Wednesday, May 04, 2005

OCTAVE Properly Distinguishes Between Threats and Vulnerabilities

You may have heard of Carnegie Mellon's Software Engineering Institute. Within SEI's Networked Systems Survivability program is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Survivable Enterprise Management group. Members of this group developed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Operationally Critical Threat, Asset, and Vulnerability Evaluation (OCTAVE) method. OCTAVE is "a self-directed approach for assessing and managing information security risks. OCTAVE allows an enterprise to identify cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 information assets that are important to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 mission of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 organization, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 threats to those assets, and vulnerabilities that may expose cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 information assets to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 identified threats." Already you should notice that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 OCTAVE crew is using cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 terms risk, asset, threat, and vulnerability properly. In fact, a look at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 OCTAVE Threat Profiles (.pdf) document reveals additional understanding of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 differences between threats and vulnerabilities:

"Below is an expanded classification of threat actors.

  • non-malicious employees: people within cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 organization who accidentally abuse or misuse computer systems and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir information

  • disgruntled employees: people within cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 organization who deliberately abuse or misuse computer systems and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir information

  • attackers: people who attack computer systems for challenge, status, or thrill

  • spies: people who attack computer systems for political gain

  • terrorists: people who attack computer systems to cause fear for political gain

  • competitors: people who attack computer systems for economic gain

  • criminals: people who attack computer systems for personal financial gain

  • vandals: people who attack computer systems to cause damage"


What, no mention of problems with Microsoft RPC services on port 135 TCP? No Cisco router denial of service condition? OCTAVE and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 SEI know cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 difference between threats and vulnerabilities and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y speak authoritatively on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 subject. Kudos to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m for being rigorous with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir terms and work.

Tuesday, May 03, 2005

There's more coming out of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Forum of Incident Response and Security Teams (FIRST) cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se days now cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y've updated cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir Web page! I just read an announcement that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Department of Homeland Security has named FIRST cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 custodian of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Common Vulnerability Scoring System (CVSS). CVSS is a way to quantify cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 severity of a vulnerability using three groups: a base metric group, a temporal group, and an environmental group. The sample scoring shows some of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 values for recent vulnerabilities.

The definitive documents on CVSS are available on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 FIRST CVSS site. I think this system will have some legs, so keep an eye on it. My only concern is that some documents which explain CVSS confuse threats with vulnerabilities -- a common cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365me on this blog. Consider cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following:

"Current scoring systems, in use by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Computer Emergency Response Team/Coordination Center (CERT/CC), Symantec, Internet Security Systems, Cisco Systems, and ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs, rate vulnerabilities according to a variety of metrics and determine a single overall threat score by weighing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se metrics."

They shouldn't say "threat score"; cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y mean "vulnerability score."

Furcá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 document we read this:

"Common causes of vulnerabilities are design flaws in software and hardware, botched administrative processes, lack of awareness and education in information security, technological advancements or improvements to current practices, any of which may result in real threats to mission-critical information systems."

Again, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re's no threat here. A threat is a party with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 capabilities and intentions to exploit a vulnerability. Eicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r "vulnerabilities" or "risks" is more appropriate here.

Anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r case:

"Potential Threat: These are vulnerabilities that are dependent on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 exploitation of ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r vulnerabilities before cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y become a risk."

Argh, this is even worse, as it defines a threat as a vulnerability. Wrong again.

"Real-time Attack Scoring: CVSS does not have any capacity for tracking cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 threats posed by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ongoing exploitation of vulnerabilities."

They probably mean "risks" here.

"A vulnerability that is remotely exploitable is considered to be a higher risk threat than one that is only locally exploitable, since cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 pool of potential attackers is greater."

Great, all three terms are mixed up here. Delete "threat" from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 sentence and it makes more sense.

So what is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 document I've been citing? It's cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 National Infrastructure Advisory Council, in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir final recommendations and report on CVSS available in .pdf form here. At cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 report was written, John Chambers (CEO of Cisco) and John Thompson (CEO of Symantec) were in charge. I would expect cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m to exercise a little more intellectual rigor on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 documents cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir group produces. I have no expectations at all that a report headed by someone like my favorite graduate professor Phil Zelikow would make cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se sorts of amateur mistakes!

While on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 subject of vulnerabilities, it's worth noting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 release of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 latest SANS Most Critical New Vulnerabilities Discovered or Patched During cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 First Quarter of 2005. Let's see if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y can keep threats and vulnerabilities as distinct ideas:

"However, since new Internet threats are discovered daily, user organizations that rely on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Top20 as a list of high priority threats have been asking for more frequent updates."

I guess not. In both cases cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y mean vulnerabilities here. Nothing has changed since I last reported on this semantic muddle. Oh well.

Sunday, May 01, 2005

TaoSecurity Announces Network Security Operations Class

img src="http://4.bp.blogspot.com/-CGP52IFUVP8/T71JmXZzCZI/AAAAAAAACsA/SXPsbT9oYzI/s1600/taosecurity_s.png" align=right>I am proud to announce that flyers are available for my new four-day class Network Security Operations. You can view eicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 color .pdf or cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 grayscale .pdf formats. The course offers four sections:

  1. Network Security Monitoring

  2. Network Incident Response

  3. Network Forensics

  4. Live Fire Exercises


For more information, please refer to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 flyers, and email richard at taosecurity dot com. Thank you!

Report from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 CISSP Exam

No, I did not take cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 CISSP test again -- thank goodness. A friend of mine just did, however. He agreed to share his story with you.

"I attended cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Intense School CISSP bootcamp last week and took cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 test last Sunday. I received my test result today and I passed! It was cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 hardest and most obscure test I have ever taken. I was convinced I did not pass. Usually, I perform well on test, but this was a monster. I never want to take it again and wouldn’t wish my version of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 test on anyone!

It took me two hours and 50 minutes. I guess that is fast compared to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 average. I can’t imagine sitting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re for six hours staring at those questions. I just answered/guessed and moved on and didn’t go back and change any answers. I think I was cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first CISSP test taker done in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 room. I am so relieved."

I had cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same experience almost four years ago, except I finished in 90 minutes. The room was so cold, I just wanted to be done and get out of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re as fast as possible!

I thought a majority of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 CISSP questions were silly and had nothing to do with real security practitioner work. As I've written before, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 main reason I took and held cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 CISSP cert was its Code of Ethics. This is one of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 features that separates professionals from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 rest of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 field, in my opinion.

Saturday, April 30, 2005

Reviews of VoIP Security, The Internet and Its Protocols Posted

I refused to let April end without finishing and reviewing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se two books kindly provided by Elsevier Press. The first was a disappointment. Amazon.com just posted my three star review of VoIP Security. From cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 review:

"I decided to read VoIP Security because I thought it would describe VoIP protocols and ways to secure cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m. The table of contents looked very strong and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 preface seemed to meet my goals: "For one to truly understand Internet telephony, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 reader must have a solid understanding of digital voice, telephony, networking, Internet protocols, and, most important of all, how all of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se technologies are put togecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r." Unfortunately, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 book is confusing at times and is not an improvement over earlier VoIP security books. So-called 'reviewers' who write that this book 'goes heavily into explaining cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 low level mechanics of VoIP' reveal cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y don't read cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 books cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y purport to review."

Thankfully, I was very pleased to read cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 second book Elsevier sent me. Amazon.com just posted my five star review of Adrian Farrel's The Internet and Its Protocols. From cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 review:

"Adrian Farrel's The Internet and Its Protocols (TIAIP) blew me away. I read this book because it explains cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Internet I know, but also how new protocols work with that Internet and make it different from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 network I first encountered over a decade ago. Farrel's amusing yet clear writing style delivers a great deal of knowledge in a hefty hardcover. If you want to learn about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 protocols that make cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Internet work, you need to read TIAIP."

If you want to get a handle on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 new protocols appearing in your network, like Multi-Protocol Label Switching (MPLS) or Stream Control Transmission Protocol (SCTP), you should read The Internet and Its Protocols.

FreeBSD 5.4-RC4 Imminent

As I guessed recently, we should see FreeBSD 5.4 RELEASE arrive next week or very soon cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365reafter. Scott Long posted an update on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 release status of 5.4 this morning. He says:

"As you probably noticed, we are a bit behind on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 5.4 release. There was a major stability problem reported several weeks ago in a particlar high load, high profile environment, and we decided that it was in everyones best interest to get it resolved before cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 release. Well, thanks to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 tireless efforts of Doug White and Stephen Uphoff and several ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 bug has been found, fixed, and verified. As soon as it and a few ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r fixes get merged in, we will start cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 RC4 build process and hopefully release it for testing late this weekend. After that, unless anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r show-stopper comes up, we expect to build and release 5.4-RELEASE next weekend."

I hope to test 5.4-RC4 this week, assuming it arrives tomorrow. Thanks FreeBSD release team!

SecurityForest.com ExploitTree

This afternoon I was researching a bot for a chapter in my latest book. I don't spend a lot of time on exploit sites because I am not a penetration tester by trade. I think cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 last time I really looked at exploits, sites like www.hack.co.za were still around!

While searching for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 bot in question, I happened to find SecurityForest.com, although cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 site was announced on BugTraq in March. SecurityForest.com is an impressive piece of work. The site is essentially a giant CVS archive of attack code, called cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ExploitTree. They provide a Client Utility, which at least for UNIX, is an interface to a native CVS client. For Windows, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y provide everything you need to access a CVS server.

Here is how a session using cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ExploitTree Client Utility appears under UNIX.


./ExploitTree.pl anonymous

ExploitTree Client Utility Manager v0.6
----------------------------------------

1) Initialize (first time download)
2) Update Repository
3) Print Exploit Statistics
q) Quit

> 1
Password is blank (press enter), cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n wait...

Logging in to :pserver:anonymous@cvs.securityforest.com:2401/home/security/cvsroot
CVS password:
cvs login: warning: failed to open /home/richard/.cvspass for reading:
No such file or directory
cvs server: Updating ExploitTree
U ExploitTree/_SecurityForest
U ExploitTree/_Ver
U ExploitTree/bids.txt
U ExploitTree/exploit_db.txt
U ExploitTree/xsearch.pl
U ExploitTree/xsearch2-beta.pl
cvs server: Updating ExploitTree/application
U ExploitTree/application/_SecurityForest
cvs server: Updating ExploitTree/application/_uncategorized
U ExploitTree/application/_uncategorized/0verkill-exploit.c
U ExploitTree/application/_uncategorized/0x82-GNATS_sux.c
U ExploitTree/application/_uncategorized/0x82-Remote.tannehehe.xpl.c
U ExploitTree/application/_uncategorized/0x82-libCGIfpxpl.c
U ExploitTree/application/_uncategorized/101_shixx.cpp
...edited...
U ExploitTree/system/tru64/TRU64_xkb.pl
U ExploitTree/system/tru64/_SecurityForest
Quiting...

Here's an example of what one finds when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 download process is finished.

janney:/home/richard/exploittree/ExploitTree$ ls
CVS bids.txt xsearch.pl
_SecurityForest exploit_db.txt xsearch2-beta.pl
_Ver network
application system
janney:/home/richard/exploittree/ExploitTree$ cd system/
janney:/home/richard/exploittree/ExploitTree/system$ ls
CVS acá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365os irix novell tru64
_SecurityForest beos linux qnx
_uncategorized bsd mac_osx sco
aix hpux microsoft solaris
janney:/home/richard/exploittree/ExploitTree/system$ cd bsd
janney:/home/richard/exploittree/ExploitTree/system/bsd$ ls
CVS _SecurityForest local remote
janney:/home/richard/exploittree/ExploitTree/system/bsd$ cd remote/
janney:/home/richard/exploittree/ExploitTree/system/bsd/remote$ ls
CVS animal.c freebsd obooptd.c rpc.autofsd.c
_SecurityForest bsdi netbuf.c openbsd stream3.c
janney:/home/richard/exploittree/ExploitTree/system/bsd/remote$ cd freebsd/
janney:/home/richard/exploittree/ExploitTree/system/bsd/remote/freebsd$ ls
CVS fbsd-DoS.c ronin.c
DSR-cfengine.pl fbsd-bnc.c turkey2.c
_SecurityForest ftpspy.c
cURL-remote-FBSD.pl ppp.c

I chose a sparsely populated set of directories. The Microsoft section is much longer.

What's nice about this set-up is that you can synchronize your local copy of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ExploitTree with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 SecurityForest.com version using CVS.

Ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r helpful exploit sites include milw0rm.com and ExploitWatch, which reports on newly available exploits by linking to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m.