API tools faq
paste
Guest User

Untitled

a guest
Sep 20th, 2017
92
0
Never
Add comment
Not a member of Pastebin yet? Sign Up, it unlocks many cool features!
text 8.75 KB | None | 0 0
raw download clone embed print report
  1. Vel. Da har vi kommet til tiden på året hvor defcon og blackhat videoer begynner å dukke opp på youtube.
  2.  
  3. Og like sikkert som at den første snøen kommer like overraskende som "julekvelden på kjærringa" hvert år, så er det noen som ikke har god nok oversikt over alle teknologiene som kan benyttes for å beskytte et nettverk og datamaskiner, som mener noe.
  4. Og dette blir brukt til å skape unødvendig drama.
  5.  
  6. Jeg synes at det er flott at flere mennesker blir bevisste når det gjelder datasikkerhet, og personlig er det greit for meg at stemmer blir talt manuelt.
  7.  
  8. Til og med jeg blir usikker på kompetansen til de som skal passe på at dette går riktig for seg, når de ikke kommer med noe godt svar på disse spørsmålene, som blir stilt etter at noen har sett en blackhat video.
  9.  
  10. Hvorfor ikke noen mer kompetent enn meg har kommet med et "motsvar" på all FUD (Fear, Uncertianty & Doubt) som har blitt skapt rundt dette, kan man jo bare spekulere i.
  11. Men de som er det har kanskje så mye på tapeten at de ikke har tid?
  12.  
  13. -----
  14.  
  15. Men, det å påstå at det er noe problem at disse tellemaskinene er koblet til internet, forstår jeg ikke.
  16.  
  17. Så, la meg fortelle, i detalj, hvordan man kan være sikker på at ikke noe utstyr i denne "supplykjeden" har blitt "hacket".
  18. Og hvordan man kan verifisere dette i ettertid.
  19.  
  20. Kan begynne å sette ting litt i perspektiv
  21. Facebook har 2 milliarder månedlige brukere.
  22. Gmail har 1 milliard månedlige brukere.
  23. BankID har 3,7 millioner kunder totalt?
  24.  
  25. Her snakker vi om noen hundre, eller tusen tellemaskiner som vi skal være sikre på ikke har blitt kompromittert av uærlige aktører.
  26.  
  27. Norge er et bittelite land.
  28.  
  29. -----
  30.  
  31. Hvilke teknologier og ressurser trenger vi for å kunne gjøre dette?
  32.  
  33. Et par dusin kvinner og menn vi kan stole på, og som kan teknologiene jeg omtaler her.
  34.  
  35. "Microsoft Domain Controller"
  36. "Microsoft Active Directory"
  37. "Microsoft Group Policy" og muligheten dette gir for å administrere Windows maskiner.
  38.  
  39. Hvitelisting av programmer som får kjøre på disse Windows maskinene.
  40.  
  41. Obs. Jeg personlig har ikke administrert Windows domener siden rundt 2004 (SBS 2003).
  42. Denne kom f.eks. ferdig konfigurert med en åpen proxy server.
  43.  
  44. Microsoft og mange andre har heldigvis i senere tid gått over til mantraet "Secure by Default". Noe som er bra.
  45.  
  46. En upatchet 'Windows XP' maskin er ikke "Secure by Default".
  47.  
  48. Men det er egentlig ikke noe problem.
  49. Fordi utvidet logging kan fortelle oss hver eneste minste ting denne maskinen har gjort mens den var i bruk.
  50.  
  51. Og her må jeg komme med noen forbehold, eller et "caveat" som det heter på nynorsk.
  52.  
  53. Jeg har hverken sett eller tatt på noen norske tellemaskiner.
  54. Er dette "embedded" systemer?
  55. Virker jo ikke sånn når det blir påstått at de kjører 'Windows XP'. Kjører de 'Windows CE'?
  56.  
  57. Jeg forutsetter at disse maskinene kjører en fullversjon av 'Windows XP', har muligheten for å bli innlemmet i et domene, og dermed bli styrt via "Microsoft Group Policy".
  58.  
  59. ----
  60.  
  61. En brannmur med mulighet for å "ta opp" all nettverkstrafikk (.pcap).
  62. Jeg foretrekker pfSense. Men her er det mange valg.
  63. Vi må ha en av disse på hver lokasjon tellemaskiner er.
  64.  
  65. -----
  66.  
  67. En managed switch med mulighet fot å speile fysiske porter.
  68.  
  69. -----
  70.  
  71. En maskin som kjører 'Security Onion' eller liknende "appliance".
  72. Denne brukes også til å "ta opp", og analysere all nettverkstrafikk i sanntid.
  73. Jeg liker 'bro'
  74.  
  75. -----
  76.  
  77. VPN (Virituellt Privat Nettverk).
  78.  
  79. -----
  80.  
  81. VLAN (Segmentering av nettverk)
  82.  
  83. -----
  84.  
  85. Faste IP-adresser på lokasjonene tellemaskinene er.
  86.  
  87. -----
  88.  
  89. Statistisk analyse.
  90.  
  91. Skal være forsiktig med å si AI(Kunstig Intelligens)om dagen.
  92. Det er for mange som ikke skjønner dette uttrykket.
  93. Vi er fortsatt veldig langt unna "generell AI" det som de fleste tror AI er (Elon Musk blant annet).
  94. Her er en video fra Darpa om AI fra februar i år:
  95.  
  96. Her kan du lære deg hvordan AI'en i selvkjørende biler virker:
  97.  
  98. (Ikke bli skremt av formlene som er på tavlen bak foreleseren.
  99. Det er veldig lite matematikk i denne)
  100.  
  101. Selv noen som jeg anser er flinkere enn meg kan missforstå hva en AI faktisk kan gjøre om dagen.
  102.  
  103. <florida AI tweet>
  104.  
  105. -----
  106.  
  107. En ELK-stack som det kalles.
  108. Elasticsearch, logstash og Kibana.
  109. Dette brukes til loggføring av alle hendelser.
  110. Dette er et "helvete" å sette opp. Men når det virker, så virker det.
  111. -----
  112.  
  113. SNMP i Unicast
  114.  
  115. -----
  116.  
  117. U2F 2-faktor hardware nøkler.
  118. Her kan vi bygge våre egne? U2Fzero.
  119. Eller bruke f.eks. YubiKey.
  120. -----
  121.  
  122. Et SIEM system.
  123. SIEM står for "Security Information and Event Management"
  124. <link til SANS artikkel>
  125.  
  126. -----
  127.  
  128. Det første vi må lære oss er hva et VPN-nettverk er.
  129.  
  130. Nei, vi må faktisk gå enda et grunnleggende skritt tilbake først.
  131. Hvilke protokoller som blir brukt over internet, og vi må lære oss hva en port er for noe.
  132.  
  133. https://en.wikipedia.org/wiki/Internet_protocol_suite
  134.  
  135. En datamaskin som er koblet til internett har potensielt 65535 "anngrepsflater", eller porter om du vil.
  136.  
  137. Når du går til f.eks. http://vg.no så kobler du deg til denne serveren via port 80.
  138. Som er en standardisert port for ukryptert (usikker) internettrafikk.
  139. IANA bestemmer dette:
  140. https://www.iana.org/assignments/service-names-port-numbers/service-names-port-numbers.xhtml
  141.  
  142. Når du går til https://altinn.no så kobler du deg til port 443. Som er standard port for sikre (krypterte) nettsider.
  143.  
  144. Her gjør jeg en portscan av http://vg.no, og https://altinn.no
  145.  
  146. <bilde-vg>
  147.  
  148. Som dere ser så har http://vg.no kun to porter åpne.
  149. Port 80 og 443.
  150.  
  151. Allerede her så har VG nedsnevret mulige "angrepsflater" fra 65535 (porter) til to.
  152.  
  153. Hvis du som "hacker" ønsker å angripe http://vg.no så må du ha en ukjent (0-day) feil som du kan kan bruke mot enten port 80 eller 443.
  154. I VG sitt tilfelle så ser det ut til at de kjører Apache på CentOS?
  155. Jeg er også ganske sikker på at de kjører Varnish og memcache et eller annet sted.
  156.  
  157. -----
  158.  
  159. Hva om det kinesiske OCR-programmet som teller stemmene forsøker å "ringe hjem".
  160. Nei. Det er ikke noe trafikk som får lov til å gå ut av dette private VPN-nettverket.
  161.  
  162. -----
  163.  
  164. Hvordan forhindre fysisk sabotasje?
  165.  
  166. Et enkelt triks er glitter-neglelakk på skruer.
  167.  
  168. Man kan 3D-printe sine egne skruer om dagen.
  169. Denne spesialdesignede skruen og tilhørende verktøy kan med fordel 3D printes.
  170. Da vil det kun være vi (Norge) som har design på denne.
  171. (Ta nå ikke patent på den)
  172.  
  173. Jeg er ikke fan av "security by obscurity"
  174.  
  175. Men her vil det kanskje virke.
  176.  
  177. De av oss som har skrudd litt på bil har sikkert kommet over såkalte "tamperproof" torx.
  178. http://www.biltema.no/no/Verktoy/Handverktoy/Skrutrekkere-og-Bits/Bitssett/Bits--og-pipesett-torx-2000031768/
  179.  
  180. -----
  181.  
  182. Putt superlim i alle eksterne USB-porter.
  183. Nå må man inn i selve maskinen for å få tilgang til USB.
  184. -----
  185.  
  186. Vi trenger å kjøre et liksomvalg noen ganger for å få statistikk på hvordan et "normalt" valg ser ut på alle enheter og nettverkstrafikk.
  187.  
  188. Dette er selvfølgelig en "møkkajobb". Men kan ikke sosialklienter eller norske fengsels-innsatte gjøre dette?
  189.  
  190. Som tidligere straffedømt så synes jeg dette er en god ide.
  191.  
  192. Man får med sikkerheten som følger med et fengsel "på kjøpet".
  193. Er ingen der som har USB-pinner, eller skrujern.
  194.  
  195. -----
  196.  
  197. Jeg tenker automatisk "ut av boksen" hvordan jeg skal beskytte meg mot norske myndigheter.
  198. Dette er både en bug og en feature.
  199.  
  200. En russer eller ti er ikke jeg redd for.
  201. De er utenfor mitt "scope".
  202.  
  203. -----
  204.  
  205. Disse administratorene skal ikke svare på epost som ikke er signert med en PGP-nøkkel.
  206.  
  207. -----
  208.  
  209. Utenom å beskytte systemet vi har i dag på ovenfornevnte måte, så har jeg også noen tanker om hvordan dette kan gjøres enda sikrere i fremtiden. Jeg liker tanken på det å "spinne"-opp en ny virtuell maskin for hver enkelt stemme (tenk Docker).
  210.  
  211. Process hollowing detection.
  212. Ja, dette kan detekteres. (Kronos som eksempel).
  213.  
  214. -----
  215.  
  216. Og "holy shit".
  217. Er det virkelig 64 mennesker som leste den forrige "pasten" min?
  218. Eller er alt bot-trafikk?
  219.  
  220. Hvis det faktisk er noen som har lest denne disposisjonen min (eller en fyllerant om du vil).
  221.  
  222. Jeg veldig interessert i og få hjelp av mennesker som kan mer enn meg.
  223.  
  224. Jeg kan som sagt for lite om f.eks. AD.
  225. Men jeg har fulgt med litt på hva powershell kan gjøre om dagen.
  226.  
  227. Det er mye jeg ikke kan noe om. Jeg kan litt om nettverk.
  228.  
  229. Men jeg har sett _alle_ videoer som har blitt publisert av de 10 viktigste sikkerhetskonferansene i verden de siste 10 årene.
  230.  
  231. Så fort man begynner å jobbe med noe profesjonelt, så havner man akterut på sin research?
  232. Med mindre jobben din er å arrangere sikkerhetskonferanser.
  233.  
  234. Ta en prat med @telenorOSC. De passer på millioner av IP-adresser daglig.
  235. I sanntid.
  236.  
  237. Min tankegang er forsvar.
  238. "If this, then what?"
Add Comment
Please, Sign In to add comment
Public Pastes
We use cookies for various purposes including analytics. By continuing to use Pastebin, you agree to our use of cookies as described in the Cookies Policy.  OK, I Understand
Not a member of Pastebin yet?
Sign Up, it unlocks many cool features!