default.aspx

Communityhack inom säkerhet den 18 Februari

patrik — Thu, 26 Jan 2012 09:59:16 +0000

OWASP Göteborg håller ett communityhack inom säkerhet den 18 Februari.

Så alla som är säkerhetsintresserade och bor i närheten av göteborg.
Boka in den 18 Februari för en heldag med likasinnade.

Bokning sker via:
http://communityhack-feb-2012.eventbrite.com/

41% av sajterna på IDGs topp 100-lista är sårbara för DOM-XSS

patrik — Wed, 25 Jan 2012 08:39:46 +0000

Jag har analyserat sajterna på IDGs topp 100-lista för 2011. Jag kom då fram till att 41% av sajterna var sårbara för DOM-XSS-attacker.

Analysen ligger på OWASP Sweden-bloggen.
http://owaspsweden.blogspot.com/2012/01/dom-xss-genomgang-av-sveriges-basta.html

Event om DOMinator och OWASP Hatkit

patrik — Sun, 23 Oct 2011 19:07:40 +0000

Jag är delaktig i OWASP Göteborg.

Den 3 november arrangerar vi vårt andra event.
Vi har lyckats locka hit både Stefano Di Paula (skaparen av DOMinator) och Martin Holst Swende (talare på DEFCON). Det kommer att bli en mycket intressant kväll.

Boka din plats på eventbrite.

Hela eventet hålls på engelska.

OWASP startar i Göteborg

patrik — Mon, 01 Aug 2011 06:13:09 +0000

OWASP (Open Web Appliaction Security Project), en ideell global organisation, som fokuserar på att öka säkerheten i mjukvara, startar nu igång verksamhet i Göteborg. Det innebär att alla i Västsverige kan komma och lyssna på intressanta seminarier om säkerhet några gånger per år.

Den första träffen är den 25 Augusti, anmälan sker via eventbrite.
http://owaspgbg-aug2011.eventbrite.com

Den första träffen innehåller
Presentation av OWASP Göteborg
Genomgång av OWASP Top 10, inklusive demo
Språkbaserad säkerhet

Ninite – installerar många program vid datorinstallation

patrik — Fri, 12 Nov 2010 18:16:19 +0000

När man installerar en dator är det vissa program man alltid vill installera, såsom (för min del) firefox, chrome, opera, vlc, paint.net, flash, adobe reader, winrar, winscp, notepad++ och putty. I bästa fall har man alla program på en annan hårddisk eller på nätverket, men vill man ha den senaste versionen så måste man besöka respektive hemsida och installera. Det är mängder av dialogrutor och ett ganska mödosamt arbete.

Jag har använt ninite ett tag nu och tycker att det är ett helt suveränt program.
Du besöker ninite.com, väljer vilka program du vill ha (just nu finns det omkring 80-90 program) och laddar ner en installationsfil på ca 200kB. Sedan startar du din personliga installationsfil och helt automatiskt börjar programmet ladda ner (sena versioner) av programmen, för att efter nedladdning – helt utan dialogrutor – installera alla de program man har valt. Det är extremt smidigt. Programmet finns även för linux.

Programmet finns även i en pro-version för företag som då kostar pengar. Gratisversionen för personlig användning är helt gratis.

Deras slogan ”No toolbars or junk. No clicking Next. Just the apps you want, fast.” är helt rätt.

SQL-Server 2008 R2 hänger sig var fjärde minut

patrik — Thu, 23 Sep 2010 19:54:07 +0000

Jag satt och slet mitt hår med symptomen att sql-server slutade svara på frågor var fjärde minut. Problemet varade mellan 20-60 sekunder. Därför vill jag gärna dela med mig av hur det löstes.

Systemet körde på Windows Server Enterprise Edition 2008 R2 x64 med SQL Server Enterprise Edition 2008 R2 x64. Disksystemet var 8st Samsung 100GB SSD SLC. 512MB cache i diskkontroller och 128GB ram. Processorn var två Intel X7550 med åtta kärnor.

Vi flyttade våra databaser från SQL-Server 2005 standard edition x64 med en betydligt äldre hårdvara. Alla mätningar vi gjort (med IOMeter) innan det nya systemet driftsattes pekade på att vi kunde få ut mer än dubbelt så mycket IO, jämfört med det gamla systemet.

När det nya systemet sattes igång såg allt väldigt bra ut. Låg CPU-last, låga köer på disksystemen och inga minnesproblem. Efter ett tag i takt med att det blev mer och mer last såg vi dock en tendens till att systemet hängde sig. Detta blev mer och mer allvarligt eftersom dessa hängningar gjorde att alla frågor köades upp och efter ett tag blev kön så full att databasen inte kunde ta emot fler anrop och därför fick klienterna fel.

Frågor som normalt tog 2-5 ms tog istället 10-15 sekunder.
Jag hade efter uppgraderingen byggt om alla index, uppdaterat statistiken och kompilerat om alla lagrade procedurer.

Jag körde igång flera trace mot databasen för att försöka hitta om problemet låg på någon enskild fråga som inte passade sql-server 2008 lika bra, men jag hittade inga sådana samband. Jag tittade med performance monitor för att se diskköer och se om checkpoints från databasservern kanske var orsaken till hängningarna. Men det visade sig att checkpointsen inte alls kördes samtidigt som hängningarna uppstod.

Jag visste att vi hade de senaste drivrutinerna och vi använde servertillverkarens drivrutiner. På raid-kontrollerkortet var write cache aktiverat.
Innan systemet driftsattes hade vi lagt på senaste CU till sql-server 2008 R2, samt kört windows update. Även SQL-Server Server 2008 best practice analyzer hade vi kört för att verkligen säkerställa att vi konfigurerat allt rätt.

Som start hade jag satt att SQL-Server maximalt fick utnyttja 126GB av de tillgängliga 128GB. Jag provade att sänka detta, så SQL-Server bara fick 96GB tillgängligt, för att säkerställa att det inte var windows som hade för lite resurser. Jag satte även ner max degree of parallelism till 8 för att säkerställa att det inte var enskilda processer som tog mycket CPU. Nu hade visserligen inte mina mätningar på CPU med performance monitor visat detta, men jag ville ändå dubbelkolla.

Jag kontrollerade alla inställningar när det gäller energisparläge. Allt sattes till ”maximum performance” för att säkerställa att systemet skulle leverera så mycket som möjligt.

Jag körde sp_who2 och who is active som tydligt visade att systemet hade problem (när hängningarna skedde), bland annat genom att flera hundra processer fanns i listan, jämfört med bara några få annars. Mellanperioden var det inga som helst problem. Det svåra i felsökningen var att då hängningarna inträffade så visade dessa verktyg att mycket enkla frågor skapade låsningar och deadlocks.

Slutligen visade det sig att det hela rörde sig om en bugg i windows som microsoft ännu inte har valt att släppa ut på windows update.

Buggfixen hittar ni här. Där kan man bland annat läsa ”A computer that is running Windows 7 or Windows Server 2008 R2 becomes unresponsive when you run a large application” och att hotfixen var släppt den 14 april 2010.

Jag kan inte annat än att säga att jag helt klart trodde att windows server 2008 r2 var byggt för just ”large applications”. Det är naturligtvis förödande när man lägger flera hundra tusen på licenser och trots det får man enorma problem. Som dessutom beror på en känd bugg men som de av någon anledning inte valt att lägga ut på windows update.

Jag vill också säga att vi givetvis skapade ett supportärende mot microsoft, men att de inte hade hittat någon lösning innan vi fick hjälp av Jason Massie på msdn-forumen som hade råkat ut för samma sak och därför kunde peka i rätt riktning ganska omgående.

Jag hoppas att detta inlägg kan hjälpa andra som är på väg att gå över till windows server 2008 r2 och där planerar att köra ”större applikationer”.

Enterprise library långsam med ExecuteSprocAccessor

patrik — Fri, 03 Sep 2010 19:15:59 +0000

När man använder det nya verktyget i enterprise library för att automatiskt mappa properties till objekten så har jag upplevt att det blir ungefär 5 gånger långsammare jämfört med det gamla sättet med GetStoredProcCommand och ExecuteReader.

Såhär kan det exempelvis se ut:

var db = EnterpriseLibraryContainer.Current.GetInstance("connectionstring") as SqlDatabase;
var myObject = db.ExecuteSprocAccessor("mySP", new object[] { param1, param2 }).SingleOrDefault();

Enterprise library-teamet har dock själva insett detta och skapat möjligheter för att slippa skapa upp stored-procedure-accessorn varje gång. Det gör man med CreateSprocAccessor.

Då kan det se ut såhär:

var db = EnterpriseLibraryContainer.Current.GetInstance("connectionstring") as SqlDatabase;
if (accessor == null)
    accessor = db.CreateSprocAccessor("mySP");
var myObject = accessor.Execute(new object[] { param1, param2 }).SingleOrDefault();

Tänk dock på att om du ändrar antalet parametrar i din SP så måste du ladda om accessorn eftersom den är cachad.

Visual studio 2010 hänger sig vid debug med iis

patrik — Thu, 27 May 2010 17:39:05 +0000

Jag hade problem med att debuga med visual studio 2010. Visual studio hänger sig när den byggt färdigt sajten och skall dra igång debuggern. Inget felmeddelande från visual studio eller i event loggen. Det var en riktigt tråkig hängning dessutom där den enda lösningen var att stänga av processen.

Problemet beror på att jag hade impersonation aktiverat tillsammans med integrated mode i iis 7.5.
Detta skall givetvis normalt fungera, men vi får vänta på en buggfix från microsoft. Till dess finns det tre lösningar.

Stäng av impersonation, när du skall debugga
Byt till classic mode för den aktuella application pool:en i iis
Anslut till processen (webbläsaren) manuellt (attach to processes via debug-menyn)

Application warm-up för iis 7.5

patrik — Thu, 26 Nov 2009 20:36:56 +0000

Jag vill tipsa om ett plugin till iis 7.5 som heter application warm-up.

Varje gång man laddar upp nya filer, ändrar web.config eller en application pool recycle så måste koden kompileras om. På grund av det så tar det alltid extra lång tid för den första requesten direkt efter en uppladdning exempelvis. När man har flera webbservrar och behöver göra underhåll så kommer det också att ta extra lång tid för den första requesten efter att man släppt på trafik igen.

Detta är givetvis inte bra eftersom användarna drabbas och upplever sidan som långsam.

Ett annat problem kan vara om man har en byggserver som bygger x gånger per dag, och när man vill gå in där för att testa så får man vänta några sekunder innan sidan visas. Det är givetvis irriterande.

Med application warm-up kan du se till att alltid ha förkompilerade sidor.
Exempelvis kan man aktivera så den alltid kompilerar direkt efter varje recycle. Utöver det kan man själv specificera tidpunkter och/eller sidor man vill att application warm-up skall anropa. Kanske har man en tung sida som normalt ligger cachad länge, men första gången sidan laddas så tar det 10 sekunder att läsa in all data till cachen. Då kan man låta pluginet göra det, istället för att användarna skall behöva vänta den tiden.

Smarta kort med windows server 2008 och windows 7

patrik — Sun, 22 Nov 2009 15:13:10 +0000

Jag skriver mest om webbrelaterad säkerhet på denna blogg, men nyligen satt jag och labbade med att försöka logga in på windows med smarta kort. Jag tyckte det var onödigt komplicerat, så för andra som vill prova detta vill jag dela med mig av hur jag gjorde för att komma igång.

Innan man kan börja behöver man en del hårdvara. Jag valde att köpa kort och kortläsare från gemalto och då deras gemalto .net-kort. De går att köpa exempelvis från smartjac.

När jag kopplade in kortläsaren i min windows 7-maskin så hittade den drivrutiner direkt. Men den hittade inga drivrutiner till kortet. För att hitta rätt drivrutiner lät jag bara kortet sitta i, gå till windows update och där tipsade den om drivrutiner till mitt kort. När klienten nu är klar är det dags att ge sig på servern.

För att få lite struktur så skapar jag först en grupp (SmartCardUsers) i active directory som skall kunna logga in med smart card. Det gör att det är väldigt enkelt att bara stoppa in nya användare efterhand.

För att få smarta kort att fungera måste man ha en tjänst som kan utfärda certifikat. I windows server 2008 heter den rollen active directory certificate services (ADCS) och det är alltså den du måste installera.

Man styr hur smarta kort skall hanteras genom GPO (adminstrative tools -> group policy management). De ändringar man behöver göra för att komma igång är att först och främst konfigurera så att GPOn endast appliceras på den nyskapade gruppen SmartCardUsers. Det gör man genom Security Filtering och lägga dit gruppen och ta bort de andra.

Jag vill att alla användare som finns i gruppen automatiskt skall få sitt certifikat efter att de loggar in. En guide startar som kopierar certifikatet till kortet. För att aktivera det gick jag in i Group Policy Management och inställningen User configuration -> Policies -> Windows settings -> Security settings -> Public key policies -> certificate services client – auto-enrollment. Jag aktiverar den och kryssar i ”renew expired certificates” och ”update certificates”.

För att administrera ADCS som vi installerade tidigare använder man administrative tools -> certification authority. Där väljer jag att högerklicka på certificate templates och manage. Letar upp smartcard user och tar duplicate. Jag visar skärmdumpar på de ändringar jag har gjort, i övrigt är det standard. Observera att dessa inställningar gäller för gemalto.net, om du har ett annat kort kan du behöva göra vissa ändringar.

Den sista inställningen vi behöver göra på mallen är att bestämma vilka användare/grupper som skall kunna göra vad. I mitt exempel har jag konfigurerat gruppen gruppen SmartCardUsers att de får läsa mallen, samt använda den för enroll och autoenroll. Vilket då betyder att det kan rullas ut automatiskt till klienten.

Nu återstår det bara att aktivera mallen genom att högerklicka på certificate templates -> new -> certificate template to issue och sedan välja den nya mallen.

Du kan nu välja att uppdatera GPO-inställningarna hos klienten genom att köra ”gpupdate /force” på klienten. Vid nästa inloggning bör en wizard starta som skriver certifikatet till kortet. Om den inte startar kan du prova att starta om certificate authority-tjänsten.

När allt nu är igång och fungerar så finns det mängder av inställningar att göra, exempelvis att användarna endast skall kunna logga in med smarta kort och inte via exempelvis lösenord. Det kan också vara bra att ställa in så att användarna blir utloggade om de plockar ut sitt smarta kort ur kortläsaren.

Om du vill gå in lite mer på djupet och kanske implementera smarta kort på allvar kan jag tipsa om ett bra dokument från microsoft.