Collage: Defeating Censorship [aka Security] with User-Generated Content

The Economist article Anti-censorship: Hidden truths; A new way of beating cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 web’s censors brought a system called "Collage" to my attention. Collage, a project by Sam Burnett, Nick Feamster, and Santosh Vempala, described this way on its project site:

We have developed Collage, which allows users to exchange messages through hidden channels in sites that host user-generated content.

Collage has two components: a message vector layer for embedding content in cover traffic; and a rendezvous mechanism to allow parties to publish and retrieve messages in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 cover traffic.

Collage uses user-generated content (e.g., photo-sharing sites) as “drop sites” for hidden messages.

To send a message, a user embeds it into cover traffic and posts cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 content on some site, where receivers retrieve this content using a sequence of tasks.

Collage makes it difficult for a censor to monitor or block cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se messages by exploiting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 sheer number of sites where users can exchange messages and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 variety of ways that a message can be hidden. Our evaluation of Collage shows that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 performance overhead is acceptable for sending small messages (e.g., Web articles, email).

Applications use Collage to send and receive messages, by hiding cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se messages inside user-generated cover content (e.g., images, tweets, etc.) and publishing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m on user-generated content hosts like Flickr or Twitter. At cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 receiver, Collage fetches cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 cover content from content hosts and decodes cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 message. By hiding data inside user-generated content as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y traverse cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 network, Collage escapes detection by censors.

Freedom FTW, right? Let's rewrite this description from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 point of view I care more about:

We have developed Collage, which allows intruders to exchange messages through hidden channels in sites that host user-generated content.

Collage has two components: a message vector layer for embedding content in cover traffic that will fly past your proxies and ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r filtering mechanisms; and a rendezvous mechanism to allow parties to publish and retrieve messages in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 cover traffic.

Collage uses user-generated content (e.g., photo-sharing sites) as “drop sites” for hidden messages, like command and control traffic, or stolen data.

To send a message, a user embeds it into cover traffic and posts cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 content on some site, where receivers retrieve this content using a sequence of tasks that defenders will not recognize as malicious.

Collage makes it difficult for incident detection and response teams to monitor or block cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se messages by exploiting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 sheer number of sites where users can exchange messages and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 variety of ways that a message can be hidden. Our evaluation of Collage shows that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 performance overhead is acceptable for sending small messages (e.g., Web articles, email), perfect for command and control instructions.

Malware or backdoors use Collage to send and receive messages, by hiding cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se messages inside user-generated cover content (e.g., images, tweets, etc.) and publishing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m on user-generated content hosts like Flickr or Twitter that are not blocked by reputation systems, which some security vendors think solve cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 world's problems. At cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 receiver, Collage fetches cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 cover content from content hosts and decodes cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 message. By hiding data inside user-generated content as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y traverse cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 network, Collage escapes detection by organizations trying to protect cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir data.

I wonder if I'm not cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 only one thinking this way?

Tweet

Does This Sound Familiar?

Now that over a week has passed since this Economist article was published, I wanted to cite it and ask if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 problem it describes sounds familiar:

Globally, shrinkage [(losses from shoplifting, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ft by workers and accounting errors)] cost retailers $107 billion in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 year to June. This was 5.6% less than cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 previous year, but still cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 equivalent of 1.36% of sales...

When it comes to thwarting thieves, shop-owners are on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir own. In most countries cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 criminal justice system has all but given up trying to punish shoplifters... So retailers install CCTV cameras, attach so-called electronic article surveillance tags to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir wares, train cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir staff to spot thieves and screen workers for criminal records before hiring cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m. This year retailers spent $26.8 billion, or 0.34% of sales, on preventing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ft.

Some dismiss shoplifting simply as a cost of doing business. Yet it can be serious. Some shoplifters work in organised gangs. Some turn violent when interrupted. Some, especially those who are hooked on drugs, are persistent and prolific.

And all impose a cost on honest shoppers. Theft inflates cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 average family’s annual shopping bill by $186.

How many of us in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 cyber world thought we were cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 only ones "on our own" fighting adversaries?

The critical difference between shrinkage and digital intrusions is that retailers can measure losses because cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir products all bear price tags. Maybe businesses could help security professionals by putting "labels" on information assets? Even a WAG would help!

Tweet

What Do You Investigate First?

A colleague of mine who runs anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r Fortune 10 CIRT asked cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following question:

Let's say for example, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re is a cesspool of internal suspicious activity from netflow, log and host data. You have a limited number of resources who must have some criteria cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y use to grab cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 worst stuff first. What criteria would you use to prioritize your investigation activities?

There are two ways to approach this problem, but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y will likely converge at some point anyway:

1. Focus on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 assets.


2. Focus on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 threats.

Focus on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 assets means identify cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 most critical assets in your organization. You pay cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 most attention to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m regardless of who you think is causing suspicious or malicious activity that may or may not affect those assets. In ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r words, whecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r you believe a mindless malware sample or an advanced threat may be affecting those critical assets, you still devote resources to collection and analysis of activity involving those assets.

Focus on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 threats means identifying cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 most worrisome threats to your organization. You pay cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 most attention to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m regardless of what assets cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y may target. In ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r words, whecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r you see cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se threats conduct reconnaissance or enterprise-wide exploitation, you still devote resources to collection and analysis of activity involving those threats.

I say cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se two approaches are likely to converge, because at some point you will see your most critical assets targeted by your most worrisome threats. In fact, you are likely to determine that a threat is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 most worrisome precisely because it spends cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 most time and effort trying to access your critical assets.

I think operationalizing both approaches is tough, because many don't really know what is most important, or how to identify cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 most worrisome threats. Identifying critical assets is probably easier. If you identify critical assets, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n identify dedicated threats to those assets, you're probably in a position to now deal with both approaches.

You probably notice I've mentioned two of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 three components of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 risk equation -- assets and threats. I did not mention vulnerabilities yet. Yes, you could decide what assets have cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 most vulnerabilities and focus on suspicious and malicious activity affecting those assets. A lot of shops do this because it is probably cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 easiest approach, since identifying and categorizing vulnerabilities is probably easier than doing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same for assets and threats. However, you might waste a lot of time chasing assets which aren't as important as ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs. Still, this is anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r approach if you find that you can't make any progress on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 asset- or threat-centric approaches.
Tweet

FIRST Technical Colloquium Tue 2 Nov in NoVA

FIRST is holding a one-day Technical Colloquium in Herndon, VA on Tue 2 Nov 2010, organized by Jeffrey Palatt from IBM. The event is free and open to FIRST members and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir guests, but seating is limited. The program features several good speakers but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 interaction among cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attendees is often what I like best! As you might expect cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 content involves detection and response to security incidents.

If you are not a FIRST member but would like to see if I can sponsor you, email taosecurity at gmail dot com by Tuesday evening. Please use "FIRST TC" as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 subject of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 email. I will do what I can to accommodate requests, but FIRST makes cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 final decision concerning attendance for non-FIRST members.
Tweet

Resources for Building Incident Response Teams

Recently a colleague asked me for resources for building incident response teams. I promised I would provide a few ideas, so I thought a blog post might be helpful. I figured some of you might want to add comments with links or thoughts.

• The CERT.org CSIRT Development site is probably cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 best place to start. From cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re you can find free documents, links to classes offered by SEI on building CIRTs, and so on. I don't think you can beat that site!


• I don't think cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 resources at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 FIRST site are as helpful, but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 process of working toward membership is a great exercise for a new CIRT.


• My TaoSecurity books page lists several books which CIRTs will likely find helpful.

What ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r resources would you suggest for someone building a CIRT? Please leave out cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 standard information security sites. Thank you.
Tweet

Review of Professional Assembly Language Posted

Amazon.com just posted my four star review of Professional Assembly Language by Richard Blum. I reviewed one of his ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r books seven years ago: Network Performance Toolkit: Using Open Source Testing Tools. From cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 review:

I read Professional Assembly Language (PAL) by Richard Blum because I wanted to become somewhat familiar with assembly language. Books like "Introduction to 80x86 Assembly Language and Computer Architecture" by Richard Detmer or "Introduction to Assembly Language Programming: From 8086 to Pentium Processors" by Sivarama P. Dandamudi seemed too dense and textbook-like to meet my needs. PAL, on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r hand, appeared very practical and focused on getting readers working with assembly language early in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 text. As long as you understand cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 nature of PAL and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 author's goals, I think you'll enjoy reading cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 book as much as I did.

Tweet

Review of Cyber War Posted

Amazon.com just posted my four star review of Cyber War by Richard Clarke and Robert Knake. From cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 review:

The jacket for "Cyber War" (CW) says "This is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first book about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 war of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 future -- cyber war." That's not true, but I would blame cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 publisher for those words and not cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 authors. A look back to 1998 reveals books like James Adams' "The Next World War: Computers Are cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Weapons & cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Front Line Is Everywhere," a book whose title is probably cooler than its contents. (I read it back cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n but did not review it.) So what's cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 value of CW? I recommend reading cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 book if you'd like a Beltway insider's view of government and military information warfare history, combined with a few recommendations that could make a difference. CW is strongest when drawing on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 authors' experience with arms control but weakest when trying to advocate technical "solutions."

Tweet