Tuesday, October 28, 2008

Vulnerabilities and Exploits Are Mindless

Jofny's comment on my post Unify Against Threats asked cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following:

So, Richard, I'm curious which security people - who are decision makers at a business level - are focusing on vulnerabilities and not threats?

If cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re are people like that, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y really need to be fired.


This comment was on my mind when I read cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 story FBI: US Business and Government are Targets of Cyber Theft in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 latest SANS NewsBites:

Assistant Director in charge of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 US FBI's Cyber Division Shawn Henry said that US government and businesses face a "significant threat" of cyber attacks from a number of countries around cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 world. Henry did not name cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 countries, but suggested that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re are about two dozen that have developed cyber attack capabilities with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 intent of using those capabilities against cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 US. The countries are reportedly interested in stealing data from targets in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 US. Henry said businesses and government agencies should focus on shoring up cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir systems' security instead of on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 origins of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attacks.

The editors' comments are cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following:

(Pescatore): It really doesn't matter where cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attacks come from, businesses have been getting hit by sophisticated, financially motivated, targeted attacks for several years now.
(Ullrich): A very wise remark. It doesn't matter who attacks you. The methods used to attack you and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 methods used to defend yourself are cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same. We spend too much time worrying about geographic origins. In cyberspace, nation states are a legacy concept.


This is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 mindset that worries me, even though cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 FBI AD agrees. It ignores this fact: Vulnerabilities and exploits are mindless. On cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r hand, intelligent adversaries are not. Therefore, if you are doing more than defending yourself against opportunistic, puerile attackers, it pays to know your enemy by learning about security threats (as shown on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 book cover to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 right).

Once your security program has matured to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 point where not any old caveman can compromise you, it pays to put yourself in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 adversary's place. Who might want to exploit your organization's data? What data would be targeted? How could you defend it? How could you detect failure? When complaining to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 government and/or law enforcement, to whom can you attribute cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attack? Knowing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 enemy helps prioritize what to defend and how to do it.

About cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 AD telling businesses not to worry about threat sources: he's just quoting official FBI policy. I wrote about this in More Threat Reduction, Not Just Vulnerability Reduction:

Recently I attended a briefing were a computer crimes agent from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 FBI made cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following point:

Your job is vulnerability reduction. Our job is threat reduction.

In ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r words, it is beyond cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 legal or practical capability of most computer crime victims to investigate, prosecute, and incarcerate threats.


Let's briefly address cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "In cyberspace, nation states are a legacy concept." comment. We've been hearing this argument for fifteen years or more. Last time I checked, nation states were alive and well and shaping cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 way cyberspace works. Just this morning I read cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following Economist article Information technology: Clouds and judgment; Computing is about to face a trade-off between sovereignty and efficiency:

The danger is less that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 cloud will be a Wild West than that it will be peopled by too many sheriffs scrapping over cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 rules. Some enforcers are already stirring up trouble, threatening employees of online companies in one jurisdiction to get cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir employers based in anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r to fork over incriminating data for instance. Several governments have passed new laws forcing online firms to retain more data. At some point, cloud providers may find cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365mselves compelled to build data centres in every country where cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y do business.

Finally, independent actors do not operate intelligence services who target our enterprises; nation states do. I've written about Counterintelligence and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Cyber Threat before. Part of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 problem may stem from a distinction Ira Winkler made at RSA 2006, which I noted in my post RSA Conference 2006 Wrap-Up, Part 3:

I highly recommend that those of you who give me grief about "threats" and "vulnerabilities" listen to what Mr. Winkler has to say. First, he distinguishes between those who perform security functions and those who perform counter-intelligence. The two are not cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same. Security focuses on vulnerabilities, while counter-intelligence focus on threats.

Maybe I spend more time on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 counterintelligence problem than ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs, but I can't see how vulnerability-centric security is a good idea -- except for those who sell "countermeasures."

Unify Against Threats

At my keynote at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 2008 SANS Forensics and IR Summit I emphasized cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 need for a change in thinking among security practitioners. To often security and IT groups have trouble relating to ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r stakeholders in an organization because we focus on vulnerabilities. Vulnerabilities are inherently technical, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y mean nothing to ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs who might also care about security risks, like human resources, physical security, audit staff, legal staff, management, business intelligence, and ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs. I used cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following slide to make my point:



My point is that security people should stop framing our problems in terms of vulnerabilities or exploits when speaking with anyone outside our sphere of influence. Racá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r, we should talk in terms of threats. This focuses on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 who and not cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 what or how. This requires a different mindset and a different data set.

The business should create a strategy for dealing with threats, not with vulnerabilities or exploits. Notice I said "business" and not "security team." Creation of a business-wide strategy should be done as a collaborative effort involving all stakeholders. By keeping cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 focus on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 threats, each stakeholder can develop detective controls and countermeasures as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y see fit -- but with a common adversary in mind. HR can focus on better background checks; physical security on guns and guards; audit staff on compliance; legal staff on policies; BI on suspicious competitor activities, and so on. You know you are making progress when management asks "how are we dealing with state-sponsored competitors" instead of "how are we dealing with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 latest Microsoft vulnerability?"

This doesn't mean you should ignore vulnerabilities. Racá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 common strategy across cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 organization should focus on threats. When it comes to countermeasures in each team, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n you can deal with vulnerabilities and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 effect of exploits.

Note that focusing on threats requires real all-source security intelligence. You don't necessarily need to contract with a company like iDefense, one of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 few that do cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 sort of research I suggest you need. This isn't a commercial for iDefense and I don't contract with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m, but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir topical research reporting is an example of helpful (commercial) information. I would not be surprised, however, to find you already have a lot of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 background you need already held by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 stakeholders in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 organization. Unifying against cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 threats is one way to bring cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se groups togecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r.

Monday, October 27, 2008

Trying Secunia Vulnerability Scanning

One feature which most Unix systems possess, and that most Windows systems lack, is a native means to manage non-base applications. If I install packages through apt-get or a similar mechanism on Ubuntu, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 package manager notifies me when an update is needed and it's easy for me to install cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m. Windows does not natively offer this function, so third party solutions must be installed.

I had heard about Secunia's vulnerability scanning offerings, but I had never tried cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m. I decided to try cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 online version (free for anyone) and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 personal version on a home laptop I hadn't booted recently.

You can see cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 results for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 online scanner below. All that was needed was a JRE install to get cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se results.



The online scanner noticed I was running an older version of Firefox, and I needed to apply recent Microsoft patches. The fact that it checked Adobe Flash and Acrobat Reader was important, since those are popular exploit vectors.

Next I tried cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 personal version and got cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 results below.



This scan added more results, but only after I unchecked "Show only 'Easy-to-Patch' programs" on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Settings tab. I like that Secunia told me that my Intel wireless NIC driver needed patching. If I look for details I see this:



Clicking on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Download Solution icon took me to an Intel Web page, but at that point I needed to know what NIC driver I needed. That's why Secunia says "If you have cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 technical knowledge to handle more difficult programs, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n we strongly recommend that you disable this setting" with respect to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "Show only 'Easy-to-Patch' programs" option.

I noticed Secunia doesn't check to see if WinSCP is patched, so I used cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 easy "Program missing? Suggest it here!" link to offer that idea to Secunia.

What do you use to keep cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 various applications installed on Windows up-to-date?

Sunday, October 26, 2008

Review of OSSEC HIDS Guide Posted

Amazon.com just posted my five star review of OSSEC HIDS Guide. From cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 review:

I'm surprised no one has offered serious commentary on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 only book dedicated to OSSEC, an incredible open source host-based intrusion detection system. I first tried OSSEC in early 2007 and wrote in my blog: "OSSEC is really amazing in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 sense that you can install it and immediately it starts parsing system logs for interesting activity." Stephen Northcutt of SANS quotes this post in his foreword to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 book on p xxv. Once you start using OSSEC, especially with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 WebUI, you'll become a log addict. OSSEC HIDS Guide (OHG) is your ticket to taking OSSEC to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 next level, even though a basic installation will make you stronger and smarter.

I'm not kidding about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 log addict part. I find myself obsessively hitting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 refresh button on my browser when viewing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 OSSEC WebUI, even though it refreshes itself. Sad.

Comment on New Amazon Reviewer Ranking System

I just happened to notice a change to my Amazon.com reviews page. If you look at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 image on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 left, you'll see two numbers: "New Reviewer Rank: 481" and "Classic Reviewer Rank: 434". I found cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following explanation:

You may have noticed that we've recently changed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 way top reviewers are ranked. As we've grown our selection at Amazon over cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 years, more and more customers have come to share cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir experiences with a wide variety of products. We want our top reviewer rankings to reflect cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 best of our growing body of customer reviewers, so we've changed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 way our rankings work. Here's what's different:

  • Review helpfulness plays a larger part in determining rank. Writing thousands of reviews that customers don't find helpful won't move a reviewer up in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 standings.

  • The more recently a review is written, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 greater its impact on rank. This way, as new customers share cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir experiences with Amazon's ever-widening selection of products, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y'll have a chance to be recognized as top reviewers.

  • We've changed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 way we measure review quality to ensure that every customer's vote counts. Stuffing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ballot box won't affect rank. In fact, such votes won't even be counted.


We're proud of all our passionate customer reviewers and grateful for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir investment of time and energy helping ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r Amazon customers.


On my overall profile page I found a second statistic, shown at left, which says that 90% of my votes are considered "helpful." That's cool! I appreciate any helpful votes I get. It's cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 main feedback for reviews I write so I am glad anytime I see someone logged into Amazon.com who votes for my reviews.

Apparently you shouldn't vote too often for me, because under cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 new system you're considered a fan voter and ignored!

Fan voters are people who consistently appreciate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 author's reviews. These votes are not reflected in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 total vote count to provide our customers with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 most unbiased and accurate information possible.

Right now I have 131 "fan voters," so that's anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r reason my ranking dropped from 434 to 481.

The proof for me, however, regarding cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 new ranking system would be cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 effect on someone I know writes a dozen or more "reviews" per day, most of which I consider worthless. 4437 "reviews" (i.e., books read) since October 2002? That's two books per day -- no way! As you can see on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 right, this person has fallen from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 number 11 system using cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Classic Ranking, down to 521. Ha ha.

Looking at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 profile statistic, you can see a 75% rating. That's higher than I expected, but it definitely had an effect on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 overall ranking. I think what really hurt this guy is his "fan voter" count: 892. I have a feeling Amazon.com believes cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se fans are fake accounts under cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 control of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 reviewer, so Amazon.com has decided to just ignore cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m. For someone like Mr. 521 with "892 fans," I could see how that would affect his rank.

There's a hot debate in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Amazon.com forums about this topic now. Some people are really bent out of shape over cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se changes. Take it easy -- it's just Amazon.com.

Saturday, October 25, 2008

Security Event Correlation: Looking Back, Part 3

I'm back with anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r look at security event correlation. This time it's a June 2008 review of SIEM technology by Greg Shipley titled SIEM tools come up short. The majority of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 article talk about non-correlation issues, but I found this section relevant to my ongoing analysis:

"Correlation" has long been cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 buzzword used around event reduction, and all of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 products we tested contained a correlation engine of some sort. The engines vary in complexity, but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y all allow for basic comparisons: if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 engine sees A and also sees B or C, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n it will go do X. Ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rwise, file cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 event away in storage and move onto cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 next. We'd love to see someone attack cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 event reduction challenge with something creative like Bayesian filtering, but for now correlation-based event reduction appears to be cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 de facto standard...

Ok, that sounds like "correlation" to me. Let's see an example.

For example, one of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 use cases we tackled was cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 monitoring of login attempts from foreign countries. We wanted to keep a particularly close watch on successful logins from countries in which we don't normally have employees in. To do this, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re are a few things that had to be in place: We had to have aucá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ntication logs from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 majority of systems that would receive external logins (IPsec and SSL VPN concentrators, Web sites, any externally exposed *NIX systems); we had to have cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ability to extract usernames and IP addresses from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se logs; and, we had to have cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ability to map an IP address to a country code. Not rocket science to do without a SIEM, but not entirely trivial, eicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r.

That doesn't quite seem to match. This use case says "if any system to which a user could log in registers a login from a foreign country, generate an alert." This is simply putting login records from a variety of sources in one place so that a generic policy ("watch for foreign logins") can be applied, after which an alert is generated. Do you really need a SIEM for that?

Here's a thought experiment for those who think "prevention" is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 answer: why aren't foreign logins automatically blocked? "If you can detect it, why can't you prevent it?" The key word in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 example is "usually," meaning "we don't know our enterprise or business well enough to define normality, so we can't identify exceptions which indicate incidents. We can't block cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 activity, but we'd like to know when it happens, i.e., drop cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 P, put back cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 D between I and S.

Back to correlation -- I think a real correlation case would be "if you see a successful login, followed by access to a sensitive file, followed by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 exfiltration of that file, fire an alert." Hold on, this is where it gets interesting.

There are three contact points here, assuming cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 foreign login is by an unauthorized party:

  1. Access via stolen credentials: If it's not cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 user, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 credentials were stolen. However, you didn't stop it, because you don't know cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 credentials are stolen.

  2. Access to a sensitive file: How did you know it was sensitive? Because cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 intruder is impersonating a user whose status is assumed to permit access, you don't stop it.

  3. Exfiltration of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file: If this account (under legitimate or illegitimate control) shouldn't be removing this file, why is that allowed to happen? The answer is that you don't know beforehand that it's sensitive, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re is no real control at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file level for preventing its removal.


If you knew enough to identify that this activity is bad, at each contact point you should have stopped it. If you're not stopping it, why? It's probably because you don't know any of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se contact points are bad. You don't know cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 credentials are stolen (yet). The impersonated user probably has legitimate access to a file, so you're not going to block that. Legitimate users also probably can move files via authorized channels (such as would be cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 case via this "login"), so you don't block that.

In ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r words, if you're not smart enough to handle this, why would correlation via a SIEM be any smarter?

Cue my Hawke vs cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Machine post from almost two years ago:

Archangel: They haven't built a machine yet that could replace a good pilot, Hawke.

Hawke: Let's hope so.


Back to Greg's case. It turns out that generic policy application against disparate devices appears to be cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "win" here:

Q1 Labs' QRadar had all of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 functionality to do this, and we were able to build a multi-staged rule that essentially said, "If you see a successful login event from any devices whose IP address does not originate from one of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following countries, generate an alert". Because of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 normalization and categorization that occurs as events flow into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 SIEM, it's possible to specify "successful login event" without getting into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 nuances of Linux, Windows, IIS, VPN concentrators. This is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 convenience that SIEM can offer. (emphasis added)

Is that worth cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 money?

Finally, I'm a little more suspicious about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following:

Most modern SIEM products also ship with at least a minimum set of bundled correlated rules, too. For example, when we brought a new Snort IDS box online, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re was a deluge of alerts, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 majority of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m considered false-positives. Because of useful reduction logic, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re was only one alert out of 6,000 that actually appeared on our console across all of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 products tested. That alert was based on a predefined correlation rule that looked for a combination of "attack" activity and a successful set of logins within a set period of time.

It's more likely cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 SIEMs considered cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "deluge" events to be of lower priority, so cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y never appeared on screen. Think of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 myriad of ICMP, UPnP, and ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r alerts generated by any stock IDS ruleset being "tuned down" as "informational" so cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y don't make cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 front of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 dashboard. If I knew this SIEM test correlated vulnerability data with IDS attack indications, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 useful reduction logic would make more sense. I can't be sure but you can guess which way I'm leaning.

Security Event Correlation: Looking Back, Part 2

In my last post Security Event Correlation: Looking Back, Part 1 I discussed a story from November 2000 about security event correlation. I'd like to now look at Intrusion Detection FAQ: What is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Role of Security Event Correlation in Intrusion Detection? by Steven Drew, hosted by SANS. A look at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Internet Archive shows this article present as of August 2003, so we'll use that to date it.

[A]s pointed out by Steven Northcutt of SANS, deploying and analyzing a single device in an effort to maintain situational awareness with respect to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 state of security within an organization is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "computerized version of tunnel vision" . Security events must be analyzed from as many sources as possible in order to assess threat and formulate appropriate response... This paper will demonstrate to intrusion analysts why correlative analysis must occur in order to understand cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 complete scope of a security incident.

Ok, let's go. I'll summarize cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 article racá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r than post clips here because I can make cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 point in a few sentences. The article shows how an adversary scans for CGI scripts phf, formmail, and survey.cgi, and how four data sources -- a router, a firewall, an IDS, and a Web server -- see cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 reconnaissance events. First cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 author shows cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 view of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "incident" from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 perspective of each of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 four data sources. Next he describes how looking at all of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data togecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r results in a better overall understanding of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 incident. He provides this "Ven" (sic) diagram and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following text:



The diagram shows that removing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 analysis of even just one of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 device's log data, our understanding of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 incident can drop dramatically. For example, if we remove cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 analysis of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 web server error_log, we would not have known that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 script access attempt failed. If we had not analyzed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 router, we would not have known cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 probing host scanned cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 entire class C of addresses for web servers. If we had not analyzed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 www access_log, we would not have known that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 probing host was likely using Lynx as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 web browser to check for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 scripts. If we had not analyzed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 network IDS logs, we may not have known that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 activity was related to well known exploit attempts. (emphasis added)

Do you see cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same problems with this that I do? This is my overall reaction: aside from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 access failed ("404") messages from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Web server error logs, who cares? Port scans: who cares. Using Lynx: who cares. Snort saw it: who cares. All that matters is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 activity failed. In fact, since it was only reconnaissance, who could care at all? People who spend time on this sort of activity should be doing something more productive.

It appears that getting to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 heart of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 matter, i.e., looking at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 target application logs (i.e., Apache) yields cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 information one really needs for this sort of incident. In ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r words, correlation isn't cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 governing principle; access to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 right sort of evidence dominates. If cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 analyst in this case didn't have access to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Web server logs, we'd be much more concerned (or maybe not).

Furcá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rmore, notice cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re is zero mention of whecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 target of this incident matters, or what compensating controls might exist, or a dozen ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r lacking contextual issues. As I mentioned in my last post, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se sorts of problems are cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 true obstacle to security event correlation.

Security Event Correlation: Looking Back, Part 1

I've been thinking about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 term "correlation" recently. I decided to take a look back to determine just what this term was supposed to mean when it first appeared on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 security scene.

I found Thinking about Security Monitoring and Event Correlation by Billy Smith of LURHQ, written in November 2000. He wrote:

Security device logging can be extensive and difficult to interpret... Along with lack of time and vendor independent tools, false positives are anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r reason why enterprise security monitoring in not easy...

The next advance in enterprise security monitoring will be to capture cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 knowledge and analytical capabilities of human security experts for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 development of an intelligent system that performs event correlation from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 logs and alerts of multiple security technologies.


Ok, so far so good.

For example Company A has a screening router outside of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir firewall that protects cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir corporate network and a security event monitoring system with reliable artificial intelligence. The monitoring system would start detecting logs where cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 access control lists or packet screens on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 screening router were denying communications from a certain IP address. Because cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 intelligent system is intelligent it begins detailed monitoring of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 firewall logs and logs of any publicly accessible servers for any communications destined for or originating from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 IP address. If cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 intelligent system determined that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re was malicious communication, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system would have cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 capability to modify cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 router access control lists or cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 firewall configuration to deny any communication destined for or originating from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 IP address. (emphasis added)

Ok, you lost me. The enterprise is already "denying communications," implying an administrator already knew to configure defensive measures. Because denied traffic is logged, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 correlation system looks for traffic somewhere else in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 enterprise, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n modifies access control lists it finds that currently allow said traffic? What is this, a mistake detection mechanism?

Let's look at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 next example.

What if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 intelligent system began detecting multiple failed logins to an NT server by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 president of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 company? It would be useful for this technology to determine where cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se failed logins were originating from and "look for" suspicious activity from this IP and/or user for some designated timeframe. If this system determined that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 failed logins originated from a user ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r than cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 president of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 company, it could begin to closely monitor for a period of time all actions by this user and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 company president (cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 user could be impersonating cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 president). This monitoring could include card readers, PBXs or voice mail access, security alarms from secured doors and gates and access to ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r servers. If cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 monitoring system were not correlating events cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 user impersonating cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 company president would probably bypass all access control and security monitoring devices because cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 user's actions appear as "normal" activity. (emphasis added)

This example is a little better, until cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 end. Failed logins happen every day, but an excessive number of failed logins can indicate an attack. I'm not exactly sure how cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 inclusion of ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r log sources is supposed to make a difference here, however. Furcá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rmore, if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "user's actions appear as 'normal' activity," just how is it supposed to be identified as suspicious?

The correlation argument fails to pieces in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 penultimate paragraph of this article:

Today cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re is one major obstacle to intelligent event correlation enterprise-wide. There is no standard for logging security related information or alerts. Every vendor uses cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir own logging or alerting methodology on security related events. In many cases cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re are inconsistent formats among products from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same vendor. These issues make enterprise security monitoring difficult and event correlation almost impossible with artificial intelligence. The industry will need to impose a standard method or protocol for logging and alerting security related events before an intelligent system can be developed and successfully implemented enterprise-wide. (emphasis added)

Wow, that is absolutely off-target. Lack of a logging standard is problematic, but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 absolute worst problems involve having no idea 1) what assets exist; 2) what assets matter; 3) what activity is normal; 4) who owns what assets; 5) what to do about an incident.

So far cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re's nothing compelling about "correlation" here. The article hints that one might learn more about failed login attempts if an analyst could check physical access logs to verify cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 in-office presence of a person, but couldn't cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 source IP for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 failed logins roughly indicate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same? Even if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 company president is in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 building, it doesn't mean he/she is at his/her computer.

In cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 next part of this article we'll move forward in time to look at more correlation history.

Thoughts on Security Engineering, 2nd Ed

One of my favorite all-time security books is Security Engineering by Prof Ross Anderson, which I read and reviewed in 2002. Earlier this year Wiley published Security Engineering, 2nd Ed. The first edition was a 612 page soft cover; cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 second edition is a massive 1040 page hard cover.

To learn more about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 new edition, I recommend visiting Ross' book page. This title should be included in every academic security program. Cambridge University uses each of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 three parts of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 tome in three separate computer security classes, as noted on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 book page. If you're in a formal security program and you've never heard of this book, ask your professors why it's not included. If your professors have never heard of this book, ask yourself why you are studying in that program.

Three years ago I posted What cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 CISSP Should Be, offering NIST SP 800-27, Rev. A, Engineering Principles for Information Technology Security (A Baseline for Achieving Security) as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 basis for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 CISSP. The CISSP should use Prof Anderson's book as an historical application and practical expansion of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 core ideas of 800-27.

Security Engineering would make a great text for a year-long, meet every-ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r-week program, where participants read one chapter each week. (The book is 27 chapters, but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 last is only a three page conclusion that could be wrapped into week 26.) Those taking cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time to read, discuss, and understand cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 material in this book would know far more about security than anyone wasting time in a series of CISSP CBK cram sessions.

If you read cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first edition, I still recommend buying and reading cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 second edition. As you'll see on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 book page, Wiley allowed Ross to post 6 chapters in .pdf format, along with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 table of contents, preface, acknowledgements, bibliography, and index. The entire first edition is also still online if you want to start cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re.

Security Book Publishing Woes

Practical UNIX and Internet Security, 2nd Ed (pub Apr 96) by Simson Garfinkel and Gene Spafford was cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first computer security book I ever read. I bought it in late 1997 after hearing about it in a "UNIX and Solaris Fundamentals" class I took while on temporary assignment to JAC Molesworth. Although I never formally listed it in my Amazon.com reviews, I did list it first in my Favorite 10 Books of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Last 10 years in 2007.

Since reading that book, I've read and reviewed over 270 technical books, mostly security but some networking and programming titles. In 2008 I've only read 15 so far, but I'm getting serious again with plans to read 16 more by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 end of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 year. (We'll see how well I do. I only read 25 last year, but my yearly low was 17 in 2000. My yearly high was 52 in 2006, when I flew all over cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 world for TaoSecurity LLC and read on each flight.)

Security books are on my mind because I had a conversation with a book publisher this week. She told me cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 industry has been in serious decline for a while, meaning people aren't buying books. Apparently this decrease in sales is industry-wide, punishing both good books (those recognized as being noteworthy) and bad (which you would expect to sell poorly anyway).

Some people blame cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 book Hacking Exposed (6th edition due in Feb 09) for creating unrealistic expectations in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 minds of book publishers. McGraw-Hill claims HE is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 best-selling security book of all time. I've heard numbers between 500,000 and 1,000,000 copies across cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 editions (not counting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r titles in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 HE line.) That blows away any ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r security book.

I've got about 50 titles on my reading list for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 remainder of 2008 and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first half of 2009. About 1/3 are programming books, 1/4 are related to vulnerability discovery, 1/5 could be called "hacking" books, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 remainder deal with general security topics. I only plan to read what I would call "good books," so from my perspective cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re's plenty of good new-ish books around. However, thus far this year I've only read two five-star books, Applied Security Visualization and Virtual Honeypots.

What do you think of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 security book publishing space? Are cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re too many books? Are cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re too few good books? Are books too expensive? What books would you like to see published?

Review of Applied Security Visualization Posted

Amazon.com just posted my five star review of Applied Security Visualization by Raffy Marty. From cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 review:

Last year I rated Greg Conti's Security Data Visualization as a five star book. I said that five star books 1) change cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 way I look at a problem, or properly introduce me to thinking about a problem for which I have little or no frame of reference; 2) have few or no technical errors; 3) make cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 material actionable; 4) include current research and reference outside sources; and 5) are enjoyable reads. Raffy Marty's Applied Security Visualization (ASV) scores well using cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se measures, and I recommend reading it.

Thursday, October 23, 2008

Windows Syslog Agents Plus Splunk

I've been mulling strategies for putting Windows Event Logs into Splunk. Several options exist.

  1. Deploy Splunk in forwarding mode on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Windows system.

  2. Deploy a Syslog agent on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Windows system.

  3. Deploy OSSEC on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Windows system and sending OSSEC output to Splunk.

  4. Deploy Windows Log Parser to send events via Syslog on a periodic basis.

  5. Retrieve Windows Event Logs periodically using WMIC.

  6. Retrieve Windows Event Logs using anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r application, like LogLogic Lasso or DAD.


I'd done number 2 before using NTSyslog, so I decided to see what might be newer as far as deploying Syslog agents on Windows goes.

I installed DataGram SyslogAgent, a free Syslog agent onto a Windows XP VM.



It was very easy to set up. I pointed it toward a free Splunk instance running on my laptop and got results like cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following.



I noticed some odd characters inserted in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 log messages, but nothing too extraordinary.

Next I tried cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r modern free Syslog agent for Windows, SNARE. Development seems very active. I configured it to point to my Splunk server.



Next I checked cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Splunk server for results.



As you can see cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 messages appear to be formatted a little better (i.e., no weird characters).

I was able to find logon messages recorded at different times by different Syslog agents. In cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following screen capture, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 top message is from SNARE and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 bottom is from SyslogAgent.



I think if I decide to use a Syslog agent on Windows, I'll spend more time validating SNARE.

CWSandbox Offers Pcaps

Thanks to Thorsten Holz for pointing out that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 latest online CWSandbox provides network traffic in Libpcap format for recently submitted malware samples.

I decided to give this feature a try, so I searched cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Spam folder for one of my Gmail accounts. I found a suitable "Watch yourserlf in this video man)" email from 10 hours ago and followed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 link. I was quickly reminded by Firefox 3 that visiting this site was a Bad Idea.



It took me a little while to navigate past my NoScript and Firefox 3 warnings to get to a point where I could actually hurt myself.



After downloading cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "viewer.exe" file, I uploaded it to CWSandbox. That site told me:

The sample you have submitted has already been analysed. Please see cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 sample detail page for furcá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r information.

If you visit that page you'll find a PCAP link.

I took a quick look at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file with Argus and filtered out port 1900 traffic.

$ argus -r analysis_612050.pcap -w analysis_612050.pcap.arg

$ ra -n -r analysis_612050.pcap.arg - not port 1900
23:23:57.745266 e igmp 10.1.7.2 -> 0.0.0.1 2 108 INT
23:23:59.079832 e tcp 74.213.167.192.80 10.1.7.2.1361 2 114 RST
23:23:59.735571 e tcp 10.1.7.2.1037 -> 79.135.167.18.80 78 67219 RST
23:23:59.757777 e tcp 10.1.7.2.1038 -> 79.135.167.18.80 116 101525 RST
23:24:00.103663 e tcp 74.213.167.192.80 10.1.7.2.56963 2 319 RST
23:24:08.147828 e tcp 74.213.167.192.80 10.1.7.2.26155 2 319 RST
23:24:13.463815 e tcp 74.213.167.192.80 10.1.7.2.54775 4 427 RST
23:24:16.556555 e tcp 66.232.105.102.80 10.1.7.2.35029 3 168 RST
23:24:18.791427 e tcp 74.213.167.192.80 10.1.7.2.33765 5 481 RST
23:24:26.456790 e udp 10.1.7.2.61548 <-> 10.1.7.1.53 2 250 CON
23:24:26.458842 e tcp 10.1.7.2.1042 -> 91.203.93.49.80 26 17295 FIN
23:24:26.600712 e tcp 10.1.7.2.1044 -> 91.203.93.49.80 10 1544 FIN
23:24:26.743598 e tcp 10.1.7.2.1045 -> 91.203.93.49.80 10 2099 FIN
23:24:26.854732 e tcp 10.1.7.2.1046 -> 91.203.93.49.80 10 1284 FIN
23:24:26.965697 e tcp 10.1.7.2.1047 -> 91.203.93.49.80 10 1545 FIN
23:24:27.070573 e tcp 10.1.7.2.1048 -> 91.203.93.49.80 14 6828 FIN
23:24:27.180786 e tcp 10.1.7.2.1049 -> 91.203.93.49.80 26 18334 FIN
23:24:27.310872 e tcp 10.1.7.2.1050 -> 91.203.93.49.80 12 4822 FIN
23:24:27.422057 e tcp 10.1.7.2.1051 -> 91.203.93.49.80 14 7415 FIN
23:24:27.527325 e tcp 10.1.7.2.1052 -> 91.203.93.49.80 11 3078 FIN

Here's a list of HTTP requests as filtered by Tshark.

$ tshark -n -r analysis_612050.pcap -R 'http.request == true and tcp.dstport != 1900'
11 2.097490 10.1.7.2 -> 79.135.167.18 HTTP GET /scan.exe HTTP/1.1
12 2.097563 10.1.7.2 -> 79.135.167.18 HTTP GET /cgi-bin/index.cgi?test7 HTTP/1.1
29 2.212609 10.1.7.2 -> 79.135.167.18 HTTP GET /g.exe\330 HTTP/1.1
36 2.266404 10.1.7.2 -> 79.135.167.18 HTTP GET /l.exe HTTP/1.1
119 2.475539 10.1.7.2 -> 79.135.167.18 HTTP GET /g.exe\330 HTTP/1.1
186 3.308669 10.1.7.2 -> 79.135.167.18 HTTP GET /g.exe\330 HTTP/1.1
188 3.390001 10.1.7.2 -> 79.135.167.18 HTTP GET /g.exe\330 HTTP/1.1
230 28.765013 10.1.7.2 -> 91.203.93.49 HTTP GET /bild15_biz.php?NN=a119 HTTP/1.1
256 28.906713 10.1.7.2 -> 91.203.93.49 HTTP GET /adult.txt HTTP/1.1
266 29.049951 10.1.7.2 -> 91.203.93.49 HTTP GET /pharma.txt HTTP/1.1
276 29.160854 10.1.7.2 -> 91.203.93.49 HTTP GET /finance.txt HTTP/1.1
286 29.271530 10.1.7.2 -> 91.203.93.49 HTTP GET /ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r.txt HTTP/1.1
296 29.376465 10.1.7.2 -> 91.203.93.49 HTTP GET /promo/aol.com-error.html HTTP/1.1
310 29.486416 10.1.7.2 -> 91.203.93.49 HTTP GET /promo/gmail.com-error.html HTTP/1.1
336 29.616847 10.1.7.2 -> 91.203.93.49 HTTP GET /promo/google.com-error.html HTTP/1.1
348 29.727475 10.1.7.2 -> 91.203.93.49 HTTP GET /promo/live.com-error.html HTTP/1.1
362 29.832947 10.1.7.2 -> 91.203.93.49 HTTP GET /promo/search.yahoo.com-error.html HTTP/1.1

Kudos to CWSandbox for adding this capability.

Wednesday, October 22, 2008

What To Do on Windows

Often when I teach classes where students attain shell access to a Windows target, students ask "now what?" I found cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 blog post Command-Line Kung Fu by SynJunkie to be a great overview of common tasks using tools available within cmd.exe. It's nothing new, but I thought cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 author did a good job outlining cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 options and showing what cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y look like in his lab.

Monday, October 20, 2008

Trying Firefox with CMU Perspectives

The October issue of Information Security Magazine brought CMU's Perspectives Firefox plug-in to my attention. By now most of us are annoyed when we visit a Web site like OpenRCE.org that presents a self-signed SSL certification. Assuming we trust cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 site, we manually add an exception and waste a few seconds of our lives. I probably wouldn't follow this process for my online bank, but for a site like OpenRCE.org it seems like overkill.

Leveraging history appears to be one answer to this problem. That's what Perspectives does. As stated in this CMU article:

Perspectives employs a set of friendly sites, or "notaries," that can aid in aucá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365nticating websites for financial services, online retailers and ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r transactions requiring secure communications.

By independently querying cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 desired target site, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 notaries can check whecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r each is receiving cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same aucá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ntication information, called a digital certificate, in response. If one or more notaries report aucá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ntication information that is different than that received by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 browser or ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r notaries, a user would have reason to suspect that an attacker has compromised cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 connection...

"When Firefox users click on a website that uses a self-signed certificate, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y get a security error message that leaves many people bewildered," [author[ Andersen said. Once Perspectives has been installed in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 browser, however, it can automatically override cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 security error page without disturbing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 user if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 site appears legitimate.

The system also can detect if one of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 certificate authorities may have been tricked into aucá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365nticating a bogus website and warn cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Firefox user that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 site is suspicious.


That sounds pretty cool. I installed Perspectives and revisited OpenRCE.org. This time I sailed right through to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 main page. In cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 screenshot you can see Perspectives bypassed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Firefox warning.



I can manually review cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 notary server results to see how cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y made cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir decision.



One note: I collected traffic during this event and noticed Perspectives use UDP:

08:20:43.900355 IP 192.168.2.103.60739 > 216.139.253.36.15217: UDP, length 32
08:20:43.900408 IP 192.168.2.103.60739 > 66.232.160.65.15217: UDP, length 32
08:20:43.900432 IP 192.168.2.103.60739 > 209.200.18.252.15217: UDP, length 32
08:20:43.900456 IP 192.168.2.103.60739 > 128.2.185.85.15217: UDP, length 32
08:20:44.015193 IP 209.200.18.252.15217 > 192.168.2.103.60739: UDP, length 233
08:20:44.033771 IP 216.139.253.36.15217 > 192.168.2.103.60739: UDP, length 233
08:20:44.034334 IP 128.2.185.85.15217 > 192.168.2.103.60739: UDP, length 233
08:20:44.044537 IP 66.232.160.65.15217 > 192.168.2.103.60739: UDP, length 233

Here's one exchange in detail:

08:20:43.900355 IP 192.168.2.103.60739 > 216.139.253.36.15217: UDP, length 32
0x0000: 4500 003c 0000 4000 4011 a1f1 c0a8 0267 E..<..@.@......g
0x0010: d88b fd24 ed43 3b71 0028 31c5 0101 0020 ...$.C;q.(1.....
0x0020: 0009 0016 0000 7777 772e 6f70 656e 7263 ......www.openrc
0x0030: 652e 6f72 673a 3434 332c 3200 e.org:443,2.
08:20:44.033771 IP 216.139.253.36.15217 > 192.168.2.103.60739: UDP, length 233
0x0000: 4520 0105 3d1c 0000 2e11 b5ec d88b fd24 E...=..........$
0x0010: c0a8 0267 3b71 ed43 00f1 3200 0103 00e9 ...g;q.C..2.....
0x0020: 0009 0016 00ac 7777 772e 6f70 656e 7263 ......www.openrc
0x0030: 652e 6f72 673a 3434 332c 3200 0001 0010 e.org:443,2.....
0x0040: 036d c8b9 0d28 09dc d349 cc79 7885 fa9a .m...(...I.yx...
0x0050: 6e48 bef4 d548 fc34 3b00 93f9 2c6a e349 nH...H.4;...,j.I
0x0060: d1c8 555b 4a66 7123 0057 79ee a19b 5250 ..U[Jfq#.Wy...RP
0x0070: 4d44 5ce2 811d 3092 93d4 382a be6d a596 MD\...0...8*.m..
0x0080: 53be c708 e235 b791 c358 921e 85f5 31ee S....5...X....1.
0x0090: c4e6 d938 bc52 9251 3675 0ba1 04cb 7c48 ...8.R.Q6u....|H
0x00a0: a667 c9af 3893 3f24 9c55 97f7 ffe7 5e48 .g..8.?$.U....^H
0x00b0: ce7e ea16 42df c532 4b5c 07f1 0ea1 6d0d .~..B..2K\....m.
0x00c0: ebf4 0a77 a318 5e3e 301e c6c5 16ff 7e9e ...w..^>0.....~.
0x00d0: 164e d4e8 89b3 952f 0ff1 b207 c973 a8e3 .N...../.....s..
0x00e0: f757 0c4a 1b8c a768 6601 b0bf 8f0a 7f84 .W.J...hf.......
0x00f0: 8218 6dc5 7a62 c4b4 cfae 4154 a51d 13cc ..m.zb....AT....
0x0100: 4520 7c1a 68 E.|.h

You can see cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 fingerprint 6D:C8:B9:0D:28:09:DC:D3:49:CC:79:78:85:FA:9A:6E if you look close enough. I'm not sure how I feel about UDP for this system. I'd have to look at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system more closely (maybe even cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 source code) to determine if UDP is "reliable" enough.

This approach is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 future of security. Training cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 user is never 100% effective, so why not try ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r methods? We already benefit from this approach if we use systems like Gmail. If enough ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r users mark en email cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y receive as spam, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 rest of us are far less likely to ever see it. We have to move beyond thinking about point defense and turn towards collaborative defense based on monitoring, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 wisdom of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 crowd, and reputation.

It's important to remember cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 problem this approach is trying to solve. The classic case is detecting and avoiding a man-in-cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365-middle attack against SSL while browsing at an Internet cafe. This approach will not help if someone creates a Web site advertising "avoid foreclosure!" if you visit cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir SSL-enabled site and enter your credit card details.

Thoughts on 2008 SANS Forensics and IR Summit

Last week I attended at spoke at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 2008 SANS WhatWorks in Incident Response and Forensic Solutions Summit organized by Rob Lee. The last SANS event I attended was cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 2006 SANS Log Management Summit. I found this IR and forensics event much more valuable, and I'll share a few key points from several of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 talks.

  • Steve Shirley from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 DoD Cyber Crime Center (DC3) said "Security dollars are not fun dollars." In ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r words, what CIO/CTO wants to spend money on security when he/she could buy iPhones?

  • Rob Lee noted than an Incident Response Team (IRT) needs cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 independence to take actions during an emergency. I've called this authority cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ability to declare a "Network State of Emergency" (NSOE). When certain preconditions are met, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 IRT can ask a business owner to declare a NSOE, just like a state governor can declare a state of emergency during a forest fire or ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r natural disaster. The IRT can cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n exercise predefined powers (like host containment, memory acquisition, live response, etc.), acting under cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 business owner's authority without coordinating in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 moment with IT or ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r parties. Rob also mentioned that SleuthKit 3 would arrive soon; it was released yesterday. Rob shared cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 idea that sharing IR information resembles cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 full disclosure debate.

  • Mike Poor from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 newly renamed InGuardians provided cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following advice when asked "what logs should we collect?" He responded: "Collect cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 logs to tell cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 story you want to tell." I thought this was a great response. Some enterprises don't want to tell a story. Some only know cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 middle, by virtue of being in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 midst of an intrusion. Those who collect data that validates a successful resolution of an intrusion can tell cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 end of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 story. Those with mature visibility and detection initiatives can tell cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 beginning of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 story as well. Furcá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rmore, during lunch Mike suggested I read Ed Skoudis' WMIC articles to understand Windows Management Instrumentation Commands.

  • Aaron Walters from Volatile Systems and Matt Shannon from F-Response announced that F-Response 2.0.3 can remotely acquire memory on target systems. Aaron mentioned that intruders have dynamically injected malicious code into processes, like Web servers, to offer one-time-use URLs that don't exist on disk. Aaron also noted cases where a system reports it is patched, but because of a driver conflict cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system is really running vulnerable software. Aaron provided a short demo of Voltage, a commercial enterprise product for investigations. Aaron used cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 MIT Simile Timeline application to outline time series data visually.

  • Harlan Carvey cited Nick Petroni while defending cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 collection of memory on targets: "collecting memory now lets us answer new questions later." He said he sometimes arrives at a client site where all victim systems have been reinstalled and no logs are kept, yet cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 customer wants to know what happened.

  • Ovie Carroll, now Director of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Cybercrime Lab at U.S. Department of Justice Computer Crime and Intellectual Property Section, said he has been briefing judges on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 need to collect volatile data during investigations. He said DoJ has to be ready to answer a defense attorney who says "by pulling cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 plug on my client's computer, you destroyed exculpatory evidence!" Ovie emphasized cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 importance of developing an investigative mindset in analysts, not simply concentrating on "data extraction." After his presentations we discussed how future investigations may have very little to do with individual PCs, since most of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 interesting evidence might reside on provider applications and networks.

  • Mike Cloppert ruffled a few feacá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs (justifiably so) by stating "cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 advanced persistent threat has rendered cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 classical IR model obsolete." In ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r words, persistent threats make it difficult to start over when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re is no end. Mike emphasized cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 need for "indicator management" and that "intelligence drives response." I agree; without having investigative leads, identifying intruders can be very difficult.

  • Eoghan Casey and Chris Daywalt warned of early containment and remediation during an incident. Do we want to disrupt an intruder or eject him?

I believe my keynote on day 2 went well. Rob stated he plans to hold a second conference in July near Washington, DC next year, so I look forward to attending it.

Hop-by-Hop Encryption: Needed?

Mike Fratto's article New Protocols Secure Layer 2 caught my attention:

[T]wo protocols -- IEEE 802.1AE-2006, Media Access Control Security, known as MACsec; and an update to 802.1X called 802.1X-REV -- will help secure Layer 2 traffic on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 wire... 802.1AE ensures cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 integrity and privacy of data between peers at Layer 2. The enhancements in 802.1X-REV automate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 aucá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ntication and key management requirements for 802.1AE.

802.1AE protects data in transit on a hop-by-hop basis... ensuring that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 frames are not altered between Layer 2 devices such as switches, routers, and hosts.


I think cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 diagram explains 802.1AE well, and Mike notes cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 problems with this approach:

The default encryption algorithm, AES-GCM, will require a hardware upgrade in network infrastructure and host network interface cards...

[A]ny products that transparently process network traffic, like load balancers, traffic shapers, and network analyzers, will be blind to 802.1AE-protected traffic.


That's a significant problem in my opinion. Already I hear from network administrators who complain about IPSec because it renders cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same tools and techniques useless.

The diagram shows that a network analyzer attached to a SPAN port avoids cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 blind spots introduced by 802.1AE. Anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r approach would be to introduce a 802.1AE-aware network tap. I do not believe anything like that exists yet, but I would like to see vendors offer this feature.

It appears 802.1AE might defeat cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 old school layer 2 hacking that continues to surface on modern networks. We'll see how it performs in real life.

The encryption mechanics deserve some attention:

802.1AE is only half cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 story, however, because it deals only with encryption and integrity -- both of which require keys. 802.1X-REV provides key management--creation, distribution, deletion, and renewal of encryption keys...

Many organizations' physical wiring has one physical LAN port per desk or cubicle, and 802.1X on a wired network was originally designed to be deployed on a one-host-per-port basis. However, it's now common for sites to have multiple hosts per port...

802.1X-REV addresses cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se issues by allowing multiple hosts to aucá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365nticate on a port.

But aucá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365nticating multiple hosts isn't enough. If a workstation is connected to a VoIP phone and was properly aucá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365nticated, someone could simply clone cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 workstation's MAC address and connect to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 network through that VoIP phone. The bogus workstation would have network access until 802.1X required a reaucá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ntication.

Pairing 802.1X-REV with a workstation NIC that supports 802.1AE enables multiple hosts to be aucá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365nticated simultaneously, and each host can have its own encrypted session. More important, bogus workstations can't simply plug in, because cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 impersonators won't have cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 encryption keys and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365refore can't communicate with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 switch.


That last point is significant. I have not personally configured port-based security in production, but I do wonder how people using port-based security handle situations like this. A related issue involves virtual machines sharing a NIC, connected to one physical switch port. Is it acceptable to manually configure cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 right number of MAC addresses for that port?

Friday, October 17, 2008

BGPMon.net Watches BGP Announcements for Free

Thanks to Jeremy Stretch's blog for pointing me to BGPMon.net, a free route monitoring service. This looks like a bare bones, free alternative to Renesys, my favorite commercial vendor in this space.

I created an account at BGPMon.net and decided to watch for route advertisements for Autonomous System (AS) 80, which corresponds to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 3.0.0.0/8 network my company operates. The idea is that if anyone decides to advertise more specific routes for portions of that net block, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data provided to BGPMon.net by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Réseaux IP Européens (RIPE) Routing Information Service (RIS) notices cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 advertisements, I will get an email.

I noticed that RIPE RIS provides dashboards for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 3.0.0.0/8 prefix or AS 80 with interesting data.

Thursday, October 16, 2008

DHS to Fund Open Source Next Generation IDS/IPS

I checked in with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 #emerging-threats IRC channel a few minutes ago and saw a link to www.openinfosecfoundation.org:

October 16, 2008 (LAFAYETTE, Ind.) – The Open Information Security Foundation (OISF, www.openinfosecfoundation.org) is proud to announce its formation, made possible by a grant from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 U.S. Department of Homeland Security (DHS). The OISF has been chartered and funded by DHS to build a next-generation intrusion detection and prevention engine. This project will consider every new and existing technology, concept and idea to build a completely open source licensed engine. Development will be funded by DHS, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 end product will be made available to any user or organization.

According to Matt Jonkman, this project will not be a fork of existing code. The idea is to take a new approach, not just replicate something like Snort.

While I am excited by this development, I don't think it's cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 project I would have wanted to fund right now. Open source users already have Snort, Bro, and ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r open source security products. I would racá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r see DHS support a free alternative to Snort signatures or even Tenable vulnerability checks. Anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r possibility would be funding tools to manage and integrate existing open source technologies. Still, seeing DHS award a grant in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 open source security space gives me hope that ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r activities could be forthcoming.

I'll report on this as events develop, but don't expect to see any code in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 wild for months. This is a tough problem and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 OISF is starting "from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ground up."

Friday, October 10, 2008

Traffic Talk 2 Posted

My second edition of Traffic Talk, titled Using Wireshark and Tshark display filters for troubleshooting, has been posted. From cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 article:

Welcome to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 second installment of Traffic Talk, a regular SearchNetworkingChannel.com series for network solution providers and consultants who troubleshoot business networks. In cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se articles we examine a variety of open source network analysis tools. In this edition we explore Wireshark and Tshark display filters. Display filters are one of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 most powerful, and sometimes misunderstood, features of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 amazing Wireshark open source protocol analyzer. After reading this tip you'll understand how to use display filters for security and network troubleshooting.

Thursday, October 09, 2008

Whicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r Air Force Cyber?

I was disappointed to read in Air Force senior leaders take up key decisions that Air Force Cyber Command is effectively dead:

Leadership also decided to establish a Numbered Air Force for cyber operations within Air Force Space Command and discussed how cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Air Force will continue to develop capabilities in this new domain and train personnel to execute this new mission.

Apparently that unit will be 24th Air Force. Since cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Numbered Air Force is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 unit by which cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 service presents combat forces to Unified Combatant Commanders in wartime, it makes some sense for cyber to at least be organized in that manner.

I guess cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Air Force believes it needs to get its house in order before trying to establish a new command. The Air Force is also suffering cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 adverse effects of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 way it advertised itself, essentially stealing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 spotlight by not appearing "Joint" enough.

I am most concerned with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 effect of not having Cyber Command upon cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 proposed cyber career field. From what my sources had told me, it was turning into a rebranded communications AFSC. The biggest problem cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Air Force faces in cyber is not retaining skilled personnel. It suffers because cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re is no career path for cyber warriors. If that problem is not fixed, none of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 reorganization efforts will matter anyway.

Saturday, October 04, 2008

FCW on Comprehensive National Cybersecurity Initiative

Brian Robinson's FCW article Unlocking cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 national cybersecurity initiative caught my attention. I found cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se excerpts interesting, although my late 2007 article Feds Plan to Reduce, Then Monitor discussed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same issues.

The cybersecurity initiative launched by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Bush administration earlier this year remains largely cloaked in secrecy, but it’s already clear that it could have a major and far-reaching effect on government IT operations in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 future.

Everything from mandated security measures and standard desktop configurations across government to a recast Federal Information Security Management Act (FISMA) could influence cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 way agencies buy and manage cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir IT.

Overseeing all of this will be a central office run by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Homeland Security Department, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first time that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 government’s efforts in cybersecurity will run through a single office tasked with coordinating cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 work of separate federal cybersecurity organizations...

[First was cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365] creation of a National Cybersecurity Center (NCSC), which will serve as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 focus for improving federal government network defenses. Rod Beckstrom [mentioned here], a well-known technology entrepreneur, was appointed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 center’s director in March...

[Second,] Trusted Internet Connections (TIC)... this program is designed to reduce cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 number of external connections that agencies have to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Internet to just a few centralized gateways that can be better monitored for security. In January, more than 4,300 agency Internet connections existed, and those had been cut to some 2,700 by June. The target is less than 100 connections.

[Third,] Einstein is a system that automatically monitors data traffic on government networks for potential threats. As a program under cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 CNCI, Einstein will be upgraded ["Einstein II"] to include intrusion-detection technology. [I thought that was dead!]

Also, participation in Einstein for those agencies managing Internet access points will no longer be voluntary, as it was before. If Einstein finds a connection is not being properly managed, DHS will be able to shut it down.

[Finally, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365] Federal Desktop Core Configuration (FDCC)... initiated by OMB last year, mandates that agencies adopt a common [desktop]...

As part of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 CNCI, NIST proposed in February to extend cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 FDCC to ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r operating systems, applications and network devices beyond cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 existing support for Windows XP and Vista.
(emphasis and comments added)

I loved this part:

The expansion of Einstein, for example, is a major change because it mandates cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 use of network security monitoring tools that are controlled by an entity outside cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 agencies.

“Before, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y would do this [monitoring] cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365mselves and not necessarily be forthcoming if anything happened,” he said. “Now it’s out of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir hands.”


Now, my sources tell me that Einstein is basically garbage, and that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data from it (purely flows) is fairly useless unless it is used to identify traffic to or from know bad IP addresses. That's still worthwhile in my opinion, but it demonstrates why real NSM needs all four forms of data (alert, statistical, session, and full content) to have a chance at winning. What is more significant than simply deploying Einstein capabilities would be getting "hardware footholds" at each gateway.

If each TIC gateway is only forwarding flow data via router NetFlow exports, that's nice but insufficient. If each TIC gateway is tapped and connected to a stand-alone, preferably open source platform, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 game changes. Once a centralized monitoring agency can deploy its own tools and utilize its own tactics and techniques on a platform it controls, you will see real improvements in network-based enterprise visibility and situational awareness. That's what you get when you can implement what I've called self-reliant NSM, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 final story excerpt alluded to that idea as well.

Of course, it is important to implement cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se programs as openly as possible, with plenty of oversight and defined goals and governance. That is my biggest problem with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 secrecy around CNCI. Overclassification breeds paranoia and ultimately reduces security by underminding cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 faith of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 citizenry in our government.

Insider Threat Prediction Materializing

As we approach cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 end of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 year, I'm looking to see if my Predictions for 2008 are materializing. My third prediction was:

Expect increased awareness of external threats and less emphasis on insider threats.

Accordingly, I was happy to see cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 story Targeted Attacks, DNS Issues Hit Home in New CSI Report contain cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following subtitle:

Insider abuse shows marked drop-off in 13th annual survey by Computer Security Institute

Ho ho, what does that mean?

While some threats are on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 increase, CSI also found that ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs are on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 downturn. Insider abuse dropped from 59 percent in 2007 to 44 percent in 2008, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 largest shift recorded in this year's survey.

"I think cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re was a lot of hype around this last year, and now it's coming back to reality," Richardson says. Insider abuse numbers hovered at around 42 percent to 48 percent in 2005 and 2006 and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n spiked last year, he noted.
(emphasis added)

I noted cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 annual CSI study supported my position on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 prevalence of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 insider threat in relation to ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r threats in my 2006 post 2006 CSI-FBI Study Confirms Insider Threat Post. Now, of course you can dispute cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 methodology of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 CSI study, but even if it's only directionally correct it still supports my prediction.

After all cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 stories about attacks from a certain large far eastern country (documented in my "v China posts), widespread reporting on named botnets (remember when malware was named, not botnets?), and very public stories on attacking core infrastructure (DNS, BGP, now TCP), it's nice to see CSI-FBI respondents at least realize cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y're far more likely to be victimized by one of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se forces largely outside cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir control.

I've discussed Incorrect Insider Threat Perceptions before, specifically that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 insider threat is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 one threat you can really control. Unless you're a police or military organization, you can't do anything about external threats. Anyone with firing power can do something about internal threats.

Attacks Upon Integrity

Earlier this year I wrote First They Came for Bandwidth, where I described cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 motivation behind different sorts of attacks in an historical context:

First cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y came for bandwidth... These are attacks on availability, executed via denial of service attacks starting in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 mid 1990's and monetized later via extortion. Next cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y came for secrets... These are attacks on confidentiality, executed via disclosure of sensitive data starting in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 late 1990's and monetized as personally identifiable information and accounts for sale in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 underground. Now cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y are coming to make a difference... These are attacks on integrity, executed by degrading information starting at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 beginning of this decade.

When I wrote those words, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 sorts of attacks on integrity I imagined involved changes to legitimate data. As is often cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 case with predictions, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 reality has taken a similar but not exact direction. Attacks upon integrity are currently appearing as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 introduction of outright falsehoods, eicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r by mistake, mischief, or malice. Examples include repostings about UAL bankruptcy; fake posts about Steve Jobs having a heart attack; a fake IAC press release; and so on.

The good news about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se incidents is that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y become easy to spot. As is often cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 case with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 adversary, low-end means to achieve a goal are used first, followed by increasing sophistication as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 targets become more vigilant and experienced. Think about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 evolution of phishing as a popular example, but ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs abound. Currently fake news is being injected into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Internet as a complete package. I would expect cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 next round to involve subtle modifications to legitimate content. Once some sort of trust technology is applied (digital signatures and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 like), cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 adversary will have to find ways to subvert those mechanisms.

The winners will be those who best protect cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir brand by ensuring cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 integrity of information from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m and about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m.

Wednesday, October 01, 2008

DoS Me Like It's 1996

This one's in my wheelhouse, but details are sketchy. So far cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 best simple article is New attacks reveal fundamental problems with TCP by Dennis Fisher. Nick Weaver's Slashdot comment provides cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 best technical explanation of one of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attack vectors, I think:

The observation: You can use a SYN-cookie like trick on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 client side as well for an attacker:

You send SYNs where cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 initial seq # = H(sip, dip, sport, dport).

Now when you get a SYN/ACK back, you can send cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ACK to complete cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 handshake. You can use cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ACK field back from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 server to know where you are in what data to send (just subtract cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 value from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 initial sequence # to know what cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 next piece of data to send is), and you can know where you are in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 received data (if necessary) by storing just cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 server's initial sequence #.

As a result, you can now interact with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 server without having to maintain ANY TCP session state, or just a single word (cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 server's initial seq #), allowing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attacker to use vastly fewer resources to tie up server resources.

On one hand, this is a cool trick, and potentially useful for an attacker: if you have only a couple of machines and really want to tie up server resources, you can use this quite quickly.

But OTOH, attackers already have so many zombie resources that this really doesn't necessarily buy cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attacker all that much: If you have 10K machines banging on a server, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 10K machines have a good 2000x more state than cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 servers. So who cares about stateholding requirements on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 zombie side? Thus I think its only really relevant if you wanted to DOS google, akamai, or some similar very-high-resource infrastructure.

And as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attacker can't SPOOF packets with this (it needs to see cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 SYN/ACK), cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 zombies can be filtered if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 DOS is detected and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attacker's identified as well.
(emphasis added)

So that's pretty clever... clever like cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 original 1996 problem of SYN flooding, which exploited resource limitations on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 server. Reference Mike Schiffman's original Phrack article for details and remember 12 years ago we worried about k1dd13z with dial-up modems DOSing NT 4 servers with 7 packets.

With regard to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 latest, we should give some credit to BindView RAZOR's Naptha research from 2000, as noted by Jose Nazario. So-called Naptha attacks are any mechanism that forces cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 victim's TCP/IP stack to consume more resources than cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 intruder's, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365reby eventually forcing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 target to submit. Robert Graham's post implied one attack vector acted what sounded to me like a reverse LaBrea implementation. I would like to incorporate this "sockstress" tool into my next TCP/IP Weapons School class.

I guess we can stay tuned to Robert E. Lee's blog. (Funny that a researcher in Sweden is named after cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 commander of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Confederate Army.)

Anyone who thinks this is again cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 end of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 world should please keep vulnerabilities in perspective. Also, this is about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 best vulnerability we could request. If you're vulnerable, and you're attacked, you'll notice. Even cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 most rudimentary IT shop has availability monitoring in place. To quote Han Solo:

Bring cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m on! I prefer a straight fight to all this sneaking around.

I'd much racá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r deal with availability attacks than confidentiality or integrity attacks.