Password spraying – aplicare de cosmetice in calculatoare

In a traditional brute-force attack, a malicious actor attempts to gain unauthorized access to a single account by guessing the password. This can quickly result in a targeted account getting locked-out, as commonly used account-lockout policies allow 3-to-5 bad attempts during a set period of time. During a password-spray attack (also known as the low-and-slow method), the malicious actor attempts a single password against many accounts before moving on to attempt a second password, and so on. This technique allows the actor to remain undetected by avoiding rapid or frequent account lockouts.

Password spray campaigns typically target single sign-on (SSO) and cloud-based applications utilizing federated authentication protocols. An actor may target this specific protocol because federated authentication can help mask malicious traffic. Additionally, by targeting SSO applications, malicious actors hope to maximize access to intellectual property during a successful compromise.

Email applications are also a target. In those instances, malicious actors would have the ability to utilize inbox synchronization to (1) obtain unauthorized access to the organization’s email directly from the cloud, (2) subsequently download user mail to locally stored email files, (3) identify the entire companys email address list, and/or (4) surreptitiously implements inbox rules for the forwarding of sent and received messages.

Technical Details

Traditional tactics, techniques, and procedures (TTPs) for conducting the password-spray attacks are as follows:

  • Use social engineering tactics to perform online research (i.e., Google search, LinkedIn, etc.) to identify target organizations and specific user accounts for initial password spray
  • Using easy-to-guess passwords (e.g., Winter2018, Password123!) and publicly available tools, execute a password spray attack against targeted accounts by utilizing the identified SSO or web-based application and federated authentication method
  • Leveraging the initial group of compromised accounts, download the Global Address List (GAL) from a targets email client, and perform a larger password spray against legitimate accounts
  • Using the compromised access, malicious actors attempt to expand laterally (e.g., via Remote Desktop Protocol) within the network, and perform mass data exfiltration using File Transfer Protocol tools such as FileZilla

Indicators of a password spray attack include:

  • A massive spike in attempted logons against the enterprise SSO Portal or web-based application. Using automated tools, malicious actors attempt thousands of logons, in rapid succession, against multiple user accounts at a victim enterprise, originating from a single IP address and computer (e.g., a common User Agent String). Attacks have been seen to run for over two hours
  • Employee logons from IP addresses resolving to locations inconsistent with their normal locations

Typical Victim Environment

The vast majority of known password spray victims share some of the following characteristics [1] [ https://www.us-cert.gov/ncas/tips/ST04-002 ][2] [ https://www.us-cert.gov/ncas/tips/ST05-012 ]:

* Use SSO or web-based applications with federated authentication method
* Lack multifactor authentication (MFA)
* Allow easy-to-guess passwords (e.g., Winter2018, Password123!)
* Use inbox synchronization allowing email to be pulled from cloud environments to remote devices
* Allow email forwarding to be setup at the user level
* Limited logging setup creating difficulty during post-event investigations

Impact

A successful network intrusion can have severe impacts, particularly if the compromise becomes public and sensitive information is exposed. Possible impacts include:

* Temporary or permanent loss of sensitive or proprietary information
* Disruption to regular operations
* Financial losses incurred to restore systems and files
* Potential harm to an organizations reputation

Solution

Recommended Mitigations

To help deter this style of attack, the following steps should be taken:
* Enable MFA and review MFA settings to ensure coverage over all active, internet facing protocols
* Review password policies to ensure they align with the latest NIST guidelines and deter the use of easy-to-guess passwords
* Review IT Helpdesk password management related to initial passwords, password resets for user lockouts, and shared accounts. IT Helpdesk password procedures may not align to company policy, creating an exploitable security gap
* In addition, many companies offer additional assistance and tools the can help detect and prevent password spray attacks, such as the Microsoft blog released on March 5, 2018 (link below):
https://cloudblogs.microsoft.com/enterprisemobility/2018/03/05/azure-ad-and-adfs-best-practices-defending-against-password-spray-attacks/

TA18-086A: Brute Force Attacks Conducted by Cyber Actors
U.S. Department of Homeland Security US-CERT
03/28/2018

Salesforce Einstein, the #1 CRM becomes the World’s Smartest CRM

Salesforce EinsteinWe live in a hyperconnected world. Artificial Intelligence and Machine Learning have replaced Big Data as the buzzwords of 2016. If I hear AI I think of movies like “HER” or “Moon” or “2001: A Space Odyssey”. But, AI is reaching a tipping point from being the focus of clever movie plots to a tangible business reality. This is thanks to the access and the ability to crunch petabytes of data and the low cost of high power cloud computing. Gartner already predicted last year that “by 2018, 20% of all business content will be authored by machines”.

What does Einstein mean for our customers?

Powered by advanced machine learning, deep learning, predictive analytics, natural language processing and smart data discovery, Einstein’s models will be automatically customised for every single customer. It will learn, self-tune and get smarter with every interaction and additional piece of data. And most importantly, Einstein’s intelligence will be embedded within the context of business, automatically discovering relevant insights, predicting future behavior, proactively recommending best next actions and even automating tasks.

(Blog Salesforce, 12/12/2016)

Oda Bucuriei

“Taie-le rădăcinile, acoperă-le cerul, distruge-le tradițiile, dezbină-i, fă-i să se rușineze de ceea ce sunt! Astfel, nu va trebui să lupți pentru a-i cuceri, pentru că, speriați de ceea ce vor fi devenit, te vor implora pe tine să vii și să-i salvezi de ei înșiși.” – Sun Tzu

labrint_1

Stând de vorba cu mai multă lume, mi-am dat seama că am trecut în altă grupă a societății: a celor ce înțeleg lumea într-un mod neînțeles ne total minus unu sau doi. Unul sunt eu, sunt optimist că voi mai gasi unul diferit de “eu”, dar în aceeași grupare cu mine. Altul care va putea să zică “Da” fără să contra-argumenteze sau să zică altă propoziție la care eu să zic “Da”.

Ce este cu Sun Tzu pe aici. Azi discutam despre fondurile europene și îmi expuneam ideile cu motivul pentru care uniunea suportă cu bani repararea și construirea în România. Managerul de cofetărie cu care discutam, era de acord în mare parte cu mine. Ne-am despărțit prietenește, eu ducându-mă spre bancă, să-mi plătesc ratele la credite. Mai am un pic și scap de ele. Azi mi-au redus dobânda de la 8,8% la 8,7%. Bla bla, nu duce nicăieri logoorea aceasta scrisă. Nici nu nimic important de concluzionat.

Doar mă simt rănit că România e rănită și nu are cine să o facă bine.

Rugaciuni pentru stingerea focului din insula Thassos

Incendiu Thassos - Fire thassos september 2016Mulți români își petrec vacanța în Grecia, în Insula Thassos. În 10 septembrie 2016 a izbucnit un incendiu în pădurile de pe dealurile din Prinos. La ora 6 de dimineața au fost niște fulgere mari, dar fără ploaie. Vegetația uscată a luat foc și incendiul s-a răspândit. Din ce am citit în presa online greacă, pădurile acestea de pini erau tinere, după un incendiu din anii 80, totul a fost reîmpădurit.

Film din 11/09, focul inca nu e stins:

Zonele cu incendiu in 10 septembrie 2016
Zonele cu incendiu in Thassos 10 septembrie 2016

Rugăciune pentru Thassos

Megalo KazavitiFac un apel la rugăciune pentru stingerea focurilor din insula Thassos. Fac un apel și la partajare (share) pe rețele sociale (Facebook etc.). De ce? Pentru că mi se pare normal ca să te rogi pentru binele oamenilor din acele zone. Satele Megalo Kazaviti si Megalo Prinos au fost evacuate, alt sat a fost și el evacuat. Flăcările erau imense din ce am văzut de pe drumul de coastă. In portul Skala Prinou apa mării fierbea și nu pleca nici un feribot spre Kavala. Noi tocmai plecam cu o zi mai devreme, deci nu fugeam de foc, doar s-a nimerit să fim martori la începutul acestei calamnități.

img_1425De ce românii ar trebui să se gândească prin rugăciune la greci, la protejarea caselor lor și la stingerea focului?

  • e uman să îți dorești ca acei oameni să fie bine
  • e fain să mergi la ei în vacanță și să mănânci roadele pământurilor lor
  • tot uman este să ai gănduri de mulțumire pentru tot ce ai primit, chiar dacă ai dat niște hârtii colorate pentru produse
  • azi e duminică (data articolului) și poate mergeți la biserică

Ajută-i Doamne să stingă focul și să le protejeze familiile si casele.

Portul Skala Prinou in furtuna

Instalare Php 5.6 pe un Max OsX El Capitan

os_x_el_capitan_roundupDaca intelegi titlul, inseamna ca poate te intereseaza acest articol. Versiunea El Capitan de sistem de operare pentru calculatoare Apple, vine cu o versiune de webserver instalata in sistem, adica un Apache cu PHP. Versiunea de PHP este 5.5.x. Unele aplicatii, de exemlpu PHPUnit sau Composer, au nevoie de o versiune mai mare, minim 5.6.x.

Sunt destule articole despre acest upgrade:

La Gmail lipsesc ș și ț din prima pagină

Dragă Google, sper să nu mă blochezi și să nu mă mai vizitezi și indexezi. Am ceva de spus: din imaginea de pe prima pagină a Gmail-ului (www.gmail.com) lipsesc din captură literele diacritice. Binențeles că imaginea este servită doar românilor, dar poate ai timp să o schimbi.

Gmail_–_E-mail_și_stocare_gratuită_de_la_Google_-_2016-05-05_11.54.28

Multumesc,
un singur utilizator de gmail.com

Roata Doreliană – Bățul Dorelian

M-am gândit să public primul termenul de “roată doreliană“. Termenul acesta pornește de la sintaxa “reinventarea roții”.

Este o roată de producție românească. Pacepa povestea demult ca România era bună la spionajul industrial pe vremea lui Ceaușescu. Acum chinezii pot copia orice și au puterea să vândă produsele copiate. Roata de față nu este o roată chinezească, este o roată facută de români puri, cetățeni cu rădăcini în România.

Principiul “Roții Doreline” este: românul vede un obiect sau o acțiune și dorește să o aibe, să o producă sau să o facă și el, prin propriile puteri, folosindu-se de uneltele proprii sau împrumutate gratuit de la alții. Dorința aceasta de mimetism este profundă, rezultatul final este un produs (sau serviciu) satisfăcător pentru moment, dar care în timp se strică, dispare sau se distruge. Producția de roată are la bază “profitoria”, urmărirea ascunsă de obținere de bunuri materiale (sunt incluși aici și banii), minimalizare costurilor și derogarea responsabilităților.

Se folosesc cele mai ieftine materiale, timpul de muncă să fie cel mai scurt posibil, timpul liber sa fie cât mai mare, plata sa fie cât mai mare. Dacă produsul final are o coajă, o acoperire, nu mai contează și cum e facut interiorul. Important ca la suprafață să funcționeze și să fie plăcut ochiului. Dacă nu place, atunci puterea de convingere și comparația sunt cele mai bune metode de modificare a opiniei clientului final.

Mai există și termenul “Bățul Dorelian“. Acest bâț se bagă în roțile care funcționează, produc produse și servicii, dar nu sunt în proprietatea deținătorului de băț. Bățul dorelian vine de la sintaxa “a băgă bețe în roate”.

Scopul “Bățul Dorelian” este evident celor cu IQ peste 40. Dacă nu e evident, atunci citește în continuare: Bățul Dorelian folosește la împiedicarea desfășurării pozitive și corecte a unui lucru sau acțiune a altei persoane.

“La mulți ani Dorele!”

Erori la instalare SugarCRM

Ammai incarcat acum 1 an si ceva sa instalez un CRM, numit SugarCRM. Tot de aceleasi erori am dat si de data aceasta si opinia facuta din prima a fost proasta. Contine niste declarari de clase cu metode statice, care se calca una pe alta si genereaza erori de tip Strict si alte comenzi Deprecated.

Sugar_Setup_Wizard_Welcome_to_the_SugarCRM_6.5.23_Setup_Wizard_-_2016-04-15_20.13.49

Instalarea dupa ascunderea notificarilor Strict s-a putut desfasura, dar accesul e oprint din cauza ca se tipareste ceva inaintea deschiderii sesiunii. Solutia este ca in index.php sa fie specificata ascunderea erorilor de tip Strict si Deprecated.

error_reporting(E_ALL ^ E_STRICT ^ E_DEPRECATED);