Sunday, August 08, 2004

Net Optics Press Release on Book and USENIX Class

I'm a big fan of taps made by Net Optics, especially after reading advice from ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r manufacturers. Because I featured Net Optics taps in chapter 3 of my book, and brought one for my class network at USENIX, Net Optics published a press release on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 two events today. I'd like to thank Net Optics for supporting my tap research and for giving expert advice on chapter 3.

On a related note, I came across this 1996 thread discussing early tap use.

Dru Likes My Book and Good BSD News

While visiting BSDNews.com I read Dru Lavigne's latest musings. She has some kind words on my book:

"So far, I'm really enjoying cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 book and appreciate Richard's logical, thorough approach and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 plethora of useful URLs to additional references interspersed on nearly every page. His discussion on 'accessing traffic in each zone' is very practical and definitely written by someone who has "been cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re done that". And within cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first 100 pages I've already come across undocumented or poorly documented BSD commands which Richard explains in detail.


My only caution to readers is that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y'll enjoy cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 book a lot more if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y bring to it a fairly solid understanding of networking, TCP/IP, and general security concepts. After all, this is an Addison Wesley, not a "teach yourself network monitoring in 24 hours". I do think that those with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 networking and security background will appreciate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 level of experience Richard has brought to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 book. And, this point can't be championed enough: this book was written to demonstrate how open source tools on open source operating systems are ideal for network monitoring."

I'm glad a fellow BSD users appreciates cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 BSD information in a book on network security monitoring! Notice that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Amazon.ca listing discounts cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 book, and provides cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 table of contents and editorial reviews -- unlike Amazon.com.

Also, FreeBSD 5.3 is scheduled for a 3 Oct 04 release. This will make cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 5 branch STABLE, after almost two years. Do your part by testing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 release candidates when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y become available.

Protecting Web Surfing from Prying Wireless Eyes

Well here I am at USENIX Security 2004, on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Town and Country Hotel's wireless network. I received an authorization code from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 concierge, and no ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r instructions. This code wasn't a SSID since cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 guy after me received a different code. When I got to my hotel room, I fired up dstumbler to see what networks were available.

dstumbler wi0 -o

I found several LodgeNet access points, so I figured I'd try associating with those:

ifconfig wi0 ssid LodgeNet up

This got me associated:

ifconfig wi0
wi0: flags=8843 mtu 1500
ecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r 00:04:e2:29:3b:ba
media: IEEE 802.11 Wireless Ecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rnet autoselect (DS/2Mbps)
status: associated
ssid LodgeNet 1:LodgeNet
stationname "FreeBSD WaveLAN/IEEE node"
channel 6 authmode OPEN powersavemode OFF powersavesleep 100
wepmode OFF weptxkey 1

Next I needed an IP address:

dhclient wi0
ifconfig wi0
wi0: flags=8843 mtu 1500
inet 10.2.2.3 netmask 0xffffff00 broadcast 10.2.2.255
ecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r 00:04:e2:29:3b:ba
media: IEEE 802.11 Wireless Ecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rnet autoselect (DS/11Mbps)
status: associated
ssid LodgeNet 1:LodgeNet
stationname "FreeBSD WaveLAN/IEEE node"
channel 11 authmode OPEN powersavemode OFF powersavesleep 100
wepmode OFF weptxkey 1

cat /etc/resolv.conf
search 0012209.lodgenet.net
nameserver 10.2.2.254

This got me my IP and DNS settings. I was able to fire up my browser and found myself and a login screen, where I entered my super secret code. Notice cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re is no encryption of any kind. Wheee... watch out for driftnet...

Note: Skip to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 end of this post to see a much simpler way to accomplish cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same goal. Read on to see how I used to shield my Web browsing.

At this point I wanted to access sites that don't offer HTTPS-enabled logins, like Blogger and elsewhere. I turned to my SSH-based port-forwarding and tinyproxy system set up for my home network. My gateway at home has www/tinyproxy running, listening on port 8888 TCP:

moog:/root# sockstat -4 | grep 8888
nobody tinyprox 43195 6 tcp4 172.27.20.1:8888 *:*
nobody tinyprox 163 6 tcp4 172.27.20.1:8888 *:*
...truncated...

The /usr/local/etc/tinyproxy/tinyproxy.conf looks like this:

User nobody
Group nogroup

Port 8888
Listen 172.27.20.1

Timeout 600
Logfile "/var/log/tinyproxy.log"
LogLevel Info
PidFile "/var/run/tinyproxy.pid"
MaxClients 100
MinSpareServers 5
MaxSpareServers 20
StartServers 10

MaxRequestsPerChild 0

Allow 127.0.0.1
#List ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r networks allowed here, like local RFC 1918 space

ConnectPort 443
ConnectPort 563

This allows me to use this gateway as an HTTP and HTTPS proxy, but how can I access it from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 hotel network? Using SSH port forwarding is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 answer!

ssh -f -N -L 8888:proxy:8888 user@homegateway.com

-f says go to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 background; -N says don't execute a remote command; -L says bind port 8888 TCP to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 localhost, and port 8888 TCP on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 proxy. Now I set up my Firefox connection settings with my "Manual Proxy Configuration" pointing to port 8888 TCP on localhost for HTTP and SSL (which takes care of HTTPS, apparently).

What is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 point of this? Now when I visit a Web site, I connect through my SSH tunnel to my home gateway. The home gateway makes cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 necessary DNS and Web page requests. (A visit to a site like checkip.dyndns.org will show cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 IP of your proxy, not your workstation.) I get cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 results back from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 proxy through cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 SSH tunnel. Although my HTTP traffic is still in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 clear between my home proxy and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 end Web site, no one on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 local wireless hotel network can see where I'm going or what credentials I may be passing.

The main disadvantage of this setup is I'm sending all of my Web requests and receiving responses clear across cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 country, since I'm in San Diego now and my home gateway is in norcá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rn Virginia. I think it's worth it to keep people from sniffing my Blogger credentials though.

Update: Thanks to a very helpful suggestion from Jim O'Gorman, I learned I don't need to bocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r with Tinyproxy. I missed out on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 addition of native support in ssh for a SOCKS proxy and dynamic port forwarding. All that needs to be done is this:

ssh -v -D 8888 user@homegateway.com

In your Firefox Preferences -> Connection Settings, select "Manual Proxy Configuration" and "SOCKS host" localhost, and port 8888. Click cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 SOCKS 4 radio button. Now, when you connect to a Web site like checkip.dyndns.org, you'll see this in your SSH terminal:

debug1: Connection to port 8888 forwarding to socks4 port 0 requested.
debug1: channel 2: new [dynamic-tcpip]
debug1: channel 2: dynamic request: socks4 host 63.209.15.212 port 80 command 1
debug1: channel 2: open confirm rwindow 131072 rmax 32768
...edited...
debug1: channel_free: channel 2: direct-tcpip: listening port
8888 for 63.209.15.212 port 80, connect from 127.0.0.1 port
62510, nchannels 3

This is beautiful because it also works for HTTPS:

debug1: channel 2: new [dynamic-tcpip]
debug1: channel 2: dynamic request: socks4 host 216.239.51.107 port 443 command 1
debug1: channel 2: open confirm rwindow 131072 rmax 32768
...truncated...

This makes life much easier and eliminates cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 need to add a proxy to your gateway. Thanks Jim!

Friday, August 06, 2004

Romanian Hacker and Friends Indicted

A friend and former Foundstone colleague informed me of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 indictment of a Romanian (Calin Mateias, 24, of Bucharest) and five Americans for conspiring to steal more than $10 million US in computer equipment from Ingram Micro of Santa Ana, California. I worked this case two years ago as a Foundstone consultant and helped detect and remove cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 intruder's X-based back doors from Ingram Micro systems.

I commend Ingram Micro for publicly pursuing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se intruders in court. This is one of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 best ways to encourage ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r companies to go forward with prosecution, which is a form of deterrence. This CRN article says Ingram Micro is trying to reassure its value added resellers that its systems are secure. While I worked cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re, Ingram Micro was outsourcing its IT services to ACS, but security remained a "core competency" handled by Ingram Micro employees. As far as I am concerned, Ingram Micro handled cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 intrusions properly. I was very impressed by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 way cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir CIO decided to take essentially whatever actions were necessary to remove cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 intruder from his network. This is one of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 few times I've seen a CIO "get it."

Looking at IM's stock chart, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 company seems to have taken a slight hit cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se past few days. The whole market has done poorly recently, so I don't attribute IM's performance to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 hacker stories.

This case has appeared at CyberCrime.gov, so cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 public will be able to track its progress. At least one of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 case studies in my The Tao of Network Security Monitoring: Beyond Intrusion Detection is based on my experience responding to this intrusion.

This InternetNews article says:

"According to officials at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Department of Justice (DoJ), cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 case was handled by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 FBI cyber crimes squad, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Romanian National Police, 14 FBI field offices and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 FBI's legal attache office in Bucharest.

Brian Hoffstadt, assistant U.S. Attorney at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 DoJ, said authorities are working with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Romanian government to decide whecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r Mateias will be tried in Romanian or extradited to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 United States to face charges.

'It's just a decision that hasn't been made yet -- which justice system is going to prosecute him,' he said.

Hoffstadt said cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re is still work to be done regarding cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 sentencing and fines that will be assessed against cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 defendants if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y should lose cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir case. Mateias, if charged in a U.S. court, could get up to 90 years in prison and fined to repay Ingram Micro as well as ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r damages. The five Americans could face between five and 35 year prison sentences if convicted. More information will become available at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 arraignment later this month."

During cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 incident response, I was asked when Ingram Micro would be "secure." I said cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y would be secure when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 threat was eliminated. This could only be done via an arrest, prosecution, and conviction. Too many security professionals focus on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 vulnerability side of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "risk = threat X vulnerability X asset value" equation. Sure, vulnerability is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 one factor that administrators hope to control, but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y can decrease cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 threat by supporting legal action against intruders. Ingram Micro understood this and I'm glad cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y worked with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 authorities to arrest cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se perpetrators.

Wednesday, August 04, 2004

Hints on Using Oinkmaster and Sguil

I released an updated Sguil Installation Guide today that shows how to replace cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Snort stream4 keepstats-based session data collection system with John Curry's SANCP code. SANCP is a better option than stream4, as SANCP tracks not only TCP like stream4 but also UDP and ICMP. The flows are also easier to work with, since cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y tend to occupy single entries.

I've also been experimenting with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 best way to use Oinkmaster with my preferred directory layouts. When Oinkmaster runs, it works in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 directory specified. For example:

perl ./oinkmaster.pl -b /tmp -o /usr/local/etc/snort/rules
-C /usr/local/etc/snort/oinkmaster.conf

This syntax will tell Oinkmaster to place cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 files it manipulates in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 /usr/local/etc/snort/rules directory. Besides cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 .rules files, this includes ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r important files:

-> classification.config
-> gen-msg.map
-> reference.config
-> sid-msg.map
-> threshold.conf
-> unicode.map

I like to keep cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se in /usr/local/etc/snort. To deal with this, I replaced cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se files in /usr/local/etc/snort with symlinks to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 real files in /usr/local/etc/snort/rules:

orr:/usr/local/etc/snort# rm classification.config gen-msg.map reference.config
sid-msg.map threshold.conf unicode.map
orr:/usr/local/etc/snort# ln -s rules/classification.config classification.config
orr:/usr/local/etc/snort# ln -s rules/gen-msg.map gen-msg.map
orr:/usr/local/etc/snort# ln -s rules/reference.config reference.config
orr:/usr/local/etc/snort# ln -s rules/sid-msg.map sid-msg.map
orr:/usr/local/etc/snort# ln -s rules/threshold.conf threshold.conf
orr:/usr/local/etc/snort# ln -s rules/unicode.map unicode.map

This may seem a waste of time, but I have /usr/local/etc/snort coded into many of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Sguil config files as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 location of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se various .conf and .map configuration files.

Monday, August 02, 2004

Security Threat Profile in 2600 Magazine

2600 Magazine isn't cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 magazine I recommend to learn security tools and techniques, but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Summer 2004 issue has one article which justifies spending $5.50 to buy cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 whole issue. "A Guide to Internet Piracy" is a 4-page introduction to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "warez scene." The author, b-bstf, describes cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 piracy "food chain," from top to bottom:

- Warez/release groups: people who release warez to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 warez community; often linked to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 site traders
- Site traders: people who trade cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 releases from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 above groups on fast servers
- FXP board users: script kiddies who scan/hack/fill vulnerable computers with warez
- IRC kiddies: users of IRC who download using XDCC bots or Fserves
- KaZaA kiddies: Users of KaZaA and ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r peer to peer programs

If you'd like to know how this community works and why cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y're interested in your servers or home workstations, buy cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Summer 2004 2600 magazine.

Sunday, August 01, 2004

Review of Defend IT Posted

Amazon.com just posted my four star review of Defend IT. From cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 review:

"I commend ch 2 ('Home Architecture') for insights I find lacking in most books on intrusion detection or incident response. The authors astutely state on p. 26 and 33: 'this incident was not discovered by flashing lights and alerts set off by an IDS... In fact, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re was no early indication of a network compromise.' This explains cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 authors' next recommendation: 'It is a good idea to keep access logs that are as detailed as possible -- at least with respect to inbound and outbound connections... Though you may not use cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se logs on a regular basis, for those instances when you need cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m, especially including investigations of network compromise, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y are invaluable." Exactly!"

Although I didn't mention it in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 review, I found cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 authors' use of Cenzic's Hailstorm vulnerability testing software to generate IDS alerts, and Mercury LoadRunner to load cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 network, to be interesting. I had heard of Hailstorm but I'm not convinced it's an appropriate technology for assessing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 effectiveness of an IDS.

If you read my review you'll notice I cautioned cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 authors about sanitizing data about clients. If you think you've identified cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 organization documented in chapter 4, email me at taosecurity at gmail dot com. I have my guess...