Saturday, January 30, 2010

Two Dimensional Thinking and APT

I expect many readers will recognize cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 image at left as representing part of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 final space battle in Star Trek II: The Wrath of Khan. During this battle, Kirk and Spock realize Khan's tactics are limited. Khan is treating cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 battle like it is occuring on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 open seas, not in space. Spock says:

He is intelligent, but not experienced. His pattern indicates two-dimensional thinking.

I though this quote could describe many of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 advanced persistent threat critics, particularly those who claim "it's just espionage" or "cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re's nothing new about this." Consider this one last argument to change your mind. (Ha, like that will happen. For everyone else, this is how I arrive at my conclusions.)

I think cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 problem is APT critics are thinking in one or two dimensions at most, when really this issue has at least five. When you only consider one or two dimensions, of course cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 problem looks like nothing new. When you take a more complete look, it's new.

  1. Offender. We know who cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attacker is, and like many of you, I know this is not cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir first activity against foreign targets. I visited cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 country as an active duty Air Force intelligence officer in 1999. I got all cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 briefings, etc. etc. This is not cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first time I've seen network activity from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m. Wonderful.

  2. Defender. We know cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 offender has targeted national governments and militaries, like any nation-state might. What's different about APT is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 breadth of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir target base. Some criticize cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Mandiant report for saying:

    The APT isn't just a government problem; it isn't just a defense contractor problem. The APT is everyone's problem. No target is too small, or too obscure, or too well-defended. No organization is too large, two well-known, or too vulnerable. It's not spy-versus-spy espionage. It's spy-versus-everyone.

    The phrasing here may be misleading (i.e., APT is not attacking my dry cleaner) but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 point is valid. Looking over cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 APT target list, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 victims cover a broad sweep of organizations. This is certainly new.

  3. Means. Let's talk espionage for a moment. Not everyone has cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 means to be a spy. You probably heard how effective cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 idiots who tried bugging Senator Landrieu's office were. With computer network exploitation (at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 very least), those with sufficient knowledge and connectivity can operate at nearly cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same level as a professional spy. You don't have to spend nearly as much time teaching tradecraft for CNE, compared to spycraft. You can often hire someone with private experience as a red teamer/pen tester and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n just introduce cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m to your SOPs. Try hiring someone who has privately learned national-level spycraft.

  4. Motive. Besides "offender," this is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 second of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 two dimensions that APT critics tend to fixate upon. Yes, bad people have tried to spy on ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r people for thousands of years. However, in some respects even this is new, because cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 offender has his hands in so many aspects of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 victim's centers of power. APT doesn't only want military secrets; it wants diplomatic, AND economic, AND cultural, AND...

  5. Opportunity. Connectivity creates opportunity in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 digital realm. Again, contrast cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 digital world with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 analog world of espionage. It takes a decent amount of work to prepare, insert, handle, and remove human spies. The digital equivalent is unfortunately still trivial in comparison.


To summarize, I think a lot of APT critics are focused on offender and motive, and ignore defender, means, and opportunity. When you expand beyond two-dimensional thinking, you'll see that APT is indeed new, without even considering technical aspects.

Example of Threat-Centric Security

In my last post I mentioned cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 need to take threat-centric approaches to advanced persistent threat. No sooner than I had posted those thoughts do I read this:

Beijing 'strongly indignant' about U.S.-Taiwan arms sale

The Obama administration announced cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 sale Friday of $6 billion worth of Patriot anti-missile systems, helicopters, mine-sweeping ships and communications equipment to Taiwan in a long-expected move that sparked an angry protest from China.

In a strongly worded statement on Saturday, China's Defense Ministry suspended military exchanges with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 United States and summoned cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 U.S. defense attache to lodge a "solemn protest" over cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 sale, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 official Xinhua news agency reported.

"Considering cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 severe harm and odious effect of U.S. arms sales to Taiwan, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Chinese side has decided to suspend planned mutual military visits," Xinhua quoted cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ministry as saying. The Foreign Ministry said China also would put sanctions on U.S. companies supplying cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 equipment.


It would have been interesting if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Obama administration had announced its arms sale in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se terms:

"Considering cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 severe harm and odious effect of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 advanced peristent threat, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 American side has decided to sell cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following arms to Taiwan."

It's time for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 information security community to realize this problem is well outside our capability to really make a difference, without help from our governments.

Mandiant M-Trends on APT

If you want to read a concise yet informative and clue-backed report on advanced persistent threat, I recommend completing this form to receive cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first Mandiant M-Trends report.

Mandiant occupies a unique position with respect to this problem because cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y are one of only two security service companies with substantial counter-APT consulting experience.

You may read blog posts and commentary from ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r security service providers who eicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r 1) suddenly claim counter-APT expertise or 2) deride "APT" as just a marketing term, or FUD, or some ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r term to hide cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir inexperience with this problem. The fact remains that, when organizations meet in closed forums to do real work on this problem, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 names and faces are fairly constant. They don't include those trying to make an APT "splash" or those pretending APT is not a real problem.

Mandiant finishes its report with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following statement:

[T]his is a war of attrition against an enemy with extensive resources. It is a long fight, one that never ends. You will never declare victory.

I can already hear cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 skeptics saying "It never ends, so you can keep paying Mandiant consulting fees!" or "It never ends, so you can keep upgrading security products!" You're wrong, but nothing I say will convince some of you. The fact of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 matter is that until cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 threat is addressed at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 nation-state to nation-state level, victim organizations will continue to remain victims. This is not a problem that is going to be solved by victims better defending cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365mselves. The cost is simply too great to take a vulnerability-centric approach. We need a threat-centric approach, where those with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 authority to apply pressure on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 threat are allowed to do so, using a variety of instruments of national power. This is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 unfortunate reality of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 conflict in which we are now engaged.

Wednesday, January 27, 2010

Review of Professional Penetration Testing Posted

Amazon.com just posted my three star review of Professional Penetration Testing by Thomas Wilhelm. From cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 review:

I had fairly high hopes for Professional Penetration Testing (PPT). The book looks very well organized, and it is published in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 new Syngress style that is a big improvement over previous years. Unfortunately, PPT should be called "Professional Pen Testing Project Management." The vast majority of this book is about non-technical aspects of pen testing, with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 remainder being cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 briefest overview of a few tools and techniques. You might find this book useful if you eicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r 1) know nothing about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 field or 2) are a pen testing project manager who wants to better understand how to manage projects. Those looking for technical content would clearly enjoy a book like Professional Pen Testing for Web Applications by Andres Andreu, even though that book is 3 years older and focused on Web apps.

This is my 300th Amazon.com book review. I wish I had planned cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 review schedule such that I reviewed a five star book for number 300.

I reported my 200th book review for Building an Internet Server With FreeBSD 6 in August 2006.

Tuesday, January 26, 2010

Energy Sector v China

The aftershocks of Google v China continue to rumble as more companies are linked to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 advanced persistent threat. Mark Clayton from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Christian Science Monitor wrote a story titled US oil industry hit by cyberattacks: Was China involved? I found cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se excerpts interesting.

At least three US oil companies were cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 target of a series of previously undisclosed cyberattacks that may have originated in China and that experts say highlight a new level of sophistication in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 growing global war of Internet espionage.

The oil and gas industry breaches, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 mere existence of which has been a closely guarded secret of oil companies and federal authorities, were focused on one of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 crown jewels of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 industry: valuable “bid data” detailing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 quantity, value, and location of oil discoveries worldwide...

The companies – Marathon Oil, ExxonMobil, and ConocoPhillips – didn’t realize cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 full extent of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attacks, which occurred in 2008, until cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 FBI alerted cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m that year and in early 2009. Federal officials told cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 companies proprietary information had been flowing out, including to computers overseas...

“What cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se guys [corporate officials] don’t realize, because nobody tells cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m, is that a major foreign intelligence agency has taken control of major portions of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir network,” says cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 source familiar with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attacks. “You can’t get rid of this attacker very easily. It doesn’t work like a normal virus. We’ve never seen anything this clever, this tenacious...”

Many experts say cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ft of this kind of information – about, for instance, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 temperature and valve settings of chemical plant processes or cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 source code of a software company – can give competitors an advantage, and over time could degrade America’s global economic competitiveness...

Even more basic, many corporate executives aren’t aware of how sophisticated cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 new espionage software has become and cling to outdated forms of electronic defense...

[B]ased on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 kind of information that was being stolen, federal officials said a key target appeared to be bid data potentially valuable to “state-owned energy companies...”

China would certainly be interested in this kind of data, experts say. With cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 country’s economy consuming huge amounts of energy, China’s state-owned oil companies have been among cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 most aggressive in going after available leases around cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 world, particularly in Nigeria and Angola, where many US companies are also competing for tracts...

“What I’m saying to you is that it’s not just cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 oil and gas industry that’s vulnerable to this kind of attack: It’s any industry that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Chinese decide cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y want to take a look at,” says an FBI source. “It’s like cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y’re just going down cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 street picking out what cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y want to have.”


Expect more denials from party spokesmen in China.

Monday, January 25, 2010

Look Beyond cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Exploit

The post One Exploit Should Not Ruin Your Day by Dino Dai Zovi made me think:

Finally, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 larger problem is that it only took one exploit to compromise cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se organizations. One exploit should never ruin you day. [sic]

No, that is wrong. The larger problem is not that it "only took one exploit to compromise cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se organizations." I see this mindset in many shops who aren't defending enterprises on a daily basis. This point of view incorrectly focuses on exploitation as a point-in-time, "skirmish" event, disconnected from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 larger battle or cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ultimate campaign.

The real "larger problem" is that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 exploit is only part of a campaign, where cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 intruder never gives up. In ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r words, comprehensive threat removal is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 problem. There is no "cleaning," or "disinfecting," or "recovery" at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 battle or campaign level. You might restore individual assets to a semi-trustworthy state, but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 advanced persistent threat only cares that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y can maintain long-term access to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 environment.

If cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 problem were simply defending against a compromised asset, we would not still be talking about this issue. Racá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 problem is that it is exceptionally difficult, if not impossible, to remove this threat. Individual exploits add to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 problem but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y are only skirmishes.

Sunday, January 24, 2010

Review of Network Maintenance and Troubleshooting Guide, 2nd Ed Posted

Amazon.com just posted my 5 star review of Network Maintenance and Troubleshooting Guide, 2nd Ed by Neal Allen. From cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 review:

Good network troubleshooting books are rare. TCP/IP Analysis and Troubleshooting Toolkit by Kevin Burns (2003), Troubleshooting Campus Networks by Priscilla Oppenheimer and Joseph Bardwell (2002), and Network Analysis and Troubleshooting by Scott Haugdahl (1999) come to mind. Network Maintenance and Troubleshooting Guide (NMATG) brings a whole new dimension to network analysis, particularly at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 lowest levels of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 OSI model. I found topics covered in NMATG that were never discussed in ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r books. While not for every networking person, NMATG is a singular reference that belongs on a network professional's shelf.

Submit Questions for OWASP Podcast

Jim Manico invited me to speak on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 OWASP Podcast. If you'd like me to try answering specific questions, please email cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m to podcast at owasp.org. When cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 show is posted I will let everyone know here. Thank you.

Friday, January 22, 2010

Sguil 0.7.0 on Ubuntu 9.10

Today I installed a Sguil client on a fresh installation of Ubuntu 9.10.

It was really easy with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 exception of one issue I had to troubleshoot, explained below.

First notice that tcl8.4 and tk8.4 is already installed on Ubuntu 9.10.

richard@janney:~$ dpkg --list | grep -i tcl
ii tcl8.4 8.4.19-3
Tcl (cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Tool Command Language) v8.4 - run-t
ii tk8.4 8.4.19-3
Tk toolkit for Tcl and X11, v8.4 - run-time
richard@janney:~$ sudo apt-get install tclx8.4 tcllib
iwidgets4 tcl-tlsReading package lists... Done
Building dependency tree
Reading state information... Done
The following extra packages will be installed:
itcl3 itk3
Suggested packages:
itcl3-doc itk3-doc iwidgets4-doc tclx8.4-doc
The following NEW packages will be installed:
itcl3 itk3 iwidgets4 tcl-tls tcllib tclx8.4
0 upgraded, 6 newly installed, 0 to remove and 0 not upgraded.
Need to get 4,127kB of archives.
After this operation, 18.1MB of additional disk space will be used.
Do you want to continue [Y/n]? y
Get:1 http://us.archive.ubuntu.com karmic/universe itcl3 3.2.1-5 [99.4kB]
...truncated...

Next install wireshark via apt-get. I don't show that here.

The server I want to connect to is running Sguil 0.7.0, not cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 version currently in CVS. If you try connecting from a CVS client to a 0.7.0 server, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 client will report an error like

error writing "sock6": connection reset by peer

On cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 server side you will see Sguil die on error:

pid(37598) Client Connect: 192.168.2.194 39901 sock15
pid(37598) Validating client access: 192.168.2.194
pid(37598) Valid client access: 192.168.2.194
pid(37598) Sending sock15: SGUIL-0.7.0 OPENSSL ENABLED
pid(37598) Client Command Received: VersionInfo {SGUIL-0.7.0 OPENSSL ENABLED}
pid(37598) ERROR: Client connect denied - mismatched versions
pid(37598) CLIENT VERSION: {SGUIL-0.7.0 OPENSSL ENABLED}
pid(37598) SERVER VERSION: SGUIL-0.7.0 OPENSSL ENABLED
Error: can not find channel named "sock15"
can not find channel named "sock15"
while executing
"close $socketID"
(procedure "ClientVersionCheck" line 11)
invoked from within
"ClientVersionCheck $socketID $data1 "
("VersionInfo" arm line 1)
invoked from within
"switch -exact $clientCmd {
DeleteEventID { $clientCmd $socketID $index1 $index2 }
DeleteEventIDList { $clientCmd $socketID $data1 }
..."
(procedure "ClientCmdRcvd" line 38)
invoked from within
"ClientCmdRcvd sock15"
SGUILD: killing child procs...
SGUILD: Exiting...

If you diff cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 sguil.tk from 0.7.0 against sguil.tk from CVS cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se differences explain what is happening:

richard@janney:~/sguil/client$ diff /home/richard/Downloads/sguil-0.7.0/client/sguil.tk sguil.tk
5c5
< # $Id: sguil.tk,v 1.249 2008/03/25 15:59:34 bamm Exp $ #
---
> # $Id: sguil.tk,v 1.254 2008/09/21 02:59:25 bamm Exp $ #
156,162d155
< # store $data in $origData because ctoken changes cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 var it is working on.
< #set origData $data
< #set serverCmd [ctoken data " "]
< #set data1 [string trimleft $data]
< # data1 has indices 1 on etc etc
< #set index1 [ctoken data " "]
< #set data2 [string trimleft $data]
203a197
> PassChange { $serverCmd [lindex $data 1] [lindex $data 2] }
235c229
< puts $socketID "VersionInfo $tmpVERSION"
---
> puts $socketID [list VersionInfo $tmpVERSION]
...truncated...

Finally I like to edit my sguil.conf as shown to account for Wireshark's location and to reduce cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 number of panes from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 default of 3 down to 1.

richard@janney:~/Downloads/sguil-0.7.0/client$ diff sguil.conf.orig sguil.conf
49c49
< set WIRESHARK_PATH /usr/sbin/wireshark
---
> set WIRESHARK_PATH /usr/bin/wireshark
73c73
< set RTPANES 3
---
> set RTPANES 1
78,80c78,80
< set RTPANE_PRIORITY(0) "1"
< set RTPANE_PRIORITY(1) "2 3"
< set RTPANE_PRIORITY(2) "4 5"
---
> set RTPANE_PRIORITY(0) "1 2 3 4 5"
> #set RTPANE_PRIORITY(1) "2 3"
> #set RTPANE_PRIORITY(2) "4 5"

At this point I can use cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Sguil client.

Unfortunately I continue to have a problem with DNS resolution. (I reported one a while back.)

can't read "state(reply)": no such element in array
can't read "state(reply)": no such element in array
while executing
"binary scan $state(reply) SSSSSS mid hdr nQD nAN nNS nAR"
(procedure "Flags" line 13)
invoked from within
"Flags $token flags"
(procedure "dns::name" line 3)
invoked from within
"dns::name $tok"
(procedure "GetHostbyAddr" line 47)
invoked from within
"GetHostbyAddr $srcIP"
(procedure "ResolveHosts" line 23)
invoked from within
"ResolveHosts"
invoked from within
".eventPane.pane1.childsite.detailPane.pane0.childsite.detailTabs.canvas.notebook.
cs.page1.cs.ipDataFrame.dnsDataFrame.dnsActionFrame.dnsButton invoke"
("uplevel" body line 1)
invoked from within
"uplevel #0 [list $w $cmd]"
(procedure "tk::CheckRadioInvoke" line 3)
invoked from within
"tk::CheckRadioInvoke .eventPane.pane1.childsite.detailPane.pane0.childsite.detailTabs.canvas.notebook.
cs.page1.cs.ipDataFrame.dnsDataFrame.dnsActionFr..."
(command bound to event)

I noticed a similar error on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 sguil-users mailing list and tried installing libudp-tcl, but I got cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same error.

Attribution Using 20 Characteristics

My post Attribution Is Not Just Malware Analysis raised some questions that I will try to address here. I'd like to cite Mike Cloppert as inspiration for some of this post.

Attribution means identifying cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 threat, meaning cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 party perpetrating cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attack. Attribution is not just malware analysis. There are multiple factors that can be evaluated to try to attribute an attack.

  1. Timing. What is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 timing of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attack, i.e., fast, slow, in groups, isolated, etc.?

  2. Victims or targets. Who is being attacked?

  3. Attack source. What is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 technical source of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attack, i.e., source IP addresses, etc.?

  4. Delivery mechanism. How is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attack delivered?

  5. Vulnerability or exposure. What service, application, or ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r aspect of business is attacked?

  6. Exploit or payload. What exploit is used to attack cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 vulnerability or exposure?

  7. Weaponization technique. How was cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 exploit created?

  8. Post-exploitation activity. What does cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 intruder do next?

  9. Command and control method. How does cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 intruder establish command and control?

  10. Command and control servers. To what systems does cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 intruder connect to conduct command and control?

  11. Tools. What tools does cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 intruder use post-exploitation?

  12. Persistence mechanism. How does cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 intruder maintain persistence?

  13. Propagation method. How does cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 intruder expand control?

  14. Data target. What data does cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 intruder target?

  15. Data packaging. How does cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 intruder package data for exfiltration?

  16. Exfiltration method. How does cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 intruder exfiltrate data?

  17. External attribution. Did an external agency share attribution data based on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir own capabilities?

  18. Professionalism. How professional is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 execution, e.g., does keystroke monitoring show frequent mistakes, is scripting used, etc.?

  19. Variety of techniques. Does cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 intruder have many ways to accomplish its goals, or are cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y limited?

  20. Scope. What is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 scope of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attack? Does it affect only a few systems, many systems?


As you can see, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re are many characteristics than can be assessed in order to determine if an incident is likely caused by a certain party. Mature security shops use profiles like this to make cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir own intelligence assessments, often confidentially collaborating with ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs sharing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same problems.

Thursday, January 21, 2010

Help Bro Project with Short Survey

I've written about Bro before, and I noticed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following mailing list post titled Poll: Bro deployments:

Hello Sites Using Bro,

We'd like to ask for your help. We're in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 process of preparing a major funding proposal for improving Bro, focused on: improving cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 end-user experience (things like comprehensive documentation, polishing rough edges, fixing bugs); and improving performance.

This looks like a potentially excellent opportunity. However, a major element of winning cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 funding is convincingly demonstrating to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 funders that Bro is already well-established across a large & diverse user community.

To develop that framing, we'd like to ask as many of you folks as possible to fill out cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 small questionaire below. Please send cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 replies to Robin personally, not to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 list (just replying to this mail should do cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 right thing). Assuming sufficient feedback, we'll post an anonymized summary to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 list.

(Of course we already know about many of you, but collecting this information more systematically will allow us to put togecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r a better overall view of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Bro community.)

Thanks a lot in advance,

Vern and Robin


--------- Please send to robin at icir.org -----------------------------

1. Name of deployment site [optional]:

2. We are using Bro

[ ] not yet, but we plan to
[ ] experimentally
[ ] operationally

3. We have done so for about _N_ years.

4. Our site is best described as

[ ] Academia
[ ] Research Lab
[ ] Government
[ ] Industry
[ ] Ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r (please explain)

5. In its current use, Bro monitors about _N_ systems.

6. Would you be fine with us listing your site by name as a Bro user?

[ ] Yes, however you wish.
[ ] Yes in private to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 funders in your grant application, but not publicly.
[ ] No, please use this information only in an anonymized form.

7. Optionally, list up to three improvements you would like to see
in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "Bro world":

If you have any interest in Bro, please consider completing this short survey and email your results to Robin. Thank you!

Attribution Is Not Just Malware Analysis

In a recent Tweet I recommended reading Joe Stewart's insightful analysis of malware involved in Google v China. Joe's work is stellar as always, but I am reading more and more commentary that shows many people don't have cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 right frame of reference to understand this problem.

In brief, too many people are focusing on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malware alone. This is probably due to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 fact that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 people making cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se comments have little to no experience with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 broader problems caused by advanced persistent threat. It's enough for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m to look at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malware and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n move to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 next sample, or devise cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir next exploit, and so on. Those of us responsible for defending an enterprise can't just look at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 problem from a malware, or even a technical, perspective.

I was reminded of this imperative when I read Waziristan: The Last Frontier in a recent Economist magazine.

[I]t is tempting to think Waziristan has hardly changed since those colonial days... Mostly, [cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Pakistani Frontier Corps] discuss cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir belief that India is behind cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 current troubles on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 frontier. Lieutenant-Colonel Tabraiz Abbas, just in from fighting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Mehsud militants, describes finding Indian-made arms on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 battlefield. Substitute “Russian” for “Indian” and you have cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 standard British Great-Game gripe. As late as 1930, a senior British official, in dispatches stored in India’s national archives, reported that a clutch of Russian guns had been found in Waziristan: “Of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se 36 are stamped with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ‘Hammer and Sickle’ emblem of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Soviet government, while one is an English rifle bearing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Czarist crest.

Imagine if policy decisions were made on "rifle analysis" alone. Think of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 havoc that an interloper could introduce by scattering weapons from ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r armies where a target of psychological operations would find cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m.

In summary, malware analysis is definitely an important part of attribution, but it's not cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 only part. Malware analysis is also not cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 only relevant aspect of Google v China. If you address cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malware you won't solve cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 problem. The same goes for any vulnerabilities discovered during this event.

For some related thoughts on profiling an adversary using indicators and not just malware, see Mike Cloppert's post Security Intelligence: Attacking cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Kill Chain.

Wednesday, January 20, 2010

Is APT After You?

Jeremiah Grossman made cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following request via Twitter today:

@taosecurity blog post request. Signs that an individual or organization is or may be an APT target. + ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r threat naming conventions

Tough but great questions. I better answer, or Jeremiah will find me and apply Brazilian Jiu Jitsu until I do. Let me take cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 second question first.

As I mentioned in Real Threat Reporting in 2005, "Titan Rain" became cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 popular term for one "intrusion set" involving certain actors. DoD applies various codewords to intrusion sets, and Titan Rain became popular with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 publication of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Time article I referenced. If you read cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Time article again you'll see at least one ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r reference, but I won't cite that here.

Some of you may remember "Solar Sunrise" from 1998 and "Moonlight Maze" from 1998-1999. Open reporting links cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 former to Russia and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 latter to an Israeli named Ehud Tenenbaum. These are ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r examples of "intrusion sets," but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y are not related to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 current threat.

As far as ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r names for APT, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y exist but are not shared with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 public. Just as you might maintain code names for various intrusion sets or campaigns within your CIRT, various agencies track cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same using cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir own terms. This can cause some confusion when different CIRTs try to compare notes, since none of us speak of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 private names unless in an appropriate facility. The Air Force invented "APT" as an unclassified term that could be used to quickly keep various parties on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same page when speaking with defense partners.

Regarding who may be an APT target, I liked Steven Adair's Shadownserver post. The way most organizations learn that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y have a problem is by receiving an external notification. The FBI and certain military units have been fairly active in this respect for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 previous three years. This marks quite a change in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 relationship between cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 US government and private sector, and it's not limited to American companies. A little searching will reveal reports of ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r governments warning cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir companies of similar problems.

If your organization has not been contacted by an external agency, you might want to look at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 potential objectives that I posted in What is APT and What Does It Want? Does your organization possess data that falls into one of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 political, economic, technical, or military categories that could interest this sort of threat? Overall, my assessment of APT progress can be summarized this way:

  • Phase 1, late 1990s: mainly .mil

  • Phase 2, 2000-2004: .gov added to target list

  • Phase 3, 2005-2009: cleared defense contractors, research institutes, political and infrastructure added to target list (significant expansion)

  • Phase 4, 2010- ? : expansion only limited by resources?


Probably cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 next best way to determine if you are a target is to join whatever industry groups you can find and network with your peers. Develop relationships such that your peers feel comfortable sharing threat information with you. Do cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same with government actors, especially cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 FBI. Many times cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se agencies are just sitting on data trying to figure out cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 right contacts.

I would beware of organizations that claim any product cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y sell will "stop APT" or "manage APT" or act as anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r silver bullet. We're already seeing some vendors jump on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 counter-APT bandwagon with little clue what is happening. There's a couple consultancies with deep knowledge on this topic. I'm not going to name cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m here but if you review cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Incident Detection Summit 2009 agenda you can find cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m.

The degree of counter-APT experience on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 speaker list varies considerably, but you can try using that list to validate if Company X has any relationship whatsoever to this problem. That doesn't mean companies or organizations not listed as speakers are "clueless;" a lot of counter-APT activity is simply "good IT." However, you shouldn't expect a random consultant to be able to sit down and explain cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 specifics of this problem to your CIO or CEO. Incidentally this is NOT a commercial for my company; I run an internal CIRT that only protects our assets.

Review of Inside Cyber Warfare Posted

Amazon.com just posted my three star review of Jeff Carr's Inside Cyber Warfare. From cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 review:

Jeff Carr is a great digital security intelligence analyst and I've been fortunate to hear him speak several times. We've also separately discussed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 issues he covers in Inside Cyber Warfare (ICW). While I find Jeff's insights very interesting and valuable, I think his first book could have been more coherent and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365refore more readable. I believe Jeff should write a second edition that is more focused and perhaps more inclusive.

Monday, January 18, 2010

Bejtlich Teaching at Black Hat EU 2010

Black Hat was kind enough to invite me back to teach multiple sessions of my 2-day course this year.

After Black Hat DC comes Black Hat EU 2010 Training on 12-13 April 2010 at Hotel Rey Juan Carlos I in Barcelona, Spain.

I will be teaching TCP/IP Weapons School 2.0.

Registration is now open. Black Hat set five price points and deadlines for registration.

  • Super early ends 1 Feb

  • Early ends 1 Mar

  • Regular ends 1 Apr

  • Late ends 11 Apr

  • Onsite starts at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 conference


Seats are filling -- it pays to register early!

If you review cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Sample Lab I posted earlier this year, this class is all about developing an investigative mindset by hands-on analysis, using tools you can take back to your work. Furcá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rmore, you can take cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 class materials back to work -- an 84 page investigation guide, a 25 page student workbook, and a 120 page teacher's guide, plus cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 DVD. I have been speaking with ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r trainers who are adopting this format after deciding cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y are also tired of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 PowerPoint slide parade.

Feedback from my 2009 sessions was great. Two examples:

"Truly awesome -- Richard's class was packed full of content and presented in an understandable manner." (Comment from student, 28 Jul 09)

"In six years of attending Black Hat (seven courses taken) Richard was cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 best instructor." (Comment from student, 28 Jul 09)

If you've attended a TCP/IP Weapons School class before 2009, you are most welcome in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 new one. Unless you attended my Black Hat training in 2009, you will not see any repeat material whatsoever in TWS2. Older TWS classes covered network traffic and attacks at various levels of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 OSI model. TWS2 is more like a forensics class, with network, log, and related evidence.

I recently described differences between my class and SANS if that is a concern.

I will also be teaching in Barcelona and Las Vegas, but I will announce those dates later.

I look forward to seeing you. Thank you.

Saturday, January 16, 2010

What Is APT and What Does It Want?

This has been cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 week to discuss cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 advanced persistent threat, although some people are already telling me Google v China with respect to APT is "silly," or that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attack vectors were what everyone has been talking about for years, and were somewhat sloppily orchestrated at that.

I think many of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se critics are missing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 point. As is often cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 case with sensitive issues, 1) those who know often can't say and 2) those who say often don't know. There are some exceptions worth noting!

One company that occupies a unique position with respect to this problem is Mandiant. Keep an eye on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 APT tag of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir M-unition blog. Mandiant's role as a consulting firm to many APT victims helps cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m talk about what cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y see without naming any particular victim.

I also recommend following Mike Cloppert's posts. He is a deep thinker with respect to counter-APT operations. Incidentally I agree with Mike that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 US Air Force invented cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 term "advanced persistent threat" around 2006, not Mandiant.

Reviewing my previous blogging, a few old posts stand out. 4 1/2 years ago I wrote Real Threat Reporting, describing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 story of Shawn Carpenter as reported by Time magazine. Back cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 threat was called "Titan Rain" by Time. (This reflects cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 use of a so-called "intrusion set" to describe an incident.) Almost a year later Air Force Maj Gen Lord noted "China has downloaded 10 to 20 terabytes of data from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 NIPRNet. They're looking for your identity, so cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y can get into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 network as you."

Now we hear of ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r companies beyond Google involved in this latest incident, including Yahoo, Symantec, Adobe, Northrop Grumman, Dow Chemical, Juniper Networks, and "human rights groups as well as Washington-based think tanks." (Sources 1 and 2.)

Let me put on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 flight cap of a formally trained Air Force intelligence officer and try to briefly explain my understanding of APT in a few bullets.

  • Advanced means cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 adversary can operate in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 full spectrum of computer intrusion. They can use cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 most pedestrian publicly available exploit against a well-known vulnerability, or cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y can elevate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir game to research new vulnerabilities and develop custom exploits, depending on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 target's posture.

  • Persistent means cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 adversary is formally tasked to accomplish a mission. They are not opportunistic intruders. Like an intelligence unit cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y receive directives and work to satisfy cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir masters. Persistent does not necessarily mean cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y need to constantly execute malicious code on victim computers. Racá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y maintain cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 level of interaction needed to execute cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir objectives.

  • Threat means cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 adversary is not a piece of mindless code. This point is crucial. Some people throw around cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 term "threat" with reference to malware. If malware had no human attached to it (someone to control cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 victim, read cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 stolen data, etc.), cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n most malware would be of little worry (as long as it didn't degrade or deny data). Racá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 adversary here is a threat because it is organized and funded and motivated. Some people speak of multiple "groups" consisting of dedicated "crews" with various missions.


Looking at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 target list, we can perceive several potential objectives. Most likely, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 APT supports:

  • Political objectives that include continuing to suppress its own population in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 name of "stability."

  • Economic objectives that rely on stealing intellectual property from victims. Such IP can be cloned and sold, studied and underbid in competitive dealings, or fused with local research to produce new products and services more cheaply than cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 victims.

  • Technical objectives that furcá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir ability to accomplish cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir mission. These include gaining access to source code for furcá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r exploit development, or learning how defenses work in order to better evade or disrupt cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m. Most worringly is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 thought that intruders could make changes to improve cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir position and weaken cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 victim.

  • Military objectives that include identifying weaknesses that allow inferior military forces to defeat superior military forces. The Report on Chinese Government Sponsored Cyber Activities addresses issues like cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se.


Notice "stealing money" is not listed here. Although threats exist that target cash, those groups are not considered "APT".

Footnote: my Google query for advanced peristent threat that omits a few organization names (including this blog) now yields 169 non-duplicative hits as of this writing, up from 34 in July 2009.

Why Google v China is Different

I've been reading various comments on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Google v China issue. One caught my eye:

Security experts say Google cyber-attack was routine

"This wasn't in my opinion ground-breaking as an attack. We see this fairly regularly," said Mikko Hypponen, of security firm F-Secure.

"Most companies just never go public," he added.


In some ways this comment is true, and in ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r ways I think it can mislead some readers. I believe it is true in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 sense that many organizations are dealing with advanced persistent threats. However, I believe this comment leads some readers to focus incorrectly on two racá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r insignificant aspects of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Google incident: vulnerabilities and malware.

On cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 vulnerability front, we have a zero-day in Internet Explorer. I agree that this is completely routine, in a really disappointing way.

On cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malware front, we have code submitted to Wepawet. I agree that this is also not particularly interesting, although I would like to know how it ended up being posted cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re!

Five issues make Google v China different for me.

  1. The victim made a public statement about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 intrusion. I read that this was a difficult decision to make and it took strong leadership to see it through:

    Google Inc.'s startling threat to withdraw from China was an intensely personal decision, drawing its celebrated founders and ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r top executives into a debate over cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 right way to confront cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 issues of censorship and cyber security.

    Google's very public response to what it called a "highly sophisticated and targeted attack on our corporate infrastructure originating from China" was crafted over a period of weeks, with heavy involvement from Google's co-founders, Larry Page and Sergey Brin.

  2. The victim is not alone. Google isn't alone in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 sense that firms suffering from Conficker last month weren't alone, i.e., this isn't a case of widespread malware. Instead, we're hearing that multiple companies are affected.

  3. The victim is not a national government. Don't forget all cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 China incidents involving national governments that I followed from summer 2007 through 2008.

  4. The victim named cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 perpetrator. This amazes me. We need more of this to happen. By doing so a private company influenced a powerful policy maker to issue a statement of a diplomatic nature.

  5. The victim could suffer furcá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r damage as a result of this statement and decision. Every CIO, CTO, CSO, and CISO magazine in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 world talks about "aligning with business," blah blah. Business is supposed to rule. Instead, we have a situation where cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 self-reported "cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ft of intellectual property from Google" plus "accessing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Gmail accounts of Chinese human rights activists" resulted in a business decision to alter and potentially cancel operations. That astounds me. You can claim Baidu is beating Google, but I don't buy it as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 real reason Google is acting like this.


Bravo Google.

Security Team Permissions

Every so often I receive questions from blog readers. The latest centered on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following question:

What level and extent should a security team and investigators be allowed to operate without having to ask for permission?

This is an excellent question, and as with most issues of authority it depends on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 organization, its history, culture, purpose, and people.

From cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 perspective of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 security team, I tend to want as much access as is required to determine cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 security state of an asset. That translates into being able to access or discover evidence as quickly and independently as possible, preferably in a way that involves no human intervention aside from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 query by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 security team. When cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 security analyst can retrieve cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 information needed to make a decision without asking for human permission or assistance, I call that self-reliant security operations. Anything short of that situation is suboptimal but not uncommon.

Simultaneously, I want cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 least amount of access needed to do cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 work. If cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 security team can get what it needs with a read-only mechanism, so much cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 better. I actively avoid powerful or administrative accounts. Possessing such accounts is usually an invitation to being blamed for a problem.

Assume cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re is a situation where cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 security team believes it needs a certain elevated level of access in order to do its mission. In my experience, it is rare to obtain that permission by making some sort of intellectual or process-oriented argument. Racá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 security team should make a plan and justify cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 need for such access, but wait for an intrusion to occur that demonstrates why elevated access would improve cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 incident detection and response process.

In many cases, management with authority to grant or expedite granting access lacks cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 focus or mental environment ready to think about making changes until an incident rocks cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir world. Once management is ready to devote attention to a problem, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y are often eager to hear of changes that would improve cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 situation. At that point one should make a case for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 new capability. We see this pattern repeatedly in high-profile security cases; airline travel is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 most obvious.

Aside from waiting for a catastrophe, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 next-best option is to collect some sort of metric that shows how cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 current suboptimal state of affairs should be unacceptable to management. If you could show a substantial decrease in response time, an increase in capability, a decrease in cost, etc., you might be able to convince management to make a change without resorting to an incident scenario. This second option is less likely to work than cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 disaster method, but at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 very least it does lay useful groundwork prior to an incident.

Thursday, January 14, 2010

Friday is Last Day to Register for Black Hat DC at Reduced Rate

Black Hat was kind enough to invite me back to teach multiple sessions of my 2-day course this year.

First up is Black Hat DC 2010 Training on 31 January and 01 February 2010 at Grand Hyatt Crystal City in Arlington, VA.

I will be teaching TCP/IP Weapons School 2.0.

Registration is now open. Black Hat set five price points and deadlines for registration, but only cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se three are left.

  • Regular ends 15 Jan

  • Late ends 30 Jan

  • Onsite starts at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 conference


Seats are filling -- it pays to register early!

If you review cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Sample Lab I posted earlier this year, this class is all about developing an investigative mindset by hands-on analysis, using tools you can take back to your work. Furcá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rmore, you can take cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 class materials back to work -- an 84 page investigation guide, a 25 page student workbook, and a 120 page teacher's guide, plus cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 DVD. I have been speaking with ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r trainers who are adopting this format after deciding cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y are also tired of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 PowerPoint slide parade.

Feedback from my 2009 sessions was great. Two examples:

"Truly awesome -- Richard's class was packed full of content and presented in an understandable manner." (Comment from student, 28 Jul 09)

"In six years of attending Black Hat (seven courses taken) Richard was cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 best instructor." (Comment from student, 28 Jul 09)

If you've attended a TCP/IP Weapons School class before 2009, you are most welcome in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 new one. Unless you attended my Black Hat training in 2009, you will not see any repeat material whatsoever in TWS2. Older TWS classes covered network traffic and attacks at various levels of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 OSI model. TWS2 is more like a forensics class, with network, log, and related evidence.

I will also be teaching in Barcelona and Las Vegas, but I will announce those dates later.

I strongly recommend attending cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Briefings on 2-3 Feb. Maybe it's just my interests, but I find cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 scheduled speaker list to be very compelling.

I look forward to seeing you. Thank you.

Tuesday, January 12, 2010

Why Would APT Exploit Adobe?

After reading this statement from Adobe, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y seem to be using cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same language that described cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Google v China incident:

Adobe became aware on January 2, 2010 of a computer security incident involving a sophisticated, coordinated attack against corporate network systems managed by Adobe and ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r companies. We are currently in contact with ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r companies and are investigating cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 incident.

Let's assume, due to language and news timing, that it's also APT. Would would APT exploit Adobe? Am I giving Adobe too much credit if I hypocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365size that APT wanted to know more about Adobe's product security plans, in order to continue exploiting Adobe's products?

If that is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 case, who else might APT infiltrate? Should we start looking for similar announcements from ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r software vendors?

Has China Crossed a Line?

I'm wondering if China has crossed a line with its Google hack. It's relatively easy for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Obama administration to pretend that nothing's amiss when it's playing politics with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Chinese government. But when an American company that was just named "word of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 decade" proclaims to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 world that it is being exploited by Chinese intruders, can cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 President turn a blind eye to that? This could be cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first publicity-driven incident (i.e., something that comes from public sources) that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 new Cyber Czar will have to address, if not higher officials.

Oh, and expect China to issue a statement saying that it strongly denies official involvement, and that it prosecutes "hackers" to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 fullest extent of its laws. That's nice.

Mechagodzilla v Godzilla

After posting Google v China I realized this is a showdown like no ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r. In my experience, no one "ejects" cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 advanced persistent threat. If you think cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y are gone, it's eicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r 1) because cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y decided to leave or 2) you can't find cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m.

Now we hear Google is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 latest victim. Google is supposed to be a place where IT is so awesome and employees so smart that servers basically run cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365mselves, and Google's HR has to leave some of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r smart people "in place" to help cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 rest of us cope with life. Could Google be cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first company to remove APT despite APT desire to remain persistent? Google v China could be Mechagodzilla v Godzilla. No one without inside knowledge will know how this battle concludes, and it probably will not conclude until one of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 combatants is gone.

Google v China

It's been a few months since I mentioned China in a blog post, but this one can't be ignored. Thanks to SW for passing me this one:

Google Blog: A New Approach to China

In mid-December, we detected a highly sophisticated and targeted attack on our corporate infrastructure originating from China that resulted in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ft of intellectual property from Google...

First, this attack was not just on Google. As part of our investigation we have discovered that at least twenty ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r large companies from a wide range of businesses--including cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Internet, finance, technology, media and chemical sectors--have been similarly targeted...

These attacks and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 surveillance cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y have uncovered--combined with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attempts over cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 past year to furcá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r limit free speech on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 web--have led us to conclude that we should review cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 feasibility of our business operations in China. We have decided we are no longer willing to continue censoring our results on Google.cn, and so over cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 next few weeks we will be discussing with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Chinese government cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 basis on which we could operate an unfiltered search engine within cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 law, if at all. We recognize that this may well mean having to shut down Google.cn, and potentially our offices in China.


Welcome to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 party, Google. You can use cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 term "advanced persistent threat" (APT) if you want to give this adversary its proper name. See my post Report on Chinese Government Sponsored Cyber Activities for more details.

I have to really applaud Google for saying cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y might shut down operations in a country of 1.4 billion potential consumers as a result of an incident detection and response!

There were many events last year that fulfilled my prediction for 2009 Expect at least one cloud security incident to affect something you value. I think this one wins hands down.

Never mind cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 China angle for a moment. All of us should stop and consider what sort of data we are storing at Google, and in what form that data is stored. Google's Keeping Your Data Safe post for Enterprise customers claims While some intellectual property on our corporate network was compromised, we believe our customer cloud-based data remains secure. However, my experience with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se sorts of incidents is that if it occurred in "mid-December," Google will be spending cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 next several months realizing how large cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 exposure really is.

Friday, January 08, 2010

Happy 7th Birthday TaoSecurity Blog

Today, 8 January 2010, is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 7th birthday of TaoSecurity Blog. I wrote my first post on 8 January 2003 while working as an incident response consultant for Foundstone. 2542 posts (averaging 363 per year) later, I am still blogging.

I don't have any changes planned here. I plan to continue blogging, especially with respect to network security monitoring, incident detection and response, network forensics, and FreeBSD when appropriate. I especially enjoy reading your comments and engaging in informed dialogues. Thanks for joining me cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se 7 years -- I hope to have a ten year post in 2013!

Don't forget -- today is Elvis Presley's birthday. Coincidence? You decide.

The image shows Elvis training with Ed Parker, founder of American Kenpo. As I like to tell my students, Elvis' stance is so wide it would take him a week to react to an attack. Then again, he's Elvis.

I studied Kenpo in San Antonio, TX and would like to return to practicing, along with ice hockey, if my shoulders cooperate!

Sunday, January 03, 2010

Excerpts from Randy George's "Dark Side of DLP"

Randy George wrote a good article for InformationWeek titled The Dark Side of Data Loss Prevention. I thought he made several good points that are worth repeating and expanding.

[T]here's an ugly truth that DLP vendors don't like to talk about: Managing DLP on a large scale can drag your staff under like a concrete block tied to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir ankles.

This is important, and Randy explains why in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 rest of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 article.

Before you fire off your first scan to see just how much sensitive data is floating around cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 network, you'll need to create cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 policies that define appropriate use of corporate information.

This is a huge issue. Who is to say just what activity is "authorized" or "not authorized" (i.e., "business activity" vs "information security incident")? I have seen a wide variety of activities that scream "intrusion!" only to hear, "well, we have a business partner in East Slobovistan who can only accept data sent via netcat in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 clear." Notice I also emphasized "who." It's not just enough to recognize badness; someone has to be able to classify badness, with authority.

Once your policies are in order, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 next step is data discovery, because to properly protect your data, you must first know where it is.

Good luck with this one. When you solve it at scale, let me know. This is actually cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 one area where I think "DLP" can really be rebranded as an asset discovery system, where cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 asset is data. I'd love to have a DLP deployment just to find out what is where and where it goes, under normal conditions, as perceived by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 DLP product. That's a start at least, and better than "I think we have a server in East Slobovistan with our data..."

Then cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re's cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 issue of accuracy... Be prepared to test cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data identification capabilities you've enabled. The last thing you want is to wade through a boatload of false-positive alerts every morning because of a paranoid signature set. You also want to make sure that critical information isn't flying right past your DLP scanners because of a lax signature set.

False positives? Signature sets? What is this, dead technology? That's right. Let's say your DLP product runs passively in alert-only mode. How do you know if you can trust it? That might require access to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 original data or action to evaluate how and why cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 DLP product came to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 alert-worthy conclusion that it did.

Paradoxically, if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 DLP product is in active blocking mode, your analysts have an easier time separating true problems from false problems. If active DLP blocks something important, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 user is likely to complain to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 help desk. At least you can figure out what cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 user did that upset both DLP and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 denied user.

However, as with intrusion-detection systems, not all actions can be automated, and network-based DLP will generate events that must be investigated and adjudicated by humans. The more aggressively you set your protection parameters, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 more time administrators will spend reviewing events to decide which communications can proceed and which should be blocked.

Ah, we see cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 dead technology -- IDS -- mentioned explicitly. Let's face it -- running any passive alerting technology, and making good sense of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 output, requires giving cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 analyst enough data to make a decision. This is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 core of NSM philosophy, and why NSM advocates collecting a wide variety of data to support analysis.

For earlier DLP comments, please see Data Leakage Protection Thoughts from last year.