Securitate – Pagină 2 – Valy Greavu

În cadrul misiunilor de auditare a sistemelor informaționale există două activități de colectare a datelor de pe sistemele de calcul care asigură suportul, la momentul auditului, pentru luarea unei decizii de conformitate cu cerințele sistemului auditat. Prima activitate este aceea de documentare a sistemului auditat iar cea dea doua de extragere a informațiilor despre diferite configurări specifice în funcție de rolul sistemului auditat.

Rolul principal în procesul de documentare și colectare a configurațiilor îl are tot auditorul pentru că el decide care sunt elementele necesare a căror rezultat ar oferi cea mai corectă imagine despre securitate sistemului auditat.

Pentru realizarea acestor activități fiecare auditor are la îndemână o serie de instrumente specifice sau folosește pur și simplu metode de observare directă a configurațiilor direct de pe un terminal al sistemului auditat. În sensul realizării dosarului de audit trebuie să avem în vedere și modul în care sunt stocate probele electronice. De asemenea, o aplicabilitate a operațiunilor de documentare și colectare a configurațiilor este des întâlnită în activitățile de investigație a fraudelor informatice, dar aici plaja de aplicații disponibile este mult mai generoasă decât a aplicațiilor pentru audit.

Articolul curent are drept obiectiv prezentarea unui model de colectare a informațiilor despre sistemele de calcul cu sisteme de operare Windows, generațiile de după versiunea 2000, aplicabil atât sistemelor de operare de tip client cât și celor de tip server, membre ale unui domeniu sau workgroup.

Formatul de tip proces (intrare/prelucrare/ieșire) permite auditorului să definească, în cunoștință de cauză care sunt elementele unui sistem de calcul pe care dorește să le documenteze sau interogheze, apoi pe baza deciziei sale se realizează extragerea datelor din sistem și generarea ieșirilor care permit auditorului să-și motiveze opinia.

Documentarea

Din punct de vedere tehnic, datele de intrate pentru documentarea sistemului de calcul au la bază clasele de WMI[1] (Windows Management Instrumentation), principala sursă de stocare a informațiilor despre sistemele de operare Windows. Fiecare clasă este specificată în documentul XML de intrare sub forma unei secțiuni noi, auditorul având la dispoziție posibilitatea de a comenta sau chiar elimina anumite clase din fișierul de intrări.

Structura fișierului XML de intrare (wmiClassInput.xml) este prezentată în imaginea de mai jos:

Elementul rădăcină este winDokm iar fiecare clasă de registry este prezentată în elementele repetitive Section. Pentru sistemele de operare de tip Windows 2008 Server și ulterioare există o clasă WMI specifică, Win32_ServerFeature, folosită pentru extragerea rolurilor curente configurate pe serverele respective.

Aspectul inovativ al acestui model este reprezentat de aspectul deschis al fișierului de date de intrare care permite actualizarea ușoară a versiunilor, eliminarea și adăugarea de clase WMI în funcție de evoluția versiunilor sistemului de operare.

Fișierul de prelucrare (winDokm v1.vbs) se bazează pe limbajul de scripting VB Script, care se regăsește în toate versiunile sistemelor de operare Windows. Logica de prelucrare constă în specificarea fișierului de intrare a claselor WMI și pe bază de funcții specifice generarea unui fișier XML de ieșire.

Provocarea pentru noi în realizarea acestui script a fost de a interoga în mod dinamic WMI pe baza datelor dinamice de intrare. În atingerea acestui obiectiv am creat o funcție parametrizată (imagine) care generează secțiuni în fișierul de ieșire în funcție de valorile rezultate din interogările WMI.

Interogările WMI nu generează obiecte de tip recordset ci o formă particulară de arrays cunoscută și sub numele de SWbemObject [2]care poate conține valori liniare sau în stivă multidimensională.

Fișierul de ieșire, care are numele asemănător sistemului de calcul pentru care se realizează documentarea, conține toate datele accesibile din clasele WMI specificate în fișierul de intrare, prezentate în format XML.

În mod formatat cu XSL (winDokmFOut) fișierul de ieșire poate arăta în formatul următor:

Fișierul de formatare are drept scop doar o prezentare a datelor într-un format mai accesibil citirii decât formatul XML. În același timp, datele de ieșire pot fi prelucrate în aplicații de calcul tabelar, precum Microsoft Excel, sau importate în baze de date și interogate sau prelucrate după necesarul fiecărui obiectiv al misiunii.

Extragerea configurațiilor din regiștrii Windows

Folosind aceeași tehnică a datelor de intrare, prelucrare și date de ieșire se pot realiza aplicații de colectare a unor serii de configurații de pe calculatoarele Windows. Principala sursă de date vizată în acest paragraf este reprezentată de regiștrii Windows care stochează majoritatea datelor de configurare, informații despre produse și servicii din Windows, informații despre configurările de securitate și politicile aplicate.

Fișierul XML pentru a specifica clasele de ieșire are o structură pe secțiuni oarecum diferită, incluzând și o parte documentară, preluată de pe siturile oficiale MSDN[3] și TechNet[4] de la Microsoft.

Foarte importante în structura acestui fișier de intrare sunt primele trei valori:

· regHive – Specificarea locației rădăcină din registry
· regClass – adresa completă a cheii de registry fără rădăcină
· regData – numele configurației din registry folosită pentru a extrage valoarea.

Fișierul de prelucrări folosește metode specifice de conectare la registry prin apelarea la o funcție de interogare și generare a ieșirilor pe baza datelor de intrare.

Apelul funcției:

Conectarea la registry, extragerea valorilor din cheile de registri specificate și generarea output-ului:

Fișierul XML de ieșire:

Formatat via XSL fișierul de ieșire ar arăta ca în graficul:

Câmpurile winPolicy și Description din documentul de intrare sunt folosite doar cu rol documentar pentru acest fișier de ieșire.

Pentru o mai bună interpretare a datelor de ieșire, noi recomandăm utilizarea aplicațiilor de calcul tabelar. Un model de reprezentare a unui fișier de ieșire în Microsoft Excel puteți vedea mai jos.

În cazul în care avem deja un set de date dorite, pe baza celor mai bune practici, putem realiza grafice comparative de tip Radar pentru a putea raporta către managementul non-tehnic o stare concretă a configurărilor identificate în cadrul unei rețele.

Aplicații concurente

Instrumente concurente sunt multe (Sidy-Server), dar sunt mai greu de utilizat și în special pe servere pe care nu există Word instalat. De asemenea, MBSA și SCCM.

Dezvoltări viitoare

Pornind de la acest concept al datelor de intrare, prelucrari si ieșiri, ne propunem ca la viitoarele versiuni să putem realiza fișiere XML de intrare cu mai multe calculatoare pentru documentarea unei rețele.

Download and feedback

Registry dumper: http://gallery.technet.microsoft.com/Registry-Dumper-39087876
WMI Windows Dokumenter: http://gallery.technet.microsoft.com/WMI-Windows-Dokumenter-d3f62c7f

[1] Win32 Classes, http://msdn.microsoft.com/en-us/library/aa394084(v=vs.85).aspx

[2] SWbemObject object (Windows), http://msdn.microsoft.com/en-us/library/windows/desktop/aa393741(v=vs.85).aspx

[3] Group Policy Registry Table, http://msdn.microsoft.com/en-us/library/ms815238.aspx

[4] Auditing Policy, http://technet.microsoft.com/en-us/library/cc779526(v=ws.10).aspx

Dimineața de obicei după ce mă trezesc mă uit în oglindă. De câteva zeci de ani nu am observat niciodată un cerc deasupra capului meu. De fiecare dată îmi spun, că asta poate fi cea mai bună motivație pentru a putea face și lucruri din zona gri.

În seara asta lucram liniștit la calculator pe Facebook și nu știu ce mi-a venit mie să caut ceva mai gri spre negru pe Internet.

Am deschis frumos browser-ul în private mode, am deschis pagina cu pricina, mi-a trecut prin față un splash window din ala cu spam, jocuri și alte chestii din zona roz, dar l-am ignorat cu indiferență. Nu am apucat însă să mă bucur nici măcar 10 secunde de descoperirea făcută în fereastra mea de căutare… când… antivirusul a vrut să spună ceva șiiiii… buff/poză!

Știți melodia aia cu Vine Poliția? Eu o știu… (vezi minutul 1:51. Nu știu ce o fi asta, hip-hop, tehno, manele, porcării, nu contează e sugestivă! :) (Pentru cei care s-au supărat că au trebuit să deschidă melodia respectivă, îmi cer scuze cu asta dacă vreți să citiți mai departe.)

M-am uitat și eram chiar eu în poză. Chiar mă și mișcam ca să mă văd cum îmi stă cu căștile pe cap. IP-ul cred că era tot al meu… și nici un fel de buton de închidere. Comenzile cele uzuale gen Window+Combinații… Nimic! Alt+F4… Nimic! Ctrl+Shift+Esc pentru TaskManager nimic… În schimb funcționează Ctrl+Alt+Del… dar nu se deschide de nici un fel Task Manager dacă faci lock screen și revii, fereastra cu Poliția care vrea bani nu pleacă de acolo nici în ruptul capului.

Tentația fiecăruia dintre noi este de a încerca să dăm restart. Problema este că la restart problema se complică, pentru că virusul sau calul troian are șansa de a modifica regiștrii, de a salva fișiere în diferite locații de bază ale sistemului de operare și de a crea servicii Windows care să dea posibilitatea controlului calculatorului. Nimeni nu garantează că producătorii virusului ar putea fi oameni de bună credință care să accepte banii și să șteargă caii troieni.

Așadar de evitat restart și încercat doar un Logoff, pentru că funcționează cu Ctrl+Alt+Del și Log Off. Totul este să fiți suficient de rapizi cât să dați Cancel operațiunii, pentru ca Logoff-ul să nu se producă. Ideea este doar de a scăpa de acea fereastră și de a pune antivirusul să-și facă treaba.

În fapt este vorba despre o altă versiune a virusului Trojan:Win32/Reveton.F detectabil cu o serie de antivirusuri actuale.

Microsoft Security Essentials în detecteză dar este nevoie de repornire pentru eliminarea fișierelor infectate.

Virusul are și o hibă de logică. Dacă ești undeva într-un deșert și te infectezi, cum poți să mai intri pe internet să-ți procuri chestia aia de card Ukash de la sute de mii de site-uri din întreaga lume?!

Detaliile tehnice despre virus și despre modul de acțiune plus curățare avansată găsiți în Malware Protection Center. Verificați pe disk dacă mai apar fișiere cu extensia .pad Eu am găsit unul în C:\ProgramData.

Dacă nu mai vedeți on-line, înseamnă că am fost infectat complet… de Poliție că nu am plătit amenda! :)

PS: Aveți grijă pe unde navigați pe net. Uneori ceea ce căutați se poate găsi mult mai simplu în locuri mai safe! Sper să vă fie util!

Acest articol nu este o tehnică în sine, și nu încurajează ingineria socială ca tehnică de obținere de informații, ci poate fi considerat un studiu empiric a modului în care putem utiliza forme de comunicare neformalizate în transmiterea de mesaje cifrate folosind canalele de comunicație publice.

Cu mult timp în urmă un prieten mi-a dat o idee pe care am studiat-o în timp ca să o pot valida.

De multe ori mesajele pe care le vedem în social media nu ne spun nimic efectiv. Sunt fotografii sau desene, caricaturi sau mesaje directe, sub formă de text sau imagini cu text… și de cele mai multe ori schimburi de idei prin statusuri sau mesaje scurte, care au ca efect: atrag priviri, repulsie, admirație, stupefacție sau de cele mai multe ori… indiferență.

O categorie aparte de mesaje din social media o constituie melodiile de pe diferite canale publice. Pentru că să poți susține o astfel de convorbire pe bază de titluri de melodii sau mesaje din cadrul melodiei respective trebuie să ai o oarecare cultură muzicală, sau să știi să cauți mesajul pe canale publice cu videoclipuri.

Cel mai simplu mesaj prin care transmiți cuiva să te sune ar putea fi: Blondie – Call Me.

Numai că, dacă este să ne luăm după structura versurilor, vom înțelege foarte repede că nu poți să te adresezi astfel unei persoane de același gen, decât dacă există un agreement inițial legat doar de titlul melodiei.

De cele mai multe ori, comunicarea, să-i spunem cifrată, pentru că nu este criptată, între doi parteneri sociali se rezumă la titlul melodiilor. Totul este ca acele melodii și titluri să respecte o înșiruire logică a acestui schimb.

Alteori, din rațiuni de a nu fi depistat sau de a se pierde sensul comunicării, se pot apela la diferite agreement-uri de:

versuri. Exemplu: Titlul este inițierea mesajului. La răspuns se ia primul vers sau prima strofă din melodia de răspuns și comunicația funcționează incremental după numărul de versuri.
refrene
minute sau secunde ale melodiei care să indice versul de răspuns.
sensul melodiei cu totul când există o acțiune asociată acelei melodii sau când trebuie să transmiți un feedback în urma unei acțiuni.

Cel mai puțin detectabil este să încerci să transmiți mesajele pe liniile melodice ale trendului chiar dacă uneori poți fi considerat penibil de cei care te cunosc. Mult mai greu într-o comunicare globală este să depistezi trasabilitatea unei comunicații dacă melodia nu este în limba engleză.

Un exemplu de astfel de comunicare, în care soliciți indicații legate de prezența la un eveniment sau o acțiune comună:

Inițiatorul adunării postează melodia:

https://www.youtube.com/watch?v=Q0YzGXWuIEA

ceasu

4 AM

Prezența la eveniment poate fi jurnalizată pe baza like-urilor sau distribuțiilor, dar se pot cere și feedback-uri mai puțin de acord cu ora, sau chiar total opozante.

un exemplu pe același ton

analizăm versurile

…

Just another night
In another time

Alteori este ciudat cine și cu ce răspunde. Alteori nici nu de dăm seamă că de fapt comunicăm. Ne cântăm starea psihică, sufletească sau mentală, iubirea, indignarea sau revolta prin muzică, dar nu realizăm de fapt că în felul acesta mesajul nostru ajunge la cineva cândva.

Cert este că fiecare moment are muzica sa. Trebuie doar să fim atenți!

Dacă mai aveți idei, nu ezitați. Doar încercați să vedeți ce iese.

Articole corelate: Un pic de inginerie socială

Categorie: Securitate

WMI and Registry scripts