Tuesday, February 06, 2007

NoVA BUG Founded

If you visit www.novabug.org or novabug.blogspot.com, you'll see I just created cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 norcá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rn Virginia BSD users group.

Two years ago I expressed interest in helping with this organization, but someone else registered novabug.org and did nothing with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 name or concept.

Following in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 modest success of NoVA Sec, I thought it was time to create a BSD users group for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 technical professionals in this area. I'll be looking for an organization to host our first meeting, probably in March. If you are interested in participating in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se low-key yet high-value gacá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rings of like-minded BSD users, please leave a comment at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 NoVA BUG blog. I think we'll be able to recruit someone to host a mailing list fairly soon. Thank you!

Snort Report 3 Posted

My third Snort Report has been posted. Using cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 snort.conf file built in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 second Snort Report, I show how Snort can detect suspicious activity without using any rules or dynamic preprocessors. Granted, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 examples are somewhat limited, but you get cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 idea. The purpose of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se articles is to develop an intuitive understanding of Snort's capabilities, starting with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 basics and becoming more complicated.

Friday, February 02, 2007

Single-Digit Security Service Providers

Yesterday I learned that more friends of mine from Foundstone have departed to start cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir own companies. I could probably list a dozen such companies with whom I do work, from whom I get leads, or to whom I pass leads. It seems this is a really popular way for security specialists to do work cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y enjoy without cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 burden of corporate management.

I think clients like this approach because cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y always interact directly with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 people doing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 work. They can target specialists and only bring in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 people cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y need. When I am hired for a project that extends beyond network-centric monitoring, response, and/or forensics, I call on one or more friends I trust. For example, one client needs help with monitoring, infrastructure, and applications, so I am driving to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 client with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 best guys I know for each subject.

I wonder if it might be useful for all of us "single-digit security service providers" (i.e., those of us with less than ten employees) to meet, perhaps at Black Hat USA? So many people asked if I was attending Black Hat last year, but I didn't make it. This year I think I will attend, and it might be cool for all of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 security small business owners to meet and share war stories and capabilities. I'd like to expand my list of trusted colleagues, but I usually only feel comfortable recommending anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r person after I've met cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m and hopefully seen what skills cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y offer. This is related to my personal LinkedIn policy.

While I know a lot of people at bigger companies, I'm never really going to call on a large company for help unless cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 project is beyond what I could do with a small team. So, please don't be offended if you want to attend this meeting but work for a big consulting firm or defense contractor. Your company doesn't need any help from my company, believe me!

If cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re's interest in large companies looking to subcontract work to small companies, I think we can talk about arranging a second meeting for that sort of social networking. I do that too and so do my friends. If you work at a large company and want to meet potential subcontractors, also please email me and we'll set up a second meeting to accommodate those interests.

If eicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se meetings at Black Hat sound like a good idea, please comment here and/or email taosecurity [at] gmail [dot] com. Thank you.

Consider This Scenario

The ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r day I posted I Am Not Anti-Log. I alluded to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 fact that I am not a big log fan but I do see cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 value of logs. This post will give you an indication as to why I prefer network data to logs.

Yesterday morning I installed OSSEC on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 one system I expose to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Internet. OSSEC is really amazing in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 sense that you can install it and immediately it starts parsing system logs for interesting activity.

The system on which I installed OSSEC only offers OpenSSH to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 world. Therefore, you could say I was surprised when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following appeared in my Gmail inbox this morning:

OSSEC HIDS Notification.
2007 Feb 02 06:25:01

Received From: macmini->/var/log/auth.log
Rule: 40101 fired (level 12) -> "System user sucessfully logged to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system."
Portion of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 log(s):

Feb 2 06:25:01 macmini su[14861]:
(pam_unix) session opened for user nobody by (uid=0)

I don't know what that means, but I don't feel good about it. At this point I know what everyone is thinking -- SSH to host macmini and look around! Don't do it. If my macmini box is owned, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 last thing I want is for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 intruder to know that I know. The only defense when you suspect a box is compromised is to play dead and stupid. So where do I go to learn more about what's happened?

I do have one log-centric option. If I am running Syslog on macmini, and sending cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 logs elsewhere via Syslog to a central collector, I should check cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 collector for unusual logs from macmini. However, if I check cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Syslog server, and see nothing unusual, does that mean anything? Not really! The lack of log messages may indicate whatever cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 intruder did was not logged by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 victim. Maybe cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first act involved killing remote logging! This is one of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 reasons I am not a big fan of logs. The absence of logs does not confirm integrity. What can I do now?

My best option is to hop onto my NSM sensor and look for suspicious connections to or from macmini around cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time I got this OSSEC alert. For example, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following capture shows part of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 screen output showing sessions from 0800 GMT to about 1600 GMT. My OSSEC event occurred at 1125 GMT. This search for inbound sessions shows only ICMP at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 OSSEC event. A similar check for outbound sessions did not reveal anything interesting. Therefore, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 OSSEC event was probably caused by some sort of daemon running on macmini, not by a login from a remote unauthorized user.

Notice cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 difference between cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data presented in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 network sessions vs cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 host logs. The absence of suspicious session data means no remote intruder interacted with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system during cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time in question. In ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r words, a lack of a record showing an inbound OpenSSH session does mean no OpenSSH sessions occurred at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time in question. If you wonder if some sort of advanced covert channel ICMP-fu is happening, I have cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 full content validating each of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ICMP "sessions" and could investigate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m if I so desired.

Also keep in mind cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 value of collection session and full content independent of alerts. If I waited for an alert before starting to log sessions and/or full content, I'd be in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same boat with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 host-centric loggers. By doing content-neutral logging (i.e., grab everything, continuously) I can look for suspicious activity regardless of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 presence or absence of alerts.

Thursday, February 01, 2007

TaoSecurity 2007 Training Schedule

I just posted cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 TaoSecurity 2007 Training Schedule on my company Web site. I didn't include all of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 places I might be teaching this year. All of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 public classes are tentative at this point, but I am working on securing hosting facilities. You'll notice I plan to conduct six public classes across cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 US, and I am appearing at a few overseas conferences too -- including a one-day public class in Sydney, Australia.

If you would like to support my bid to teach at Black Hat USA Training (28-21 July 2007) in Las Vegas, NV, please email Ping Look via ping [at] blackhat [dot] com.

Email training [at] taosecurity [dot] com for advance details on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 classes listed below. Registration information for public classes will be posted shortly.

I maintain cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 latest schedule at TaoSecurity training.

If you would like me to conduct a private class at your facility, please email training [at] taosecurity [dot] com.

Thank you. I hope to meet you in 2007!

Enemy-Centric vs Population-Centric Security

Gunnar Peterson pointed me to a great blog post he wrote called Protect cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Transaction. He quotes Dave Kilcullen's post Two Schools of Classical CounterInsurgency, which discusses cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 difference between “enemy-centric” and “population-centric” counter-insurgency operations.

I consider two responses to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se posts. First, when monitoring, you can take a threat-centric or an asset-centric approach to monitoring insider threats. This is especially true when monitoring inside an organization. As I teach in my Network Security Operations class, threat-centric monitoring places sensors closer to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 suspected intruders (rogue sys admins, curious call center workers, etc.) while asset-centric monitoring places sensors closer to valuable resources (source code repositories, payroll servers, etc.) Sometimes you can follow both approaches, but that usually ends up in a "monitor everywhere" style that can be cost- and operationally-prohibitive. Keep in mind that defenses are (or should be) collapsing around cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 item of value, which Gunnar calls cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 transaction. He and I would agree that data is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 key resource, so resistance, detection, and response should focus on that element.

Second, in terms of threats and assets in general (i.e., "enemies" and "populations"), we as enterprise defenders can really only influence cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 asset or "population" variable. We address that aspect through design, architecture, secure coding, countermeasures, and so on. Only law enforcement or cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 military can address threats or "enemies" by prosecuting or eliminating cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m.

Keith Jones on Forensics

Keith Jones, my friend from Jones, Rose, Dykstra and Associates and Real Digital Forensics coauthor wrote The Real World of Computer Forensics for CMP. It's a good read.

Keith, Curtis (Rose) and I are discussing writing Real Digital Forensics 2, which will be fun to develop. We're considering writing a series of cases involving a single enterprise, but involving a wide variety of incident types and data sources. I don't see cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 book on shelves before 2008, though. It's a lot of work simply creating cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 evidence for analysis and inclusion on a DVD.