Sunday, June 20, 2010

Full Disclosure for Attacker Tools

The idea of finding vulnerabilities in tools used by attackers is not new. It's part of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 larger question of aggressive network self defense that I first discussed here in 2005 when reviewing a book of that title. (The topic stretches back to 2002 and before, before this blog was born.) If you follow my blog's offense label you'll see ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r posts, such as More Aggressive Network Self Defense that links to an article describing Joel Eriksson's vulnerability research into Bifrost and ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r remote access trojans.

What's a little more interesting now is seeing Laurent Oudot releasing 13 security advisories for attacker tools. Laurent writes:

For example, we gave (some of) our 0days against known tools like Sniper Backdoor, Eleonore Exploit Pack, Liberty Exploit Pack, Lucky Exploit Pack, Neon Exploit Pack, Yes Exploit Pack...

If you're not familiar with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se sorts of tools, see an example described by Brian Krebs at A Peek Inside cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ‘Eleonore’ Browser Exploit Kit.

Why release cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se advisories?

It's time to have strike-back capabilities for real, and to have alternative and innovative solutions against those security issues.

I agree with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 concept, but not necessarily with releasing "advisories" for attacker tools. Laurent claims cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se are "0days". This would imply cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 developers of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se attacker tools did not know about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 vulnerabilities. By publishing advisories, attackers now know to fix cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m. Assuming "customers" heed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 advisories and update cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir software, this process has now denied security researchers and ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs who conduct counter-intruder operations access to attacker sites. This is tactically counterproductive from a white hat point of view.

On cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r hand, developers of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se attacker tools might already know about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 vulnerabilities, and might have already patched cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m. In this case, publishing advisories is more about creating some publicity for Laurent's new company and for his talk last week. (Did anyone see it?)

I like cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 idea of taking cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 fight to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 enemy. Security researchers are already penetrating attacker systems to infiltrate botnet command and control servers and do ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r counter-intruder operations. These activities increase cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 black hat cost to conduct intrusions, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 more resources cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attackers have to divert to defending cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir own infrastructure, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 fewer resources cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y can direct at compromising victims.

However, disclosing details of vulnerabilities in attacker tools is likely to not work in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 white hat's favor. White hats are bound by restrictions like laws and rules that black hats routinely break. Announcement of a vulnerability in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Eleonore exploit kit is not going to unleash a wave of activity against black hats like announcement of a vulnerability in Internet Explorer. It's likely that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 few researchers and ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs wearing white hats will not learn much from a public announcement due to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir independent research, while mass-targeting attackers (who historically are not great developers cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365mselves) will disproportionately benefit from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 disclosure.

What do you think? Should white hat researchers publish security advisories for black hat tools?

8 comments:

Unknown said...

Perhaps I watched too much G.I. Joe as a kid, plus it's late and I'm tired, but I vote for disclosure for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following reasons:

(1) By knowing about vulnerabilities in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attackers tools, I might be able to better organize my defenses. It might be cheaper for me to induce failures in attackers' tools than to workaround or correct vulnerabilities in my own systems/services.

(2) I might be able to use those vulnerabilities to carry out limited (legal) offensives against attackers. In this instance, I'm thinking specifically about personally disrupting botnet command-and-control structures found within networks under my administrative authority. Well-intentioned third parties might also carry out extralegal attacks against attackers cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365mselves (think Batman). This increases cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attackers' cost of doing business, insofar that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y will have to start spending money or time on additional information assurance activities.

(3) The vendors who supply attackers with malicious software will have to implement expensive, difficult software quality control models in order to continue generating business for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir now obviously buggy and poorly-crafted malware. This furcá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r drives up cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 cost of doing business, for both black hat software vendors and for attackers. To re-iterate: turnabout is fair play.

I'm only partially joking.

YM Chen said...

Offense is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 best defense. But I don't think that applies to this approach.

I agree cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re is value to learn/understand your enemy, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 defined "black hat tools", which includes discovering vulnerabilities. But cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ultimate goal is to secure your organization. Publishing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se tools' vulnerabilities does't help to secure organizations as much as attacking cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 botnet controller. It might push cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 whole thing into a hamster wheel of vulnerabilities (vuln of browser led to attack tools and botnet, attack tools' vulns led to strike-back tools and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n more and more vulns ... :) and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n a distraction to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 underlying problem (e.g.: insecure browser). So I don't think it falls into one of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 best defense strategies.

However, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re might be pure research/discussion benefits to circulate such information non-publicly if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y haven't been. I just don't see cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 value for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 general public.

I thought of an example that might be related to this topic: your network/system admin wants your external/internal PT/VA to fail, so he goes on and finds vulnerabilities in most common port/vuln scanners and implemented cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 network(instead of doing what he should normally do: secure his network!!). So your PT/VA results may show that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 network is secure. But that just doesn't deal with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 real problem.

The Ubiquitous Mr. Lovegroove said...

I second Matcá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365w's (2) as a reason for good idea. Sometimes, retaltion is possible without breaking law.

Furcá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rmore, this could help botnet owners to fight each ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r for turf and diverting resources from harvesting users.

PatsComputerServices said...

While I like cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 idea that it may cause infighting amongst cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 different botnet/black hats, I don't think publicly exposing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 vulnerabilities was cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 best idea.

I would have sent cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 information to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 various researchers and antivirus/security providers, so cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y could take steps to counter cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 tools. Especially if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 tools inject cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 vulnerabilities into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir "products".

The only "good" thing that comes from this is just being able to say that even cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "black hats" aren't perfect coders. Aside from that, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re's nothing good that comes from this.

Have a great day:)
Patrick.

Anonymous said...

I agree with what Matcá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365w said. The idea of "offensive" security is dangerous...I hope we mostly mean "being aggressive in your defense".

"Do not hesitate to contact TEHTRI-Security if you need technical
assistance (pentests, incident handling, source code analysis, etc) with
experts who know how work cyber conflicts for real, which is totally
different from people who have clean certifications or who just
masterize security research in labs..."

and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 motive becomes clear. It's usually about money, or pissing furcá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r/fame...or both. Vigilante security researchers actively attacking systems and/or releasing 0day...and we're left with grep'ing intent from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 network packets.

Anonymous said...

Richard, this is a delightful dilemma!

I think cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re would be enough value in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 shared learning in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 community to disclose cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se vulnerabilities.

I would hesitate on any plan to non-publicly share this information, as my assumption would be we'd only be deluding ourselves to think cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attackers wouldn't cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365mselves see it in our own channels.

I think I'd fall barely on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 side of disclosing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se publicly.

--LonerVamp

Taloquan said...

Although I am for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "hack back" strategy, I am torn by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 double standard posed by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "full disclosure vs. responsible disclosure" debate. The community will crucify a developer for not allowing sufficient time to produce a patch, but also thrives on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 security improvements that stem from vendor competition. The simple answer is if you have 'exploit pack 0-day', keep quiet, exploit-exploit, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n do a talk about it. The moment you vocalize it, you lose tactical suprise and expose your organization to criticism. Strangely enough, I don't feel that is moral answer and maybe what we are left here is just an ethical dilemma.

Unknown said...

To those researchers who want to release 0 days pack on blackhat tools should know that exploit authors are those who're daily watching for latest exploits.
Right now, Laurent have taught cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m how to write a secure exploit pack. They've already patched cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir holes. New versions have been sent out to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir customers.