VN-S3C GR0UP

OneNote authentication – Not Conntected fix

terovn — Mon, 18 Jul 2011 15:37:04 +0000

OneNote is a very useful program that allow you to keep all your notes in one place. The sync with SkyDrive feature make it seamless to use it from multiple computers. But the program uses an obsecure and weird (imo) authentication method that create a lot of trouble when it fails to authenticate.

The symptom: your notebooks do not sync and the status say “Not Connected“.

The problem is there is not a clear instruction on how to get Connected again. There is no login option anywhere in OneNote. I myself tried logging into Live Messenger, open the notebook via browser and click “Open in OneNote”, clear proxy settings in IE… and all of that does not fix the problem.

If you have another computer that is syncing fine, you are in luck. This will fix the problem:

Go to the computer that is syncing fine. Back up credentials from Credential Manager by following this instruction
Restore from the computer on which OneNote is not working, using the file above

OneNote use Windows Credential Manager to automatically authenticate you. But when that fail, I think OneNote should allow users to enter their SkyDrive password again and create those credentials automatically in Credential Manager. Why they didn’t do this, I don’t know.

Basic Security Concepts (Part 1)

terovn — Sat, 09 Jul 2011 17:43:22 +0000

Information Security (hay Computer Security) là một lĩnh vực rộng, liên quan tới nhiều kỹ thuật khác nhau. Nhìn ở một góc độ nào đó, Information Security là 1 ngành hỗ trợ, để áp dụng vào các ứng dụng và công nghệ khác của khoa học máy tính. Nói như vậy không phải để phủ nhận vai trò quan trọng của security, nhất là khi máy tính và các thiết bị điện tử ngày càng chứa nhiều thông tin quan trọng (credit card, bí mật công nghệ, bí mật quốc gia…), mà để thấy là security rất đa dạng. Chúng ta có network security / system security, hardware security / software security, mobile security, browser security, VMM security, cryptography vv… Tuy nhiên bản chất của Information Security là để bảo vệ thông tin và tài nguyên máy tính khỏi những truy cập không được cấp phép. Trong series bài viết này, tôi sẽ giải thích các khái niệm cơ bản của Information Security, để giúp bạn đọc có cái nhìn tổng quan hơn và có thể áp dụng những khái niệm đó khi nghiên cứu security cho những ứng dụng khác nhau của khoa học máy tính.

Nhiều kiến thức trong bài viết này được trích từ giáo trình Computer Security: Art and Science của Matt Bishop. Nếu bạn muốn tìm hiểu cụ thể hơn về những khái niệm được đề cập trong series này thì tôi khuyên bạn nên tìm đọc giáo trình này.

Hãy bắt đầu từ mục đích của security. Information Security nhằm bảo vệ 3 yếu tố cho thông tin

Confidentiality: Tính bảo mật
Integrity: Tính toàn vẹn
Availability: Tính sẵn sàng

Mô hình an ninh thông tin trên còn gọi là mô hình CIA. Bảng thông tin dưới đây giải thích cụ thể hơn về các khái niệm trên:

Đặc tính	Ý nghĩa	Ghi chú
Confidentiality	Thông tin không bị rò rỉ bất hợp lệ	Bản thân sự tồn tại của thông tin cũng là 1 thông tin. Ví dụ nếu A biết B có thư mục C:\Windows, A có thể suy ra B dùng HĐH Windows
Integrity	Thông tin không bị thay đổi bất hợp lệ	Bao gồm cả tính toàn vẹn của thông tin, và của nguồn gốc thông tin. VD: Trong nhiều tình huống, A cần biết là thông tin x được gửi bởi B chứ không phải C, bởi vì chỉ những thông tin từ B mới có giá trị.
Availability	Thông tin tồn tại khi cần truy cập hợp lệ

(to be continued…)

ASLR and usage in security software

terovn — Sat, 09 Jul 2011 00:51:05 +0000

Rất nhiều phần mềm diệt virus không dùng đến tính năng ASLR (address space layout randomization) và DEP (data execution prevention). Khi được hỏi, đại diện của các hãng phần mềm hoặc nói rằng sẽ update trong phiên bản sau, hoặc cho rằng 2 tính năng trên không thực sự hiệu quả vì có một số kỹ thuật tấn công có thể vượt qua 2 biện pháp phòng thủ này. Ví dụ như ROP (return oriented programming).

Nhóm VN-S3C đã có 1 số buổi thảo luận về ASLR, DEP cũng như ROP. Cá nhân mình cho rằng phần lớn các biện pháp tấn công ASLR thành công được là do implementation của ASLR trên cách HĐH phổ biến chưa hoàn chỉnh. Về lý thuyết ASLR có sức mạnh rất lớn, nhưng trên thực tế khi implement còn nhiều hạn chế, ví dụ

Độ ngẫu nhiên (random) trên máy 32 bit là quá ít, kẻ tấn công vẫn có thể brute force và dò ra địa chỉ đã bị random.
Process con có layout giống parent process, do vậy mỗi lần tấn công làm crash process con vẫn có thể dò tiếp (không phải thử lại từ đầu).
Không randomize địa chỉ vùng dữ liệu hoặc heap. Các tấn công ret2heap và ret2data lợi dụng điểm yếu này.

Hơn thế các tấn công ASLR đòi hỏi kẻ tấn công phải bỏ ra nhiều nỗ lực hơn. Brute force làm chậm tốc độ tấn công, trong khi ret2heap và ret2data không áp dụng được với mọi lỗ hổng. Vì vậy các chương trình phần mềm nói chung, và đặc biệt là các chương trình security nên tận dụng ASLR khi có thể.

Bitcoin: A Peer-to-Peer Electronic Cash System

microlife — Sat, 02 Jul 2011 19:46:01 +0000

The paper presents Bitcoin, a P2P currency system that no one can track where money flows. It’s something like Bittorent, Tor network but for currency. The system is well designed but the paper is somehow too short to describe the whole things. I’m a bit worry since such a P2P currency system is not green at all. To do “Proof of work”, all of miners consume CPU, storage, network in a non-stop fashion but only one miner successfully creating 1 block every 10 minutes. The rest is thus working for nothing.

Abstract. A purely peer-to-peer version of electronic cash would allow online

payments to be sent directly from one party to another without going through a

financial institution. Digital signatures provide part of the solution, but the main

benefits are lost if a trusted third party is still required to prevent double-spending.

We propose a solution to the double-spending problem using a peer-to-peer network.

The network timestamps transactions by hashing them into an ongoing chain of

hash-based proof-of-work, forming a record that cannot be changed without redoing

the proof-of-work. The longest chain not only serves as proof of the sequence of

events witnessed, but proof that it came from the largest pool of CPU power. As

long as a majority of CPU power is controlled by nodes that are not cooperating to

attack the network, they’ll generate the longest chain and outpace attackers. The

network itself requires minimal structure. Messages are broadcast on a best effort

basis, and nodes can leave and rejoin the network at will, accepting the longest

proof-of-work chain as proof of what happened while they were gone.

Malware samples

terovn — Tue, 28 Jun 2011 19:34:06 +0000

Nếu bạn cần download mẫu malware để nghiên cứu, thử nghiệm kỹ thuật reverse engineering hoặc kiểm tra các chương trình diệt virus, dưới đây là một số CSDL malware mà bạn có thể sử dụng:

Chú ý cẩn thận khi xử lý các file mẫu malware. Tốt nhất là bạn nên download và nghiên cứu chúng trong môi trường máy ảo (vd Virtual Box)

http://www.malwaredomainlist.com/mdl.php
http://www.malwareblacklist.com/showMDL.php
http://support.clean-mx.de/clean-mx/viruses.php
http://malc0de.com/database/
http://malwares.pl/
http://adminus.net/samples.aspx
http://virussign.com/downloads.html
http://lineage.paix.jp/guide/security/virus-lastmodified.html
https://zeustracker.abuse.ch/monitor.php?browse=binaries
https://spyeyetracker.abuse.ch/monitor.php?browse=binaries
http://amada.abuse.ch/palevotracker.php
http://www.sacour.cn/showmal.asp?month=8year=2010
http://www3.malekal.com/exploit.txt
http://blog.urlvoid.com/new-list-of-dangerous-websites-to-avoid
http://www.freepcsecurity.co.uk
http://www.scumware.org
http://secuboxlabs.fr
http://www.threatlog.com
http://minotauranalysis.com/exetweet/
http://minotauranalysis.com/malwarelist.php
http://amada.abuse.ch/recent.php
http://jsunpack.jeek.org/dec/go?list=search&search=executable& (RSS feed)
http://honeywhales.com/malware_samples/list (Japanese)
http://blackip.ustc.edu.cn/bytime.html (Chinese)
http://www.malwareint.com (various links in top bar)
http://www.blade-defender.org/eval-lab (may not always be working – is auto-generated)
http://www.malwareurl.com/ (free registration required)
http://www.offensivecomputing.net/ (malware repository, free registration required to download)
http://frame4.net (requires paid registration)
http://vxvault.siri-urz.net/ViriList.php (password required, unknown at present)
http://vxvault.siri-urz.net/URL_List.php
https://honey.stealthisblog.fr:8080/malware/

nguồn từ http://www.kernelmode.info/forum/viewtopic.php?f=16&t=308&sid=0faac2af4fccd503aa12ed1013a65f41

Qubes Secure OS

quangtin3 — Sat, 18 Jun 2011 13:40:25 +0000

Article: http://qubes-os.org/files/doc/arch-spec-0.3.pdf

This article explain the design and implementation of Qubes. An operating system for desktop and laptop computer that provides isolation between application. It uses Xen Hypervisor and hardware virtualization technology (Intel VT and AMD-V) to providing isolation

Abstract: “Qubes is an open source operating system designed to provide strong security for desktop computing. Qubes is based on Xen, X Window System, and Linux, and can run most Linux applications and utilize most of the Linux drivers. In the future it might also run Windows apps.”

Presentation: Qubes secure os, slide

Paper List

terovn — Sat, 18 Jun 2011 01:35:38 +0000

Date	Paper	Conference	Slide	Discussion Leader	Note / Comment
18/06/2011	Using Fingerprint Authentication to Reduce System Security: An Empirical Study. http://www.ieee-security.org/TC/SP2011/PAPERS/2011/paper003.pdf	IEEE Oakland 2011		M.A	The basic idea of the paper is simple and therefore it should be easy to read: using fingerprint make people feel over confident and therefore use weaker passwords. The reason I pick this paper: we invent a lot of secure technologies, but at some point we have may to do user study to learn how they really work in practice. I think we can learn from the way the authors execute their user study.
02/07/2011	Bitcoin: A Peer-to-Peer Electronic Cash System			Trungtv	The paper presents Bitcoin, a P2P currency system that no one can track where money flows. It's something like Bittorent, Tor network but for currency. The system is well designed but the paper is somehow too short to describe the whole things. I'm a bit worry since such a P2P currency system is not green at all. To do "Proof of work", all of miners consume CPU, storage, network in a non-stop fashion but only one miner successfully creating 1 block every 10 minutes. The rest is thus working for nothing.
09/07/2011	BotMagnifier: Locating Spambots on the Internet. Link	Usenix Security 2011	Slide	HaiND	A novel approach for identifying and tracking spamming bots. Meeting note
23/07/2011	PiOS: Detecting Privacy Leaks in iOS Applications. Link			HaiND	This NDSS distinguished paper offers a solution to protect user from malicious applications written for Apple's iOS
13/08/2011	Dark Clouds on the Horizon: Using Cloud Storage as Attack Vector and Online Slack Space	Usenix Security 2011	Slide	M.A	A practical paper on DropBox and online storage security.
20/08/2011				Ntr Trung
03/09/2011	SMS of Death: from analyzing to attacking mobile phones on a large scale. Link	Usenix Security 2011		Quang	A framework to analyze the security of SMS clients of feature phones.
18/09/2011	Security and Privacy Vulnerabilities of In-Car Wireless Networks: A Tire Pressure Monitoring System Case Study. Link	Usenix Security 2010		Trung TrV
24/09/2011	Comprehensive Experimental Analyses of Automotive Attack Surfaces. Link	Usenix Security 2011	Slide	M.A	Continue on car security topic
01/10/2011	Keypad: an auditing file system for theft-prone devices. Link	EuroSys 2011		Hai Nguyen

Vietnamese websites under attack

terovn — Sun, 12 Jun 2011 18:30:29 +0000

Theo nguồn tin Vietnamnet, gần đây hàng loạt website của Việt Nam bị tấn công. Đặc biệt là nhiều trang của chính phủ, bị thay đổi nội dung:

Mặc dù tình huống VN đưa ra kết luận chính thức về thủ phạm tấn công là khó xảy ra do nhiều nguyên ngân kỹ thuật / chính trị, nhưng xét theo nguyên nhân thì có thể dễ dàng nhận thấy các cuộc tấn công này bắt nguồn TQ. Việc chính phủ TQ có đứng đằng sau hay không, theo suy đoán cá nhân của tôi là có nhưng chỉ ở mức độ cổ động, đăng tin ban đầu.

Tuy nhiên những tấn công này chỉ là bề nổi của tảng băng chìm. Chắc chắn chính phủ TQ đang ngầm tiến hành tấn công vào hệ thống mạng của VN ở quy mô sâu hơn, thâm hiểm hơn. VN nên nhận ra những cảnh báo sớm, từ bài học của văn phòng Dalai Lama, hay của chính phủ Hoa Kỳ:

Những tấn công này rất tinh vi, kết hợp sử dụng cả social engineering, 0-day exploits. Các kỹ thuật được lựa chọn để tấn công mục tiêu cụ thể. Mạng Ghostnet xâm nhập hơn 103 quốc gia và 1,300 máy tính. Con số 1300 máy tính là nhỏ bé so với những mạng botnet hàng triệu máy, nhưng quan trọng vì hơn 1/3 số này là những mục tiêu nhạy cảm bao gồm các văn phòng đại sử quán, lãnh sự quán, trung tâm nghiên cứu công nghệ cao. Có thể thấy rõ mục tiêu chính của mạng này là ăn cắp thông tin có giá trị cao và thông tin tình báo.

Câu hỏi đặt ra là VN cần phải làm gì để chuẩn bị. Tôi nghĩ cần phải bắt tay ngay vào làm một số việc sau:

Thành lập bộ phận chuyên môn về chiến tranh mạng, dần phát triển nhân lực để có thể thực thi cả 2 nhiệm vụ tấn công và phòng thủ.
Đưa an ninh thông tin và chiến tranh mạng vào chương trình đào tạo của học viện kỹ thuật quân sự và một số trường kỹ thuật lớn.
Đánh giá lại toàn bộ mức độ quan trọng của các hệ thống thông tin trong chính phủ, phân cấp lại hệ thống mạng thành nhiều tầng nếu cần.
Xây dựng một hướng dẫn về các quy tắc an toàn thông tin, phổ biến về nguy cơ an ninh thông tin tới các cá nhân / tổ chức sở hữu thông tin quan trọng. Cần tích cực tuyên truyền để các cá nhân tổ chức đó hiểu và biết về những cuộc tấn công đang xảy ra và những nguy cơ tiềm ẩn.

Thông tin liên quan:

http://vietnamnet.vn/vn/cong-nghe-thong-tin-vien-thong/24354/nguy-co-chien-tranh-mang-dang-tang.html

http://www.wired.com/threatlevel/2009/12/cyber-security-czar/

http://ubuntuone.com/p/Zpe/

http://ubuntuone.com/p/xnY/

http://www.mumbaimirror.com/index.aspx?page=article§id=4&contentid=200903302009033004035953395e5e47d

http://www.msnbc.msn.com/id/43269873/ns/technology_and_science-security/t/us-raises-google-hack-allegation-china/

VN-S3C opens “Sec Blog”

terovn — Sun, 12 Jun 2011 02:19:44 +0000

Nhóm VN-S3C xin thông báo khai trương mục blog để các thành viên đăng các bài viết liên quan đến security và CNTT.

Blog cũng open với các độc giả. Các bạn có thể submit bài viết để chúng tôi kiểm duyệt trước khi đăng.

Các dạng bài viết mà chúng tôi khuyến khích:

Tutorial về các khái niệm CNTT / Security
Cảm nhận / phân tích một sự kiện CNTT / Security
Cảm nhận / phân tích về các sản phẩm CNTT / Security phổ biến
…

Hãy cùng chúng tôi “make internet a better place”. Tất cả những gì bạn cần là sự nhiệt tình và ý thức muốn học hỏi!

Auto Reverse Engineering of Data Structures from Binary

nguyenhai — Sat, 28 May 2011 15:08:14 +0000

Extracting programs’ data structures to understand their syntactic and semantic meanings is very important for forensic and security purposes. Previous methods used to extract a program’s data structures often have shortcomings:

1. Requiring the program’s source code

2. Using static analysis

In the paper, the authors propose a prototype system called “REWARDS” which helps revealing programs’ data structures from binaries. The system is based on dynamic analysis and can recovers the syntax and semantics of the program’s data structures.

Slide:Automatic Reverse Engineering of Data Structures from Binary