Monday, April 30, 2007

Help SANS with Security Career Stories

The latest issue of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 SANS @Risk (link will work shortly) newsletter contains this request:

Project In Which You Might Contribute: Career models for information security. If you know of someone who has accomplished a lot in security by exploiting deep technical skills, and moved up in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir organizations, please write is a little note about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m to apaller [at] sans [dot] org. We have been asked by five different publications for articles or interviews on how to make a successful career in information security. A couple of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 editors have heard that security folks with soft skills are no longer in demand and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y want to hear about models of success for people with more technical backgrounds. No names or companies will be disclosed without written permission.

If you can share a story, please email Alan Paller as indicated above. This is anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r opportunity for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 technical people of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 security world to make our mark.

Open Source Training

I'd like to mention a few notes on training for open source software that appeared on my radar recently. The first is Wireshark University, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 result of collaboration among Laura Chappell and her Protocol Analysis Institute, Gerald Combs (Wireshark author), and CACE Technologies, maintainers/developers of WinPcap and AirPcap. WiresharkU is offering a certification and four DVD-based courses, along with live training delivered through anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r vendor.

WiresharkU's content looks pretty simple, but I guess beginners need to start somewhere. If you want to understand more advanced security-related network traffic, I recommend one of my TCP/IP Weapons School classes, offered at Techno Security in Myrtle Beach, SC in June; USENIX 2007 in Santa Clara, CA in June; and Black Hat Training in Las Vegas, NV in July.

On a related Wireshark note, a client recently asked why Lua was required on a sensor he built. He had heard about Lua and Snort 3.0 but was running Snort 2.6.x. I just realized Wireshark uses Lua. Here is one example. If you're attending BSDCan, consider taking cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 BSD Certification Exam Beta. It's free but won't convey certification if passed. Registration opened last week. I will again miss BSDCan due to conflicting engagements, namely AusCERT 2007. In addition to speaking at AusCERT, I'm teaching Network Security Monitoring and talking to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Sydney Snort Users Group on 25 May 2007.

Sunday, April 22, 2007

What Should cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Feds Do

Recently I discussed Federal digital security in Initial Thoughts on Digital Security Hearing. Some might think it's easy for me to critique cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Feds but difficult to propose solutions. I thought I would try offering a few ideas, should I be called to testify on proposed remedies.

For a long-term approach, I recommend cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 steps offered in Security Operations Fundamentals. Those are operational steps to be implemented on a site-by-site basis, and completing all of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m across cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Federal government would probably take a decade.

In cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 short term (over cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 next 12 months) I recommend cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following. These ideas are based on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 plan cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Air Force implemented over fifteen years ago, partially documented in Network Security Monitoring History along with more recent initiatives.

  1. Identify all Federal networks and points of connectivity to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Internet. This step should already be underway, along with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 next one, as part of OMB IPv6 initiative. The Feds must recognize cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 scope and nature of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 network cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y want to protect. This process must not be static. It must be dynamic and ongoing. Something like Lumeta should always be measuring cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 nature of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Federal network.

  2. Identify all Federal computing resources. If you weren't laughing with step 1, you're probably laughing now. However, how can anyone pretend to protect Federal information if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 systems that process that data are unknown? This step should also be underway as part of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 IPv6 work. Like network discovery, device discovery must be dynamic and automated. At cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 very least passive discovery systems should be continuously taking inventory of Federal systems. To cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 extend active discovery can be permitted, those means should also be implemented. Please realize steps 1 and 2 are not cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same as FISMA, which is static and only repeated every three years for known systems.

  3. Project friendly forces. You can tell cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se steps are becoming progressively difficult and intrusive into agency operations. With this step, I recommend third party government agents, perhaps operated by OMB for unclassified networks and a combination of DoD and ODNI for classified networks, "patrol" friendly networks. Perhaps cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y operate independent systems on various Federal networks, conducting random reconnaissance and audit activities to discover malicious parties. The idea is to get someone else besides intruders and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir victims into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 fight at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se sites, so an independent, neutral third party can begin to assess cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 state of enterprise security. The Air Force calls this friendly force projection, which is a common term but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y are performing it now on AF networks.

    This step is important because it will unearth intrusions that agencies can't find or don't want to reveal. It is imperative that end users, administrators, and managers become separated from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 decision on reporting incidents. Right now incident reporting resembles status reports in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Soviet Union. "Everything is fine, production is exceeding quotas, nothing to see here." The illusion is only shattered by whistleblowers, lawsuits, or reporters. Independent, ground-truth reporting will come from this step and from centralized monitoring (below).

  4. Build a Federal Incident Response Team. FIRT is a lousy name for this group, but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re should be a pool of supreme technical skill available to all Federal enterprises. Each agency should also have an IRT, but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y should be able to call upon FIRT for advice, information sharing, and surge support.

  5. Implement centralized monitoring at all agencies. All agencies should have a single centralized monitoring unit. Agents from step three should work with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se network security monitoring services to improve situational awareness. Smaller agencies should pool resources as necessary. All network connectivity points identified in step 1 should be monitored.

  6. Create cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 National Digital Security Board. As I wrote previously:

    The NDSB should investigate intrusions disclosed by companies as a result of existing legislation. Like cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 NTSB, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 NDSB would probably need legislation to authorize cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se investigations.

    The NDSB should also investigate intrusions found by friendly force projection and centralized monitoring.


None of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se steps are easy. However, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re appears to be support for some of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m. This is essentially cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 formula cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Air Force adopted in 1992, with some of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 steps (like friendly force projection) being adopted only recently. I appreciate any comments on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se ideas. Please keep in mind cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se are 30 minutes worth of thoughts written while waiting for a plane.

Also -- if you read this blog at taosecurity.blogspot.com, you'll see a new cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365me. Blogger "upgraded" me last night, removing my old cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365me and customizations. I think most people use RSS anyway, so cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 change has no impact. I like cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 availability of archives on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 right side now.

Update: I added step 6 above.

Saturday, April 21, 2007

Two Pre-reviews

I'm going to spend more time hanging in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 sky over cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 coming weeks, so I plan to read and review many books. Publishers were kind enough to send two which I look forward to reading. The first is Designing BSD Rootkits by Joseph Kong. I mentioned this book last year. Publisher No Starch quotes me as saying

"If you understand C and want to learn how to manipulate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 FreeBSD kernel, Designing BSD Rootkits is for you. Peer into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 depths of a powerful operating system and bend it to your will!" The second book I plan to read is
IT Auditing: Using Controls to Protect Information Assets
by Chris Davis, Mike Schiller, and Kevin Wheeler. Contrary to what you might think, I am not instinctively at odds with auditors. In fact, I believe working with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m is more productive than working against cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m. I hope this book, published by McGraw-Hill/Osborne, helps me understand cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir world.

Friday, April 20, 2007

Initial Thoughts on Digital Security Hearing

Several news outlets are reporting on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 hearing I mentioned in my post When FISMA Bites. There following excerpts appear in Lawmakers decry continued vulnerability of federal computers:

The network intrusions at State and Commerce follow years of documented failure to comply with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Federal Information Security Management Act (FISMA), which requires agencies to maintain a complete inventory of network devices and systems. Government and industry officials at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 hearing acknowledged a disconnect between FISMA's intent and effecting improved network security.

"The current system that provides letter grades seems to have no connection to actual security," said Rep. Zoe Lofgren, D-Calif.
(emphasis added)

WOW -- does Zoe Lofgren read my blog?

Some lawmakers are considering whecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Department of Homeland Security should be given primary responsibility for overseeing federal network security, but officials at DHS and elsewhere suggested that wouldn't be cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 best idea. Noting that DHS has not performed well on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 annual FISMA report card and has not implemented all of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 recommendations put forth for improved analysis and warning capabilities for attacks, Greg Wilshusen, director of information security issues at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Government Accountability Office, said it would be problematic from an organizational standpoint to put DHS in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 position of compelling ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r agencies to comply.

I agree DHS is not in a position to defend cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 entire Federal government, but centralized network security is a good idea when skilled defenders are in short supply and high demand. It's clear that some agencies are not capable of defending cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365mselves, while ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs do a better job. Perhaps a "center of excellence" model might work, where an agency with a very good monitoring team might watch cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 entire network. Anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r agency with a very good red team might assess cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 whole network, and so on.

Furcá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r news about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 State intrusion appears in Response to May-July 2006 Cyber Intrusion on Department of State Computer Network and State Department got mail -- and hackers.

It's important to note that State was compromised by a zero-day, and a patch from Microsoft took eight weeks to be appear.

The article Intruders infect 33 US government computers with Trojans talks about a compromise an cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Department of Commerce:

[T]he cyberintrusion affecting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Commerce Department's Bureau of Industry and Security systems was first noticed last July, when a Bureau of Industry and Security deputy under secretary reported being locked out of his computer. An investigation showed that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system had been compromised and someone had installed malicious code on it that was causing it to make unauthorised attempts to access anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r computer on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 bureau's network...

Investigations also showed that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 infected system had attempted to access two external IP address[es] after business hours when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 computer was no longer being used...

Over cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 next 10 days or so, investigators at Bureau of Industry and Security noticed about 10 ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r computers making similar attempts to connect with suspicious IP addresses. By 18 August, 32 cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 bureau systems and one non-bureau system had tried to communicate with at least 11 suspicious IP addresses...

To date, an analysis of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 forensic data has shown no evidence that information was actually stolen, despite cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 compromises, Jarrell said. At cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same time, it remains unclear just when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first breach occurred or for how long intruders might have had access to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Bureau’s systems.


That's interesting. The initial incident is found through non-technical means ("Hey, my PC no workie!") but extrusion detection would have noticed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 outbound connections. If BIS had been collecting session data cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y would have known when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first attempt to access those external IPs occurred, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365reby helping to scope cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 incident.

Thursday, April 19, 2007

Pirates in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Malacca Strait

Given my recent post Taking cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Fight to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Enemy Revisted, does this AP report sound familiar?

Countries lining cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Malacca Strait have vastly improved security in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 strategic shipping route over cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 last five years, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 top U.S. commander in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Pacific said on Monday...

Attacks in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Malacca Strait have been on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 decline with only 11 cases last year compared to 18 in 2005 and 38 in 2004, according to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 International Maritime Bureau, a martime watchdog...

Indonesia, Malaysia and Singapore began stepping up cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir surveillance by coordinating sea patrols in 2004 and following with air patrols a year later.

Last August, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 British insurance market Lloyd's lifted its "war-risk" rating for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 waterway, saying cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 safety of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 550-mile-long strait had improved due to long-term security measures.
(emphasis added)

Despite this development, Malaysia is looking for alternatives to shipping when transporting oil, according to this article:

A proposed oil pipeline project to pump oil across norcá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rn Malaysia could lower transportation costs and avoid risks of pirate attacks on tankers.

The US$14.2-billion project would involve building a 320-kilometre pipeline across norcá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rn Malaysia, linking ports on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 two coasts, officials in norcá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rn Kedah state announced...

Crude oil would be refined in Kedah, pumped through cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 pipe to Kelantan on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 east coast and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n loaded onto tankers bound for Japan, China and South Korea, completely bypassing Singapore and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Malacca Strait, which lies off peninsular Malaysia’s west coast.

The strait, which carries half cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 world’s oil and more than one-third of its commerce, is shared by Malaysia, Indonesia and Singapore. It is notorious for robberies and kidnappings by pirates, but attacks have fallen following increased security patrols in 2005.
(emphasis added)

I see two lessons here. First, shipping companies did not try to "patch" cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir way out of this problem. There is no way to address all of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 vulnerabilities associated with transporting oil by tanker. A two-pronged approach was taken. First, to protect ships, governments increased security patrols to deter and repel pirates. Ships did not get equipped with Yamato-size deck guns and battleship armor. Second, an alternative means to transport oil is being considered. This is a form of backup or redundancy to ensure oil still flows if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Strait becomes too dangerous.

I think cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se stories have plenty of lessons for digital security. Of course cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 next step would be going after cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 pirates directly, before cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y ever reach friendly ships. Consider cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 history of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 US Navy:

Operations Against West Indian Pirates 1822-1830s

By cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 second decade of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 19th Century, pirates increasingly infested cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Caribbean and Gulf of Mexico, and by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 early 1820's nearly 3,000 attacks had been made on merchant ships. Financial loss was great; murder and torture were common.

Under cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 leadership of Commodores James Biddle, David Porter and Lewis Warrington, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 U.S. Navy's West India Squadron, created in 1822, crushed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 pirates. The outlaws were relentlessly ferreted out from uncharted bays and lagoons by sailors manning open boats for extended periods through storm and intense heat. To cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 danger of close-quarter combat was added cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 constant exposure to yellow fever and malaria in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 arduous tropical duty.

The Navy's persistent and aggressive assault against cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 freebooters achieved cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 desired results. Within 10 years, Caribbean piracy was all but extinguished, and an invaluable service had been rendered to humanity and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 shipping interests of all nations.


That's what I'm talking about.

Thanks to geek00l and mboman for discussing pirates in #snort-gui for inspiring this post.

CALEA Mania

CALEA is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Communications Assistance for Law Enforcement Act. I wrote about CALEA three years ago in Excellent Coverage of Wiretapping:

CALEA requires telecommunications carriers to allow law enforcement "to intercept, to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 exclusion of any ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r communications, all wire and electronic communications carried by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 carrier" and "to access call-identifying information," among ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r powers.

A lot has happened since cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n. Basically, all facilities-based broadband access providers and interconnected VoIP service providers must be CALEA-compliant by 14 May 2007. This means a lot of companies, of all sizes, are scrambling to deploy processes and tools to collect information in accordance with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 law, as well as filing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 right reports with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 FCC.

If you're affected by CALEA I don't think you'll learn much from this post. However, those who do not work for ISPs might like to know a little bit about what is happening. (Note: I am not personally affected, so this post is based on some research I did this morning.) This post CALEA Mediation provides a lot of details and links, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Wikipedia entry is good (as long as no one makes crazy changes). WISPA's mailing lists have carried several extended threads on CALEA compliance for wireless ISPs. The definitive blog on CALEA appears to be Demystifying Lawful Intercept and CALEA, by Scott Coleman, Director of Marketing for Lawful Intercept at SS8 Networks.

What started me looking at CALEA again was cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 story Solera Networks' CALEA Compliance Device, which talked about this Solera Networks appliance. The article mentioned OpenCALEA, which was new to me.

I checked out OpenCALEA via SVN from its OpenCALEA Google code site. Jesse Norell was helpful in #calea on irc.freenode.net. I installed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 code on two FreeBSD 6.x boxes, cel433 (cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "sensor") and poweredge (cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 box a Fed might use to collect data).

First I started a collector on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "Fed" box.
poweredge:/usr/local/opencalea_rev38/bin# ./lea_collector -t /tmp/cmii.txt
 -u richard -f /tmp/cmc.pcap

Next I started a "tap" on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 sensor to watch port 6667 traffic.
cel433:/usr/local/opencalea_rev38/bin# ./tap -x x -y y -z z -f "port 6667"
 -i dc0 -d 10.1.13.2 -c

As I typed traffic in an IRC channel on a connection watched by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 tap...
13:25 < user> This is anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r CALEA test

...cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 tap sent traffic to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Fed box.
13:26:28.795644 IP cel433.taosecurity.com.62576 >
 poweredge.taosecurity.com.6666: UDP, length 265
        0x0000:  4500 0125 80ca 0000 4011 cdf8 0a01 0a02  E..%....@.......
        0x0010:  0a01 0d02 f470 1a0a 0111 44ce 7800 0000  .....p....D.x...
        0x0020:  0000 0000 0000 0000 0000 0000 0000 0000  ................
        0x0030:  0000 0000 0000 0000 0000 0000 0000 0000  ................
        0x0040:  0000 0000 0000 0000 0000 0000 0000 0000  ................
        0x0050:  0000 0000 0000 0000 0000 0000 0000 0000  ................
        0x0060:  0000 0000 0000 0000 0000 0000 0000 0000  ................
        0x0070:  0000 0000 0000 0000 0000 0000 0000 0000  ................
        0x0080:  0000 0000 0000 0000 0000 0000 0000 0000  ................
        0x0090:  0000 0000 0000 0000 0000 0000 3230 3037  ............2007
        0x00a0:  2d30 342d 3139 5431 373a 3236 3a32 382e  -04-19T17:26:28.
        0x00b0:  3430 3600 015c 22aa c200 02b3 0acd 5e08  406..\".......^.
        0x00c0:  0045 0000 64c3 8f40 003f 0635 8245 8fca  .E..d..@.?.5.E..
        0x00d0:  1c8c d3a6 0380 331a 0b4f bb43 bfc4 6a95  ......3..O.C..j.
        0x00e0:  e080 187f ffe4 cc00 0001 0108 0a52 0b91  .............R..
        0x00f0:  ad05 c1a5 e150 5249 564d 5347 2023 736e  .....PRIVMSG.#sn
        0x0100:  6f72 742d 6775 6920 3a54 6869 7320 6973  ort-gui.:This.is
        0x0110:  2061 6e6f 7468 6572 2043 414c 4541 2074  .anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r.CALEA.t
        0x0120:  6573 740d 0a                             est..
13:26:28.795810 IP cel433.taosecurity.com.54296 >
 poweredge.taosecurity.com.6667: UDP, length 423
        0x0000:  4500 01c3 80cb 0000 4011 cd59 0a01 0a02  E.......@..Y....
        0x0010:  0a01 0d02 d418 1a0b 01af 3d00 7900 0000  ..........=.y...
        0x0020:  0000 0000 0000 0000 0000 0000 0000 0000  ................
        0x0030:  0000 0000 0000 0000 0000 0000 0000 0000  ................
        0x0040:  0000 0000 0000 0000 0000 0000 0000 0000  ................
        0x0050:  0000 0000 0000 0000 0000 0000 0000 0000  ................
        0x0060:  0000 0000 0000 0000 0000 0000 0000 0000  ................
        0x0070:  0000 0000 0000 0000 0000 0000 0000 0000  ................
        0x0080:  0000 0000 0000 0000 0000 0000 0000 0000  ................
        0x0090:  0000 0000 0000 0000 0000 0000 7a00 0000  ............z...
        0x00a0:  0000 0000 0000 0000 0000 0000 0000 0000  ................
        0x00b0:  0000 0000 0000 0000 0000 0000 0000 0000  ................
        0x00c0:  0000 0000 0000 0000 0000 0000 0000 0000  ................
        0x00d0:  0000 0000 0000 0000 0000 0000 0000 0000  ................
        0x00e0:  0000 0000 0000 0000 0000 0000 0000 0000  ................
        0x00f0:  0000 0000 0000 0000 0000 0000 0000 0000  ................
        0x0100:  0000 0000 0000 0000 0000 0000 0000 0000  ................
        0x0110:  0000 0000 0000 0000 0000 0000 3230 3037  ............2007
        0x0120:  2d30 342d 3139 5431 373a 3236 3a32 382e  -04-19T17:26:28.
        0x0130:  3430 3678 0000 0000 0000 0000 0000 0000  406x............
        0x0140:  0000 0000 0000 0000 0000 0000 0000 0000  ................
        0x0150:  0000 0000 0000 0000 0000 0000 0000 0000  ................
        0x0160:  0000 0000 0000 0000 0000 0000 0000 0000  ................
        0x0170:  0000 0000 0000 0000 0000 0000 0000 0000  ................
        0x0180:  0000 0000 0000 0000 0000 0000 0000 0000  ................
        0x0190:  0000 0000 0000 0000 0000 0000 0000 0000  ................
        0x01a0:  0000 0000 0000 0000 0000 0000 0000 0000  ................
        0x01b0:  0000 00bf 0080 0508 1cca 8f45 03a6 d38c  ...........E....
        0x01c0:  8033 1a                                  .3.

The traffic on port 6666 UDP is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 content and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 traffic on port 6667 UDP is a connection record of some kind.

After shutting down cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 tap and collector, I checked cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 files cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 collector created.
poweredge:/usr/local/opencalea_rev38/bin# cat /tmp/cmii.txt 
x, y, z, 2007-04-19T17:26:28.406, 69.143.202.28, 69.143.202.28, 32819, 6656
x, y, z, 2007-04-19T17:26:28.514, 140.211.166.3, 140.211.166.3, 6667, 32768
x, y, z, 2007-04-19T17:26:34.195, 140.211.166.3, 140.211.166.3, 6667, 32768
x, y, z, 2007-04-19T17:26:34.196, 69.143.202.28, 69.143.202.28, 32819, 6656

CMII is Communications Identifying Information. Here's cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 content, which is saved in Libpcap form.
poweredge:/usr/local/opencalea_rev38/bin# tcpdump -n -r /tmp/cmc.pcap -X
reading from file /tmp/cmc.pcap, link-type EN10MB (Ecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rnet)
13:26:28.406000 IP 69.143.202.28.32819 > 140.211.166.3.6667:
 P 1337672639:1337672687(48) ack 3295319520 win 32767
 
        0x0000:  4500 0064 c38f 4000 3f06 3582 458f ca1c  E..d..@.?.5.E...
        0x0010:  8cd3 a603 8033 1a0b 4fbb 43bf c46a 95e0  .....3..O.C..j..
        0x0020:  8018 7fff e4cc 0000 0101 080a 520b 91ad  ............R...
        0x0030:  05c1 a5e1 5052 4956 4d53 4720 2373 6e6f  ....PRIVMSG.#sno
        0x0040:  7274 2d67 7569 203a 5468 6973 2069 7320  rt-gui.:This.is.
        0x0050:  616e 6f74 6865 7220 4341 4c45 4120 7465  anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r.CALEA.te
        0x0060:  7374 0d0a                                st..

Jesse told me cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re's a lot of work to be done with this open source suite. The idea is to give businesses that can't afford a commercial CALEA solution cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 option of open source.

I plan to keep an eye on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 OpenCALEA mailing list and try new versions as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y are released.

Wednesday, April 18, 2007

War in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Third Domain

Recently I wrote Taking cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Fight to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Enemy Revisited that mentioned air power concepts as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y relate to information warfare. The Air Force Association just published a story by Hampton Stephens titled War in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Third Domain. I found several points quoteworthy.

When cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Air Force formed Air Force Space Command in 1982, it marked formal recognition that space was a distinct operating arena. The first commander, Gen. James V. Hartinger, said, “Space is a place. ... It is a cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ater of operations, and it was just a matter of time until we treated it as such..."

The Air Force has come to recognize cyberspace, like “regular” space, as an arena of human activity—including armed activity. It is, to reprise Hartinger, a cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ater of operations...

Though Cyber Command has not yet reached full major command status, it already is providing combat capabilities in cyberspace to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 unified US Strategic Command and combatant commanders, according to Air Force officials.

Cyber Command has in place systems and capabilities for integrating cyber operations into ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r Air Force global strike options. All that is lacking, according to one top official, are cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 “organizational and operational constructs” to integrate cyber ops with those of air and space operations.

The Air Force believes it must be able to control cyberspace, when need be, as it at times controls cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 air. The goal is to make cyberspace capabilities fully available to commanders.
(emphasis added)

This last point is crucial. I believe I described it earlier, but you should recognize cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 significance of this statement. You can complain to whatever you degree you like that it's unfair, unjust, whatever -- cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 fact remains that it is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 USAF's plan to be able to control this latest domain. I don't think civilians appreciate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365mes with which military planners contemplate capabilities. Reading cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 National Military Strategy (.pdf) will provide some background. Apparently a National Military Strategy for Cyberspace Operations (published 2006) exists but it is not public.

“Almost everything I do is eicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r on an Internet, an intranet, or some type of network—terrestrial, airborne, or spaceborne,” said Gen. Ronald E. Keys, head of Air Combat Command, Langley AFB, Va. “We’re already at war in cyberspace -- have been for many years.”

There's anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r commander stating cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 US is already fighting wars in cyberspace.

According to Lani Kass, special assistant to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Chief of Staff and director of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Chief’s Cyberspace Task Force:

Simply put, cyberspace has become major bad-guy territory. Air Force officials say it never has been easier for adversaries—whecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r terrorists, criminals, or nation-states—to operate with cunning and sophistication in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 cyber domain.

Kass said cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re is “recognition by our leadership that ... cyberspace is a domain in which our enemies are operating, and operating extremely effectively because cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y’re operating unconstrained.”


At cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 moment I don't see a way for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 USAF to accomplish its goals. I don't know if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y even have cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 capability to execute cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir vision for space operations, never mind cyberspace. We're only now acquiring and exercising cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 capabilities to execute in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 air domain. I remember being a cadet when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Air Force devised its "Global Reach, Global Power" vision. That idea came to fruition in 1996, when B-52s from Louisiana flew all cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 way to Iraq and back, over 14,000 miles. It's definitely not a normal method of operations, but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 capability exists.

My point is that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se sorts of guiding principles are not just rhetoric. It will be interesting to see how cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y materialize at some point in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 future.

Why UTM Will Win

We know how many words a picture is worth. The figure at left, from Boxed In by Information Security magazine, shows why Unified Threat Management appliances are going to replace all cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 middleboxes in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 modern enterprise. At some point cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 UTM will be cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 firewall, so cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 gold UTM box above will also disappear. In some places even cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 firewall will disappear and all network security functions will collapse into switches and/or routers.

I'd like to show one ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r diagram from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 story.

Figures like cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se, showing which products and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir "features," are anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r reason UTM will replace point product middleboxes. "Hey, I read in this magazine that product X checks 7 boxes, but product Y only checks 3. Let's look at product X." These are cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 sorts of figures that people who are not security experts and are not interested in or capable of assessing security products like.

Just because I think this is going to happen (or is happening -- look at what your Cisco router can do) doesn't mean I like it. The more functions a box performs, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 greater cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 likelihood that all of those functions will be performed at a mediocre level. Mediocrity is an improvement over zero security protection for some sites, but elsewhere it will not be sufficient.

I should say that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 top diagram has its merits, with simplicity being cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 primary advantage. With so many networks having multiple "moving parts," it can be tough to stay operational and understand what's working or not working. Moving all those moving parts onto a single platform may not yield all cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 simplicity one might expect, however!

One way to address cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 weaknesses of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se UTMs is to deploy stand-alone devices performing network forensics, so cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y record exactly what happens on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 network. Using that data, one can investigate security incidents as well as measure cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 effectiveness of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 UTM. I do not foresee network forensics collapsing into security switches/routers due to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data retention requirements and reconstruction workload required for investigations.

To survive I think network security inspection/interdiction vendors eicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r need to be in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "meta-security" space (SIM/SEM) or in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 do-it-all space (UTM). If your favorite vendor is in neicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r space, expect cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m to be acquired or go out of business.

Threat Advantages

My post Fight to Your Strengths listed some of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 advantages a prepared enterprise might possess when facing an intruder. I thought it helpful to list a few advantages I see for intruders.

  • Initiative: By virtue of being on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 offensive, intruders have cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 initiative. Unless threats are being apprehended, prosecuted, and incarcerated, intruders are free to pick cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 victim, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time and nature of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attack, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 means of command and control (if desired), and many ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r variables. Defenders can limit cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 enemy's freedom of maneuver, but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 intruder retains cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 initiative.

  • Flexibility: Intruders have extreme flexibility. Especially on targets where stealth is not a big deal, intruders can experiment with a variety of exploitation and control tools and tactics. Defenders, on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r hand, have to take special care when applying patches, performing memory- or host-based forensics, and ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r administrative duties. Defenders have to conform to organizational policies and user demands. Intruders (to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 degree cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y don't want to be noticed) are much freer.

  • Asymmetry of Interest: This may be controversial, but in my experience intruders are much more interested in gaining and retaining control (or accomplishing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir mission, whatever it is) than defenders may be in stopping cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attack. A dedicated attacker can inflict damage, withdraw for two weeks while defenders scramble to assess and repair, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n return when "incident fatigue" has degraded cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 incident response team and system administrators. Defenders usually have a lot on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir plate besides incident handling, whereas intruders can be obsessively focused on attacking and controlling a target.

  • Asymmetry of Knowledge: This may also be controversial, but skilled intruders (not script kiddies) may know more about target software and applications than some of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 developers who write cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m, never mind cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 administrators who deploy cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m. This is especially true of incident handlers, who are supposed to be "experts in everything," but are lucky to at least be "conversant" in victimized applications and systems. Often cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first time security staff learn of a new service is when that service is compromised.


Notice cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se last two intruder strengths come from having cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 flexibility to decide what to attack. This is particularly true of targets of opportunity. When an incident involves a specific target, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 playing field may be more level. The intruder has to exploit whatever is available, not that in which he or she may have specialized experience.

Again, comments with ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r ideas are appreciated.

Update: From Hackers get free reign to develop techniques says Microsoft security chief:

"Part of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 picture is bleak. In cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 online world, cyber criminals can do cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir research for as long as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y want in absolute security and secrecy cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y're done cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y can take cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir exploit, find a way to automate it and post it on a Web site where thousands or millions of ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r criminals can download it," said Scott Charney, vice president of Trustworthy Computing at Microsoft, in Redmond, Wash...

Charney, speaking at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Aucá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ntication and Online Trust Alliance Summit, said that technology and procedures for defeating online attacks and finding hackers has advanced by leaps and bounds since his days at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Department of Justice in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 1990s. But, he added that in some respects cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 fight against online criminals is not a fair one. The attackers have all cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 world, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 cooperation of ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r hackers and a virtually limitless number of potential targets. Law enforcement agents, meanwhile, are governed by strict guidelines and in many cases are hampered by a lack of available data once a crime has been committed.

Anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r challenge for security specialists and law enforcement is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 patchwork of state and federal laws in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 United States, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 lack of any cybercrime laws in a number of foreign countries. Given cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 global nature of cybercrime and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 fact that hackers often attack systems in a number of different countries at once, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se hurdles can often stop promising investigations before cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y really get started.

USENIX HotBots Papers Posted

If you want to read recent good research on bot nets, visit cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 USENIX HotBots workshop site. They've posted all cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 speakers' papers for visitors to read for free. Several look very interesting.

Fight to Your Strengths

Recently I mentioned cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 History Channel show Dogfights. One episode described air combat between fast, well-turning, lightly-armored-and-gunned Japanese Zeroes and slower, poor-turning, heavily-armored-and-gunned American F6F Hellcats. The Marine Top Gun instructor/commentator noted cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 only way cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Hellcat could beat cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Zero was to fight to its strengths and not fight cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 sort of battle cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Zero would prefer. Often this meant head-to-head confrontations where cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Hellcat's superior armor and guns would outlast and pummel cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Zero.

When I studied American Kenpo in San Antonio, TX, my instructor Curtis Abernathy expressed similar sentiments. He said "Make cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 opponent fight your fight. Don't try to out-punch a boxer. Don't try to out-kick a kicker. Don't try to wrestle a grappler." And so on.

I thought about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se concepts today waiting in anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r airport. I wondered what sorts of strengths network defenders might have, and if we could try forcing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 adversary into fighting our fight and not cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365irs.

Here are some preliminary thoughts on strengths network defenders might have, and how cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y can work against intruders.

  • Knowledge of assets: An intruder pursuing a targeted, server-side attack will often try to locate a poorly-configured asset. The act of conducting reconnaissance to locate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se assets results in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 opponent fighting your fight -- if you and/or your defensive systems possess situational awareness. It is not normal for remote hosts to sweep address space for active hosts or individual hosts for listening services. Defenders who manually or automatically take defensive actions when observing such actions can implement blocks that will at least frustrate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 observed source IP.

  • Knowledge of normal behavior: An intruder who compromises an asset will try to maintain control of that asset. This may take cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 form of an outbound IRC-based command-and-control channel, an inbound or outbound encrypted channel, or many ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r variations. To cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 extend that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 intruder does not use a C&C channel that looks like normal behavior for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 victim, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 intruder is fighting your fight. Whenever you constrain network traffic by blocking, application-aware proxying, and throttling, you force cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 intruder into using lanes of control that you should architect for maximum policy enforcement and visibility.

  • Diversity: Targets running Windows systems or PHP-enabled Web applications are much more likely to be compromised and manipulated by intruders. Attack tools and exploits for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se platforms are plentiful and well-understood by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 enemy. If you present a different look to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 intruder, you are making him fight your fight. An intruder who discovers a target running an unknown application on an unfamiliar OS is, at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 very least, going to spend some time researching and probing that target for vulnerabilities. If you possess situational awareness, diversity buys time for defensive actions.

  • Situational awareness: A well-instrumented network will possess greater knowledge of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 battlespace than an intruder. A network architected and operated with visibility in mind provides greater information on activity than one without access to network traffic. Unless cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 intruder implements his own measures to expand his visibility (compromising a switch to enable a SPAN port, controlling a router, etc.), cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 defender will know more about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 scope of an attack than cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 intruder. Of course, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 intruder will have absolute knowledge of his activities because he is executing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m, possibly via an encrypted channel.


These are some initial ideas recorded in an airport. I may augment cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m as time permits.

Notice that if you don't know your assets or normal behavior, if you run cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same vanilla systems as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 rest of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 world, and you don't pay attention to network activity, you have zero strengths in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 fight beyond (hopefully) properly configured assets. We all have those, right?

At cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 risk of involving myself in a silly debate, I'd like to briefly mention how cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se factors affect cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 decision to run OpenSSH on a nonstandard port. Apparently several people with a lot of free time have been vigorously arguing that "security through obscurity" is bad in all its forms, period. I don't think any rational security professional would argue that relying only upon security through obscurity is a sound security policy. However, integrating security through obscurity with ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r measures can help force an intruder to fight your fight. Here's an example.

I'm sure you've seen many brute force login attacks against OpenSSH services over cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 past year or two years. I finally decided I'd seen enough of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se on my systems, so I moved sshd to nonstandard ports. Is that security through obscurity? Probably. Have I seen any more brute force attacks against sshd since changing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 port? Nope. As far as I'm concerned, a defensive maneuver that took literally 5 seconds per server has been well worth it. My logs are not filling with records of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se attacks. I can concentrate on ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r issues.

Now, what happens if someone really takes an interest in one or more of my servers? In order to find sshd, he needs to port scan all 65535 TCP ports. That activity is going to make him fight my fight, because scanning is way outside cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 normal profile for activity involving my servers. Will he eventually find sshd? Yes, unless my systems automatically detect cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 scan and block it. Are cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re ways to make cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 intruder's ability to connect to sshd even more difficult? Sure -- take a look at Mike Rash's Single Packet Authorization implementations. The bottom line is that a defensive action which cost me virtually nothing has increased cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 amount of work cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 intruder must perform to attack sshd.

If I knew my action to change sshd's port could be discovered by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 intruder with minimal effort (perhaps cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y have visibility of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 change via illicit monitoring) cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n obscurity has been lost and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 change is not worthwhile.

As a final thought, it's paramount to consider cost when making security decisions. If altering cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 sshd port had required buying new software licenses, hardware, personnel training, etc., it would not have been worth cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 effort.

I would be interested in hearing your thoughts on ways to get cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 intruder to fight your fight. These are all strictly defensive measures, since offense is usually beyond cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 rules for most of us.

Tuesday, April 17, 2007

When FISMA Bites

After reading State Department to face hearing on '06 security breach I realized when FISMA might actually matter: combine repeated poor FISMA scores (say three F's and one D+) with publicly reported security breaches, and now Congress is investigating cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 State Department:

In a letter sent to Secretary of State Condoleeza Rice on April 6, committee Chairman Bennie Thompson asked cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 department to provide specific information regarding how quickly department security specialists detected cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attack, whecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 department knows how long cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attackers had access to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 network and what ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r systems may have been compromised during cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attack. The three-page letter also asks cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 department to provide evidence that it completely eliminated any malicious software cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attackers may have planted, as well as documentation of all of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 communications between State and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Department of Homeland Security regarding cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 incident.

I'm going to keep an eye on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Subcommittee on Emerging Threats, Cybersecurity, and Science and Technology to see what is published on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se matters. It's ironic that FISMA scores really have nothing to do with State's problems, and no aspect of FISMA can answer any of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 questions cited above.

Management by Fact: Flight Data Recorder for Windows

Whenever I fly I use cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time to read ;login: magazine from USENIX. Chad Verbowksi's article The Secret Lives of Computers Exposed: Flight Data Recorder for Windows in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 April 2007 issue was fascinating. (Nonmembers can't access it until next year -- sorry.) Chad describes FDR:

Flight Data Recorder (FDR) collects events with virtually no system impact, achieves 350:1 compression (0.7 bytes per event), and analyzes a machine day of events in 3 seconds (10 million events per second) without a database. How is this possible, you ask? It turns out that computers tend to do highly repetitive tasks, which means that our event logs (along with nearly all ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r logs from Web servers, mail servers, and application traces) consist of highly repetitive activities. This is a comforting fact, because if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y were truly doing 28 million distinct things every day it would be impossible for us to manage cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m.

Ok, that's cool by itself. However, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 insights gained from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se logs is what I'd like to highlight.

Before investigating my own computer’s sordid life, I wanted to understand cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 state of what ought to be well-managed and well-maintained systems. To understand this I monitored hundreds of MSN production servers across multiple different properties. My goal was to learn how and when changes were being made to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se systems, and to learn what software was running. Surely machines in this highly controlled environment would closely reflect cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 intentions of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir masters? However, as you’ll see in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following, we found some of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m sneaking off to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 back of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 server room for a virtual cigarette.

When I read this I remembered what I said in my recent Network Security Monitoring History post. The Air Force in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 early 1990s thought it was pretty squared away. The idea behind deploying ASIM sensors was to "validate" cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 common belief that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Air Force network was "secure." When ASIM started collecting data, AFIWC and AFCERT analysts realized reality was far different.

In my post Furcá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r Thoughts on Engineering Disasters I mentioned management by belief (MBB) vs management by fact (MBF). With MBB you make decisions based on what you assume is happening. With MBF you make decisions based on what you measure to be happening. It's no accident cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 M in ASIM stands for Measurement.

This is exactly what Chad is doing with FDR -- moving from MBB to MBF:

To avoid problems, administrators form a secret pact cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y call lockdown, during which cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y all agree not to make changes to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 servers for a specific period of time. The cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ory is that if no changes are made, no problems will happen and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y can all try to enjoy cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir time outside cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 hum of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 temperature-controlled data center.

Using FDR, I monitored cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se servers for over a year to check cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 resolve of administrators by verifying that no changes were actually made during lockdown periods. What I found was quite surprising: Each of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 five properties had at least one lockdown violation during one of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 eight lockdown periods. Two properties had violations in every lockdown period.

We’re not talking about someone logging in to check cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 server logs; cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se are modifications to core Line-Of-Business (LOB) and OS applications. In fact, looking across all cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 hundreds of machines we monitored, we found that most machines have at least one daily change that impacts LOB or OS applications.
(emphasis added)

That is an ITIL or Visible Ops nightmare. It gets better (or worse):

We would all expect server environments to be highly controlled: The only thing running should be prescribed software that has been rigorously tested and installed through a regulated process.

Using cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 FDR logs collected from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 hundreds of monitored production servers, I learned which processes were actually running. Without FDR it is difficult to determine what is actually running on a system, which is quite different from what is installed. It turns out that only 10% of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 files and settings installed on a system are actually used; consequently, very little of what is installed or sitting on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 hard drives is needed.


Brief aside -- what a great argument for building a system up from scratch instead of trying to strip out unnecessary components!

Reviewing a summary of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 running processes, we found several interesting facts. Fully 29% of servers were running unauthorized processes. These ranged from client applications such as media players and email clients to more serious applications such as auto-updating Java clients. Without FDR, who can tell from where cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 auto-updating clients are downloading (or uploading?) files and what applications cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y run? Most troubling were cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 eight processes that could not be identified by security experts.

Again, facts show cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 world is not as it was assumed. Now remediation can occur.

Chad's closing thoughts are helpful:

For cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 past 20 years, systems management has been more of a “dark art” than a science or engineering discipline because we had to assume that we did not know what was really happening on our computer systems. Now, with FDR’s always-on tracing, scalable data collection, and analysis, we believe that systems management in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 next 20 years can assume that we do know and can analyze what is happening on every machine. We believe that this is a key step to removing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 “dark arts” from systems management.

The next step is to get some documentation posted on how to operationally use FDR, which is apparently in Vista. Comments are appreciated!

Update: MBB and MBF are concepts I learned from Visible Ops.

Saturday, April 14, 2007

Exaggerated Insider Threats

I got a chance to listen to Adam Shostack's talk at ShmooCon. When I heard him slaughter my name my ears perked up. (It's "bate-lik".) :) I hadn't seen his slides (.pdf) until now, but I noticed he cited my post Of Course Insiders Cause Fewer Security Incidents where I questioned cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 preponderance of insider threats. I thought Adam's talk was good, although he really didn't support cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 title of his talk. It seemed more like "security breaches won't really hurt you," racá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r than breaches benefitting you. That's fine though.

When he mentioned my post he cited a new paper titled A Case of Mistaken Identity? News Accounts of Hacker and Organizational Responsibility for Compromised Digital Records, 1980–2006 by Phil Howard and Kris Erickson. Adam highlighted this excerpt

60 percent of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 incidents involved organizational mismanagement

as a way to question my assertion that insiders account for fewer intrusions than outsiders.

At cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 outset let me repeat how my favorite Kennedy School of Government professor, Phil Zelikow, would address this issue. He would say, "That's an empirical question." Exactly -- if we had cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 right data we could know if insiders or outsiders cause more intrusions. I would argue that projects like cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Month of 0wned Corporations give plenty of data supporting my external hypocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365sis, but let's take a look at what cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Howard/Erickson paper actually says.

First, what are cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y studying?

Our list of reported incidents is limited to cases where one or more electronic personal records were compromised through negligence or cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ft... For this study, we look only at incidents of compromised records that are almost certainly illegal or negligent acts. For cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 purposes of this paper, we define electronic personal records as data containing privileged information about an individual that cannot be readily obtained through ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r public means.

So, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y are studying disclosure of personal information. They are not analyzing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ft of intellectual property like helicopter designs. They are not reviewing cases of fraud, like $10 million of routers and ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r gear shipped to Romania. They are not reviewing incidents where hosts became parts of botnets and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 like. All of that activity would put weight in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 external column. That's not included here.

Let's get back to that 60% figure. It sounds like my hypocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365sis is doomed, right?

Surprisingly, however, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 proportion of incident reports involving hackers is smaller than cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 proportion of incidents involving organizational action or inaction. While 31 percent of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 incidents reported clearly identify a hacker as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 culprit, 60 percent of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 incidents involve missing or stolen hardware, insider abuse or cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ft, administrative error, or accidentally exposing data online.

Now we see that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 60% figure includes several categories of "organizational action or inaction". Hmm, I wonder how big cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 insider abuse or cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ft figure is, since that to me sounds like cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 big, bad "insider threat." If we look at this site we can access cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 figures and tables for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 report. Take a look at Figure 2. (It's too wide to print here.) The Insider Abuse or Theft figure accounts for 5% of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 incident total while Stolen - Hacked accounts for 31%. Sit down, insider threat.

Wait, wait, insider threat devotees might say -- what about Missing or Stolen Hardware, which is responsible for 36% of incidents? I'll get to that.

The numbers I cited were for incidents. You would probably agree you care more about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 number of records lost, since who cares if ten companies each lose one hundred records if an eleventh loses one hundred thousand.

If you look at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 corresponding percentages for numbers of records lost (instead of number of incidents), Insider Abuse or Theft accounts for 0%, Missing or Stolen Hardware counts for 2% while Stolen - Hacked rings in at 91%. Why are we even debating this issue?

Wait again, insider fans will say. Why don't you listen when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 authors exclude Axciom from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data? They must be an "outlier," so ignore cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m. And now ignore TJX, and... anyone else who skews cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 conclusion we're trying to reach.

The authors state:

Regardless of how cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data is broken down, hackers never account for even half of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 incidents or cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 volume of compromised records.

To quote Prof Zelikow again, "True, but irrelevant." I'll exclude Acxiom too by looking at previous periods. In 1980-1989 Stolen - Hacked accounts for 96% of records and 43% of incidents, while Unspecified accounts for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 remaining 4% of records, along with 43% of incidents. Insider Abuse or Theft was 14% of incidents and zero records, meaning no breach. In 1990-1999 Stolen - Hacked accounts for 45% of incidents but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 number of records is dwarfed by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 number of records lost in Unspecified Breach.

In brief, this report defends cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 insider threat hypocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365sis only in name, and really only when you cloak it in "organizational ineptitude" racá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r than dedicated insiders out to do cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 company intentional harm.

I recommend reading cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 report to see if you find cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same conclusions buried behind cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 numbers. It's entirely possible I'm missing something, but I don't see how this report diminishes cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 external threat.

Friday, April 13, 2007

Bejtlich Teaching at USENIX Annual

USENIX just posted details on USENIX Annual 2007 in Santa Clara, CA, 17-22 June 2007. I'll be teaching Network Security Monitoring with Open Source Tools and TCP/IP Weapons School (layers 2-3) day one and day two. I will most likely teach layers 4-7 for USENIX at USENIX Security in Boston, MA, 6-10 August 2007. Register before 1 June to get cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 best deal. I hope to see you cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re or at anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r training event this year!

It Takes a Thief

Yesterday I watched an episode of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Discovery Channel series It Takes a Thief. This is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 essence of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 show:

  1. Business or homeowners agree to have cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 physical security of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir property tested.

  2. Former thieves case cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 target, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n rob it blind.

  3. Victims review videotape showing how thieves accomplished cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir task.

  4. Victims exhibit shock and awe.

  5. Hosts help victims improve cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 physical security of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir property.

  6. Former thieves conduct a second robbery to assess cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 improved security measures.


I have mixed feelings about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 show. First, I'm not thrilled by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attention given to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 former thieves. Reading this question and answer session with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m made me uneasy. I justify watching cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 show and mentioning it here because cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 lessons for security are helpful. However, it seems to be rewarding criminal behavior and glorifying cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ft. I would feel better if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se guys acted more like Frank Abagnale (who has had to deal with controversy in our industry). Mr. Abagnale always expresses great regret for his crimes and has worked tirelessly for decades to improve security.

Second, I was disappointed to see how naive cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 business owners were with respect to security. They expected a door latch weaker than cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 one pictured at left to "secure" a door on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir property. The host of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 showed just pulled hard on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 door and yanked cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 latch right off cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 frame! This reminded me of Web site owners expecting a hidden directory to hide files not meant for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 public. I don't mean security by obscurity; I mean expecting ridiculously weak measures to have any effect beyond those who simply follow cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 rules. I guess my take-away from that reaction was cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 idea that security measures meant to be effective for law-abiding citizens, but no one else, aren't really security measures at all.

Third, it took a "penetration test" -- step 2 -- to demonstrate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 weak security posture of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 property. The owners were shocked to see cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 intrusion occur on videotape. What's worse, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir reaction still emphasized not inconveniencing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir guests. What?!? Why should I want to even stay at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir hotel or do business with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m if my personal information, property, or safety could be so easily compromised? The reality is I feel safer knowing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 business takes security seriously, and it doesn't take bars on windows or guards with guns to improve security postures.

Fourth, I was really glad to see a strong emphasis on monitoring as part of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 new security plan. The host and team deployed nine video cameras across cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 property, along with improved door locks and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 like. Also note that it took reviewing videotape of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 original (staged) intrusion to understand cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 property's weaknesses. Sure, a "vulnerability test" could have enumerated all or most weaknesses, but knowing how cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 criminals in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 case actually operate can be more valuable. When cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 second pen test happened, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 property owner detected cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 intrusion attempt and confronted cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 testers. (In real life cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 police might have been called instead.)

If you want ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r thoughts on this show, read Marcin's post.

Brief Thoughts on Security Education

Once in a while I get requests from blog readers for recommendations on security education. I am obviously biased because I offer training independently, in private and public forums. However, I've attended or spoken at just about every mainstream security forum, so I thought I would provide a few brief thoughts on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 subject.

First, decide if you want to attend training, briefings, or classes. I consider training to be an event of at least 1/2 day or longer. Anything less than 1/2 day is a briefing, and is probably part of a conference. Some conferences include training, so cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 two topics are not mutually exclusive. Classes include courses offered by .edu's.

Training events focus on a specific problem set or technology, for an extended period of time. Training is usually a stand-alone affair. For example, when I prepared for my CCNA, took a week-long class by Global Net Training. If I choose to pursue cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 CCNP I will return to GNT for more training. I seldom attend training because I do not usually need in-depth discussions of a single topic.

Briefings also focus on specific problems or technologies, but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir scope is usually narrow due to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir time constraints. The content is typically fresher because it takes less work to prepare a briefing compared to a 1/2 day or longer training session. Briefings are more likely to contain marketing material because you can be halfway through cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 talk before realizing it's a pitch piece. I attend briefings more often than training because cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y tend to fit my schedule and I can quickly learn something new.

Classes are cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 forums offered by institutions over an extended period of time. Traditional colleges and universities provide classes, although some non-traditional teaching vehicles exist. I've never taken any of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se although I would like to pursue my PhD some point soon.

With that background, here are a few thoughts on popular education venues:

  • USENIX: USENIX is my favorite venue. USENIX offers 1/2, 1, and 2-day training, plus briefings. I usually train at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 three major conferences cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y offer: Annual, Security, and LISA (Large Installation System Administration). Training tends to be very practical, with strong preferences for operational information for system administrators. The briefings especially tend to be more academic, with lots of research by students and/or professors. People-wise, I tend to like USENIX for connecting with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 university community.

  • Black Hat: Black Hat is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 best place to learn cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 newest public attack tools and techniques. Defense is usually secondary. Black Hat offers 1 and 2-day training, plus briefings. I've trained through Foundstone at Black Hat, and I'll be training at Black Hat in Las Vegas this summer. If you want to get very technical information on attacks (and some countermeasures), Black Hat is a great venue. People-wise, I've decided to begin attending Black Hat regularly because cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 most interesting people are cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re.

  • SANS: SANS offers a wide variety of material, through training, briefings, classes, newsletters, and webcasts. I taught cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 SANS IDS track in 2002 and 2003, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n returned to teach Enterprise Network Instrumentation late last year. I'll be back teaching ENI at SANSFIRE 2007. In my opinion some SANS training is woefully out-of-date, while ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r training is very good. SANS tracks are usually six days. SANS also offers shorter training like cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 log management summit I attended last year. Ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r times SANS offers very short briefings on a single topic, like cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 SANS Software Security Institute. People-wise, SANS tracks tend to involve more people at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 beginning of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir security careers.

  • RSA: I mention RSA because it's big and people might want to know more about it. I spoke at RSA 2006. That was enough for me. RSA is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 place to be if you're a vendor, but ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rwise I found cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 talks less inspiring than ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r venues. If you're a cryptographer you might find RSA's cryptography track to be helpful, since that subject is usually not emphasized elsewhere. People-wise, I met lots of people trying to attract business at RSA last year.

  • Niche Public Events: A lot of ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r venues fill this space. Among those I've attended or spoken at, CanSecWest is one leader. I delivered a Lightning Talk cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re in 2004. The best part of CSW is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 fact it's a single track. By cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 end of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 event, some sense of community has been built. ShmooCon is similar to CSW, although it has multiple tracks. Techno Security and Techno Forensics are two great sources of education, generally heavy on Feds and forensics. I'll be teaching at Security and probably later at Forensics this year. If you're in Europe take a look at CONFidence in Poland.

  • Niche Government or Government-Centric Events: I include conferences usually sponsored or mainly attended by law enforcement, government, and military audiences here. FIRST and GFIRST fit cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se bills. I speak cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re to meet people and less to hear about what's happening. The Telestrategies ISS World events are similar. For those of you in Australia, AusCERT looks like a good bet; I'll be cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re this year.


That's all I have time to discuss now. Good luck spending your security education dollars.

FISMA Dogfights

My favorite show on The History Channel is Dogfights. Although I wore cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 US Air Force uniform for 11 years I was not a pilot. I did get "incentive" rides in T-37, F-16D, and F-15E jets as a USAFA cadet. Those experiences made me appreciate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 rigor of being a fighter pilot. After watching Dogfights and learning from pilots who fought MiGs over North Vietnam, one on six, I have a new appreciation for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir line of work.

All that matters in a dogfight is winning, which means shooting down your opponent or making him exit cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 fight. A draw happens when both adversaries decide to fight anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r day. If you lose a dogfight you die or end up as a prisoner of war. If you're lucky you survive ejection and somehow escape capture.

Winning a dogfight is not all about pilot skill vs pilot skill. Many of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 dogfights I watched involved American pilots who learned enemy tactics and intentions from earlier combat. Some of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 pilots also knew cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 capabilities of enemy aircraft, like cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 fact that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 MiG 17 was inferior to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 F-8 in turns below 450 MPH. Intelligence on enemy aircraft was derived by acquiring planes and flying cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m. In some cases cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 enemy reverse engineered American weapons, as happened with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 K-13/AA-2 Atoll -- a copy of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Sidewinder.

All of this relates to FISMA. Imagine if FISMA was cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 operational cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365me guiding air combat. Consultants would spend a lot of time and money documenting American aircraft capabilities and equipment. We'd have a count of every rivet on every plane, annotated with someone's idea that fifty rivets per leading edge is better than forty rivets per leading edge. Every plane, every spare part, and every pilot would be nicely documented after a four to six month effort costing millions of dollars. Every year a report card would provide grades on fighter squadrons FISMA reports.

What would happen to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se planes when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y entered combat? The FISMA crowd would not care. American aircraft could be dropping from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 sky and it would not matter to FISMA. All of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 FISMA effort creates a cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365oretical, paper-based dream of how a "system" should perform in an environment. When that system -- say, a jet fighter -- operates under real life combat conditions, it may perform nothing like what cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 planners envisioned. Planners range from generals setting requirements for a new plane, engineers desiging cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 plane, and tacticians imagining how to use cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 plane in combat.

Perhaps cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 guns jam in high-G turns. Perhaps cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 missiles never acquire lock and always miss cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir targets. Maybe cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 enemy has stolen plans for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 aircraft (or an actual aircraft!) and know that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 jet cannot perform as well as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 enemy plane doing vertical rolling scissors.

Furcá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rmore, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 enemy may not act like cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 planners imagined. This is absolutely crucial. The enemy may have different equipment or tactics, completely overpowering friendly capabilities.

Maybe FISMA would address cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se issues in three years, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 next time a FISMA report is due. Meanwhile, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 US has losts all its pilots and aircraft, along with control of its airspace.

Maybe this analogy will help explain cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 problems I have with FISMA. I already tried an American football analogy in my post Control-compliant vs Field-Assessed Security. My bottom line is that FISMA involves control compliance. That is a prerequisite for security, since no one should field a system known to be full of holes. However, effective, operational security involves field assessment. That means evaluating how a system performs in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 real world, not in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 mind of a consultant. Field-assessed security is absolutely missing in FISMA. Don't tell me cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 tests done prior to C&A count. They're static, controlled, and do not reflect cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 changing environment found on real networks attacked by real intruders.

Incidentally, I also really liked cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 BBC series Battlefield Britain and I may check out cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r History Channel series Shootout!.

Thursday, April 12, 2007

Month of Owned Corporations

Thanks to Gadi Evron for pointing me towards cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 30 Days of Bots project happening at Support Intelligence. SI monitors various data sources to identify systems conducting attacks and ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r malicious activity. Last fall cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y introduced cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir Digest of Abuse (DOA) report which lists autonomous system numbers of networks hosting those systems.

SI published cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 latest DOA report Monday and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y are now using that data to illustrate individual companies hosting compromised systems. They started with 3M, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n moved to Thomson Financial, AIG, and now Aflac. For cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se examples SI cites corporate machines sending spam, among ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r activities. Brian Krebs reported on ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r companies exhibiting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same behavior based on his conversations with SI.

This is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 kind of metric I like to see. Who cares about percentage of machines with anti-virus, blah blah. Instead, consider cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se: is my company -- or agency -- listed on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 SI DOA report? If so, how high? Is that ranking higher this week than last? And so on... Metrics for AV coverage is like reporting on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 number of band-aids on a fencer who continues to be poked by an opponent.

FISMA 2006 Scores

There are FISMA scores for 2006, along with 2005, 2004, and 2003 -- some of which I discussed previously. What I wrote earlier still stands:

Notice that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se grades do not reflect cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 effectiveness of any of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se security measurements. An agency could be completely 0wn3d (compromised in manager-speak) and it could still receive high scores. I imagine it is difficult to grade effectiveness until a common set of security metrics is developed, including ways to count and assess incidents.

I still believe FISMA is a joke and a jobs program for so-called security companies without cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 technical skills to operationally defend systems.

The only benefit I've seen from FISMA is that low-scoring agencies are being embarrassed into doing more certification and accreditation. C&A is a waste of time and money. However, if security staff can redirect some of that time and money into technical security work that really makes a difference, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n FISMA is indirectly helping agencies with poor scores. Agencies with high scores are no more secure than agencies with low scores. High-scoring agencies just write good reports, because FISMA is a giant paperwork exercise that makes no difference on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 security playing field.

If you believe ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rwise you're welcome to your opinion. You're also welcome to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 lack of a future job when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 FISMA consulting boondoggle ends and report jockeys are left without any marketable technical skills. If you want to know more about this, reading my old FISMA posts is sufficient. I don't need to restate my arguments when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y're archived.

If I sound bitter, it's because I've seen my taxpaying dollars wasted for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 past five years while various unauthorized parties have cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir way with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se agencies. FISMA is not working.

Wednesday, April 11, 2007

Bejtlich Speaking at Secure Development World

On 13 September 2007 at 0915 I will discuss cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Self-Defeating Network at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Secure Development World conference in Alexandria, VA. I was invited to speak even though I am not exactly "active" in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 secure programming arena. The conference organizers asked me to speak from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 operational point of view so developers understand what end users want and need. The list of speakers already looks good -- check it out.

Training an IDS

Thanks to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 newly named Threat Level I read Women at Love Field 'Acting Suspiciously' and Airport Watch Figure Confirms Terrorist Tie. You can obviously make up your own mind about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se two, but I'm glad cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 police were alert enough to grab cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m. Here's a few choice quotes. I promise to tie this to digital security.

"I'm a trained sniper and proud of it," Ms. Al-Homsi said in an interview Thursday after first refusing to comment on whecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r she has any terrorism ties. She cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n said no.

Unless this is a lie, I doubt this lady received training in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 US military. So where else would she be trained to be a sniper?

She said that she practices her rifle skills at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Alpine Shooting Range in Fort Worth. An employee confirmed that she's been going cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re for years.

"In all cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Muslim garb, shooting an assault weapon, it seemed at first like she was trying to draw attention," said Dave Rodgers. "But cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n she came out so much, it became normal."


Hmm, like that back door installed before you started looking for it? Assuming cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "sniper" really is a threat, it sounds like she trained shooting range employees to accept her as normal simply by being a frequent customer -- like that regular 2 am data transfer out of your site. It must be an authorized backup activity, right? It's always happening. That makes it normal... I hope?

Burning CDs on Ubuntu

Sometimes this blog is just a place for me to take notes on tasks I want to repeat in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 future, like burning CDs. In this case I'm running Ubuntu and using cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 new portable Sony DRX-S50U Multi-Format DVD Burner I bought to accompany my Thinkpad x60s on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 road.

First I created an .iso of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 files I wanted on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 CD-R.

richard@neely:/var/tmp$ mkisofs -J -R -o /data/shmoocon2007hack.iso shmoocon2007/
INFO: UTF-8 character encoding detected by locale settings.
Assuming UTF-8 encoded filenames on source filesystem,
use -input-charset to override.
Using shmoo000.pca;1 for /shmoocon_hack_rd2_timeadj.pcap (shmoocon_hack_rd1_timeadj.pcap)
1.68% done, estimate finish Wed Apr 11 21:23:45 2007
...truncated...

Second I asked cdrecord to find cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 burner.

richard@neely:/var/tmp$ sudo cdrecord -scanbus
Cdrecord-Clone 2.01.01a03 (i686-pc-linux-gnu) Copyright (C) 1995-2005 Joerg Schilling
NOTE: this version of cdrecord is an inofficial (modified) release of cdrecord
and thus may have bugs that are not present in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 original version.
Please send bug reports and support requests to .
The original author should not be bocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365red with problems of this version.

cdrecord: Warning: Running on Linux-2.6.17-11-generic
cdrecord: There are unsettled issues with Linux-2.5 and newer.
cdrecord: If you have unexpected problems, please try Linux-2.4 or Solaris.
Linux sg driver version: 3.5.33
Using libscg version 'debian-0.8debian2'.
cdrecord: Warning: using inofficial version of libscg (debian-0.8debian2 '@(#)scsitransp.c
1.91 04/06/17 Copyright 1988,1995,2000-2004 J. Schilling').
scsibus0:
0,0,0 0) 'ATA ' 'TOSHIBA MK6032GS' 'AS31' Disk
0,1,0 1) *
0,2,0 2) *
0,3,0 3) *
0,4,0 4) *
0,5,0 5) *
0,6,0 6) *
0,7,0 7) *
scsibus4:
4,0,0 400) 'Optiarc ' 'DVD RW AD-7540A ' '1.D0' Removable CD-ROM
4,1,0 401) *
4,2,0 402) *
4,3,0 403) *
4,4,0 404) *
4,5,0 405) *
4,6,0 406) *
4,7,0 407) *

Third I burned cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 CD-R.

richard@neely:/var/tmp$ sudo cdrecord -v dev=4,0,0 driveropts=burnfree -eject
-data /data/shmoocon2007hack.iso
cdrecord: No write mode specified.
cdrecord: Asuming -tao mode.
cdrecord: Future versions of cdrecord may have different drive dependent defaults.
cdrecord: Continuing in 5 seconds...
Cdrecord-Clone 2.01.01a03 (i686-pc-linux-gnu) Copyright (C) 1995-2005 Joerg Schilling
NOTE: this version of cdrecord is an inofficial (modified) release of cdrecord
and thus may have bugs that are not present in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 original version.
Please send bug reports and support requests to .
The original author should not be bocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365red with problems of this version.

cdrecord: Warning: Running on Linux-2.6.17-11-generic
cdrecord: There are unsettled issues with Linux-2.5 and newer.
cdrecord: If you have unexpected problems, please try Linux-2.4 or Solaris.
TOC Type: 1 = CD-ROM
scsidev: '4,0,0'
scsibus: 4 target: 0 lun: 0
Linux sg driver version: 3.5.33
Using libscg version 'debian-0.8debian2'.
cdrecord: Warning: using inofficial version of libscg (debian-0.8debian2 '@(#)scsitransp.c
1.91 04/06/17 Copyright 1988,1995,2000-2004 J. Schilling').
Driveropts: 'burnfree'
SCSI buffer size: 64512
atapi: 1
Device type : Removable CD-ROM
Version : 0
Response Format: 2
Capabilities :
Vendor_info : 'Optiarc '
Identifikation : 'DVD RW AD-7540A '
Revision : '1.D0'
Device seems to be: Generic mmc2 DVD-R/DVD-RW.
Current: 0x0009
Profile: 0x002B
Profile: 0x001B
Profile: 0x001A
Profile: 0x0016
Profile: 0x0015
Profile: 0x0014
Profile: 0x0013
Profile: 0x0012
Profile: 0x0011
Profile: 0x0010
Profile: 0x000A
Profile: 0x0009 (current)
Profile: 0x0008 (current)
Profile: 0x0002
cdrecord: This version of cdrecord does not include DVD-R/DVD-RW support code.
cdrecord: See /usr/share/doc/cdrecord/README.DVD.Debian for details on DVD support.
Using generic SCSI-3/mmc CD-R/CD-RW driver (mmc_cdr).
Driver flags : MMC-3 SWABAUDIO BURNFREE
Supported modes: TAO PACKET SAO SAO/R96R RAW/R96R
Drive buf size : 890880 = 870 KB
FIFO size : 4194304 = 4096 KB
Track 01: data 583 MB
Total size: 670 MB (66:23.13) = 298735 sectors
Lout start: 670 MB (66:25/10) = 298735 sectors
Current Secsize: 2048
ATIP info from disk:
Indicated writing power: 5
Is not unrestricted
Is not erasable
Disk sub type: Medium Type A, high Beta category (A+) (3)
ATIP start of lead in: -11634 (97:26/66)
ATIP start of lead out: 359846 (79:59/71)
Disk type: Short strategy type (Phthalocyanine or similar)
Manuf. index: 3
Manufacturer: CMC Magnetics Corporation
Blocks total: 359846 Blocks current: 359846 Blocks remaining: 61111
Starting to write CD/DVD at speed 24 in real TAO mode for single session.
Last chance to quit, starting real write 0 seconds. Operation starts.
Waiting for reader process to fill input buffer ... input buffer ready.
BURN-Free is ON.
Performing OPC...
Starting new track at sector: 0
Track 01: 583 of 583 MB written (fifo 100%) [buf 100%] 8.3x.
Track 01: Total bytes read/written: 611805184/611805184 (298733 sectors).
Writing time: 523.078s
Average write speed 7.8x.
Min drive buffer fill was 100%
Fixating...
Fixating time: 42.065s
BURN-Free was never needed.
cdrecord: fifo had 9637 puts and 9637 gets.
cdrecord: fifo was 0 times empty and 9555 times full, min fill was 79%.

Last I checked cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 files on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 CD.

richard@neely:/var/tmp$ ls -alh /media/cdrom0/
total 584M
drwxr-xr-x 2 richard richard 2.0K 2007-03-26 16:27 .
drwxr-xr-x 6 root root 1.0K 2007-04-05 15:33 ..
-rw-r--r-- 1 richard richard 149M 2007-03-26 16:19 shmoocon_hack_rd1_timeadj.pcap
-rw-r--r-- 1 richard richard 435M 2007-03-26 16:27 shmoocon_hack_rd2_timeadj.pcap

Looks good!

Network Security Monitoring History

Recently a network forensics vendor was kind enough to spend some time on a WebEx-type session describing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir product. I try to stay current with technology so I can offer suggestions to clients with budgets for commercial products.

During cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 talk cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 presenter was very excited by his company's capability to collect all traffic and examine it later for troubleshooting and security purposes. He implied this was a "new capability in this space," so I asked if he had read any of my books. He said no, but he did read my blog. It occurred to me that it might be helpful to reprint cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 history of NSM I wrote for Tao of Network Security Monitoring.

I'm doing this for three reasons. First, I want people to know that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ideas I've been publicly evangalizing since 2002 actually date back 10, perhaps 13 years earlier. I take credit for paying attention to smart people with whom I worked when I first started in this field. I don't take credit for inventing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 idea that we need high quality network traffic to perform security investigations!

Second, I want to provide a public record of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se historical capabilities. As I talk to more vendors I don't want cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m to think I'm "stealing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir ideas," since many of "cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir ideas" were invented before some of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir programmers graduated from elementary school.

Third, one day (perhaps in 2008 or 2009) I would like to blog again and link back to this post. Hopefully I'll have commercial tools providing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se capabilities to anyone who wants cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m, and plenty of companies will be declaring cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365mselves cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "world's first blah" and "pioneers of blah" and so forth. I'll be happy that customers will finally have cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y need to understand what is happening in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir enterprise, whatever weird, long, and contentious road was followed.

I can testify to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following history of network security monitoring because I participated in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se events or have spoken directly with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 participants who made cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 events happen. I base my understanding of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 early days of NSM on information learned from Todd Heberlein and on my work with pioneers like Larry Shrader and Roberto Garcia.

NSM began as an informal discipline with Todd Heberlein’s development of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Network Security Monitor. The Network Security Monitor was cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first intrusion detection system to use network traffic as its main source of data for generating alerts. Heberlein and ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs worked at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 University of California at Davis from 1988 through 1995 on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Network Security Monitor, although by 1991 initial Network Security Monitor system research and development was complete.

The Air Force Computer Emergency Response Team (AFCERT) was cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first organization to informally follow NSM principles. The AFCERT was created on October 1, 1992, partially as a result of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 1988 Morris Worm. The team began work as part of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Air Force Cryptologic Support Center at Kelly Air Force Base in San Antonio, Texas. When cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Air Force Information Warfare Center (AFIWC) was activated on September 10, 1993, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 AFCERT joined that unit. The AFCERT’s mission during cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 1990s was to conduct Computer Network Defense (CND) operations to secure and protect cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 global Air Force communication and computer (C2) weapon system.

The Air Force had long recognized cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 need for intrusion detection systems, initially funding cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Haystack host-based audit trail intrusion detection system. In 1993 cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 AFCERT worked with Heberlein to deploy a version of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Network Security Monitor as an Automated Security Incident Measurement (ASIM) system. The Air Force’s intent was
to measure cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 level of malicious activity on its networks as a way to perform threat assessment. By gaining an accurate idea of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 capabilities and intentions of its adversaries, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 AFCERT could position itself to acquire cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 funding, personnel, and responsibilities needed to properly monitor Air Force networks.

In cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 mid-1990s cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Air Force’s network consisted of well over 100 Internet points- of-presence, but by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 end of 1995 cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 AFCERT monitored only 26 installations. By cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 end of 1996 coverage had doubled to 52 Air Force bases and three “Joint” or multi-service locations. By mid-1997 ASIM sensors watched all officially sanctioned Air Force Internet points-of-presence. (Like any large organization, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 AFCERT struggled to deal with local base commanders, or “management,” who bypassed authorized Internet connections by installing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir own Internet links.) In 1998 cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 AFCERT added cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Wheel Group’s NetRanger sensors to its toolbox, using cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 request of Central Command to monitor its forward locations in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Middle East.

The AFCERT implemented network security monitoring through products, people, and processes. ASIM was cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 tool used to generate indications and warnings. AFCERT analysts worked in real-time or batch cells, eicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r reviewing near-real-time alerts or daily session records. Both teams had access to full content or transcript data collected by ASIM for certain high-value services, such as Telnet, rlogin, FTP, HTTP, and ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r protocols. Analysts escalated evidence of suspected intrusions to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Incident Response Team (IRT), which validated and investigated intrusions. After cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Melissa virus hit in March 1999, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 AFCERT formed a dedicated virus team to specifically handle malware outbreaks.

In late 2000, Ball Aerospace & Technologies Corporation (BATC) asked Robert “Bamm” Visscher and myself to help transition intrusion detection techniques to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 commercial sector. Bamm and I had worked with Larry Shrader in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 AFCERT, and we set about creating an NSM operation from scratch. Working on a tight budget, and realizing available commercial IDS products didn’t suit our needs, Bamm developed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Snort Personal Real-time Event GUI (SPREG).

SPREG began its life as a Tcl/Tk program to watch attacks on Bamm’s cable modem connection. As I trained analysts to take on 24 by 7 monitoring duties, Bamm refined SPREG to meet our NSM needs. SPREG relied on Snort for its alert and full content data. John Curry, acting as a consultant, wrote code to collect session data. All three elements were integrated, and by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 spring of 2001 BATC offered cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first true commercial NSM operation to nongovernment customers. Our 12 analysts interpreted alert, session, and full content data to discover intruders.

In June 2001 I “hacked” a copy of Congressman Lamar Smith’s Web page while Bamm demonstrated our monitoring capability. On July 13, 2001, one of our analysts, LeRoy Crooks, detected cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Code Red worm -- six days before it struck cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 general Internet population. I posted his findings to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 SecurityFocus Incidents list on July 15, 2001.

In April 2002, I left BATC to become a consultant with Foundstone. While performing incident response duties I employed emergency NSM to investigate intrusions against several Fortune 100 companies. I began using Argus to collect session data because I no longer had access to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 proprietary code BATC bought to collect session data. I began teaching NSM principles to students of Foundstone’s “Incident Response” and “Ultimate Hacking” classes. I also taught NSM to two sessions’ worth of SANS intrusion detection track attendees who responded to my request to abandon cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 formal material in favor of something more relevant.

On December 4, 2002, Bamm and I presented a Webcast for SearchSecurity.com titled “Network Security Monitoring” (www.taosecurity.com/news.html). This presentation offered cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first formal definition of NSM as “cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 collection, analysis, and escalation of indications and warnings (I&W) to detect and respond to intrusions.” At cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time I was only cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365orizing about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 use of statistical information and limited NSM to event, session, and full content data. (I began using cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 term “alert” racá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r than “event” data when writing this book in fall 2003.)

In late 2002 Bamm began work on an open source NSM product called cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Snort GUI for Lamerz (SGUIL). (Sguil’s name was born in an IRC session and was not designed with marketing in mind!) Bamm registered sguil.sourceforge.net and announced Sguil’s initial availability in January 2003. At cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 most popular open source GUI for Snort was ACID. Throughout 2003 Sguil gained momentum, and it appeared in a second NSM Webcast on August 21, 2003. During 2003 cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 fourth edition of Hacking Exposed was published. It featured a case study I wrote, which included cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 NSM definition and this nod to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 “facá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r of NSM”:

“Inspired in name by Todd Heberlein’s ‘Network Security Monitor,’ NSM is an operational model based on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Air Force’s signals intelligence collection methods. NSM integrates IDS products, which generate alerts; people, who interpret indications and warning; and processes, which guide cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 escalation of validated events to decision makers."


I'd like to add a few more points to that original script. First, in 1999-2000, I remember using cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 AFCERT's Common Intrusion Detection (CID) Java console to right-click and call Ecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365real to decode Libpcap data for alerts or sessions of interest. The Libpcap data was collected by our ASIM (Automated Security Incident Measurement) sensors independent of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 alerts or sessions. This year you are going to see IDS/IPS vendors tying into network forensic appliance application programming interfaces to do this same trick, only eight years later.

I may try to add to this as I remember more details. Any old Air Force guys out cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re with memories to add, please feel free to leave comments. Thank you.