Wednesday, September 19, 2012

Understanding Responsible Disclosure of Threat Intelligence

Imagine you're hiking in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 woods one day. While stopping for a break you happen to find a mysterious package off to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 side of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 trail. You open cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 package and realize you've discovered a "dead drop," a clandestine method to exchange messages.

You notice cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 contents of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 message appear to be encoded in some manner to defy casual inspection. You decide to take pictures of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 package and its contents with your phone, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n return cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 items to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 place you found cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m.

Returning home you eagerly examine your photographs. Because you're clever you eventually decode cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 messages captured in your pictures. Apparently a foreign intelligence service (FIS) is using cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 dead drop to communicate with spies in your area! You're able to determine cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 identities of several Americans working for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 FIS, as well as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 identities of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir FIS handlers. You can't believe it. What should you do?

You decide to take this information to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 world via your blog. You found cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 messages on your own, and you did cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 work to understand what cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y mean. If cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 press reads about your discovery, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y'll likely take it farcá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r.

You consider going to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 press first, but you decide that it won't hurt to drive traffic to your own blog first. You might even be able to launch that small private investigator practice you've always wanted!

After publishing your post, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 press indeed notices, and publishes an expose featuring an interview with you. Several US intelligence agencies also notice. They had been monitoring cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 dead drop cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365mselves for a year, and had been working a complex joint case against all of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 parties you identified. Now all of that work is ruined.

Before cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 intelligence agencies can react to your disclosure, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 targets of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir investigation disappear. They will likely be replaced by ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r agents quickly enough, using ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r modes of communication unknown to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 US agencies. The FIS will alter cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir operation to account for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 disclosure, but it will continue in some form.

That is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 problem with irresponsible disclosure. To apply cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 situation to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 digital security world, make cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following changes.

  • Substitute "command and control server" for "dead drop."
  • Substitute "tools, exploits, and ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r digital artifacts" for "messages."
  • When cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 adversary learns of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 disclosure, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y move to ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r C2 infrastructure and develop or adopt new tools, tactics, and procedures (TTPs).

What should cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 hypocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365tical "security researcher" have done in this case?

It's fairly obvious he should have approached cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 FBI himself. They would have realized that he had stumbled upon an active investigation, and counseled him to stay quiet for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 sake of national security.

What should "security researchers" in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 digital world do?

This has been an active topic in a private mailing list in which I participate. We've been frustrated by what many of us consider to be "irresponsible disclosures." We agree that sharing threat intelligence is valuable, but we prefer to keep cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 information within channels among peers trusted to not alert cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 adversary to our knowledge of intruder TTPs.

Granted, this is a difficult line to walk, as I Tweeted yesterday:

Responsible security intel teams walk a fine line between sharing for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 benefit of peers and risking disclosure to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 detriment of all.

The best I can say at this point is to keep this story in mind cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 next time you stumble upon a package in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 woods. The adversary is watching.

8 comments:

Thierry Zoller said...

Richard,
I respect your views, usually, in this case your cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365sis makes sense in world that would consist solely of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 USA and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 FBI.

That however is not cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 case, some of us are very unlikely to expose such intel to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 FBI and would racá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r choose a more local or European Institution. In that case it is unlikely to lead to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 outcome you portray regardless if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 FBI is on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir tail or not. Likely one would not know about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 actions of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r.

Unless cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re is a central and single agency across cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 world your cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365sis is flawed.

Of course in general publishing intel will always make those targeted notice and hide/change - we agree.

The question is whecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r you want to run cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 risk of more companies/users being compromised by keeping this information in closed circles or whecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r it should be shared within a closed groups of those that basically choose cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365mselves.

Richard Bejtlich said...

Thanks for your comment Thierry. However, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365sis still holds because you could report to your version of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 FBI. I imagine 90% of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 world's security researches live someplace that has a decent org like that. It's not perfect but it's better than what I'm seeing happen now.

Unknown said...

So cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 problem with exposing FIS information to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 world is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 problem with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m moving and changing. Ideally one would provide cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 internal group (as you say) and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 information would be used to protect. A huge percentage of those companies that are targeted will be provided this information and react. I agree with Richard in that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 person that releases that important information just wants to be recognized and or start his own company. Who can't do analysis? Anyone could but not everyone has access to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 actual TTP. That is so valuable that just giving it to everyone is just a waste of time and money. Remember those companies getting pwned will continue to get pwned because now cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y are coming from some where different. Having cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m in front of us would make cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 security work a little easier.

Unknown said...

So cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 problem with exposing FIS information to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 world is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 problem with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m moving and changing. Ideally one would provide cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 internal group (as you say) and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 information would be used to protect. A huge percentage of those companies that are targeted will be provided this information and react. I agree with Richard in that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 person that releases that important information just wants to be recognized and or start his own company. Who can't do analysis? Anyone could but not everyone has access to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 actual TTP. That is so valuable that just giving it to everyone is just a waste of time and money. Remember those companies getting pwned will continue to get pwned because now cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y are coming from some where different. Having cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m in front of us would make cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 security work a little easier.

Paul Vixie said...

cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 security industry is optimized for shareholder value not public safety.

see also this 2004 article.

Nick Selby said...

Richard,
You raise a truly important concept and I'm glad you did. Anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r thing I'm afraid of here is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 presumption that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 FBI is a) cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 sole place to report such activity (as if ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r agencies couldn't possibly be aware of it) and b) cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 presumption of both willingness to explore even its own organization for a match, let alone to explore with ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r agencies whecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 activity you have observed is part of an operation. A deconfliction process only works when willing participants, with integrity in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir processes, engage in honest participation. Information and intelligence sharing works when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re is a culture - not just a technical mechanism - of sharing. Sharing is a two-way street.

Kevin Stevens said...

+1 to what Paul said

Scott Herbert said...

Richard,
Just some quick off cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 cuff thoughts.
You take this dead drop information to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 FBI you get a "Thank you very much, we'll deal with it". A week later walking you favour trail, you see anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r package in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same dead drop, what do you do?
Are cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 FBI watching and tracking cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 FIS? Did cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 FBI think that you’re tin foil hat had fallen off? Did cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 FBI think “it’s not worth cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 man power to fix”? Sadly you’ve no way of telling which is more likely so what do you do? Risk our national security and not point this out to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 press/ post it on your blog or risk national security by pointing this out / posting it on your blog.
And if you happen to live in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 UK and you notice cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 dead drop on US soil??? As you say cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re are no easy answers (but when are cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir).