Friday, January 12, 2007

Certified Malware Removal Expert

I read cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 latest SANS NewsBites (link will work shortly):

Does anyone on your staff do an excellent job of cleaning out PCs that have been infected by spyware and ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r malicious software. We are just starting development of a new certification (and related training) for Certified Malware Removal Experts and we are looking for a council of 30 people who have done a lot of it to help vet cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 skills an dknowledge required for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 certification exam and classes. Email cmre@sans.org if you have a lot of experience.

This must be cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 easiest SANS certification of all! The safest way to remove malware is to reinstall from trusted original media (not backups which could be compromised). That doesn't even account for BIOS or ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r hardware rootkits, but hardly anyone cares about that problem yet.

Hopefully SANS will come to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same conclusion that Microsoft already did and drop this idea.

14 comments:

Anonymous said...

That is just plain sad. A certification on removal of spyware...please don't let this get approved. That's like saying I'm A+ certified.

Anonymous said...
This comment has been removed by a blog administrator.
Anonymous said...

Microsoft's Jesper Johansson also did a excellent job explaining how no tool and no action (short of re-installation and doing things correctly from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 start) will adequately recover a compromised system:

http://www.microsoft.com/technet/community/columns/secmgmt/sm0504.mspx

Anonymous said...

Sir,
I think that you (and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 people who have commented before me) are taking cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 short view of reacting to malware within an environment. There is a lot more to reacting to an infestation than just wiping cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system and driving on. There must be a certain amount of incident response involved. You have to determine how cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 infestation occured so that it does not happen cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same system again or to ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs within your environment. You have to determine if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system contained sensitive information or was connected to any that do. And in some cases it may be necessary to analyze cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malware to determine what it was capable of doing. I just recently wrote about this very subject in my post titled When to Initiate Malware Incident Response.

Sure, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 end result might be to wipe cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system and drive on. But you cannot negate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 need for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se steps. That said, I am not certain that SANS needs anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r certification beyond cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ones cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y already have that deal with malware analysis and incident response. But perhaps we should wait until cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y have a curriculum before we start making assumptions as to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 necessity of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 training.

Go forth and do good things,
Cutaway

H. Carvey said...

I have to agree that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re's much more to this issue than simply flashing and reinstalling cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system.

If no root cause analysis (or even simple troubleshooting) is done, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n what stops cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malware from propogating, or getting in again? It's not always about patches, folks...sometimes is weak or non-existant passwords. As you're sweeping through cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 infrastructure, merrily cleaning systems, those systems can easily be reinfected by active malware, as you move on to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 next one.

Training and knowledge are cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 key. Managers need to know how to manage incident response, and IR staff needs to have cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 skills to retrieve and analyze cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 necessary information from systems under cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir control. More importantly, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y need to have cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 training and knowledge to (a) ensure that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y have cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 right tools, and (b) ensure that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y react cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 right way.

Richard Bejtlich said...

This is a Certified Malware Removal Expert certification. There is no way for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 average admin or security person to be confident that he/she has removed all malware without system reinstallation. Incident response and forensics are different and already covered by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 SANS GCFA. If SANS wants to have a malware-specific certification, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y should remove cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "removal" part of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 name.

Anonymous said...

Funny. When I saw cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 headline in my RSS reader, I thought "That's odd, Bejtlich doesn't typically do parody in his blog".

This time, I wish you had.

Anonymous said...

I wonder what cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Best Buy Geek Squad have to say about this new certification.. since all those guys need to know is A+ and insert a CD into "Windows computer."

Andrew Hay said...

I understand cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 concerns with this certification but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 comments did make me think of something: “If we don’t need training on this topic what topics do we need training on?”

What security related topics have not been covered in formal training yet but you feel should be?

I've posted a series of questions, including cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 above, on my blog (http://www.andrewhay.ca/archives/67).

I'd appreciate any feedback as I'm curious what people are thinking.

Anonymous said...

I love your blog and have read (a did a project on) your book "The Tao of Network Security Monitoring".

I've tagged you on my blog for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "5 Things You Didn't Know About Me" Blog Tag Game.

The blog link that tagged you is: http://blogs.ittoolbox.com/wireless/networks/archives/tag-im-it-5-things-you-didnt-know-about-me-13929

Bea

Richard Bejtlich said...

Thanks Bea. I've already been tagged and I responded! What did your project on my book involve?

igfire said...
This comment has been removed by a blog administrator.
Anonymous said...

It was basicly research paper on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 concept of NSM and how it differes from your typical network security. I also briefly touched on some of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 tools you mentioned.

I would have liked to play with some of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 techniques in your book for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 paper, but didn't have cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time.

I loved cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 book, especially cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 detail on how to use cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 tools you mention in your book to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir fullest.

I will eventually play with some of those techniques, down cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 road.

I looked into Squil a bit, which is pretty cool. I'd never heard of TCL/TK before. Since cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n I've been working with some TCL. =)

Bea

Richard Bejtlich said...

Bea,

Any chance you could share your paper?

taosecurity [at] gmail [dot] com

Thank you.