Friday, April 08, 2005

Thoughts on GFIRST Conference

Tuesday and Wednesday I attended cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Government Forum of Incident Response and Security Teams (GFIRST) conference in Orlando, Florida. The event was organized by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Department of Homeland Security's Directorate of Information Analysis and Infrastructure Protection, which owns cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 United States Computer Emergency Response Team (US-CERT).

I spoke on Tuesday about network security monitoring with Sguil and open source tools. My talk went well, although I had a surprise encounter with ACID developer Roman Danyliw! He is currently chair of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Extended Incident Handling IETF working group and part of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 CERT/NetSA (Network Situational Awareness) Team, creators of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 System for Internet-Level Knowledge (SiLK) NetFlow suite.

Although I could only attend a few presentations, I was glad to see 2 1/2 talks by Red Cliff consultants. On Tuesday I saw Kevin Mandia speak about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 state of incident response. On Wednesday I attended two talks by Curtis Rose. Curt's first talk introduced attendees to malware analysis on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 UNIX platform. He explained how to reverse engineer a variant of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 allinone.c backdoor by CNHonker's Lion. That material will appear as chapter 13 of our new book Real Digital Forensics.

In Curt's second talk he showed how to capture Windows process memory using userdump.exe, part of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Windows OEM Support Tools package. In a related story, Curt described how he did cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 forensics on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 hard drive of Sami Omar Al-Hussayen. Curt also set up cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 network that Russian hackers Alexey Ivanov and Vasiliy Gorshkov thought was Invita Security.

One of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 details that emerged from Curt's monitoring of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Invita Security network involved a password used by Alexey Ivanov. When accessing one of his drop sites, Alexey's FTP password was www.pidor.com (Internet Archive available). Think of what an unwary analyst might do with that information. Only someone who is monitoring Alexey's actions might know about www.pidor.com. Say that unwary analyst decides to visit www.pidor.com to learn more about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 site. If Alexey or a friend is monitoring Web accesses to www.pidor.com, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y could learn that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y are being monitored. This case demonstrates how important it is for analysts to not "touch" remote or foreign sites involved in intrusions. You may tip your hand to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attacker and ruin an investigation or recovery effort.

I also attended a talk by Ron Plesco of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 National Cyber-Forensics and Training Alliance. They work with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Internet Crime Complaint Center and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Digital Phishnet, and formed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 operations plan for Operation Slam Spam.

In ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r .gov news, I learned a new term -- "Computer Network Defense Service Provider." There's an article describing how "The National Security Agency (NSA) has recommended cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Defense Information Systems Agency (DISA) for a Level 2 accreditation (commendable performance) as a Tier 2 Computer Network Defense (CND) Service Provider." I also heard about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Cyber Annex to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 DHS' National Response Plan and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 privacy rules governing collection of information under cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 The E-Government Act of 2002.

No comments: