Thursday, August 03, 2006

Forensically Sound Evidence

Mike Murr pointed me to his blog post Forensically Sound Duplicate. He suggests replacing this definition of a forensically sound duplicate with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 one that follows.

"A 'forensically-sound' duplicate of a drive is, first and foremost, one created by a method which does not, in any way, alter any data on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 drive being duplicated. Second, a forensically-sound duplicate must contain a copy of every bit, byte and sector of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 source drive, including unallocated 'empty' space and slack space, precisely as such data appears on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 source drive relative to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r data on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 drive. Finally, a forensically-sound duplicate will not contain any data (except known filler characters) ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r than which was copied from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 source drive."

This is Mike's replacement:

"A forensically sound duplicate is a complete and accurate representation of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 source evidence. A forensically sound duplicate is obtained in a manner that may inherently (due to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 acquistion tools, techniques, and process) alter cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 source evidence, but does not explicitly alter cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 source evidence. If data not directly contained in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 source evidence is included in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 duplicate, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 introduced data must be distinguishable from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 representation of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 source evidence. The use of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 term complete refers to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 components of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 source evidence that are both relevant, and reasonably believed to be relevant."

I agree with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 statement "A forensically sound duplicate is a complete and accurate representation of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 source evidence." That is broad and still accurate enough to refer to hard drives, memory, or network traffic. I'm not comfortable with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 alteration portion of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 suggested definition.

Thoughts on Military Service

I recently received an email which contained cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following request:

I would be greatly appreciative of any response from you regarding how your experience with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 military has enhanced your knowledge and careers in information security and any advice you may have to offer.

I was a cadet at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Air Force Academy from 1990-1994, and an active duty officer from 1994 to early 2001. I received my first formal training in security during military intelligence training in 1996. I started my first hands-on security work in 1998 at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Air Force CERT, using our ASIM sensors to detect and respond to intrusions. I met Sguil developer Bamm Visscher cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re. I left cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Air Force when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 personnel system decided it was time for me to "career broaden" out of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 technical world and into anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r field. No thanks!

From my perspective, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Air Force is a good way to gain responsibility at a young age. It was quite an experience to be 27 and in charge of detecting intrusions across cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 whole Air Force. I liked cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 sense that what we did "mattered." Management supported our mission. In fact, current CIA Director General Michael Hayden commanded Air Intelligence Agency while I was assigned cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re, and he invented our information gain - exploit - defend - attack (GEDA) framework.

While in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Air Force I had a chance to deal with high-end intruders who were financed, trained, and determined. Failure was measured in lost sensitive information and potentially lives. When taken seriously, that reality drove adopting what worked and eliminating what didn't. I developed my thoughts on network security monitoring based on my Air Force experiences. I was also proud to serve with some of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 most motivated and talented people I've ever met.

Intruders Selling Security Software

If you read my coverage of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 UBS trial, you'll remember cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 controversy involving Karl Kasper's "hacker" background. I said in that post:

All cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 wanna-be hacker kiddies should remember that grown-ups don't trust cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 opinions of "hackers" in courts of law.

If you wouldn't trust what a "hacker" says in court, would you trust software sold by an intruder?

Yesterday I read this article: Ex-hacker helps companies get defensive. It contains this news:

A reformed computer hacker is winning big clients for open-source software and hardware products that protect a company's network from intruders...

The 27-year-old [name deleted] got his start at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 U.S. Department of Defense in an auspicious way: He agreed to work in information warfare after he was arrested at age 17 for hacking into a government network. In return, he served no jail time.


I'm appalled by this story. First, it demonstrates cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 press' obsession with using cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 term "hacker" to describe an intruder Second, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 intruder is posting word of this story on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 front page of his company's Web site. Third, this intruder worked for a variety of companies in sensitive positions -- including, supposedly, our own government. I wonder which of those post-arrest companies knew about this intruder's arrest? I wonder if this is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first time his customers will learn of his past?

Wednesday, August 02, 2006

Analog Penetration Testing

While watching cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 evening news I saw cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 story Investigation: U.S. borders perilously porous -- Federal investigators easily pass border checks using fake identification. On Wednesday cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Government Accountability Office (yes, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y changed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir name) will release a report on an analog penetration test performed against cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 US border. What do I mean by that?

[GAO] agents successfully entered cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 United States using fictitious driver's licenses and ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r bogus documentation through nine land ports of entry on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 norcá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rn and soucá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rn borders. CBP [Customs and Border Protection] officers never questioned cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 aucá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365nticity of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 counterfeit documents presented at any of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 nine crossings.

On three occasions -- in California, Texas, and Arizona -- agents crossed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 border on foot. At two of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se locations -- Texas and Arizona -- CBP allowed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 agents entry into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 United States without asking for or inspecting any identification documents.


This excerpt is from a draft report (.pdf) which will be delivered by GAO to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 US Senate on Wednesday. Initial reports indicate lawmakers are really upset by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se findings, because cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 situation has not improved since cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 last test in 2003.

What does this tell me? Apparently, decision-makers listen when findings are presented in a simple manner. If CBP fails to prevent people with forged IDs from entering cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 country, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n it's clear cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y are not fulfilling cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir mandate. Simulating threat activity and discovering that attacks succeed 100% of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time is a damning critique of one's security measures. When presented in this manner, it's easy to see what works and what doesn't.

This is why I advocate penetration tests as a means to assess security. If it takes me five minutes to gain access to information you expect to keep private, that's a clear indication your organization has serious security problems. It's performance-based security measurement. Just how well do your people, products, and processes handle a real event?

This sort of thinking is second nature to anyone with military, law enforcement, or fire fighting backgrounds. (I'm sure cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re are ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs -- feel free to name cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m as comments.) These organizations assess cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir capability to perform cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir missions by exercising. Sure, you should take inventories, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365orize, and so on, but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 proof lies in how well you can execute in a near-real-world environment. (Executing in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 real world is obviously cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 best test, but you don't want to put people's lives on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 line unnecessarily.)

Do you want to know how well your airport screeners detect weapons in luggage? Don't measure your training budget, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 education level of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 personnel, or cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 number of steps in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir checklist. Run fake weapons through X-ray machines and see who catches cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m.

How well is border security inspecting IDs? Don't count increases in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 numbers of agents, measure cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir salaries, or inspect cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir guidebooks. Send agents across cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 border with fake IDs and see if CBP stops cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m.

How well does your enterprise protect sensitive information from unauthorized access? Don't pretend to assess threats, assign fake risk values, and count cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 number of packets blocked by your firewall. Hire a pen tester to steal your information.

Repeat cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 process in 6 months and see if it's more difficult. If yes, your security has improved. If no, your security has degraded. It's really as simple as that. Be careful to ensure cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 second pen tester is as skilled as, or superior to, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first pen tester.

Tuesday, August 01, 2006

Gadi Evron on Botnet Command and Control

Renowned botnet hunter Gadi Evron posted a message titled mitigating botnet C&Cs has become useless to several newsgroups. His post is a little tough to follow, but it seems his main point is it's too easy for intruders to establish new command and control networks. The good guys can't shut down cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 C&C networks fast enough to make a difference.

Paul Vixie extended this argument in 2004 in his Superbugs story. He said "Stomping a botnet is actually a bad thing to do. Read that again. Please." Vixie argues that shutting down simple C&C networks forces intruders to elevate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir game.

I'm not sure what I should think about this issue. Paul Vixie, and definitely Gadi Evron, know far more about botnets than I do. However, I'm not sure that I can accept cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir argument about slowing down cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 digital arms race. I agree that confronting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 intruders as directly as possible, though law enforcement, is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 best course of action. On cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r hand, if I worked for an ISP, I would not tolerate botnet command and control networks on my links just so intruders wouldn't learn to innovate.

More Notes for TCP/IP Weapons School Students

For countermeasures for many of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attacks discussed in class, one great document with discussions and Cisco command syntax is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 NSA's Cisco IOS Switch Security Configuration Guide.

During class a question on jumbo Ecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rnet frames (usually 9000 bytes) was asked. A jumbo frame uses Ecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rType 0x8870, as shown in this excerpt from tcpdump/ecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rtype.h:

#ifndef ETHERTYPE_JUMBO
#define ETHERTYPE_JUMBO 0x8870
#endif

Notice that 0x8870 is not listed in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 official IANA assignment list.

I found this note which said some jumbo frames use Ecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rType 0x0800, but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 application data is simply larger than normal (1500 bytes).

A question was asked regarding differences between Cat 5, Cat 5e, Cat 6, and Cat 7 cables. This article provides an overview. Wikipedia is also helpful, as long as no random user edits it to be incorrect.

On slide 133 I said "auto" is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 default DTP mode on Cisco switches. I have seen conflicting news on this, with both my switch operating in "desirable" mode by default and Cisco documentation reporting "desirable" as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 default. I recommend considering DTP mode "desirable" as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 default, not auto. If any blog reader can confirm, I would appreciate it.

Network Security Operations: LA Edition: 6-7 Sep 06, Glendale, CA

Here's an update on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Network Security Operations: LA Edition class I announced yesterday. This is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 location for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 class:

Ascolta Training

Wells Fargo Building

535 N. Brand Blvd. Suite 510

Glendale, CA 91203

Tel: 818.550.1200 / Fax: 818.550.1257


For more information on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 class, please see TaoSecurity training. Thank you.