Friday, August 15, 2008

Is This You?

Security person, is this you?

The pressure on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 risk department to keep up and approve transactions was immense... In cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir [traders and bankers] eyes, we were not earning money for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 bank. Worse, we had cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 power to say no and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365refore prevent business from being done. Traders saw us as obstructive and a hindrance to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir ability to earn higher bonuses. They did not take kindly to this. Sometimes cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 relationship between cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 risk department and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 business lines ended in arguments. I often had calls from my own risk managers forewarning me that a senior trader was about to call me to complain about a declined transaction. Most of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 business line would simply not take no for an answer, especially if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 profits were big enough. We, of course, were suspicious, because bigger margins usually meant higher risk.

Criticisms that we were being “non-commercial”, “unconstructive” and “obstinate” were not uncommon. It has to be said that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 risk department did not always help its cause. Our risk managers, although cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y had strong analytical skills, were not necessarily good communicators and salesmen. Tactfully explaining why we said no was not our forte. Traders were often exasperated as much by how cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y were told as by what cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y were told.

At cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 root of it all, however, was — and still is — a deeply ingrained flaw in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 decision-making process. In contrast to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 law, where two sides make an equal-and-opposite argument that is fairly judged, in banks cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re is always a bias towards one side of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 argument. The business line was more focused on getting a transaction approved than on identifying cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 risks in what it was proposing. The risk factors were a small part of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 presentation and always “mitigated”. This made it hard to discourage transactions. If a risk manager said no, he was immediately on a collision course with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 business line. The risk thinking cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365refore leaned towards giving cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 benefit of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 doubt to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 risk-takers.

Collective common sense suffered as a result. Often in meetings, our gut reactions as risk managers were negative. But it was difficult to come up with hard-and-fast arguments for why you should decline a transaction, especially when you were sitting opposite a team that had worked for weeks on a proposal, which you had received an hour before cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 meeting started. In cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 end, with pressure for earnings and a calm market environment, we reluctantly agreed to marginal transactions.


This excerpt is from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 9 Aug 08 Economist story A personal view of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 crisis: Confessions of a risk manager .

Thursday, August 14, 2008

Reaction to Air Force Cyber Command Announcement

I've been writing about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 proposed Air Force Cyber Command since cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Spring of 2007. Since Bob Brewin broke cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 story that "cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Air Force on Monday suspended all efforts related to development of a program to become cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 dominant service in cyberspace," I've been getting emails and phone calls asking if I had seen cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 story and what was my reaction. I provided a quote for Noah Shachtman's story Air Force Suspends Controversial Cyber Command.

A story published today in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Air Force Times said:

[New Air Force Chief of Staff Gen. Norton] Schwartz appeared to backtrack on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Air Force’s plan to stand up its new Cyber Command by Oct. 1. He said cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 mission will go forward, but that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 organizational structure of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 mission and how it will integrate with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Defense Department and U.S. Strategic Command are still being considered.

I would not be surprised if Gen Schwartz was told to play nicely with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r services. I don't expect to see any more commercials promoting Air Force cyber defense!

More Threat Reduction, Not Just Vulnerability Reduction

Recently I attended a briefing were a computer crimes agent from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 FBI made cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following point:

Your job is vulnerability reduction. Our job is threat reduction.

In ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r words, it is beyond cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 legal or practical capability of most computer crime victims to investigate, prosecute, and incarcerate threats. Therefore, we cannot independently influence cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 threat portion of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 risk equation. We can play with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 asset and vulnerability aspects, but that leaves cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 adversary free to continue attacking until cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y succeed.

Given that, it is disappointing to read State AGs Fail to Adequately Protect Online Consumers. I recommend reading that press release from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Center for American Progress and Center for Democracy and Technology for details.

I found this recommendation on p 25 interesting:

Consumers are paying a steep price for online fraud and abuse. They need aggressive law enforcement to punish perpetrators and deter ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs from committing Internet crime. A number of leading attorneys general have shown cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y can make a powerful difference. But ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs must step up as well. To protect consumers and secure cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 future of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Internet, we recommend that state attorneys general take cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following steps...

Develop computer forensic capabilities. Purveyors of online fraud and abuse — and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 methods cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y use — are often extremely difficult to detect. Computer forensics are thus needed to trace and catch Internet fraudsters. Attorneys general in Washington and New York invested in computer forensics and, as a result, were able to prosecute successful cases against spyware. Most states, however, have little in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 way of computer forensic capability.

Developing this capability may not require substantial new funds. Racá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r, most important are human and intellectual resources. Even New York’s more intensive adware investigations, for instance, were done with free or low-cost software, which, among ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r things, captured screenshots, wiped hard drives, and tracked IP addresses and installation information through “packet sniffing” tools. Attorneys general must make investments in human capital so that such software can be harnessed and put to use.


When I teach, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re are a lot of military people in my classes. The rest come from private companies. I do not see many law enforcement or ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r legal types. I'm guessing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y do not have cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 funds or cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 interest?

Snort Report 18 Posted

My 18th Snort Report titled The Power of Snort 3.0 has been posted. From cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 article:

Service provider takeaway: Service providers will learn about Snort 3.0's new architecture and how it can be used as a platform for generic network traffic inspection tools.

Recently, I attended a seminar offered by Sourcefire, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 company that supports Snort. Marty Roesch, Snort's inventor and primary developer, discussed Snort 3.0. In this edition of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Snort Report, I summarize Marty's plans and offer a few thoughts on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 direction of Snort development.


Right now I am working on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 next Snort Report, where I discuss how to get cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 latest Snort 3.0 beta running on Debian.

Friday, August 08, 2008

Black Hat USA 2008 Wrap-Up: Day 2

Please see Black Hat USA 2008 Wrap-Up: Day 1 for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first part of this two-part post.

Day two of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Black Hat USA 2008 Briefings began much better than day one.

  • Rod Beckström, Director of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 National Cyber Security Center in DHS, delivered today's keynote. I had read articles like WhiteHouse Taps Tech Entrepreneur For Cyber Defense Post so I wasn't sure what to think of Mr. Beckström. It turns out his talk was excellent. If Mr. Beckström had used a few less PowerPoint slides, I would have classified him as a Edward Tufte-caliber speaker. I especially liked his examination of history for lessons applicable to our current cyber woes. He spoke to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 audience in our own words, calling cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 US an "open source community," cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Declaration of Independence and Constitution our "code," cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Civil War a "fork," and so on. Very smart.

    For example, Mr. Beckström provided context for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 photo at left of Union Intelligence Service chief Allan Pinkerton, President Lincoln, and Major General John A. McClernand during Antietam (late 1862). Using cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 photo Mr. Beckström explained cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 relationship between cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 intelligence community, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 government, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 military. After I answered his question "what made cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Civil War unique?" (answer: cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 telegraph), Mr. Beckström described how Lincoln was cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first "wired" President and how electronic warfare against cables first began.

    In addition to talking about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 French and Indian War and our own Revolution (e.g., Washington learned guerilla tactics, Benedict Arnold as insider threat), Mr. Beckström spoke about how to characterize our current problem. He said "offense is a lot easier than defense." Unlike Moore's Law, we don't have laws for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 physics of networking, or cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 economics of networks or security, or how to do risk management. Mr. Beckström noted security is a cost (so much for "enablement") and that minimization of total cost C (where C equals cost of security S plus expected cost of a loss L) is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 main goal. (I wonder if he's read Managing Cyber Security Resources?) Mr. Beckström said cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 CISO budget should be based on reducing estimated loss, but it's usually based on a percentage of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 CTO or CIO's budget that's unrelated to any problem faced by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 security team.

    Most interesting to me, Mr. Beckström explained how he believes investment in protocols (like security DNS, BGP, SMS/IP, even POTS) could be cheap while yielding large benefits. I will have to watch for developments cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re.

  • Next I saw Felix Lindner present Developments in Cisco IOS Forensics. It seemed like a lot of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ideas were present in his great talk from last year, but I liked this year's presentation anyway. FX is absolutely cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 authority on breaking Cisco IOS, he's an excellent speaker, and I learned a lot. FX discussed how attacks on IOS take cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 form of protocol, functionality/configuration, or binary exploitation attacks. Binary exploitation is of most interest to FX, and takes cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 form of binary modification of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 runtime image, data structure patching, runtime configuration changes, and loading TCL backdoors. (The last is "widely used by people fired from ISPs"!)

    In order to gain some degree of visibility into binary exploitation attacks against IOS, FX recommends enabling core dumps. This does not affect performance (except slowing reboot time). Core dumps can be written to a FTP server, and will result from unsuccessful binary exploitation attempts or any time a router administrator invokes cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "write core" command. Because cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re are over 100,000 IOS images in use today ("only" 15,000 or so are supported by Cisco), cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re is a high likelihood that a remote intruder will crash cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 router when trying a binary exploitation attack. Furcá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rmore, it's possible to find cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 packets which caused cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attack in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 router's memory dump, since cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y will be in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 queue of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attacked thread. I look forward to trying this and submitting a dump to Recurity Labs CIR.

  • Greg Conti and Erik Dean presented Visual Forensic Analysis and Reverse Engineering of Binary Data. I thought one of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir slides (presented at left) was, unintentionally, a powerful partial summary of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 skill sets needed for certain levels of analysis of binary data in our field. For example, I am very comfortable in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 lowest portion where binary data represents network packets. I am trying to learn more about binary data as memory. I have worked with binary data as files, but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re's a lot going on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re (as I learned from a talk on Office forensics, noted below).

    Greg and Erik demonstrated two new tools cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y wrote for visual analysis of binary data. Most surprisingly, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y showed actual images rendered from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 memory of a Firefox crash dump file. An example appears at right. They displayed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 image by plotting every three bytes of memory as a RGB entry. They also noted that one day we could expect to see security analysts sitting with recognition posters of common patterns (e.g., diffuse means encryption or compression). That reminded me of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 surface-to-air missile (SAM) emplacement images I studied in intel school.

  • I joined Detecting & Preventing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Xen Hypervisor Subversions by Joanna Rutkowska and Rafal Wojtczuk. Joanna had to remove slides pending publication of a patch from Intel. (See my last post for notes on why cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 chipset is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 new battleground.) She hinted that Intel is considering working with anti-virus vendors to run scans inside cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 chipset, which would be a bad idea. Joanna also talked about her company's product, HyperGuard, which can sit inside cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Phoenix BIOS to perform integrity checking.

    Joanna's research started with Blue Pill as a means to put an OS inside a thin hypervisor (cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Blue Pill), but her newest work involves attacking an existing hypervisor (like Xen). This is why her post 0wning Xen in Vegas! says Rafal will discuss how to modify cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Xen’s hypervisor memory and consequently how to use this ability to plant hypervisor rootkits inside Xen (everything on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 fly, without rebooting Xen). Hypervisor rootkits are very different creatures from virtualization based rootkits (e.g. Bluepill). This will be cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first public demonstration of practical VMM 0wning.

    This presentation reminded me that I should have a permanent Xen instance running in my lab to improve familiarity with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 technology.

  • Following Joanna's talk I enjoyed Get Rich or Die Trying - Making Money on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Web, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Black Hat Way by Jeremiah Grossman and Arian Evans. They showed many real and amusing cases of monetizing attacks.

  • Bruce Dang discussed Methods for Understanding Targeted Attacks with Office Documents. Everything for Bruce is "pretty easy," like writing custom Office document parsers to examine Office-based malware. Bruce ended his talk early so I moved next door to hear cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Sensepost guys. I should have attended earlier -- it sounded like cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y created some extreme tunnels for getting data in and out of enterprise networks. They concluded by discussing how to load and execute binaries into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 address space of SQL Server 2005 via SQL injection, because SQL Server 2005 has an embedded .NET CLR. Wow.


Overall, I think my conclusions from my last Black Hat Briefings still stand. However, I was surprised to see so much more action on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 chipset level. I did not hear anything about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r extreme of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 digital spectrum, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 cloud. Perhaps that will be a topic next year, if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 lawyers can be avoided?

Thursday, August 07, 2008

Black Hat USA 2008 Wrap-Up: Day 1

Black Hat USA 2008 is over. I started cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 6-day event by training almost 140 students during two 2-day editions of TCP/IP Weapons School. Both sessions went well. I'd like to thank Joe Klein and Paul Davis for helping students navigate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 class entrance and exit processes, and for keeping cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 labs running smoothly.

In cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 year since I posted Black Hat Final Thoughts for last year's event, a lot has happened. (I also reported on Black Hat Federal 2006 here, here, and here, and Black Hat USA 2003. I attended Black Hat USA 2002 but wasn't blogging cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n.) In this post I will offer thoughts on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 presentations I attended.

  • I started Wednesday by attending cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 keynote by Ian Angell, Professor of Information Systems at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 London School of Economics. I want that hour of my life back. Quoting philosophers, looking only at failures and never successes, and pretending your cat can talk doesn't amount to a good speech. This was a low point of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Briefings, although cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re was enough humor to keep my attention.

  • I saw two talks by Sherri Sparks and Shawn Embleton from Clear Hat Consulting. The first was Deeper Door: Exploiting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 NIC Chipset, and I describe cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 second below. They were probably my favorite talks of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 entire conference, because cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y were clear, concise, and informative. And -- shocker -- I skipped cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 DNS madness in favor of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 second of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se talks, because cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Internet still appears to be working.

    Deeper Door is a play on DeepDoor, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 rootkit Joanna Rutkowska presented at Black Hat Federal 2006. DeepDoor hooks cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Windows Network Driver Interface Specification (NDIS), whereas Deeper Door interacts directly with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 LAN controller to read and write packets. Deeper Door works with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Intel 8255x 10/100 Mbps Ecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rnet Controller Family, and was tested with Intel PRO100B and S NICs. Deeper Door loads as a Windows driver and performs memory-mapped writes to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 LAN controller to bypass monitoring and enforcement systems (i.e., host-based firewalls and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 like) which assume that processes or applications must be responsible for transmitting packets.

    Transmitting traffic is fairly easy, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 demo showed sending hand-crafted UDP traffic past Windows and Zone Alarm firewalls without a problem. Receiving traffic is a little trickier, because receipt of a packet triggers a frame reception (FR) interrupt that will result in a check of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Interrupt Descriptor Table (IDT). One can use traditional techniques like hooking cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 IDT to get cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 packet to Deeper Door, or something like a SMM rootkit (described next) or a Blue Pill-like rookit to avoid hooking cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 IDT. When Deeper Door receives a packet, it can alter cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 contents to make cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 packet appear benign (i.e., not a command-and-control packet from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 mocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r ship), or it can completely erase cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 packet so that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 operating system doesn't see it.

    The speakers noted that disabling cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 NIC (via Windows interaction) doesn't stop Deeper Door; it can silently re-enable it. Even uninstalling cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 NIC (again via Windows) leaves cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 NIC in a state where it can send, but not receive, traffic.

    This presentation reinforced cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 lesson that relying on an endpoint to defend itself is a bad idea. I've talked about trying to collect traffic on endpoints for incident response purposes, but a rootkit using Deeper Door technology could completely hide suspicious traffic from any host-based sniffer! In 2005 I wrote Rookits Make NSM More Relevant Than Ever, and Deeper Door proves it.

  • I stayed for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir next talk, A New Breed of Rootkit: The System Management Mode (SMM) Rootkit. SMM was publicly brought to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attention of security researchers in 2006 by Loïc Duflot, followed by Phrack's System Management Mode Hacks by BSDaemon, coideloko, and D0nand0n. Sparks and Embleton wrote a chipset-level keylogger and data exfiltrator that resides in SMM and sends 16 bytes at a time. Combined with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir NIC-centric rootkit, it's impressive work. The SMM rootkit demonstrates that chipset-level data structures, like cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 I/O Redirection Table, are cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 newest targets of subversion.

    Sparks and Embleton claimed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir SMM rookit wouldn't be effective on newer systems (say 2006 and on) because a bit in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 SMRAM control register called D_LCK is set, but Joanna Rutkowska said a bug in Intel (to be fixed soon) makes clearing D_LCK on newer systems possible without a system reset.

  • Staying with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 chipset-as-battleground cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365me, I next attended Insane Detection of Insane Rootkits, or a Chipset Based Approach to Detect Virtualization Malware, a.k.a. DeepWatch, by Yuriy Bulygin. Bulygin recommended using firmware on an Intel microcontroller to detect and remove hypervisor rootkits. Specifically, he puts his code in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 microcontroller used for Intel Active Management Technology. As noted on that page, Intel® Active Management Technology requires cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 platform to have an Intel® AMT-enabled chipset [like vPro], network hardware [like cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Intel® 82573E Gigabit Ecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rnet Controller] and software [on a server]. The platform must also be connected to a power source and an active LAN port. If you know nothing about AMT, I suggest checking it out; cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 security implications are staggering. Bulygin claimed to be able to detect SMM rootkits, which was an excellent defensive follow-on to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 talks I had just seen.

    These three talks really emphasized a trend: cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 chipset is a new battleground. I would like to see a lot more information posted at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Intel Product Security Center. An indicator for me of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir willingness to step up to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 plate in this new era would be to see an advisory for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 bug Joanna mentioned posted at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir security site. Somehow I think more than 5 vulnerabilities have been fixed in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir code since January 2007. Furcá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rmore, you can include cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 BIOS as a related battleground. I am worried when I see vendors continue to add functionality into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se low-level components. I plan to keep an eye on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Intel Software Network Blog for Manageability for furcá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r news.

  • Next I attended Xploiting Google Gadgets: Gmalware and Beyond by Tom Stracener and Robert (Rsnake) Hansen. They showed that Google continues to be evil because it thinks being able to track user actions via redirection is more important than fixing security vulnerabilities. I sat with Mike Rash and Keith Jones. Speaking after cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 talk, I learned Keith was as confused as I was. We concluded that if you're not pen testing Web apps for a living, you probably weren't able to follow all of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 vulnerabilities in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 presentation since cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y moved to quickly from issue to POC-as-movie to next issue.

  • I finished cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 day with MetaPost-Exploitation by Val Smith and Colin Ames. This briefing was disappointing. I think cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 material was better suiting for a training session where cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 students could have tried cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 techniques, racá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r than just watching cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m.


That's day 1. Please see my next post for day 2.

Monday, August 04, 2008

Traffic Talk 1 Posted

I've started writing a new series for TechTarget SearchNetworkingChannel.com called Traffic Talk. The first edition is called DNS troubleshooting and analysis. I wrote it in early June, way before Dan Kaminsky's DNS revelations, so it has nothing to do with that affair. From cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 start of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 article:

Welcome to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first edition of Traffic Talk, a regular SearchNetworkingChannel.com series for junior to intermediate networkers who troubleshoot business networks. In cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se articles we examine a variety of open source tools that expose and analyze different types of network traffic. In this edition we explore cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Domain Name System (DNS), cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 mechanism that translates IP addresses to hostnames and back, plus a slew of ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r functions.