Tuesday, October 27, 2009

Review of The Web Application Hacker's Handbook Posted

Amazon.com just posted my five star review of The Web Application Hacker's Handbook by Dafydd Stuttard and Marcus Pinto. From cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 review:

The Web Application Hacker's Handbook (TWAHH) is an excellent book. I read several books on Web application security recently, and this is my favorite. The text is very well-written, clear, and thorough. While cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 book is not suitable for beginners, it is accessible and easy to read for those even without Web development or assessment experience.

TWAHH is a serious candidate for Best Book Bejtlich Read 2009.

Note: Wiley provided me a free review copy.

Thursday, October 22, 2009

"Protect cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Data" from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Evil Maid


I recently posted "Protect cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Data" from Whom?. I wrote:

[P]rivate citizens (and most organizations who are not nation-state actors) do not have a chance to win against a sufficiently motivated and resourced high-end threat.

Joanna Rutkowska provides a great example of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 importance of knowing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 adversary in her post Evil Maid goes after TrueCrypt!, a follow-up to her January post Why do I miss Microsoft BitLocker?

Her post describes how she and Alex Tereshkin implemented a physical attack against laptops with TrueCrypt full disk encryption. They implemented cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attack (called "Evil Maid") as a bootable USB image that an intruder would use to boot a target laptop. Evil Maid hooks cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 TrueCrypt function that asks cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 user for a passphrase on boot, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n stores cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 passphrase for later physical retrieval.

The scenario is this:

  1. User leaves laptop alone in hotel room.

  2. Attacker enters room, boots laptop with Evil Maid, and compromises TrueCrypt loader. Attacker leaves.

  3. User returns to hotel room, boots laptop, enters TrueCrypt passphrase. Game over.

  4. User leaves laptop alone in hotel room again.

  5. Attacker enters room again, boots laptop with Evil Maid again, and retrieves passphrase.


Joanna recommends implementing a product that supports Trusted Platform Module (TPM), like Microsoft BitLocker. A detection-oriented workaround is to calculate hashes of selected disk sectors and partitions and decide that mismatches indicate an intrusion has occurred. That approach still misses BIOS-based attacks but it's cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 best one can do without TPM support.

Report on Chinese Government Sponsored Cyber Activities

Today's Wall Street Journal features cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following story:

China Expands Cyberspying in U.S., Report Says by Siobhan Gorman.

I've reprinted an excerpt below and highlighted interested aspects. I can vouch for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 quality of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Northrop Grumman team that wrote this report and for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir experience in this arena.

Congressional Advisory Panel in Washington Cites Apparent Campaign by Beijing to Steal Information From American Firms

WASHINGTON -- The Chinese government is ratcheting up its cyberspying operations against cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 U.S., a congressional advisory panel found, citing an example of a carefully orchestrated campaign against one U.S. company that appears to have been sponsored by Beijing.

The unnamed company was just one of several successfully penetrated by a campaign of cyberespionage, according to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 U.S.-China Economic and Security Review Commission report to be released Thursday. Chinese espionage operations are "straining cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 U.S. capacity to respond," cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 report concludes.

The bipartisan commission, formed by Congress in 2000 to investigate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 security implications of growing trade with China, is made up largely of former U.S. government officials in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 national security field.

The commission contracted analysts at defense giant Northrop Grumman Corp. to write cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 report. The analysts wouldn't name cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 company described in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 case study, describing it only as "a firm involved in high-technology development."

The report didn't provide a damage assessment and didn't say specifically who was behind cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attack against cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 U.S. company. But it said cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 company's internal analysis indicated cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attack originated in or came through China.

The report concluded cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attack was likely supported, if not orchestrated, by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Chinese government, because of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "professional quality" of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 operation and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 technical nature of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 stolen information, which is not easily sold by rival companies or criminal groups. The operation also targeted specific data and processed "extremely large volumes" of stolen information, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 report said.

"The case study is absolutely clearly controlled and directed with a specific purpose to get at defense technology in a related group of companies," said Larry Wortzel, vice chairman of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 commission and a former U.S. Army attaché in China. "There's no doubt that that's state-controlled."

Attacks like that cited in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 report hew closely to a blueprint frequently used by Chinese cyberspies, who in total steal $40 billion to $50 billion in intellectual property from U.S. organizations each year, according to U.S. intelligence agency estimates provided by a person familiar with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m.

DojoCon to Stream Talks Live

As I mentioned last month I will be speaking at DojoCon, on Saturday 7 November at Capitol College in Laurel, MD. Organizer Marcus Carey asked me to share cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following:

DojoCon will Stream Live all of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 talks on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Internet for free as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y happen. I believe this is first time a group of speakers of this caliber will be available to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 information security community for free.

We are also offering real-life attendees cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 full conference for $150 for both days and a one-day pass (Eicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r Friday or Saturday) for $85.

Bejtlich Teaching at Black Hat DC 2010

Black Hat was kind enough to invite me back to teach multiple sessions of my 2-day course this year.

First up is Black Hat DC 2010 Training on 31 January and 01 February 2010 at Grand Hyatt Crystal City in Arlington, VA.

I will be teaching TCP/IP Weapons School 2.0.

Registration is now open. Black Hat set five price points and deadlines for registration.

  • Super Early ends 15 Nov

  • Early ends 1 Dec

  • Regular ends 15 Jan

  • Late ends 30 Jan

  • Onsite starts at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 conference


With an $800 difference between Super Early and Onsite, it pays to register early!

If you review cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Sample Lab I posted earlier this year, this class is all about developing an investigative mindset by hands-on analysis, using tools you can take back to your work. Furcá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rmore, you can take cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 class materials back to work -- an 84 page investigation guide, a 25 page student workbook, and a 120 page teacher's guide, plus cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 DVD. I have been speaking with ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r trainers who are adopting this format after deciding cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y are also tired of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 PowerPoint slide parade.

Feedback from my 2009 sessions was great. Two examples:

"Truly awesome -- Richard's class was packed full of content and presented in an understandable manner." (Comment from student, 28 Jul 09)

"In six years of attending Black Hat (seven courses taken) Richard was cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 best instructor." (Comment from student, 28 Jul 09)

If you've attended a TCP/IP Weapons School class before 2009, you are most welcome in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 new one. Unless you attended my Black Hat training in 2009, you will not see any repeat material whatsoever in TWS2. Older TWS classes covered network traffic and attacks at various levels of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 OSI model. TWS2 is more like a forensics class, with network, log, and related evidence.

I will also be teaching in Barcelona and Las Vegas, but I will announce those dates later.

I look forward to seeing you. Thank you.

Tuesday, October 13, 2009

"Protect cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Data" -- What Data?

This is anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r follow-on from my "Protect cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Data" Idiot! post. If you think about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "protect cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data" mindset, it's clearly a response to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 sorts of data loss events that involve "records" -- credit card records, Personally Identifiable Information (PII), and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 like. In fact, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re's an entire "product line" built around this problem: data loss prevention. I wrote about DLP earlier this year in response to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 rebranding effort taken by vendors to make whatever cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y sold part of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 DLP "solution."

What's interesting to me about "protect cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data" in this scenario is this: "what data?" Is your purpose in life to keep PII or ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r records in a database? That's clearly a big problem, but it doesn't encompass cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 whole security problem. What about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following?

  • Credentials used to access systems. For example, intruders often compromise service accounts that have wide-ranging access to enterprise systems. Those credentials can be retrieved from many locations. How do you protect those?

  • Systems that don't house PII or ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r records, but do serve critical functions. Your PBX, HVAC control system, routers, ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r network middleboxes, etc., are all important. Try accessing "data" without those devices working.

  • Data provided by ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs. The enterprise isn't just a data sink. Users make decisions and work by relying on data provided by ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs. Who or what protects that data?


Those are three examples. If you spend time thinking about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 problem you can probably identify many ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r forms of data that are outside cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "DLP" umbrella, and outside cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "protect cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data" umbrella.

Sunday, October 11, 2009

"Protect cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Data" Where?


I forgot to mention anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r thought in my last post "Protect cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Data" from Whom? Intruders are not mindly attacking systems to access data. Intruders direct cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir efforts toward cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 sources that are easiest and cheapest to exploit. This produces an interesting corollary.

Once ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r options have been eliminated, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ultimate point at which data will be attacked will be cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 point at which it is useful to an authorized user.

For example, if a file is only readable once it has been decrypted in front of a user, that is where cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 intruder will attack once his ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r options have been exhausted. This means that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 only way to completely "protect data" is to make it unusable. If data is not usable cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n it doesn't need to exist, so that means intruders will always be able to access data if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y are sufficiently resourced and motivated, as explained in my first post on this subject.