Monday, March 29, 2004

OpenBSD Funding Highlights Open Source Development Issues

In mid-March cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 OpenBSD Journal featured a story on funding OpenBSD SMP development. I found it interesting to get a glimpse into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 workings of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 open source community when it comes to making important advances in operating systems. The story was really a post of a message Theo made to a mailing list, but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 commentary was interesting. It reminded me of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 donations to Colin Percival's Freebsd-update project.

New Utilities for Investigating Systems

I've come across a few interesting utilities that deserve a look. PyFlag is a Web-based forensic analysis suite written in Python. It's a complete rewrite of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 original FLAG tool.

Microsoft released portrptr.exe recently. Port Reporter runs as a service on Windows 2000/XP/2003 systems, logging sockets used to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 c:\winnt\system32\logfiles\portreporter directory. Here are sample records:

04/3/29,9:38:18,TCP,21,10.10.10.3,24898,192.168.50.2
04/3/29,9:38:25,TCP,1163,10.10.10.3,,0.0.0.0
04/3/29,9:38:25,TCP,1163,10.10.10.3,24899,192.168.50.2
04/3/29,9:38:50,TCP,1166,10.10.10.3,24900,192.168.50.2
04/3/29,9:38:55,TCP,1167,10.10.10.3,24901,192.168.50.2

The first is an FTP control channel. The last three are FTP data channels. I am not sure about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 second entry but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 source port is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same as that used for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first FTP data channel.

Online Debian Book

I decided to move my old Pentium 90 from Red Hat 6.2 to Debian. I installed 3.0r2 using cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 2.2 kernel boot floppies. The P90 doesn't support booting from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 blazingly fast 2X speed Sony CD-ROM, which also requires a cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 CDU31A driver. I couldn't find support for this driver in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 2.4 kernel boot floppies. I also had to load cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 8390 and smc-ultra kernel modules to support a Linksys ISA NIC.

Along cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 way I found The Debian Universe, which "aims to become a complete guide to installing, managing and running Debian GNU/Linux." This is great because cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 last published book on Debian arrived in 2001 and described cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 2.2r release.

I was able to update my kernel to 2.4.18 using cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 apt tools. This command showed me what was available:

apt-cache search kernel-image-2.4

Next I installed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 2.4.18 image:

apt-get install kernel-image-2.4.18-1-386

I added 'initrd=/initrd.img' to /etc/lilo.conf as prompted by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 install process. When I rebooted I was running 2.4.18.

I intend to try upgrading to a 2.6 kernel using cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 packages provided by Debian Backports.

Friday, March 26, 2004

Draft Cover Art for my Book

I received draft cover art for my upcoming book The Tao of Network Security Monitoring: Beyond Intrusion Detection. That's a praying mantis on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 cover. I first studied a form of praying mantis kung fu ten years ago in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 town where I grew up. The school is still going strong as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Michael Macaris Kung Fu Academy in Billerica, Massachusetts.

Wednesday, March 24, 2004

The Applicability of Corporate Fraud to Digital Security

I've been on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 lookout for Corporate Fraud: Case Studies in Detection and Prevention by John D. O'Gara. I thought it might contain insights useful for intrusion detection. Looking at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 sample excerpt, (.pdf), it seems more suited to corporate types. However, I found this statement to be fascinating:

"Effective prevention depends on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 probability of detection and prosecution more than on any ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r single factor, because management fraud typically involves override racá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r than taking advantage of control weaknesses."

This ties in to my idea that prevention eventually fails, for whatever reason. I also found cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 emphasis on recognition of indicators to be completely in line with my ideas:

"All competent professional internal auditors should have cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ability to recognize cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 red flags and symptoms that indicate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 possible existence of management fraud, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y should also be able to perform diagnostic procedures to assess cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 probability of occurrence. Investigation of cases of more complex management fraud beyond determining whecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r fraud probably occurred normally requires specialized experience and skills. Nevercá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365less, we cannot overemphasize cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 importance of recognition. Simply put, recognition must occur before investigation can start.

According to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Institute of Internal Auditors (IIA), 'The internal auditor should have sufficient knowledge to identify cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 indicators of fraud but is not expected to have cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 expertise of a person whose primary responsibility is detecting and investigating fraud.' Furcá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rmore, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 IIA maintains that '[d]etection of fraud consists of identifying indicators of fraud sufficient to warrant recommending an investigation.'"

That's similar to my description of Network Security Monitoring:

"NSM is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 collection, analysis, and escalation of indications and warnings to detect and respond to intrusions. NSM tools are used more for network audit and specialized applications than traditional alert-centric 'intrusion
detection' systems."

Friday, March 19, 2004

New Sguil Installation Guide Released

I just released a new Sguil install guide using Sguil 0.3.1, FreeBSD 5.2.1 REL, Snort 2.1.1, Barnyard 0.2beta2, MySQL 4.0.18, and ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r updates. It's available in text form at http://sguil.sourceforge.net/downloads/sguil_guide_0-3-1_02.txt. The packages for FreeBSD 5.2.1 mentioned in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 guide are available at sguil_0-3-1_f5-2-1_pkg.tar.gz (24 MB).

I wanted to get this out to accompany cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 article in Sys Admin magazine. The new guide is a text version, which I felt was more appropriate for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Sguil user community.

I composed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 guide in vi, which didn't wrap cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 lines to 80 columns. I used fold -s to create cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 formatted result.

Wednesday, March 17, 2004

TheJemReport.com Publishes Benchmarking Results

TheJemReport.com published several good articles on FreeBSD recently. I was impressed by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 author's attention to detail for each report, but I am not in a position to try to confirm or refute his claims. With a three word summary, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y are: