Posts – WinnietheWho

It´s DEF CON time!!

cr — Fri, 12 Aug 2022 11:03:00 +0000

It´s DEF CON time!! For those of you not able to attend Def Con 30, as myself, below are some useful information regarding the event online.

The Speakers and Talks will kick of starting tonight Friday 12th at 19:00 CEST Copenhagen time with Stream Channels available on Twitch Using the below links:

Twitch:

DCTV1 – https://www.twitch.tv/defcon_dctv_one
DCTV2 – https://www.twitch.tv/defcon_dctv_two
DCTV3 – https://www.twitch.tv/defcon_dctv_three
DCTV4 – https://www.twitch.tv/defcon_dctv_four
DCTV5 – https://www.twitch.tv/defcon_dctv_five

Schedule: (With filter for Official talks)
https://info.defcon.org/categories/45241/

Whether your attending in person or online, I wish you a great conference. Most important remember to speak to your peers and learn from the community.
#defcon30

Trusselsbilledet er ændret markant efter februar 2022 og konflikten i Ukraine

cr — Thu, 10 Mar 2022 20:06:11 +0000

Som alle er opmærksomme på så står vi en situation i Ukraine som vi ikke har stået i før i det moderne informationsbaserede samfund. Det betyder også at trusselsbilledet og risikobilledet har ændret sig for virksomheder, samt organisationer og vi ser i Fortinet allerede statsaktører og kriminelle cyberkampagner eskalere i forbindelse med situationen i Ukraine. Der er b.la. desværre allerede en række danske virksomheder som er ramt af Conti, som ser ud til at have valgt side i konflikten blandt andre.

I den forbindelse har jeg samlet en række generelle råd fra forskellige eksperter i branchen inklusiv undertegnede.

– Følg myndighederne og CFCS’ råd til 10 grundlæggende foranstaltninger, samt andre vejledninger tilgængelige her.

https://www.cfcs.dk/da/temasider/tiltag-til-styrket-cyberberedskab

Derudover:

– Gennemgå og tilpas din virksomheds beredskabsplan

– Få det optimale ud af jeres eksisterende sikkerhedsløsninger. Stil jer selv spørgsmål som – Bruger vi den fulde pakke vi har tilgængelig eller sikkerhedsfearures? Kan løsningerne forbedres teknisk og operationel?

– Sørg for at holde alle virksomhedens operativsystemer og applikationer opdateret

-Sørg for at have installeret sikkerhedsløsninger på alle systemer, klienter og på server- og gateway-niveau

– få samlet relevante logs i ovenstående platforme, intet produkt er 100% sikkert. Log indikationer kan hjælpe til at detektere et angreb og anvendes til analyse under/efter en hændelse.

– Få styr på adgangskontrol og administratorrettigheder i virksomheden og anvend MFA autentifikation

– Sørg for at have en aktuel backup af virksomhedens forretningskritiske systemer og data, inkl. en offline kopi. Tænk Force majeure scenarier også.

– afhold en kort briefing om den aktuelle sikkerhedspolitiske situation og behovet for, at alle opmærksomme på aktuelle cyberisici og adfærd ift. sikkerhed (awareness)

– Gå i dialog med sin it-leverandør, hvis man har outsourcet it-drift og -sikkerhed. Sørg for at it-leverandøren har foretaget de nødvendige sikkerhedstiltag og stil krav om dokumentation herfor.

– Gennemgå virksomhedens budget for IT og Sikkerhed, få prioriteret virksomhedens vigtigste opgaver, samt risiko profil og vær forsigtig med at anvende virksomhedens ressourcer allerede nu.

– Lige nu befinder vi os i en svær situation i Europa og det bør forventes at trusselsbilledet kan forværres, hvor virksomhedens skal have ressourcer klar både økonomisk og operationelt.

– Kontakt en ekspert eller fortrolig rådgiver hvis man er bekymret, under angreb eller har spørgsmål, også til de tekniske kontroller som bør overvejes.

Hvis man allerede har styr på ovenstående, så fortsæt det gode arbejde, men vær opmærksom på følgende “good security is the enemy of great Security” Vi kan altid forbedre sikkerheden!

Fortinet – Respons til Apache log4j sårbarheden

cr — Mon, 13 Dec 2021 19:30:54 +0000

Nedestående finder man oversigten over produkter som er sårbare og anbefalinger:
PSIRT Advisory – https://www.fortiguard.com/psirt/FG-IR-21-245

Overordnet Fortinet psirt blog:
https://www.fortinet.com/blog/psirt-blogs/apache-log4j-vulnerability
Den primære anbefaling er at patche log4j til 2.15 og i den forbindelse få opdateret alle 3. parts platforme som er bekræftet sårbar.

Swiss cert har skrevet en udemærket liste med anbefalinger:
https://www.govcert.ch/blog/zero-day-exploit-targeting-popular-java-library-log4j/

IPS signatur har siden weekenden været tilgængelig på FortiGate og FortiADC:

Følgende IPS signatur er frigivet ” Apache.Log4j.Error.Log.Remote.Code.Execution, with VID 51006” til at beskytte mod angrebet.
BEMÆRK: Da dette er en emergency release af IPS signature så er default ACTION: ”PASS”. Her er det vigtigt at man får taget stilling til log4j sårbarheden og for sat ACTION: ”Block” i FortiGates, FADC eller FortiManager.

Hvis log4j trafikken er krypteret (https), så skal der implementeres SSL inspektion for at beskytte mod Exploit forsøg af log4j sårbarheden.

DNS & IP reputation filter:
Fortigaten og andre Fortinet platforme får kontinuerligt opdateret sinagture og IOCer på malicious domæner og IP adresser som beskytter mod angrebet. BEMÆRK: dette er ikke en løsning som kan stå alene, da de malicious aktøres backend ændres dynamisk.

FortiWeb Application signatur:
Til FortiWeb er der frigivet en signatur til at beskytte mod sårbarhedens anvendelse i dabase 0.00301 og 0.00035 for yderligere beskyttelse. Konfigurationen af denne skal foretages under ”Web Protection // known attacks” hvis man ikke har denne enabled i Web protection policy

I Fortinet outbreak alert rapporten kan man få en oversigt over hvordan Fortinet beskytter mod anvendelse af sårbarheden på tværs af platforme og hvordan man kan scanne for IOCer:
https://www.fortiguard.com/outbreak-alert/log4j2-vulnerability

Nyttige links:

Har vi været kompromitteret?
Få samlet IOCer fra forskellige sources og set logs igennem på både Fortigate, FortiWeb, FortiADC, FortiAnalyzer og naturligvis de omfattede applikationer.

https://docs.fortinet.com/document/outbreak/0.0.0/technical-tip-detecting-apache-log4j-exploits-on-faz/29
IOCs repo – https://github.com/curated-intel/Log4Shell-IOCs

Kan vi kompromitteres? (Jeg anbefaler kun at anvende nedenstående i samarbejde med sikkerhedseksperter, applikationsudviklere eller hvis man selv har kompetencerne)
https://github.com/huntresslabs/log4shell-tester

Liste over andre producenter og public statements:
https://gist.github.com/SwitHak/b66db3a06c2955a9cb71a8718970c592

https://github.com/NCSC-NL/log4shell/tree/main/software

Def Con 27 Las Vegas August 2019

cr — Mon, 19 Aug 2019 17:45:29 +0000

First time attendee, most definitely not the last….

Over the years I have heard lot’s of positive feedback from the Security conference Def Con taking place in Las Vegas every year around August. My first time visit was no disappointment, and it met my expectations and beyond. This event is definitely the place to be for Security interested & people who work in the Security industry. Here is some takes on why private people and companies should invest their money in participating at Def Con.

There are five main reasons Companies & People should invest sending employees to the conference.

The mere quality of the Presentations (By far, Def Con is the Event with most relevant & informative presentations I have been to. “Working in the Security Industry I do this a a lot”)
Networking. This is really the main point of the Event. Speak to Experts in the different Villages, other attendees and share experience and knowledge. Make Friends……
Aspects of Security that you never thought about Securing (Hacking Elevators, Air Con equipment, Office Phones etc.
Attending CTF & Challenges. At Def Con there are challenges for all skill sets and levels. Even the Badge for entering the Conference is in itself a Challenge. This gives you the opportunity to speak with other people and learn something new.
Get out of your daily way of thinking Security and Challenge the quality & efficiency of your current Security Strategy

As a new tradition, I will be rating the talks that I attended during the 4 day conference. For friends and the community to assess and allocate their time optimal when videos are released. Within a year from the conference closure, videos will be made public on the Def Con media Server & Youtube. If you work with operational Security or Programming, I highly encourage you to watch the videos alongside previous years Presentations & Talks.

Top 3 must see talks:

EDR is Coming; Hide Yo Sh!t:	(5.0 / 5)
Windows Exploit Mitigation for ROP Exploit:	(4.0 / 5)
The Tor Censorship Arms Race - The Next Chapter:	(4.0 / 5)

Overall talk rating:

Web2Own Attacking Desktop Apps from Web Security’s Perspective:	(3.5 / 5)
Are Quantum Computers Really A Threat To Cryptography:	(1.0 / 5)
Breaking Google Home Exploit with SQlite(Magellan):	(3.5 / 5)
Intro to Embedded Hacking—How you too can find a decade old bug in widely deployed devices. Deskphones, a case study:	(2.0 / 5)
Hacking Congress - The Enemy Of My Enemy Is My Friend:	(3.5 / 5)
Phreaking Elevators:	(4.0 / 5)
Change the World cDc Style - Cow tips from the first 35 years:	(3.0 / 5)
I know What you did Last Summer - 3 Years of Wireless Monitoring at Def Con:	(2.0 / 5)
Why You Should Fear Your “mundane” Office Equipment:	(3.5 / 5)
Biohacking - Human tested cow implant sensors:	(2.0 / 5)

I also attended Sky talks, which are “Secret” presentations that are not allowed to be re-communicated or having shared it’s content. For these talks you need to be on-site Las Vegas, but this is also where some of the more juicy Topics are presented.

There is a plan from my side to post a small “pocket” guide for newcomers in 2020, with gathered experience including do’s and don’ts from participating my first year at Def Con 27 2019

My own goal for next year is to prepare and sign up for an entry level CTF challenge, either in one of the Villages or Workshops..