Ferdi's Weblog

Lotusphere 2010 abstract

2009-09-30T14:46:00.004+02:00

Ik heb vandaag een absract ingediend voor de Lotusphere 2010.
Ben benieuwd of mijn sessie op de agenda wordt gezet.
Doordat het aantal woorden dat gebruikt mocht worden, beperkt was, heb ik niet helemaal kunnen beschrijven wat ik wilde. Ik zag ook achteraf dat mijn opmerking over web 2.0 en enterprise 2.0 na het verwijderen van twee zinnen een beetje verband met de rest van het abstract mist...

Hieronder het abstract:

Session abstract/description

This BoF focusses on web application security.

The Open Web Application Security Project (OWASP) is a worldwide free and open community focused on improving the security of application software. Their mission is to make application security visible, so that people and organizations can make informed decisions about true application security risks.

Web 2.0 and Enterprise 2.0 applications introduce a whole new palette of web application vulnerabilities.

Awareness is the first step into secure coding. Secure Software Development Lifecycle Management, Penetration testing and code reviewing will asure project succeses. We will discuss all these topics after a short introduction of the OWASP project.

Please outline why it is important that this session be included on this year’s Lotusphere agenda

This BoF should be included on this year's Lotusphere agenda because web application security is an important subject and somewhat underexposed on most every Lotusphere episode.

It's a general problem. Security is mostly a closing entry to every software development project. Developers are urged to code functional features first. When theres time left, other non- functional requirements get some attention.

Since security is not an integral part of the development lifecycle, security is not implemented and gets fixed when a user finds a security bug or even worse when an application gets hacked.

The Open Web Application Security Project (OWASP) is a worldwide free and open community

focused on improving the security of application software. It's projects and tools are highly valuable to every Lotus/ IBM software based project and infrastructure.

The guide is an exellent developers guide to secure coding. The Top Ten is a list of the ten most common and exploited vulnerabilities. This list is mainly used as an awareness tool for management, but also as a baseline for security tests. Tools like WebScarab and WebGoat help Java developers to analyse their code and learn from common coding mistakes.

This BoF will start with a short introduction of OWASP and some of it's projects. Then a general discussion about web application security, secure development lifecycles and testing is facilitated.
The OWASP life cd is handed out to every attendee.

My Windows pc goes out the door...

2008-11-23T23:38:00.000+01:00

Ik zit erover te denken om mijn Wondows pc te verkopen...
De laatste maanden heb ik hem bijna niet gebruikt.
En sinds "less is more" will ik van alle overtollige apparatuur af.
Ik kan altijd nog Windows in een virtuele omgeving op mijn MacBook gebruiken.

Ik heb een Yubikey geloot!

2008-11-23T23:25:00.006+01:00

Vandaag ontving ik een email van Brenno de Winter van de beveiligingsupdate podcast omdat ik een Yubikey heb geloot.
Super!
Die gaan we de komende tijd eens flink aan de tand voelen...

Compromising electromagnetic emanations of wired keyboards

2008-10-22T13:48:00.001+02:00

La Pointe webcam

2008-10-18T23:34:00.000+02:00

La Pointe 2008

2008-10-18T21:37:00.000+02:00

La Pointe

Lancia Flavia vs Alfa brievenbus

2008-08-28T20:18:00.000+02:00

OWASP Local Chapter Meeting

2007-06-25T15:48:00.000+02:00

Afgelopen vrijdag ben ik naar de bijeenkomst van de OWASP Local Chapter in Brussel geweest.

Op de agenda stond:
1. Update on Internet Attack Statistics for Belgium in 2006
2. Protecting Web Applications from Universal PDF XSS
3. Buffer Overflows on .Net and Asp.Net

Hillar Leoste van Zone- H kon niet vermoeden dat een Brusselse defacer hem zou helpen met wat extra aandacht voor dit onderwerp...
De website van de Federale Politie was namelijk spontaan gedefaced!
De kwajongen had waarschijnlijk een mooi spoor achter gelaten, want een dag later was hij al opgepakt.

Overigens had ik zelf ook nog een kleine bijdrage in de vorm van een XSS vulnerable website van Microsoft in Belgie. Die ook nog wat M$ Access SQL Injection problemen heeft. Zo bleek uit een anonieme bijdrage op mijn weblog... Ik zal Michael nog eens adviseren de website aan te laten passen:)

My first Lotus Expeditor for devices app...

2007-03-23T01:30:00.000+01:00

Lotus Expeditor promo, of...

2007-03-22T23:32:00.000+01:00

Lotus Notes Killbot

2007-03-22T22:46:00.000+01:00

"Ladies and gentlemen, my killbot features Lotus Notes and a machinegun...
It's the finest available"

SEC sues firm for hacking company news releases

2007-02-28T15:15:00.000+01:00

Het aanpassen van financiële nieuwberichten kan grote gevolgen hebben voor de beurskoers van een aandeel. Maar het is natuurlijk ook mogelijk om te handelen met voorkennis als je financiële nieuwsberichten kunt lezen voordat ze gepubliceerd worden.
Matthew Charles Stokes wordt verdacht $ 2.7 mio te hebben verdiend door te handelen met deze onrechtmatig verkregen informatie.

Yahoo Pipes - Rewiring the Web

2007-02-22T23:33:00.000+01:00

Yahoo Pipes!
Ongelooflijk wat Yahoo nu weer heeft ontwikkeld...

Een ontwikkel en produktieplatform om feed gebaseerde webdiensten te integreren tot nieuwe feed gebaseerde webdiensten.
Alleen het ontwikkelplatform opzich is al een belevenis. Een state of the art browser fat client applicatie.

Mijn eerste stappen hebben een ge-aggregeerde Lotus Notes Web Log feed opgeleverd.
Maar dat zal zeker niet het laatste zijn wat ik aan elkaar gesoldeerd heb:)
Nu het resultaat nog in een Windows Vista Sidebar Gadget en ik kan het nieuws op mijn bureaublad lezen...

Het overzicht van de samengevoegde Lotus Notes gerelateerde weblogs:

Ed Brill
http://www.edbrill.com/ebrill/edbrill.nsf/blog.rss

Alan Le Pofsky
http://www.alanlepofsky.net/alepofsky/alanblog.nsf/blog.rss

OpenNTF All Categories
http://www.openntf.org/mainbar.nsf/rssfeed.xml?OpenPage

Lotus Geek (Rocky Oliver)
http://www.cafeshops.com/lotusgeek

Codestore
http://www.codestore.net/store.nsf/rss.xml

DominoBlog
http://www.dominoblog.com/dominoblog/dblog.nsf/feed.rss

Declan Lynch
http://www.qtzar.com/blogs/qtzar.nsf/stories.xml

ADSL Provider Migratie en Gadgets

2007-01-18T01:31:00.000+01:00

Vandaag is mijn internetverbinding gemigreerd van Planet Internet naar XS4ALL. Ik heb over een hoop problemen gelezen op diverse forums, maar ik heb absoluut niets te klagen. In ieder geval over het technische deel van de migratie. Ik moet nog even wachten tot begin februari om te zien dat Planet ook echt de automatische incasso stopt...

De technische migratie stelde niets voor. De configuratie van mijn Wireless ADSL Modem Router heb ik op twee plaatsen aangepast. De Wan verbinding moest aangepast worden omdat er nu met een XS4ALL userid en password ingelogd moet worden en in het LAN gedeelte moest ik de DNS servers van XS4ALL opgeven. Dan een ipconfig /registerdns en klaar is Kees!

Appeltje, eitje, of niet?!
Het was ook wel grappig om te zien hoe het modem de verbinding ging opbouwen. Eerst de ADSL verbinding, SHOWTIME en vervolgens verscheen mijn nieuwe ip address.
Het zal er wel degelijk mee te maken hebben dat ik naar een "friendly" provider ben overgestapt, maar het verliep echt vlekkeloos!

Vanwege het nieuwe ip address moest ik nog wat wijzigingen in de DNS configuraties van een aantal domeinen die ik zelf host op mijn MAC Mini aanpassen. Goede documentatie is daarbij het halve werk. Even inloggen op een paar webconsoles van de diverse service providers, ip address aanpassen, testen en klaar...

Toen werd het tijd voor mijn nieuwe VOIP gadget. De Siemens SL75 WLAN. Ook daarvan viel de configuratie me mee. Aanmelden op het wireless lan, ip address configureren en via de webinterface de configuratie afmaken. Er zijn wat security issues, maar wat is het een mooi apparaat. De VOIP wereld openbaard zich nu pas echt voor me. Draadloos VOIP'en, SUPERRRRR! Eens kijken of het me ook echt gaat lukken om volgende week gratis vanuit het buitenland naar huis te bellen en vice versa.

Wordt vervolgd...

[Full Disclosure] Microsoft BeLux website gehacked...

2006-11-07T20:28:00.000+01:00

Gehacked is mischien wat overdreven gesteld, maar toch!

Ready for a New Day
Een vriend van me, Michael Kogeler, is Marketing Organisation Director bij Microsoft BeLux. a.s. Donderdag wordt er een groot evenement georganiseerd rondom de lancering van Windows Vista, 2007 Microsoft Office System en Exchange Server 2007. Het evenement wordt ondersteunt met een website. Die ik natuurlijk ben gaan bekijken omdat ik benieuwd was naar de agenda. Maar in een vorm van beroepsdeformatie heb ik het ook een beetje onderworpen aan een kleine security test...

Cross Site Scripting (XSS)
De website www.readyforanewday.be is in Flash gebouwd en wordt gehost op het Windows 2003 server platform met de IIS 6.0 webserver.
De website is gebouwd door Proximity, onderdeel van het BBDO netwerk. Helaas zitten er Cross Site Scripting problemen in het formulier waarmee collega's uitgenodigd kunnen worden voor het evenement.
Er wordt geen input en output validatie uitgevoerd waardoor het mogelijk is HTML en JavaScript in de velden in te voeren die nog wordt uitgevoerd ook!
Zo heb ik een uitnodiging van Steve Ballmer voor Michael gemaakt...
(link naar de printscreen)

[Full Disclosure]
Als rechtgeaarde "whitehat" moet ik natuurlijk laten zien hoe de hack in elkaar steekt en wat eraan gedaan kan worden om misbruik verder te voorkomen.
Het probleem zit o.a. in het "Invite a colleague" formulier. Bij het testen op XSS vulnerabilities begin ik meestal met het invoeren van een eenvoudige HTML of JavaScript tag. In dit geval in het veld First name. Zet daar b.v. tussen de h1 tags een tekst in en klik op de preview knop.
Als je dan de tekst in grote dikke letters ziet, weet je dat de input klakkeloos wordt overgenomen en wordt uitgevoerd door de webserver. Feitelijk kun je dan alle html tags gebruiken om de website te verbouwen...
Ik ben dat vervolgens gaan uitbouwen met een iframe waarin ik een foto van Steve Ballmer open met een tekst waardoor het lijkt dat Michael door Steve himself wordt uitgenodigd...

Hoe voorkomen?
De oplossing bestaat uit het valideren van de input. Door HTML tags te filteren kom je al een heel eind. Beter nog is het gebruik van een regular expression waarmee alle mogelijke opties ongedaan gemaakt kunnen worden.
Adobe beschreef het probleem al in 2004.
Nu maar hopen dat Proximity het probleem snel oplost. Microsoft heeft een hoop geinvesteerd in haar security imago en door dergelijke domme fouten, kunnen ze bijna weer opnieuw beginnen...

Ajax (in)Security

2006-10-24T15:43:00.000+02:00

In een presentatie over web applicatie security van de SNUG, besprak ik ook AJAX. De combinatie van bestaande programmeertechnieken om rijkere client applicaties te bouwen heeft een potentieel security probleem in zich.
In een webcast van SPI Dynamics wordt dat ook nog eens benadrukt.

Nieuwe tool voor de hacker: Google's Code Search

2006-10-23T18:34:00.000+02:00

Google Hacking is een bekend fenomeen geworden waarbij hackers de zoekfunctionaliteit van Google Search gebruiken om zichzelf toegang te verschaffen tot data.
Daar is nu een krachtige tool bijgekomen, Google Code Search.
Het is een searchengine waarmee door sourcecode gezocht kan worden.

Google geeft in de FAQ aan dat het "publicly accessible source code hosted on the Internet" indexeerd voor deze service. Maar net als bij de eerdere Google Hacking voorbeelden zit hem daar juist de pijn... Want het indexeert ook backups die niet verwijderd zijn of andere code waarvan het niet de bedoeling is dat iedereen die kan inzien. Zo kan het voorkomen dat copyrighted code wordt weergeven...

Het is een behoorlijk geavanceerde service. Het is bijvoorbeeld mogelijk regular expressions te gebruiken in de zoekopdracht. En de engine detecteert om welke programmeertaal het gaat...
De resultaten worden in Google's Search Data Api xml feed aangeboden zodat ze geïntegreerd kunnen worden in een ontwikkeltool als Eclipse.

Zelf proberen?
Zoek maar een op security hole of security todo...

Assa Abloy in de Veerhaven te Rotterdam

2006-06-04T22:40:00.000+02:00

Vandaag ben ik even gaan kijken in de Veerhaven.
De evenementen rond de Volvo Ocean Race beginnen morgen dus wilde ik even rustig rondlopen in de haven.

De VO 70's liggen nog ergens op de Noordzee te dobberen, maar er lag al wel een oud gediende uit de VOR van 2001- 2002 in de haven. De Assa Abloy, een VO 60 die als tweede eindigde in de vorige editie van de race.
Waarschijnlijk gaat ze deelnemen aan de Vintage Races.

De uitslag van de VOR 2001- 2002:
1 Illbruck Challenge
2 ASSA ABLOY
3 Amer Sports One
4 Team Tyco
5 News Corp
6 Djuice Dragons
7 Team SEB
8 Amer Sports Too

De Assa Abloy won, net als de Illbruck Challenge, 4 etapes!

Na wat speuren op het web, blijkt de Assa Abloy, gedoopt: Elisabeth Rehn, te koop.
Voor eur. 475.000,- kun je je VO 60 project beginnen!... Bijkomend voordeel de delivery is al geregeld.

Puerto Thomas Maestre

2006-05-15T23:18:00.000+02:00

La Manga

2006-05-14T19:36:00.000+02:00

Mijn favoriete surfspot op La Manga is nu in Windguru opgenomen.

Mac Mini als webserver - deel 4

2006-03-26T23:37:00.000+02:00

Joomla! draait nu op de Mac Mini. De komende weken zal ik een template gaan ontwikkelen en de Ceberus Helpdesk applicatie gaan intergreren.

Mac Mini als webserver - deel 3

2006-03-23T08:37:00.000+01:00

De Mac Mini webserver is nu operationeel. Ik heb XAMPP van Apache Friends gebruikt om een standaard set te installeren.
Deze set bestaatuit:
Apache, MySQL, PHP & PEAR, SQLite, Perl, ProFTPD, phpMyAdmin, OpenSSL, GD, Freetype2, libjpeg, libpng, zlib, Ming, Webalizer, mod_perl, eAccelerator, phpSQLiteAdmin.

De installatie verliep niet geheel vlekkeloos. Zo klopte b.v. het commando om XAMPP te beveiligen niet. Op de website staat het commando: /opt/lampp/lampp security maar dat is het commando voor Linux. Onder MAC OS X moet het zijn: /Applications/xampp/xamppfiles/mampp security.

Nu alles draait kan ik het gaan testen. Zo wil ik weten wat de performance is van de website onder http en https. En ik wil het stroom verbruik onder de verschillende belastingniveaus meten.

-wordt vervolgd-

Mac Mini als webserver - deel 2

2006-03-20T17:26:00.000+01:00

Tools voor het hosten van websites op de Mac Mini:
iTools van Tenon Intersystems;
En er is een handleiding die stap voor stap de installatie van Apache, MySQL en BBPHP beschrijft.
Wordt vervolgd...

Mac Mini als webserver

2006-03-19T10:25:00.000+01:00

Na een aantal weken zoeken naar de optimale webserver hardware voor thuis, heb ik gekozen voor de Mac Mini.
Naar mijn mening levert de Mac Mini de beste prijs/ prestatie.
Het is een energie zuinige, compacte en complete oplossing.
Tenon Intersystems heeft februari vorig jaar een onderzoek gedaan naar de mogelijkheden van de Mac Mini als webserver. De uitslag was op z'n minst opvallend: "The Mac mini topped out at 1239 hits per second, yielding 2502 Kbytes/sec of data served, while the dual-G5 held up 2174 hits per second, yielding 4387 Kbytes/sec."
Dit heeft de ISP macminicolo doen besluiten een commeciele dienst op basis van de Mac Mini aan te gaan bieden.
De komende weken zal ik mijn installatie online brengen via: https://extranet.favroom.nl

Ma's Cruise

2006-02-15T20:33:00.000+01:00

Cruise
Mijn moeder vertrekt morgen naar Barbados voor een cruise door het Amazone gebied.

Fred Olsen Cruise Lines
Op de website van Fred Olsen Cruise Lines vond ik uitgereidde informatie en een mooie kaart.
Zo is er informatie te vinden over alle plaatsen die aangedaan worden en de excursies die gemaakt kunnen worden. En natuurlijk informatie over het ship de Braemar.
Een mooi schip al vind ik de klassieke lijnen van de BlackWatch toch wel mooier.

Shiplocator
De website heeft ook een verrassende feature, de shiplocator. De schepen zijn via GPS te volgen.
Als je de source bekijkt van de pagina met de shiplocator, zie je dat de applet van purplefinder.com komt. Ook het userid (foc) en password (freols) staan in de source. Op zich niet zo spannend, maar met die informatie kun je dus inloggen op de site en op een andere manier de informatie van het schip en zijn positie raadplegen. De applet wordt ook veel groter weergegeven.

USB stick

2006-02-03T14:16:00.000+01:00

Vorige maand zijn er twee USB memoy sticks gevonden met staatsgeheimen. Beide keren ging het om documenten van het ministerie van Defensie.
De ministeries die werken met staatsgeheimen hebben procedures voor het omgaan met staatsgeheimen en USB memory sticks voor de opslag van data.
Ze gebruiken speciale laptops waarmee data encrypt op USB sticks opgeslagen kan worden. Ze gebruiken ook kleurgecodeerde USB sticks. Rode sticks bevatten staatsgeheimen en mogen het kantoor niet verlaten, zwarte sticks bevatten encrypte staatsgeheimen en mogen de kantoren wel verlaten.
De gevonden sticks waren persoonlijk eigendom van degene die hem verloren had. De medewerkers van het ministerie hadden zich dus niet aan de procedures gehouden!

LotuSphere 2006 - Dinsdag 24 januari

2006-01-24T16:48:00.000+01:00

In de ochtend heb ik de volgende sessies gevolgd:
- HND 105: IBM WebSphere Portal Security Hands- on Lab
- BP 103: Managing the Systems Development Lifecycle (SDLC) with IBM Lotus Notes and Domino

HND 105: IBM WebSphere Portal Security Hands- on Lab
Dit was een intensieve en diepgaande hands- on.
De installatie bestond uit:
WPS 5.1.0.1
Tivoli Directory Server 5.2

De taken die we moesten uitvoeren:
1. Security activeren.
- LDAP server starten vanaf de command prompt
- Helper file bewerken en met wpsconfig laden
- LTPA configuratie controleren
- LDAP configuratie valideren en laden

2. USER_DESC tabel controleren
We maakten gebruik van Cloudscape, dus met de Cloudscape tools controleerden we de tabellen.

3. WMMUR configuratie aanpassen
Omdat de EJB container komt op zodra de server gestart wordt, dus de security server id moet ge-authenticeerd worden. Om ervoor te zorgen dat dat gebeurd voordat de EJB container geladen wordt, kun je gebruik maken van de WMMUR dual path code.
Dit is geen eenvoudige taak en liep de eerste keer mis. De XML file, wmmWASAdmin.xml moet aangepast worden voordat de wmm.xml wordt aangepast.
In wmm.xml staan de searchbases voor de gebruikte groepen.

4. Gebruikersgroep toevoegen voor de portal gebruikers
Dit kan op verschillende manieren:
- LDAP administrator, door een gebruiker aan een bestaande groep toe te voegen
- WPS administrator, direct in de portal een gebruiker toevoegen
- LDIF import
Ik heb de laatste optie gekozen, want die leek me het best in een omgeving waar je meerdere portalservers hebt, cluster en je het beheer zover mogelijk wilt automatiseren.

Tot zover een opsomming van de uitgevoerde taken. Er waren er nog meer, maar daar was geen tijd meer voor, dus die maak ik vanmiddag af.
Wat me opviel is dat het beheer van portalgebruikers niet in WAS kan. Zover gaat de integratie dus nog niet. Dat was ook al genoemd in de WPS security sessie van gisteren, maar nu heb ik dat dus kunnen zien...

LotuSphere 2006

2006-01-20T16:40:00.000+01:00

Dit jaar nogal laat besloten om toch naar de LotuSphere in Orlando te gaan.
Gelukkig kan ik logeren bij de Appligate crew, dus dat scheelt weer een hotel.
Ik ga een dag eerder als de anderen omdat de Martinair vlucht op zaterdag vol zit.
Dat geeft me meteen de mogelijkheid om zaterdag al de Premium Outlet Store te overvallen...

Dit jaar wil ik me focussen op de volgende onderwerpen:
- Security
- Avaiability
- WebSphere/Portal/Domino intergratie

Ik zal proberen hier iedere dag een verslag te posten van de sessies die ik gevolgd heb.

Microsoft Sued Over Alleged Xbox 360 Glitch

2005-12-09T08:17:00.000+01:00

LOS ANGELES (Reuters) - A Chicago man who bought Microsoft Corp.'s (MSFT.O: Quote, Profile, Research) new Xbox 360 has sued the world's largest software maker, saying the new video game console has a design flaw that causes it to overheat and freeze up.

The proposed class action claims that in Microsoft's bid to gain share in the $25 billion global video game market, the company was so intent on releasing the Xbox 360 before competing next-generation machines from Sony Corp. (6758.T: Quote, Profile, Research) and Nintendo Co Ltd. (7974.OS: Quote, Profile, Research) that it sold a "defectively designed" product.

Robert Byers, who brought the suit, said the power supply and central processing unit in the Xbox 360 overheat, affecting heat-sensitive chips and causing the console to lock up.

Microsoft spokeswoman Molly O'Donnell on Monday said the company does not comment on pending litigation.

Complaints about the problem surfaced quickly on gaming enthusiast Web sites after the Xbox 360 debuted on Nov. 22.

Console owners reported that some systems had crashed during regular use as well as during online game play using the Xbox Live service. Problems included screens going black and the appearance of a variety of error messages.

At the time O'Donnell told Reuters: "We have received a few isolated reports of consoles not working as expected."

She declined to say how many reports Microsoft had received and said that calls reporting the issue to the company represented a "very, very small fraction" of units sold.

The lawsuit, filed on Friday in federal court in Illinois, seeks unspecified damages and litigation-related expenses, as well as the replacement or recall of Xbox 360 game consoles.

© 2005 Reuters Limited. All rights reserved

Postbank weer gevist!

2005-11-24T16:57:00.000+01:00

Vanochtend ontving ik op mijn prive en zakelijk emailadres weer een Postbank Phishing email.

Nadat ik op de link klikte, werd de Postbank zakelijk website geopend en daarop een pop- up window met een formulier waarop o.a. TAN codes gevraagd werden...
Het ziet er allemaal weer aardig betrouwbaar uit, bahalve de tekst in het pop-up window, daar zit een flinke spelfout in, die bij de gemiddelde gebruiker toch wat argwaan moet wekken. "Verwelkoom naar Postbank.nl".

De eigenschappen van het pop- up window geven een ge-encodeerde url: http://www.postbank.nl_w0d5u8.c8n.3ju9q0q.orhacv.pop3.ru/index2.html
pop3.ru Wordt dus misbruikt voor het hosten van dit Phishing form. Net als de vorige keer wordt er dus een website in Rusland gebruikt om de aanval te plegen...

Als je de source bekijkt van het pop-up window zie je dat een formulier voor een webcounter wordt misbruikt: http://www.pochta.ru/regform.php?rid=hosting

CBK Review Seminar: Day 1

2005-11-01T22:50:00.000+01:00

Vandaag is het dan zover... De eerste dag van het CBK Review Seminar op weg naar de CISSP certificatie.

De cursusleider is een doorgewinterde canadese security specialist, John C. Glover.
Hij is naast CISSP ook CISA en CMC gecertificeerd. Praat met het grootste gemak de slides aan elkaar gelardeerd met een dosis humor.
Dat is wel zo prettig want we hebben een hoop stof te verwerken.

Vandaag hebben we de eerste twee domeinen behandeld, Information Security Management en Access Control Systems en Methodology. De domainen worden behandeld aan de hand van de 5 Functional Areas:

Information Protection Requirements
Information Protection Environment
Security Technology and Tools
Assurance, Trust and Confidence Mechanisms
Information Protection and Management Services

Het eerste domein is van belang om als security specialist het hoger management, "the Mahogany roll" te kunnen adviseren op het gebied van security. Het tweede domein behandeld een hoop technologie, IDS, PEN testing, Single Sign On, etc.

Ik heb een aantal url's waarneer gerefereerd werd, hieronder opgenomen:

CCCure.org een portal met een hoop CISSP resources;
De RBAC (Roles Based Access Control) pagina van het NIST;
Software Engineering Body of Knowledge;
ASIS, Security Portal;
Een pagina met een goede beschrijving van Distributed Reflection DOS Attack, op een site die met die techniek is aangevallen;
De WarDriveMap van Nederland. Staat jou AccessPoint er ook op:)

Ik sluit af met een beschrijving door John van een bekende handeling: "The Three Finger Salute" Ctrl- Alt- Delete!

HP Digital Sender 9100C

2005-10-05T00:05:00.000+02:00

Onlangs heb ik een HP Digital Sender 9100C in mijn bezit gekregen. Het is een kleuren netwerkscanner met een automatic document feeder zodat je documenten van zo'n 50 pagina's in één keer kunt scannen en naar verschillende bestemmingen in het netwerk kunt versturen.
Ik ken het apparaat al jaren en heb het bij verschillende (grootschalige) projecten ingezet. Maar nu ik er eentje zelf heb, wil ik mijn archief en documentenstroom gaan digitaliseren.
Na de aansluiting en configuratie ontdekte ik toch al snel een paar eigenschappen die me niet zo aanstonden bij het gebruik op mijn werkplek. Hij maakt erg veel lawaai. Het geruis is afkomstig van de harddisk en de fan. Verder staat de signature in de emails die het aparaat verzend me niet aan. Steevast wordt daarin de url van HP opgenomen.

Fan
Het geluidsprobleem denk ik op te lossen door de fan te vervangen. Er zit nu een DC fan van Sanyo Denki in, type: DC Pico Ace 25, model: 109R0624MH403. MH geeft multispeed aan, maar het operating system van de Digital Sender maakt daar geen gebruik van. Er bestaat geen 'sleep' optie in het configuratie menu.

Harddisk
Ook de harddisk maakt teveel lawaai. Het is een Quantum Fireball lct 10 van 5Gb. Een 5400 toeren schijfje. Ik ga dus opzoek naar een schijf die veel minder lawaai maakt, maar ik zal eerst moeten testen of de schijf wel te vervangen is en of het operating system van de Digital Sender ook schijven met een andere capaciteit accepteert.

Operating System
Ik denk dat het OS gedeeltelijk embedded is. Het moederbord bevat een NEC chipset waarin waarschijnlijk een deel van het OS op een ROM is opgeslagen. Ik heb de harddisk gedemonteerd om een Ghost image te kunnen maken. Er staan 4 partities op de disk. 3 FAT 16 partities en één Linux partitie. 2 Van de 3 FAT 16 partities zijn kwa directory indeling gelijk. Ik denk dat één van de partities de voorlaatste configuratie bevat en de andere de actieve configuratie. Ik moet het image nog verder onderzoeken, maar ik begin met het naar een andere disk te schrijven en dan die andere disk in de Digital Sender te monteren om te zien of het OS ook disks met een andere capaciteit accepteert.

Signature
Toen ik de partities onderzocht vond ik ook de templates die worden gebruikt bij het verzenden van emails en faxen. Die kan ik dus gaan bewerken naar believen en weer op de partities plaatsen. Dan ben ik tenminste van de HP reclame af en kan ik daar een mooie disclamer o.i.d. opzetten.

Het reversed engineering/ tweak project krijgt nog een vervolg, dus kom nog eens terug om dat te lezen!

Op weg naar CISSP certificatie

2005-08-12T15:07:00.000+02:00

Vandaag heb ik me opgegeven voor het CISSP review seminar dat in november door (ISC)2 en het CIBIT georganisseerd wordt. In december zal ik het examen afleggen en hoop dan dus CISSP gecertificeerd te zijn.
Op mijn weblog zal ik de vorderingen en mijn ervaringen loggen.
Ik ben begonnen met de aanschaf van het boek: "CISSP All-in-One Exam Guide, Second Edition (All-in-One)". En ik heb me geregistreerd op de Security Talks CISSP Study Group.

Cross Site Scripting (XSS)

2005-06-29T07:55:00.000+02:00

In een training bij de leverancier van WebInspect, Itamon, werd Cross Site Scripting uitvoerig behandeld. De cursusleider gaf een aantal "leuke" voorbeelden. Sites van o.a. Halfords in Engeland en de Barclays Bank werden voorzien van afbeeldingen die je niet op die websites zou verwachten.
Om het fenomeen echt goed te begrijpen, ben ik opzoek gegaan naar websites die vulnerable zijn om vervolgens uit te proberen wat er allemaal mogelijk is. Bij het zoeken naar een vulnerable website ben ik uitgegaan van websites waar zoekfuncties worden aangeboden. Zo kwam ik op Funda.
Zoekfunctie op de homepage, h1 Hello World /h1 ingevuld en ja hoor, beet!
Zo zie je maar dat het niet zo moeilijk is om een site te vinden die vulnerable is. Het was de eerste site die bij me opkwam om te testen...

Social Engineering?

2005-06-07T11:20:00.000+02:00

Afgelopen zondag publiceerde De Telegraaf een artikel over een gestolen laptop van een Shell Pernis beveiligings medewerker. De laptop bevatte geheime informatie over o.a. de beveiliging van de raffinaderijen van Shell in Pernis. Informatie die we liever niet in de handen van terroristen zien...
In de rotterdamse editie van de Metro van gisteren valt te lezen dat het de grootste raffinaderij van europa is waar 416.000 vaten ruwe olie per dag worden verwerkt!
Nu maar hopen dat dit geen sterk staaltje Social Engineering is en dat het gewoon een stel laptop dieven waren die niet wisten wat er op de harddisk stond of niet bij de data kunnen. In ieder geval moet die beveiligingsmedewerker zich diep schamen, hij had die laptop nooit achter mogen laten in de kofferbak van zijn auto. Ook Shell zelf heeft hier natuurlijk een belangrijk aandeel in de beveiliging van de informatie. De data zou ge- encrypt opgeslagen moeten worden en als je b.v. een Thinkpad gebruikt kun je d.m.v. biometrische eigenschappen (vingerafdruk) de toegang beveiligen.

Postbank gevist - Deel II

2005-06-07T08:47:00.000+02:00

Omdat ik Lotus Notes gebruik om mijn email te lezen en Firefox om het web te browsen, werkte de Phishing link niet.
Als ik de email met Outlook lees en vervolgens de link met Internet Explorer open, werkt hij wel.
Ik heb een screenshot gemaakt van de Postbank pagina die wordt geopend en van de pagina waarop o.a. de TAN codes worden gevraagd.
Ook de sourcecode van de Phishing pagina heb ik opgeslagen zodat je kunt zien waar het gehost wordt en waar het form naartoe ge-emailed wordt.

Postbank doel van Phishers

2005-06-04T13:06:00.000+02:00

Vanochtend (09:51) ontving ik een email van ChareneBriel@postbank.nl. Als medewerker van de ING kreeg ik al argwaan toen ik de afzender zag, helemaal toen ik de email las!
Of ik even mijn Postbank Online access details wilde invullen op een webformulier...
Nu ben ik geen Postbank Online gebruiker, maar de email was duidelijk van een Phisher want de Postbank zou nooit vragen om die gegevens even in te vullen op een webpagina anders dan om in te loggen op de website. Dus heb ik de email meteen doorgestuurd naar een collega Security Officer van de Postbank, al was het maar dat 'ie een origineel zou hebben.
Toen de source bekeken.
De email is op Sat, 04 Jun 2005 02:50:46 +0000 verzonden met een Outlook Express email client (Microsoft Outlook Express V6.00.2900.2180) en werd door mijn emailserver ontvangen van: pool-71-96-226-54.dfw.dsl-w.verizon.net (de nummers zijn ook het ip- address van de verzendende emailserver) op: Fri, 3 Jun 2005 23:03:31 -0400 (EDT).
Meteen maar een telnet geprobeerd op port 25 om te zien of die mischien open stond voor anonymous relaying, maar niet. Dus waarschijnlijk gaat het om een gebruiker, aangesloten op het Verizon netwerk.
De bron van de email liet ook de link zien die gebruikt werd om te phishen:

"http://www.google.be/url?q=http://go.msn.com/HML/5/1.asp?target=
http://%61w%636%78s1%%2E%64a.rU%%%09/"target=_blank>
http://www.postbank.nl/
AYGZ8BJq8cxKK1D9DoueirV5sxskdUMyOIxxRH33bCxWehWWxr8b3700gu33195"

Kennelijk een website in het russische .ru top level domain.
Het is me nog niet helemaal duidelijk hoe de gebruikte website url, %61w%636%78s1%%2E%64a.rU%%%09, is ge-encode. Maar daar zal Google me wel bij helpen:)

Overigens stond er om 11:58 al een bericht op nu.nl.
Daar werd niet de afzender genoemd waarvan ik de email heb ontvangen. Er zijn dus meerdere varaianten...

Website van Les Patrons Cuisiniers gedefaced!

2005-06-04T12:08:00.000+02:00

Vorige week zondag was ik opzoek naar informatie over een restaurant en wilde dat doen via de website van Les Patrons Cuisiniers, een culinair samenwerkingsverband.
De homepage zag er wat anders uit dan ik had verwacht:

Interessant!
Dus ik bekeek de source en heb de gegevens over het domain opgevraagd bij de SIDN.
De website wordt gehost door WideXS en uit de source kon geconcludeerd worden dat er ook andere sites van WideXS gehackt waren.
Daarom heb ik een email naar de eigenaar van de website en naar WideXS gestuurd.
Alleen van de eigenaar van de website heb ik een dankbare reactie ontvangen omdat ze nog niet wist dat de website gedefaced was.
WideXS zal het wel niet aan de grote klok willen hangen...

ING Regatta 2005 Syndicate

2005-05-22T23:37:00.000+02:00

We hebben een team om de ING regatta 2005 te gaan varen!
Dus laat ik het maar meteen een werknaam geven, het ING Regatta 2005 Syndicate.
Alsof we aan de America's Cup gaan deelnemen:)
Suggesties voor de definitieve naam zijn welkom op: info@ferdinandvroom.nl
Het Syndicaat wordt geleid door schipper Theo Smits. Bekend wedstrijdleider en tacticus.
Het team is nog niet helemaal bekend, maar zal in ieder geval bestaan uit: Paul Brink, Jaco van der Meer en ik zelf.
Ons wapen wordt de Victoire 933 van Theo.
Ik zal een aparte pagina gaan wijden aan dit zeil syndicaat, dus kom regelmatig terug als je onze voorbereidingen wilt volgen en natuurlijk wilt meeproeven in onze zoete overwinning:)

Quinto Polillon

2005-05-20T15:46:00.000+02:00

Quinto Pollilon, een Gemini 52 Med van Joaquin Peñealver in de haven Thomas Maestre, La Manga Mar Menor, Spanje.

Grease Monkey, Freedom to Browse?

2005-05-19T01:19:00.000+02:00

Grease Monkey, een Firefox extension waarmee je de dhtml van een website kunt manipuleren zodat de content beter past bij je wensen, roept nogal wat verontruste reacties op.
Zo betwijfelt CNet of het wel veilig is om het te gebruiken. En Forester lijkt het einde van het world wide web te zien.
Gelukkig dat de meeste gebruikers het hoofd koel houden en er lustig op los gescript wordt.
Persoonlijk vind ik de verschillende add- removal scripts erg prettig en de Marktplaats.nl fix erg handig. Je kunt nu de foto's weer in een aparte tab bekijken.
Een website kan ook Grease Monkey proof gemaakt worden met een beetje script.
Laat het in ieder geval geen onderdeel worden van de discussie rond de browsers. Er is ook een Grease Monkey voor IE.

Internal Employees That Know a Better Way to Do Something

2005-05-18T10:43:00.000+02:00

Komt dit bekend voor?
In relatie tot de stelling dat het meerendeel van hack aanvallen van medewerkers te verwachten is...

"Ah yes, the employee who knows a better way. We all know them, and some of us have been that employee at one time or another in our lives. (Yes, I unfortunately include myself in this category.) These individuals are generally very knowledgeable and love to try new things, such as the latest wireless networking hardware or VPN technology - nothing wrong with this so far. The slogan of these employees, "It is better to ask forgiveness than permission," is similar to that of most teenagers througout the world.
Undaunted, they can add wireless data equipment and VPNs to the corporate network, attempting to increase functionality. Generally speaking, they don't spend extra time required to implement the system securely and almost never inform those responsible for the system. These little features end up becoming security concerns that can possibly compromise the corporate network."

Uit: High- Tech Crimes Revealed, Steven Branigan

Mobile Weblog aangemaakt

2005-05-10T15:45:00.000+02:00

Vandaag een Mobile Weblog aangemaakt zodat ik met mijn Nokia 6600 foto´s kan publiceren op het web.
De komende dagen zal ik daarop foto´s van mijn vakantie in La Manga plaatsen.

SNUG presentatie over SOA

2005-04-06T21:20:00.000+02:00

Vandaag heb ik een presentatie gegeven over Service Oriented Architectures (SOA) op het SNUG LotuSphere Chill- out event.

SNUG is de nederlandse usergroup voor IBM WebSphere en Lotus software. Voor vandaag stond er een LotuSphere Chill- out op het programma waarbij aanvankelijk 5 presentaties gegeven zouden worden. Helaas vielen er door ziekte twee presentatoren af.
Met name de presentatie van IBM vond ik een gemis, want ik had graag nog eens de visie van IBM Nederland gehoord en ze vragen gesteld over het gebruik van de nieuwe produkten en releases in nederland.

Mijn focus op de 2005 editie van de LotuSphere was gericht op: WebServices, security en integratie. Over het eerste en laatste onderwerp heb ik dus vandaag een presentatie gegeven.
Ik heb geprobeerd een definitie te geven van SOA en de voordelen van de toepassing ervan toegelicht. Vervolgens heb ik een bruggetje gemaakt naar de beta 3 release van Lotus Domino 7 die als één van de belangrijkste nieuwe features het hosten van WebServices bevat.

De presentatie kun je hier downloaden!

Een aanvulling op de LinkZzzzz:
Architectural Concepts for Service-oriented Design (Project van TU Twente)

Heb je vragen over de presentatie, het onderwerp of wil je eens van gedachte wisselen, stuur me dan een email op: info@ferdinandvroom.nl

Marina Veere wil doorgaan met bouwproject

2005-02-23T13:24:00.000+01:00

Bron: pzc 23 februari 2005

Eigenaar Marina wil wel verder

door Nadia Berkelder

VEERE - Van intrekking van het plan voor het appartementencomplex Marina Veere is geen sprake, volgens eigenares F. Vroom. Ze is verbaasd over de mededeling die wethouder J. Bostelaar maandagavond deed.




Mevrouw Vroom en haar zoon Ferdinand vinden nog steeds dat er een appartementencomplex in Veere moet komen. (foto Ruben Oreel ©)

Bostelaar vertelde de commissie ruimte dat de eigenaren in samenspraak met de gemeente besloten hebben het plan terug te trekken. „Ernstige misinformatie“, is de reactie van Vroom. „Ik heb helemaal niets ingetrokken.“

Volgens Vroom is onlangs afgesproken dat adviesbureau RBOI een notitie zou maken waarin de bezwaren tegen het plan tegen het licht zouden worden gehouden. Het bureau zou mogelijke oplossingen inventariseren en voorstellen maken die aan het college en de raad moesten worden voorgelegd. In de tussentijd zou de procedure worden opgeschort.

„Ik kan alleen herhalen wat ik in de commissie heb gezegd“, reageert Bostelaar. „De gemeente Veere, samen met Marina Veere, gaat niet verder met de planologische procedure voor dit gebouw, het ontwerp van Cees Dam.“ Bostelaar wijst erop dat die procedure niet veel kans maakt, gezien de bezwaren van de Rijksdienst voor de Monumentenzorg en het advies van de Provinciale Commissie Omgevingsbeleid.

Het plan voor de bouw van appartementen langs het Kanaal door Walcheren roept veel weerstand op. Vooral door de omvang van het plan, het zou tien meter hoog en negentig meter lang moeten worden. In het complex moeten appartementen, een winkel, een restaurant en een dienstwoning komen. Behalve monumentenzorg, kwam een groot deel van de bewoners van Veere in het geweer tegen de plannen. Een handtekeningenactie leverde 350 steunbetuigingen op.

Vroom vindt dat de provincie betrokken moet worden bij het maken van de plannen. Die is eigenaar van de grond waarop Marina Veere moet worden gebouwd.

Daarnaast wil ze opnieuw praten met de wethouder. In een brief aan Bostelaar wijst ze erop dat ze juridische stappen overweegt als de gemeente niet langer meewerkt aan het plan.

Alternatief

Bostelaar laat doorschemeren dat het wat hem betreft wel mogelijk blijft om een alternatief plan te maken. „Dat zou kunnen, maar het zou ook kunnen dat het niet gebeurt. We hebben afgesproken dat we zouden onderzoeken of dit project mee zou kunnen liften met het Belvedere-onderzoek in de gemeente Veere.“ Belvedere is een project van de Rijksoverheid waarbij het belang van cultuurhistorisch erfgoed wordt afgewogen tegen nieuwe ontwikkelingen.

Het echtpaar Vroom is al jaren bezig om de jachthaven langs het kanaal nieuw leven in te blazen. Meneer Vroom is onlangs overleden. Mevrouw Vroom wil hun plannen gewoon doorzetten.

Dag Pappie

2005-02-17T19:38:00.000+01:00

Willy Vroom 1920 - 2005

Boeken

2005-01-31T21:57:00.000+01:00

Op de LotuSphere heb ik in de "Bookstore" de onderstaande boeken gekocht met in totaal zo'n 2100 bladzijden. Dat moet genoeg zijn voor 2005 ...
Ik zal gedurende het jaar hier commentaar leveren op de boeken.

IBM WebSphere System Administration
ISBN: 0-13-144604-5

IBM WebSphere Deployment and Advanced Configuration
ISBN: 0-13-146862-6

Securing Web Services with WS-Security
ISBN: 0-672-32651-5

IT Architecture Toolkit
ISBN: 0-13-147379-4

High-Tech Crimes Revealed
ISBN: 0-321-21873-6

Gary en Charlie

2005-01-31T21:40:00.000+01:00

Mijn persoonlijke goeroes, Gary Devendorf en Charlie Kaufman.
Ik kwam ze tegen op een BOF (Birds of a feather) sessie op de LotuSphere.
Stom verbaast was ik, omdat ze beide twee jaar geleden voor "the other evil empire" zijn gaan werken.
Maar het was erg leuk om ze weer gezien te hebben en met ze gesproken te hebben.
Gary, demo, Devendorf geeft lezingen op allerlei congressen en seminars rond M$ technologie en Charlie is Chief Architect van het CLR team, zou het dan toch wat worden met Microsoft:)
Ik had een foto van ze gemaakt met mijn Nokia 6600, maar die was niet blog waardig, dus heb ik een foto van Volker geleend.

Lotus Notes V1.0

2005-01-25T19:06:00.000+01:00

Het heeft even geduurd voor ik weer wat tijd vond om een berichtje op mijn weblog te posten, maar het wachten was de moeite waard want ik heb wat leuks!

Download Notes V1.0
Ja, je leest het goed, je kunt de eerste versie van Lotus Notes downloaden! Maar ook versie 2.0 en 3.0.
Ed Brill heeft ze op de IBM Alphaworks website gezet om het 15 jarig jubileum van Lotus Notes te vieren.
Toen ik het las op zijn weblog, wist ik niet hoe snel ik ze moest downloaden. Nu is dat niet echt makkelijk op de LotusSphere. De kiosk laptops zijn compleet dicht, dus moet ik mijn eigen laptop meenemen en op het wireless netwerk aanmelden om de zipjes te kunnen downloaden. Maar het is de moeite waard.
Vervolgens heb ik Virtual PC geinstalleerd en daar MS Dos in geconfigureerd. Op die manier kun je op een WinXP machine toch gebruik maken van deze oude versie van Notes. Om het je wat makkelijk te maken, zal ik hier binnenkort een Virtual PC image plaatsen zodat je alleen Virtual PC hoeft te installeren en het image te laden.

Ik zal in de "Ask the developers lab" op de sluitingsdag gaan vragen of het mogelijk is om Notes V1.0 applicaties te portalizen:))

Veel plezier ermee en laat me even weten wat je ervaringen zijn!

Blogger

2005-01-14T19:44:00.000+01:00

Vandaag heb ik me eindelijk voor de 2005 editie van de LotuSphere geregistreerd. Om de nieuwtjes, ervaringen en roddels met de thuisblijvers te kunnen delen wil ik een weblog gaan bijhouden. Ik heb wat tijd genomen om een aantal tools te reviewen en dit is een kort verslagje daarvan...

Welke tools heb ik bekeken en getest?

BlogSphere, het Lotus Domino open source weblog template
Mambo, dit open source WCMS heeft een eenvoudige blog functie
Blogger, de weblogservice van Google

Als je naar de LotuSphere gaat en je wilt een weblog gaan bijhouden, kun je natuurlijk niet om BlogSphere heen.
BlogSphere is opgestart door Declan Lynch, een Ierse Lotus Administrator van de Hypo Real Estate Bank International. Hij heeft zijn source code begin 2003 aan het Lotus Domino open source initiatief, openntf gedoneerd en daar is het uitgegroeid tot één van de meest geavanceerde weblog tools. Zo kun je nu met je pda blogs publiseren. Declan heeft daarvoor een Blogger API ontwikkeld zodat je met de tool "blogs in your hand" documenten kunt aanmaken.
Ik heb het template van BlogSphere ook gebruikt voor mijn persoonlijke website, www.ferdinandvroom.nl. Omdat vooral de editfunctie erg traag is, motiveert het me niet om het te gebruiken. Dat komt niet geheel door het design van de template. De hosting provider heeft naar mijn idee niet de modernste hardware ingezet op het development platform. Ik zal ze daar op de LotuSphere eens naar vragen!

Mambo is een open source web content management system, osw-cms:) Het is razend populair, wat ik me goed kan voorstellen want het ziet er goed en professioneel uit. De installatie is relatief eenvoudig en de basis "loadset" heeft al veel meer features dan de gemiddelde webmaster verlangt. Versie 4.5.1 heeft een prachtig management console dat net als de website is aan te passen d.m.v. templates en modules. Ik heb het o.a. geinstalleerd t.b.v. een initiatief van de Nederlandse Culturele Sportbond. Ze willen de nederlanse sportverenigingen de mogelijkheid bieden op een eenvoudige wijze zelf een website te beheren. De bedoeling is dus het ontwikkelen van een Mambo template die in combinatie met een aantal modules als basis kan dienen voor deze websites. De vereniging levert enkel een logo en een kleurschema aan. De content plaatsen ze zelf.
Mambo is natuurlijk ook als weblog in te richten, al kost het best wat werk om de standaard features van een weblog te implementeren. Een module die het allemaal heeft heb ik nog niet gevonden...
Het feit dat je eerst een configuratie moet uitvinden waarbij de Mambo site eruit ziet als een blog en ook de functies heeft van een blog, maakt het voor mij minder interessant. Ik ben opzoek naar iets wat vrijwel kant en klaar is en geen gadgets bevat die ik niet nodig heb.

Google biedt een gratis blogservice, zo ontdekte ik in juli van het vorige jaar. In een artikel over weblogs werden de free en lowcost alternatieven vergeleken. De Google optie sprak me toen ook al aan, dus ik had me snel geregistreerd. In die tijd vielen de aanpassingsmogelijkheden een beetje tegen en ik had niet echt een doel voor een blog. Dus het bleef bij de registratie en wat rondneuzen.
De hernieuwde kennismaking was verrassend! Je kunt de blog nu ook op je eigen server publiceren. Handig voor als je hem onder je eigen domein wilt hebben draaien en een backup wilt kunnen maken. Overigens kun je met een webforward je blog bij Google als je website voor je (sub)domein laten fungeren. Ik heb dat met ZoneEdit gedaan.
Verder zijn de mogelijkheden voor het aanpassen van de look en feel verder uitgebreid. Met een beetje html/ xml kennis kun je er mee doen wat je wilt. Ik denk ook dat ik wel gebruik zal maken van de email functie. Hiermee kun je een email sturen naar een geheim emailadres. Dat emailtje wordt dan omgezet naar een blogpost. Dat kun je dus ook vanaf je PDA met netwerkaansluiting of gsm met pop3 of wap.
Voorlopig is Blogger voor mij hèt ding waar ik mijn weblogjes ga schrijven. In ieder geval tijdens de LotuSphere, daarna zien we wel weer...