Thursday, December 25, 2008

Snort Report 22 Posted

My 22nd Snort Report titled Snort vs. Microsoft Security Bulletin MS08-068 has been posted. From cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 article:

Welcome to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 22nd edition of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Snort Report! On Nov. 11, 2008, Microsoft published Microsoft Security Bulletin MS08-068 -- Important Vulnerability in SMB Could Allow Remote Code Execution (957097). Server Message Block (SMB) is an old and integral aspect of Microsoft Windows file sharing and related functions...

I continue by describing how Snort's rule set dealt with this super-old vulnerability.


Richard Bejtlich is teaching new classes in DC and Europe in 2009. Register by 1 Jan and 1 Feb, respectively, for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 best rates.

OSSEC and Pf on FreeBSD to Limit SSH Brute Forcing

Disclaimer: This post is neicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r original nor particularly illuminating. It does, however, document how I configured software on systems I administer. Therefore, I post it here mainly for my own future reference, but know it might be useful to someone else.

If you run OpenSSH on any Internet-facing server, you're likely to see entries like cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se every day:

r200a:/root# bzcat /var/log/auth.log.0.bz2 | head -n 5 | grep -v turned
Dec 23 20:00:02 r200a sshd[33320]: Invalid user httpd from 87.106.142.217
Dec 23 20:00:03 r200a sshd[33322]: Invalid user dima from 87.106.142.217
Dec 23 20:00:04 r200a sshd[33324]: Invalid user bane from 87.106.142.217
Dec 23 20:00:05 r200a sshd[33326]: Invalid user juan from 87.106.142.217

I like to run OSSEC on servers as a means to monitor and analyze log files. OSSEC would report that activity as follows.

2008 Dec 23 20:00:44 Rule Id: 5712 level: 10
Location: (r200a) 172.16.2.1->/var/log/auth.log
Src IP: 87.106.142.217
SSHD brute force trying to get access to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system.
...edited...
Dec 23 20:00:02 r200a sshd[33320]: Invalid user httpd from 87.106.142.217

In cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 setup for this post I am running an OSSEC agent on an Internet-facing gateway with an internal IP of 172.16.2.1 (r200a). My OSSEC server is 192.168.2.13 (macmini). My simulated attack box is 192.168.2.101 (debian40r0).

The first thing I need is a program to brute force SSH on 172.16.2.1. I wanted something simple so I installed sshbrute.py by d3hydr8.

tws@debian40r0:~$ wget http://www.darkc0de.com/bruteforce/sshbrute.py
...edited...
tws@debian40r0:~$ su -
Password:
debian40r0:~# apt-get install python-pexpect
...edited...
debian40r0:~# logout
tws@debian40r0:~$ python sshbrute.py

d3hydr8:darkc0de.com sshBrute v1.0
----------------------------------------

Usage : ./sshbrute.py
Eg: ./sshbrute.py 198.162.1.1 root words.txt

I decided to use /etc/dictionaries-common/words for my wordlist because this is only a test and I don't really care if I can brute force my own user accounts in this scenario. I just want to be sure I can configure OSSEC to tell Pf to block cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 offending source IP for a period of time.

Now I need to configure Pf on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 FreeBSD gateway to ensure OSSEC can work with it. I make certain OSSEC changes to /etc/pf.conf.

ext_if = "bge0"
int_if = "bge1"
localnet = $int_if:network
# needed by OSSEC
table persist
...now come some rules...
# needed by OSSEC
block in quick from to any
block out quick from any to

To verify cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 OSSEC firewall table is currently blank I run this:

r200a:/root# pfctl -t ossec_fwtable -T show
No ALTQ support in kernel
ALTQ related functions disabled

The next step is to configure my OSSEC server to take an action when an offending IP address takes a sufficiently hostile step against a host running an OSSEC agent. This took a second thought, because I am configuring cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 OSSEC server to tell cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 OSSEC agent to take a blocking action using cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 firewall-deny.sh script on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 host running cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 OSSEC agent reporting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 SSH brute forcing. That isn't cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 only way to configure this option, but it works for me. The block will persist for 600 seconds or 10 minutes.


firewall-drop
firewall-drop.sh
srcip
yes






firewall-drop
local
10
600



I restart OSSEC on both client and server using /var/ossec/bin/ossec-control restart.

Now it's show time; I run cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 brute force from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attack box.

tws@debian40r0:~$ python sshbrute.py 172.16.2.1 root /etc/dictionaries-common/words

d3hydr8:darkc0de.com sshBrute v1.0
----------------------------------------
[+] Loaded: 98569 words
[+] Server: 172.16.2.1
[+] User: root
[+] BruteForcing...
Trying:
Trying: A
Trying: A's
Trying: AOL
Trying: AOL's
Trying: Aachen
Trying: Aachen's
Trying: Aaliyah
Trying: Aaliyah's
...stalled...

Checking /var/ossec/logs/alerts/alerts.log on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 OSSEC server shows messages like this:

** Alert 1230260722.392334: - syslog,sshd,aucá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ntication_failed,
2008 Dec 25 22:05:22 (r200a) 172.16.2.1->/var/log/messages
Rule: 5716 (level 5) -> 'SSHD aucá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ntication failed.'
Src IP: 192.168.2.101
User: root
Dec 25 22:05:19 r200a sshd[49425]: error: PAM: aucá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ntication error
for root from 192.168.2.101

Then I see OSSEC's report of a level 10 event.

** Alert 1230260730.394490: mail - syslog,sshd,aucá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ntication_failures,
2008 Dec 25 22:05:30 (r200a) 172.16.2.1->/var/log/messages
Rule: 5720 (level 10) -> 'Multiple SSHD aucá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ntication failures.'
Src IP: 192.168.2.101
User: root
Dec 25 22:05:25 r200a sshd[49450]: error: PAM: aucá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ntication error
for root from 192.168.2.101
Dec 25 22:05:24 r200a sshd[49445]: error: PAM: aucá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ntication error
for root from 192.168.2.101
...truncated...

A look at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 active-responses.log on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 gateway shows a new rule adding that blocks cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 offending IP.

r200a:/root# tail -n 1 /var/ossec/logs/active-responses.log
Thu Dec 25 22:05:28 EST 2008 /var/ossec/active-response/bin/firewall-drop.sh
add - 192.168.2.101 1230260730.395394 5720

Checking Pf we see cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 new rule.

r200a:/root# pfctl -t ossec_fwtable -T show
No ALTQ support in kernel
ALTQ related functions disabled
192.168.2.101

If I want to manually remove cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 block I can do this:

r200a:/root# /var/ossec/active-response/bin/firewall-drop.sh
delete - 192.168.2.101
r200a:/root# pfctl -t ossec_fwtable -T show
No ALTQ support in kernel
ALTQ related functions disabled

That worked just as I hoped. Now I have a way to limit scanners who hammer at SSH on port 22. Yes, I could take a lot of ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r actions, but this is what I wanted to document.


Richard Bejtlich is teaching new classes in DC and Europe in 2009. Register by 1 Jan and 1 Feb, respectively, for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 best rates.

Tuesday, December 23, 2008

Traffic for Revoked TLSv1 Certificate

I read cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Slashdot post Perfect MITM Attacks With No-Check SSL Certs with some interest, mainly from a traffic perspective. Basically Eddy Nigg managed to obtain a certificate for a domain he should not have had access to via a reseller for a company called Comodo. You can check your Firefox certificate authorities list to see cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir presence in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 screenshot below.



Eddy managed to get a certificate allowing him to masquerade as mozilla.com, because cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 party issuing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 certificate did not properly validate his authorization to act on behalf of mozilla.com.

I wondered what this might look like when I read this comment suggesting visiting a site using a Comodo-provided certificate. When I visited I saw this:



The question is, how did Firefox know to avoid this problem? I decided to sniff traffic while revisiting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 site. Here's what happened.



The first session of interest is from client 24.126.62.67 to Comodo-certificate-possessing Web server 192.116.242.23. The second session of interest is from client 24.126.62.67 to Online Certificate Status Protocol (OSCP) server 91.199.212.169.

So, in frames 36-51 you see cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 setup of a TLSv1 session with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Web server. Frame 49 shows cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 certificate presented by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Web server.



In frames 52 and 53 we see a DNS query and response for ocsp.comodoca.com. In frames 54-58 and 62-67 we see our Web browser checking cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 status of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 certificate we received from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Web server. Frame 64 shows cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 OCSP replying that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 certificate has been revoked.



This leads to frame 68 where we see cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 TLSv1 connection fail due to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 revoked certificate.



After that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 connections close.

Taking a closer look at Firefox settings, we find this is what controls OCSP, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se are cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 defaults.



Taking a closer look at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 cert we see it does specify an OCSP server, which shows how our browser knew to try to find it.



I am not sure how ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r certificates set this part of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir certs, but it would be easy to find out.

This scenario just demonstrates cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 importance of trust, but also rapid detection and response when that trust is violated. Building visibility in through monitoring and validation mechanisms like OCSP (but perhaps to a third party racá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r than cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 company duped into issuing a cert!) are good lessons here.


Richard Bejtlich is teaching new classes in DC and Europe in 2009. Register by 1 Jan and 1 Feb, respectively, for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 best rates.

Physical Security Lessons for Digital Security

The newest CSO magazine featured a great article by Bill Brenner on jewelry store security. It's online via PCWorld at How Tech Caught cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Jewelry Thief. I'd like to cite several excerpts and relate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m to digital security.

It used to be that after a robbery, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 police would review a surveillance tape for clues into who broke in, at what time and what cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 bad guys looked like. Since cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 thieves would be long gone by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 tape was reviewed, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re would often be little cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 authorities could do about it.

That sounds like a traditional digital forensics scenario, with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 problem that it can be difficult to apprehend criminals well after cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 crime occurs.

But thanks to 21st-Century technology, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 crooks are being watched in real time and, as a result, getting caught a lot more often.

Notice cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 word "watched" -- this frames cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 problem as one of faster detection and response.

In this Q&A, Dennis Thomas, regional loss prevention manager and certified field trainer at Zale Corp., explains how cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 retailer's IT operation is playing an increasingly important role in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 physical security effort...

CSO: Your organization seems to be fighting back in more of a real-time fashion, as opposed to surveillance camera recordings where you would see cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 burglary take place long after cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 fact.

Thomas: Keep in mind, in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 old days a crime could occur in a store with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 employees cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y wouldn't always notice what was happening. With remote technology our trained operators at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 command center can observe a cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ft in progress and notify cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 police in real time with important time-sensitive details like description, method of operation and where cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 merchandise is on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 person. The police in turn are a lot more successful in making an arrest than cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y were five years ago.


Two points: first, Zale Corp. uses a centralize and specialize method where experts provide a service to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 entire company, remotely. Second, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 result is removing a threat via police arrest.

The real benefit is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 increase in time notification. Let's say cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 operator doesn't immediately see cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ft as it's happening. They can still e-mail camera images to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 police, which is still faster than trying to pull video off an old VCR tape.

This sounds like Network Security Monitoring, where prevention eventually fails and sometimes intruders are smarter than you. When you know you were victimized, however, you can review your forensic evidence quickly and efficiently.

CSO: Who are you using as a vendor to operate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 command center?

Thomas: We own and operate our own command center.

CSO: So you built cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 whole thing in house.


Zale Corp. is big enough to staff cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir own centralized "security operations center (SOC)". Smaller players might want to outsource, but I see more large companies building cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir own.

Thomas: Exactly. We worked with a local vendor to develop cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 technology and devised everything right down to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 terminology that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 operators use to communicate with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 stores.

CSO: Did your command center develop gradually and organically, or was it based off of one big plan from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 outset?

Thomas: It was a gradual process that took years. There were three phases: developing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 technology, implementing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 technology and furcá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r enhancing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system once it was operational, working out cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 kinks. We had our challenges as we basically ventured into uncharted territory but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 technology was proven and successfully implemented cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 vision into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 business.


No one does this correctly from day one. Developing an effective security operation is a multi-year process.

CSO: How much has this cut down on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time it takes on average to eicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r catch cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 thief or at least solve a crime?

Thomas: I'll give you two statistics: First: The corporation has achieved record shrink lows for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 last seven consecutive years. Second: a significant reduction in shrink [lost merchandise/revenue] as a result of burglaries. You can directly attribute that to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 technology we've put in place.


This is a crucial point: Zale Corp's security department has performed a cost-benefit analysis that demonstrates how cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir security operation is saving money. First cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y had to quanitfy loss, and now cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y are showing how cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir team has reduced that loss. Note that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 security team isn't "making money;" cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y are preventing loss.

There has been a significant increase in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 number of criminals apprehended because we can get three to five cruisers out cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re immediately, because cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 police know if Zales calls, we are seeing a burglary unfolding before our eyes. We are able to verify to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m immediately that it's not a false alarm.

Zale Corp. is avoiding cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 problem facing many MSSPs. Many MSSPs just call cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 customer when one of a million Snort alerts appear on an analyst's console. The customer is left to do an investigation to validate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 alert. Good MSSPs (including internal ones) use an alert as an indicator to start cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir own investigation, backed by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 necessary actionable evidence to make a decision. Then cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y call cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 customer to inform cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m that a problem is happening, not to ask cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 customer "is anything wrong?" The customer learns to trust cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 MSSP, because when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 MSSP does call it means something.

CSO: If you are a retailer just coming to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 realization that you need to adopt a system like Zale's, what are cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first items you should be thinking about?

Thomas: The first thing you need to do is determine where your risk is. Is it cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 employee? Does cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 general public have access to your merchandise? Where is your shrink occurring and where will those precious dollars get cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 most benefit? The second thing you should do is go out and look at what your competitors are doing technologically to ensure security. Then you are able to build your system to meet cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 specific needs of your organization.


Again, Zale Corp. demonstrates where to begin. You can determine risk by performing preliminary monitoring to observe actual problems before implementing countermeasures. Bruce Schneier calls this monitor first.

Great article Bill Brenner!


Richard Bejtlich is teaching new classes in DC and Europe in 2009. Register by 1 Jan and 1 Feb, respectively, for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 best rates.

Download Free Hakin9 Issue

I noticed that Hakin9 magazine is running a one-day special free download of issue 1/2008. If you'd like to check out this magazine, visit cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 link to download cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 magazine in .pdf format.


Richard Bejtlich is teaching new classes in DC and Europe in 2009. Register by 1 Jan and 1 Feb, respectively, for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 best rates.

Monday, December 22, 2008

Justifying National Security Spending

Recently I posted Jeremiah Grossman on Justifying Security Spending. Yesterday I read Noah Schachtman's article Jets vs. Grunts in Pentagon Spending Showdown. I realized DoD (and really any ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r global military) has cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same problem facing digital security practitioners: how do you justify security spending? DoD spending doesn't make cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 country richer. As I've said elsewhere, spending on security only makes security vendors richer. (See Security ROI Revisited for my reference to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 broken window fallacy. By cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 way, if you are a politically-minded first-time blog visitor, you can forget about posting comments. This blog is for digital security; I'm not taking political sides here.)

One major difference between digital security justification and military justification is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 latter's emphasis on threats, especially cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir capabilities and intentions. We are not worried if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 United Kingdom builds a 5th generation fighter aircraft. We are worried if China, Russia, or Iran does. You don't see discussions of vulnerabilities, e.g., "we have to do something about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 exposures and vulnerabilities in our domestic fuel storage facilities that allow 5th generation fighters to bomb cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m!" Instead cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 conversation focuses on designing, building, and deploying fighters that can deter or destroy enemy fighters. This is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 case because a national military is in a position to take cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se actions, unlike cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 owners of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 fuel storage facilities.

Also notice that owners of domestic fuel storage facilities are not buying cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir own fighter aircraft to defend cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir assets. Obviously, you might think. Well, not if you are a digital security practitioner. We're expected to protect all of our assets, against any range of threats, with little to no help from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 governments we elect to "provide for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 common defense." I mentioned this last year in US Needs Cyber NORAD.

Until this situation changes you can expect me to point out cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 absurdity of our situation. Maybe in 25 years we'll look back at this time as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "Wild Cyber West" that it is.


Richard Bejtlich is teaching new classes in DC and Europe in 2009. Register by 1 Jan and 1 Feb, respectively, for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 best rates.

Sunday, December 21, 2008

Command Information Securing, Hacking and Defending IPv6

Last week I had cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 good fortune to attend Securing, Hacking and Defending IPv6, a class offered by Command Information in Herndon, VA. I've experimented with IPv6, as noted most recently in my May 2007 post Freenet6 on FreeBSD. I thought I knew a decent amount about IPv6, although I recognized a class like this would be helpful.

One word: wow. IPv6 is more complicated than I expected. I only began to realize this as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 two Command Information instructors, Joe Klein and TJ Evans, explained what cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y know about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 protocol and how it is used and abused. When IPv6 becomes even moderately deployed, intruders are going to have a field day. The network teams who have been hiding in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 shadows of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Web app folks are going to have to step into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 light and learn quickly. You can forget any hype about IPv6 bringing "security" when deployed, at least in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 short-to-mid-term. The operational realty of designing, building, and running IPv6 networks properly is going to rock everyone's world.

The instructors were cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 best aspect of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 class. They could answer any IPv6 question anyone asked. The overall content needs to be adjusted, but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 instructors were very open to feedback. The 3-day class I attended was only cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 second session taught thus far, so I expect continuous improvement during cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 next few sessions.

I haven't seen training on this subject anywhere else, by anyone I consider authoritative on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 subject. Joe and TJ are helping shape cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 nature and use of IPv6 in Federal and ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r locations, and you will learn a lot in this class.


Richard Bejtlich is teaching new classes in DC and Europe in 2009. Register by 1 Jan and 1 Feb, respectively, for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 best rates.