Confessions Of A Dangerous Mind

So i have seen some posts going on the Internet regarding problems People are having, trying to install MySQL on Debian, so i decided to give it a go – and install the latest GA MySQL on the latest Debian.

I am assuming that this is a dedicated Database server machine , so i installed it from scratch , using only the first CD image of the Debian 5.0.3 installation.

Just follow the Steps:

1. install debian 5.0.3 from cd-1 , when choice of what to install , 
   leave only "system" so its nice and small
2. edit /etc/apt/sources.list and add to it ->
       deb http://packages.dotdeb.org lenny all 
       deb http://http.us.debian.org/debian stable main contrib non-free
3. apt-get update
4. apt-get install openssh-server
5. apt-get install mysql-server-5.1

Thats about it.

Labels: database, guide, mysql, solution

Posted by barry at 2:49 PM | קישור לקטע | תגובות

לפני כחודשיים פנה אליי ירון חקון, מנהל הפורום לאבטחת אפליקציות במיקרוסופט ישראל וביקש ממני לבוא ולהרצות על אבטחת מסדי נתונים , איומים ודרכי התמודדות… לירון אי אפשר לסרב …, אז כמובן שנעניתי בחיוב :)

ביום חמישי הקרוב – 3 לספטמבר 2009 , במשרדי מיקרוסופט ישראל שברעננה , אעביר הרצאה בנושא TOP 10 DB Threats.

הרשמה לאירוע :

https://msevents.microsoft.com/CUI/EventDetail.aspx?EventID=1032422463&culture=he-IL

הערה : מי שרוצה לבוא לשמוע גם קצת על איך Imperva ניגשת לאבטחת מסדי נתונים, זה המקום.

Labels: conference, consulting, database, imperva, lecture, managment

Posted by barry at 3:14 PM | קישור לקטע | תגובות

אחד הדברים שאני הכי אוהב לעשות זה למצוא דרכים מעניינות ובעיקר מהירות לבצע פעולות אפילו טריוויאליות כמו התקנת מערכת ההפעלה. מאחר ואני משתמש במחשב נייד של Lenovo מדגם X200, אשר מגיע ללא כונן DVD/CD – החלטתי לבדוק כיצד ניתן לבצע התקנה של Windows 7 מכונן USB.

הפלא ופלא , כל ההתקנה לקחה 8 דקות בזכות הפעולה המהירה של קריאה מכונן Flash.

בכל מקרה, החלטתי לשתף מדריך קצר שמסביר איך להכין USB DiskOnKey להתקנת Windows 7

נצא לדרך :

עלינו להכין מראש את הדברים הבאים :

1. דיסק און קי בגודל 4 ג’יגה אשר נמחק את כל תוכנו בתהליך

2. דיסק התקנה ( DVD ) של Windows 7 ( אגב , גם Vista אני מתקין ככה , אם בכלל )

3. כ20 דקות מזמנכם הפנוי.

נעבוד שלב שלב :

1. יש להכניס את הDOK – קיצור ל Disk On Key לחיבור הUSB

2. יש לפתוח CMD במחשב עם הרשאות Administrator

3. יש להקיש DISKPART ואנטר ולהמתין לשורת הפקודה המתאימה

4. כעת יש להריץ LIST DISK ולרשום בצד את מספר הדיסק שהוא הUSB

אצלי זה היה DISK 5 , אם אצלכם שונה ,אז נא להתייחס בהתאם עם הפקודות הבאות.

5. כעת יש להריץ את הפקודות הבאות ברצף :

SELECT DISK 5

CLEAN

CREATE PARTITION PRIMARY

SELECT PARTITION 1

ACTIVE

FORMAT FS=NTFS

( שימו לב שתהליך הפורמט יכול לקחת עד 5 דקות כי זה Low Level Format )

ASSIGN

EXIT

7. כעת נכניס את הDVD של Windows 7 לכונן שהאות שלו היא במקרה שלי T , כמו כן האות אשר קיבל הDOK שלי היא Y

8. באמצעות שורת הפקודה נבצע את הפקודות הבאות ( בהתאמה לאותיות )

T:

CD BOOT

BOOTSECT /NT60 Y:

9. כעת יש להעתיק את כל הקבצים מהDVD לכונן הUSB בהעתקה פשוטה.

10. סיימנו.

הערה : כדי להתקין מכונן הUSB , יש לשנות את סדר העליה כך השהמחשב יעלה מכונן הUSB.

בהצלחה !

Labels: guide, managment, script

Posted by barry at 7:53 PM | קישור לקטע | תגובות

I have decided to share a short technical experience that i had recently. so in my pursue of a way to build a Home Linux Storage System , and also have a Software iSCSI interface to connect to it , since my home setup of hardware wont suffer an HBA addition . i did some research around sofware iSCSI. and although it is CPU Intensive, this might assist those of you that have a need for external disks.

the concept was to have a central home storage , have only small disks on my lab computers that will just run the thin OS , and then mount the drives from a central server – to which i connected a 1000/100/10 Switch just for data.

so the lab was divided into two.

1. A Linux Server that owns Physical Drives and serves as an iSCSI Target.

2. A Linux Workstation that needs to mount an external iSCSI disk Initiator.

1. How To Build The Linux Storage Server :

Install CENTOS 5.1
- yum update ( to update the OS to the latest )
- yum install kernel-devel ( optional )
- open firewall ports
- rpm -ivh iscsitarget-0.4.15-4.el5.i386.rpm
- rpm -ivh iscsitarget-kmdl-2.6.18-128.1.10.el5-0.4.15-4.el5.i686.rpm
- mkdir /home/iSCSI
- dd if=/dev/zero of=/home/iSCSI/LUN0 bs=1M count=512    ( 512 is size of disk in MB)
- vi /etc/ietd.conf and add the following lines
      Target iqn.2009-06.com.example:mydisk
      IncomingUser username password
      OutgoingUser username password
      Lun 0 Path=/home/iSCSI/LUN0,Type=fileio
      Alias mydisk
      InitialR2T Yes
      ImmediateData Yes
      MaxOutstandingR2T 8
- vi /etc/initiators.allow 
      add -> ALL ALL ( note : This is an access list )
- reboot ( to make new kernel appear and load the module )
- /etc/init.d/iscsi-target restart
- validate in tail -f /var/log/messages

2. How To Have The Initiator Mount The Drive On The Workstation :

( my workstation is also a centos in this case )

-  rpm -i iscsi-initiator-utils-6.2.0.868-0.18.el5.i386.rpm ( this is the util )

- vi /etc/iscsi/iscsid.conf
    #enable the following :
        node.session.auth.username = username
        node.session.auth.password = password
        discovery.sendtargets.auth.username = username
        discovery.sendtargets.auth.password = password
- /etc/init.d/iscsi start
- iscsiadm -m discovery -t sendtargets -p <ip of server>
- /etc/init.d/iscsi restart
- tail -f /var/log/messages --> to find the device representation
- fdisk /dev/sdd --> if the disk is sdd ...
        n primary partition
        w write table
- mkfs.ext3 /dev/sdd1
- mkdir /mnt/iscsi
- mount /dev/sdd1 /mnt/iscsi
- chkconfig iscsi on --> to mount at boot time auto
- vi /etc/fstab
         add line -> /dev/sdd1 /mnt/iscsi ext3 _netdev 0 0

by the way , mounting an iSCSI using Windows Vista is also an easy task .. play with it :)

Anyway, Thats it.

Labels: concepts, guide, iscsi, linux, solution

Posted by barry at 2:41 PM | קישור לקטע | תגובות

אחד התחומים המעניינים והמרתקים בעיני , הוא עולם ניהול סביבות Datacenter ( במקרה שלי - מזווית הSecurity בדרך כלל ) והצורך לבנות מערכות ותשתיות שרידות ומהירות מאוד , וגם לשמור על כללים חשובים של שימוש במינימום משאבים ( Green IT ) תוך מתן אותה רמת שירות, וגם לבצע ניטורים מלאים כדי לאתר כשלים מערכתיים לפני שהם קורים , וכמובן לתת מענה לאירועי אבטחת מידע בזמן אמת.

אחד הדברים שתמיד הפתיעו אותי הוא החוסר המשווע במרכזי בקרה שאכן לקחו את הצעד הנוסף לקשר אירועי אבטחה או לבצע אינטגרציה עם מערכות בצורה באמת מלאה אשר מאפשרת לקבל תמונה מלאה על הDATACENTER.

הדרך הכמעט נפוצה מכולם תמיד הייתה לשלוח Email על אירוע אבטחה כאשר הוא קורה - וזאת על מנת לתת לו מענה, אך בעולם של 1000 אימיילים ביום , הכיוון הוזנח ונעזב לטובת SNMP ולטובת SYSLOG אשר מייצרים אירועים רבים בשניה מהמרכות ואותו איש NOC\SOC לא תמיד יכול לבקר כמו שצריך ולוודא אם אכן מדובר באירוע אמיתי ואיך להגיב לו.

לפי דעתי, מוצר אשר מיועד להתחבר לסביבת Enterprise חייב לתת את האפשרויות השונות להתממשקות לכלי SIEM שונים וכלי בקרה שונים בצורת הNATIVE שלהם תוך כדי שנעשית הבנה לפני שליחת האירוע של מהו האירוע, מהי מהותו ומה נדרש לבצע.

כלומר , כאשר מוצר מותקן בסביבת Enterprise עליו לקחת בחשבון הימצאות כלי CMDB למיניהם , כלי SIEM למיניהם ומערכות Availability שונות. אם אינו מתחבר אליהן - מקבלים רק חלק מהתמונה שכנראה ברוב המקרים תיבלע בתוך המכלול.

Labels: concepts, datacenter, managment, technology

Posted by barry at 7:24 PM | קישור לקטע | תגובות

אחד הדברים אשר אנו מחפשים תמיד בפתרון רשתי כלשהו , הוא האימות של כתובת הIP האמיתית שמגיעה ממקור המשתמש הסופי ( לגיטימי או האקר ). עם זאת , ישנה בעיה ידועה כאשר כל מערכת אבטחת מידע יושבת מאחורי Proxy כזה או אחר.

הסיבה לבעיה נעוצה בעובדה ש Proxy ( או Load Balancer ), שובר את הTCP Stream ומייצג כתובות IP אחרות בחלק הפנימי שלו . לפי כך מערכות קלאסיות כמו IPS או דומות , אינן רואות את כתובות הIP האמיתיות אשר הגיעו מהעולם. לא ניתן לזהות את מקור ההתקפה בצורה קורלטיבית ומכך נגזר - שאי אפשר להגן בצורה יעילה כנגד התקפה על פי זיהוי מקור.

כאן בדיוק נכנס עולם ניתוח האפליקציה.

כאשר Proxy או כל TCP Terminator כלשהו ( כגון Load Balancer ) קיים , אחת התכונות שלו היא הוספה או עריכה של Headers - דוגמא טובה תהיה בHTTP Header. התוספת הרלוונטית במקרה של Proxy תהיה בצורת פרמטר X-Forwarded-For , אשר הינו פרמטר המכיל את הIP המקורי אשר קולף על ידי הProxy והוחלף בכתובת שלו עצמו.

על ידי קילוף הפרמטר והחלפת כתובת ה Source IP בכתובת שהוצגה בפרמטר , ניתן למעשה לבנות חוקים לגישה או להבין אירועים על פי כתובת המקור. מה שמשנה לחלוטין את זווית הראיה של מערכות אשר יושבות מאחורי Proxy.

כמובן רצוי לוודא שקיים Trust מסויים בין הProxy לבין אותה מערכת , כדי שהמערכת תדע שהHeader אכן שונה על ידי הProxy ולא על ידי אלמנט צד שלישי ,כגון האקר שרוצה לעקוף IP Filtering בצורה זו.

Labels: design, imperva, technology, waf

Posted by barry at 10:12 AM | קישור לקטע | תגובות

[ A Rewrite of this post in english , due to the importance ]

A few days back , I received a nice gift via my Msn IM account, i got the following link :

http://myparties.piclooks.com/?<user> ( where <user> is the infected sender ). in that case i got it through MSN , so i dont tknow if any other IM is compromised.

when clicking on that link you would get the following web window -

That screen immediately raised my suspicion that there is something wrong here. an unknown site is asking for my MSN / Hotmail credentials in order to provide me a service which natively could be provided via a normal API... so i started checking.

Viewing the client side source code was very nice , cause it shows a very simple - almost child-like html code that is generated via simple tools.

An IP address (  64.34.154.82 ) was embedded in, which is not something that you would expect from a service, very unusual.

When disecting the URL to its basics and just going to piclooks.com , you would get the following output ( meaning , there is no actual homepage behind this application )

The summary is very simple , this is most probably a phising site , and not a very sophisticated one , which its whole purpose is to steal the online identities of those who are naive enough to play along.

be careful of this hoax.

Labels: english, passwords, privacy, sbn, script, spam, threats, virus, vulnerability

Posted by barry at 9:26 AM | קישור לקטע | תגובות