Wednesday, February 15, 2012

Practical Malware Analysis Book Promotion

I'm very pleased to share news of an awesome new book titled Practical Malware Analysis by Michael Sikorski and Andrew Honig. The authors will present a Webinar on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir book on Wednesday 29 February at 2 pm eastern. I was pleased to write cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 foreword, which ends with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se words:

If cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malware authors are ready to provide cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 samples, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 authors of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 book you’re reading are here to provide cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 skills. Practical Malware Analysis is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 sort of book I think every malware analyst should keep handy. If you’re a beginner, you’re going to read cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 introductory, hands-on material you need to enter cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 fight. If you’re an intermediate practitioner, it will take you to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 next level. If you’re an advanced engineer, you’ll find those extra gems to push you even higher—and you’ll be able to say “read this fine manual” when asked questions by those whom you mentor.

Practical Malware Analysis is really two books in one—first, it’s a text showing readers how to analyze modern malware. You could have bought cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 book for that reason alone and benefited greatly from its instruction. However, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 authors decided to go cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 extra mile and essentially write a second book. This additional tome could have been called Applied Malware Analysis, and it consists of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 exercises, short answers, and detailed investigations presented at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 end of each chapter and in Appendix C. The authors also wrote all cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malware cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y use for examples, ensuring a rich yet safe environment for learning.

Therefore, racá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r than despair at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 apparent asymmetries facing digital defenders, be glad that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malware in question takes cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 form it currently does. Armed with books like Practical Malware Analysis, you’ll have cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 edge you need to better detect and respond to intrusions in your enterprise or that of your clients. The authors are experts in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se realms, and you will find advice extracted from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 front lines, not cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365orized in an isolated research lab. Enjoy reading this book and know that every piece of malware you reverse-engineer and scrutinize raises cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 opponent’s costs by exposing his dark arts to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 sunlight of knowledge.

To announce cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 book, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 publisher is running this promotion: Use discount code REVERSEIT to get 40% off Practical Malware Analysis. One week only! Free ebook with all print book purchases.

The authors also started a new blog at practicalmalwareanalysis.com.

Monday, February 13, 2012

I Want to Detect and Respond to Intruders But I Don't Know Where to Start!

"I want to detect and respond to intruders but I don't know where to start!" This is a common question. Maybe you have a new security role in an organization, or a new service or business in your current organization, or some ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r situation where you want to find and stop attackers. However, you have no idea where to begin. Do you have cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data you need? If not, what should you add? What do intrusions look like in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data you collect?

These questions can be tough to answer from a purely cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365oretical perspective. I propose cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following approach.

First, conduct a tabletop exercise where you simulate adversary actions. At each stage of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 imagined attack, consider what evidence an intruder might create while taking actions against your systems. For example, if you are trying to determine how to detect and respond to an attack against a Web server, you're almost certainly going to need Web server logs. If you don't currently have access to those logs, you've just identified a gap that needs to be addressed. I recommend this sort of tabletop exercise first because you will likely identify deficiencies at low cost. Addressing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m might be expensive though.

Second, conduct a technical exercise where a third party simulates adversary actions. This is not exactly a pen test but it is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 sort of work a red team conducts. Ask cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 red team to carry out cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attacks you previously imagined to determine if you can detect and respond to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir activity. This should be a controlled action, not an "anything goes" event. You will see whecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 evidence and processes you identified in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first step help you detect and respond to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 red team activity. This step is more expensive than cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 previous because you are paying for red team attention, and again fixes could be expensive.

Third, you may consider re-engaging cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 red team to carry out a less restrictive, more imaginative adversary simulation. In this exercise cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 red team isn't bound by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 script you devised previously. See if your improved data and processes are sufficient. If not, work with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 red team to devise better detection and response so that you can handle cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir attacks.

At this point you should have cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data and processes to deal with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 majority of real-world attacks. Of course some intruders are smart and creative, but you have a chance against cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m now given cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 work you just performed.

Saturday, February 04, 2012

Impressions: Network Warrior, 2nd Ed

Five years ago I reviewed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first edition of Network Warrior by Gary A. Donahue. Thank to O'Reilly I can post my "impressions" of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 second edition of this great book. Although I read almost all of it, I am unable to post anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r review because Amazon.com has my previous review attached to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 new edition.

In brief, Network Warrior, 2nd Ed is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 book to read if you are a network administrator trying to get to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 next level. All of my praise from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 previous review apply to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 new book. The book is really that good, primarily because it combines very clear explanations with healthy doses of real-world experience. Thanks to Mr Donahue for taking cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time to update his book!

Impressions: Windows Sysinternals Administrator's Reference

Mark Russinovich and Aaron Margosis have written anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r awesome addition to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Microsoft Press catalog, Windows Sysinternals Administrator's Reference. Per my policy, because I did not read cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 whole book I am only posting "impressions" here and not a full Amazon.com review.

In brief this book will tell you more about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 awesome Sysinternals tools than you might have thought possible. One topic that caught my attention was using Process Monitor to summarize network activity (p 139). This reminded me of Event Tracing for Windows and Network Tracing in Windows 7. I remain interested in this capability because it can be handy for incident responders to collect network traffic on endpoints without installing new software, relying instead on native OS capabilities.

I suggest keeping a copy of this book in your team library if you run a CIRT. Thorough knowledge of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Sysinternals tools is a great benefit to anyone trying to identify compromised Windows computers.

Impressions: The Tangled Web

Six years ago I reviewed Michal Zalewski's first book, Silence on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Wire. Michal is a security researcher who has consistently created high-quality content for a very long time, so I was pleased to receive a review copy of his newest book The Tangled Web.

I did not read cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 whole book, hence I'm posting only my "impressions" here. I recommend reading this book if you want to know a lot, and I mean a lot, about how screwed up Web browsers, protocols, and related technologies truly are. Because many points of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 book are tied to specific browser versions, I suspect its shelf life to degrade a little more rapidly than some ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r technical titles. Still, I am shocked by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 amount of research and documentation Michal performed to create The Tangled Web.

As always, Michal's content is highly readable, very detailed, and well-sourced. It's a great example for ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r technical authors. Great work Michal!

The Toughest Question in Digital Security

The toughest question in digital security is "who cares?"

The recent Tweet by hogfly (@4n6ir) made me ponder this question. He points to an Aviation Week story by David Fulghum, Bill Sweetman, and Amy Butler titled China's Role In JSF's Spiraling Costs. It says in part:

How much of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 F-35 Joint Strike Fighter’s spiraling cost in recent years can be traced to China’s cybercá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ft of technology and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 subsequent need to reduce cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 fifth-generation aircraft’s vulnerability to detection and electronic attack?

That is a central question that budget planners are asking, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir queries appear to have validity. Moreover, senior Pentagon and industry officials say ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r classified weapon programs are suffering from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same problem. Before cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 intrusions were discovered nearly three years ago, Chinese hackers actually sat in on what were supposed to have been secure, online program-progress conferences, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 officials say.

The full extent of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 connection is still being assessed, but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re is consensus that escalating costs, reduced annual purchases and production stretch-outs are a reflection to some degree of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 need for redesign of critical equipment. Examples include specialized communications and antenna arrays for stealth aircraft, as well as significant rewriting of software to protect systems vulnerable to hacking.

It is only recently that U.S. officials have started talking openly about how data losses are driving up cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 cost of military programs and creating operational vulnerabilities, although claims of a large impact on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Lockheed Martin JSF are drawing mixed responses from senior leaders. All cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same, no one is saying cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re has been no impact.

While claiming ignorance of details about effects on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 stealth strike aircraft program, James Clapper, director of national intelligence, says that Internet technology has “led to egregious pilfering of intellectual capital and property. The F-35 was clearly a target,” he confirms.

The point of this article is to question cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 impact, in business and operational terms, of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 cyberwar China continues to prosecute against cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 West.

The toughest question in digital security is "who cares" because it is usually extremely difficult to determine cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 impact of an intrusion. Consider cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 steps required to define cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 business and operational impact of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ft of intellectual property (as one example -- cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re are many ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs).

  1. The victim must learn that an intrusion occurred.
  2. The victim must determine exactly what IP was stolen.
  3. The victim must understand cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 adversary's capability and intention to exploit cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 stolen IP.
  4. The victim must recognize when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 adversary exploits cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 stolen IP by using it in an operational context.
  5. The victim must determine what countermeasures or changes in courses of actions are possible to mitigate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 adversary's exploitation of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 stolen IP.
  6. The victim must syncá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365size most or all of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 previous points into an assessment of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 business and operational cost of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 IP cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ft.

Steps 1 and 2 are largely technical, but 3-6 are more business-focused. From what I have seen, everyone who is a victim in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ongoing cyberwar struggles to conduct "battle damage assessment" (BDA) for digital intrusions. Articles like cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 one I cited are examples showing how difficult it is to determine if anyone should care about China's exploitation of Western IP.

Monday, January 09, 2012

Best Book Bejtlich Read in 2011

It's time to name cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 winner of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Best Book Bejtlich Read award for 2011!

I've been reading and reviewing digital security books seriously since 2000. This is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 6th time I've formally announced a winner; see my bestbook label for previous winners.

Compared to 2010 (31 books), 2011 saw a decrease to 22 books. Remember all reading is neicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r equal nor fast. When I review a book, I am sure to read it and not just skim it. For 10 books last year, I chose not to read cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m but to instead post impressions. Posts called "impressions" provide my sense of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 book but I do not publish cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m in my Amazon.com reviews.

My ratings for 2011 can be summarized as follows:

  • 5 stars: 10 books

  • 4 stars: 7 books

  • 3 stars: 4 books

  • 2 stars: 1 book

  • 1 stars: 0 books

Please remember that I try to avoid reading bad books. If I read a book and I give it a lower rating (generally 3 or less stars), it's because I had higher hopes.

Here's my overall ranking of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 five star reviews; this means all of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following are excellent books. The links point to my reviews. And, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 winner of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Best Book Bejtlich Read in 2011 award is...

  • Hacking: The Art of Exploitation, 2nd Ed by Jon Erickson; No Starch. My review said in part:

    Jon Erickson's Hacking, 2nd Ed (H2E) is one of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 most remarkable books in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 group I just read. H2E is in some senses amazing because cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 author takes cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 reader on a journey through programming, exploitation, shellcode, and so forth, yet helps cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 reader climb each mountain. While cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 material is sufficiently technical to scare some readers away, those that remain will definitely learn more about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 craft.

Looking at publishers, for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first year I can remember no publisher won more than one title. No Starch breaks cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 string of 3 straight previous BBBR victories held by Syngress.

Thank you to all publishers who sent me books in 2011. I have plenty more to read in 2012.

Congratulations to all cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 authors who wrote great books in 2011, and who are publishing titles in 2012!