Thursday, July 28, 2011

Review of Metasploit: The Penetration Tester's Guide Posted

Amazon.com just posted my four star review of Metasploit: The Penetration Tester's Guide by David Kennedy, Jim O’Gorman, Devon Kearns, and Mati Aharoni. From cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 review:

Metasploit: The Penetration Tester's Guide (MTPTG), is a great book about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Metasploit Framework. I first tried MSF in April 2004 (noted in one of my blog posts) and have since used it to test detection mechanisms, as well as simulate activity by certain threat groups. I've read MSF coverage in a few ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r books, but MTPTG really outdoes cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 competition. While I see areas for improvement to be addressed in a second edition, if you have any interest in Metasploit you should check out this book.

Review of Hacking: The Art of Exploitation, 2nd Ed Posted

Amazon.com just posted my five star review of Hacking: The Art of Exploitation, 2nd Ed by Jon Erickson. From cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 review:

This is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 last in a recent collection of reviews on "hacking" books. Jon Erickson's Hacking, 2nd Ed (H2E) is one of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 most remarkable books in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 group I just read. H2E is in some senses amazing because cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 author takes cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 reader on a journey through programming, exploitation, shellcode, and so forth, yet helps cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 reader climb each mountain. While cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 material is sufficiently technical to scare some readers away, those that remain will definitely learn more about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 craft.

Review of Gray Hat Hacking, 3rd Ed Posted

Amazon.com just posted my three star review of Gray Hat Hacking, 3rd Ed by Allen Harper, Shon Harris, Jonathan Ness, Chris Eagle, Gideon Lenkey, and Terron Williams. From cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 review:

Critical reviews are my least favorite aspect of my Amazon experience, but I believe readers expect me to be honest with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m. Gray Hat Hacking, 3rd Ed (GHH3E) has a lot of potential, but it needs a reboot and a ruthless editor. I read and reviewed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 original edition 6 1/2 years ago but skipped cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 2nd Ed. This 3rd Ed (published in Jan 2011) features several exceptionally talented authors (such as Allen Harper and Chris Eagle), so my expectations remained high. Unfortunately, after finishing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 book I had collected a pile of notes that I will try to transform into constructive commentary for a 4th Ed, which I would enjoy seeing!


Review of Ninja Hacking Posted

Amazon.com just posted my four star review of Ninja Hacking by Thomas Wilhelm and Jason Andress. From cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 review:

Ninja Hacking is not a typical digital security book. When I saw cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 title I expected cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 use of "Ninja" to be a reference to a style of digital attack. While this is true to a certain extent, Ninja Hacking is about actual Ninja concepts applied to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 digital world. The book is an introduction to Ninja history and techniques, applied to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 modern digital security context. That was not at all what I expected, but I found cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 result intriguing.


Review of Managed Code Rootkits Posted

Amazon.com just posted my five star review of Managed Code Rootkits by Erez Matula. From cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 review:

Managed Code Rootkits (MCR) is one of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 best books I've read in 2011. MCR is a one-man tour-de-force through cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 world of malicious software that leverages managed code for its runtime. Prior to reading cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 book I was only vaguely aware of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 concept and implementation. After reading MCR, I am wondering when we might see more of this technique in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 wild. Author Erez Metula does almost everything right in MCR, and I strongly recommend reading it.

Review of Buffer Overflow Attacks Posted

Amazon.com just posted my two star review of Buffer Overflow Attacks, by James C. Foster, et al. From cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 review:

I read "Buffer Overflow Attacks" as part of a collection of books on writing exploit code (reviewed separately). I have to give credit to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 author team for writing one of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first books on this subject; Syngress published BOA in 2005, when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 subject received less published coverage. However, better books are available now if you want to learn cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 sort of material found in BOA.

Risk Modeling, not "Threat Modeling"


Thanks to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 great new book Metasploit (review pending), I learned of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Penetration Testing Execution Standard. According to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 site, "It is a new standard designed to provide both businesses and security service providers with a common language and scope for performing penetration testing (i.e. security evaluations)." I think this project has a lot of promise given cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 people involved.

I wanted to provide one comment through my blog, since this topic is one I've covered previously. One of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 goals of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 standard is to name and explain cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 steps performed in a penetration test. One of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m is currently called "threat modeling," and is partly explained using this diagram:



When I saw elements called "business assets," "threat agents," "business process," and so on, I realized this is more of a risk model, not just a "threat model."

I just tagged a few older posts as discussing threat model vs risk model linguistics, so cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y might help explain my thinking. This issue isn't life or death, but I think it would be more accurate to call this part of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 PTES "Risk Modeling."

Wednesday, July 27, 2011

Noah Shachtman’s Pirates of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ISPs

Two posts in one day? I'm on fire! It's easy to blog when something interesting happens, and I can talk about it.

I wanted to mention cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 publication of Pirates of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ISPs: Tactics for Turning Online Crooks Into International Pariahs by Noah Shachtman, acting in his capacity as a Nonresident Fellow for Foreign Policy in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 21st Century Defense Initiative at The Brookings Institution. I read and commented on an earlier draft, and I think you will find Noah's paper interesting. From cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 introduction:

Cybercrime today seems like a nearly insoluble problem, much like piracy was centuries ago. There are steps, however, that can be taken to curb cybercrime’s growth—and perhaps begin to marginalize cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 people behind it.

Some of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 methods used to sideline piracy provide a useful, if incomplete, template for how to get it done. Shutting down cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 markets for stolen treasure cut off cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 pirates’ financial lifeblood; similar pushes could be made against cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 companies that support online criminals.

Piracy was eventually brought to heel when nations took responsibility for what went on within its borders. Based on this precedent, cybercrime will only begin to be curbed when greater authority—and accountability—is exercised over cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 networks that form cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 sea on which cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se modern pirates sail.


I agree with this. My original comments to Noah emphasized that not all malicious activity on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Internet is crime, nor is it conducted by criminals. For example, I wince whenever I see cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 term APT in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same sentence as crime or criminals (never mind seeing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "cyber" prefix). As long as you keep Noah's emphasis on true crime in mind while you read cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 paper, I think you will find it compelling. Great work Noah!

SQL Injection Challenge and Time-Based Security

Thanks to this Tweet by @ryancbarnett, I learned of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 lessons learned of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Level II component of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ModSecurity SQL Injection Challenge.

As stated on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 challenge site, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 goal is "To successful execute SQLi against cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 scanning vendor demo websites and to try and evade cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 OWASP ModSecurity CRS." The contestants need to identify a SQL injection vector within one of four demo websites, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n enumerate certain information from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 target.

As also stated on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 challenge page, "Winners of this level will be anyone who is able to enumerate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data listed above for each demo app without triggering an Inbound ModSecurity Alert. If ModSecurity sees any inbound attacks or outbound application defects/info leakages, it will prepend a warning banner to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 top of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 page."

This is interesting, but what caught my attention is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time-based security metrics describing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 results of Level II of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 challenge. I'll reproduce cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 relevant section here:

Hacking Resistance (Time-to-Hack)

Many people wrongly assume that installing a Web Application Firewall will make cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir sites "Hack Proof." Sadly, this is not reality. The real goal of using a web application firewall should be to gain visibility and to make your web applications more difficult to hack meaning that it should take attackers significantly more time to hack a vulnerable web site with a WAF in front in blocking mode vs. if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 WAF was not present at all.

The idea is to substantially increase cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "Time-to-Hack" metric associated with compromising a site in order allow for operational security to identify cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 threat and take appropriate actions...

With this in mind, we analyzed how long it took for each Level II winner to develop a working evasion for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 CRS v2.2.0. We are basing this off of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 correlated IP address in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 logs that was tied to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 final evasion payloads submitted to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ModSecurity team. We also saw that many Level II winners actually tested cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir payloads using cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 CRS Demo page so we had to correlate test payloads cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re as well.

Avg. # of Requests to find an evasion: 433
Avg. Duration (Time to find an evasion): 72 hrs
Shortest # of Requests to find an evasion: 118
Shortest Duration (Time to find an evasion): 10 hrs

This data shows that having active monitoring and response capabilities of ongoing web attacks is paramount as it may only a matter of hours before a determined attacker finds a way through your defenses.

I [Ed: Ryan, not Richard] realize that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re are a multitude of variables and conditions involved where people can say that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se numbers are off (eicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r too high or too low) depending on your defenses and attacker skill level. Keep in mind that this metric was obtained from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ModSecurity WAF using mainly a negative security model ruleset. The point of presenting this data, however, is to have some form of metric available for active web application monitoring and defense discussions related to exploitation timelines.


What a great use of empirical data to make a point about security! Like Ryan says, you can argue about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 rating of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 intruder (does 10 hours really reflect a skilled intruder?) or cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 defenses (is ModSecurity really sufficient?). I'd answer that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y those aspects of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 challenge are sound enough to use as benchmarks for a certain portion of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 threat community and state-of-cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365-practice for defenses.

Ten hours, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n, represents cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 window of time between when an intruder would first start trying to compromise cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Web app, and when he succeeded. That means cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 IR team has no more than 10 hours to detect cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 activity and take action to close cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 window of vulnerability. That's a tall order, but we have a metric now based on more than hand-waving that we can use to start a discussion of capabilities.

On a related note, this is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 sort of activity that a red team could undertake to simulate threat action and identify IR team effectiveness.

Tuesday, July 05, 2011

Bejtlich Teaching in Abu Dhabi in December

I'm pleased to announce that on December 12-13 at Black Hat Abu Dhabi I will teach a special two-day edition of TCP/IP Weapons School 3.0.

This class is designed for junior and intermediate security analysts. The "sweet spot" for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 potential student is someone working in a security operations center (SOC) or computer incident response team (CIRT), or someone trying to establish one of those organizations. The class is very hands-on, and focuses on labs and discussions. There are less than 10 slides at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 very beginning of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 class, and I build cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 flow of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 class based on what you want to hear.

If you would like details on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 class, please see cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 linked site. You may also find my announcement for my Black Hat sessions on 30-31 July and 1-2 August to be helpful too. I'm looking forward to seeing you learn cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 investigative mindset needed to detect and respond to digital intrusions!

Black Hat has four remaining price points and deadlines for registration.

  • "Best" ends 15 August

  • "Early" ends 17 August

  • "Late" ends 12 December

  • Onsite starts at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 conference


Seats are filling -- it pays to register early!

On a related note, we're almost one month away from my 8-9 August TCP/IP Weapons School 3.0 in San Francisco at USENIX Security 2011. Seats are filling in that class too!

I'm also still working on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 details for a norcá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rn VA TCP/IP Weapons School 3.0 class. When I have cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m ready I will post cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m. Thank you.