Tuesday, November 29, 2011

A internet, os eCoisos e os seus Ácaros, será que por cá estaremos o tempo suficiente?

Tínhamos a internet, as flores, os cofres, a nuvem, mas será que ainda ficará por cá alguém para usar isso tudo?

http://gizmodo.com/5863078/engineered-avian-flu-could-kill-half-the-worlds-humans?popular=true

Os artigos originais ;)

http://news.sciencemag.org/scienceinsider/2011/11/scientists-brace-for-media-storm.html

http://rt.com/news/bird-flu-killer-strain-119/

Afinal que somos nós?

VIRUS

Technorati Tags:
Posted by Tiberius at 18:17 0 comments
Labels: ,

A internet, os eCoisos e os seus Ácaros

Ao fim de algum tempo apareceu a internet “uma” consciência partilhada de verdades e mentiras todas misturadas numa grande salganhada.

Com a internet desenvolveram-se os ácaros, bons, maus, pretos, brancos, cinzentos, cor-de-rosa ás bolinhas…
http://www.publico.pt/Tecnologia/hackers-do-lulzsec-despedemse-anonymous-ficam-ao-leme-1500673?all=1

Mas a internet continua a ser um bom local para por jarros de flores por isso…
http://www.publico.pt/Pol%C3%ADtica/hackers--tentam-entrar-nos-sites-das-financas-administracao-interna-e-psp-1522548

Oops alguém levou as flores!!?!
http://www.publico.pt/Sociedade/hackers-divulgam-dados-pessoais-de-107-policias-de-lisboa-e-ameacam-toda-a-psp-1523008?all=1

Eu não fui…
http://www.publico.pt/Sociedade/sindicato-de-chefes-da-psp-tenciona-apresentar-queixa-crime-contra-hackers-1523022

E agora apareceu a nuvem, “uns” quantos cofres para encher de objectos bons e apetecíveis de modo a que todos possam ter acesso ao que lá puseram onde quer que estejam…

E o Arquitecto achou isso bom Nyah-Nyah

Claro que onde há cofres de tesouro, temos também piratas e estes não precisam de ir aos confins do mundo  para encontrar o X que marca o lugar Winking smile
http://gizmodo.com/5812545/find-out-if-your-passwords-were-leaked-by-lulzsec-right-here

Technorati Tags:
Posted by Tiberius at 18:12 0 comments
Labels: ,

Thursday, November 17, 2011

User Account Control (UAC) and PsExec

From http://riosec.com/Windows-UAC-PsExec

Sat, 2010-12-11 23:57 — Christopher

Recently I ran across a scenario where the Microsoft Sysinternals tool PsExec would not work against a Windows 7 domain-joined computer. The command was failing with an "Access Denied" error. On Vista and newer, User Access Control (UAC) issues a restricted token to processes, but PsExec requires an elevated token. On the local system's Microsoft-Windows-UAC\Operational log the following event appeared: The process failed to handle ERROR_ELEVATION_REQUIRED during the creation of a child process.

Further research found that newer versions of PsExec have a command argument (-h) to specify elevated rights.

However, even with specifying -h PsExec was still failing with "Access Denied". After some digging, I discovered that it's all about how the authentication credentials are presented to the remote system. UAC has an exception for remote connections using domain credentials, so that machines can still be administrated remotely (otherwise, there would be no way to respond to UAC prompts). When connecting remotely and authenticating with NTLM using a domain account, Windows 7 issues an elevated token.

PsExec output

With PsExec when you specify the username on the command line it causes an explicit (local) authentication to occur on the remote system, and Windows issues a limited rights token, causing PsExec to fail. However, if you authenticate as the target user on the local computer (using RunAs or logging in directly), and then use PsExec with implicit (NTLM) authentication to the remote computer, the process gets the elevated token on the remote system and it works.

This behavior becomes more obvious when using telnet. The built-in Windows telnet client automatically authenticates using NTLM (top window in the screen shot below), and the user is given an elevated token. However, logging in with the same user from a third-party telnet client results in a restricted token (bottom window).

Effects of UAC on telnet

I hope this information is helpful to someone else wondering why their PsExec might be failing on Windows 7 due to UAC.

TECHNOTES:

Sysinternals: http://technet.microsoft.com/en-us/sysinternals

Technorati Tags:

Posted by Tiberius at 13:14 0 comments
Labels: , ,

Tuesday, October 4, 2011

MS Exchange 2010 e Consultas DNS IPv6 (culpado ou vitima? who cares)

Se não usa ou pretende usar o sistema de correio electrónico MS Exchange 2010 (não sei se noutros sistemas este erro também acontece), esta mensagem não é para si.
 
Para quem usa MS Exchange 2010 e/ou quem não sabe, existe um problema de envio de mensagens para o domínio de email @bportugal.pt (ou @*.bportugal.pt, mas também acontece com outros domínios como por ex: @parceiros.tranquilidade.pt, etc {se souberem de outros informem-me sff}) quando este está configurado para fazer entrega directa por consulta DNS.
 
O problema e o seu WORKAROUND são os seguintes:
1. O MS Exchange 2010, configurado conforme parágrafo anterior, quando recebe uma mensagem de correio electrónico para entregar:
a. Faz uma consulta DNS pelo MX Record do domínio destino da mensagem (neste caso por ex: @gmail.com)
clip_image001
b. Da resposta escolhe o registo que tiver menor preferência (neste caso será gmail-smtp-in.l.google.com )
clip_image002
c. Como neste caso não obtêm uma resposta IPv6, o MS Exchange 2010 volta a fazer a pergunta mas agora para IPv4
clip_image003[1]
d. Sabendo o endereço IP onde se ligar, o sistema continua o processo ligando-se directamente ao IP em questão.
e. Podem perguntar, e se o MS Exchange 2010 estiver configurado apenas para ter IPv4 no seu sistema operativo? O procedimento é o mesmo a não ser que receba um MX com um registo que retorne um IPv6 que nesse caso tenta usar esse endereço (directo ou túnel IPv4 dependendo como está configurada a FW do sistema)
2. Até aqui tudo parece funcionar sem problemas, mas e se encontramos um domínio que não retorne esta informação correctamente (por ex: @bportugal.pt, @parceiros.tranquilidade.pt, etc…)?
a. Os resultados do mesmo processo é o seguinte:
clip_image004[1]
b. O sistema MS Exchange 2010 ao receber um DNS “timed out” vai abortar o processo e informar o operador de sistemas (Logs & Queue Viewer) que não consegue entregar a mensagem por problemas de DNS.
c. Mesmo que o passo seguinte (que o sistema não vai fazer) de consulta IPv4 do registo associado ao MX mais baixo retorne com sucesso ( Sad smile ):
clip_image005[1]
3. WORKAROUND:
a. Criar conectores directos, para os domínios com este problema de DNS, por ex:
clip_image006[1]
b. Este WORKAROUND têm o problema adicional que sendo uma configuração manual do lado da empresa responsável pela origem das mensagens, não reflecte futuras alterações DNS (MX) ao sistema destinatário de correio electrónico feito pelos administradores de sistemas do mesmo.
c. Se alguém tiver informação da causa técnica (Microsoft, DNS Servers por ex: bind, porque com o MS DNS 2003 ou superior não temos este problema (as únicas versões MS que testei)) por favor comentem, que eu não tive paciência para validar quem é o culpado.
GOOD NEWS
1. O domínio de correio electrónico do Banco de Portugal já retorna a informação correcta e como tal já não necessita do WORKAROUND Smile
clip_image007
ITBérius
Posted by Tiberius at 13:00 0 comments
Labels: , , , ,
Subscribe to: Posts (Atom)