Wednesday, November 30, 2005

Why Duplicate Packets May Appear on SPAN Ports

I noticed a post to snort-users today asking if Snort had a problem with duplicate packets:

"We have a range of switches being used within our network for port monitoring, and a couple have had to be set up in such a way that you can end up seeing each packet TWICE on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 snort interface. I've been told by our network engineers that this has to be cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 case in order for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 IDS to see cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 networks it needs to on one card."

I think I know why this is happening. I cover this issue in day one of my Network Security Operations course.













Essentially, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 admin who sets up cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 SPAN port has to decide if he or she wants to copy traffic in to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 SPAN port, out of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 SPAN port, or in and out of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 SPAN port. If cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 decision is made to copy in and out of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 SPAN port, duplicate packets will appear when intra-switch traffic is carried.

Tuesday, November 29, 2005

Two New Pre-Reviews

Thank you to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 publishers who sent two new books in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 last few weeks. First is Phishing Exposed, by Lance James, published by Syngress. This looks like a great book. I loved Inside cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Spam Cartel, so I have high hopes for this new book. The book appears to have plenty of technical details.

Next is Running IPv6 by Iljitsch van Beijnum, published by Apress. I liked his book BGP. I already read and reviewed IPv6 Network Administration from O'Reilly, which appears similar to this new book. I'll let you know how cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 two books differ after I read cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 latest title.

Monday, November 28, 2005

Bejtlich Teaching Next Week at USENIX LISA

Next week I will present three full-day tutorials at USENIX LISA 2005 in San Diego, CA, from 6-8 December 2005. I will teach network security monitoring, incident response, and forensics. I hope to attend a tutorial on Monday afternoon and several presentations on Friday as well. I'll be wearing TaoSecurity clothing, so please stop by to chat if you're nearby! I believe Addison-Wesley will also sponsor a book-signing, but I do not know when that will be.

Update: I just learned cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 book signing will take place in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Golden Ballroom from 5:30 to 6:30 p.m., Wednesday, 7 December.

SANS Replaces Several Threat References in Top 20

Last week I posted comments about several misuses of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 word "threat" in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 latest SANS twenty most critical Internet security vulnerabilities. After receiving an email from Alan Paller, I returned to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 SANS site and saw many of my recommended changes were made. For example, you can now "Jump To Index of Top 20 Vulnerabilities", instead of "threats." I appreciate SANS taking my suggestions to heart.

Update: It's becoming clear where cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 confusion regarding "threat" vs "vulnerability" originates for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 SANS Top 20. One of you pointed me towards cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 article Mac OS X Under Scrutiny. See how many misuses of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 term threat you can find. Here's a freebie:

"SANS's Dhamankar stressed that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 intent was not to call cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Mac OS X operating system a threat, but to give Mac users a wake up call."

Saturday, November 26, 2005

Three Great Session Data Articles

I just happened upon three great articles by Michael W. Lucas on collecting and analyzing session data on FreeBSD. They are:

Michael introduces several techniques and tools not mentioned in my books, like softflowd, Cflow.pm, flowscan, CUFlow, and ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs. Nice work! (Incidentally, I am cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 USENIX instructor Michael references in his last article.) :)

Friday, November 25, 2005

NISCC Director Understands Real Threats

Roger Cummings, director of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 UK's National Infrastructure Security Co-ordination Centre made interesting comments reported by News.com:

"Cummings said cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 most significant element in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malicious marketplace is foreign states, whose target is information. Next are criminals who are trying to compromise cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 CNI in order to sell information. Hackers motivated by kudos or money have 'a variable capability' when it comes to attacks... However, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se pose a more serious threat than terrorists, who currently have a low capability."

The article continues:

"NISCC is working with its equivalents in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 countries concerned to try to shut cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attacks down, Cummings said. The agency cannot name cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 countries concerned as this may 'ruin diplomatic efforts to halt cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attacks,' he added."

Imagine that -- he didn't say "holes in Internet Explorer," or "Windows RPC services." The director named parties with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 capability and intentions to exploit vulnerabilities in assets.

A visit to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 NISCC site shows separate threats and vulnerabilities pages. The threats page begins with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se words:

"NISCC's key role is to minimise cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 risk of electronic attack to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 CNI. This involves assessing 'threats' from a variety of sources including criminals, foreign intelligence services, terrorists or virus writers."

The vulnerabilities page begins with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se words:

"NISCC undertakes research into computer vulnerabilities or 'weaknesses' and augments this with extensive intelligence to determine cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 extent of threats to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Critical National Infrastructure from hostile and malevolent elements.

Working with a number of partners, NISCC has had considerable success in identifying problems, and getting vendors to provide software 'patches', through a policy of 'responsible disclosure'."

So, here is anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r organization that understands cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 difference between threats and vulnerabilities.

Tenable and Nessus News

Federico Biancuzzi conducted an extensive interview with Tenable Network Security co-founder and Extrusion Detection contributor Ron Gula. He discusses Nessus 3, including features and licensing changes. Ron also mentions Nessus support services, training, certification, and books, which all sound cool to me.

Tuesday, November 22, 2005

The Good and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Bad About cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 New SANS Top 20

Back in January I noted that SANS was not using cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 terms "threat" and "vulnerability" properly in its call for help on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "twenty most critical Internet security vulnerabilities," represented by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 logo at left.

You will remember that a threat is a party with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 capabilities and intentions to exploit a vulnerability in an asset. A vulnerability is a weakness in an asset that could lead to exploitation. An intruder (cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 threat) exploits a hole (cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 vulnerability) in Microsoft IIS to gain remote control of a Web server. In ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r words, threats exploit vulnerabilities.

Today, version 6 of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Top 20 was released. I'll start with "cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 good." I believe cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 majority of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 2005 content is much better than cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 2004 edition. The 2004 list, and previous lists, displayed 10 Windows vulnerabilities and 10 (often dubious) Unix vulnerabilities. The 2005 list, in contrast, displays cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following vulnerabilities:

Top Vulnerabilities in Windows Systems

* W1. Windows Services
* W2. Internet Explorer
* W3. Windows Libraries
* W4. Microsoft Office and Outlook Express
* W5. Windows Configuration Weaknesses

Top Vulnerabilities in Cross-Platform Applications

* C1. Backup Software
* C2. Anti-virus Software
* C3. PHP-based Applications
* C4. Database Software
* C5. File Sharing Applications
* C6. DNS Software
* C7. Media Players
* C8. Instant Messaging Applications
* C9. Mozilla and Firefox Browsers
* C10. Ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r Cross-platform Applications

Top Vulnerabilities in UNIX Systems

* U1. UNIX Configuration Weaknesses
* U2. Mac OS X

Top Vulnerabilities in Networking Products

* N1. Cisco IOS and non-IOS Products
* N2. Juniper, CheckPoint and Symantec Products
* N3. Cisco Devices Configuration Weaknesses

Bravo. I think that is a significant step towards realizing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 scope of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 problem at hand. To be fair to Microsoft, I believe cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re could have been "Unix services" and "Unix libraries" sections. I applaud cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 addition of network products and ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r applications. Content-wise, this is a great resource.

Now, "cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 bad." The top of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 page has this link: -----Jump To Index of Top 20 Threats -----. For Pete's sake, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 title of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 document is "The Twenty Most Critical Internet Security Vulnerabilities." These are not threats.

Let's see ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r terms in use:

In cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 introduction we see:

"In addition to Windows and UNIX categories, we have also included Cross-Platform Applications and Networking Products. The change reflects cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 dynamic nature of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 evolving threat landscape."

I can accept this use of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 term threat, if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 intent is to refer to parties who exploit vulnerabilities.

Next:

"We will update cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 list and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 instructions as more critical threats and more current or convenient methods of protection are identified, and we welcome your input along cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 way."

Here, threats should be "vulnerabilities".

Section C2:

"Compromising a gateway could potentially cause a much larger impact since cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 gateway is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 outer layer of protection and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 only protection for some threats in many small organizations."

This should eicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r replace "threats" with "vulnerabilities", or "for some" with "from some".

Section C5:

"The main threats arising from P2P software are:"

I think threats should be "risks" here, although cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 list is a muddle of different issues.

Later in that section:

"The number of threats using P2P, IM, IRC, and CIFS within Symantec's top 50 malicious code reports has increased by 39% over cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 previous six-month period."

Here, I can accept cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 use of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 term as long as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 intent is to describe parties abusing P2P, IM, etc.

Section C8:

"These applications provide an increasing security threat to an organization. The major threats are cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following:"

Here's a simple rule of thumb: applications can never be "threats." Again, I suggest replacing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 second "threats" here with "risks".

One final note: I am not a lone voice speaking on this subject. The Financial Times, of all people, is linked from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 SANS page with a story Hackers pose new threat to desktop software. That's cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 proper use of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 term threat, since a hacker is a "party."

Security will not be taken seriously as a "profession" until its "thought leaders" use basic terms properly.

Monday, November 21, 2005

Demand for a BSD Associate Certification Guide

I have an idea for a new book. For cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 last year I have been part of
cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 BSD Certification Group (BSDCG). I started out as a Group member, but moved to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Advisory Board when TaoSecurity business occupied too much of my time.

Last month cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 BSDCG published its BSD Associate Exam Objectives (.pdf) The document outlines all cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 skills a candidate for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 BSD Associate cert is expected to have. However, no specifics are given. For example:


3.2.12 Change cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 encryption algorithm used to encrypt cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 password database.

Concept:

Given a screenshot of a password database, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 BSDA candidate should be
able to recognize cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 encryption algorithm in use and how to select
anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r algorithm. The candidate should also have a basic understanding
of when to use DES, MD5 and Blowfish.

Practical:
login.conf(5); auth.conf(5); passwd.conf(5); adduser.conf(5) and adduser(8)


I am considering writing a BSD Associate Certification Guide. The guide will cover all of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 7 domains on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 cert:

1. Installing and Upgrading cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 OS and Software
2. Securing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 OS
3. Files, Filesystems, and Disks
4. Users and Accounts Management
5. Basic System Administration
6. Network Administration
7. Basic Unix Skills

Half of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 work is already done. I know everything that needs to be covered. What I need to do now is provide answers to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 questions.

What do you think? Would you like a book that addresses all of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 seven domains for all of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 BSD OS' covered by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 cert (FreeBSD, NetBSD, OpenBSD, DragonFly BSD)?

Extrusion Detection Shipping

Good news -- several of you have reported receiving copies of my new book Extrusion Detection, ordered through regular online vendors. I'm happy to see Amazon.com finally listing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 book as "Usually ships within 24 hours." It appears Buy.com has a great deal, with free shipping and a $29.69 price.

If you have any suggested changes, please let me know within cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 next 10 days. I owe corrections to my publisher for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 second printing on 2 December. Thank you!

Tecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365real Ring Buffer Syntax Changes Again

It's tough to keep up with syntax changes in Tecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365real. Only a few months ago I posted syntax to use Tecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365real in ring buffer mode. I like ring buffer mode because it is a "fire and forget" solution for collection full content data. You tell Tecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365real how many files, and of what size, it should collect, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 program just keeps logging as much as you specify.

Today when trying Tecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365real 0.10.13, I discovered cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 syntax has changed again. First, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 relevant man page excerpt:

-a Specify a criterion that specifies when Tecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365real is to stop writ-
ing to a capture file. The criterion is of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 form test:value,
where test is one of:

duration:value Stop writing to a capture file after value seconds
have elapsed.

filesize:value Stop writing to a capture file after it reaches a
size of value kilobytes (where a kilobyte is 1024 bytes). If this
option is used togecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 -b option, Ecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365real will stop
writing to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 current capture file and switch to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 next one if
filesize is reached.

files:value Stop writing to capture files after value number of
files were written.

-b Cause Tecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365real to run in "multiple files" mode. In "multiple
files" mode, Tecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365real will write to several capture files. When
cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first capture file fills up, Tecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365real will switch writing to
cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 next file and so on.

The created filenames are based on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 filename given with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 -w
flag, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 number of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file and on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 creation date and time,
e.g. savefile_00001_20050604120117.pcap, save-
file_00001_20050604120523.pcap, ...

With cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 files option it's also possible to form a "ring buffer".
This will fill up new files until cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 number of files specified, at
which point Tecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365real will discard cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first file and
start writing to that file and so on. If cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 files option is not
set, new files filled up until one of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 capture stop conditions
match (or until cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 disk if full).

The criterion is of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 form key:value, where key is one of:

duration:value switch to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 next file after value seconds have
elapsed, even if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 current file is not completely filled up.

filesize:value switch to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 next file after it reaches a size of
value kilobytes (where a kilobyte is 1024 bytes).

files:value begin again with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first file after value number of
files were written (form a ring buffer).

Ok, so how do I use this? I create cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following simple shell script:

#!/bin/sh

# Capture file size in KB; here is 1 GB
#FILESIZE=1000000
# Here is 100 MB
FILESIZE=100000

# Number of files to capture
FILENUMBER=5

# Interface to watch
INTERFACE=fxp0

/usr/X11R6/bin/tecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365real -n -i $INTERFACE -s 1515 -q -a filesize:$FILESIZE -b files:$FILENUMBER
-w /nsm1/lpc/fullcontent.lpc

The preceding script tells Tecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365real to collect five 100,000 KB files. When cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 fifth one reaches cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 100 MB limit, Tecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365real begins overwriting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first one. Check out cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se directory listings as time progresses. First, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 initial capture file. Notice cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 naming convention Tecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365real uses. (Note: 100,000 KB != 100 MB, but it's close enough for our purposes.)

sensor01:/nsm1/lpc# ls -alh
total 35780
drwxr-xr-x 2 root wheel 512B Nov 22 15:23 .
drwxr-xr-x 5 root wheel 512B Nov 22 15:00 ..
-rw------- 1 root wheel 35M Nov 22 15:24 fullcontent_00001_20051122152344.lpc

After a while, we have five files:
sensor01:/nsm1/lpc# ls -alh
total 483300
drwxr-xr-x 2 root wheel 512B Nov 22 15:24 .
drwxr-xr-x 5 root wheel 512B Nov 22 15:00 ..
-rw------- 1 root wheel 98M Nov 22 15:24 fullcontent_00001_20051122152344.lpc
-rw------- 1 root wheel 98M Nov 22 15:24 fullcontent_00002_20051122152407.lpc
-rw------- 1 root wheel 98M Nov 22 15:24 fullcontent_00003_20051122152419.lpc
-rw------- 1 root wheel 98M Nov 22 15:24 fullcontent_00004_20051122152430.lpc
-rw------- 1 root wheel 81M Nov 22 15:24 fullcontent_00005_20051122152441.lpc

When cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 fifth file is completed, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first is overwritten:

sensor01:/nsm1/lpc# ls -alh
total 409316
drwxr-xr-x 2 root wheel 512B Nov 22 15:24 .
drwxr-xr-x 5 root wheel 512B Nov 22 15:00 ..
-rw------- 1 root wheel 98M Nov 22 15:24 fullcontent_00002_20051122152407.lpc
-rw------- 1 root wheel 98M Nov 22 15:24 fullcontent_00003_20051122152419.lpc
-rw------- 1 root wheel 98M Nov 22 15:24 fullcontent_00004_20051122152430.lpc
-rw------- 1 root wheel 98M Nov 22 15:24 fullcontent_00005_20051122152441.lpc
-rw------- 1 root wheel 8.7M Nov 22 15:24 fullcontent_00006_20051122152453.lpc

This processes continues until Tecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365real is killed. It is a great full content data collection system.

Friday, November 18, 2005

Security Awareness Training: A Waste of Time?

Extrusion Detection contributing author Rohyt Belani told me about his new SC Magazine article Changing End Users' Security Mindset. Here are some astonishing excerpts:

"[M]y company [Red Cliff Consulting] has conducted numerous social engineering exercises for Fortune 500 companies whose success relies heavily on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 protection of intellectual property.

These exercises involved scripted telephone calls to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 organizations' customer service departments and mass phishing emails targeting a randomly selected set of employees. The objective was to collect sensitive data, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 results were astounding.

627 of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 1000 people targeted by 'spear phishing' emails (aimed at pilfering cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 employees' corporate VPN credentials) succumbed to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attack and only 4 of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 373 that did not respond reported cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 issue to information security staff.

It's not so much those statistics that made cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 results astounding; but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 fact that all cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se organizations had recently conducted user awareness workshops that addressed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 threats posed by social engineers."

Wow. Maybe cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir Human Firewall was down?

I crack myself up. Anyway, Rohyt mostly blames cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 staff who offer security awareness training:

"[T]he information security staff must assume cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 onus of taking cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 initiative of developing innovative user awareness programs that pique cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 employees' interest. The majority of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 security awareness sessions I attended were unstimulating affairs couching cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 do's and don'ts of security."

I think it is time to face cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 fact that security awareness training is generally a waste of time. Trainers can stand on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir heads and juggle flaming swords, and some attendees will take a nap. People who handle cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 most sensitive classified data in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 world will happily click on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 dancing donkey that appears in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir inbox. All it takes to suffer an internal compromise is for one of Rohyt's 1000 respondents to provide cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir corporate VPN credentials.

In cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 remainder of Rohyt's article, he does provide good guidelines for improving cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 quality of security awareness training. However, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re is no way to achieve 100% compliance with security policies and sound practices.

So what is my answer? The people with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 best capability to address cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 problem must be given cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 authority and resources to do so. Those people are cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 information security staff. They should have cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 power to remove administrative accounts from normal desktop users. The should have cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 resources to deploy a proxy to filter and block malicious inbound and outbound traffic. Their concerns should not be sidelined in order to meet "business requirements."

Disagree with me? Well, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re are many aspects of business that individual employees should care about. The quality of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir work environment is important. I have worked in numerous buildings with asbestos and water problems (thanks .mil). Was it my job to become an environmental engineer? Corporate financial health is anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r important aspect of a business. Should employees receive accounting training?

Speaking of business concerns: am I cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 only person who is sick of hearing media pundits tell technical people we need to spend more time and effort understanding "cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 business?" There are only so many hours in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 day. Who is supposed to understand cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 technical issues facing an organization if we are also tasked with making business decisions?

Why don't I read about business managers being advised to understand TCP/IP?

This is called division of labor, and it's what enables companies to scale to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir present size. I am forced to perform business and technical functions by virtue of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 size of my small company. As a person who enjoys technical issues, I am not pursuing business issues by choice!

What do you think?

Thursday, November 17, 2005

FCW Reports DoD to Hold Security Stand-Down

I read that DoD plans to hold a security stand-down on 29 November "to focus on information assurance and network security." Apparently United States Strategic Command, one of nine Unified Commands, issued cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 order. The news came from Air Force Lt. Gen. Charlie Croom, director of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Defense Information Systems Agency and commander of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Joint Task Force - Global Network Operations (JTF-GNO).

FCW says "some DOD officials are concerned about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 amount of hardware and software manufactured overseas and whecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y might incorporate malicious code. [Croom] said one way to fight cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 problem is to require companies to assure DOD that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir products are safe and for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 military to monitor cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m closely." (emphasis added)

I like cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 fact Lt Gen Croom understands cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 importance of monitoring.

A separate article conveys this story, indicating Lt Gen Croom is a fair guy:

"The first time Croom showed up for a meeting at DISA, someone announced his presence and everyone in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 room snapped to attention, as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y did with previous DISA commanders, a headquarters employee said.

Croom told everyone at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 meeting that that was cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first and last time anyone was to announce him and have everyone stand at attention."

That's amazing. I have seen commanders institute similar policies on operations floors, but generally you're expected to stand when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 commander enters a meeting room.

The FCW article did not say much about what constitutes a network "stand-down," ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r than "changing passwords" and "conduct[ing] certain activities to strengcá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n and become more aware of network security." Can anyone elaborate on this? A department-wide password change sounds like an immense incident response action. I believe we instituted a similar action once when I was still in uniform.

Typically stand-downs are held in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 flying community when an aircraft crashes due to a mechanical problem. The rest of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 community wants to verify that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir aircraft are not also afflicted. I believe cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Titan Rain intrusions may be cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "crash" that prompted this stand-down. FCW reports "Croom said DOD networks are being intruded on. 'The enemy is among us,' he said."

Wednesday, November 16, 2005

Thoughts on CMP Acquisition of Black Hat

I just learned that CMP Media, publishers of IT magazines like Network Computing and IT Architect (formerly Network Magazine) just acquired Jeff Moss' Black Hat, Inc. for $10 million. I'm amazed that Black Hat went for that much. The organization may offer consulting, but it's mainly known for its conferences. Those conferences rely on instructors, none of whom are obligated to speak (as far as I know). Without any intellectual property, substantial workforce, or product lines, I'd say Black Hat did pretty well for itself!

I did not realize until now that CMP also owns cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Computer Security Insitutute, who runs cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir own security conferences. The CSI conference is a strange beast. I wouldn't consider William Safire to be a "security expert," but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re he is appearing as a keynote CSI speaker. Perhaps Black Hat is supposed to pull in anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r sort of demographic, one without as much gray hair?

BSD Certification Group Solicits Donations

The BSD Certification Group is soliciting donations to offset cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 costs of creating cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 certification. The main expense is psychometric analysis of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 proposed certification exam. This is fancy talk for ensuring cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 test assesses what cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 BSD Certification Group expects to measure. The BSDCG was incorporated as a non-profit corporation (a 501(c)(3) scientific and educational charitable organization) in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 state of New Jersey, but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 IRS has not validated cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir status yet.

Tuesday, November 15, 2005

Using Cache Snooping to Estimate Code Spread

I've stayed out of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 whole Sony DRM affair because I felt Windows guru Mark Russinovich has forgotten more about Windows internals than I will ever know. I try to avoid commenting on issues out of my league, and Windows rootkits are generally not something I know how to analyze at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 host level.

However, today I learned of a Wired story that incorporates new Dan Kaminski research. Dan has provided a conservative estimate of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 number of systems on which cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Sony DRM software is installed, based on Luis Grangeia's cache snooping methodology.

Essentially Dan used his Deluvian Scanning Platform -- DoxPara Infrastructure Validation Project (DIVP) to ask name servers if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y had cached results for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 hosts associated with Sony's DRM. For example, in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following I query a name server to see if it knows how to resolve www.bejtlich.net. The key is to tell cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 name server not to perform recursion; if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 name server can't answer my request on its own, it has to report cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 authoritative name servers for .net:

orr:/home/richard$ dig @kis.visi.com www.bejtlich.net A +norecurse

; <<>> DiG 9.3.1 <<>> @kis.visi.com www.bejtlich.net A +norecurse
; (1 server found)
;; global options: printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 29658
;; flags: qr ra; QUERY: 1, ANSWER: 0, AUTHORITY: 13, ADDITIONAL: 14

;; QUESTION SECTION:
;www.bejtlich.net. IN A

;; AUTHORITY SECTION:
net. 44802 IN NS k.gtld-servers.net.
net. 44802 IN NS l.gtld-servers.net.
net. 44802 IN NS m.gtld-servers.net.
net. 44802 IN NS a.gtld-servers.net.
net. 44802 IN NS c.gtld-servers.net.
net. 44802 IN NS d.gtld-servers.net.
net. 44802 IN NS e.gtld-servers.net.
net. 44802 IN NS f.gtld-servers.net.
net. 44802 IN NS g.gtld-servers.net.
net. 44802 IN NS h.gtld-servers.net.
net. 44802 IN NS i.gtld-servers.net.
net. 44802 IN NS j.gtld-servers.net.

;; ADDITIONAL SECTION:
a.gtld-servers.net. 155541 IN A 192.5.6.30
a.gtld-servers.net. 159964 IN AAAA 2001:503:a83e::2:30
b.gtld-servers.net. 156332 IN A 192.33.14.30
b.gtld-servers.net. 159476 IN AAAA 2001:503:231d::2:30
c.gtld-servers.net. 156283 IN A 192.26.92.30
d.gtld-servers.net. 156283 IN A 192.31.80.30
e.gtld-servers.net. 156283 IN A 192.12.94.30
f.gtld-servers.net. 156283 IN A 192.35.51.30
g.gtld-servers.net. 156283 IN A 192.42.93.30
h.gtld-servers.net. 156283 IN A 192.54.112.30
i.gtld-servers.net. 156299 IN A 192.43.172.30
j.gtld-servers.net. 156299 IN A 192.48.79.30
k.gtld-servers.net. 156299 IN A 192.52.178.30
l.gtld-servers.net. 156299 IN A 192.41.162.30

;; Query time: 49 msec
;; SERVER: 209.98.98.98#53(209.98.98.98)
;; WHEN: Tue Nov 15 16:12:49 2005
;; MSG SIZE rcvd: 503

As you can see, kis.visi.com did not know how to resolve www.bejtlich.net, so it gave cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 .net generic top level domain server list.

Next I ask kis.visi.com to resolve www.bejtlich.net, but I just use cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 host command and I allow kis.visi.com to ask a name server that knows how to resolve www.bejtlich.net:

orr:/home/richard$ host www.bejtlich.net kis.visi.com
Using domain server:
Name: kis.visi.com
Address: 209.98.98.98#53
Aliases:

www.bejtlich.net has address 66.93.110.10
Using domain server:
Name: kis.visi.com
Address: 209.98.98.98#53
Aliases:

Using domain server:
Name: kis.visi.com
Address: 209.98.98.98#53
Aliases:

I get a response -- www.bejtlich.net is 66.93.110.10. Now when I use dig again and specify no recursion, kis.visi.com responds with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 IP -- it has been cached.

orr:/home/richard$ dig @kis.visi.com www.bejtlich.net A +norecurse

; <<>> DiG 9.3.1 <<>> @kis.visi.com www.bejtlich.net A +norecurse
; (1 server found)
;; global options: printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 42310
;; flags: qr ra; QUERY: 1, ANSWER: 1, AUTHORITY: 2, ADDITIONAL: 2

;; QUESTION SECTION:
;www.bejtlich.net. IN A

;; ANSWER SECTION:
www.bejtlich.net. 7194 IN A 66.93.110.10

;; AUTHORITY SECTION:
bejtlich.net. 7194 IN NS ns18.zoneedit.com.
bejtlich.net. 7194 IN NS ns8.zoneedit.com.

;; ADDITIONAL SECTION:
ns8.zoneedit.com. 704 IN A 206.55.124.4
ns18.zoneedit.com. 384 IN A 72.9.106.68

;; Query time: 49 msec
;; SERVER: 209.98.98.98#53(209.98.98.98)
;; WHEN: Tue Nov 15 16:13:20 2005
;; MSG SIZE rcvd: 131

Dan used this technique to ask as many name servers as possible to resolve connected.sonymusic.com, updates.xcp-aurora.com and license.suncom2.com. When I asked cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 kis.visi.com name server about connected.sonymusic.com, I got cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se results:

orr:/home/richard$ dig @kis.visi.com connected.sonymusic.com A +norecurse

; <<>> DiG 9.3.1 <<>> @kis.visi.com connected.sonymusic.com A +norecurse
; (1 server found)
;; global options: printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 10447
;; flags: qr ra; QUERY: 1, ANSWER: 0, AUTHORITY: 2, ADDITIONAL: 2

;; QUESTION SECTION:
;connected.sonymusic.com. IN A

;; AUTHORITY SECTION:
sonymusic.com. 1255 IN NS udns2.ultradns.net.
sonymusic.com. 1255 IN NS udns1.ultradns.net.

;; ADDITIONAL SECTION:
udns1.ultradns.net. 155728 IN A 204.69.234.1
udns2.ultradns.net. 155944 IN A 204.74.101.1

;; Query time: 53 msec
;; SERVER: 209.98.98.98#53(209.98.98.98)
;; WHEN: Tue Nov 15 16:29:38 2005
;; MSG SIZE rcvd: 125

This means some system has asked kis.visi.com to resolve an unspecified sonymusic.com host before I did. There is no result for connected.sonymusic.com, however. Compare that result with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following for www.sonymusic.com:

orr:/home/richard$ dig @kis.visi.com www.sonymusic.com A +norecurse

; <<>> DiG 9.3.1 <<>> @kis.visi.com www.sonymusic.com A +norecurse
; (1 server found)
;; global options: printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 37716
;; flags: qr ra; QUERY: 1, ANSWER: 1, AUTHORITY: 2, ADDITIONAL: 2

;; QUESTION SECTION:
;www.sonymusic.com. IN A

;; ANSWER SECTION:
www.sonymusic.com. 211 IN A 64.14.39.200

;; AUTHORITY SECTION:
sonymusic.com. 211 IN NS udns2.ultradns.net.
sonymusic.com. 211 IN NS udns1.ultradns.net.

;; ADDITIONAL SECTION:
udns1.ultradns.net. 147104 IN A 204.69.234.1
udns2.ultradns.net. 147320 IN A 204.74.101.1

;; Query time: 53 msec
;; SERVER: 209.98.98.98#53(209.98.98.98)
;; WHEN: Tue Nov 15 18:53:23 2005
;; MSG SIZE rcvd: 135

Notice cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 answer?

Next I try querying for connected.sonymusic.com, and we check cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 dig results again:

orr:/home/richard$ host connected.sonymusic.com kis.visi.com
Using domain server:
Name: kis.visi.com
Address: 209.98.98.98#53
Aliases:

connected.sonymusic.com has address 64.14.39.158
Using domain server:
Name: kis.visi.com
Address: 209.98.98.98#53
Aliases:

Using domain server:
Name: kis.visi.com
Address: 209.98.98.98#53
Aliases:

orr:/home/richard$ dig @kis.visi.com connected.sonymusic.com A +norecurse

; <<>> DiG 9.3.1 <<>> @kis.visi.com connected.sonymusic.com A +norecurse
; (1 server found)
;; global options: printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 284
;; flags: qr ra; QUERY: 1, ANSWER: 1, AUTHORITY: 2, ADDITIONAL: 2

;; QUESTION SECTION:
;connected.sonymusic.com. IN A

;; ANSWER SECTION:
connected.sonymusic.com. 3592 IN A 64.14.39.158

;; AUTHORITY SECTION:
sonymusic.com. 87 IN NS udns1.ultradns.net.
sonymusic.com. 87 IN NS udns2.ultradns.net.

;; ADDITIONAL SECTION:
udns1.ultradns.net. 146980 IN A 204.69.234.1
udns2.ultradns.net. 147196 IN A 204.74.101.1

;; Query time: 53 msec
;; SERVER: 209.98.98.98#53(209.98.98.98)
;; WHEN: Tue Nov 15 18:55:26 2005
;; MSG SIZE rcvd: 141

The ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r two domains returned cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 gtld name servers. That means no one else asked kis.visi.com about those domains or hostnames recently.

Nice work Dan -- cool stuff.

Monday, November 14, 2005

Extrusion Detection Shipping at Barnes and Noble

I got two boxes of Extrusion Detection copies from my publisher today. Looking at BestBookBuys.com, I see Barnes and Noble lists cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 book as "Usually ships within 24 hours." I would give B&N a try, or order directly from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 publisher, if you really want a copy of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 book quickly.

Alternatively, you might be able to win a copy in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 monthly raffle held at my local ISSA NoVA chapter meeting. Last time I provided a copy of Real Digital Forensics and a Network Security Operations T-shirt. Tuesday (tomorrow) is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 last day to RSVP for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Thursday meeting. Steve Crocker will talk about securing DNS at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Oracle building in Reston.

Sunday, November 13, 2005

Problems with FreeBSD 6.0 as VMware Workstation Guest

I've encountered a problem running FreeBSD 6.0 as a guest OS in VMware Workstation 5.0. I discovered cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 FreeBSD VM runs at half speed, such that 10 seconds of real time appears to be 5 or so seconds within cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 VM. I tried installing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 vmware-guestd port but that had no effect, even though it is running in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 VM.

After reading this post, I tried changing this sysctl:

gruden:/root# sysctl -a kern.timecounter.hardware
kern.timecounter.hardware: ACPI-fast
gruden:/root# sysctl kern.timecounter.hardware=TSC
kern.timecounter.hardware: ACPI-fast -> TSC

That had no effect. This is my freebsd.vmx file:

config.version = "8"
virtualHW.version = "4"
scsi0.present = "TRUE"
scsi0.virtualDev = "lsilogic"
memsize = "128"
ide0:0.present = "TRUE"
ide0:0.fileName = "FreeBSD-000003.vmdk"
ide1:0.present = "TRUE"
ide1:0.fileName = "auto detect"
ide1:0.deviceType = "cdrom-raw"
floppy0.fileName = "A:"
ecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rnet0.present = "TRUE"
usb.present = "FALSE"
sound.present = "FALSE"
sound.virtualDev = "es1371"
displayName = "freebsd6-0_a"
guestOS = "freebsd"
nvram = "freebsd.nvram"

sound.startConnected = "FALSE"

usb.generic.autoconnect = "FALSE"

floppy0.startConnected = "FALSE"

ide0:0.redo = ""
ecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rnet0.addressType = "generated"
uuid.location = "56 4d 1e 0b c0 77 f6 f2-55 f3 38 5f 3a 47 3e b3"
uuid.bios = "56 4d 1e 0b c0 77 f6 f2-55 f3 38 5f 3a 47 3e b3"
tools.remindInstall = "FALSE"
ecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rnet0.generatedAddress = "00:0c:29:47:3e:b3"
ecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rnet0.generatedAddressOffset = "0"

ide1:0.startConnected = "FALSE"

tools.syncTime = "TRUE"

Originally cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file had cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 last variable appear thus:

tools.syncTime = "FALSE"

Eicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r setting had no effect. The host OS is Windows Server 2003 Enterprise x64 Edition SP1. The weird part of this is that a FreeBSD 5.4 VM running within exactly cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same parameters has no problem on this system. This does not appear to be an isolated problem.

Is anyone successfully running FreeBSD 6.0 within VMware Workstation?

Update: I just copied a complete clone of this VM to my Windows 2000 Professional laptop running cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same version of VMware Workstation. (Yes, I have two licenses!) :) It made no difference. The 5.5 RC2, VMware Workstation 5.5.0 build-18007, was no better with FreeBSD 6.0 as far as time goes. However, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 excessive beeping that I saw with FreeBSD 6.0 on VMware WS 5.0 was shortened considerable on WS 5.5.

I just posted this story as a question to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 VMTN forums. I also posted to freebsd-emulation.

Saturday, November 12, 2005

Presentations on OpenBSD Ports and More

Joe Stevensen sent word of two new OpenBSD presentations. The first is OpenBSD Ports and Packages, by Marc Espie. He takes some shots at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r BSDs, including FreeBSD. He's wrong about Python being needed to update FreeBSD ports. An article I wrote for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 February 2006 Sys Admin magazine on keeping FreeBSD up-to-date doesn't use any Python, but it does require Ruby and Perl.

I do agree with some of Marc's critique, however. It would be nice to have package update tools built into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 base system. Perhaps cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y could be written in Perl to avoid adding Ruby? We are starting to see new ports tools developed outside of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 base now being added to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 base, with Colin Percival's portsnap now in FreeBSD 6.0. I expect to see this trend continue because Colin is a member of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 FreeBSD project now. (He's cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 security officer.)

The second presentation is OpenBSD Networking Update by Henning Brauer. OpenBSD is doing some cool work with OpenBGPD and I see now that OpenOSPFD is planned as well.

Thursday, November 10, 2005

Sample Extrusion Detection Chapter Posted

My publisher just posted Chapter 4: Enterprise Network Instrumentation from my new book, Extrusion Detection: Security Monitoring for Internal Intrusions. The table of contents, preface, foreword by Marcus Ranum, and index are also all online. Marcus' foreword (.pdf) is a different than most; he interviews me. For example:

"MJR: I’ve noticed you’re a fan of Bruce Lee! It’s interesting to me how a lot of us security guys find parallels between computer/network security and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 martial arts/art of war. Remember Lee’s great “It’s like a finger pointing away to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 moon” speech? What do you think would be cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 equivalent for a student of computer security? What do you think Bruce would tell us?

RB: I am indeed a fan of Bruce Lee, and I’ve practiced several martial arts... I advise that intruders should be viewed as smart (sometimes smarter than you) and unpredictable, and able to beat your defenses. Bruce would probably agree. He would train to be ready for whatever his opponent would deliver, and he would have techniques in place to deal with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 consequences of not blocking an initial punch or kick. Racá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r than failing catastrophically when an opponent lands a blow, Bruce would take advantage of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attacker’s proximity to initiate a different sort of counterattack or improved defense."

The chapters are as follows:

  1. Network Security Monitoring Revisited

  2. Defensible Network Architecture

  3. Extrusion Detection Illustrated

  4. Enterprise Network Instrumentation

  5. Layer 3 Network Access Control

  6. Traffic Threat Assessment

  7. Network Incident Response

  8. Network Forensics

  9. Traffic Threat Assessment Case Study

  10. Malicious Bots



  • Epilogue

  • Appendix A: Collecting Session Data in an Emergency

  • Appendix B: Minimal Snort Installation Guide

  • Appendix C: Survey of Enumeraiton Methods

  • Appendix D: Open Source Host Enumeration


The book should begin shipping tomorrow. If you have any suggestions for errata, please send cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m to me via richard at taosecurity dot com. Thank you!

Deleting Hard Drives

Today cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 subject of deleting hard drives was raised in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 #snort-gui IRC channel. jrk and geek00L mentioned using Darik's Boot and Nuke (DBAN), an open source (GPL) "self-contained boot floppy that securely wipes cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 hard disks of most computers."

I found DBAN very easy to use. It boasts some impressive features too.

When you boot from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 floppy image or CD-ROM .iso you see this screen.



The About screen offers warnings and caveats.



I like cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ability to boot using one of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 available deletion methods.



I simply hit [enter], which started DBAN in interactive mode. Here you can set parameters for wiping cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 drive.



In cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 future I plan to carry a DBAN floppy with me to wipe hard drives prior to installing my own NSM software.

Tuesday, November 08, 2005

Powerful Laptop Recommendations?

I'm looking for a replacement for my aging, circa-2000 IBM Thinkpad a20p, pictured at right. I was wondering if you might have any recommendations? I plan to dual-boot Windows XP and FreeBSD 6.0 on this system. It needs to be powerful as I would like to use it for teaching classes as well. Here are cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 specs I had in mind:

  • Intel® Pentium® M Processor 760 [2.00GHz, 2MB L2 cache, 533MHz FSB]

  • 2 GB RAM

  • 60 GB+ 7200 RPM HDD

  • NVIDIA GeForce video, to take advantage of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir FreeBSD drivers and avoid ATI

  • Gigabit NIC

  • 802.11b/g is nice, especially if disabled via external switch

  • Bluetooth -- not sure if I need it?

  • Under 7 lbs -- my current laptop is more like a ThinkBrick

  • At least a 14.1" screen; I don't care about widescreens


I like cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 features of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Toshiba Tecra M3, but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 reviews are terrible. I really like cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 durability and keyboard of my Thinkpad and I worry what ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r vendors are going to provide. I appreciate your help.

Update: Thank you for all of your comments. I've decided to wait for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 arrival of Windows Vista in Q306. By that time I expect to see Intel Virtualization Technology in 64 bit mobile CPUs like cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Intel Merom, which will be very helpful for my classroom setup. There's an outside chance I would get a Mac running on Intel as well, if VMware was supported.

Congratulations to Feds

I'd like to congratulate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 United States Attorney's Office, Central District of California for indicting a bot net controller. According to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 press release and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 indictment (.pdf), up to 400,000 victims were compromised. You can track cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 progress of this case through cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Post Indictment Arraignment Calendar.

This is exactly cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 sort of work that needs to be done. Security professionals cannot win against intruders if only cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "vulnerability" variable of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 risk equation is addressed. We need law enforcement to reduce cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "threat" variable as well. The suspect in this case is a 20-year-old living in California. This is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 sort of perpetrator who can be deterred, unlike a foreign intelligence agent or member of organized crime. The more bot net operators who are put in jail, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 fewer lower-end threats we will need to stop.

Monday, November 07, 2005

New SearchSecurity.com Tip Posted

SearchSecurity.com just posted a short article I wrote titled Using attack responses to improve intrusion detection. It's about watching outbound traffic to identify intrusions. From cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 article:

"Network-based IDSes are deployed to identify compromised targets, while network-based IPSes are deployed in an effort to prevent compromise. Both systems must be able to recognize malicious traffic to issue warnings or block offending packets.

IDSes, however, have cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 upper hand in identifying intrusions, because cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y have cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 luxury of generating an alert based on traffic from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attacker to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 victim or from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 victim to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 client. In ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r words, an IDS can alert on eicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 inbound attack traffic or cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 outbound victim response.

But to prevent an intrusion, an IPS must deny incoming attack traffic. An IPS that only inspects outbound traffic allows a target to be compromised. An IPS that makes a block decision based on responses from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 victim is an 'intrusion containment system,' not an IPS."

I've contacted cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 site editor to see if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y can fix cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 corrupted Windows command prompt output.

Websense ToorCon Presentation

Thanks to a comment from Shahid for pointing me to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 WebSense Security Labs presentation The Web Vector: Exploiting Human and Browser Vulnerabilities (.pdf). I think cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 most interesting part of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 briefing is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 introduction of Web-based bot net command and control. Because organizations are locking down outbound IRC, bot net controllers are using HTTP as a replacement protocol. If anyone has any experience with this sort of traffic, I would be interested in hearing from you.

Friday, November 04, 2005

Latest Book Arrives Soon

My third book, Extrusion Detection: Security Monitoring for Internal Intrusions, should appear on book shelves very soon. Addison-Wesley updated cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 publication date to reflect today (4 November 2005), a week earlier than cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 planned 11 November launch. I have not yet received a copy, and no preview chapters have been posted yet. I was assured that Chapter 4, Enterprise Network Instrumentation, would be made available in .pdf form at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 publisher's Web site.

I looked at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Best Book Buys Top 100 List this evening and saw cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se results:







I don't understand cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se book rankings, which are listed "as of 28-Oct-2005". Here are cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 top 5 books:


  1. Wild at Heart: Discovering cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Secret of a Man's Soul by John Eldredge

  2. The Complete Calvin and Hobbes by Bill Watterson

  3. Financial Accounting by Robert Libby

  4. The Game: Undercover In The Secret Society Of Pick-up Artists by Neil Strauss

  5. The World Is Flat: A Brief History Of The Twenty-first Century by Thomas L. Friedman


I could not imagine a more ecclectic groups of books! I guess having my three books in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 rankings is better than not seeing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re. Incidentally, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 list includes two ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r books to which I contributed; number 11 is Incident Response & Computer Forensics, 2nd Ed by Chris Prosise, Kevin Mandia, and number 18 is Hacking Exposed: Network Security Secrets and Solutions, 4th Ed by Stuart McClure, Joel Scambray, and George Kurtz.

I have ideas for anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r book which I plan to reveal soon. If anyone has feedback on any of my books or ideas for future work, please feel free to leave a comment or send me email. Thank you.

Sguil 0.6.0-RC2 Available

After much development, Sguil 0.6.0-RC2 is now available for download. Several new features appear in 0.6.0, including:

  • MySQL's MERGE storage engine is used. The MERGE storage engine, also known as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 MRG_MyISAM engine, is a collection of identical MyISAM tables that can be used as one. All Snort alerts and SANCP session data is now stored in MERGE tables, resulting in better scalability and performance. Sguil author Bamm Visscher reports "I went from being able to keep ~6 million rows to >300 million rows."

  • All sensor communication is performed through sensor_agent.tcl. This allows Sguil to be seemingly one of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 few programs that respects cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 new licensing of MySQL under cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 GPL.

  • Support for Snort's sfPortscan function has been added. Users no longer need to patch and use cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 portscan preprocessor.

  • Increased use of tabs for window management provides better access to new information like sensor status.


Barring unforeseen issues, Sguil 0.6.0-RC2 will be released soon as 0.6.0. If you'd like to test cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 RC2, please download it.

I plan to create a VM image using FreeBSD 6.0 RELEASE and Sguil 0.6.0, suitable for use in VMware Player.

FreeBSD 6.0 RELEASE Announced

FreeBSD 6.0 RELEASE has been officially announced. When I get a chance I intend to upgrade my 5.4 systems to 6.0 to take advantage of bpfstat on my sensors.

I should have a new article in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 February 2006 issue of SysAdmin Magazine explaining cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 simplest way to keep cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 FreeBSD OS and applications up-to-date.

Network Forensics? Please.

Today I looked at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Interop New York 2005 Schedule and noticed an item called "Network Forensic Day" taught by Pine Mountain Group. I try to stay current with people and companies performing security work, but I had never heard of PMG. I looked at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 description of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 course, wondering if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "network" meant "enterprise," as in "how to use forensics in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 enterprise." I think that is a misapplication of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 term network in that context, but it's common enough. Alternatively, perhaps "network" meant "traffic," which is how I use cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 term.

When I mention "network forensics," I define it as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 art of collecting, protecting,
analyzing, and presenting network traffic to support remediation or prosecution.
This is in line with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 definition of forensics:

"1. The art or study of formal debate; argumentation.
2. The use of science and technology to investigate and establish facts in criminal or civil courts of law."

It turns out PMG's use of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 term "Network Forensics" has nothing to do with any recognized application of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 term. They say:

"Network Forensics is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 study of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 micro transactions of inter-network components, platforms and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 applications that process on and across cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m.

By taking a forensic measurement of a micro transaction, quantifying cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 repeated dependency on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 micro to that of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 macro we can quantify cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 improvement for an end user that specific IT optimizations might provide. On cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 business process side, quantification of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 cost of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 macro transaction time spent by an end user can be quantified in annual cost or lost productivity associated with slow applications. Knowing optimization improvements and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir associated costs allows a long term ROI to be considered. The result? Best bang for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 buck optimization!

Come join PMG NetAnalyst in a day of cross technology, vendor independent network training with a twist: PMG will take you on a journey down several complex multi-vendor network environments where troubles abound. You will be taught how to use a well rounded 'bag of tools' to analyze and troubleshoot cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 issues as well as how applying best practices could have avoided cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se issues. Forensics Day will show you how to save money as well as improve performance and reliability by using 'brain cells' instead of budget to solve and even prevent problems."

Please. This is not "network forensics" by any stretch of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 imagination. This is an attempt to add a sexy name to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rwise boring ideas of network troubleshooting. The latest iteration and expansion of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 concept uses cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 term Business Service Management, which I learned about recently though cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 1 September 2005 Network Computing magazine.

I understand cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re are similar uses of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 term "forensics" outside of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 legal realm. However, "network forensics" has had a security association for years. I would like to see it stay that way to avoid furcá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r cluttering our professional landscape.

Network Computing Misses cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Mark

I really enjoy reading cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 free IT magazine Network Computing. However, I believe comments by NWC authors in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 last two issues demonstrate some fundamental misunderstandings of open source applications and system administration. These are not earth-shattering issues, but I thought I would share cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m with you.

First, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 27 October 2005 issues includes an article called Open-Source Security Technology Joins Endangered List. Here are excerpts:

"For many users and vendors, network security is dependent on a collection of open-source programs that provide key capabilities, sometimes as standalone tools and sometimes as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 basis for commercial products. Last month, however, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 open-source status of two of those key technologies--Snort and Nessus--became threatened....

The moral is that heavy reliance on open source carries risk, and that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 greatest insurance policy for open-source technology is participation by a large number of users and developers. If you're thinking of using open source, keep a close eye on what happens to both Snort and Nessus."

I would argue that open source carries much less "risk" when compared to closed applications. The fact that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 code is open is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "greatest insurance policy," not "participation by a large number of users and developers." If an open source program is no longer maintained, it can be assumed by anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r developer. Assuming cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 license is truly open, that new developer can resume cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 project, fork it, or rebuild from scratch using cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 original as inspiration.

For example, Linux guru Tim Lawless started cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Saint Jude project to protect cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 integrity of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Linux kernel, but had to abandon coding it in 2002. Last week Rodrigo Rubira Branco took over maintainership and released a new version. BASE, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 replacement for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Web-based alert browser ACID, is a second example. The new version of SPADE hosted by Bleeding Snort is a third example. None of this would be possible with so-called less "risky" closed programs.

The second example of Network Computing missing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 mark appeared in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following letter and response:

"I have a question concerning an application one of my consultancy clients needs that's targeted for Microsoft Data Center Server 2003, a product used to manage DPM, on Unisys 3S7000. The systems integrator is saying that 'for performance reasons,' it plans to 'modify cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 operating system' for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 application.

It's been a long time since I've heard of any vendor advocating modification of a native OS to boost performance or achieve goals not supported by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 OS. I've been all over Microsoft's OEM partner site and haven't read anything about using Data Center Server as an OEM product. Not even its predecessor, Data Center Server 2000, was ever available as a shrinkwrapped product; you had to have Microsoft services to implement it.

Have you ever heard of any vendor wanting to tweak cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Windows kernel in order to support its application? Sounds risky...

Don MacVittie replies: Larry, your instincts are dead-on. Even in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Linux world, tweaking cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 OS for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 application layer is generally considered taboo. There's just too much that can go wrong.

Are you sure cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 vendor is talking about making code changes to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 kernel? Maybe what it has in mind is custom drivers, which are more acceptable, or a custom build, which is relatively common for OEMs.

If cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 vendor really does want to modify cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 kernel, you should tell your client to run away from it as fast as it can. There are enough good products out cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re to handle high-volume backups and replication without having to resort to such a drastic measure."

Good grief. "Even in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Linux world, tweaking cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 OS for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 application layer is generally considered taboo. There's just too much that can go wrong." Like what, better performance? I do not know if it is possible for end users to make any modifications to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Windows kernel, perhaps via a sysctl mechanism as found in BSD. I do not fault cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 NWC writer for advising users to stay away from Windows kernel tweaks.

Linux and BSD are completely different beasts. I find cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 power to alter cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 kernel to be an advantage, not voodoo. In production I make few kernel customizations on BSD not because I am scared and need to "run away." I only make cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 customizations with which I am familiar, like adding support for IPSec or NAT. If I encountered a problem that could be addressed by customizing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 kernel, I would take full advantage of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 control that an open source OS provides.

What are your thoughts on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se issues?

Tuesday, November 01, 2005

Dealing with FreeBSD Port Options

Sometime when you build a port in FreeBSD, you are confronted with a curses menu like cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following. This example shows cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 menu that appears when you run 'make' as root in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 /usr/ports/ftp/gftp directory. If you hit 'OK' and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n interrupt cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 port building process, and run 'make' again, you will not see cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 menu:

orr:/usr/ports/ftp/gftp# make
...menu appears, hit 'OK'...
===> WARNING: Vulnerability database out of date, checking anyway
===> Found saved configuration for gftp-2.0.18
===> Extracting for gftp-2.0.18
=> Checksum mismatch for gftp-2.0.18.tar.gz.
===> Refetch for 1 more times files: gftp-2.0.18.tar.gz
^C
orr:/usr/ports/ftp/gftp# make
===> WARNING: Vulnerability database out of date, checking anyway
===> Found saved configuration for gftp-2.0.18
===> Extracting for gftp-2.0.18
=> Checksum mismatch for gftp-2.0.18.tar.gz.
===> Refetch for 1 more times files: gftp-2.0.18.tar.gz
===> WARNING: Vulnerability database out of date, checking anyway
===> Found saved configuration for gftp-2.0.18
^C

What is happening? Where is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 menu?

It turns out cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 menu process creates a file called 'options' in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 /var/db/ports/PORTNAME directory. For example:

orr:/var/db/ports/gftp$ ls -al
total 6
drwxr-xr-x 2 root wheel 512 Nov 1 15:00 .
drwxr-xr-x 3 root wheel 512 Nov 1 14:44 ..
-rw-r--r-- 1 root wheel 167 Nov 1 14:59 options
orr:/var/db/ports/gftp$ cat options
# This file is auto-generated by 'make config'.
# No user-servicable parts inside!
# Options for gftp-2.0.18
_OPTIONS_READ=gftp-2.0.18
WITH_X11=true
WITHOUT_GTK2=true

If you want to eliminate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 menu on a subsequent run of 'make', just delete cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 options file.

New FreeBSD Logo Announced

There you have it. That is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 new FreeBSD logo. I think it is a mess. I cannot picture it being embroidered on a polo shirt. That is my basic test for a good logo. On cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 bright side, I hope to see Beastie disappear off cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 front of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 FreeBSD Web site now.

BSD Certification Group Publishes Usage Survey Results

The BSD Certification Group has released cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 results of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir usage survey here (.pdf). Here is a quick look at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 numbers:

  • 77% report using FreeBSD

  • 33% report using OpenBSD

  • 16% report using NetBSD

  • 3% report using DragonFly BSD

  • 7% report "ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r"


On a related note, I have resigned my seat on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Certification Group and joined cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Advisory Board due to time constraints caused by running TaoSecurity.