Saturday, February 22, 2014

The Limits of Tool- and Tactics-Centric Thinking

Earlier today I read a post by Dave Aitel to his mailing list titled Drinking cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Cool-aid. Because it includes a chart you should review, I included a screenshot of it in this blog, below. Basically Dave lists several gross categories of defensive digital security technology and tools, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n lists what he perceives as deficiencies and benefits of each. Embedded in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se pluses and minuses are several tactical elements as well. Please take a look at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 original or my screenshot.



I had three reactions to this post.

First, I recognized that it's written by someone who is not responsible for defending any network of scale or significance. Network defense is more than tools and tactics. It's more often about people and processes. My initial response is unsatisfying and simplistic, however, even though I agree broadly with his critiques of anti-virus, firewalls, WAFs, and some traditional security technology.

Second, staying within cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 realm of tools and tactics, Dave is just wrong on several counts:
  • He emphasizes cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 role of encryption to defeat many defensive tools, but ignores that security and information technology architects regularly make deployment decisions to provide visibility in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 presence of encryption.
  • He ignores or is ignorant of technology to defeat obfuscation and encryption used by intruders.
  • He says "archiving large amounts of traffic is insanely expensive and requires massive analytics to process," which is wrong on both counts. On a shoestring budget my team deployed hundreds of open source NSM sensors across my previous employer to capture data on gateways of up to multi-Gbps bandwidth. Had we used commercial packet capture platforms we would have needed a much bigger budget, but open source software like Security Onion has put NSM in everyone's hands, cheaply. Regarding "massive analytics," it's easier all cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time to get what you need for solid log technology. You can even buy awesome commercial technology to get cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 job done in ways you never imagined.
I could make ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r arguments regarding tactics and tools, but you get cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 idea from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 three I listed.

Third, and this is really my biggest issue with Dave's post, is that he demonstrates cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 all-too-common tendency for security professionals to constrain cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir thinking to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 levels of tactics and tools. What do I mean? Consider this diagram from my O'Reilly Webinar on my newest book:


A strategic security program doesn't start with tools and tactics. Instead, it starts with one or more overall program goals. The strategy-minded CISO gets executive buy-in to those goals; this works at a level understood by technicians and non-technicians alike. Next cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 CISO develops strategies to implement those goals, organizes and runs campaigns and operations to support cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 strategies, helps his team use tactics to realize cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 campaigns and operations, and procures tools and technology to equip his team.

Here is an example of one strategic security approach to minimize loss due to intrusions, using a strategy of rapid detection, response, and containment, and NSM-inspired operations/campaigns, tactics, and tools.




Now I don't want to seem too harsh, because tool- and tactics-centric thinking is not just endemic to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 digital security world. I read how it played out during cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 planning and execution of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 air campaign during cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first Gulf War.

I read cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 wonderful John Warden and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Renaissance of American Air Power and learned how cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 US Air Force at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time suffered cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same problems. The Air Force was very tactics- and technology-focused. They cared about how to defeat ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r aircraft in aerial combat and sought to keep cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Army happy by making close air support cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir main contribution to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "joint" fight. The Air Force managed to quickly deploy planes to Saudi Arabia but had little idea how to use those forces in a campaign, let alone to achieve strategic or policy goals. It took visionaries like John Warden and David Deptula to make cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 air campaign a reality, and forever change cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 nature of air warfare.

I was a cadet when this all happened and remember my instructors exhibiting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 contemporary obsession with tactics and tech we've seen in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 security world for decades. Only later in my Air Force career did I see cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 strategic viewpoint gain acceptance.

Expect to hear more from me about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 need for strategic thinking in digital security. I intend to apply to a PhD program this spring and begin research in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 fall. I want to apply strategic thinking to private sector digital defense, because that is where a lot of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 action is and where cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 need is greatest.

For now, I talked about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 need for strategy in my O'Reilly Webinar.




Thursday, February 06, 2014

More Russian Information Warfare

In all cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 hype about "cyberspace" and "cyberwar," it's easy to forget about information warfare. This term was in vogue in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 military when I was an Air Force intelligence officer in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 1990s. The Russians were considered to be experts at using information to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir advantage and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y appear to continue to wield that expertise on a regular basis. The latest incarnation goes like this:

1. Unknown parties, probably Russian SIGINT operators, intercept and record a phone call between US Assistant Secretary of State Victoria Nuland and US Ambassador to Ukraine, Geoffrey Pyatt. In cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 phone call, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 parties use language which could be considered inflammatory or insulting to EU politicians.

2. The interceptors pass cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 phone call recording to a private third party.

3. Eicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r that third party, or some recipient down cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 line, posts cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 audio and a video overlay on Youtube.



4. The third party Tweets about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 video.



5. Russian-sponsored television begins broadcasting stories about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 video.


6. Reputable news media begin broadcasting stories about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 video.


7. The rift between American and European leaders widens (possibly).

I find several aspects of this story fascinating.

First, I am surprised that whomever intercepted cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 phone call decided it was worthwhile to probably burn an intelligence source. It's possible cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Americans were using consumer cell phones, subject to monitoring by foreign intelligence services. If true, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Americans were not very OPSEC-aware. If cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Americans were using a line which cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y thought was secure, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 interceptors just revealed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y know how to access it.

Second, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 use of third parties is characteristic of Russian activities. We are all familiar with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 role of patriotic hackers, youth groups, etc. when doing normal "cyber" activities. This sort of propaganda activity, with direct ties to a probable SIGINT operation, is interesting.

Third, I wonder about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 cost of this operation. In some ways it is very cheap -- Youtube, Twitter, etc. In ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r ways, it may be expensive -- interception and probable manual auditing of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 audio to identify divisive and "offensive" content.

I don't pretend to be a Russian SIGINT expert, but I wanted to document this case in my blog. Constructive commentary is welcome but subject to moderation due to spam countermeasures. Incidentally, if I got cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 origin or order of any of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se events wrong, I'm open to that too. I didn't ask my Russian-speaking friends to comment -- I'm just noting this story for future reference.

Update: I noticed that sources like Kyiv Post say:

Among cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first to tweet cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 audio recording was an aide to Russian Deputy Prime Minister Dmitry Rogozin, named Dmitry Loskutov, who also wrote: "Sort of controversial judgment from Assistant Secretary of State Victoria Nuland speaking about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 EU."

However, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 timestamp on this Russian aide Tweet is "11:35 PM - 5 Feb 2014" whereas cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 private Tweet I mentioned earlier shows "9:36 pm - 4 Feb 2014" -- a day earlier.










Sunday, January 26, 2014

Quick Thought on Internet Governance and Edward Snowden

I am neicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r an Internet governance expert nor am I personally consumed by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 issue. However, I wanted to point out a possible rhetorical inconsistency involving cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Internet governance debate and anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r hot topic, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ft of secret documents by insiders, namely Edward Snowden.

Let me set cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 stage. First, Internet governance.

Too often cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Internet governance debate is reduced to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following. One side is characterized as "multi-stakeholder," consisting of various nongovernmental parties with overlapping agendas, like ICANN, IANA, IETF, etc. This side is often referred to as "cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 West" (thanks to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 US, Canada, Europe, etc. being on this side), and is considered a proponent of an "open" Internet. The ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r side aligns with state governments and made its presence felt at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 monumental December 2012 ITU World Conference on International Telecommunications (WCIT) meeting. This side is often referred to as "cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 East" (thanks to Russia, China, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Middle East, etc.), and is considered a proponent of a "closed" or "controlled" Internet.

Continuing to set cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 stage, let me now mention cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ft of secret documents.

One of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 critiques of Edward Snowden involves cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following. He stole documents on his own accord, claiming he had cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 right to do so by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "egregious" nature of what he found (or was sent to find). Critics reply that "no one elected Edward Snowden," but that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 programs he exposed were authorized by all three branches of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 US government. Because that government is elected by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 people, one could say cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 government is speaking on behalf of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 people, while Snowden is acting only on his behalf.

Here's cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 problem.

If you believe that elected governments are cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 proper forum for expressing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 wishes of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir people, you should have a difficult time defending a "multi-stakeholder" model that puts groups like ICANN, IANA, IETF, etc. on equal footing (or even above) representatives of elected governments. If you believe in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 primacy of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 democratic system, you should also believe forums of elected representatives are cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 proper place to debate and decide Internet governance.

That chain of logic means Western democracies who support representative government should view government-centric bodies like cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ITU in more favorable light than cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y do presently. After all, who created cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 UN? Where is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 organizations headquarters? Who pays its bills?

You probably detect cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "escape hatch" for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 multi-stakeholder proponents: my use of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 term "elected governments." If a regime was not properly elected by its people, it should not have cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 right to speak for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m. This applies to governments such as those in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 People's Republic of China. Depending on your view of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 legitimacy of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Russian election process, it may or may not apply to Russia. You can extend cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 argument as necessary to ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r countries.

The bottom line is this: be careful promoting multi-stakeholder Internet governance at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 expense of representation by elected governments, if you also feel that Edward Snowden has no right to contravene cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 decision of a properly elected American government.

PS: If you want to know more about WCIT, try reading Summary Report of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ITU-T World Conference on International Telecommunications by Robert Pepper and Chip Sharp.

Saturday, January 25, 2014

Suricata 2.0beta2 as IPS on Ubuntu 12.04

Today I decided to install Suricata, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 open source intrusion detection and prevention engine from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Open Information Security Foundation (OISF), as an IPS.

I've been running Suricata in IDS mode through Security Onion on and off for several years, but I never tried Suricata as an IPS.

I decided I wanted to run Suricata as a bridging IPS, such that it did not route traffic. In ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r words, I could place a Suricata IPS between, say, a router and a firewall, or between a router and a host, and neicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r endpoint would know cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 IPS was present.

Looking at available documentation across cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Web, I did not see specific mention of this exact configuration. It's entirely possible I missed something useful, but most people running Linux as a bridge weren't using Suricata.

Those running Linux as a bridge sometimes enabled an IP address for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 bridge, which is something I didn't want to do. (True bridges should be invisible to endpoints.)

Of course, to administer cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 bridge system itself, you ensure cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 box has a third interface and you assign that interface a management IP address.

I also noticed those using Suricata as an IPS tended to configure it as a router, giving IP addresses to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 internal and external IP addresses. I wanted an invisible bridge, not a router.

The hardware I used for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 bridge was a 2003-era Shuttle small form factor system with 512 MB RAM, two NICs (eth0 and eth1), and a wireless NIC (wlan0). I installed Ubuntu Server 12.04.3 LTS. I tried installing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 64 bit version but realized cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 box was too old for 64 bit. Once I tried a 32 bit installation I was working in no time.

The first step I took was to create cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 bridge. I wanted to deploy cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system between a router and an endpoint with IP address 192.168.2.142, like this:

router <-> eth0/Linux bridge/eth1 <-> 192.168.2.142

These are cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 commands to create cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 bridge. This how-to was useful.

$ sudo apt-get install bridge-utils
$ sudo brctl addbr br0
$ sudo brctl addif br0 eth0
$ sudo brctl addif br0 eth1
$ sudo ifconfig eth0 0.0.0.0
$ sudo ifconfig eth1 0.0.0.0
$ sudo ifconfig br0 up

With cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 bridge working, I could reach 192.168.2.142, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 endpoint host, through cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Ubuntu Linux bridge system. If I wanted to, I could watch traffic with Tcpdump on br0, eth0, or eth1.

Next I needed to install Suricata. I decided to use cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 beta packages published by OISF as described here. I also had to install python-software-properties as shown in order to have add-apt-repository available.

$ sudo apt-get install python-software-properties

$ sudo add-apt-repository ppa:oisf/suricata-beta
You are about to add cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following PPA to your system:
 Suricata IDS/IPS/NSM beta packages

http://www.openinfosecfoundation.org/
http://planet.suricata-ids.org/
http://suricata-ids.org/

Suricata IDS/IPS/NSM - Suricata is a high performance Network IDS, IPS and Network Security Monitoring engine.

Open Source and owned by a community run non-profit foundation, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Open Information Security Foundation (OISF).
 Suricata is developed by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 OISF, its supporting vendors and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 community.

This engine is not intended to just replace or emulate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 existing tools in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 industry, but will bring new ideas
 and technologies to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 field.

This new Engine supports:

Multi-Threading - provides for extremely fast and flexible operation on multicore systems.
File Extraction, MD5 matching - over 4000 types of file recognition/extraction transmitted live over cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 wire.
TLS/SSL certificate matching/logging
Automatic Protocol Detection (IPv4/6, TCP, UDP, ICMP, HTTP, TLS, FTP, SMB )
Gzip Decompression
Fast IP Matching
Hardware acceleration on CUDA and GPU cards

and many more great features -
http://suricata-ids.org/features/all-features/
 More info: https://launchpad.net/~oisf/+archive/suricata-beta
Press [ENTER] to continue or ctrl-c to cancel adding it

gpg: keyring `/tmp/tmpqk6Ubk/secring.gpg' created
gpg: keyring `/tmp/tmpqk6Ubk/pubring.gpg' created
gpg: requesting key 66EB736F from hkp server keyserver.ubuntu.com
gpg: /tmp/tmpqk6Ubk/trustdb.gpg: trustdb created
gpg: key 66EB736F: public key "Launchpad PPA for Peter Manev" imported
gpg: Total number processed: 1
gpg:               imported: 1  (RSA: 1)
OK

$ sudo apt-get update
Now I was ready to install Suricata and Htp, a dependency.
$ sudo apt-get install suricata htp
Reading package lists... Done
Building dependency tree
Reading state information... Done
The following extra packages will be installed:
  libhtp1 libnet1 libnetfilter-queue1 libnspr4 libnss3 libyaml-0-2
The following NEW packages will be installed:
  htp libhtp1 libnet1 libnetfilter-queue1 libnspr4 libnss3 libyaml-0-2
  suricata
0 upgraded, 8 newly installed, 0 to remove and 0 not upgraded.
Need to get 2,510 kB of archives.
After this operation, 8,394 kB of additional disk space will be used.
Do you want to continue [Y/n]?
...snip...
With this process done I added rules from Emerging Threats. I found Samiux's blog post helpful.
$ cd /etc/suricata
$ sudo wget https://rules.emergingthreatspro.com/open/suricata/emerging.rules.tar.gz
$ sudo tar -xzf emerging.rules.tar.gz
$ sudo mkdir /var/log/suricata
$ sudo touch /etc/suricata/threshold.config

Now I had to edit /etc/suricata/suricata.yaml. The following diff shows cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 changes I made to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 original file.

$ diff -u /etc/suricata/suricata.yaml.orig /etc/suricata/suricata.yaml
--- /etc/suricata/suricata.yaml.orig    2014-01-25 21:39:57.542801685 -0500
+++ /etc/suricata/suricata.yaml 2014-01-25 21:41:31.530801055 -0500
@@ -46,7 +46,7 @@

 # Default pid file.
 # Will use this file if no --pidfile in command options.
-#pid-file: /var/run/suricata.pid
+pid-file: /var/run/suricata.pid

 # Daemon working directory
 # Suricata will change directory to this one if provided
@@ -208,7 +208,7 @@

   # a line based information for dropped packets in IPS mode
   - drop:
-      enabled: no
+      enabled: yes
       filename: drop.log
       append: yes
       #filetype: regular # 'regular', 'unix_stream' or 'unix_dgram'
@@ -337,7 +337,7 @@

 # You can specify a threshold config file by setting "threshold-file"
 # to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 path of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 threshold config file:
-# threshold-file: /etc/suricata/threshold.config
+threshold-file: /etc/suricata/threshold.config

 # The detection engine builds internal groups of signatures. The engine
 # allow us to specify cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 profile to use for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m, to manage memory on an
@@ -373,7 +373,7 @@
   - inspection-recursion-limit: 3000
   # When rule-reload is enabled, sending a USR2 signal to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Suricata process
   # will trigger a live rule reload. Experimental feature, use with care.
-  #- rule-reload: true
+  - rule-reload: true
   # If set to yes, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 loading of signatures will be made after cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 capture
   # is started. This will limit cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 downtime in IPS mode.
   #- delayed-detect: yes
Next I added cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following test rule to /etc/suricata/rules/drop.rules. The file location is arbitrary. I wrote a simple rule to alert on ICMP traffic from a test system, 192.168.2.126. All of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following is one line. I just broke it for readability.
alert icmp 192.168.2.126 any -> any any (msg:"ALERT test ICMP ping from 192.168.2.106";
 icode:0; itype:8; classtype:trojan-activity; sid:99999998; rev:1;)

Notice I have no iptables rules loaded at this point:

$ sudo iptables -vnL
Chain INPUT (policy ACCEPT 5 packets, 392 bytes)
 pkts bytes target     prot opt in     out     source               destination 

Chain FORWARD (policy ACCEPT 4 packets, 240 bytes)
 pkts bytes target     prot opt in     out     source               destination 

Chain OUTPUT (policy ACCEPT 4 packets, 496 bytes)
 pkts bytes target     prot opt in     out     source               destination

Now I was ready to see if Suricata would at least see and alert on traffic matching my ICMP test rule. First I started Suricata and told it to watch br0, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 bridge interface.

$ sudo suricata -c /etc/suricata/suricata.yaml -i br0

25/1/2014 -- 22:44:13 -  - This is Suricata version 2.0beta2 RELEASE
25/1/2014 -- 22:44:16 -  - [ERRCODE: SC_ERR_NO_RULES(42)] - No rules loaded from /etc/suricata/rules/emerging-icmp.rules
25/1/2014 -- 22:44:33 -  - [ERRCODE: SC_ERR_OPENING_RULE_FILE(41)] - opening rule file /etc/suricata/rules/dns-events.rules: No such file or directory.
25/1/2014 -- 22:44:51 -  - [ERRCODE: SC_ERR_PCAP_CREATE(21)] - Using Pcap capture with GRO or LRO activated can lead to capture problems.
25/1/2014 -- 22:44:51 -  - all 2 packet processing threads, 3 management threads initialized, engine started.
I don't care about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Warning or Error notices here. I could fix those but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y are not germane to demonstrating cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 main point of this post.

On a separate system, 192.168.2.126, I pinged 192.168.2.142.

$ ping -c 2 192.168.2.142
PING 192.168.2.142 (192.168.2.142) 56(84) bytes of data.
64 bytes from 192.168.2.142: icmp_req=1 ttl=64 time=5.29 ms
64 bytes from 192.168.2.142: icmp_req=2 ttl=64 time=4.03 ms

--- 192.168.2.142 ping statistics ---
2 packets transmitted, 2 received, 0% packet loss, time 1001ms
rtt min/avg/max/mdev = 4.030/4.663/5.297/0.637 ms
Then I checked my Suricata logs:
$ ls -al /var/log/suricata/
total 88
drwxr-xr-x  3 root root  4096 Jan 25 22:50 .
drwxr-xr-x 11 root root  4096 Jan 25 21:38 ..
-rw-r--r--  1 root root     0 Jan 25 22:15 drop.log
-rw-r--r--  1 root root   392 Jan 25 22:50 fast.log
-rw-r--r--  1 root root     0 Jan 25 21:42 http.log
-rw-r--r--  1 root root 66008 Jan 25 22:50 stats.log
drwxr-xr-x  2 root root  4096 Jan 25 22:15 .tmp
-rw-r--r--  1 root root   388 Jan 25 22:50 unified2.alert.1390708237

$ cat /var/log/suricata/fast.log
01/25/2014-22:50:40.510124  [**] [1:99999998:1] ALERT test ICMP ping from 192.168.2.106 [**] [Classification: A Network Trojan was detected] [Priority: 1] {ICMP} 192.168.2.126:8 -> 192.168.2.142:0
01/25/2014-22:50:41.510464  [**] [1:99999998:1] ALERT test ICMP ping from 192.168.2.106 [**] [Classification: A Network Trojan was detected] [Priority: 1] {ICMP} 192.168.2.126:8 -> 192.168.2.142:0
That worked as expected. I got alerts on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ICMP traffic matching cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 test ALERT rule.

Now it was time to drop traffic!

I added a new rule to drop.rules, again broken only for readability here:

drop icmp 192.168.2.126 any -> any any (msg:"DROP test ICMP ping from 192.168.2.106";
 icode:0; itype:8; classtype:trojan-activity; sid:99999999; rev:1;)
I also disabled cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 previous ALERT rule by commenting it out.

Next I added iptables rules for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 FORWARD chain, for traffic traversing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 bridge. This Documentation was helpful.

$ sudo iptables -I FORWARD -j NFQUEUE

$ sudo iptables -vnL
Chain INPUT (policy ACCEPT 32 packets, 2752 bytes)
 pkts bytes target     prot opt in     out     source               destination 

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination 
    0     0 NFQUEUE    all  --  *      *       0.0.0.0/0            0.0.0.0/0            NFQUEUE num 0

Chain OUTPUT (policy ACCEPT 25 packets, 2600 bytes)
 pkts bytes target     prot opt in     out     source               destination 
Finally I restarted Suricata, this time telling it to use queue 0, where NFQUEUE was waiting for packets for Suricata.
$ sudo suricata -c /etc/suricata/suricata.yaml -q 0
25/1/2014 -- 22:54:49 -  - This is Suricata version 2.0beta2 RELEASE
25/1/2014 -- 22:54:52 -  - [ERRCODE: SC_ERR_NO_RULES(42)] - No rules loaded from /etc/suricata/rules/emerging-icmp.rules
25/1/2014 -- 22:55:08 -  - [ERRCODE: SC_ERR_OPENING_RULE_FILE(41)] - opening rule file /etc/suricata/rules/dns-events.rules: No such file or directory.
25/1/2014 -- 22:55:26 -  - all 3 packet processing threads, 3 management threads initialized, engine started.
With Suricata running in IPS mode, I tried pinging 192.168.2.142 from 192.168.2.126 as I did earlier.
$ ping -c 2 192.168.2.142
PING 192.168.2.142 (192.168.2.142) 56(84) bytes of data.

--- 192.168.2.142 ping statistics ---
2 packets transmitted, 0 received, 100% packet loss, time 1006ms
Nothing got through! I confirmed that I could ping cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same box from anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r source IP address. In ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r words, only ICMP from 192.168.2.126 was blocked. Now check cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Suricata logs:
$ ls -al /var/log/suricata/
total 152
drwxr-xr-x  3 root root   4096 Jan 25 22:57 .
drwxr-xr-x 11 root root   4096 Jan 25 21:38 ..
-rw-r--r--  1 root root    294 Jan 25 22:57 drop.log
-rw-r--r--  1 root root    798 Jan 25 22:57 fast.log
-rw-r--r--  1 root root      0 Jan 25 21:42 http.log
-rw-r--r--  1 root root 125812 Jan 25 22:57 stats.log
drwxr-xr-x  2 root root   4096 Jan 25 22:15 .tmp
-rw-r--r--  1 root root    388 Jan 25 22:50 unified2.alert.1390708237
-rw-r--r--  1 root root      0 Jan 25 22:55 unified2.alert.1390708526
-rw-r--r--  1 root root    360 Jan 25 22:57 unified2.alert.1390708633

$ cat drop.log
01/25/2014-22:57:17.031400: IN= OUT= SRC=192.168.2.126 DST=192.168.2.142 LEN=84 TOS=0x00 TTL=64 ID=36055 PROTO=ICMP TYPE=8 CODE=0 ID=59729 SEQ=256
01/25/2014-22:57:18.038179: IN= OUT= SRC=192.168.2.126 DST=192.168.2.142 LEN=84 TOS=0x00 TTL=64 ID=36056 PROTO=ICMP TYPE=8 CODE=0 ID=59729 SEQ=512
Cool, those are our dropped ICMP packets. Checking fast.log we'll see cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 original two ALERT test messages, but check out cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 new DROP test messages too:
$ cat /var/log/suricata/fast.log
01/25/2014-22:50:40.510124  [**] [1:99999998:1] ALERT test ICMP ping from 192.168.2.106 [**] [Classification: A Network Trojan was detected] [Priority: 1] {ICMP} 192.168.2.126:8 -> 192.168.2.142:0
01/25/2014-22:50:41.510464  [**] [1:99999998:1] ALERT test ICMP ping from 192.168.2.106 [**] [Classification: A Network Trojan was detected] [Priority: 1] {ICMP} 192.168.2.126:8 -> 192.168.2.142:0
01/25/2014-22:57:17.031400  [Drop] [**] [1:99999999:1] DROP test ICMP ping from 192.168.2.106 [**] [Classification: A Network Trojan was detected] [Priority: 1] {ICMP} 192.168.2.126:8 -> 192.168.2.142:0
01/25/2014-22:57:18.038179  [Drop] [**] [1:99999999:1] DROP test ICMP ping from 192.168.2.106 [**] [Classification: A Network Trojan was detected] [Priority: 1] {ICMP} 192.168.2.126:8 -> 192.168.2.142:0
So that's it.

Note that with this configuration, if you stop Suricata cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 host it's "protecting" is totally unreachable. You can restore connectivity by flushing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 iptables rules via this command:

$ sudo iptables -F
Now cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 endpoint is reachable while Suricata is not running. To re-enable cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 IPS, you have to set up cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 NFQUEUE via iptables again as shown previously.

Following cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se directions you have cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 foundation for building a bridged IPS using Suricata on Ubuntu Server 12.04. The next step would be to fix cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 configuration issues causing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 start-up error messages, make cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 bridge, firewall, and Suricata components available at start-up, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n build your own set of DROP rules. There are probably also optimizations for PF_RING and ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r performance features. Good luck!

Do you run Suricata as an IPS? How do you do it? Have you tried cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 new 2.x beta?

Thursday, January 09, 2014

What Does "One Hour" Mean for Incident Response?

Yesterday, 8 January 2014, was cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 11th birthday of TaoSecurity Blog. Please check out my happy 10th birthday post if you want to know why I don't blog much! In brief: Twitter.
I just read a story which I thought required more than 140 characters of attention: OMB revising data breach reporting requirements by Jason Miller. It says in part:
GAO found OMB's requirement to submit information about data breaches to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 DHS U.S. Computer Emergency Readiness Team (US-CERT) within an hour after discovering cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 breach is of little value...
"Officials at agencies and US-CERT generally agreed that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 current requirement that PII-related incidents be reported within one hour may be difficult to meet and may not provide US-CERT with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 best information," auditors wrote.
"Specifically, officials at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Army, FDIC, FRB, FRTIB, and SEC indicated that it was difficult to prepare a meaningful report on a PII incident to US-CERT within cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 one-hour time frame required by OMB. The officials stated that meaningful information on an incident is often not available in that time frame, and reporting an incident to US-CERT without all relevant details would likely be of limited value. While VA officials stated that most of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir incidents are reported in less than an hour, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y do not believe cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time frame is consistent with ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r US-CERT reporting guidelines and that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 majority of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 incidents would more appropriately be reported on a weekly basis."
US-CERT told GAO that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 one-hour time frame doesn't give a clear picture of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 reported incident and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 information isn't used to help remediate incidents or provide technical support to agencies.
"Furcá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r, US-CERT's Chief of Performance Metrics confirmed that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 vast majority of PII-related data breaches are not cybersecurity-related," cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 report stated. "Specifically, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 official estimated that seven of every eight reported breaches do not involve attacks on or threats to government systems or networks...
Additionally, OMB staff said that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y were unaware of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 rationale for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 one-hour time frame, ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r than a general concern that agencies report PII incidents promptly.




I'm not quite sure if OMB required reporting all incidents within an hour, or just "PII-related incidents." The latter seems true, but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 article mentions reporting ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r incidents within an hour.
If you've heard me speak or read my fourth book, The Practice of Network Security Monitoring, you will recall me mentioning "one hour." The one hour in my context is time from detection to containment. There is no explicit time reporting requirement. There is a difference between notification to implement containment and writing a thorough investigative report.
Furcá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rmore, my one hour recommendation is a requirement for high severity intrusions, not every incident. (The meanings of all cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se words matter, hence cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 bold and underline formatting.) Not all incidents are intrusions. Please see my 2009 post on intrusion ratings for examples of different severities.
The reason to strive for one hour from detection to containment is to implement cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 strategy of limiting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 intruder's time of maneuver. If you can stop an intruder from accomplishing his ultimate objective, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 fact that he penetrated your resistance systems is less important. What's important is that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 intruder didn't complete his mission.
The fact that "OMB staff said... cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y were unaware of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 rationale for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 one-hour time frame" shows that requirement was divorced from an articulated, thoughtful, grounded defensive strategy. There is nothing magic about one hour, although I believe it represents an aggressive yet realistic containment requirement for organizations willing to invest in thorough and comprehensive detection, response, and containment processes and technology staffed by motivated CIRT members.
Ideally you implement one hour from intrusion to recovery, but let's save that even more aggressive goal for a time when you can implement one hour from detection to containment!
If you want to read more, chapter 9 of my book explains cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se ideas. Use code NSM101 to save 30% off when ordering from No Starch.









Thursday, November 14, 2013

Linux Covert Channel Explains Why NSM Matters

I just read a post by Symantec titled Linux Back Door Uses Covert Communication Protocol. It describes a new covert channel on Linux systems. A relevant excerpt follows:

[T]he attackers devised cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir own stealthy Linux back door to camouflage itself within cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Secure Shell (SSH) and ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r server processes. This back door allowed an attacker to perform cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 usual functionality—such as executing remote commands—however, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 back door did not open a network socket or attempt to connect to a command-and-control server (C&C).

Racá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 back door code was injected into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 SSH process to monitor network traffic and look for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following sequence of characters: colon, exclamation mark, semi-colon, period (“:!;.”).

After seeing this pattern, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 back door would parse cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 rest of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 traffic and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n extract commands which had been encrypted with Blowfish and Base64 encoded.

:!;.UKJP9NP2PAO4

Figure. Example of injected command

The attacker could cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n make normal connection requests through SSH or ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r protocols and simply embed this secret sequence within some ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rwise legitimate traffic to avoid detection. The commands would be executed and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 result sent back to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attacker.

Symantec cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n recommends:

To identify cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 presence of this back door on your network, look for traffic that contains cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 “:!;.” string (excluding quotes).

How are you supposed to do that? If you implement NSM operations, perhaps using Security Onion, you could do something like cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following:

$ for i in `ls`; do echo $i && ngrep -q -I $i \:\!\;\.; done
If you run that command in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 directory where you store your full content data traffic (i.e., raw pcap files), Ngrep will search each packet for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 string of interest.

You might also want to use cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 -O flag to dump matching packets to a pcap-formatted file.

Results look like cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following:

input: snort.log.1384440248
match: :!;.

T 192.168.2.104:62696 -> 31.13.69.160:443 [AP]
  ....H{.n.......\,i3.gb....h%.....Cb'..._..H.....VO..Vr.....K7.N.`;O..@...<.
  ...A..h.8:..Jf.%5d.%.oO.|.=}0.8......z.w................'..)...t,.1^.:...4.
  P..............^.......$...4-..*.-.?^?.0......SI..3`....4i).C~H{.D.?SR..&4.
  ?...T.<...x&~...F.:.d..`.Vg/h.........rN.....a.......yq...q.f..N_m.D.F@C>v.
  .x......x.R.nz...U.B.]&...l{....m ..4.......`.f..Y.u...WQq.(...9........qq.
  }...)..VB.......(........Th.DY~.......J..........(......Q%].....Y....;`4...
  _p|dO..5g.IS~.E".L.w............p.X.WV....G+...M...........C....m9.oU*Qz).l
  .M....]o/.;.t3S...O......S....JB0.......0.#I.e.....Z.?"..n=Hq>....(...$*...
  0...SO./]........'...wa.....q&>..>.:!;.....FJ.)..s|.9x.U.<6......3`...[...K
 --- SNIP ---
This appears to be part of a SSL-encrypted session. Running through some of my lab traffic, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 :!;. string appears several times in encrypted traffic involving Windows computers.

This method doesn't provide prima facie evidence of compromise. For example, you might have to reference personal knowledge or an asset inventory to determine that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system in question is a Windows computer, not a Linux system. You are more likely to see a stream of commands involving this string and follow that trail to identify compromise. You could also cross-reference using cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 memory-based indicators of compromise Symantec includes in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 post.

Regardless, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 fact that you are already collecting as much full content data as your technical, legal, and political processes allow means you have a chance to perform retrospective security analysis, thanks to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 collection of pcap within an NSM operation.

Without taking an NSM approach, you would have to set up new signatures or data collection from this point forward and hope cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 adversary doesn't change his covert channel, now that Symantec has publicized it.

The point of this approach is to help you determine cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 scope of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 compromise as efficiently and rapidly as possible, so that you can conduct effective remediation once cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 scope is understood.

If you want to know how to set up a NSM operation, check out my Network Security Monitoring 101 class at Black Hat Seattle next month. The class outline is here. You may also like my latest book on NSM. Use code "NSM101" to save 30% off, and get cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 digital edition free with a print copy.

Thank you to Symantec for sharing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir IOCs for this covert channel.

Sunday, October 27, 2013

Mozilla Lightbeam Add-On Shows Risk of Third Party Sites

The slide above shows an experiment I just conducted using cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Lightbeam addon with NoScript.

  • The image at left shows cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 results of visiting nhl.com, nfl.com, mlb.com, and google.com while NoScript is denying JavaScript and similar content.
  • The image at left shows cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 results of visiting nhl.com, nfl.com, mlb.com, and google.com while NoScript is disabled to allow JavaScript and similar content.

The Lightbeam add-on renders cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 primary and third party Web sites visited in each case.

  • When NoScript is denying Javascript and similar content, only 9 third party sites are called in order to render cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 4 primary Web sites.
  • When NoScript is disabled to allow JavaScript and similar content, 66 third party Web sites are called.

Only a few minutes after taking cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 original images, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 count for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 second case increased from 66 to 90.

Why is this a problem? From a security perspective:

  • The more third party Web sites required to render a primary site, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 more opportunities intruders have to introduce malicious content.
  • The more third party Web sites required to render a primary site, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 more complex cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 primary site becomes, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 less likely it will perform as intended. We're seeing this at work (or not at work, perhaps) with healthcare.gov.

From a privacy perspective:

  • The Lightbeam rendering shows relationships among cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 4 primary Web sites and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 third party sites. In cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first image, mlb.com and nhl.com share third party sites and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365refore could potentially access data about users from each ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r. mlb.com and google.com are separate from each ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r.
  • In cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 second image, all of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 primary Web sites are interconnected. This means it is possible for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m to share data about user activities. This is how Web sites track you on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Internet.
I recommend installing Lightbeam with NoScript to try for yourself.

Update: Up to 95 sites now...

Update 2: Up to 105 sites now...