Saturday, September 29, 2012

Netanyahu Channels Tufte at United Nations

This is not a political blog, and I don't intend for this to be a political post.

I recently watched Israeli Prime Minster Benjamin Netanyahu's speech to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 United Nations on Thursday. I watched it because I am worried about Iran's nuclear weapons program and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Iranian security situation, to be sure.

However, what really intrigued me was cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 red line he actually drew on a diagram, in front of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 United Nations. In cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 video I linked, it takes place at approximately cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 26 minute mark. The screen capture at left shows this event.

The reason this caught my attention was that it reminded me of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Best Single Day Class Ever, taught by Edward Tufte. I attended his class in 2008 and continue to recommend it.

I've since blogged about Tufte on several occasions.

Netanyahu's action, to me, seems like pure Tufte. The primary goal of his speech was to tell Iran, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 world, that Israel is setting a "red line" involving Iran's nuclear weapons program. To show that, he literally drew a red line on a diagram representing Iranian progress on uranium enrichment.

Now, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re's some confusion about what that red line really means. The point is that people are talking about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 red line, and that means Netanyahu at least partially achieved his goal.

This is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 take-away for those of us who speak in public: racá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r than develop Yet Anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r PowerPoint presentation, determine 1) what message you want your audience to remember, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n 2) figure out how you can escape from flat land to grab your audience's attention.

If you want to learn more about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se techniques, take Tufte's course!

You can read a transcript of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 speech as well as see cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 video. Besides cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 red line segment, I thought it was a powerful speech. I'm convinced that unless Iran changes course, Israel will disable Iran's uranium enrichment capability.

Friday, September 28, 2012

Celebrate Packt Publishing's 1000th Title

I'm pleased to announce a special event involving Packt Publishing. The company told me, as a way to celebrate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir 1000th title, that those who have registered at https://www.packtpub.com/login by 30 September will receive one free e-book. To help you make your choice, Packt is also opening its online library for a week for free to members.

I'm interested in two recent titles:

Metasploit Penetration Testing Cookbook by Abhinav Singh

Advanced Penetration Testing for Highly-Secured Environments by Lee Allen

In a few months a third book will arrive:

BackTrack 5 Cookbook

At this point I don't have personal experience with any of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se titles, but I plan to take a look.

Thank you Packt for sharing part of your library with us!

Wednesday, September 26, 2012

Top Ten Ways to Stir cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Cyber Pot

I spent a few minutes just now thinking about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 digital security issues that people periodically raise on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir blogs, or on Twitter, or at conferences. We constantly argue about some of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se topics. I don't think we'll ever resolve any of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m.

If you want to start a debate/argument/flamewar in security, pick any of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following.

  1. "Full disclosure" vs "responsible disclosure" vs whatever else
  2. Threat intelligence sharing
  3. Value of security certifications
  4. Exploit sales
  5. Advanced-ness, Persistence-ness, Threat-ness, Chinese-ness of APT
  6. Reality of "cyberwar"
  7. "Builders vs Breakers"
  8. "Security is an engineering problem," i.e., "building a new Internet is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 answer."
  9. "Return on security investment"
  10. Security by mandate or legislation or regulation

Did I miss any subjects people raise to "stir cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 cyber pot?"

Tuesday, September 25, 2012

Unrealistic "Security Advice"

I just read a blog post (no need to direct traffic cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re with a link) that included cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following content:

This week, I had cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 opportunity to interview cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 hacking teams that used zero-day vulnerabilities and clever exploitation techniques to compromise fully patched iPhone 4S and Android 4.0.4 (Samsung S3) and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 big message from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se hackers was simple: Do not use your mobile device for *anything* of value, especially for work e-mail or cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 transfer of sensitive business documents.

For many, this is not practical advice. After all, your mobile device is seen as an extension of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 computer and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re is a legitimate need to access work e-mail on iPhone/iPad, Android and BlackBerry smart phones. However, whecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r you are a businessman, a celebrity or cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 average consumer, it's important to start wrapping your mind around cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 idea of separating work from play on mobile devices.

This author is well-meaning, but he completely misses cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 bigger picture.

Against a sufficiently motivated and equipped adversary, no device is impenetrable.

Mobile devices are simply cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 latest platform to be vulnerable. There is no reason to think your corporate laptop is going to survive any better than your iPhone.

Now, I believe that non-mobile devices enjoy some protections that make cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m more defensible compared to mobile devices. Servers and workstations are generally "wrapped" with multiple defensive layers. Laptops benefit from those layers when connected to a corporate network, but may lose cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m when mobile. Still, even with those layers, intruders routinely penetrate networks and accomplish cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir missions.

One might also argue that mobile devices are more likely to be lost or stolen. I agree with that. However, full device encryption and passcodes can mitigate those risks. That's not cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same as "zero-day vulnerabilities and clever exploitation techniques" however.

Despite cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se limitations, we still conduct work on computing devices. If we didn't, what would be cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 point?

We would be much better served if we accepted that prevention eventually fails, so we need detection, response, and containment for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 incidents that will occur.

Software developers and security engineers should of course continue to devise better protection and resistance mechanisms, but we must remember we face an intelligent adversary who will figure out how to defeat those countermeasures.

Sunday, September 23, 2012

To Be Hacked or Not To Be Hacked?

People often ask me how to tell if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y might be victims of state-serving adversaries. As I've written before, I don't advocate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 position that "everyone is hacked." How cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n can an organization make informed decisions about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir risk profile?

A unique aspect of Chinese targeted threat operations is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir tendency to telegraph cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir intentions. They frequently publish cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 industry types cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y intend to target, so it pays to read cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se announcements.

Adam Segal Tweeted a link to a Xinhua story titled China aims to become world technological power by 2049. The following excerpts caught my attention:

China aims to become a world technological power by 2049 and strives to be a leading nation in innovation and scientific development, according to a government document released on Sunday.

The document, released by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Communist Party of China Central Committee and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 State Council, or cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Cabinet, namely opinions on "deepening technological system reform and accelerating national innovation system construction," sets cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 goal for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 country to be "in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ranks of innovative nations" by 2020...

In this intro we read two key dates: 2020 for "in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ranks of innovative nations" and 2049 for a "world technological power." As we've seen during cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 last 10-12 years, one of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ways China pursues cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se goals is to steal intellectual property from target industries. What are those industries?

The development of strategic emerging industries, such as energy preservation and environmental protection, new-generation information technology, biology, advanced equipment manufacturing, new energy and material as well as green vehicles, should be accelerated, it said.

Major breakthroughs of key technologies should be materialized in sectors including electronic information, energy and environment protection, biological medicine and advanced manufacturing, it said.

Those industries have already been targeted and compromised by Chinese intruders. If you work in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se areas but aren't actively seeking to detect and respond to Chinese intruders in your enterprise, I recommend taking a closer look at who is using your network.

Later in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 document I was somewhat surprised to read cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following:

And technological innovation should be made in industries that were related to people's livelihoods, such as health, food and drug safety, and disaster relief, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 document said.

The underlined industries explain some activity I've seen recently, and it may be a warning for those of you in those sectors.

The last part of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 document I would like to mention says cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following: It called for an enhanced system to integrate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 technologies for military use and those for civilian purposes.

The document said cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 nation's technological plan would be more open to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 outside world in terms of cooperation, and international academic institutions and multinational companies would be encouraged to set up R&D centers.

None of that is new, but it shows cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Chinese commitment to applying "dual use" technologies to both sides of that equation. It also shows cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Chinese think cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y can still fool Western companies into sending engineers to China, where stealing IP is as easy as setting foot in an office building. Unfortunately plenty of Western companies appear to be falling for this ploy.

Wednesday, September 19, 2012

Understanding Responsible Disclosure of Threat Intelligence

Imagine you're hiking in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 woods one day. While stopping for a break you happen to find a mysterious package off to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 side of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 trail. You open cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 package and realize you've discovered a "dead drop," a clandestine method to exchange messages.

You notice cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 contents of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 message appear to be encoded in some manner to defy casual inspection. You decide to take pictures of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 package and its contents with your phone, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n return cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 items to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 place you found cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m.

Returning home you eagerly examine your photographs. Because you're clever you eventually decode cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 messages captured in your pictures. Apparently a foreign intelligence service (FIS) is using cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 dead drop to communicate with spies in your area! You're able to determine cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 identities of several Americans working for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 FIS, as well as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 identities of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir FIS handlers. You can't believe it. What should you do?

You decide to take this information to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 world via your blog. You found cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 messages on your own, and you did cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 work to understand what cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y mean. If cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 press reads about your discovery, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y'll likely take it farcá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r.

You consider going to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 press first, but you decide that it won't hurt to drive traffic to your own blog first. You might even be able to launch that small private investigator practice you've always wanted!

After publishing your post, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 press indeed notices, and publishes an expose featuring an interview with you. Several US intelligence agencies also notice. They had been monitoring cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 dead drop cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365mselves for a year, and had been working a complex joint case against all of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 parties you identified. Now all of that work is ruined.

Before cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 intelligence agencies can react to your disclosure, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 targets of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir investigation disappear. They will likely be replaced by ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r agents quickly enough, using ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r modes of communication unknown to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 US agencies. The FIS will alter cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir operation to account for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 disclosure, but it will continue in some form.

That is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 problem with irresponsible disclosure. To apply cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 situation to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 digital security world, make cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following changes.

  • Substitute "command and control server" for "dead drop."
  • Substitute "tools, exploits, and ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r digital artifacts" for "messages."
  • When cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 adversary learns of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 disclosure, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y move to ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r C2 infrastructure and develop or adopt new tools, tactics, and procedures (TTPs).

What should cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 hypocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365tical "security researcher" have done in this case?

It's fairly obvious he should have approached cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 FBI himself. They would have realized that he had stumbled upon an active investigation, and counseled him to stay quiet for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 sake of national security.

What should "security researchers" in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 digital world do?

This has been an active topic in a private mailing list in which I participate. We've been frustrated by what many of us consider to be "irresponsible disclosures." We agree that sharing threat intelligence is valuable, but we prefer to keep cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 information within channels among peers trusted to not alert cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 adversary to our knowledge of intruder TTPs.

Granted, this is a difficult line to walk, as I Tweeted yesterday:

Responsible security intel teams walk a fine line between sharing for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 benefit of peers and risking disclosure to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 detriment of all.

The best I can say at this point is to keep this story in mind cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 next time you stumble upon a package in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 woods. The adversary is watching.

Tuesday, September 18, 2012

Over Time, Intruders Improvise, Adapt, Overcome

From TaoSecurity
Today I read a well-meaning question on a mailing list asking for help with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following statement:

"Unpatched systems represent cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 number one method of system compromise."

This is a common statement and I'm sure many of you can find various reports that claim to corroborate this sentiment.

I'm not going to argue that point. Why am I still aggravated by this statement cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n? This sentiment reflects static thinking. It ignores activity over time.

For both opportunistic and targeted threats, when exploiting unpatched vulnerabilities no longer works, over time cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y will escalate to attacks that do work.

I recognize that if you have to start your security program somewhere, addressing vulnerabilities is a good idea. I get that as a Chief Security Officer.

However, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 tendency for far too many involved with security, from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 CTO or CIO perspective, is to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n conclude that "patched = secure."

At best, patching reduces a certain amount of noise because it deflects opportunistic attacks that work against weaker peers. Should patching become more widespread, opportunistic attackers adopt 0-days. We've been seeing that in spades over cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 last few months, even without widespread adoption of patches.

In cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 case of targeted attacks, patching drives intruders to try ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r means of exploitation. I've seen this first hand, with intruders adopting 0-days as a matter of course or trying ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r attack vectors. Targeted intruders learn not to trip traditional defenses while failing to exploit well-known vulnerabilities.

If someone asks you if "unpatched systems represent cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 number one method of system compromise," please keep this post in mind. Remember we face an intelligent adversary who, over time, acts to improvise, adapt and overcome.

We must do cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same, over time.

Monday, September 17, 2012

Does Anything Really "End" In Digital Security?

Adam Shostack wrote an interesting post last week titled Smashing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Future for Fun and Profit. He said in part:

15 years ago Aleph One published “Smashing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Stack for Fun and Profit.” In it, he took a set of bugs and made cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m into a class, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 co-evolution of that class and defenses against it have in many ways defined Black Hat. Many of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 most exciting and cited talks put forth new ways to reliably gain execution by corrupting memory, and ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs bypassed defenses put in place to make such exploitation harder or less useful. That memory corruption class of bugs isn’t over, but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 era ruled by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 vulnerability is coming to an end.

Now, I'm not a programmer, and I don't play one at Mandiant. However, Adam's last sentence in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 excerpt caught my attention. My observation over cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 period that Aleph One's historic paper was written is this: we don't seem to "solve" any security problems. Accordingly, no "era" seems to end!

Is this true? To get a slight insight into whecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r my sense of history is correct, I consulted cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Open Source Vulnerability Database and ran queries like cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following:

Query for all vulnerabilities of attack type "input manipulation," with "buffer overflow" in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 text, from time 1 Aug 96 to 1 Aug 97

I chose to run cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se "August" periods to capture time as it passed since Aleph One's paper was published in August 1996.

The results were:

Year Vulns
1997 11
1998 10
1999 6
2000 48
2001 41
2002 43
2003 94
2004 127
2005 86
2006 27
2007 29
2008 39
2009 36
2010 48
2011 44
2012 45
As a chart, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y looked like this:

I find cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se results interesting, and I accept I could have run cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 query wrong by selecting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 wrong terms. If I managed to get in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ballpark of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 correct query, though, it seems we are not eliminating buffer overflows as a vulnerability.

I suppose one could argue about where researchers are finding cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 vulnerabilities, but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y're still cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re in software worth reporting to OSVDB, and apparently trending upward.

My bottom line is to remember that security appears to be a game of and, not a game of or. We just add problems, and tend not to substitute cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m.

Wednesday, September 05, 2012

Encryption Is Not cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Answer to Security Problems

I just read Cyber Fail: Why can't cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 government keep hackers out? Because cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 public is afraid of letting it, an article in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 new Foreign Policy National Security channel. I've Tweeted on Mr Arquilla's articles before, but this new one published today offers a solution to security problems that just won't work.

Consider cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se excerpts:

Back in President Bill Clinton's first term, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "clipper chip" concept was all about improving cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 security of private communications. Americans were to enjoy cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 routine ability to send strongly encoded messages to each ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r that criminals and snoops would not be able to hack, making cyberspace a lot safer.

I see two errors in this section. First, having lived through that time, and having read Steven Levy's excellent book Crypto: How cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Code Rebels Beat cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Government Saving Privacy in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Digital Age, I disagree with Mr Arquilla's statement. The Clipper Chip was cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 government's last attempt to keep tight control of encryption, not "improve cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 security of private communications."

Second, Mr Arquilla implies that encryption = "making cyberspace a lot safer." That fallacy appears later in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 article.

Sadly, industry leaders have never emphasized cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 value of strong crypto sufficiently eicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r. There are many reasons for this neglect -- cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 most likely being that encouraging ubiquitous use of strong crypto could weaken sales of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 firewalls and anti-viral products that form so much of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 cybersecurity business model.

Here is my key issue with this article. An enterprise could encrypt every single piece of information at rest or in transit, and intruders would still win.

The fundamental reality of cryptography in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 enterprise is that users and applications must be able to access data in unencrypted form in order to use it.

In ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r words, if a user can access data, so can an intruder.

Cryptography certainly frustrates some bad guys, such as amateurs who eavesdrop on encrypted communications, or thieves who swipe mobile devices, or intruders who remove encrypted files without bocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ring to obtain cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 material necessary to decrypt it.

However, cryptography will not stop your Web app from suffering SQL injection, nor will it keep Java from being exploited by a client-side attack.

The article concludes in part by saying:

But ways ahead do exist. There is a regulatory role: to mandate better security from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 chip-level out -- something that Sen. Joseph Lieberman's Cybersecurity Act would only have made voluntary.

This sounds like an advertisement for a chip maker. I've heard cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir lobbyists use cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same terms on Capitol Hill. "Mandating security" at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "chip level" would be as effective as FISMA -- a waste of time.

Mr Arquilla does make a few points I agree with, such as:

[W]e should treat cybersecurity as a foreign-policy issue, not just a domestic one. For if countries, and even some networks, can find a way to agree to norms that discourage cyberwar-making against civilian infrastructure -- much as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 many countries that can make chemical and biological weapons have signed conventions against doing so -- cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n it is just possible that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 brave new virtual world will be a little less conflict prone.

However, do not be fooled into thinking that encryption is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 answer to our security problems.

Monday, September 03, 2012

Bejtlich Interviewed on This Week in Defense News

Last week Vago Muradian from This Week in Defense News with Vago Muradian interviewed me for his show. You can see cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 online version here.

The online version is about two minutes longer than cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 broadcast version. We recorded cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 extra material separately and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 video staff added it in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 middle of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 session. They were so smooth I didn't originally notice cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 change!

Vago asked questions about how companies can defend cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365mselves from digital threats. He wanted to know more about state-sponsored intrusions and how to differentiate among different types of threat actors.

In cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 extra session Vago and I talked about recent SEC activities and how to tell if your organization has been victimized by a targeted attacker.

There's a possibility Vago will invite me back to participate on a panel discussing digital security. I look forward to that if it happens!

If you have any questions on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 video, please post a comment and I'll answer. Thank you.