Monday, January 22, 2018

Lies and More Lies

Following cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 release of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Spectre and Meltdown CPU attacks, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 security community wondered if ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r researchers would find related speculative attack problems. When cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following appeared, we were concerned:

"Skyfall and Solace

More vulnerabilities in modern computers.

Following cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 recent release of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Meltdown and Spectre vulnerabilities, CVE-2017-5175, CVE-2017-5753 and CVE-2017-5754, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re has been considerable speculation as to whecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r all cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 issues described can be fully mitigated. 

Skyfall and Solace are two speculative attacks based on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 work highlighted by Meltdown and Spectre.

Full details are still under embargo and will be published soon when chip manufacturers and Operating System vendors have prepared patches.

Watch this space..."

It turns out this was a hoax. The latest version of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 site says, in part:

"With little more than a couple of quickly registered domain names, thousands of people were hooked...

Skyfall

The idea here was to suggest a link to Intel's Skylake processor.

Solace

The idea here was to suggest a link to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Solaris operating system.

Copy cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 styling of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 original Meltdown and Spectre sites and add a couple of favicons based loosely on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Intel and Solaris logos and I was nearly done.

The final step was to add on https, because if a site's got an SSL certificate it must be legitimate, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 bait was set."

The problem with this "explanation" is that it wasn't just a logo, domain name and SSL certificate. The "security professional" who created this site outright lied, as shown at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 top of this post. Don't fall for his false narrative.

I'm not naming names or linking to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 sites here, because cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 person responsible already thinks he's too clever.

Tuesday, January 16, 2018

Addressing Innumeracy in Reporting

Anyone involved in cybersecurity reporting needs a strong sense of numeracy, or macá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365matical literacy. I see two sorts of examples of innumeracy repeatedly in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 media.

The first involves cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time value of money. Recently CNN claimed Amazon CEO Jeff Bezos was cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "richest person in history" and Recode said Bezos was "now worth more than Bill Gates ever was." Thankfully both Richard Steinnon and Noah Kirsch recognized cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 foolishness of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se reports, correctly noting that Bezos would only rank number 17 on a list where wealth was adjusted for inflation.

This failure to recognize cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time value of money is pervasive. Just today I heard cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 host of a podcast claim that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 1998 Jackie Chan movie Rush Hour was "cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 top grossing martial arts film of all time." According to Box Office Mojo, Rush Hour earned $244,386,864 worldwide. Adjusting for inflation, in 2017 dollars that's $367,509,865.67 -- impressive!

For comparison, I researched cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 box office returns for Bruce Lee's Enter cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Dragon. Box Office Mojo lacked data, but I found a 2017 article stating his 1973 movie earned "$25 million in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 U.S. and $90 million worldwide, excluding Hong Kong." If I adjust cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 worldwide figure of $90 million for inflation, in 2017 dollars that's $496,864,864.86 -- making Enter cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Dragon easily more successful than Rush Hour.

If you're wondering about Crouching Tiger, Hidden Dragon, that 2000 movie earned $213,525,736 worldwide. That movie earned less than Rush Hour, and arrived two years later, so it's not worth doing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 inflation math.

The take-away is that any time you are comparing dollars from different time periods, you must adjust for inflation to have your comparisons have any meaning whatsoever.

Chart by @CanadianFlags
The second sort of innumeracy I'd like to highlight today also involves money, but in a slightly different way. This involves changes in values over time.

For example, a company may grow revenue from 2015 to 2016, with 2015 revenue being $100,000 and 2016 being $200,000. That's a 100% gain.

If cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 company grows anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r $100,000 from 2016 to 2017, from $200,000 to $300,000, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 growth rate has declined to 50%. To have maintained a 100% growth rate, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 company needed to make $400,000 in 2016.

That same $100,000 dollar increase isn't so great when compared to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 new base value.

We see cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same dynamic at play when tracking cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 growth of individual stocks or market indices over time.

CNN wrote a story about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 1,000 point rise in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Dow Jones Industrial Average over a period of 7 days, from 25,000 to 26,000. One person Tweeted cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 chart at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 above right, asking "is that healthy?" My answer -- you need a proper chart!

My second reaction was "that's a jump, but it's only (1-(25000/26000)) = 3.8%. Yes, 3.8% in 7 days is a lot, but that doesn't even rate in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 top 20 one-day percentage gains or losses over cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 life of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 index.

If cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 DJIA gained 1,000 points in 7 days 5 years ago, when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 market was at 13,649, a rise to 14,649 would be a 6.8% gain. 20 years ago cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 market was roughly 3,310, so a 1,000 point rise to 4,310 would be a massive 23.2% gain.

A better way to depict cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 growth in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 DJIA would be to use a logarithmic chart. The charts below show a linear version on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 top and a logarithmic version below it.



Using barcharts.com, I drew cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 last 30 years of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 DJIA at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 top using a linear Y axis, meaning cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re is equal distance between 2,000 and 4,000, 4,000 and 6,000, and so on. The blue line shows cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 slope of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 growth.

I cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n drew cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same period using a logarithmic Y axis, meaning cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 percentage gains from one line to anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r are equal. For example, a 100% increase from 1,000 to 2,000 occupies cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same distance as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 100% increase from 5,000 to 10,000. The green line shows cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 slope of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 growth.

I put cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 blue and green lines on both charts to permit comparison of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 slopes. As you can see, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 growth, when properly indicated using a log chart and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 green line, is less than cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 exaggerations introduced by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 linear chart blue line.

There is indeed an upturn recently in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 log chart, but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 growth is probably on trend over time.

While we're talking about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 market, let's take one minute to smack down cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 old trope that "what comes up, must come down." There is no "law of gravity" in investing, at least for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 US market, as a whole.

The best example I have seen of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 reality of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 situation is this 2017 article titled The Dow’s tumultuous 120-year history, in one chart. Here is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 chart:

Chart by Chris Kacher, managing director of MoKa Investors

What an amazing story. The title of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 article should not be gloomy. It should be triumphant. Despite two World Wars, a Cold War, wars in Korea, Vietnam, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Middle East, and elsewhere, assassinations of world leaders, market depressions and recessions, and so on, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 trend line is up, and up in a big way. While cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 DJIA doesn't represent cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 entire US market, it captures enough of it to be representative. This is why I do not bet against cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 US market over cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 long term. (And yes I recognize that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 market and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 economy are different.)

Individual companies may disappear, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 DJIA has indeed been changed many times over cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 years. However, those changes were made so that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 index roughly reflected cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 makeup of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 economy. Is it perfect? No. Does it capture cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 overall directional trend line since 1896? Yes.

Please keep in mind cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se two sorts of innumeracy -- cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time value of money, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 importance of percentage changes over time -- when dealing with numbers and time.

Sunday, January 14, 2018

Remembering When APT Became Public

Last week I Tweeted cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 8th anniversary of Google's blog post about its compromise by Chinese threat actors:

This intrusion made cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 term APT mainstream. I was cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first to associate it with Aurora, in this post 

https://taosecurity.blogspot.com/2010/01/google-v-china.html

My first APT post was a careful reference in 2007, when we all feared being accused of "leaking classified" re China: 

https://taosecurity.blogspot.com/2007/10/air-force-cyberspace-report.html

I should have added cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 term "publicly" to my original Tweet. There were consultants with years of APT experience involved in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Google incident response, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y recognized cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 work of APT17 at that company and ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs. Those consultants honored cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir NDAs and have stayed quiet.

I wrote my original Tweet as a reminder that "APT" was not a popular, recognized term until cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Google announcement on 12 January 2010. In my Google v China blog post I wrote:

Welcome to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 party, Google. You can use cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 term "advanced persistent threat" (APT) if you want to give this adversary its proper name.

I also Tweeted a similar statement on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same day:

This is horrifying: http://bit.ly/7x7vVW Google admits intellectual property cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ft from China; it's called Advanced Persistent Threat, GOOG

I made cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 explicit link of China and APT because no one had done that publicly.

This slide from a 2011 briefing I did in Hawaii captures a few historical points:


The Google incident was a watershed, for reasons I blogged on 16 January 2010. I remember cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 SANS DFIR 2008 event as effectively "APTCon," but beyond Mandiant, Northrup Grumman, and NetWitness, no one was really talking publicly about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 APT until after Google.

As I noted in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 July 2009 blog post, You Down With APT? (ugh):

Aside from Northrup Grumman, Mandiant, and a few vendors (like NetWitness, one of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 full capture vendors out cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re) mentioning APT, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re's not much else available. A Google search for "advanced persistent threat" -netwitness -mandiant -Northrop yields 34 results (prior to this blog post). (emphasis added)

Today that search yields 244,000 results.

I would argue we're "past APT." APT was cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 buzzword for RSA and ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r vendor-centric events from, say, 2011-2015, with 2013 being cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 peak following Mandiant's APT1 report.

The threat hasn't disappeared, but it has changed. I wrote my Tweet to mark a milestone and to note that I played a small part in it.

All my APT posts here are reachable by this APT tag. Also see my 2010 article for Information Security Magazine titled What APT Is, and What It Isn't.

Monday, January 08, 2018

Happy 15th Birthday TaoSecurity Blog

Today, 8 January 2018, is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 15th birthday of TaoSecurity Blog! This is also my 3,020th blog post.

I wrote my first post on 8 January 2003 while working as an incident response consultant for Foundstone.

I don't believe I've released statistics for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 blog before, so here are a few. Blogger started providing statistics in May 2010, so cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se apply to roughly cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 past 8 years only!

As of today, since May 2010 cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 blog has nearly 7.7 million all time page views.

Here are cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 most popular posts as of today:


Twitter continues to play a role in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 way I communicate. When I last reported on a blog birthday two years ago, I said that I had nearly 36,000 Twitter followers for @taosecurity, with roughly 16,000 Tweets. Today I have nearly 49,000 followers with less than 18,000 Tweets. As with most people on social media, blogging has taken a back seat to more instant forms of communication.

These days I am active on Instagram as @taosecurity as well. That account is a departure from my social media practice. On Twitter I have separate accounts for cybersecurity and intelligence (@taosecurity), martial arts (@rejoiningcá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365tao), and ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r purposes. My Instagram @taosecurity account is a unified account, meaning I talk about whatever I feel like. 

During cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 last two years I also started anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r blog to which I regularly contribute -- Rejoining cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Tao. I write about my martial arts journey cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re, usually once a week.

Once in a while I post to LinkedIn, but it's usually news of a blog post like this, or ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r LinkedIn content of interest.

What's ahead? You may remember I was working on a PhD and I had left FireEye. I decided to abandon my PhD in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 fall of 2016. I realized I was not an academic, although I had written four books.

I have also changed all cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 goals I named in my post-FireEye announcement.

For cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 last year I have been doing limited security consulting, but that has been increasing in recent months. I continue to be involved in martial arts, but I no longer plan to be a Krav Maga instructor nor to open my own school.

For several months I've been working with a co-author and subject matter expert on a new book with martial arts applicability. I've been responsible for editing and publishing. I'll say more about that at Rejoining cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Tao when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time is right.

Thank you to everyone who has been part of this blog's journey since 2003!

Friday, January 05, 2018

Spectre and Meltdown from a CNO Perspective

Longtime readers know that I have no problem with foreign countries replacing American vendors with local alternatives. For example, see Five Reasons I Want China Running Its Own Software. This is not a universal principle, but as an American I am fine with it. Putting my computer network operations (CNO) hat on, I want to share a few thoughts about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 intersection of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 anti-American vendor mindset with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 recent Spectre and Meltdown attacks.

There are probably non-Americans, who, for a variety of reasons, feel that it would be "safer" for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m to run cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir cloud computing workloads on non-American infrastructure. Perhaps cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y feel that it puts cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir data beyond cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 reach of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 American Department of Justice. (I personally feel that it's an over-reach by DoJ to try to access data beyond American borders, eg Microsoft Corp. v. United States.)

The American intelligence community and computer network operators, however, might prefer to have that data outside American borders. These agencies are still bound by American laws, but those laws generally permit exploitation overseas.

Now put this situation in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 context of Spectre and Meltdown. Begin with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attack scenario mentioned by Nicole Perlroth, where an attacker rents a few minutes of time on various cloud systems, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n leverages Spectre and/or Meltdown to try to gacá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r sensitive data from ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r virtual machines on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same physical hardware.

No lawyer or judge would allow this sort of attack scenario if it were performed in American systems. It would be very difficult, I think, to minimize data in this kind of "fishing expedition." Most of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data returned would belong to US persons and would be subject to protection. Sure, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re are conspiracy cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365orists out cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re who will never trust that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 US government follows its own laws. These people are sure that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 USG already knew about Spectre and Meltdown and ravaged every American cloud system already, after doing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "Intel Management Engine backdoors."

In reality, US law will prevent computer network operators from running cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se sorts of missions on US cloud infrastructure. Overseas, it's a different story. Non US-persons do not enjoy cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same sorts of privacy protections as US persons. Therefore, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 more "domestic" (non-American) cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 foreign target, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 better. For example, if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 IC identified a purely Russian cloud provider, it would not be difficult for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 USG to authorize a Spectre-Meltdown collection operation against that target.

I have no idea if this is happening, but this was one of my first thoughts when I first heard about this new attack vector.

Bonus: it's popular to criticize academics who research cybersecurity. They don't seem to find much that is interesting or relevant. However, academics played a big role in discovering Spectre and Meltdown. Wow!

Monday, December 04, 2017

On "Advanced" Network Security Monitoring

My TaoSecurity News page says I taught 41 classes lasting a day or more, from 2002 to 2014. All of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se involved some aspect of network security monitoring (NSM). Many times students would ask me when I would create cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "advanced" version of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 class, usually in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 course feedback. I could never answer cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m, so I decided to do so in this blog post.

The short answer is this: at some point, advanced NSM is no longer NSM. If you consider my collection - analysis - escalation - response model, NSM extensions from any of those phases quickly have little or nothing to do with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 network.

Here are a few questions I have received concerned "advanced NSM," paired with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 answers I could have provided.

Q: "I used NSM to extract a binary from network traffic. What do I do with this binary?"

A: "Learn about reverse engineering and binary analysis."

Or:

Q: "I used NSM to extra Javascript from a malicious Web page. What do I do with this Javascript?"

A: "Learn about Javascript de-obfuscation and programming."

Or:

Q: "I used NSM to capture an exchange between a Windows client and a server. What does it mean?"

A: "Learn about Server Message Block (SMB) or Common Internet File System (CIFS)."

Or:

Q: "I used NSM to capture cryptographic material exchanged between a client and a server. How do I understand it?"

A: "Learn about cryptography."

Or:

Q: "I used NSM to grab shell code passed with an exploit against an Internet-exposed service. How do I tell what it does?"

A: "Learn about programming in assembly."

Or:

Q: "I want to design custom hardware for packet capture. How do I do that?"

A: "Learn about programming ASICs (application specific integrated circuits)."

I realized that I had cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 components of all of this "advanced NSM" material in my library. I had books on reverse engineering and binary analysis, Javascript, SMB/CIFS, cryptography, assembly programming, ASICs, etc.

The point is that eventually cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 NSM road takes you to ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r aspects of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 cyber security landscape.

Are cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re *any* advanced area for NSM? One could argue that protocol analysis, as one finds in tools like Bro, Suricata, Snort, Wireshark, and so on constitute advanced NSM. However, you could just as easily argue that protocol analysis becomes more about understanding cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 programming and standards behind each of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 protocols.

In brief, to learn advanced NSM, expand beyond NSM.

Saturday, October 21, 2017

How to Minimize Leaking

I am hopeful that President Trump will not block release of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 remaining classified documents addressing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 1963 assassination of President John F. Kennedy. I grew up a Roman Catholic in Massachusetts, so President Kennedy always fascinated me.

The 1991 Oliver Stone movie JFK fueled several years of hobbyist research into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 assassination. (It's unfortunate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 movie was so loaded with fictional content!) On cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 30th anniversary of JFK's death in 1993, I led a moment of silence from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 balcony of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Air Force Academy chow hall during noon meal. While stationed at Goodfellow AFB in Texas, Mrs B and I visited Dealey Plaza in Dallas and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Sixth Floor Museum.

Many years later, thanks to a 1992 law partially inspired by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Stone movie, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 government has a chance to release cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 last classified assassination records. As a historian and former member of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 intelligence community, I hope all of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 documents become public. This would be a small but significant step towards minimizing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 culture of information leaking in Washington, DC. If prospective leakers were part of a system that was known for releasing classified information prudently, regularly, and efficiently, it would decrease cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 leakers' motivation to evade cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 formal declassification process.

Many smart people have recommended improvements to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 classification system. Check out this 2012 report for details.