Sunday, April 26, 2009

Review of Crimeware Posted

Amazon.com just posted my four star review of Crimeware by Markus Jakobsson and Zulfikar Ramzan. Really, I'm not kidding. After a four month hiatus I'm posting book reviews. From cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 review:

Crimeware is a collection of chapters collectively written by 40-odd security researchers. Sometimes this approach is a formula for disaster, but here cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 end result is a solid book that covers a broad number of topics. Because each author or group of authors know cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir field well, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y can delve fairly deeply when necessary, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir material is technically accurate. However, some of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 chapters are boring and lifeless. This book blocked my reading queue for about 4 months, which is a sign I found cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 text unappealing. It took a flight from Amsterdam to convince me to finish it! Still, I agree with many of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r reviewers -- Crimeware is an impressive examination of malware, on a variety of fronts.


Richard Bejtlich is teaching new classes in Las Vegas in 2009. Early Las Vegas registration ends 1 May.

Traffic Talk 5 Posted

My fifth edition of Traffic Talk, titled Network security monitoring using transaction data, has been posted. From cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 article:

Welcome back to Traffic Talk, a regular SearchNetworkingChannel.com series for network solution providers and consultants who troubleshoot business networks. We took a break, but we're back with more articles on using network traffic to make your business more productive and secure.

In this article, I discuss network security monitoring (NSM) and introduce one specific form of NSM data -- transaction data.


If you have any questions on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 article, please post cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m here.

I should be writing new Traffic Talk articles every ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r month. Snort Report seems to be on hold for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time being, but if that changes I will post word here. If you'd like to see cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Snort Report return to SearchSecurityChannel.com, post a comment here. Thank you.


Richard Bejtlich is teaching new classes in Las Vegas in 2009. Early Las Vegas registration ends 1 May.

Friday, April 24, 2009

TaoSecurity Blog Wins Best Non-Technical Blog at RSA

I noticed in Martin McKay's post Security Bloggers Meetup 2009 that TaoSecurity Blog (this blog, despite where you might be reading cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 reposted content) won cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Best Non-Technical Blog award at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 RSA 2009 Security Bloggers Meetup.

Thank you for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 votes! I was not aware that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 blog was nominated nor did I mention cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 contest here. I appreciate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 votes despite cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 posting slow-down while I was vacationing with my family and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n teaching in Amsterdam. I have several posts planned for this weekend or soon cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365reafter!


Richard Bejtlich is teaching new classes in Las Vegas in 2009. Early Las Vegas registration ends 1 May.

Thursday, April 23, 2009

4th Issue of BSD Magazine

I recently received a copy of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 4th issue of BSD Magazine. The cover focus is on PC-BSD, but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re are also articles on ZFS, Django, and backups. This magazine seems to really be coming along. I would be interested to know if people are seeing it at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir local book stores. A new issue of Linux+ Magazine is also posted too.


Richard Bejtlich is teaching new classes in Las Vegas in 2009. Early Las Vegas registration ends 1 May.

Tuesday, April 21, 2009

Elvis Presents IDS vs NSM

When I teach Network Security Monitoring I often introduce cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 alternative using an image like cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following. It shows what an analyst (here, Elvis) might do if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 only data he had to work with as an alert from something like a traditional intrusion detection system.



Compare that workflow with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 possibilities provided by Network Security Monitoring:



Usually when I present this concept I take cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 opportunity to mention that Elvis studied American Kenpo with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 founder of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 style, Ed Parker. I also mention that Elvis frequently performed karate on stage, even doing so at someone else's concert!

I decided to track down a reference for that particular story, and through Shane Peterson's Elvis and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Martial Arts found this:

Elvis attended cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Tom Jones show on September 3rd [1974], during cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 show he was introduced to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 crowd by Tom, at that moment he was invited on stage and Tom asked him if he'd like to sing something, it wasn't possible he said as he had an exclusive contract with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Hilton, so instead he went into a Kata demonstration on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Caesar's Palace stage.

I would prefer to include links to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Web pages where I found cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se, but since cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y are hosted on Tripod pages I don't want to kill cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 owner's bandwidth through unnecessary click-throughs. If you want to find cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 sources please do a Google search.

Richard Bejtlich is teaching new classes in Las Vegas in 2009. Early Las Vegas registration ends 1 May.

Saturday, April 18, 2009

Speaking of Incident Response

In my last post I mentioned I will be speaking at anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r SANS IR event this summer. I just noticed a post on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ISC site titled Incident Response vs. Incident Handling. It states:

Incident Response is all of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 technical components required in order to analyze and contain an incident.

Incident Handling is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 logistics, communications, coordination, and planning functions needed in order to resolve an incident in a calm and efficient manner.


That's not right, and never was. I tried pointing that out via a comment on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ISC post, but apparently cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 moderators aren't willing to accept contradictory comments.

Incident response and incident handling are synonyms. If you need to differentiate between cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 role that does technical work and one which does leadership work, you can use incident response/handling for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 former and incident management for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 latter.

Ten years ago I took a course at CERT called Advanced Computer Security Incident Handling for Technical Staff. The class covered technical methodologies for responding to and handling incidents. The successor to that class is Advanced Incident Handling. Notice that CERT also offers cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 CERT®-Certified Computer Security Incident Handler certification. To CERT, incident response and incident handling are synonyms. If anyone should understand incidents, it's CERT.

I think SANS is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 organization that needs to examine how it uses cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 term incident handler or incident handling. The GIAC Certified Incident Handler (GCIH) designation is 83% inappropriate. How do I arrive at that figure? If you review cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 day-by-day course overview you'll see that only one day, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first, involves Incident Handling Step-by-Step and Computer Crime Investigation. The next four days are Computer and Network Hacker Exploits, with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 sixth day being an open lab. So, 5/6 of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 class has little to nothing to do with incident response/handling.

This is a problem for three reasons. First, I have met people and heard of ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs who think cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y know how to "handle incidents" because cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y have cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 GCIH certification. "I'm certified," cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y say. This is dangerous. Second, respondents to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 latest SANS 2008 Salary Survey considered cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir GCIH certification to be cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir most important certification. If you hold cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 GCIH and think it's important because you know how to "handle incidents," that is also dangerous. Third, SANS offers courses with far more IR relevance that that associated with GCIH, namely courses designed by Rob Lee. It's an historical oddity that keeps cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 name GCIH in play; it really should be retired, but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re's too much "brand recognition" associated with it at this point. If you want to learn IR from SANS, see Rob.

To be fair, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 title for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 course which prepares students for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 GCIH is Hacker Techniques, Exploits & Incident Handling. Putting IH at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 end does list cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 subject in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 proper context. I will also not deny that one should understand hacker techniques and exploits in order to do incident response/handling, but that knowledge should be its own material -- something to know in addition to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 skills required for IR. Also, track 504 is really good; I remember it fondly, before it had that label. The material is kept fresh and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 instructors are excellent.

The bottom line is that incident handling and response are synonyms, and those who think cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y are certified to do incident handling and response via GCIH are kidding cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365mselves.


Richard Bejtlich is teaching new classes in Las Vegas in 2009. Early Las Vegas registration ends 1 May.

Wednesday, April 15, 2009

Bejtlich to Keynote at SANS Forensics and Incident Response 2009

I am pleased to announce that I will return to SANS in 2009 to provide anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r keynote at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 second SANS WhatWorks Summit in Forensics and Incident Response. I published Thoughts on 2008 SANS Forensics and IR Summit last year. Rob Lee did a great job organizing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 2008 event and I expect cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 2009 event to be excellent as well. This 2-day summit will be held at The Fairmont in Washington, D.C. on 6-7 July.


Richard Bejtlich is teaching new classes in Las Vegas in 2009. Early Las Vegas registration ends 1 May.