Simplysecurity

Ok, does anybody use Websense as a Web filtering product?

I was 'trapped' in Websense Corporate 6.3 for about 3 minutes. That was the time, that I needed to view some forbidden sites, like Internet Auctions, or sport news. The security and development level of this product is slight zero.

Reminding: Websense Corporate filters web content and denies it, or accepts. There are many options, and the best are- reports generated whenever needed, which shows us our workers productivity by counting how long they are surfing on the Internet. Websense is number 1. in the world, and for sure it has no commercial 'enemies'.
Ok, how to do it? I found 5 ways in 3 minutes. One of them HTTP-Tunnel:

[root@pldmachine ~]# htc -V
htc (httptunnel) 3.3

[root@pldmachine ~]# hts -V
hts (httptunnel) 3.3

Just use your home machine as server, and start a client at work. Forward port on server into your sshd, or into your local proxy. That will allow you to surf through your home proxy through http-tunnel. No 'expert' IT skills needed here. You can even use Windows HTTP-Tunnel client and some free server.

Another idea was to use java/activex for redirection. It was working just fine! Freeware applets allow you to use Browser in Browser Window. You can surf where ever you want.

There are many more, the mistakes are made while detecting the content of destination addresses and header (mime) processing. Also the http-Tunnel connection isn't logged correctly. There is a bug in Reporting module which just don't show the right numbers. You can use the tunnel for 24 hours, it will show you 30 minutes. Websense as a number 1 in the world, should present us better software. Instead we have software which even a student will find after few hours of use.
ps. Websense programmers are funny - learn to detect HTTP-Tunnels
If you want to read about more methods please buy Computer Week 05/07. I will publish next news about it in a week. Till then, *cheers*, surf in work!


PL: Websense odpowiedzialny za filtrowanie zawartości WWW, można ominąć w 3 minuty.
Najpopularniejszy produkt na świecie szokuje prymitywnością skanowania zawartości, a także zabezpieczeniami. Testując ten produkt, odniosłem wrażenie że jest to program napisany przez studenta a nie produkt, który jest światowym liderem.
Zapraszam do lektury po Polsku za dwa tygodnie w tygodniku Computerworld.

Bardzo mnie zastanawia co jest przyczyną tego, że ludzie uznają proste błędy na stronie za włamanie?
Drugą interesująca sprawa, czemu ludzie robią to coraz częściej i całkowicie zmieniają nazewnictwo i standardy?

Zastanawiałem się nad tą problematyką słuchając radia w aucie i dotarło do mnie - to wszystko wina wydawnictw! Czemu? Coraz to nowsze książki 'zostań hakerem', 'jak włamać się na serwer w 10 dni' itp. promują XSS i nazywają każdy błąd włamaniem. Książki te, jeżeli poruszają tematykę tworzenia exploitów, to jest to na podstawowym poziomie i opisuje metody na jądra 2.4, lub starsze. Szukając statycznych ret addresów i innych archaizmów. Sarkastycznie stwierdzam, że po przeczytaniu takiej książki każdy zostanie hakerem, lub jak niektórzy wolą 'specjalistą ds. bezpieczeństwa'.
Kiedyś dla porównania zbindowanie shella z prawami http nie było uznawane za włamanie. Było tylko i wyłącznie przejściem, aby dostać się do roota i reszty systemu. To co pokazują ostatnie czasy dowodzi, że nie trzeba się włamywać. Stronę można zmienić z poziomu http, tak samo dodać kilka katalogów (przez prosty exec w php) i już jesteśmy niesamowitymi hakerami.

Odnośnie MONu mam tylko jedno pytanie, jeżeli to było 'włamanie', to czemu się pan podpisał imieniem i nazwiskiem na stronie? Napewno nie dlatego, że z prawami http nie można kasować logów? Albo z strachu, że MON może wymusić historie połączeń od jakiegoś dostawcy proxy? Z komunikatu dochodzi także informacja, że można tworzyć foldery i zapisywać pliki - ale nie ma ani słowa o kasowaniu. Specjalista wywnioskuje, że nie uzyskał praw administratora i podpisał się imieniem i nazwiskiem z strachu. Pozatym ekipa hacking.pl jest znana z zamiłowania do XSS itp. metod (patrz przykłąd allegro.pl).

Nic tylko czekać aż Pan 'Gorion' razem z ekipą hacking.pl zacznie reklamować jakąś fantastyczną książkę dla hakerów 'ha(c)king nie dla idiotów'.
Miłego dnia

Doszedł do mnie bardzo ciekawy link do strony, której autor ma podobne poglądy do moich - na temat pseudo specjalisty ds. bezpieczeństwa - 'Goriona'. Zapraszam do lektury:
http://platyna.platinum.linux.pl/gorion/

Chciałbym dodać, że nie podoba mi się przeklinanie i obrażanie nawet takiej osoby jak Paweł 'gorion'. Ja osobiście dziękuje Panu Pawłowi. Dziękuje - to Pan był inspiracja do napisania artykułu o XSS.

Kiedyś na IRCNETcie przebywał człowiek o nicku "Dannyboy", nie wiem czy go państwo pamiętają czy nie. Chociaż dany w przeciwieństwie do Pana goriona nie używał błędów w stronach, tylko włamywał się bezpośrednio na serwery (czasy massrooterów itp) ja widze duże podobieństwo. :-)
Kończąc ten przykry temat, zadaje pytanie - kto weryfikował to co Pan 'gorion' będzie pokazywać w telewizji? Czy informatycy z grupy ITI, dowolnego z członów, nie wyrazili sprzeciwu? TVN straciło w moich oczach brakiem profesjonalizmu i rzetelności. Mam nadzieje, że mój artykuł troche pomoże w walce z ignorancją i głupotą.

Z powodu mojego powrotu na 'scenę' publicystyczną, po prawie pół rocznej przerwie postanowiłem ożywić bloga i ponownie publikować na tematy związane z bezpieczeństwem. Postaram się nie zawieść i kontynuować prowadzenie tego bloga przez dłuższy okres czasu.

W Computerworld 03/2007 pojawi się artykuł mojego autorstwa o skryptowaniu, czyli wykorzystaniu dziur XSS. Mam nadzieje, że czytelnicy nie zrozumieją źle moich intencji oceniłem 'script kiddies', jako ludzi o niskim poziomie umiejętności informatycznych. Wszyscy wiemy, że jako informatycy mamy wielkie ego - ja używam argumentów, które mogą to ego urazić. Mam nadzieje, że czytelnicy podejdą do artykułu obiektywnie. Nieraz publikowałem błędy związane z XSS, ale artykuł ma się głównie skupić na problemie nazewnictwa tego typu ataku i szumu medialnego jaki wywołały ostatnio metodia. Na pewno osoba, eksploitująca XSS - w moim mniemaniu - nie jest hakerem i na takie miano zasługuje. Zapraszam do artykułu :)

W przyszłym numerze Computerworld (04/2007 opisze jak ominąć zabezpieczenia w korporacyjnych systemach filtrowania zawartości (en. Web Filters). Swoją uwagę skupie na produkcie Websense, aktualnie światowym liderze. Artykuł bardzo ciekawy, może otworzy oczy kilku Dyrektorom IT, że nie można wierzyć w reklamy. Zapraszam

Następnym tematem jest Confidence 2007, na który przygotowuje specjalny projekt - "Safe data within Web Env.". Projekt będzie zautomatyzowaną metodą zapobiegania kradzieży danych i wykrywania nadużyć w serwerach Web-owych. Zapraszam,