dimitris

Νομίζω ότι ήταν ένα 1ο, δύσκολο βήμα με πολύ καλή ανταπόκριση (δεδομένης της απειρίας και κακής οικονομικής συγκυρίας) για την πραγματοποίηση και άλλων εξειδικευμένων events. Πήγαν όλα καλά, με ελάχιστα προβλήματα. Γίναμε όλοι πιο έμπειροι, μαζέψαμε γνώσεις και προχωράμε... Επιφυλασσόμαστε για ακόμα καλύτερα και μεγαλύτερα events!

Stratos: αν οι υπηρεσίες που παρέχουν οι υπολογιστές στην εταιρεία σου αποτιμούνται σε άνω των μερικών εκατοντάδων ευρώ αν αυτοί πάψουν να δουλεύουν, τότε αγόρασε ένα μικρό hardware firewall ή τον ISA. Αν η πληροφορική δεν δίνει καμία απολύτως προστιθέμενη αξία στην εταιρεία (πχ, στέλνουν με ΕΛΤΑ γράμματα και όχι e-mails, γράφουν σε τετράδια όχι στο Word κλπ) τότε μην ασχοληθείς να αλλάξεις firewall. Παιδέψου με host-based firewalls ανά server, ανά PC κλπ. Όσον αφορά τις συνδέσεις, είναι φυσιολογικό να υπάρχουν πολλές. Mail server είναι, με άλλους mail server συνδέεται. Αυτή είναι η βασική αρχή του SMTP. Τώρα, αν έχουν βρει κανένα username/password και spamάρουνε από κανένα λογαριασμό, αυτό θέλει διερεύνηση με τους τρόπους που έχω προαναφέρει. gvarakis: Η πληροφορική είναι έξοδα. Καλώς ή κακώς είναι αναγκαίο κακό για τον επιχερηματία (όπως και το λογιστήριο).Το θέμα είναι τι χασούρα φέρνει στην επιχείρηση αν μηδενιστούν αυτά τα έξοδα. Εκεί θα καταλάβει ο έξυπνος επιχειρηματίας αν και πόσο θα πρέπει να επενδύσει στην υποδομή του. Αν δεν το καταλαβαίνει και τα θέλει όλα στο τζάμπα, απλά ξεσκονίζεις το βιογραφικό σου.

Γι΄ αυτό φροντίζουμε να φυλάμε το USB key ως κόρη οφθαλμού... και ενίοτε να του κάνουμε κι ένα backup.

Αυτό που θες να κάνεις είναι λάθος. Αν κλείσεις την πόρτα 25, δε θα περνάει καθόλου κίνηση από τους υπόλοιπους mail servers προς τα μέσα. Επίσης λάθος (κατά τη γνώμη μου) είναι να χρησιμοποιείς ένα host-based firewall όπως είναι αυτό των Windows για network-based υπηρεσίες όπως το SMTP. Καλό θα ήταν να πας σε dedicated firewall που ελέγχει όλη την κίνηση του δικτύου.

Συνεχίζοντας τη θεωρία από το προηγούμενο post (κλαψ...) και πριν πάμε στο ζουμί της εγκατάστασης μιας Αρχής έκδοσης πιστοποιητικών (Certification Authority - CA) σε Windows Server και την τελική έκδοση ενός ή περισσότερων ψηφιακών πιστοποιητικών, οφείλουμε να πούμε δυο λόγια για τις βασικές αρχές μιας δομής έκδοσης ψηφιακών πιστοποιητικών. Πάμε λοιπόν, κι ο Θεός βοηθός... Οι Αρχές έκδοσης πιστοποιητικών (Certification Authorities - CAs) είναι ο εκδότης των πιστοποιητικών - σκεφτείτε κάτι ανάλογο με την Aστυνομία. Όταν θέλουμε να εκδόσουμε μια ταυτότητα ή ένα διαβατήριο, πρέπει να πάμε στην Αστυνομία, αφού αυτή την Αρχή (οφείλουμε να) θεωρούμε αξιωματικά ως την υπεύθυνη γι΄αυτές τις δουλειές του σατανά, 666, φτού κακά κλπ. Η Αρχή αυτή, αφού εξετάσει όλα τα χαρτιά που της έχουμε πάει με περίσσεια χαρά για να μάς εκδόσει ταυτότητα, τελικά μάς κάνει τη χάρη και μας δίνει το μαγικό πλαστικοποιημένο χαρτί που τόσο λαχταράμε. Σκεφτείτε την ταυτότητα ως κάτι αντίστοιχο με ένα ψηφιακό πιστοποιητικό στο θαυμαστό κόσμο της τεχνολογίας. Κατ' επέκταση, σκεφτείτε επίσης ότι μια Αρχή έκδοσης ψηφιακών πιστοποιητικών πρέπει να είναι ιδιαίτερα προσεκτική όσο και αξιόπιστη στον σκοτεινό κόσμο του internet (μην ξεχνάμε και τις ατάκες των δημοσιογράφων που ξέρουν από ασφάλεια στο internet όσα εγώ από τη χρήση του γουοκ στη μαγειρική). Ποιές είναι αυτές οι αξιόπιστες; Που θα τις βρούμε; Ποιός μας προφυλάσσει; Τα παιδιά του Ζεβεδαίου ποιόν είχαν πατέρα; Βρε κουτά, δε χρειάζεται να κάνετε την έρευνά σας, φροντίζουν άλλοι για εσάς: αξιόπιστες θεωρούνται μια σειρά από Αρχές που υποστηρίζουν τα Windows και μπορείτε να τις βρείτε εύκολα αν πάτε στον Internet Explorer -> Tools -> Internet Options -> Content -> Certificates -> Trusted Root Certification Authorities. Γιατί αυτές; Μη ρωτάτε πολλά, η μαμά Microsoft ξέρει καλύτερα (για το καλό μας)... Αξίζει να αναφέρουμε ότι αξιόπιστες Αρχές κρίνονται επίσης και όσες έχουν πιστοποιηθεί από τις Trusted Root Certification Authorities για να εκδίδουν με τη σειρά τους πιστοποιητικά για εμάς - πολύ μπλέξιμο, αλλά μην ανησυχείτε: αν στα Windows βρωμάν τα χνώτα κάποιας Αρχής που έχει εκδόσει πιστοποιητικό, τότε: α) ή δεν θα γίνει η δουλειά σας ή βου) ο Internet Explorer θα σάς βαρέσει ένα σωρό μηνύματα πυρηνικής καταστροφής και χρωματιστές ξεκλείδωτες και ξεχαρβαλωμένες κλειδαρές σεντουκιού. Α, και το καλύτερο: καμιά τέτοια Αρχή δεν θα σάς βγάλει τζάμπα πιστοποιητικό: εκτός του ότι θα σάς γδύσει, θα σάς ξετινάξει και θα σάς ταπεινώσει για να αποδείξετε ότι είστε αυτός που λέτε ότι είστε (ούτε η Αστυνομία δεν τα κάνει αυτά!) θα πάρει και κάτιτις για τον κόπο της. Μην ξεχνάτε, έχει έξοδα κι αυτή, οικογένεια να ζήσει κλπ. Η Αστυνομία τα παίρνει από τους φόρους, οι άλλες οι κακόμοιρες Αρχές του internet δεν πρέπει να ζήσουν κι αυτές; Ο τζάμπας απέθανε, ζήτω οι τράπεζες (αλλιώς τι διάλο καπιταλισμό έχουμε Και εδώ έρχεται κάτι πολύ σημαντικό: άμα είμαστε λίγο τζαμπατζήδες και δε γουστάρουμε να πληρώνουμε την πάσα μία Αρχή που δεν την ξέρει ούτε ο CEO της, προκειμένου να μας εκδίδει πιστοποιητικά μόλοις μερικών kilobytes, τι κάνουμε; Η, αν είμαστε μια μεγάλη εταιρεία και θέλουμε να εκδώσουμε εκατοντάδες πιστοποιητικά, θα κάνουμε πλούσια μια Αρχή από το πουθενά; Βρε ουστ... Μην πανικοβάλλεστε: η Microsoft πάλι φροντίζει για εμάς: στα Windows Server υπάρχει μια υπηρεσία με την εύγλωττη ονομασία "Active Directory Certificate Services" η οποία σηκώνει τα βάρη του να γίνουμε εμείς μια τέτοια Αρχή και να εκδίδουμε τα δικά μας πιστοποιητικά. Πόσα; Όσα θέλουμε, δώσε και σε μένα μπάρμπα! Χλιδή; Σιγουρα. Σκεφτείτε ότι γινόμαστε η Αστυνομία του domain μας. Λύνει όμως όλα μας τα προβλήματα; Η απάντηση είναι ότι αν τα προβλήματα απαντώνται απλά στη χρησιμοποίηση πιστοποιητικών εντός της εταιρείας μας, είμαστε άρχοντες. Αν όμως θέλουμε, πχ, να στείλουμε ένα κρυπτογραφημένο e-mail σε ένα άσχετο χρήστη στο διαδίκτυο; Εδώ έχουμε ένα πρόβλημα, το εξής απλό: το σύστημα (e-mail client, λειτουργικό κλπ) του άσχετου χρήστη δεν αναγνωρίζει την Αρχή μας ως αξιόπιστη (trusted) οπότε ενδέχεται (στην καλύτερη περίπτωση) να του χτυπήσει το γνωστό μήνυμα πυρηνικού ολέθρου ή (στη χειρότερη) να μην γίνει η επικοινωνία καθόλου. Ήθελές τα και παθές τα, απαίσιε φτωχομπ... ΙΤ admin. Αλλά μην πανικοβάλλεστε, είπαμε: υπάρχει πάντα λύση και σε αυτό, αρκεί οι χρήστες να έχουν λίγο υπομονή για φροντίδα και προδέρμ από τον εκάστοτε IT admin. Αυτά θα τα συζητήσουμε εν καιρώ - όπως και τις διάφορες μορφές των CAs. Μην βιάζεστε, μην σπρώχνεστε, όλοι θα πάρετεεεεε.

Παιδιά μας παρεξηγήσατε, δεν είπαμε να κάνουμε τον αστυνόμο του autoexec και να τιμωρούμε τους bloggers... απλά να επισημαίνουμε τα λάθη και να μαθαίνουμε από αυτά. Εξάλλου, ουδείς αλάθητος.

Δυστυχώς ο ορθογραφικός έλεγχος δεν πιάνει το "να ακυρώσεται" και άλλα συναφή, τα οποία είναι μεν σωστά, αλλά μόνο όταν είναι στο κατάλληλο σημείο (context επί το ελληνικότερον) μιας φράσης. Αν δε μπορεί κάποιος να ξεχωρίσει την ενεργητική από την παθητική φωνή, το Word δεν βοηθά. Η ελληνική γλώσσα (εκτός από τις πάντα υπάρχουσες εξαιρέσεις) έχει μερικούς βασικούς κανόνες και ρίζες. Αν αυτά είναι γνωστά, το κείμενό μας θα είναι κι αυτό >99% σωστό. Chris προτείνω, σε πρώτη φάση, όταν βλέπουμε ορθογραφικά λάθη, να τα κάνουμε post (χωρίς να αναφέρουμε που γράφτηκε, αν είναι δυνατό) και να εξηγούμε το σωστό. Όσοι πιστοί προσέλθετε!

Μα ποιός αλλάζει επιτέλους κάθε λίγο και λιγάκι τον τίτλο σε αυτό το post...

Παιδιά, είναι τελείως διαφορετική η θεματολογία. Αν ήμουν ο τύπος του επαγγελματία που θα με ενδιέφερε να πάω στο πρώτο, δε νομίζω ότι θα πήγαινα στο δεύτερο - και το αντίστροφο. Ωστόσο, θα μπορούσε να προσεχτεί λίγο περισσότερο η ημερομηνία διεξαγωγής. Στο CyberCrime Security Forum είχαμε βγάλει αυτές τις ημερομηνίες από το καλοκαίρι και τα banners βγάζουν μάτια.

Αν έχεις βρει κανένα από τα spam, απλά κοίτα τα headers του μηνύματος για να δεις το hostname του PC που το έστειλε. Αν πάλι δεν έχεις, θα πρέπει να στήσεις packet sniffer (Network Monitor ή Ethereal/Wireshark) στο σημείο εξόδου της κίνησης προς το internet.

Χμμ.. έτσι αλλάζει. Έχω την εντύπωση πάλι, όμως, ότι δεν έχεις πρόβλημα. Δες κι εδώ για επιπλέον δοκιμή: http://support.microsoft.com/kb/304897.

Για το autoexec.gr είναι ένα από τα σημαντικότερα events που έχει διοργανώσει, στον τομέα της Ασφάλειας πληροφοριακών συστημάτων, και ελπίζουμε να ισχύει το ίδιο για όλη την κοινότητα των IT Pros. Αυτό το διήμερο event θα γίνει στις 29 και 30 Νοεμβρίου στο Mistral Hotel στον Πειραιά (Αλ.Παπαναστασίου 105). Η θεματολογία υποσχόμαστε ότι θα είναι μοναδική και επικεντρώνεται σε μεθόδους προστασίας των δικτύων ενώ παράλληλα θα παρουσιαστούν μέθοδοι hacking οι οποίες απειλούν κάθε σύστημα. Ομιλητές είναι οι: · Mr. Marcus J. Carey, Researcher and Instructor of the Defense Cyber Crime Center & former NSA (National Security Agency) employee. · Mr. Andy Malone, Managing Director of Quality Training Ltd, Microsoft MVP MCT, MCSE, ομιλητής στην TechEd 2007 & 2008. Για το premium αυτό event που έχει ήδη διοργανωθεί σε πολλές ευρωπαϊκές χώρες υπάρχει ένα αντίτιμο αλλά και ένα σύνολο προσφορών. Λεπτομέρειες θα βρείτε στο http://www.securityforum.gr/ Θα χαρούμε να σας δούμε στον Πειραιά στις 29 Νοεμβρίου.

Εγώ πάλι νομίζω ότι δεν έχεις πρόβλημα. Κάνε και άλλο open relay test (ψάξε στο google για παρόμοιες υπηρεσίες) για να σιγουρευτείς, αλλά νομίζω ότι το 1 στα 8 test που σου πέρασε δεν θα έφτανε τελικά στον προορισμό του (θα το έκοβε Exchange στην πορεία).

Ψήνονται, ψήνονται... Έχω πολλά υπ'όψη μου - μόνο τα μισά να bloggάρω από αυτά που σκέφτομαι, θα με κρατήσουν σε blogging mode ως το 2012, μετά ούτως ή άλλως δεν γίνεται τίποτα (ξέρετε, τέλος του κόσμου, Μάγιας, Μάγια η μέλισσα κλπ)

Εγώ κατ' αρχή θα έψαχνα αν όντως ο server μου είναι open relay, κάνοντας το αντίστοιχο τεστ που κάνω χρόνια από εδώ: http://www.abuse.net/relay.html και δε με έχει απογοητεύσει ποτέ. Αν αυτό το τεστ σε βγάλει full open relay (προσοχή σου βγάζει ένα ψαρωτικό 1ο μήνυμα καμιά φορά στην απάντηση ότι *μπορεί* να είσαι, που είναι false) τότε το ξανασυζητάμε.

"Αν σας είναι ήδη γνωστά μην απογοητεύεστε" Χαχα! Ωραία αστεία λες συναγωνιστή Sof! Τόσα χρόνια στο κουρμπέτι είναι η πρώτη φορά που βλέπω άρθρο στη μητρική μου γλώσσα για τέτοιο θέμα. Περιμένουμε εναγωνίως και τα υπόλοιπα του "σετ"!

Βαγγέλη το iSCSI έχει ένα σοβαρό μειονέκτημα: δεν μπορείς να κάνεις boot λειτουργικό από αυτό παρά μόνο αν το υποστηρίζει το HBA με ειδική ROM - κάτι που δεν έχω δει πουθενά. Μόνο για shared storage κάνει.

Με το post αυτό ξεκινά μια σειρά από άρθρα που έχουν σκοπό την εισαγωγή και τη βήμα-βήμα ξενάγηση ημών και υμών στο θαυμαστό (λέμε τώρα) κόσμο του ΡΚΙ - τα αρχικά του άκρως εύγλωττου όρου "Public Key Infrastructure". Θα επικεντρωθούμε στο implementation του PKI σε Microsoft Windows clients & servers (αλλιώς τι διάλο Microsoft MVP σε Enterprise Security είμαστε, άλλωστε). Από αρχαιοτάτων χρόνων, οι άνθρωποι επιθυμούσαν να κρύψουν κάποια μηνύματα από τους εχθρούς τους - ειδικά σε περίοδο πολέμων (για φανταστείτε να είχαν ΡΚΙ οι τριακόσιοι του Λεωνίδα... άνεργος και άφραγκος θα είχε μείνει ο κατηραμένος Εφιάλτης). Η θεωρία και η διαδικασία της απόκρυψης αυτής (και της μετέπειτα εμφάνισης, στον κατάλληλο παραλήπτη) μπορεί να ονομαστεί κρυπτογραφία (χάλια ορισμός, το ξέρω, αλλά αρκετός προς το παρόν). Δεν υπάρχει λόγος να αναλωνόμαστε σε λεπτομέρειες για την κρυπτογραφία, πολλά ενδιαφέροντα μπορείτε να διαβάσετε στο αντίστοιχο λήμμα της Βικιπαίδειας στα Ελληνικά εδώ - κοινώς, είμαι σκράπας στα μαθηματικά οπότε δείτε καλύτερα τι γράφουν οι μάστορες. Ας αναφέρουμε, ωστόσο, ότι το ΡΚΙ βασίζεται στην ιδέα της ασύμμετρης κρυπτογράφησης (και ουχί της ασύμμετρης απειλής): δηλαδή, χρησιμοποιούνται δυο διαφορετικά κλειδιά (keys), το δημόσιο κλειδί (public key) και το ιδιωτικό (private) για την κρυπτογράφηση/αποκρυπτογράφηση ενός κειμένου. Αυτά τα δύο δημιουργούνται από το κρυπτογραφικό σύστημα των Windows (ορίστε την ώρα που ζητείται να εκδοθεί ένα ψηφιακό πιστοποιητικό από το χρήστη και είναι μαθηματικά συνδεδεμένα μεταξύ τους (δηλαδή, μετά από κατάλληλα μαθηματικά μαγικά για τα οποία φροντίζουν σχετικοί αλγόριθμοι, από το ένα προκύπτει πάντα το άλλο). Κι όμως αγαπητοί συναγωνιστές, τα Windows εκτός από μπλε οθόνες, βγάζουν και ζευγάρια ιδιωτικών/δημόσιων κλειδιών! Ποιός να το πίστευε... (Λαμπρόπουλε!) Η συμμετρική κρυπτογράφηση, από την άλλη, βασίζεται στην ιδέα ενός μόνο κλειδιού για την κρυπτογράφηση και την αποκρυπτογράφηση, πράγμα που σημαίνει πως και οι δύο περίεργοι και σκοτεινοί τύποι που θέλουν να ασφαλίσουν την επικοινωνία τους οφείλουν να γνωρίζουν ήδη το κλειδί ή να το επικοινωνήσουν εκ των υστέρων μεταξύ τους. Το τεράστιο μειονέκτημα της συγκεκριμένης μεθόδου είναι ο τρόπος με τον οποίο το κλειδί θα γίνει γνωστό και στους δυο (μέθοδοι όπως αποστολή με email ή SMS, αναφορά με τρανταχτή φωνή σε συζήτηση στην ταβέρνα μεταξύ ούζου και μπύρας κλπ αποκλείονται εκ των προτέρων ως απαράδεκτοι). Στην πράξη βέβαια, χρησιμοποιείται ένας συνδυασμός ασύμμετρης και συμμετρικής κρυπτογράφησης, αλλά επειδή κοντεύω ήδη να σας χάσω από τα θέλγητρα άλλων blogs, δεν επεκτείνομαι περαιτέρω. Στο θέμα μας πάλι, καθ' οτι εξοκείλαμε: το ιδιωτικό κλειδί φυλάσσεται στο certificate store (ορίστε; γκουλπ!) του υπολογιστή του χρήστη που το εξέδωσε, ενώ το δημόσιο είναι διαθέσιμο σε οποιονδήποτε (αλλιώς τι διάλο δημόσιο θα ήταν, άλλωστε Το certificate store είναι ένα ασφαλές κομμάτι του προφίλ του χρήστη, πράγμα που σημαίνει ότι οποιουδήποτε είδους μαϊμουδιές με το προφίλ (delete, format κλπ) συνεπάγονται αυτομάτως και σε κρύο ιδρώτα για την τύχη του ψηφιακού πιστοποιητικού που έχει εκδοθεί, άρα και των κρυπτογραφημένων αρχείων ή/και e-mails που υπάρχουν. Επειδή κατάλαβα ότι ζαλιστήκατε ήδη και ότι τα πολλά λόγια είναι φτώχεια (καταραμένη φτώχεια, γι' αυτό δεν πρόκοψα ποτέ με το μπλα-μπλα μου) σταματώ την απαράδεκτη ως παιδική θεωρητική μου προσέγγιση στο ΡΚΙ και προετοιμάζω ήδη με φρενήρεις ρυθμούς το επόμενο post μου με πιο πρακτικά θέματα αυτή τη φορά. Ως το επόμενο post (που θα έρθει ΠΟΛΥ σύντομα, γιατί ο συνάδελφος akladakis είναι στρατιωτικός και τα λέει τσεκουράτα αν επαναπαυθούμε καμία μέρα)... καλές κρυπτογραφήσεις.

Όχι, έγινα καλό παιδί και γράφω στο Live Writer τώρα, το PKI blog θα το αποδεικνύει...

Κακό πράγμα ο κατακερματισμός...

Άντε, με πείσατε, τα θέματα ΡΚΙ τα ξεκινώ με το Live Writer...

Και αν σε αυτή την πορεία κερδίζεις και ένα super δώρο, ακόμα καλύτερα!

Εγώ!

<?xml:namespace prefix = o /> Όπως έχετε καταλάβει όλη η ομάδα του autoexec γύρισε από την Βαρκελώνη πλουσιότερη σε εμπειρίες, αφού μοίρασε πολύτιμη γνώση στο ευρωπαϊκό κοινό. Και φυσικά όλο το διάστημα δεν αμελήσαμε ούτε ένα λεπτό το forum μας. Το πώς περάσαμε και το τι κάναμε , μπορείτε να το διαβάσετε στο blog του spanougakis, αναλυτικά και με φωτογραφικό υλικό. Επίσης «στρατολογήσαμε» πολλά μέλη από την ελληνική αποστολή της Βαρκελώνης που υποσχέθηκαν να βοηθήσουν ενεργά την προσπάθεια μας. Μέχρι την Σουηδία έφτασε η χάρη μας (γεια σου Σάκη !!!!) Φυσικά δεν ξεχάσαμε και το 2^11 μέλος μας (το 2048 εννοώ), την Phoebe. Όπως υποσχεθήκαμε θα την βραβεύσουμε για την συμμετοχή της και το δώρο της θα είναι ένα super mini laptop ASUS Eeepc !!! Η παράδοση θα γίνει στις 29 Νοεμβρίου 2008 κατά τη διάρκεια του event μας, του CyberCrime - Security Forum 2008, στο Mistral Hotel !!!! Ευχαριστούμε την Phoebe για την υπομονή της. Τελικά το autoexec τα έχει όλα και μαθαίνεις και κερδίζεις . Άσε που είναι και international πλέον.

Για όσους δεν το γνωρίζουν, το Skydrive είναι μια online υπηρεσία της Microsoft όπου μπορείτε να αποθηκεύετε φωτογραφίες αλλά και έγγραφα και να τα μοιράζετε κατά βούληση, κάνοντας login με το Windows Live ID σας. Μετά από 6 σχεδόν μήνες μηδενικής ανανέωσης, στο blog του Skydrive team ανακοινώθηκαν πολλά από τα επερχόμενα νέα χαρακτηριστικά της υπηρεσίας, με κορυφαία την αύξηση του αποθηκευτικού χώρου από 5 στα 25GB (!), κατέβασμα φακέλου σε μορφή zip, μετακίνηση και αντιγραφή αρχείων μεταξύ φακέλων (να δω πότε θα το κάνουν και στο Windows Live Mesh), slideshow των φωτό (και με silverlight), tagging και (επιτέλους) διαμοίραση αρχείων χωρίς την ανάγκη ύπαρξης Windows Live ID από τους άλλους. Το blog θα το βρείτε εδώ: http://skydriveteam.spaces.live.com/.