Tuesday, November 20, 2007

Network Monitoring: How Far?

In my January post The Revolution Will Be Monitored and elsewhere I discuss how network monitoring is becoming more prevalent, whecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r we like it or not. When I wrote my first book I clearly said that you should collect as much data as you can, given legal, political, and technical means because that approach gives you cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 best chance to detect and respond to intrusions. Unfortunately, I did not provide any clear guidance for situations where I think monitoring might not be appropriate. While this is by no means a political blog, I would not want my NSM approach to be taken as justification for monitoring and retaining every electronic transaction, especially beyond cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 security realm.

In that spirit I would like to point out three recent stories which highlight some of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 contemporary problems I see with electronic monitoring.

First is Boeing bosses spy on workers. From cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 story:

Within its bowels, The Boeing Co. holds volumes of proprietary information deemed so valuable that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 company has entire teams dedicated to making sure that private information stays private.

One such team, dubbed "enterprise" investigators, has permission to read cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 private e-mails of employees, follow cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m and collect video footage or photos of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m. Investigators can also secretly watch employee computer screens in real time and reproduce every keystroke a worker makes, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Seattle P-I has learned...

"Employees should understand that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 law generally gives employers broad authority to conduct surveillance, whecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r through e-mail, video cameras or ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r forms of tracking, including off cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 job in many cases."

The law grants companies cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 right to protect cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365mselves from employees who break cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 law, such as by embezzling money or using cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 company warehouse to run a drug-smuggling ring.

The problem, [Ed] Mierzwinski [consumer program director at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 federation of Public Interest Research Groups] said, is when companies use cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 surveillance tactics available to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m to root out whistle-blowers.

"We need greater whistle-blower protections," he said. But, "if you're using cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 company's resources and you think it's protected because you're using Hotmail, think again."


My first point on this story is that I have never advocated NSM as a means to combat fraud, waste, and abuse by employees, let alone whistle-blowers. I have almost exclusively focused on external threats. I say let legal and human resources look for non-security policy violations.

My second point on this story is that I think cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 operative word here is surveillance. NSM is not a surveillance methodology. NSM does not advocate identifying a person of interest, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n examining all traffic generated by or directed at that person. NSM is more channel- and system-centric. If I am going to conduct network surveillance of any type, I expect legal and human resources tasking. I do not engage in network surveillance for my own security purposes. I conduct NSM.

The next story is Cal-Ore Telecommunications on Solera Networks. This is a blog posting advertising cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 adoption of a packet capture appliance sold by Solera Networks to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Cal-Ore ISP in California. From cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 story:

Cal-Ore, a rural telephone company and ISP headquartered in Norcá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rn California, has been serving customers for more than 55 years. In order to comply with CALEA requirements, Charles Boening, Cal-Ore’s network manager considered three choices. First, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y could do nothing and hope cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y never received a lawful intercept warrant request. Second, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y could contract with a trusted third-party (TTP) that would perform any tapping services and bring cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m into compliance: at a six-figure price tag with ongoing fees. Or third, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y could purchase a Solera DS 1000 from Solera Networks...

“We not only capture traffic that goes to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Internet, we can also use those extra Ecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rnet ports to capture traffic from ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r areas of our network,” Boening said...

While not being used to fulfill a warrant, Boening uses cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Solera DS 1000 for complete network packet capture and storage. This has become an integral component to network management at Cal-Ore...

“We’ll hear from ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r providers telling us that we have a customer who is sending out spam,” said Boening. “Before I disconnect that customer, I need to verify it is a legitimate compliant. I use cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Solera Networks box to find specific traffic over a period of time and put it into an analyzer, such as WireShark, to determine whecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r it is junk. If it is, I will cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n turn off cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 customer.”


When I read this I thought "This ISP is logging all traffic that customers send to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Internet?" I read cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir terms of service and found this:

Use of any Cal-Ore Telephone network service constitutes consent to monitoring at all times. If monitoring of any device in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Cal-Ore Telephone network reveals any evidence regarding violation of copyright laws, security regulations or any instance of unauthorized use of any system, this evidence and any ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r related information, including identification information about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 user, can and will be provided to law enforcement officials.

It appears Cal-Ore is relying on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 consent exception to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 wiretap act to not break Federal law. They could also hope that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir activity "is a necessary incident to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 rendition of his service or to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 protection of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 rights or property of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 provider of that service" and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365reby receive anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r exception to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 wiretap act.

However, California law is a little different. As noted in Applying cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Wiretap Act to Online Communications after United States v. Councilman, California is a two-party consent state, meaning that both parties to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 communication must give consent in order to make interception of a communication permissible. I am not a lawyer (I may have to rectify that situation at some point), but it sounds like cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 consent exception is lost when a Cal-Ore user who has not granted consent communicates via IM to any Cal-Ore user.

The third story is actually a set of articles posted by The Baltimore Sun about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 National Security Agency and "cyber security." A slightly more recent article called In focus: Targeting Internet terror offers a few items of interest:

President Bush quietly announced yesterday his plans to launch a program targeting terrorists and ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs who would seek to attack cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 United States via cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Internet, according to lawmakers and budget documents.

Bush requested $154 million in preliminary funding for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 initiative, which current and former government officials say is expected to become a seven-year, multibillion-dollar program to track threats in cyberspace on both government and private networks...

At cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 White House, spokesman Sean Kevelighan would say only that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 money would be used for "increased monitoring capabilities, as well as to increase cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 security of our networks."


I'm interested in this article because it and previous stories hint that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 government might monitor private networks for security purposes. This would be quite a step if true.

Monitoring remains a hot topic, so I plan to keep my eye on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se issues going forward.

8 comments:

Anonymous said...

Re: hinting at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 government monitoring of networks for security purposes, I recall getting that same hint at Black Hat this year listening to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "Traffic Analysis" talk by Jon Callas, Raven Alder, Ricardo Bettati, and Nick Matcá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365wson.

I had cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 chance to talk to Mr. Bettati at lunch one day, and we discussed NSM as it related to his research. The whole table was involved and had a lot to say when it came to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 potential privacy concerns when collecting all possible data, even if for "research" purposes.

jbmoore said...

NSM captures data. Data is amoral. It can be used for good or bad. How it is used is up to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 people who have it. You have to train your people to be responsible.

Anonymous said...

"NSM does not advocate identifying a person of interest, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n examining all traffic generated by or directed at that person. NSM is more channel- and system-centric."

i m glad you clarifyed that.
i often notice a tendency to overshoot cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 objective, as soon as monitoring "is able to" provide cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 necessary data.
i dont know how to translate it correctly, but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 term "anticipated obedience" is sth i learned to be very wary of.
it describes an attitude of losing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 initial motives out of sight due to fear, unawareness or cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 need to suit a belief, often resulting in very high total costs.
recently i had cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 chance to compare our approach to ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r colleagues. i was able to measure a significant difference in terms of expenses, motivation and legal implications.
it was amazing how management by fact made a difference.

Richard Bejtlich said...

jbmoore,

Part of my point is that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 act of capturing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data can be illegal. That's a big issue.

Anonymous said...

This reminds me of "In God We Trust, All Ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs We Monitor" cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 old Intelligence field adage (attributed to NSA and many ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs over cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 years).

At what point does collecting and monitoring ALL activity become more than a "defending cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 enterprise" and turn into true Intelligence gacá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ring by corporations?

It would be nice to see legislation protecting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 rights of US Citizens. Even cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 NSA use to follow USSID 18 Annex J which required AG authorization to monitor US Citizens. Simple checks and balances. Of course Patriot Act and ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r Presidential Directives have eroded those check and balances in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 last few years.

Off cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 politics soapbox....

I do think Enterprises have a right to protect cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir intellectual property. Surely cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re are more effective means of providing such protection. I can't imagine cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 resources it would take to accomplish what is seemingly being done at a organization cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 size of Boeing. Wouldn't Boeing benefit by putting resources (time,people,tech,etc) into creating a work environment that lessons cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 risk of malicious activity. I'm not saying for a moment that anything is 100% effective, but implementing correct role based privileges(physical/data) and putting effort into collection and analysis of deviations goes a lot furcá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r, is more reliable and less prone to abuse and in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 end is more palatable to high end employees than a "1984" work and living environment.

If it turns into a case where cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 employee needs additional monitoring because of corporate espionage or ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r illegal,illicit activities, involve cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 appropriate authorities who can conduct cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 investigation from a more independent perspective. Require a judge to sign off on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 monitoring and get cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 company's resources out of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 way - that way you reduce cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 likelihood of abuse and let cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 experts do what cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y do best.

Anonymous said...

It would seem to me that what really needs to get tossed is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 two-party consent laws. Companies and inviduals who monitor traffic for security and ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r reasons would have an impossible time complying with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 law, and states would have an equally impossible time enforcing it.

Anonymous said...

The waiver is probably a belt and suspenders approach implemented by nervous lawyers.

18 USC 2511(2)(a)(i) allows a 'provider' to intercept traffic to render service or protect cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 rights & property of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 provider.

If spam affects cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 rights/property of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 provider, I'm not sure.

If Cal-Ore wanted to be safer, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y'd just sniff cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 mail metadata without cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 content to get cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 broader 18 USC 2511(2)(h)(ii) protection, which only requires that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y're acting to protect cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir users (or connected networks) from abusive/illegal/fraudulent uses.

Richard Bejtlich said...

Bush Order Expands Network Monitoring