Thursday, September 09, 2010

NetWitness Minidecoder in Action

Many TaoSecurity Blog readers are undoubtedly familiar with NetWitness. Several weeks ago I met with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir CEO and CTO to discuss cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir products and services. They were kind enough to later provide me with a device that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y ship to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir engineers to provide testing and experimentation with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir product. Here I call it a "Minidecoder," but you can think of it as "NetWitness in an EeeBox PC" (specifically cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 EeeBox PC EB1012).

As you can see in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 diagram, it only has one onboard NIC, and that is used for management. To access traffic, NetWitness provided a Trendnet TU2-ET100 USB to 10/100Mbps Adapter. To try cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Minidecoder, I paired it with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 DualComm device mentioned in my last post. I basically tapped cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Minidecoder's own management port and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n generated some basic traffic from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Minidecoder's Linux shell. The sensor also saw its own management traffic, as well as broadcast traffic passed by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 wireless bridge to which it was connected.

Setup was pretty painless. I booted cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Minidecoder, logged into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Linux OS, connected cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 network cables, and configured cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 management port.

To administer cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 device and access cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data, I installed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 NetWitness Administrator and Investigator applications on a Windows XP SP3 laptop.

In cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 screen capture at left, you see part of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Administrator interface. It was easy to add and connect cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Minidecoder after I obtained a license from NetWitness. I didn't need to run anything on Windows with Administrator privileges, ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r than cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 installation process.

I'm not a big fan of dashboards, but I wouldn't expect to spend much time in this view anyway. The action is in Investigator, which I also installed.

As you can see in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 figure at right, NetWitness breaks down cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 traffic using a variety of means. I'm only showing what would fit on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 screen.

One of my favorite aspects of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 NetWitness metadata approach is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 way it extracts meaningful content automatically, like cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system names from within DHCP traffic (independent of DNS names, for example). This is why I've added metadata as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 seventh form of NSM data (after full content, session, statistical, alert, transaction, and extracted content). NetWitness is good at depicting "data about data," i.e., details about traffic, derived from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 traffic.

I also like cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 way NetWitness classifies a variety of traffic into "Action Events" like "Get". Here I will select cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 sessions associated with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Get Action Event to produce cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 screen shot that follows.

In this screen capture you can see sessions which NetWitness classified as Get events. I chose part of a Lynx session where I browsed to www.bejtlich.net. The large sessions with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "Click to Create" boxes are sessions where I retrieved packages for installing Lynx on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Linux OS of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Minidecoder itself. (Remember this traffic is to and from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Minidecoder, just for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 sake of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 test.)

I think this is a cool way to get more familiar with NetWitness in a low-impact way. I wouldn't try to stress test this device since neicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 hardware nor cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 NICs are intended for intense use. Racá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r, you could deploy a device like this in your environment to get a better idea of how NetWitness would process your environment's traffic, or at least a subset of it, if you had to throttle what was sent to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 sensor.

Feel free to contact NetWitness for more information, and thanks to Amit and Tim for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 demo gear!

DualComm Port Mirroring Switch

John He from DualComm Technology was kind enough to send me one of his company's port-mirroring switches, namely cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 DCGS-2005 pictured with its box at left.

In cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 figure, I have port 1 going to a computer I want to monitor. Port 2 is going to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 uplink (or access switch) for that computer. Port 5 (at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 far right) is going to a sensor.

The idea behind this device is to provide a plug-and-play alternative to network taps. I thought this system was interesting because it acts somewhat like a port aggregating tap, in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 sense that two ports are used for accessing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 network but only one port is needed by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 sensor.

Note that only port 1 is mirrored to port 5. (The manual confirms this, and I did some limited testing. The words on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 tap imply ports 1 - 4 are all mirrored.) This is a one-for-one copy. If you connect to ports 2 and 3, 2 and 4, or 3 and 4, you will not see any unicast traffic on port 5.

This device is also different in that in requires a USB connection for power.

Probably cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 biggest advantages of this device include low cost and simple use. I think cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 single USB power connection is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 biggest disadvantage. I'd also like to know more about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 software on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 switch itself.

Thanks again to John for sending me this device. Check out DualComm for more information!

A Book for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Korean Cyber Armies

I've got a book for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Korean cyber armies, North and South. That's right, it's my first book, The Tao of Network Security Monitoring, now published in Korean! Apparently my publisher just decided to translate and deliver this new edition to Korea. Can anyone who reads Korean comment on how cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y translated my name?

I've known for a while cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re is also a Spanish edition, but I've never seen it. I asked to see one of those too.

I have to admit that seeing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se foreign language editions motivate me to try to write anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r solo book. However, I'm just not sure how I would find cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time.

Tuesday, September 07, 2010

India v China

Some of you may remember my "X vs China" series of posts of 2007, where I discussed multiple high profile cases where various nations noted cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir disapproval of China's exploitation of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir networks. (That's right, 2007 -- three years before cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 January festivities.) This morning I read Hostile nations trying to steal India's defence secrets, by Rajit Pandit of India's Economic Times. He writes:

Even as Chinese and Pakistani online espionage agents continue cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir attempts to hack into Indian computer systems, hostile intelligence agencies are also trying to steal defence secrets through use of computer storage media (CSM) devices like pen drives, removable hard disks, CDs, VCDs and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 like.

The Intelligence Bureau has sounded a red alert about "intelligence officers of a hostile country'' encouraging cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir "assets'' working in Indian defence establishments to use CSM devices to pilfer classified information from computer networks...

This comes even as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Army is conducting a court of inquiry against a major posted in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 strategically-located Andaman and Nicobar Command, who had stored over 2,000 classified and sensitive documents on his personal computer which was "hacked'' from Pakistan earlier this year...

With cyber-warfare being a top military priority for China, its online espionage agents frequently break into sensitive Indian computer networks.


This story is interesting for two reasons. First, it cites an Indian example of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 risks of personnel with access to classified documents and storage media, similar to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Manning and Wikileaks cases. Second, like cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 recent Economist magazine discussing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 relationship between China and India, it reminds me that China is not just targeting established powers. China is also targeting ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r rising powers. It would be interesting to research Russia v China or Brazil v China scenarios. Maybe Jeff Carr will post something? (hint)

Sunday, September 05, 2010

One Page to Share with Your Management

I thought this brief question-and-answer session, Richard Clarke: Preparing For A Future Cyberwar by Kim S. Nash extracted cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 essence of advanced persistent threat problems and how to address cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m. I'd like to publish cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 whole article, but instead I'll highlight my favorite sections:

Nash: How can cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 federal government protect companies?

Clarke: Do more. As a matter of law and policy, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 federal government should actively counter industrial espionage.

Most U.S. government counterintelligence operations are focused on intelligence against cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 government, not companies, and most of those are focused on spies. It's a very 20th-century approach.

Until someone makes law or policy changes that say cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 U.S. Cyber Command can defend AT&T or Bank of America, it doesn't have cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 legal authority to do that. I think it should. The government also has to explain cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 threat to corporations.


Also:

Clarke: Until CEOs and boards of directors are faced with black-and-white evidence that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y have lost a terabyte of information and that this has resulted in some ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r company beating cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m to market, until cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y have cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir noses rubbed in it, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y're reluctant to do anything special...

Often, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 CIO really needs board-level commitment and CEO commitment, not just of resources but to policies necessary for protection. Most of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time, all people want cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 CIO to do is keep cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 network up and costs down. As a result, many CIOs have been hired for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir expertise in those areas, not for expertise in figuring out how to make a resilient network that resists attack.


Finally:

Clarke: It should be cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 federal government's responsibility to tell companies not only when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y've been attacked but when ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs have been, such as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir competitors, so cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y realize this sort of thing is going on...

[S]ometimes companies don't know cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y've been hacked. But frequently cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y realize after cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 fact. You don't know you've lost information until a knockoff of your product or some competing products start showing up in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 marketplace.


I agree with all of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se sentiments.

Incidentally I started read cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 library copy of Cyber War but decided I needed to take notes in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 margins. So, I bought a copy from Amazon.com. I plan to finish it and review it by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 end of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 month.

Thursday, September 02, 2010

The Inside Scoop on DoD Thinking

I wanted to help put some of you in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 mindset of a DoD person when reading recent news, namely Defense official discloses cyberattack and Pentagon considers preemptive strikes as part of cyber-defense strategy, both by Washington Post reporter Ellen Nakashima. I'll assume you read both articles and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 references.

Deputy Defense Secretary Lynn's article (covered by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first Post story) is significant, perhaps for reasons that aren't obvious. First, when I wore cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 uniform, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 fact that a classified system suffered a compromise was itself classified. To this day I cannot say if a classified system I used ever suffered a compromise of any kind. Readers might be kind enough to say if this policy is still in effect today. So, to publicly admit such a widespread event -- one that affected classified systems -- that is a big deal.

Second, Lynn said "this previously classified incident was cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 most significant breach of U.S. military computers ever." That is significant. It sets a bar against which ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r incidents can be measured. Why was it so bad?

Adversaries have acquired thousands of files from U.S. networks and from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 networks of U.S. allies and industry partners, including weapons blueprints, operational plans, and surveillance data.

That's serious, and specific.

Third, after citing Google's January admission, Lynn says:

Although cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 threat to intellectual property is less dramatic than cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 threat to critical national infrastructure, it may be cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 most significant cyberthreat that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 United States will face over cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 long term.

Every year, an amount of intellectual property many times larger than all cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 intellectual property contained in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Library of Congress is stolen from networks maintained by U.S. businesses, universities, and government agencies.

As military strength ultimately depends on economic vitality, sustained intellectual property losses could erode both cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 United States' military effectiveness and its competitiveness in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 global economy.


I interpret this as saying cyberwar is hurting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 US specifically because non-military targets are being hit, repeatedly and persistently.

Finally, I'd like to provide a counterpoint regarding cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 second Post article. Ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r pundits are calling DoD's potential offensive strategy "beyond stupid." I'd like to know what's stupid: more of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same failed vulnerability-centric policies and approaches of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 last, what, 10, 15, 20 years, or taking a threat-centric approach to apply pressure on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 adversary? I also wrote about this in 2007, like some ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r pundits. In cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 three years since, playing defense hasn't helped much. Expect more on offensive options in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 coming years, in all sectors -- not just cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 military.

Review of Hacking Exposed: Wireless, 2nd Ed Posted

Amazon.com just posted my five star review of Hacking Exposed: Wireless, 2nd Ed by Johnny Cache, Joshua Wright and Vincent Liu. From cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 review:

I reviewed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first edition of Hacking Exposed: Wireless (HEW) in May 2007, and offered four stars. Three years later I can confidently say that Hacking Exposed: Wireless, 2nd Ed (HEW2) is a solid five star book. After reading my 2007 review, I believe cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 authors took my suggestions seriously, and those of ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r reviewers, and produced HEW2, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 best book on wireless security available. If you want to understand wireless -- and not just 802.11, but also Bluetooth, ZigBee, and DECT -- HEW2 is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 book for you.

I forgot to mention in my review that this new edition appears to be a substantial rewrite, not a minor editing of old chapters! I didn't do a chapter-by-chapter comparison. I did read cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 whole book, which cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 publisher provided as a review copy.