IEEE 802.1x for WinPE

January 14th, 2010 Comments off
Categories: 802.1X, hotfix, WinPE Tags:

SmartUtil by JW Secure, Inc.

December 5th, 2009 Comments off

A graphical tool that facilitates testing and deployment of smart cards:

  1. Initialize a smart card.
  2. Enumerate the contents of a smart card, including certificates, files, directories, and crypto key names.
  3. Delete & Clean a smart card.
  4. View and initialize smart card root certificates.

SmartUtil supports cards that implement the card module/mini-driver interface defined by Microsoft. The tool is provided by JW Secure, Inc. and can be downloaded here.

/Hasain


Categories: Base CSP, GUI tool, Smart Card, SmartUtil Tags:

Vad Àr en DoS-Attack

November 4th, 2009 Comments off

Det har väl inte undgått någon att DoS attacker är ganska populära nu så här kommer en förklaring saxat ur DN.SE:

"Så kallad Dos-attack. Mejl skickas samtidigt från en mycket stor mängd datorer, vilket får den mottagande hemsidan att krascha"

Det tål att fundera på vad orsaken till denna, minst sagt, konstiga förklaring kan vara. Är det brist på kunskap, tydlighet eller oförmåga att förklara sådana abstrakta ting för icke nördar/tekniker.

Jag tror att vi som kan detta behöver vässa förmågan att kunna förklara på lite enklare och tydligare sätt så att "vanligt folk" kan förstå…

/Hasain


Categories: DoS-Attack Tags:

Announcing: Swedish Windows Security User Group

November 2nd, 2009 Comments off

Jag har nöjet att presentera gruppen Swedish Windows Security User Group som fokuserar på att erbjuda alla medlemmar möjligheten att kunna nätverka andra experter och kunniga på området med målet att sprida information och kunskaper om säkerhetsfrågor.

Gruppen kommer att användas ett forum på itproffs.se som gruppens publika informationsplats där vi bl.a. meddelar våra aktiviteter samt tar emot förfrågningar om medlemskap och delaktighet i gruppen. Alla medlemmar som dessutom är aktiva itproffs medlemmar uppmanas att fortsätta sitt engagemang i andra forum som fokuserar på säkerhet och inte flytta sina aktiviteter till gruppen privata areor som finns på http://winsec.groups.live.com.

Gruppen kommer att använda http://winsec.groups.live.com under en period tills vi har fått bättre förutsättningar inom ramen för itproffs så att vi kan använda den nya plattformen för gruppens privata behov.

Vi har som mål att anordna återkommande träffar och möten för diskutera intressanta nyheter och ämnen samt utöka gruppens möjligheter att sprida och dela med sig av kunskaper kring säkerhet i Windows plattformen.

mvh

Hasain


StorageWorld 2009 – Stockholm

October 15th, 2009 Comments off

Tack för en givande dag på Operaterassen i Stockholm, det blev en mängd mycket givande diskussioner kring lagring, säkerhet och en del annat.

Hoppas det blir en massa lika spännande frågor i Malmö nästa vecka…

/Hasain


Categories: föreläsning, Storageworld 2009 Tags:

Delete failed request from the Certificate Services database

October 11th, 2009 Comments off

How do I delete all Failed Requests logged on my Certificate Services database?

The Certutil tool can be used to list and delete Failed Requests logged on any ADCS database, but the two operations cannot be combined in one request and you have to manually transfer the request is from the listing of failed requests to the deleterow command.

The attached script combines the two steps and automate the whole process for an easier management task.

/Hasain

 

———————————–delete_failed_adcs_requests.vbs———————————–

Set objShell = CreateObject("WScript.Shell")

Set objWshScriptExec = objShell.Exec("certutil -silent -view -out ""RequestID"" LogFail")

Set objStdOut = objWshScriptExec.StdOut

Do Until objStdOut.AtEndOfStream
    strLine = objStdOut.ReadLine
    If Len(strLine) > 10 Then

 Set regEx = New RegExp
 regEx.Pattern = "( .*?\(|\))"
 regEx.IgnoreCase = True
 regEx.Global = True
 regEx.MultiLine = True
        WScript.Echo "Deleting: " & strLine
        Set objWshScriptExec = objShell.Exec("certutil -deleterow " & regEx.Replace(strLine, ""))

    End If
Loop


———————————–delete_failed_adcs_requests.vbs———————————–


scUtil tool to manage admin/user PIN for minidriver (Microsoft Base Smart Card CSP) based smart cards

October 1st, 2009 Comments off

A must have tools for all of you with minidriver based smart cards to manage admin and user pin on such cards. The tool is free to download and use as well as to modify or reuse the code in other projects.

Many thanks to Björn Österman who made the tool available.

/Hasain

—————————————————————————
scUtil.exe, version 1.0, Author: Bjorn Osterman, Company: TrueSec AB, Sweden

syntax: scUtil.exe unblockpin        <adminkey>    <newpin>
scUtil.exe changepin         <oldpin>      <newpin>
scUtil.exe changeadminkey    <oldadminkey> <newadminkey>
scUtil.exe calculateresponse <adminkey>    <challange>
scUtil.exe generaterandomkey

<adminkey> is one the the following alternatives:
– 48 hexadecimal characters
– “default”, representing 48 zeroes
– “random”, representing 48 random hexadecimal characters

<pin> is variable-length string composed of alphanumerical characters
—————————————————————————

download: scUtil.zip

After <24 hours, we’d issued >20 million certificates!

August 19th, 2009 Comments off

Are you wondering about how scalable ADCS is?

An interesting ADCA scalability testing was done at the Enterprise Engineering Center (EEC) by the Windows Server Engineering Team showing that it is possible to produce more than 20 million certificates in less than 24 hours using a cluster of 10 ADCS VM!

Read more about this test at: http://blogs.technet.com/wincat/archive/2009/08/10/scale-testing-the-world-s-largest-pki-all-running-on-ws08r2-and-hyper-v.aspx

 

/Hasain


Categories: ADCS, scalability testing Tags:

ADCS components that can be configured on different editions of Windows Server 2008 R2

June 17th, 2009 Comments off

The following table lists the AD CS components that can be configured on different editions of Windows Server 2008 R2.

Components

Web

Standard

Enterprise

Datacenter

CA

No

Yes

Yes

Yes

Network Device Enrollment

No

No

Yes

Yes

Online Responder

No

No

Yes

Yes

CA Web Enrollment

No

Yes

Yes

Yes

Certificate Enrollment WS

No

Yes

Yes

Yes

Certificate Enrollment Policy WS

No

Yes

Yes

Yes

The following features are available on servers running Windows Server 2008 R2 that have been configured as CAs.

AD CS features

Web

Standard

Enterprise

Datacenter

Customizable version 2 and 3 templates

No

Yes

Yes

Yes

Key archival

No

Yes

Yes

Yes

Role separation

No

No

Yes

Yes

Certificate manager restrictions

No

No

Yes

Yes

Delegated enrollment agent restrictions

No

No

Yes

Yes

Certificate enrollment across forests

No

No

Yes

Yes


Onlineseminarium – Next Generation Windows Security, 18 juni 2009 12:00 – 14:00

June 17th, 2009 Comments off

den 18 juni 2009 12:00 – den 18 juni 2009 14:00 lokal tid, LiveMeeting Sverige

 

Språk: Svenska.
Produkt(er): Windows 7 och Windows Server 2008.
Publik: IT-expert.

Evenemangsöversikt

Välkommen att delta i vårt online seminarium för IT-proffs!

 

Vi startar kl 12 och håller på i minst en men max två timmar, och du har möjlighet att ställa frågor i slutet av seminariet.

Next Generation Windows Security

Äntligen är den här! Nu kan alla bygga det genom tiderna säkraste Windows systemet med hjälp av komponenter från Windows 7 & Windows Server 2008 R2 som innebär en mängd nya och spännande möjligheter inom området säkerhet i Windows plattformen.

Vi granskar Authentication Assurance, NTLM Restrictions, DNSSec, Direct Access, Bitlocker To Go, Managed Service Accounts, SRPv2 och givetvis alla nyheter inom PKI och hantering av certifikat och smartkort.

 

 


Talare: Hasain Alshakarti, TrueSec
Målgrupp: IT-proffs

Registrering:

http://msevents.microsoft.com/CUI/EventDetail.aspx?EventID=1032408962&Culture=sv-SE


Evenemangs-ID:
1032408962


Security Summit 2009 – Part I

June 5th, 2009 Comments off

Thanks to all of you who attended the Part I of the Security Summit 2009 yesterday and a special thanks to our guest Robert ‘RSNAKE’ Hansen.

Here is a list of the tools we used at the session presented by me and Marcus Murray:

See you all again at Part II

/H


Fixed port for the "CertSrv Request" RPC/DCOM component in Windows Server 2008

April 28th, 2009 Comments off

The default setting of the "CertSrv Request" component in Windows Server 2008 does not allow administrators to change the settings of the component. If your certification authority is behind a firewall or if you want to allow for connections to the service using static TCP ports; you need then to enable modification settings of' the 'CertSrv Request' component by following the steps below:

  • Open Register Editor to 'HKEY_LOCAL_MACHINE\SOFTWARE\Classes\AppID\{D99E6E74-FC88-11D0-B498-00A0C90312F3}'
  • Right click the {D99E6E74-FC88-11D0-B498-00A0C90312F3} key (AppID of Certsrv Request), choose permission
  • Take the ownership to Administrators. Then grant the Administrators 'full control' permission
  • Start the dcomcnfg.exe and change the setting

Use with great care!

/Hasain


GrÀnslösa e-identiteter flyttar teknikfrÄgorna uppÄt

April 28th, 2009 Comments off

Vi har skapat ett unikt mötesrum för tekniker, jurister, affärsutvecklare, myndighetschefer och leverantörer att träffas och handfast utväxla kunskap om tillförlitliga och säkra identiteter. Vi har samlat ledande intressenter under en interoperabilitetsövning under två dygn som, bland annat, ska ge svar på:

  •  Hur e-legitimationer av olika utfärdare fungerar tillsammans
  •  Hur aktiva kort från olika tillverkare fungerar ihop på mängder av olika tekniska plattformar
  • Hur juridiken kan stödja tekniken
  • Vilka fallgropar som finns rent semantiskt mellan teknik och juridik
  • Vilka processer som krävs för att effektivt ta tillvara tekniken i sin organisation

Vår samlade erfarenhet inom området är närmare 100 år. Trots det stöter vi dagligen på fallgropar som hindrar en effektiv användning av e-legitimationer och aktiva kort. Ytterligare dokument är det sista som behövs. Istället behöver vi skapa ett mötesforum för intressenterna.

E-legitimationer används med stor framgång av hundratals myndigheter och näringslivsaktörer för att ge bättre service till sina slutanvändare. De senaste åren har en ny form av användning brutit mark och alltfler väljer att tala högt om behovet av tjänstelegitimationer.

Grundvalarna för ett fungerande handelssamhälle bygger på förtroende att:

  • Vi vet vem vi interagerar med
  • Vi kan enas om en tjänst/vara
  • Ingångna avtal fullföljs

Vi har upprättat mekanismer för att:

  • Kontrollera någons identitet med hjälp av handlingar utgivna av en betrodd part
  • Specificera vad vi vill göra i form av produktbeställningar eller tjänsteleveranser
  • Skriva under avtal där parterna förbinder sig att uppfylla det som överenskommits

E-samhället förändrar möjligheterna att verka på global basis för alla parter, men grunderna är desamma. Vi måste göra ”som vi alltid har gjort”! Det är här e-legitimationen kommer in i bilden. E-legitimationen är, utifrån förtroendeperspektivet, grundbulten för ett fungerande e-handelssamhälle. Tillsammans med aktiva kort i någon form kan en framtidssäker plattform för förtroenden byggas. Låt oss mötas kring den på LabCenter i höst!

 

Hasain Alshakarti, Senior Security Advisor, TrueSec AB
Bertil Bergkuist, Seniorkonsult, CAG Arete AB
Carl Hössner, PKI- och säkerhetsexpert, Finansiell ID-teknik AB
Lars Johansson, Säkerhetsexpert, Omegapoint AB
Roberth Lundin, Software Engineer, Steria AB
Predrag Mitrovic, VD, LabCenter AB
Pål Ragnarsson, Solutions Manager, HID Global


Error 0x80094800 "The requested certificate template is not supported by this CA"

April 23rd, 2009 Comments off

One very common reason to this issue is that the CA is not able to read the content of the template; this is often because the authenticated users group has been removed from the ACL list of the template. To solve this without reusing the authenticated users group you can give the computer account of your CA read permissions to the specific template.

If the above is not true, make sure the templates is listen in the templates to issue for your CA and that the template is available throughout your Active Directory.

/Hasain


Categories: ADCS, templates Tags:

XSS problem hos div nÀttidningar

April 1st, 2009 Comments off

Jag har startat ett litet projekt som går ut på att kartlägga XSS problem hos olika nättidningar och andra nyhetsmedia, rapportera felen till ansvariga och se vad som händer för att fortlöpande rapportera om aktiviteten här för de som är intresserade!

Lite regler först för vad som kommer att finnas tillgängligt:

  • Inga namn eller adresser
  • Inga texter från ev. epost med de berörda
  • Antal hittade sårbarheter & användbarhet
  • Mina kommentarer och tankar om det jag hittar

Jag har tills idag rapporterat till tre olika tidningar varav en svarat mycket snabbt och faktiskt åtgärdat en del av problemen

Fix rate är altså 1/3!

Har du bra tips på tidningar eller andra nätbaserade nyhetsmedia som bör vara med så meddela detta till mig genom e-post på:

 h a s a i n (snabel a) t r u e s e c (punkt) s e

/Hasain


Categories: sårbarheter, XSS Tags:

Mina anteckningar frÄn min session "Ett fungerande PKI pÄ 45 minuter" pÄ TechDays i vÀsterÄs

March 17th, 2009 Comments off

Tack alla deltagare som besökte våra sessioner på TechDays i västerås, som jag lovade så bifogar jag mina anteckningar som jag gjorde under min session om PKI i denna post

Observera att filen måste döpas om till .xps

/Hasain


Categories: anteckningar, PKI, TechDays Tags:

Is certutil.exe a hacker tool?

February 23rd, 2009 Comments off

I was recently involved in a penetration testing activity together with some of my team members at TrueSec and we simply ran into a little issue where we needed to convert some binary files to a more convenient format to be able to transfer to the target system we were working with. This is normally not a big issue but this system was a little bit more tightened than what we normally see at customer’s sites. We could for instance not use WSH to create a decoding script as the system required all scripts running to be signed and when we looked for the debug command it was not there anymore!

 So the challenge was to find a tool already built into the Windows platform that could perform any kind of decoding from text to binary. Since Windows 2000 there is built-in command-line program called certutil.exe for managing Certificate Services and certificate related tasks, this nice tool provides a way to encode and decode files using the Base64 schema. As this tool is one of many built-in tools in Windows, the system did not had any issues to let us use it for the purpose of decoding our Base64 encoded text stream we managed to transfer to the server and the saga could continue as planned, or should I say as we planned 🙂

 

/Hasain


Categories: base64, certutil.exe, hacker, injection, Tool Tags:

Manually importing keys into a smart card using the Base CSP

February 9th, 2009 Comments off

To import keys using the Microsoft Base Smart Card Crypto Service Provider you need to performe the following steps:

  1.  Modify the registry keysbelow:
    • HKLM\SOFTWARE\Microsoft\Cryptography\Defaults\Provider\Microsoft Base Smart Card Crypto Provider\AllowPrivateExchangeKeyImport=DWORD:0x1
    • HKLM\SOFTWARE\Microsoft\Cryptography\Defaults\Provider\Microsoft Base Smart Card Crypto Provider\AllowPrivateSignatureKeyImport=DWORD:0x1
  2.  Use the certutil.exe tool to import the key stored in a pfx file:
    •  certutil –csp "Microsoft Base Smart Card Crypto Provider" –importpfx {PFXfile}

/Hasain


Categories: Base CSP, certutil.exe, import, PKI Tags:

Authentication Mechanism Assurance for AD DS in Windows Server 2008 R2

January 21st, 2009 Comments off
What if you could add add group membership to a user's access token when the user is authenticated using a certificate-based logon method and making the policies included in the certificate to decide what groups should be added.

This is now possible using the Authentication mechanism assurance feature in Active Directory Domain Services (AD DS) in Windows Server 2008 R2. When enabling this feature a user's access to resources on the network when authenticated using certificate based logon can be treated as different from what that access would be when the user types a user name and password as the user's group membership is changed reflecting the authentication method used

This feature is intended for organizations that use certificate-based authentication methods, such as smart card or token-based authentication systems. Organizations that do not use certificate-based authentication methods will not be able to use authentication mechanism assurance, even if they have Windows Server 2008 R2 domain controllers with their domain functional level set to Windows Server 2008 R2.

The best part of this feature is that any client or server operating system that is able to interpret Windows access tokens can be used to grant or deny access based on the group membership or memberships that are added to a user's token by authentication mechanism assurance.

 /Hasain


SSL Inspection, can you guess what is wrong?

December 3rd, 2008 Comments off

This is the third time i have been asked if I consider it fine to copy an issuing CA:s keys and certificate to the new device the network department just installed for the simple reason that it needs to enroll certificates from a trusted CA, and be able to performe SSL Inspection on all outbound HTTPS traffic without causing certificate errors on the clients.

If you think about it for a while, and specially if your issuing CA is AD integrated, would not that mean that your network department can just impersonate any account in your AD? Sure you trust the network department but what about that device and the software used?

The main reason to do SSL Inspection is to be able to filter on the content of the "secure universal firewall bypassing protoocol", yes the bad guyes are using it to fool your IDS, IPS, Layer 7  Firewall etc. What do you think would happen if the SSL Inspection layer you are using hade som vulnerabilities, yes this kind of software does have vulnerabilities as well, that could be used by an attacker to extract your issuing CA keys and certificate and….

The best answer would be to create a new self signed CA certificate and trust that in your client computers for server authentication purposes such as to prove the identity of webservers. This CA should not be trusted by any of your servers and none of your DCs for som very clear reasons.

My advice to you is to be very carefull where you put your CA keys and how far you can trust the place!

/Hasain


Categories: PKI, SSL Inspection, trusted CA Tags: