Thursday, September 30, 2004

Understanding Tcpdump's -d Option

Have you ever used Tcpdump's -d option? The man page says:

-d Dump cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 compiled packet-matching code in a human readable form
to standard output and stop.

I've never used that option before, but I just saw a Tcpdump developer use it to confirm a Berkeley packet filter in this thread. The user in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 thread is trying to see TCP or UDP packets with a source address of "centernet.jhuccp.org" (162.129.225.192). First he specifies an incorrect BPF filter, which cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 developer cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n corrects. This is mildly interesting, but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 useful information on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 -d option appears in this post.

Tcpdump developer Guy Harris interprets output from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 -d option:

> www:~# tcpdump -d src host centernet.jhuccp.org and \( ip proto \\tcp
> or \\udp \)
> (000) ldh [12]
> (001) jeq #0x800 jt 2 jf 8
> (002) ld [26]
> (003) jeq #0xa281e1c0 jt 4 jf 8
> (004) ldb [23]
> (005) jeq #0x6 jt 7 jf 6
> (006) jeq #0x11 jt 7 jf 8
> (007) ret #96
> (008) ret #0

OK, that code:

loads cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 2-byte big-endian quantity at an offset of 12 from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365
beginning of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 packet - which, on an Ecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rnet packet, is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365
type/length field in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Ecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rnet header - and compares it with 0x0800
- which is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 type code for IPv4 - and, if it's not equal, jumps to
instruction 8, which returns 0, meaning "reject this packet" (i.e., it
rejects all packets ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r than IPv4 packets);

loads cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 4-byte big-endian quantity at an offset of 26 from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365
beginning of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 packet - which, for an IPv4-over-Ecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rnet packet, is
cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 source IP address in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 IPv4 header - and compares it with
0xa281e1c0 - which is 162.129.225.192, or "centernet.jhuccp.org" - and,
if it's not equal, jumps to instruction 8 (i.e., it rejects all packets
that don't have a source IP address of 162.129.225.192);

loads cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 one-byte quantity at an offset of 23 from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 beginning of
cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 packet - which, for an IPv4-over-Ecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rnet packet, is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 protocol
type field in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 IPv4 header - and, if it's equal to 6 - i.e., if it's
a TCP packet - jumps to instruction 7, which returns 96, meaning
"accept this packet and get its first 96 bytes", and, if it's not 6,
jumps to instruction 6, which does cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same check for 17, i.e. UDP.

I found this explanation very enlightening and I appreciate Guy taking cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time to discuss it.

Fedora Legacy Project Provides Updates for Old Red Hat Linux Versions

Are you still running Red Hat Linux 7.3 or 9.0? What about Fedora Core 1? If you want to keep those systems patched now that Red Hat has suspended support, consider cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Fedora Legacy Project. I just read cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir advisory for Tcpdump, notifying users of updated libpcap and Tcpdump packages. (Note: The URLs in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 advisory are funky. Visit http://download.fedoralegacy.org/redhat/9/updates/i386/ to access cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 RPMs for Red Hat Linux 9.0 directly.) I used cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir libpcap and Tcpdump RPMs to patch a system and had no problems.

Wednesday, September 29, 2004

FreeBSD 5.3 on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 SlickNode PC

I previously reported my successful installation of FreeBSD on a Soekris net4801. While cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Soekris is a really popular small form factor system, it lacks a fan to keep moving components (like laptop HDDs) cool. It's also not cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 sort of system you can use to replace a tower PC, since it doesn't have video output, a CD, or mouse and keyboard inputs.

If you need cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 sort of functionality a true PC provides, but want small form factor, check out Padova Technologies. I just installed FreeBSD 5.3-BETA6 on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir SlickNode Mini PC. You can see my dmesg output at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 NYCBUG dmesg archive. The box is equipped with two NICs -- one is an Intel NIC (fxp0) and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r is unfortunately a Realtek NIC (re0). When you order a SlickNode you can opt for a quad NIC to be installed, or a Wi-Fi card, or several ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r options. This is a great appliance box for systems that need more of a PC's functionality.

Open Source Operating Systems with Fall Release Dates

This fall will see cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 release of upgrades to several open source operating systems I use. First, FreeBSD 5.3 is currently scheduled to be released on 17 October. Over cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 weekend a sixth beta was cut and a seventh and final beta will be produced this weekend. The following week a release candidate (RC) will arrive. Although no second RC is planned, I expect to see one. The arrival of FreeBSD 5.3 RELEASE will mark cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 5.x tree as STABLE. The current STABLE tree, 4.x, will go into maintenance mode. The 6.0 tree is already marked as CURRENT; that's where cutting edge developments are introduced before being "merged from CURRENT" (mfc) to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 STABLE tree. I recommend anyone interested in trying FreeBSD for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first time wait until 5.3 is released in mid-October. FreeBSD 5.2.1, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 latest in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 5.x tree, arrived in February 2004.

On Monday RC1 for NetBSD 2.0 was announced. NetBSD 2.0 has been several years in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 making. The last version, 1.6.2, was a patch release that arrived in March 2004. The last major version, 1.6, was released in September 2002.

If you like regular releases, you can't beat OpenBSD. OpenBSD 3.6 will begin shipping 1 November 2004. OpenBSD 3.5 started shipping in May 2004.

Finally, I'm not much of a Linux user, but I am looking forward to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 long-awaited next release of Debian, called sarge. The last discussion of a timetable suggested a September release, but it looks like October or even later is more realistic. The last stable Debian version, woody, arrived in July 2002.

At first glance it seems that upgrades to some of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se operating systems, especially NetBSD and Debian, have been few and far between. Then I visited cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Microsoft server timeline and desktop timelines. These reminded me that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 last desktop release, Windows XP, arrived in October 2001. We got a serious upgrade in XP SP2, but that took 3 years to materialize. On cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 server side, we have to wait until 2006 for Longhorn. The open source OSs are interesting because cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y are both client and server operating systems, and still beat cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 three year Microsoft development cycle.

Saturday, September 25, 2004

Furcá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r Musings on Digital Crime

Adam Shostack posted a response to my Thoughts on Digital Crime blog entry. Essentially he questions cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "bandwidth" of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 law enforcement organizations I listed, i.e., cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir ability to handle cases. The FBI CART Web page says "in 1999 cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Unit conducted 2,400 examinations of computer evidence." At HTCIA I heard Mr. Kosiba state that thus far, in 2004, CART has worked 2,500 cases, which may involve more than one examination per case. The 50+ CART examiners and support personnel and 250 field examiners have processed 665 TB of data so far this year! The CART alone spends $32,000 per examiner on equipment when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y are hired, and anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r $12,500 per year to upgrade each examiner's equipment.

This is a sign that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 DoJ is pouring money into combatting cyber crime. Of course local and state police do not have cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same resources, but especially at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 state level we are seeing improvements.

If more resources are being plowed into cybercrime, what is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 likelihood that law enforcement will decline from prosecuting juveniles? I believe being a teenager isn't a viable way to escapae prosecution eicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r. During HTCIA I attended a talk by Rick Aldrich, former AFOSI legal advisor. He explained how it has been traditionally difficult to prosecute juvenlile offenders in federal court. The state of California, however, has a special unit set up to investigate and prosecute juvenile cybercriminals. Ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r states who identify underage intruders now look for ways to get California to prosecute cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se offenders, due to California's system.

The last way to avoid a trip to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 pokey is to hack from overseas locations. A visit to Cybercrime.gov shows plenty of active prosecutions for "hacking," including some foreigners. It's true that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 people least likely to be prosecuted are those who physically reside in a country whose law enforcement agencies dislike working with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 US government. However, even a country like Romania is working to catch intruders. I still believe all of this does not bode well for low- to mid-level cyber crininals -- you will be caught. Justice may be slow but it does not appear to give up. I have one caveat -- cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re must be evidence to support a prosecution. If a victim doesn't collect cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 sorts of high-fidelity data which can show damage and link it to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 intruder's action, it's difficult to attract law enforcement's interest.

Friday, September 24, 2004

"Certified" Digital Forensics Labs

One helpful speaker at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 HTCIA conference was Timothy Kosiba of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 FBI Computer Analysis and Response Team (CART). (Some people say "CART Team." These are probably cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same people who say "NIC Card," forgotting "NIC" means "Network Interface Card.") Mr. Kosiba explained cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 rising importance of forensic lab accreditation by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 American Society of Crime Laboratory Directors / Laboratory Accreditation Board (ASCLD/LAB). Apparently cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 CART parent organization, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 FBI Lab, only attained ASCLD/LAB accreditation four years ago, in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 wake of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 OJ Simpson trial.

What might ASCLD/LAB accrediation entail? A few excerpts from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Proposed Revisions to 2001 Accreditation Manual provides a few hints, as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ASCLD/LAB documents are not available for free:

"2.11 Digital Evidence

Principle

Examiners must have mastery of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ories, procedures, and techniques necessary to produce reliable results and conclusions.

Standards and Criteria

Digital evidence examiners should have a baccalaureate degree with science courses.

Examiners must have a good understanding of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 principles, uses, and limitations of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 hardware, software, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 methods and procedures as applied to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 tasks performed.

Examiners must have education and training/experience commensurate with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 examinations and testimony provided. Independent case examinations must not be undertaken until extensive instruction from a qualified examiner has been completed.

Examiners must have successfully completed a competency test.

A proficiency test must be successfully completed by each examinder at least annually."

There are a few ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r items in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 .pdf, so I recommend reading it or requesting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 original documents from ASCLD/LAB itself.

Mr. Kosiba also mentioned cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Scientific Working Group on Digital Evidence (SWGDE) and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 European Network of Forensic Science Institutes (ENFSI) as sources of standards.

Thoughts on Digital Crime

Last week I spoke at and attended cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 High Technology Crime Investigation Association International Conference and Expo 2004. The keynote speaker was US Attorney General John Ashcroft. Although I spent time furiously copying notes on his speech, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 text is online. Not printed in that text was cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 AG's repeated cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365me: cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 US Department of Justice and Federal Bureau of Investigation are committed to "protecting lives and liberty." I thought this was a curious stance given cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 recent efforts to scale back cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Patriot Act. The AG mentioned that "protect[ing] cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 United States against cyber-based attacks and high-technology crimes" is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 number 3 FBI priority.

I believe that if you are a low- to mid-skilled intruder physically located in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 United States, you will eventually be caught. The days when hardly anyone cared about prosecuting digital crime are ending. The FBI has 13 Computer Hacking and Intellectual Property (CHIPS) units with plans to open more. The Computer Crime and Intellectual Property Section (CCIPS) are available to US Attorneys across cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 country. The Secret Service operates 15 Electronic Crimes Task Forces. There are 5 Regional Computer Forensic Laboratories operating now with 8 planned to open in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 coming years. The Internet Fraud Complaint Center (IFCC) is taking reports from victims of cyber crime and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 National White Collar Crime Center supports law enforcement efforts. All of this adds up to a lot of federal, state, and local police working to bust bad guys.

Vulnerability in Symantec Security Appliances

Speaking of attacking appliances, a Rigel Kent Security advisory claims:

"Three high-risk vulnerabilities have been identified in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Symantec Enterprise Firewall products and two in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Gateway products. All are remotely exploitable and allow an attacker to perform a denial of service attack against cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 firewall, identify active services in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 WAN interface and exploit cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 use of default community strings in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 SNMP service to collect and alter cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 firewall or gateway's configuration. Moreover, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 administrative interface for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 firewall does not allow cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 operator to disable SNMP nor change cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 community strings. The Gateway Security products are vulnerable to all but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 denial of service issue."

Symantec's advisory states:

"Symantec resolved three high-risk vulnerabilities that had been identified in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Symantec Firewall/VPN Appliance 100, 200 and 200R models. The Symantec Gateway Security 320, 360 and 360R are vulnerable to only two of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 issues, which have been resolved."

The days of directly attacking firewalls are not over, as some might think!

Security Reports Everywhere

The latest Symantec Internet Security Threat Report (volume VI) was released this week, along with Six Secrets of Highly Secure Organizations by CIO, CSO, and PricewaterhouseCoopers. The Symantec report requires "registration," but in return you receive a hefty 50 pages or so of data (ignoring cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 blank pages, covers, etc.) Here are a few excerpts I found interesting:


"Over cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 past six months, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 average time between cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 announcement of a vulnerability and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 appearance of associated exploit code was 5.8 days... This means that, on average, organizations have less than a week to patch all cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir systems on which cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 vulnerable application is running.

Over cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first six months of 2004, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 number of monitored bots rose from well under 2,000 computers to more than 30,000.

Over cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first six months of 2004, Symantec observed worm traffic originating from Fortune 100 corporations. This data was gacá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365red not by monitoring cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Fortune 100 companies cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365mselves, but by analyzing attack data that revealed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 source IP addresses of attack activity. The purpose of this analysis was to determine how many of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se systems were infected by worms and actively being used to propagate worms. More than 40% of Fortune 100 companies controlled IP addresses from which worm-related attacks propagated.

In cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first half of 2004, 39% of disclosed vulnerabilities were associated with Web application technologies.

Symantec expects that recent Linux and BSD vulnerabilities that have been discovered and used in proof-of-concept exploits will be used as exploit-based worms in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 near future.

[Regarding appliances like SOHO routers, firewalls, and VPN endpoints,] as technical details of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se devices have become public, attackers have modified cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 firmware to provide internal access and even allow attackers to monitor traffic on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 network."

I recommend downloading and perusing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 whole report.

The Six Secrets report confirmed a few of my opinions. For example, it seems cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 idea of a "return on investment" (ROI) for security still doesn't convince managers to pay for security:

"Negative factors (such as fear of litigation) remained cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 primary drivers of security spending. Positive factors (such as contributing to business objectives) were less common."

Paying for security is like buying insurance. Security is an exercise in cost avoidance. There is little or no "return" on an "investment" in security. Paying to prevent or mitigate intrusions as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 money spent is not an "investment."

In short, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "six secrets" were:

1. Spend more
2. Separate information security from IT
3. Conduct a penetration test
4. Create a comprehensive risk assessment process
5. Define your overall security architecture
6. Establish a quarterly review process

CIO should have included a seventh step:

7. Maintain network and threat awareness

The risk equation is:

Risk = Threats X Vulnerabilities X Asset Value

Currently security folks spend time on vulnerabilities and assets, but hardly any on threats. How did this happen?

Organizations began cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir security evolution by looking at vulnerabilities, which launched cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "vulnerability management" craze. At first every piece of infrastructure was considered "critical," which meant nothing was truly important. Once asset value was taken into account, assets were prioritized and vulnerabilities in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 most critical assets were addressed first via patch management, access control, and ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r countermeasures. This process encompasses steps 3-6 above.

Unfortunately, far too many security experts ignore cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 third element of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 risk equation -- threats. Of course cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re are vendors who sell "Threat Correlation Modules," but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se have nothing to do with true threats. Remember a threat is a party with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 capabilities and intentions to exploit a vulnerability. An intruder in Denmark with a hatred of Shell Oil and a zero day exploit for Apache is a threat to Shell Oil. A buffer overflow condition in Apache is a vulnerability for Shell Oil if it's running cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 affected software. A product which offers information on a vulnerability in Apache while identifying cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Apache Web servers in an organization with that vulnerability is a vulnerability correlation product, not a "threat correlation module."

So how does an organization acquire cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 third piece of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 risk equation -- threats? The answer is monitoring. I advocate network security monitoring, which is "cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 collection, analysis, and escalation of indications and warnings to detect and respond to intrusions." Only by acquiring network awareness, primarily through monitoring for suspicious and malicious activity, can one identify and assess threats. Why spend time, people, and equipment securing a vulnerability in SNMP, for example, if hardly anyone is seeking to exploit it?

Until more of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 security world realizes that network awareness is just as important as enumerating vulnerabilities and prioritizing assets, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 adversary will have cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 upper hand.

If you'd like to know more about this sort of thinking, chapter 1 of The Tao of Network Security Monitoring addresses cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 threat equation, defines its components, and offers ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r commentary.

Thursday, September 23, 2004

Review of High-Tech Crimes Revealed Posted

Amazon.com just posted my four star review of High-Tech Crimes Revealed: Cyberwar Stories From The Digital Front. From cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 review:

"Prior to 'High-Tech Crimes Revealed' (HTCR) I read and reviewed 'Stealing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Network: How to Own a Continent' (HTOAC). While HTOAC is fictional and written almost exclusively from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 point of view of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 'hacker,' HTCR is mostly true and written from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 law enforcement perspective. On cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 strength of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 cases described in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first half of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 book, I recommend HTCR as an introduction to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 mindset needed to pursue and prosecute cyber criminals.

Author Steve Branigan brings a unique perspective to his book. In 1986-7 Branigan was a patrolman in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Seaside Heights Police Department, but three years later he investigated telecom incidents for Bell Communications Research. Later work at Lucent and Bell Labs prepared him for co-founding Lumeta in 2000. His experience with telecom security differentiates cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 book from those who spend more time on Internet-centric crimes."

Monday, September 20, 2004

Donate and Acquire Gmail Accounts

Do you have any Gmail invitations you don't need? Do you want a Gmail account? If cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 answer to eicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r question is yes, visit isnoop.net. Their "Gmailomatic" site will accept invitations sent activated by clicking "Invite a friend to join Gmail!" from within your Gmail account. Send cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 invite to "gmail@isnoop.net" and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 invitation will be made available for anyone who requests it through isnoop.net. I donated two invites a few minutes ago. Literally within seconds of seeing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 donation count increase by two, both were snatched up by requesters at isnoop.net.

FreeBSD on Soekris

I've been reading David Courtney's Soekris guide. It's incredibly detailed and explains how to install FreeBSD 4.9 and FreeBSD 5.2.1 onto cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Soekris net4801. I previously described my experiences with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Soekris, but David's document addresses issues I hadn't considered. For example, he discusses cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Soekris BIOS and shows how to navigate it. His setup uses PXE and he installs cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 OS onto a 2.5 inch laptop hard drive racá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r than a CF card.

Thursday, September 16, 2004

News SANS Practical Discusses Sguil

SANS' GIAC just published Sguil contributor Chris Reining's GCIA practical titled The State of Intrusion Detection (.pdf). This is not a follow-on to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 1999 CERT classic State of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Practice of Intrusion Detection Technologies. Racá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r, Chris describes cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 shortcomings of ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r technologies like ACID, and how to use Sguil to detect and respond to intrusions. I like seeing discussion of Sguil infiltrate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 SANS Reading Room. Incidentally -- I haven't read all of Chris' paper with a critical eye yet, so I can't vouch for his conclusions right now.

On cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 lighter side, system administrator extraordinaire Bill Bilano just announced "Severe exploit found, all UNIX are affected!" This was my favorite line:

"Northcutt better take out that section about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Mitnik attack in that terrible book he is always rehasing with only a spit-shine and fancy new cover because here comes something leaner and meaner! (I have re-bought that nut's book eight times and it is always cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same old cruft over and over but here wont be a ninth purchase, you bet your pink pajamas!) Someone needs to tell him that SANS is not cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 MANS! LOL!"

SNORT_2_3 CVS Branch and Ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r NSM Tools

The SNORT_2_3 branch was marked in CVS shortly after I first posted cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 snort-inline story. Release manager Jeremy Hewlett made cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 announcement. If you follow cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 instructions to check out Snort from CVS, be sure to use SNORT_2_3 for your tag and run 'autojunk.sh' before trying to run 'configure'. Remember this is not a new Snort release, only cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 appearance of new code in CVS.

Along with Snort, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re are new versions of passive fingerprinting tool p0f, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 passive asset detection system (PADS) available.

Cisco Announces New Routers with Focus on Security

Two days ago Cisco announced a new set of Integrated Services Routers, including cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 1800, 2800, and 3800 series. For historical comparison, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 2600 was announced in March 1998 and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 last enhancements to that line, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 2600XM series and 2691, were announced in June 2002.

The press release shows an interesting bias; emphasis is added:

"Cisco Systems today announced a new line of integrated services routers, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 industry's first routers to deliver secure, wire-speed data, voice, video and ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r advanced services to small and medium-sized businesses (SMBs) and enterprise branch offices, as well as service providers for managed network services offerings. Founded on 20 years of routing innovation and leadership, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 new Cisco 1800 Series, Cisco 2800 Series and Cisco 3800 Series integrated services routers are cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first to provide customers with an infrastructure that enables fast, secure access to today's mission-critical business applications with optimized security, while establishing a foundation for tomorrow's intelligent networks."

In two sentences we have three references to security, two to speed, and one showing Cisco's attempt to leverage its longevity as a selling point. Cisco doesn't seem to think that routers just need to get packets moved quickly from one node to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 next. Now cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y are security devices. The security features document offers cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se enhancements:

"Secure connectivity: Provides secure and scalable network connectivity, incorporating multiple types of traffic. Examples include VPN, Dynamic Multipoint VPN (DMVPN), Multi-VRF and MPLS Secure Contexts, Voice and Video Enabled VPN (V3PN), and secure voice.

Threat Defense: Prevents and responds to network attacks and threats using network services. Examples include Cisco Intrusion Prevention System (IPS) and Cisco IOS Firewall

Trust and Identity: Allows cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 network to intelligently protect endpoints using technologies such as Network Admission Control (NAC), Identity services and AAA.

Network Infrastructure Protection: Protects cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 network infrastructure from attacks and vulnerabilities, especially at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 network level. Examples include control-plane policing, Network-Based Application Recognition (NBAR) and AutoSecure."

Not all of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se features, like NBAR, are new. What cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y all need, however, is lots of memory. The Quick Access Routers Quick Reference Guide (.pdf) for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 older series of Cisco routers shows much lower DRAM and Flash figures. With cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 new 2800 series, for example, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 2811, 2821, and 2851 routers offer 64 MB of Flash and 256 MB of DRAM memory by default. My 2651XM originally had 16 MB Flash and 64 MB DRAM. Notice how cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ability of a router to become a VPN concentrator, firewall, IDS, and "IPS" is seen as an improvement.

While all cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 additional features put more capabilities into a single box, I'm not sure I like cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 complexity and opportunities for exploitation. As cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Cisco router becomes more complex and involved in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 network, it will be more likely to be compromised. Since no one usually bocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs to monitor traffic to and from routers cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365mselves, I see a bonanza for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 likes of Phenoelit who specialize in discovering flaws in "appliances" like routers and printers.

The key future development for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Cisco router franchise will be cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 modularization of IOS, perhaps built on QNX, already present in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 latest CRS-1 Carrier Routing System.

Excellent Windows Service Minimization Guide

In my last story I originally stated "With Windows, unless I deploy a host-based firewall, it is difficult if not impossible to disable unnecessary services." I based this assessment on previous experiences where it was difficult to get a "clean" netstat output (meaning no unnecessary listening services). Getting to this point, as described by books like Securing Windows NT/2000 Servers for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Internet, was difficult and in many cases left services functionally disabled but still in netstat output.

I found an excellent guide by Hervé Schauer Consultants called Minimizing Windows Network Services that takes a step-by-step, netstat-based approach to removing Windows services. After reading cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 guide, I changed my original Blog entry to say "With Windows, unless I deploy a host-based firewall, it is difficult to disable all unnecessary services."

I base this statement after interpreting advice in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 HSC guide. For example, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 HSC guide begins by offering this caution for interpreting netstat output:

"The netstat command does not exactly report TCP and UDP ports states... for each outgoing TCP connection, an additional line will appear in netstat output, showing a TCP port in LISTENING state. It is important to make cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 difference between an opened TCP port and one incorrectly reported by netstat in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 LISTENING state. Note: this bug has been fixed in Windows Server 2003."

The document cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n describes a variety of combinations of 'net' commands and registry tweaks needed to disable various services. Near cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 end we read this advice, which to me exemplifies what I was trying to convey regarding cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 complexity of Windows service removal:

"The only remaining opened port is TCP port 135. It is opened by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Remote Procedure Call (RpcSs) service and it is not possible to disable it because this service contains cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 COM service control manager, used by local processes.

TCP port 135 remains opened because it is used to receive remote activation requests of COM objects. A global setting exists to disable DCOM and can be set in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 registry:

Key: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole
Value: EnableDCOM
Type: REG_SZ
Content: "Y" (to enable) or "N" (to disable)

This registry value corresponds to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 'Enable Distributed COM on this computer' setting that appears in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 dcomcnfg tool:

C:\WINDOWS>dcomcnfg

This procedure is now documented in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 825750 Microsoft knowledge base article.

Disabling DCOM is probably a good idea, as it will at least protect systems from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 recent vulnerabilities affecting DCOM, discovered by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Last Stage of Delirium Research Group and by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Xfocus team.

When DCOM is disabled, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 COM framework returns cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 E_ACCESSDENIED error code (0x80700005) when receiving remote activation requests. Thus, exploitation of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 aforementionned vulnerabilities fail.

Disabling DCOM does not close TCP port 135. To close it, one solution is to remove IP-based RPC protocols sequences from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 list that can be used by DCOM. In our case, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 sequence ncacn_ip_tcp (transport on TCP/IP) can be removed."

Contrast this with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ease of configuring /etc/rc.conf on a BSD system! I am glad that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re are ways to shut down unnecessary services on Windows systems, but I believe guides like this prove that Windows ends up being far more complicated when services need to be disabled.

Wednesday, September 15, 2004

My Opinion on Windows-Based Sensors

I'm slowly working through cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 last few days' developments while I attended my 10th reunion at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 US Air Force Academy. I recently received cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following email:

"I have been reading your book on The Tao of NSM. I am an amateur but very interested in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 subject. My only issue is that I am very uncomfortable with your bias against Windows and for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 OpenSoftware. [sic] In our market, 95% of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 desktops and 55% of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 servers are Windows. We do not want to be caught in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 emotional battle of OS. Any chance you can recommend a Windows zealot that is as good with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 NSM subject as you are?"

This is an interesting question, as I directly address my sentiments on operating systems in chapter 3 of my book. I was also "quoted" on Slashdot recently about OpenBSD, but I can't remember making that statement. (If you know where it came from, email taosecurity at gmail dot com.)

Several factors drive my personal preference for UNIX, or more specifically, FreeBSD-based sensors. Some are personal and some are universal. Many places where BSD appears, Linux and in some cases Mac OS X also applies.

1. Platform Security: One of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 primary responsibilities of a security professional is to avoid introducing additional vulnerabilities while deploying people, processes, and products to improve security. The Hippocratic Oath, "First, do no harm," applies. I am not confident that a Windows system can defend itself on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Internet. Configuring a Windows system such that it can operate independently, outside of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 protection of a firewall, is not easy. I can quickly disable all services except OpenSSH on a FreeBSD or OpenBSD platform, and not need a host-based firewall. With Windows, unless I deploy a host-based firewall, it is difficult to disable all unnecessary services. Furcá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rmore, Windows' security record pales in comparison to FreeBSD or OpenBSD. A security professional should not have to worry about monthly security updates for his security platform.

2. Network Performance: Aside from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 work of people like Fulvio Risso and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Winpcap team, I do not see cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 level of attention paid to Windows network performance as I do for FreeBSD. I know of a proprietary military intrusion detection system, a commercial packet capture device (Sandstorm NetIntercept), and ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r platforms deployed on FreeBSD specifically for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 robustness of its TCP/IP stack and network performance. On cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Linux side work done by Phil Wood and Luca Deri also point to specific network performance enhancements. One of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 primary reasons to deploy a sensor is to collect traffic, and no one ever cites traffic collection capabilities as a strength of Windows.

3. Ease of Deployment: Many assume Windows must be cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 easier OS to deploy since it uses a GUI. Nothing could be furcá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 truth. GUIs are helpful because cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y tend to put options in front of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 user in menu format. CLIs tend to be difficult because cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 user must know what series of commands and options must be passed to accomplish a given task. Once cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 CLI is understood, however, it is easier to accurately replicate and track cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 actions taken on a CLI system. How does one run script to record actions taken on a Windows GUI?

Beyond cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 GUI vs CLI, I believe cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 UNIX model and especially cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 BSD's OS installation process to be much more suited for building sensors. For example, it is trivial to deploy a very stripped down FreeBSD or OpenBSD sensor using built-in installation options. Fanatics are free to go cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 extra mile to remove tools in preselected packages, but that is not always necessary. Even deploying cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 most minimal Windows system still installs a graphical subsystem as part of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Windows kernel.

4. System Administration: I think it is easier to administer BSD or UNIX systems in general. I can do everything I need over OpenSSH, which is installed on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 OS (unlike OpenSSH added to a Windows box). I can use OpenSSH over a low bandwidth link if necessary, unlike Terminal Services (VNC is anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r matter, but is again an add-on). I can check critical configuration files into RCS and track or roll back changes. I can copy cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se config files easily among machines. There is a defined and well-understood separation between user roles and root users. There is no ports tree for Windows, giving easy access to almost 12,000 applications.

5. Diverse Tools: Most of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 tools in my book are UNIX-based because cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 majority of network security monitoring tools were developed by UNIX programmers. Besides cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r four reasons given, this one is a major reason why I know of no "Windows zealot that is as good with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 NSM subject" as me. Commercial tools exist, but with ever tighter security budgets I don't see many enterprises having cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 money to buy cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m. Open source is more than free -- it's also cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 power to change tools that don't do what you want. Although I don't see cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 value in Web-based alert browsers like ACID, I appreciate that a project like Basic Analysis and Security Engine (BASE) could fork cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ACID code base to continue development of that tool. Such innovation is just not possible with proprietary tools.

These are cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 reasons I am an open source advocate and user. I know of several very smart people working for Microsoft and this critique is not intended to attack cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m. However, I am more confident that my BSD-based security appliances will do cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 job cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y were built for, and not become a liability when I deploy cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m.

Review of Stealing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Network: How to Own a Continent Posted

Amazon.com just posted my four star review of Stealing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Network: How to Own a Continent. I really enjoyed reading this fictional yet techincal work. From cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 review:

"'Stealing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Network: How to Own a Continent' (STN:HTOAC) is a detailed look at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 capabilities a structured threat could apply to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 world's vulnerable digital infrastructures. Racá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r than hire a Beltway Bandit, I recommend those planning cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 digital defense of this nation read HTOAC. This book is more creative, comprehensive, and plausible than what most 'infowar' think-tanks could produce."

Thursday, September 09, 2004

Snort-Inline Developments

I noticed a post to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 snort-inline mailing list last week that announced a "changing maintainer and future plans." Snort-inline is a project which allows a Snort sensor positioned inline (as opposed to sniffing passively offline) to accept packets from IPTables and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n make pass/drop decisions. William Metcalf is taking over as lead developer from Rob McMillen, although Rob will remain with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 project along with newcomer Victor Julien.

William claims "we have been very busy working on snort_inline and evaluating cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 snort_inline code that is being integrated into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 snort-2.3 source branch. That's right, you heard it here first: snort-2.3 will have snort_inline functionality built into it. Rob, Victor and I will be maintaining and supporting it. We will still maintain snort_inline as a separate project and use it as vehicle for bleeding-edge functionality and honey net-specific features."

This is interesting because of comments Marty made at CanSecWest in April. He said Sourcefire was working on an inline capacity that would not use cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 existing Snort-inline code. I have not seen anything new appear at cvs.snort.org but I will keep looking.

I am interested in knowing if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 inline features of Snort 2.3 will also be largely tied to Linux via IPTables. I asked about FreeBSD support in April, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re have been more recent discussions of support for OpenBSD. FreeBSD support is claimed but I believe it doesn't work on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 5.x tree. I also discussed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 issue here last April, but I've never heard of anyone actually getting Snort-inline to work with any BSD system. For those who want to use Snort to inspect and drop traffic, support for BSD would allow running Snort on a very trustworthy platform like OpenBSD or take advantage of new traffic handling developments in FreeBSD.

Tuesday, September 07, 2004

Question on NSM Methodology

I received cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following question via email today:

"I'm a huge fan of your newest book, and I read it cover-to-cover in a handful of evenings. However, I have a question about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 approach you take for doing network monitoring.

The average throughput of our Internet connection is around 5Mbits/sec sustained. I would love to implement Sguil as an interface to my IDS infrastructure (currently Acid and Snort on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 network side), but I ran some numbers on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 disk space required to store that much network traffic, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 number quickly swamped cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 disk resources I currently have available to me for this activity.

Am I missing something with regards to how Snort stores data in this kind of scenario, or do I really need to plan for that much disk space?"

This is a good question, and it is a common initial response to learning about Network Security Monitoring (NSM).

Remember that NSM is defined as "cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 collection, analysis, and escalation of indications and warning to detect and respond to intrusions." There is no explicit mention of collecting every packet that traverses cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 network in that defintion. However, NSM analysts find that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 best way to accomplish cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 detection of and response to intrusions is by interpreting alert, session, full content, and statistical network evidence. Simply moving "beyond intrusion detection" (my book's subtitle) -- beyond reliance on alert data alone -- moves one away from traditional "IDS" and towards NSM.

The answer for those operating in high bandwidth requirements is collect what you can. Chapter 2 (.pdf) lists several principles of detection and security, including:

- Detection through sampling is better than no detection.
- Detection through traffic analysis is better than no detection.
- Collecting everything is ideal but problematic.

I recommend looking at Chapter 2 for more information on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se principles.

Someone monitoring a data center uplink or an Internet backbone is not going to collect meaningful amounts of full content data without spending a lot of money on high-end hardware and potentially custom software. You may only be able to collect small amounts of full content data in response to specific problems like identification of a covert back door. You may have to take a cue from Internet2 and analyze NetFlow data, and hardly look at full content at all.

There is nothing wrong with eicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r approach. The idea is to give your analysts as much supporting information as possible when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y need to make a decision concerning suspicious or malicious traffic. Only giving cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m an alert, with no ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r context or non-judgement based data, makes it very unlikely cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 analyst will know how to make an informed validation and escalation decision.

My specific answer for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 question at hand would be to try deploying Sguil with a conservative full content collection strategy. Pass BPF filters in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 log_packets.sh script to limit cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 full content data collected on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 sensor. Additionally, if you find cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 amount of session data logged by SANCP to be a burden, you can pass filters to SANCP as well.

If at all possible I advise not filtering SANCP and ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r session collection mechanisms, as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se content-neutral collection measures can really save you in an incident response scenario. If SANCP and database inserts are a problem, consider cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 more mature code base of Argus or collecting NetFlow records from routers you control. My book also outlines how to do this.

Update: My buddy Bamm Visscher points out that a sustained 5 Mbps throughput is 2250 MB per hour or 54000 MB per day in raw traffic. However, some overhead is needed for libpcap headers. For small packets, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 header could be as large as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 content, effectively doubling cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 disk space needed to record that packet. For large packets, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 header is a smaller percentage of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 overall record of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 packet.

Anectdotal evidence from one of Bamm's friends says a link with sustained 10 Mbps is writing about 8 GB per hour to disk.

Speaking conservatively for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 original question of 5 Mbps, a sensor like a Dell PowerEdge 750 with two 250 GB SATA drives can hold at least several days worth of libpcap data, and potentially up to a week. That's plenty of time to retrieve useful full content data if regular monitoring is done.

Monday, September 06, 2004

Early Look at FreeBSD Migration Guide

Bruce Mah is requesting comments on his FreeBSD Migration Guide. The guide explains cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 FreeBSD release process, new features in 5.3, and how to upgrade from 4.x to 5.3. Remember this is a draft, but if you have feedback join cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 thread on freebsd-current.

TaoSecurity.Blogspot.com on BlogShares.com

Over cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 weekend I learned about BlogShares.com, a fantasy stock market for Blogs. It was originally created by Seyed Razavi, but he turned over management of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 project late last year. I found out that TaoSecurity.Blogspot.com was listed on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 BlogShares market, so I registered myself as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 owner. I found out Barry Irwin, owner of lair.moira.org, holds 4000 shares of this blog, and I as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Blog owner was given 1000. I found out about Barry's site when researching cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 nVidia driver issue mentioned earlier.

I haven't figure out Blogshares yet, but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re's a growing community around it. For example, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re's an unofficial BlogShares Strategy Blog and a BlogShares Webring.

Nvidia Will Get My Vote

Last month Nvidia released FreeBSD drivers for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir products. The README describes how to install and configure cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 drivers. Their forums offer advice for those having problems. Slashdot reported on this as well.

If anyone can recommend a dual-DVI card that works with FreeBSD, please email me at richard at taosecurity dot com.

Sunday, September 05, 2004

The Macintosh of Vacuums

In cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 spirit of reporting on technology, I feel compelled to report on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 latest gadget to enter my home -- cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 DCO7. What is it, you might ask? A miniature rocket? A new USB device? This, my friends, is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 most amazing vacuum cleaner I have ever used. I call it cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Macintosh of Vacuums due to its elegant engineering, thoughtful design, and superior performance.

The product is made by Dyson, a British company founded by inventor James Dyson. His story, also described by Forbes, is compelling. His recent TV ads show him describing how he thought ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r vacuums didn't do a good job. 5,127 prototypes later, he invented cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Dyson. He shopped his bag-less design to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 major vacuum manufacturers, who passed on his technology. Dyson claims cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 manufacturers make $500 million per year selling bags, so cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y were not interested in ending that income stream by selling a bagless vacuum.

Once cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 manufacturers realized how good Dyson's system worked, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y introduced cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir own inferior products and even tried to copy his patent-protected technology outright. Dyson won a patent infringement claim against Hoover. (This is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 sort of use for which patents are appropriate, unlike software patents.) According to a Dyson press release describing Hoover's patent infringement guilt, "Hoover later admitted that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y 'regret that Hoover as a company did not take cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 product off cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 shelf, take it off Dyson; it would have lain on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 shelf and not have been used,' (Hoover’s Vice-President, Europe 1995)."

I had no idea how vacuums work until I learned about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Dyson. His insights make me wonder why anyone bocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs buying products using inferior technology. Dyson knew that vacuum bags are porous to allow air to exit cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 bag as it draws up dirt from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ground. Like most people, he thought cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 vacuum lost suction once cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 bag filled with dirt. He observed, however, that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 pores needed to maintain suction quickly become blocked, even with a barely filled bag. Blocked pores reduce suction, not a filled bag. Within minutes of using a normal bag vacuum, you've effectively lost cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 suction needed to remove dirt.

Dyson's product does use two filters, but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first need only be washed every six months, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 second has a lifetime warranty. Dyson's site claims "Dyson Root Cyclone technology uses 100,000G of centrifugal force in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 cyclones to filter dust and remove dirt from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 airflow efficiently. Because cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re is nothing to obstruct cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 airflow, it doesn't clog and doesn't lose suction." I'd like to see cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 calculation for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "g" rating, but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 no-clogging feature appears genuine. The proof of its superiority came when I ran it through a room I had just cleaned with my old vacuum. The Dyson filled its cannister with dirt and dog hair missed by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 old unit. You can see cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 hair culprit pictured above.

If you'd like to read more about Dyson, check out cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Amazon.com reviews.

FreeBSD 5.3-BETA3 Available

FreeBSD 5.3-BETA3 is now available via FTP from sites like ftp10.freebsd.org/pub/FreeBSD/releases/i386/ISO-IMAGES/5.3/. I covered cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 release of BETA1 and BETA2 previously. If you'd like more information on changes to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 network stack in 5.3, read Andre Oppermann's presentation (.pdf) from SUCON 04. The announcement mentions that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "MP-safe network stack is now enabled by default" and "X server configuration has been removed from sysinstall."

There is one more BETA scheduled for 10 Sep 04, followed by RC1 on 17 Sep and RC2 on 24 Sep. 5.3 RELEASE is due on 3 Oct.

Saturday, September 04, 2004

Amazon Finally Discounts My Book

After more than a month of selling my book at cover price, Amazon.com is now selling The Tao of Network Security Monitoring: Beyond Intrusion Detection for $33.99, a 32% discount.

The US-based site still doesn't show as much information as Amazon.ca, where cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 table of contents and preface are posted. Barnes and Noble has cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 book for $1 more, and Bookpool is still cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 best buy with a 45% discount and $27.25 price.

The best place to get all of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 information is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Addison-Wesley page. My TaoSecurity.com books page also hosts cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 errata for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first printing, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 pcap files used in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 book, and ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r information.

Friday, September 03, 2004

Netdude Continues to Amaze

Last week I posted a method to extract individual pcap files from a larger pcap file. Originally I thought it would be useful to have a tool which would extract all individual flows from a pcap file into pcap format. Note this is different from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 capability offered by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 excellent Tcpflow, which extracts cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 application data from all TCP flows.

I thought cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 tool Netdude might have this capability when I saw its libnetdude plugin Flow Demultiplexer. I was familiar with plugins for Netdude, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 graphical interface. Flow Demultiplexer is not available within Netdude and must be invoked using libnetdude.

First, install Netdude. I used cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 FreeBSD net/netdude port. Next download and install cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following from source code, in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 order specified:

- Connection State Tracker
- Trace Set
- Flow Demultiplexer

I didn't know how to proceed. I asked Netdude's author Christian Kreibich for help, and he sent a very helpful email. To access libnetdude plugins, use cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 lndtool program:

orr:/$ lndtool --help
lndtool -- libnetdude configuration and execution tool.
USAGE: lndtool [OPTIONS]

--help, -help, -h, -? This message.
--prefix Installation prefix.
--version, -v Prints out version info.
--cflags Preprocessor flags needed for compilation.
--libs Linker flags needed when linking..
--plugin-dir Plugin installation directory.
--proto-dir Protocol installation directory.
--include-dir Header files directory.
--plugins, -p Lists all plugins that register successfully.
--run, -r PLUGINNAME PARAMS Run plugin PLUGINNAME with PARAMS.

Using cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 -p option showed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 registered plugins:

orr:/$ lndtool -p
libnetdude protocol plugins:
--------------------------------------------------
Ecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rnet 0.6
ICMP 0.6
IPv4 0.6
SLL 0.6
LLC/SNAP 0.6
TCP 0.6
UDP 0.6
ARP 0.6
FDDI 0.6

libnetdude feature plugins:
--------------------------------------------------
BPF-Filter 0.6
Checksum-Fix 0.6
Conntrack 0.4
Demux 0.2
Trace-Set 0.2

Now I was ready to get help with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Demux plugin:

orr:/$ lndtool -r Demux --help
Flow Demultiplexer plugin
USAGE: lndtool -r demux [--debug|-d] [--output-dir|-o DIR] [--progress|-p]
[--names-file|-f FILE] [ ...]

--help, -h, -? This message.
--output-dir, -o DIR Output directory in which to dump output. Default: cwd.
--progress|-p Displays a progress indicator at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 shell.
--names-file|-f FILE Take filenames of traces from flatfile FILE.

Then I ran Demux on an old trace:

orr:/$ lndtool -r Demux -o demux/ comcast3.lpc

The demux/ directory contained two directories and one file:

17 6 non_ip.trace

The '17' directory contained UDP traffic, with directories named for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 source address of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first packet in each "flow."

0.0.0.0 10.71.136.1 192.168.100.1 192.168.100.11 68.48.43.26

In cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 68.48.43.26 directory, I found more directories, each named for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 destination address:

172.30.100.36 68.48.0.13 68.48.43.127

Each of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se directories contained individual pcap files. For example, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re was only one file in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 68.48.43.127 directory:

1085778073.273396-137-137.trace

The first part of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file name is a timestamp:

date -r 1085778073
Fri May 28 17:01:13 EDT 2004

The second part is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 source and destination port of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 flow. Here is what cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "flow" looked like:

orr:/demux/17/68.48.43.26/68.48.43.127$ tcpdump -n -r 1085778073.273396-137-137.trace
17:01:13.273396 68.48.43.26.137 > 68.48.43.127.137: NBT UDP PACKET(137): REGISTRATION; REQUEST; BROADCAST
17:01:19.271012 68.48.43.26.137 > 68.48.43.127.137: NBT UDP PACKET(137): RELEASE; REQUEST; BROADCAST
17:02:59.206324 68.48.43.26.137 > 68.48.43.127.137: NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST
17:03:00.691252 68.48.43.26.137 > 68.48.43.127.137: NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST
17:03:02.193178 68.48.43.26.137 > 68.48.43.127.137: NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST

This doesn't look very "flow-like" for UDP, so consider this TCP flow in a different directory:

orr:/demux/6/68.48.43.26/66.179.151.30$ tcpdump -n -r 1085778514.142047-1082-80.trace
17:08:34.142047 68.48.43.26.1082 > 66.179.151.30.80: S 971414932:971414932(0) win 16384 (DF)
17:08:40.060862 68.48.43.26.1082 > 66.179.151.30.80: S 971414932:971414932(0) win 16384 (DF)
17:08:40.092702 66.179.151.30.80 > 68.48.43.26.1082: S 2030305390:2030305390(0) ack 971414933 win 16384 (DF)
17:08:40.092921 68.48.43.26.1082 > 66.179.151.30.80: . ack 1 win 17520 (DF)
17:08:40.093626 68.48.43.26.1082 > 66.179.151.30.80: P 1:150(149) ack 1 win 17520 (DF)
17:08:52.077789 68.48.43.26.1082 > 66.179.151.30.80: P 1:150(149) ack 1 win 17520 (DF)
17:09:16.111018 68.48.43.26.1082 > 66.179.151.30.80: P 1:150(149) ack 1 win 17520 (DF)
17:10:04.177622 68.48.43.26.1082 > 66.179.151.30.80: P 1:150(149) ack 1 win 17520 (DF)
17:11:09.376959 66.179.151.30.80 > 68.48.43.26.1082: R 2030305391:2030305391(0) win 17520 (DF)

The non_ip.trace file is also a pcap file. For cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 sample I used, it contained ARP traffic and Cisco switch loopback traffic:

17:16:30.074041 0:c:ce:4e:53:a0 0:c:ce:4e:53:a0 9000 60:
0000 0100 0000 0000 0000 0000 0000 0000
0000 0000 0000 0000 0000 0000 0000 0000
0000 0000 0000 0000 0000 0000 0000

I think this Netdude Demux plugin is very useful, and I thank Christian for his help learning how to use it. If you'd like to see some of Netdude's ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r capabities, I feature Netdude in chapter 6 of The Tao of Network Security Monitoring.

Wednesday, September 01, 2004

Review of IRC Hacks Posted

Amazon.com just posted my four star review of IRC Hacks. From cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 review:

"'IRC Hacks' is not a more recent version of Alex Charalabidis's 'The Book of IRC.' Published by No Starch Press in 2000, 'The Book of IRC' focuses on more introductory material, and thoroughly covers cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 issues facing most IRC users. Unlike cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 older No Starch book, 'IRC Hacks' devotes over 200 pages to bot development. In ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r words, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 'IRC Hacks' authors concentrate on more advanced ways to interact with IRC servers. If this is your primary interest, you will enjoy 'IRC Hacks.'"