as fi alergat pana la ploiesti) si alte inventii de astea care tot la folosirea fizicului meu se rezuma. Vroiam sa saptamana trecuta, dar n-am putut, asa ca saptamana asta am bagat ca migu, cum se zice. Am antrenoare personala (de care mi-e frica, ca stie stuff), imi arata ce sa fac, cum sa fac, sta sa-mi zica cand nu e bine si tot asa.In fiecare zi am alte exercitii (sa nu ma plictisesc). Momentan merg ca robotul si ma dor toate alea, dar e bine. Azi am mers normal. Dar ma omoara un pic mainile. Dupa fiecare antrenament bag calciu, magneziu si aspirina sa treaca mai repede febra. E frig in sala ca nu e caldura, si se vede foarte misto respiratia pe vremea asta.

cu tramvaiul

diverse

La hotelul pe unde stau, pe langa geam trec tramvaie. Si foarte repede din ce pare.

Ieri am ajuns rupt in gura de somn, ca zbor cu noaptea in cap, si am dormit un pic de pe la 11 la 13 sa ma refac.

Si m-au impresionat asa tare tramvaiele de la geam ca azinoapte am visat ca eram undeva pe langa niste sine de tramvai cu niste prieteni si gasisem ceva piese cu care tunam tramvaiele si dupa aia ne dadeam cu ele sa vedem care cum merge mai tare. Si dupa aia puneam alte piese, mai bagam o tura si tot asa.

seneca anticafe

diverse

Ieri aflam pe Facebook despre Seneca AntiCafe, iar azi de dimineata m-am dus s-o caut. Si dupa ce m-am invartit un pic, am gasit-o.

Este un loc unde poti sa vii sa te relaxezi, sa lucrezi, sa citesti, sa joci board games si cred ca mai poti face ceva chestii pe acolo. Board games-urile si cartile sunt la liber, trebuie doar sa le iei de pe raft; si sa le pui la loc dupa ce ai terminat.

Sunt prize peste tot sa-ti incarci laptop/telefon daca ai de gand sa stai toata ziua. Evident, Wi-Fi gratis. Azi nu prea a mers si toata lumea a primit 50% reducere drept scuze ca nu a functionat internetul.

Exista o bucatarie cu tot ce-ti trebuie sa-ti faci ceai, cafea. Ingredientele sunt puse gratuit la dispozitia clientilor, trebuie sa si le prepare ei (incalzit apa, facut ceai/cafea, spalat cana pe care ai folosit-o etc.). Pe langa ceai/cafea ai fructe, biscuiti si alte cele. Iti pui pe farfurie si te intorci la ce ai de facut.

Exista un frigider sa-ti tii mancare, daca vrei sa iti aduci ceva de acasa, si cuptor cu microunde daca ai nevoie.

Ce mi s-a parut foarte interesant, este ca nu trebuie sa iti dai numele cand vii sa te treaca la socoteala, ci iti iei un fel de semn de carte, fiecare cu numele unui autor, si ei trec in sistem ce scrie pe semnul de carte. La Seneca platesti doar timpul petrecut acolo, iar cand pleci predai semnul de carte si afli cat ai de plata.

Azi m-a chemat Anne Frank cat am stat acolo :)

fury

diverse

fury

Pe langa multe alte multe filme moderne care au re-creat scene din al doilea razboi mondial, Fury mi s-a parut singurul cu foarte putin efecte si parca filmat acolo, in timpul luptelor, asa de realist mi s-a parut. Fara prea mult nimic, doar razboiul.

Am avut noroc si l-am prins in UK intr-o dimineata, cu inca 2-3 oameni in sala, pe ecran 4K si sunet asa cum trebuie.

defcamp 2014

diverse

Prezentarile tinute cu fost cam asa, pe scurt (sper sa apara si slide-urile la un moment dat).

Ziua I:

  • Crypto as a global business – Mika Lauhde: Pretty much o prezentare despre compania SSH communications, impanata pe ici pe colo cu FUD despre OSS (ca e codul liber sa-l vada oricine si sa vada daca-s vulnerabilitati in el, ca n-ai la cine suna dupa suport si alte obisnuite plangeri ale astora comerciali).
  • Leading and developing the Cyber Workforce – Anthony Guess-Johnson: asta am ratat-o ca imi cautam cafea.
  • Cyber Necromancy: Reverse engineering dead protocols – Matthew Halchyshak: “calatoria” unui om in a face un joc vechi de PS2 sa mearga in retea dupa ce producatorul jocului a oprit serverele sale. Aproape un an de zile sa afle ce fac vreo 80 de functii/comenzi si inca mult mai multe luni sa le puna cap la cap. Dar acum se joaca online :)
  • Vulnerability assesments on SCADA Networks: Outsmarting the SmartGrid – Fadly B. Sidek: pe asta am ratat-o, dar din ce mi-au zis unii de au fost in sala, tipul de a prezentat a dat si el o scanare de Nessus intr-o retea cu ceva PLC-uri si dupa aia a dat un ping si a ridicat un robot o mana. Vroiam s-o vad, da uitasem programul. Se pare ca n-am pierdut nimic.
  • Finding an European way for a safer cyberworld integrating our continent’s millenary values – Laurent Chrzanovsky: Am ratat-o ca vorbeam cu oameni pe afara. Din titlu probabil propune sa ne impacam toti si sa ne facem o tara mare fara nici un fel de divergente :)
  • Managing risk effectively – Cristian Stoica: Si pe asta am ratat-o ca m-am lungit la discutii.
  • What happens in Windows 8 stays in Windows 8 – Moti Joseph & Marion Marschalek: O prezentare foarte interesanta despre vulenrabilitatile din Windows 8, cum se face bug hunting si cum se identifica potentialele vulnerabilitati. Pe langa asta, un intro despre cat mai costa un 0-day, despre cum functioneaz sistemul de brokeraj si cat castiga un broker la o intermediere. Exploiturile pleaca de la 10-15K pana pe la 250K USD in functie de platforma, disponibilitate etc. Daca vinzi chestii la mare cautare, poti face si un milion pe exploit.
  • A look intro bullet proof hosting – Catalin Cosoi & Silviu Sofronie: In detaliu despre munca celor de la BitDefender in identificarea centrelor de comanda si control (C&C) ale botnetilor si mai noi a malware-ului de tip Ransomware. Ce mi s-a parut interesant este ca oamenii de se ocupa cu asa ceva folosesc layere de proxy-uri peste proxy-uri pentru a ascunde adresele finale ale centrelor de control, iar mai nou, dupa primul layer, traficul intra in Tor si *poof* – dispare. Si nu in ultimul rand, o explicatie foarte buna despre Domain Generation Algorithms prin care malware-ul, in functie de data, alege sa foloseasca anumite servere de C&C pe baza de nume de domeniu generate algoritmic si care sunt inregistrare foarte repede si cu un lifetime de 1-2 zile maxim. Mi se pare interesant jocul asta de-a soarecele si pisica si faptul ca “the bad guys” sunt mult mai tari cand vine vorba de facut chestii decat “law enforcement”.
  • PuttyRider: Pivoting from Windows to Linux in a penetration test – Adrian Furtuna: sau cum poti face dump realtime la ce vede un utilizator de putty si cum poti face hijack la o sesiune de putty fara ca cine il foloseste sa nu se prinda. Adrian a scris un utilitar care injecteaza un DDL in memoria procesului de PuTTY care in functie de comenzile primite poate deschide o conexiune inversa catre host-ul atacatorului care mai departe vede ca la televizor tot ce face un administrator si poate lua controlul terminalului sa faca chestii. Pretty nifty stuff si foarte “movie like” modalitatea gasita de el.
  • Practical study of security problems on one of the most efficient Web Application Firewall – Cernica Ionut-Cosmin: WAF-ul in cauza era Fortinet (laughably “most efficient”, cel mult un mod_security cu GUI), iar vulnerabilitatile constau in accesul neautentificat la anumite parti din interfata de administrare: config dump si incarcarea fisierului de licenta. Buba mare mi s-a parut la la a doua parte, pentru ca se pare ca WAF-ul rescrie licenta si dupa aia vede daca e sau nu valida, caz in care nu mai functioneaza. Mi se pare un vector de atac foarte interesant daca vrei sa frustrezi maxim pe administratorul WAF-ului :)
  • Security nightmares for journalists, why we all must be SysAdmins – Julie Gommes: o tanti ziarista care s-a plimbat prin diverse locuri “fierbinti” din lume. A discutat despre problemele intampinate cu protejarea datelor, a surselor, ce metode de criptare foloseste (LUKS si PGP), despre cum mai intideaza diverse tari jurnalistii. Ocazie cu care am aflat ca in Franta (ea fiind frantuzoaica) vrea sa se dea o lege prin care e liber la interceptat pe toata lumea in numele “luptei impotriva terorismului”. Un proiect de a proteja datele remote si a distruge tot ce ai local la o apasare de buton ar fi fantastic pentru jurnalisti. Whoopsy…
  • Android (in)security – Ralf C. Staudemeyer: O prezentare cu note de teoria consporatiei pe ici pe colo, despre ce servicii sunt On implicit in Android, ce date primeste Google de la utilizatori. Dupa aia a vorbit de BlackPhone si de faptul ca fiind Android based e la fel de insecure ca firmware-ul de baseband vine ca binary blob si nu prea stii ce face. Despre SMS-uri silent, sau mai bine zis de SMS-urile destinate SIM-ului. Overall asa am avut mixed feelings, ca unele chestii zise au fost bune, la altele a luat-o pe ulei grav. Bottom line, nu folositi un smartphone daca tineti la privacy prea mult.
  • Cognitive Bias and Critical Thinking in Open Source Intelligence (OSINT) – Benjamin Brown: despre biasul in gandire, despre cum “prior knowledge” ne influenteaza deciziile, despre cum putem sa ne verificam daca suntem sau nu biased, despre “bandwagon effect”, groupthink si altele. Plus o prezentare foarte misto despre cum oamenii internetului de pe Reddit au dat-o de gard cand au anuntat in mod gresit numele unuia din suspectii de la “Boston Marathon Bombings” si cum informatia s-a transmis si multiplicat in cateva ore la milioane de oameni. A fost o super prezentare, nimic tehnic in ea, doar chestii de bun simt si de “auto control” despre cum sa te verifici daca esti biased sau nu intr-o anume activitate. Si mai misto a fost ca a discutat si despre metacognition, ca nu prea multa zice de asta cand e vorba de gandit si luat decizii pe baza unor informatii.
  • The heritage of Snowden for Europe – Mika Lauhde: la prezentarea asta a luat-o finlandezul pe tot butoiul de ulei, ca am dat-o in teoria conspiratiei, state actors si tot ce vorbesc oamenii cu “tinfoil hat” pe cap :) Asta a urmat dupa ce unul din sponsori, Domeniile Samburesti, a livrat cateva baxuri de licoare bahica. You can imagine the rest.
  • Privacy in Mobile Apps. Enterprise opportunities – Yury Chemerkin: un nene rus a vorbit despre ce date stocheaza aplicatiile importante de mobil si modul in care transmit datele: unele in clar, altele pe SSL iar altele trimit chestii inutile criptate si chestii importante (precum datele de card) in clar. Because fuck logic, that’s why. A vorbit pana m-a plictisit. Am stat mai mult pentru accent, ca mi-am adus aminte de fostul meu coleg etnic rus din UAE.
  • All your bitcoins are beling to us – Alexandru George Andrei. Pe asta am ratat-o ca a fost programul foarte mult decalat si daca mai stateam nu mai apuca sa dorm sa ma trezesc pentru a doua zi.
  • SSH tunneling, a gate to freedom and a threat – Andrei Hodorog: idem ca mai sus.

Ziua II:

  • Cyber Ranges – Paul de Souza: un sales pitch mascat ca o prezentare tehnica. Niste oameni au creat “poligoane” virtuale pentru ca viitorii soldati “cibernetici” sa se poata antrena si sa poata simula “Internet in a box” intr-un mod cat mai realist. Ideea in sine este foarte misto, da prea mult vorbit fara sa zica nimic (genul de politician american). In other news, vand o distributie de Linux cu “proprietary crypto” pe ea si cu un fel de VPN peste care ruleaza un tunel SSH pentru “robustete” si asta se cheama “Twisted encryption”.
  • The utilization of “Cyber Hygiene” to mitigate SCADA systems vulnerabilities – Roger W. Kuhn, Jr. Un fel de copy/paste din ghidurile de la NIST despre SCADA cu multa vorbarie fara sa spuna nimic, la fel ca predecesorul lui ca au venit la pachet cu prezentarile. Speram la ceva mai mult, mai ales ca prezentarea nu a fost inregistrata ca asa a vrut prezentatorul, sa nu plece lumea cu proprietatea lui intelectuala…
  • Securing networks using SDN and Machine Learning – Dragos Comaneci. Un proiect de doctorat al unui inginer de la Ixia despre cum poti folosi un controller pentru a profila traficul intr-o retea de tip SDN si prin folosirea unor algoritmi de tip Machine Learning sa poti redirecta traficul considerat “anomalous” printr-un honeypot sau chiar sa-i faci “discard” direct. O alta utilizarea a profilelor de trafic ar fi provizionarea de “reguli/rute” de trafic cand stii dinainte ce tip de trafic o sa vina, de unde si pana unde. Mi se pare super tare ideea si cu potential mare de tot pentru viitor.
  • CubeSats – A fairy tale: How academia got the chance to implement satellite (in)security and how I tried to fix it – Marius Munch. Rachetele de duc pe orbita diverse incarcaturi s-au dovedit ca au loc suplimentar sa duca si cativa sateliti miniaturali pentru diverse universitati din lumea. Prezentarea omului (care a fost si teza lui de master) s-a axat pe ce tip de securitate se poate implementa pentru microsatelitii folositi de universitati pentru studiu. Omul a facut un algoritm de securitate pentru a securiza comunicarea de tip Uplink astfel incat satelitul sa nu primeasca comenzi decat de la un base-station cunoscut. Ocazie cu care am aflat si eu unde se mai foloseste AX.25 :)
  • Democracy and massive control in the post-Snowden age – Raoul “Nobody” Chiesa: sau despre cum diverse guverne din lumea au impus cenzurarea nationala a retelelor de socializare pentru a ascunde atrocitatile comise in numele “sigurantei statului” sau pentru a bloca pe cat posibil accesul “scurgerea” informatiilor in afara atunci cand lumea se revolta si politia si alte forte care au arme le folosesc fara discriminare. Un alt topic a fost costul tot mai scazut al supravegherii in masa a populatiei si profilarea automata a acesteia. De asemenea s-a discutat despre faptul ca tot mai multe servicii de informatii cer in mod explicit fonduri pe achizitionarea de 0-days pentru a fi folosit in scopuri ofensive.
  • SCADA software or Swiss Cheese software – Celil Unuver: sau despre cum majoritatea sistemelor de control industrial nu a fost proiectate pentru a fi conectate la internet si despre vulnerabilitati aproape triviale care pot fi gasite in sisteme de a caror buna functionare depind sute/mii de vieti omenesti. Pana acum nu s-a trecut peste linia rosie, insa la un moment dat cineva va cauta sisteme vulnerabile pe Shodan si va apasa pe butoanele de acolo si o sa fie interesant spre trist.
  • Owning the girl next door – Alex Balan. O prezentare foarte misto facuta, despre cum putem face spoofing intr-o retea locala, cum putem modifica si injecta cod malitios in tranzit in pachete software si despre cum poti exploata diverse aplicatii pentru a obtine “root” pe computerul vecinei ;)
  • Penetration testing: 7 deadly sins – Marek Zmyslowsky. Pentesting-ul nu e usor, trebuie sa ai multa rabdare, sa intelegi ce faci, sa ai un pic de people skills sa stii sa vorbesti cu oamenii si sa le explici ca bagarea sub pres a problemelor nu este “the way to go”. Multe exemple mi-au fost foarte familiare prin peripetiile mele (nu m-am ocupat de pentest niciodata dar am participat la unele ca observator sau in postura de client) iar altele au fost chestii de bun simt ignorate cu buna stiinta de clienti.
  • Pytotechnic composition: Fireworks, embedded wireless and in-security by design – Andrei Costin. Ce faci cand descoperi ca lansatoarele de artificii sunt wireless, componentele de comanda si control discuta in clar cu modulul care da comanda de lansare si ca poti face sniffing la traficul de pairing si dupa aia poti trimite ce fel de comenzi vrei tu la lansator ca si cum ai fi statia de comanda? Well, poti sa faci ca lansatoarele de artificii sa para ca sunt posedate.
  • Memory Forensics & Security Analytics: Detecting Unknown Malware – Fahad Ehsan. Pe principiul ca antivirusul prinde un set limitat de amentintari si ca produsele de tip gateway anti-malware mai pot prinde un alt procent de malware, ce te faci cand totusi lucrurile nedorite totusi ajung pe un computer si nu poti rula un produs care sa poate face “application whitelisting”? Well, nene asta de “lucreaza la o mare banca elvetiana din Singapore” s-a gandit sa faca dump periodic la memoria unui calculator si folosind Volatility sa scoata lista de procese, socketi si ce mai e pe acolo si sa le compare periodic si daca ceva e diferit de baseline sa zica “cre’ca avem o problema cu celulele de dilithiu”. Ideea pare OK, mai ales ca este implementata si comercial de diversi producatori (Mandiant, EnCase si altii) insa trebuie sa ai retea buna si cat timp faci dump sa nu se panicheze utilizatorul ca merge treaba greu. Mi se pare foarte fezabila treaba asta intr-un mediu cu conexiune de 10Gbps si cam un 8GB RAM pe acolo sa nu stai sa faci dump forever.
  • Social engineering or “hacking people” – Tudor Damian. Pretty much o prezentare generica de “this is how you do social engineering” si cu un link bait in prezentare pe care au dat click vreo ~30 de oameni din sala. N-as zice ca a fost ceva spectaculos sau nemaivazut in prezentare.
  • I can track you! They can track you! Everyone can track you! – Miguel Mota Veiga. Well, telefoanele mobile leakuiesc informatii despre retele wireless la greu. Unul din motive este ca pentru a face o autentificare cat mai rapida, telefonul nu mai asteapta sa vada ce retele sunt prin jur, ci cauta direct ultimele SSID-uri la care s-a conectat, lucru care poate fi interceptat si folosit pentru profilarea utilizatorului. Cum randomizarea adresei MAC a placii wireless nu este implementata in Android/Windows Phone/iOS mai vechi de 8, o data ce stii MAC-ul unui telefon, il poti urmari cam peste tot. Pe langa asta, un operator mobil are mereu idee pe unde te afli aproximativ din datele celulei la care esti legat. It’s a scary world out there.

Pe langa sesiunea de prezentari, a fost si una de CTF care a fost castigata de o echipa din Rusia, Balalaika Cr3w.

In afara salii unde s-au tinut prezentarile a fost un stand de la chapterul local de la OWASP, care a fost o supriza foarte mare si foarte placuta pentru mine.

Overall mi s-a parut foarte misto evenimentul, mai ales ca au venit cateva sute de oameni de prin aproape toata lumea.

Cred ca cel mai mult a contat faptul ca s-au prezentat idei, lucruri muncite de oameni si tot asa. Mi-era dor de un eveniment de genul asta, ca in ultimii ani am cam avut parte numai de crapuri comerciale cu “cumparati voi X si o sa fiti super mega ultra secure” si alte aberatii din astea.

La final pe un monitor, s-a afisat si un “Wall of Sheep” cu parolele sniffuite ale celor de s-au conectat pe wireless-ul pus la dispozitie de organizatori si foloseau chestii in clear text. Ocazie cu care am aflat ca mai sunt companii de folosesc POP3 nesecurizat si SMTP auth la fel de nesecurizat. Like, srsly? In 2014?

16 noiembrie 2014

diverse

Aseara am iesit in Piata Universitatii pe la 9 jumate asa sa vad care e pulsul.

In troleu era o tanti care era tare nemultumita ca se voteaza intre Ponta si Iohannis. Zicea ca trebuie un roman in fruntea tarii, nu un strain. Dupa aia a vazut un afis cu Oprescu care il promova pe Ponta si a inceput “Uite, pana si domnul Oprescu care este om serios, bucurestean, il sustine pe domnul Ponta”. Dupa aia a zis niste chestii care m-au uimit decat de ne-normale erau: “Nu trebuie sa voteze lumea cu neamtul. Nemtii sunt sadici, te pun sa muncesti. Daca au copii la 18 ani ii dau afara din casa si ii trimit la munca. Nu ca noi sa facem totul pentru copii”.

Cand am ajuns era foarte putina lume si o tanti care tipa ca “Nicusor Ceausescu e comisar sef la sectia 11 de politie si ca i-o trage lui Antonia care e parte din nustiuce ce familie.” Perseverenta tanti, cum vedea pe careva ca pare ca se uita in directia ei se duce sa-si spuna povestea.

Pe strada era o masina de la RTV cu un sofer inauntru cuminte care mai era intrebat din cand in cand de oamenii de acolo daca nu-i e asa sila un pic sa lucreze pentru aia.

Pe la 10 jumate asa s-au anuntat din gura in gura rezultatele partiale si Iohannis era presedinte. N-as putea sa descriu bucuria generala de acolo cand s-a aflat rezultatul.

Intre timp se scanda(u):

  • PSD, ciuma rosie!
  • Antena3, niste derbedei!
  • DNA, ia-l si pe Ponta!
  • Afara, afara cu Ponta din tara!
  • Klaus, Klaus, scapa-ne de Mickey Mouse!
  • Versuri din imnul Romaniei
  • Jos comunismul!
  • Diverse la adresa lui Ponta, Tariceanu (n-am retinut rimele). In principiu indemnuri de a se duce toti din PSD & Co. la Jilava.

Am dat de un om cu masina si am luat-o spre Piata Victoriei unde se zvonea ca e loc de demonstratie. Pe Lascar Catargiu veneau oameni dinspre Victoriei. La inceput doar pe sensul de mers dinspre Victoriei, dar un pic mai incolo si sensul celalalt s-a umplut si toate masinile s-au oprit sa nu se ciocneasca cu lumea de pe strada.

Toti erau bucurosi ca a iesit Iohannis si ca a pierdut Ponta. Toate scandarile erau impotriva lui Ponta, PSD si Antena3. Astia din urma erau huiduiti ca si in ultimul ceas ii dadeau inainte cu dezinformarea. E prima oara cand am vazut o mare de lume bucuroasa, pe tot bulevardul pe ambele sensuri de circulatie.

Am ajuns inapoi in Piata Universitatii unde deja ajunsese coloane de manifestanti din Victoriei (ca am stat ceva cu masina pana ne-am eliberat).

Scandarile impotriva PSD si a Antenei3 s-au intetit si se repetau des. Semn ca Ponta a reusit sa uneasca pe toti impotriva lui si a trompetelor de televiziuni folosite la propaganda.

Vorba ca vine Klaus Iohannis in Piata Universitatii ca facut ca toata lumea sa se imbulzeasca spre locul unde au tras niste masini. Am avut noroc ca eram relativ aproape si a reusit sa ajung la vreo 2 metri asa de Iohannis sa-l filmez.

Filmuletul este aici: https://www.youtube.com/watch?v=SvwcPv5KY_E.

Cum a aparut, lumea a inceput sa scandeze “Klaus, Klaus, l-ai batut pe Mickey Mouse”. Era o stare euforica greu de descris, cu atata lumea fericita ca PSD-ul cu toti mortii, fraudele si ce-a mai fost tot n-au reusit sa fure cat s-a votat pe bune.

Ce m-a bucurat nespsus: faptul ca desi suntem un popor cu destul de multe predjucati cand vine vorba de rasa si religie, s-a trecut peste toatea astea si s-a votat masiv Iohannis si pentru democratie. S-a votat omul si nu partidul.

Am stat pana a plecat, am mai facut niste poze si dupa aia am luat-o catinel spre casa.

Mi-a placut ce-am vazut in Piata Universitatii si sa fie intr-un ceas bun!