Friday, August 08, 2008

Black Hat USA 2008 Wrap-Up: Day 2

Please see Black Hat USA 2008 Wrap-Up: Day 1 for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first part of this two-part post.

Day two of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Black Hat USA 2008 Briefings began much better than day one.

  • Rod Beckström, Director of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 National Cyber Security Center in DHS, delivered today's keynote. I had read articles like WhiteHouse Taps Tech Entrepreneur For Cyber Defense Post so I wasn't sure what to think of Mr. Beckström. It turns out his talk was excellent. If Mr. Beckström had used a few less PowerPoint slides, I would have classified him as a Edward Tufte-caliber speaker. I especially liked his examination of history for lessons applicable to our current cyber woes. He spoke to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 audience in our own words, calling cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 US an "open source community," cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Declaration of Independence and Constitution our "code," cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Civil War a "fork," and so on. Very smart.

    For example, Mr. Beckström provided context for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 photo at left of Union Intelligence Service chief Allan Pinkerton, President Lincoln, and Major General John A. McClernand during Antietam (late 1862). Using cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 photo Mr. Beckström explained cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 relationship between cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 intelligence community, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 government, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 military. After I answered his question "what made cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Civil War unique?" (answer: cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 telegraph), Mr. Beckström described how Lincoln was cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first "wired" President and how electronic warfare against cables first began.

    In addition to talking about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 French and Indian War and our own Revolution (e.g., Washington learned guerilla tactics, Benedict Arnold as insider threat), Mr. Beckström spoke about how to characterize our current problem. He said "offense is a lot easier than defense." Unlike Moore's Law, we don't have laws for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 physics of networking, or cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 economics of networks or security, or how to do risk management. Mr. Beckström noted security is a cost (so much for "enablement") and that minimization of total cost C (where C equals cost of security S plus expected cost of a loss L) is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 main goal. (I wonder if he's read Managing Cyber Security Resources?) Mr. Beckström said cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 CISO budget should be based on reducing estimated loss, but it's usually based on a percentage of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 CTO or CIO's budget that's unrelated to any problem faced by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 security team.

    Most interesting to me, Mr. Beckström explained how he believes investment in protocols (like security DNS, BGP, SMS/IP, even POTS) could be cheap while yielding large benefits. I will have to watch for developments cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re.

  • Next I saw Felix Lindner present Developments in Cisco IOS Forensics. It seemed like a lot of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ideas were present in his great talk from last year, but I liked this year's presentation anyway. FX is absolutely cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 authority on breaking Cisco IOS, he's an excellent speaker, and I learned a lot. FX discussed how attacks on IOS take cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 form of protocol, functionality/configuration, or binary exploitation attacks. Binary exploitation is of most interest to FX, and takes cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 form of binary modification of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 runtime image, data structure patching, runtime configuration changes, and loading TCL backdoors. (The last is "widely used by people fired from ISPs"!)

    In order to gain some degree of visibility into binary exploitation attacks against IOS, FX recommends enabling core dumps. This does not affect performance (except slowing reboot time). Core dumps can be written to a FTP server, and will result from unsuccessful binary exploitation attempts or any time a router administrator invokes cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "write core" command. Because cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re are over 100,000 IOS images in use today ("only" 15,000 or so are supported by Cisco), cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re is a high likelihood that a remote intruder will crash cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 router when trying a binary exploitation attack. Furcá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rmore, it's possible to find cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 packets which caused cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attack in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 router's memory dump, since cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y will be in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 queue of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attacked thread. I look forward to trying this and submitting a dump to Recurity Labs CIR.

  • Greg Conti and Erik Dean presented Visual Forensic Analysis and Reverse Engineering of Binary Data. I thought one of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir slides (presented at left) was, unintentionally, a powerful partial summary of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 skill sets needed for certain levels of analysis of binary data in our field. For example, I am very comfortable in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 lowest portion where binary data represents network packets. I am trying to learn more about binary data as memory. I have worked with binary data as files, but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re's a lot going on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re (as I learned from a talk on Office forensics, noted below).

    Greg and Erik demonstrated two new tools cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y wrote for visual analysis of binary data. Most surprisingly, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y showed actual images rendered from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 memory of a Firefox crash dump file. An example appears at right. They displayed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 image by plotting every three bytes of memory as a RGB entry. They also noted that one day we could expect to see security analysts sitting with recognition posters of common patterns (e.g., diffuse means encryption or compression). That reminded me of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 surface-to-air missile (SAM) emplacement images I studied in intel school.

  • I joined Detecting & Preventing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Xen Hypervisor Subversions by Joanna Rutkowska and Rafal Wojtczuk. Joanna had to remove slides pending publication of a patch from Intel. (See my last post for notes on why cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 chipset is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 new battleground.) She hinted that Intel is considering working with anti-virus vendors to run scans inside cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 chipset, which would be a bad idea. Joanna also talked about her company's product, HyperGuard, which can sit inside cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Phoenix BIOS to perform integrity checking.

    Joanna's research started with Blue Pill as a means to put an OS inside a thin hypervisor (cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Blue Pill), but her newest work involves attacking an existing hypervisor (like Xen). This is why her post 0wning Xen in Vegas! says Rafal will discuss how to modify cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Xen’s hypervisor memory and consequently how to use this ability to plant hypervisor rootkits inside Xen (everything on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 fly, without rebooting Xen). Hypervisor rootkits are very different creatures from virtualization based rootkits (e.g. Bluepill). This will be cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first public demonstration of practical VMM 0wning.

    This presentation reminded me that I should have a permanent Xen instance running in my lab to improve familiarity with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 technology.

  • Following Joanna's talk I enjoyed Get Rich or Die Trying - Making Money on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Web, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Black Hat Way by Jeremiah Grossman and Arian Evans. They showed many real and amusing cases of monetizing attacks.

  • Bruce Dang discussed Methods for Understanding Targeted Attacks with Office Documents. Everything for Bruce is "pretty easy," like writing custom Office document parsers to examine Office-based malware. Bruce ended his talk early so I moved next door to hear cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Sensepost guys. I should have attended earlier -- it sounded like cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y created some extreme tunnels for getting data in and out of enterprise networks. They concluded by discussing how to load and execute binaries into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 address space of SQL Server 2005 via SQL injection, because SQL Server 2005 has an embedded .NET CLR. Wow.


Overall, I think my conclusions from my last Black Hat Briefings still stand. However, I was surprised to see so much more action on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 chipset level. I did not hear anything about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r extreme of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 digital spectrum, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 cloud. Perhaps that will be a topic next year, if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 lawyers can be avoided?

11 comments:

Visible Risk said...

Richard,

I really appreciate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se recap blog posts - as someone who missed BH/DC this year cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se posts and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 twitter traffic from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 con's really was a great way to stay in touch (so to speak).

For a lot of reasons I wanted to see cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 NCSD presentation from Mr. Beckström, I'm thrilled to hear that it was insightful.

These con's always remind just how much we as security professionals have progressed (offensively and defensively speaking). There are so many areas of specialization it is not unlike cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 medical field. everyone has a solid base but experts in so many vast areas (web apps, db, mainframe, network, etc..) it's impossible to keep up with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m all. Maybe we need to formalize cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 specializations a bit better?

anway - thanks for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 insight!

Anonymous said...

Was is just me or did anyone else think cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 congestion on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 4th floor was ridiculous. They need to move cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 vendors out of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 hallway and add cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 breakfast and break stuff to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 3rd floor. Ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n it being overcrowded I very much enjoyed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 talks and training.

Richard Bejtlich said...

oleDB,

Totally agree. At least move cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 vendors out of that tight area down towards cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Palace rooms.

Unknown said...

Richard -- thanks for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se updates. I also couldn't attend bh this year, and this is good info to have.

Anonymous said...

yeah... that 4th floor was a beast. Next year cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 vendors will have cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir own room. This is to please both cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attendees and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Fire Marshall.

Anonymous said...

I concur about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 4th floor sardine can conditions. I did not need to get that close and personal with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 98% Male crowd.

Anonymous said...

Speaking from a vendor point of view, we quite liked cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 setup on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 4th floor. The real problem was obviously cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 crowd trying to get Raffy to sign his book :p

Anonymous said...
This comment has been removed by a blog administrator.
Richard Bejtlich said...

SensePost talk

Anonymous said...
This comment has been removed by a blog administrator.
Anonymous said...
This comment has been removed by a blog administrator.