Security Professionals - ipfw add deny all from eindgebruikers to any

[Verwijderd]

18-08-2014, 16:19 door Illnl, 9 reacties
[Verwijderd]
Reacties (9)
18-08-2014, 18:08 door Illnl
Dank u, dat is weer wat lees werk!
19-08-2014, 07:52 door Anoniem
koop een laptoppie van 300,- en onderzoek m lekker daar. Als je toch niet weet hoe je malware zich gedraagt in of buiten een vm, dan moet je toch beide smaken aan kunnen bieden.
Malware onderzoek, als je het goed doet, kan zeer tijdrovend zijn, dus gooi in die tijd een paar krantjes in de buurt en voor je het weet heb je die 300,- ;-)
19-08-2014, 10:46 door Anoniem
Waarom heb je de originele post verwijderd?
Beetje jammer, misschien heeft een ander ook iets aan de informatie uit het topic namelijk.


Een VM is helaas niet meer geschikt voor een volledige malware-analyse, een behoorlijk deel van de moderne malware (vooral de interessante) is inderdaad in staat om systeem-virtualisatie te herkennen.


Het beste is om, zoals anon 07:52 al aangeeft, een apart systeem te gebruiken om malware te analyseren. Ook is het daarbij aan te raden niet hetzelfde netwerk te gebruiken voor je malware-analyse als voor regulier gebruik, je zou niet de eerste zijn die door een ISP achter een muurtje wordt gezet (ik spreek uit ervaring ;p).

Ikzelf gebruik een oude desktop met externe HDD, deze is namelijk makkelijk uit te lezen door een ander systeem zonder veel risico. Images hebben hetzelfde probleem als een VM, vanuit een gecompromitteerd systeem is geen enkele handeling 100% te vertrouwen. Dus óf je gebruikt 2 gescheiden systemen, óf je gebruikt een bootable OS (live cd).

Het andere voordeel van een specifiek systeem is dat je er makkelijk een sniffer aan kan hangen om netwerk-verkeer te analyseren, ook dit is iets wat niet met 100% zekerheid vanuit een gecompromitteerd systeem te doen is.


Veel plezier, en pas op met wie je gaat chatten ;)
19-08-2014, 11:38 door Anoniem
Vervelende gewoonte : Originele topic post tekst verwijderen


Je wordt er onderhand flauw van; snelle poster-vragen (nieuw account/nieuwe naam, 0 reactie/deelname historie), antwoorden waar reageerders energie in hebben gestoken en dan de originele vraag weer verwijderd als de buit binnen is.
Nog vervelender wordt het als niemand in de reacties de originele post heeft gequoted.

Er blijft dan een mank topic achter, als reageerder blijft het gevoel dat je voor Jan "X" in het luchtledige en voor niets hebt zitten schrijven.
Een nieuwe (verlate) lezer vraagt zich naar aanleiding van de antwoorden in vertwijfeling af wat de originele vraag nou zou kunnen zijn geweest.

Mocht je toch willen weten wat de originele vraag tekst was, dan kan het bijvoorbeeld zo ( mits je er snel genoeg bij bent).

Google scant security.nl inmiddels ongeveer elk uur en maakt daar een cache van aan in Google cache (optie onder het pijltje achter de zoekresultaten).
Ben je later dan haal je het niet meer uit de cache.
Niet helemaal waar; terughalen van de tekst kan in stapjes voor als je het echt wil weten wat nou de originele vraag was.


Aanpak :

- Poster heeft het account nog niet verwijderd en gereageerd op de eigen post, dat levert in ieder geval de titel van de posting op onder het reactie overzicht (van in dit geval 1 reactie "Recente reacties, 18-08-2014, Re: obscuring van VM omgeving voor malware")

- Zoeken op de gevonden postingtitel in Google levert een stukje preview tekst op van de originele post.

- Begin daarna steeds een nieuwe zoekopdracht met een deel van de laatst weergegeven zin uit de google preview tekst van het zoekresultaat totdat je de hele tekst bijelkaar hebt gesprokkeld.
Een geduldige klus bij lange teksten, zo gedaan bij een korte vraag (die worden ook het vaakst verwijderd).


Voorbeeld :

obscuring van VM omgeving voor malware

Security.nl ?- 1 uur geleden

Soms lees je over malware die zich anders kan gedragen in een VM en over malware die uit VM's kan breken. Ik heb wat afgezocht en heb al een aardig beeld ...

Ik heb wat afgezocht en heb al een aardig beeld van wat ik moet op zetten, toch zit ik even met een vraagstuk. Hoe kan ik het gebruik van virtuele omgevingen ...

Hoe kan ik het gebruik van virtuele omgevingen obscuren voor malware? Dit zodat ik de malware in zijn originele staat kan onderzoeken. Mocht ik foute ...

Dit zodat ik de malware in zijn originele staat kan onderzoeken. Mocht ik foute zoektermen hebben gebruikt op Google, hoor ik het graag en dan ga ik weer ...

Mocht ik foute zoektermen hebben gebruikt op Google, hoor ik het graag en dan ga ik weer vrolijk verder lezen.


Opmerkingen :

Misschien wordt het tijd om wat vaker in het begin van het topic direct de gehele vraag te quoten in de reply.

Om het netjes te doen kan je dan in de quote de naam of het pseudoniem van de persoon weglaten. Dat is dan wel zo symphatiek.

Aan de andere kant kunnen Anoniemen hun topicvraag of antwoorden ook niet verwijderen.
Een oplossing voor verwijderde account zou kunnen zijn dat de vraag blijf staan (mits er een reacties op zijn gekomen) maar dat alleen de accountnaam van die persoon wordt verwijderd bij de topic tekst.
Blijft nog steeds het risico bestaan dat de naam blijft staan in een quote reply.

Kortom, het verwijdersysteem heeft zo zijn haken en ogen.
Deze gevonden oplossing met overwegingen wilde ik graag even 'security.nl-sharen'.
25-08-2014, 09:52 door Anoniem
@redactie

Als jullie iets verwijderen, zorg er dan ajb voor dat ALLES daarvan is verwijderd en niet de tekst verwijderd er blijft staan, wordt door mij als heel irritant ervaren, ook als er een reactie wordt verwijderd.
Geeft mij het idee dat jullie censureren waar ik sowieso al geen voorstander van ben en ik steeds vaker zie gebeuren.
groet, piet lut
25-08-2014, 11:40 door Anoniem
Door Anoniem: @redactie

Als jullie iets verwijderen, zorg er dan ajb voor dat ALLES daarvan is verwijderd en niet de tekst verwijderd er blijft staan, wordt door mij als heel irritant ervaren, ook als er een reactie wordt verwijderd.
Geeft mij het idee dat jullie censureren waar ik sowieso al geen voorstander van ben en ik steeds vaker zie gebeuren.
groet, piet lut
Beste piet,

Het is niet de redactie, maar de topicstarter zelf die het bericht verwijderd heeft.

Het enige dat ik wel prettig zou vinden in het kader van transparantie en 'opvoeding v/d gebruiker' is dat als de redactie zaken verwijderd / aanpast, hier een reden voor wordt gegeven. Al is het maar "wegens overtreding van artikel 2a v/d ToU of zoiets."
25-08-2014, 11:46 door Spiff has left the building
@ Anoniem 09:52 uur,

Je ziet over het hoofd dat een gebruiker zelf zijn/haar bijdragen kan verwijderen (N.B. ingelogd geposte bijdragen van een gebruiker met een account, niet oningelogd geposte "Anoniem" bijdragen).
Goeie kans dat daarvan hier sprake was, dat de gebruiker zelf de bijdrage heeft verwijderd, en niet de redactie.

En het zelf door een gebruiker verwijderen van reacties (of zelfs een compleet account met alle reacties) dat is inderdaad irritant, zoals Anoniemen 19-08-2014, 10:46 en 11:38 uur ook al aangaven.
26-08-2014, 09:56 door Anoniem
Wel het onderwerp is toch interessant voor velen en de reacties zijn dus zeker niet "voor de kat z'n viool" gepost.
VMs zijn onveilig waar het malcode met een network component bevat. Dat propageert gewoon naar waar het wil.
VM instructies virtualizeren voorr bepaalde platforms lukt maar gedeeltelijk.
Als in-browser beveiliging is de combinatie VM met script-blocking onder alle omstandigheden aanbevelenswaardig.

luntrus
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.