Tuesday, August 31, 2004

Review of The Design and Implementation of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 FreeBSD Operating System Posted

Amazon.com just posted my five star review of The Design and Implementation of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 FreeBSD Operating System. I was excited to see this update of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 1996 classic The Design and Implementation of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 4.4BSD Operating System finally published. From cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 review:

"I have been administering FreeBSD systems for four years, and I read 'The Design' to get a better understanding of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system 'under cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 hood.' This book is definitely not for beginners, and intermediate users like myself can become quickly overwhelmed. Nevercá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365less, I am very glad FreeBSD developers like McKusick and Neville-Neil took cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time to document cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 kernel in this book."

You can access cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 authors' works at Addison-Wesley or at McKusick.com and Neville-Neil.com.

Monday, August 30, 2004

What is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Ultimate Security Solution?

I received an email asking certain questions about digital security. Since cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 author said I could post my reply in my Blog, here is an excerpt from his email:

"I have read of many ways that hackers obtain access. But, I am uncertain what is comprehensive protection. Clearly, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re are firewalls, anti-virus, anti-spyware, IDS, IPS, and many ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r three letter acronym tools available. I have read of your use/support for Sguil. Do you feel that is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ultimate solution?

There are ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r tools out cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re like eEye Blink, Pivx Qwikfix, and Securecore type products. I like cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m, but am uncertain if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y do an adequate job at providing security. And I really don't know which would be considered cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 best of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se.

So, I appeal to you for your insight. Would really appreciate any feedback - here or on your blog."


This is an interesting question, because at least one reader of my recent Focus-IDS post thought I was a "detection-only" advocate. Since I believe protection eventually fails (I do believe that, and it's true), did I not also believe protection was worthless?

Chapter 1 of my book lays out my philosophy on security, and Chapter 2 explains how I believe Network Security Monitoring meets cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 needs of my security philosophy. Anton Chuvakin's recent Slashdot review summarizes some of my thoughts. I recommend anyone interested in knowing how I define terms like security, risk, vulnerability, threat, and so forth thumb through cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first two chapters of my book in your local Borders or Barnes and Noble store.

Regarding "ultimate solutions," I don't believe cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re is such a concept. I agree with Dr. Mitch Kabay that "security is a process, not an end state," and with Bruce Schneier who says security is a process, not a product." On p. 4 of my book I define security as "cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 process of maintaining an acceptable level of perceived risk." No organization can be considered "secure" for any time beyond cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 last verification of adherence to its security policy.

How does one best adhere to one's security policy? I believe cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 answer lies in following cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 security process, which consists of assessment, protection (prevention), detection, and response. Chapter 11 of my book presents best practices for each as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y relate to implementing NSM.

This means none of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 products you mentioned (yes, even Sguil) can provide ultimate security. Even all of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 best of breed products in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 world deployed simultaneously cannot perfectly secure an organization. Focus on products ignores people and processes. All three elements must be brought to bear on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 security problem.

I clearly believe that network awareness is one of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 keys to security. "Situational awareness" was drilled into my brain as a cadet at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 US Air Force Academy, and for good reason. When one is ignorant of one's surroundings, it is impossible to discern cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 defensive landscape as well as any threats. I advocate NSM as a means to get real threat intelligence. I avoid taking a vulnerability-focused approach to security where possible. Remember that one of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 best ways to prevent intrusions is to help put criminals behind bars by collecting evidence and supporting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 prosecution of offenders. The only way to ensure a specific Internet-based threat never bocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs your organization is to separate him from his keyboard!

I recommend you and ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs define your requirements before speaking to any vendor or researching any products. Decide what you believe is lacking in your security posture, and determine what combination of products, people, and processes could best meet your needs. Hire a professional security consultant to perform an assessment if you feel you lack cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 necessary expertise. Avoid consultants who run Nessus and drop a vulnerability report on your desk. Consult those who can offer solutions to problems or who can supervise cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 implementation of solutions by third parties. For your personal education you might find reading one or more of my recommended books helpful.

Sunday, August 29, 2004

Showing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 FreeBSD Release Engineering Team is on schedule, FreeBSD 5.3-BETA2 is now available. Relating to my earlier post on GIANT, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 announcement states "debug.mpsafenet (multi-processor safe network stack) is still turned off by default for BETA2 but will be turned on for BETA3."

Saturday, August 28, 2004

GIANT-free Networking in FreeBSD 6.0 CURRENT and Upcoming 5.3 STABLE

I've been watching Robert Watson's work on removing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 GIANT lock from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 FreeBSD kernel. This is an aspect of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 FreeBSD SMP project (aka SMPng). Robert's posts on 24 Aug 04 and 28 Aug 04 explain what is affected by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se developments. The aspects I care about include cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following:

- Those using KAME IPSec will not be able to disable cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 GIANT lock, and least not yet.
- FAST IPSEC does work with GIANT removed.
- The ath (802.11g), bge, dc, em (Intel gigabit), ep, fxp (Intel 10/100), rl, sis (Soekris Net4801), xl, and wi (802.11b Prism2) network interface drivers work with GIANT disabled.

You can see how cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 GIANT lock appears when enabled in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 dmesg output from a Dell PowerEdge 750 running FreeBSD 5.3-BETA1.

John Baldwin's Locking in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Multithreaded FreeBSD Kernel explains what cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 GIANT lock does.

Friday, August 27, 2004

My Book on Slashdot

My book made Slashdot. Let's see how well this site and TaoSecurity.com hold up! Thank you to Anton Chuvakin for a positive review.

Update: Here's how cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Slashdot effect looked to TaoSecurity.com:




Here's how cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Slashdot effect looked to this Blog:




My Barnes and Nobles sales rank has dropped from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 40,000 range to 20 -- I've passed Bill Clinton and Harry Potter. :)




My Amazon.com sales rank has dropped from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 20,000 range to 119. Slashdot is absolutely amazing. If you find cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Amazon price too high, remember Bookpool has cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 best deal going -- $27.25 plus shipping.




I'd been tracking cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Amazon rank to see if I could make any sense of it. You can watch cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Slashdot effect kick in between 5 and 6 pm EDT:


Fri Aug 27 17:00:02 EDT 2004
Amazon.com Sales Rank: 20,998

Fri Aug 27 18:00:01 EDT 2004
Amazon.com Sales Rank: 9,363

Fri Aug 27 19:00:02 EDT 2004
Amazon.com Sales Rank: 1,256

Fri Aug 27 20:00:02 EDT 2004
Amazon.com Sales Rank: 614

Fri Aug 27 21:00:01 EDT 2004
Amazon.com Sales Rank: 348
...
Fri Aug 27 23:00:01 EDT 2004
Amazon.com Sales Rank: 313

Sat Aug 28 00:00:01 EDT 2004
Amazon.com Sales Rank: 275

Sat Aug 28 01:00:01 EDT 2004
Amazon.com Sales Rank: 212

Sat Aug 28 03:00:02 EDT 2004
Amazon.com Sales Rank: 188
...
Sat Aug 28 06:00:01 EDT 2004
Amazon.com Sales Rank: 163

Note: These rankings represent cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 best-case scenario. Now that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Slashdot effect has ended, I've dropped at both Amazon.com and Barnes and Noble. It was fun while it lasted!

Thursday, August 26, 2004

Senator Kennedy No-Fly Watch List and IDS "False Positives"

It struck me today that Senator Kennedy's no-fly watch list troubles are very similar to our digital security woes. Recently Kennedy said "he was stopped and questioned at airports on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 East Coast five times in March because his name appeared on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 government's secret 'no-fly' list." The Washington Post reported "a senior administration official, who spoke on condition he not be identified, said Kennedy was stopped because cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 name 'T. Kennedy' has been used as an alias by someone on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 list of terrorist suspects."

"T. Kennedy" reminds me of a content matching IDS rule. Is this a "false positive"? If you consider that airline personnel were making decisions based on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 rules cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y were given -- stop anyone using cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 name "T. [Ted, in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 senator's case] Kennedy," this is not a false positive. Perhaps with more context, like personal recognition that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 individual at hand is one of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 most famous members of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 US Senate, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 airline "IDS" would meet more of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "spirit" of its mission and less its "letter."

How did Senator Kennedy handle being flagged when he checked into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 airport? According to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Post, "When cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 senator checked in at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 counter, airline employees told him cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y could not issue him a boarding pass because he appeared on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 list. Kennedy was delayed until a supervisor could be summoned to identify him and give approval for him to board cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 plane." That process reminds me of an investigation by a human analyst. Luckily cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 analyst had cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 information he or she needed to make a decision. The "full content data" in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 person of Senator Kennedy allowed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 decision maker to realize cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 senator was not a terrorist. Without that data, say only knowing someone named "T. Kennedy" was on board a flight, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 decision maker might not be able to take proper defensive actions.

What is better: (1) removing a "bad signature" ("T. Kennedy"), or (2) relying on a scrap of imprecise information that could potentially identify a serious threat? With all of this case's publicity, it's doubtful any terrorist will use that alias again. Whatever your decision, this case reminds security professionals to collect cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 information analysts need to transform indicators into warnings. Also, don't blame cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 identification system for making poor decisions if you feed it imprecise signatures.

Wednesday, August 25, 2004

Fascinating .gov and .mil Docs

Perhaps "fascinating" is too strong a word, but I've come across several intriguing government reports and documents which security professionals might find interesting. First, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 CERT/CC and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Secret Service released a joint report titled Insider Threat Study. It's based on "23 incidents carried out by 26 insiders in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 banking and finance sector between 1996 and 2002. Organizations affected by insider activity in this sector include credit unions, banks, investment firms, credit bureaus, and ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r companies whose activities fall within this sector. Of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 23 incidents, 15 involved fraud, four involved cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ft of intellectual property, and four involved sabotage to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 information system/network." One of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 incidents, mentioned in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 beginning of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 report, was cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 case prosecuted by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 DoJ on behalf of UBS.

The major findings include:

"- Most of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 incidents in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 banking and finance sector were not technically sophisticated or complex. They typically involved cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 exploitation of non-technical vulnerabilities such as business rules or organization policies (racá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r than vulnerabilities in an information system or network) by individuals who had little or no technical expertise. In 87% of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 cases cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 insiders employed simple, legitimate user commands to carry out cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 incidents, and in 78% of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 incidents, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 insiders were authorized users with active computer accounts.

- The majority of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 incidents (81%) were devised and planned in advance. Furcá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rmore, in most cases, ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs had knowledge of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 insider's intentions, plans, and/or activities. Those who knew were often directly involved in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 planning or stood to benefit from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 activity.

- Most insiders (81%) were motivated by financial gain, racá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r than a desire to harm cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 company or information system.

- Insiders in this report fit no common profile. Only 23% held a technical position, 13% had a demonstrated interest in hacking and 27% had come to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attention of a supervisor or co-worker prior to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 incident.

- Insider incidents were detected by internal, as well as external, individuals including customers.

- The impact of nearly all insider incidents in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 banking and finance sector was financial loss for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 victim organization: in 30% of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 cases cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 financial loss exceeded $500,000. Many victim organizations incurred harm to multiple aspects of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 organization.

- Most of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 incidents (83%) were executed physically from within cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 insider's organization and took place during normal business hours."

The report also cites a 2000 study titled "DoD Insider Threat Mitigation," available in .doc format. I like reading cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se sorts of studies because cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y focus on threats, not vulnerabilities. I am always pleased when I see organizations working with law enforcement to prosecute intruders. A new firewall is not going to stop future intrusions; putting criminals in jail will. Don't focus on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 vulnerability and forget about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 threat!

On cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 .mil side, I came across fairly new documents from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Air Force describing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir new network operations and security posture. It seems after four years of debate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 dust is settling around a hierarchical structure led by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Air Force Network Operations and Security Center (AFNOSC). Several Air Force Instructions (AFIs), led by AFI33-115V1 "Network Operations (NETOPS)" (3 May 04) and ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r 33 series AFIs have redefined cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 relationship between cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 AFNOSC and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Air Force network. While cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 new structure looks good, I was sad to see cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 name "AFCERT" officially be replaced by "AFNOSC Network Security Division." I understand cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 desire to give cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 AFCERT cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 authority of being AFNOSC-NSD, but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 AFCERT name has twelve years of history behind it. My friends still in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 AFCERT report cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y still use cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 old name and plan to do so.