Showing posts with label awesomeness. Show all posts
Showing posts with label awesomeness. Show all posts

Thursday, September 30, 2010

On Free Log Management Tools

I completely forgot to repost my list of free log management tools to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 blog from my consulting site. Here it is (original that is updated periodically):
This page lists a few popular free open-source log management and log analysis tools. The page is a supplement to "Critical Log Review Checklist for Security Incidents" that can be found here or as PDF or DOC (feel free to modify it for your own purposes or for internal distribution - but please keep cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attribution to us authors). The log cheat sheet presents a checklist for reviewing critical system, network and security logs when responding to a security incident. It can also be used for routine periodic log review. It was authored by Dr. Anton Chuvakin and Lenny Zeltser.
The open source log management tools are:
    1. OSSEC (ossec.net)  an open source tool for  analysis of real-time log data from Unix systems, Windows servers and network devices. It includes a set of useful default alerting rules as well as a web-based graphical user interface. This is THE tool to use, if you are starting up your log review program. It even has a book written about it.
    2. Snare agent (intersectalliance.com/projects/index.html) and ProjectLasso remote collector (sourceforge.net/projects/lassolog) are used to convert Windows Event Logs into syslog, a key component of any log management infrastructure today (at least until Visa/W7 log aggregation tools become mainstream).
    3. syslog-ng (balabit.com/network-security/syslog-ng/) is a replacement and improvement of classic syslog service - it also has a Windows version that can be used cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same way as Snare
    4. Among cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 somewhat dated tools, Logwatch (logwatch.org), Lire (logreport.org) and LogSurfer (crypt.gen.nz/logsurfer) can all still be used to summarize logs into readable reports
    5. sec (simple-evcorr.sourceforge.net) can be used for correlating logs, even though most people will likely find OSSEC correlation a bit easier to use (or even use OSSIM below)
    6. LogHound (ristov.users.sourceforge.net/loghound) and slct (ristov.users.sourceforge.net/slct) are more "research-grade" tools, that are still very useful for going thru a large pool of barely-structured log data.
    7. Log2timeline (log2timeline.net/) is a useful tool for investigative review of logs; it can create a timeline view out of raw log data.
    8. LogZilla (aka php-syslog-ng) (code.google.com/p/php-syslog-ng) is a simple PHP-based visual front-end for a syslog server to do searches, reports, etc
      The next list is a list of "honorable mentions" list which includes logging tools that don't quite fit cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 definition above:
      • Splunk is neicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r free nor open source, but is has a free version usable for searching up to 500MB of log data per day - think of it as a smart search engine for logs.
      • OSSIM  is not just for logs and also includes OSSEC; it  is an open source SIEM tool and can be used much cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same way as commercial Security Information and Event Management tools are used (SIEM use cases)
      • Microsoft Log Parser is a handy free tool to cut thru various Windows logs, not just Windows Event Logs. A somewhat similar tool for Windows Event log analysis is Mandiant Highlighter (mandiant.com/products/free_software/highlighter)
      • Sguil is not a log analysis tools, but a  network security monitoring (NSM) tool – it does use logs in its analysis.
      For a list of commercial log management tools go to Security Scoreboard site. A few of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 commercial tools offer free trials for up to 30 days.
      Feel free to suggest your favorite tools and I will update cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 list!
      Possibly related posts:

      Friday, January 01, 2010

      Security Predictions 2020 (!)

      How impossible is it to predict anything in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 field of information security? 10 years? Into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 future?  Still cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 purpose of this endeavor is not necessarily to “have everything right”, but to have fun in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 process and to get people to think beyond cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 immediate tactical horizon in information security.

      Let's start from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 overriding trend that will define cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 rest of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 discussion:

      cyber_vs_realThat trend is that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 walls between cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 computer world (aka cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Internet, cyber-anything, online, virtual, cloud, etc) and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 “real” world (aka meatspace, Earth, “outside”, “reality”, offline, etc) will break down beyond a certain interesting point, both on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 perceptual level and in reality. With – duh! – huge implications to our profession and practice of information security.

      What do I mean by this?

      Whecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r perception is reality on not, studies I’ve seen (examples, more, more, more) point that most people behave differently in an online world and in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 so-called “real” world. People can also point at many factual differences between online world (that happens inside cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 human created medium – networked devices) and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 outside. I believe that this difference explains at least some of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 current information security problems – on some deep level people just don’t see computer intrusions and ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r issues as “real enough” for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m.  Even cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 simple fact that we have “crime” and “cybercrime,” points that this difference.

      So here is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 punch line: I think that in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 next 10 years cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se two worlds will be much closer to each ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r, in both perception and “real” reality. HUGE implications to information security will result.

      Where's cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 evidence? Here are all cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 things that I bundle in that “ultimate convergence”

      • Everything geo-related: GPS in phones, location- aware services, and even integrated Internet in cars. When you start to “google for coffee,” you straddle both worlds.
      • Augmented reality, conspicuous high-speed video uploads (in 2020) and video analytics capture cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 real world and ”map” it onto cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 online world. And as computing devices first become wearable (needed for AR), and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n implantable (best for AR), cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 convergence between both worlds will become even more intense.
      • Everything computing embedded in objects: embedded computers in an ever-increasing percentage of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 things we use in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 real world; cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se will go a long way from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first Internet-connected refrigerator. Yes, clocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365s and shoes, not just sunglasses, are not far behind – and with bluetooth or whatever future incarnation, such wearable “PAN” becomes within reach. BTW, trains and planes run on computers too… And I am not even touching SCADA.
      • Everything robotics: robots, from Roomba to military hardware, is one more way for a computer realm to “act out” in reality. If you are confused about this argument, think about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following: a crashed computer will destroy only a computer and information inside. A crashed computer in a vacuum cleaning robot can potentially destroy … your carpet.  A crashed computer in a robotic high-speed cannon… you get cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 picture.
      • On a perceptual level, some studies have noted that younger generations (and here) do not draw cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 line between cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir Facebook friends and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir real-world friends.  This is an example of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same trend, but occurring in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 mighty realm of perception. If you are born and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n grow up with (and on) cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 computer, you views of “computer world” will be different from those who still see computers as something “not really real.”
      • On top of this, advances in bio-sciences will obviously rely on computers and algorithms. I predict this would be anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r way for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 computer realm to impact cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 “meatspace” and not only through cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 implantable computers.
      • Finally, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Ultimate Proof that such convergence has in fact taken place will be - you guessed it right! – cyber-terrorism. Smart folks today object to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 concept of cyber-terrorism by [correctly!] stating that “real world” terrorism is more impactful. Today – it sure seems like it. In 10 years, when “real world”  is so much closer to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 “computer world” – I am just not going to bet on it…

      All of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 above will make information security and computer security (as well as a dying art of network security) PAINFULLY more relevant for people’s lives. If an attacker from a remote location can crash cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 computer and steal your data, this is bad. If that same attacker can impact what you perceive to be your “real world,” cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 game changes. And change it will - probably even before 2020. What will stand between such attacker and ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs? That’d be you and me, my dear reader :-)

      The above convergence will also be combined with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se “side trends”, all with big impact to security:

      • In 2020, a lot of tasks can only be done with computers - or not at all. Now we can still buy a book in a bookstore, you can pay with a credit card when computers are down. Forget that – in 2020! Such irreplaceability of computers and Internet will make security sharply more relevant. Your business will not simply switch to an old, inefficient mode, when Internet is not an available. It will STOP.
      • To quote Alvin Toffler, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re will also be a lot more information and thus a lot more computers to process it. These are added to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 above mentioned embedded computing devices.  The result is not just an increased target set, but also more businesses being completely reliant on computers for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir operation.
      • I also predict a much larger use of non-deterministic algorithms, such as those based on statistical methods. This will imbue cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 phrase “computer did it” (and we don't know why and how) with a whole new meaning…
      • Complete local and network scope convergence due to cloud computing and ubiquitous connectivity. They will be no such thing as a device asking “can I connect to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Internet?” As a result, Internet becomes a fabric of distributed applications, not client/server push/pull model we still largely have today.  Security implications? You bet! BTW, this will also kill cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 whole “but why did cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y connect that to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Internet in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first place?!” thinking.
      • As a result of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 last point, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 whole control over data will have to be done in a completely new way - or not at all. And if you think web hacking is fun today, just wait until 2020 :-) 

      So, I don’t know what features your log management system will have in 2020 or what cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 label “firewall” will mean in 2020, but I know is that it'll matter much, much more than now. Despite all cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 harping about information being “critical for business”, we only protect information today.  Sorry for a bit of grandstanding here, but we will literally protect cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 world in 2020…

      Enjoy!

      BTW, ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r fun views of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 year 2020 technology are here (created in 1994), here (created in 2005), here and in many ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r places.

      Tuesday, April 14, 2009

      MUST Read: ”Who is Minding cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Legal Risk around PCI?” by David Navetta

      Initially this was supposed to go into my next Security Reading review, but as I was reading cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 paper I was getting more and more excited about it [please don’t tell me I am weird because of it :-)]

      A very, very good read by David Navetta  ”Who is Minding cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Legal Risk around PCI?”  [PDF]

      It’s official, this paper  gets my “Exudes Pure Awesomeness!” of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 1st degree award.

      Quotes:

      “In cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 PCI context, plaintiffs can allege negligence by arguing that a merchant handling payment card data has a duty to protect such data, and that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 PCI Standard is evidence of what merchants must do to achieve “ordinary care” or “reasonable security.” If cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 merchant suffers a security breach exposing payment card data, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 failure to comply with PCI would arguably amount to a breach of that duty.”

      “Since TJX cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re have been several lawsuits filed against organizations that had been validated PCI-compliant at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 breach. It can be expected that plaintiffs  and courts in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se suits are going to finely scrutinize every decision, practice, and interpretation around cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 stated PCI validation. The plaintiffs’ hope will be to discover that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se merchants were not actually PCI-compliant despite cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 validation.

      However!

      “Actual PCI compliance, however, does not necessarily absolve an organization from liability in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 negligence context. In fact, PCI, as an industry standard, should be  viewed as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 minimum or floor in terms of what a court will consider “reasonable security.”” and “Security professionals and organizations need to know that when
      determining which controls to implement to protect cardholder data, PCI compliance may not be enough in a court of law.” (and, obviously, not enough “in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 trenches”)

      “However, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Federal appellate court in Sovereign Bank v. B.J. Wholesale Club & Fifth Third Bank, No. 06-3392/3405 (3rd Circuit, July 13, 2008) has allowed an issuing bank’s breach of contract claim to continue against a merchant bank that sponsored a merchant.” (even though issuing bank’s name was not on a contract)

      “The Minnesota [PCI DSS-based] law (potentially ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y pass) provides a direct path to liability based in part on whecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r an entity was PCI-compliant.”

      “One of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 biggest challenges faced by organizations is resolving ambiguities in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 PCI Standard as written and especially s applied to a particular organization or environment. Unfortunately, as PCI becomes a legal standard, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ambiguities arising out of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 PCI Standard could increase cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 risk of legal liability.”

      “In ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r words, being right on your judgment call [e.g. about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 compensating control] at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 end of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 day will not necessarily eliminate legal risk, especially in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 face of breach that has already occurred.  The problem is furcá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r complicated because cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re is no definitive way to resolve ambiguities under cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 PCI system.” (and, no, it is not always cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 QSA)

      My fave part:

      “Legally risky PCI practices:

      #1 QSA shopping – With hundreds of qualified security assessors of varying sizes, sophistications, and skills, some companies will shop for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 cheapest QSA that will validate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir compliance in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 least expensive and least painful way. […]

      #2 Rubber stamping -  Anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r legally risky practice is “rubber stamping”: essentially failing to analyze actual security and simply treating PCI compliance like a facile  checklist. In short, when QSA shopping occurs, rubber stamping is what can result.

      #3 Scoping - The legal risk posed in this instance is obvious: if a breach occurs with respect to part of a cardholder environment that did not have proper PCI controls [since it was deemed ‘out of scope’] in place, this fact will be used against cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 organization in court.”

      “Anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r key point that could increase cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 legal risk associated with PCI is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 potentially false sense of security that can arise after being validated PCI-compliant. Validation does not necessarily equal compliance with PCI or “reasonable security” under cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 law.”

      “Until much more is learned about how alleged “safe harbors” [something that allows cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m to claim ‘compliant + breached –> not liable’] work, and until service providers and merchants have a legal  mechanism to actually enforce “safe harbor,” organizations should not assume cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y are protected.”

      “Despite its security-centric origins, PCI compliance is posing increased legal risk. For organizations with a strong risk management ethos cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 approach to PCI compliance will likely involve a legal perspective and risk analysis.”

      Read it now, whecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r you are a “PCI optimist”, “PCI pessimist” or a “PCI ambivalent-ist” :-) Something for everybody in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re!

      Dr Anton Chuvakin