Wednesday, March 17, 2004

Snort_Inline: Snort-based "Intrusion Prevention"

The Snort_inline project released a version compatible with Snort 2.1.1 this week. Snort_inline works with firewall software on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same host to drop packets matching Snort signatures. Apparently cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re is experimental support for running Snort_inline on FreeBSD using using divert(4) and ipfw(8). Just cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r day I read a news posting on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 snort_inline mailing group archives, but today cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 archive is gone. I subscribed to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 mailing list just now and plan to ask what's happened.

Update: The archive is back and here is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 post of interest.

Weekly FreeBSD cvs-src Summaries

Want to know more about FreeBSD development? Don't want to subscribe to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 freebsd-current mailing list, or search cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 archives? If cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 answer to eicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r question is yes, visit Mark's weekly FreeBSD cvs-src summaries. Mark Johnston was inspired by this thread to post his first summary in late January. Mark reads emails on commits to cvs-src and summarizes what he believes is important.

Some of what he writes brings obscure topics to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 FreeBSD public's attention. His 23 January report mentions a series of additions to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 current tree called "Project Evil." The first commit occurred in December. Project Evil, also known as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 NDISulator, helps FreeBSD use Windows device drivers. Bill Paul's December and January posts to freebsd-current give more details.

Latest Fedora News

I just received cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 latest Red Hat email newsletter, which contained this news on Fedora:

"Fedora, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 community-supported Linux distribution project sponsored by Red Hat, has been making great progress as of late. Fedora Core 2, Test 2 is expected to be released in early April and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 finished Fedora Core 2 distribution should be available in May. FC2 is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 industry's first Linux distribution based on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Linux 2.6 kernel, and supports 32-bit x86 and 64-bit x86-84 systems. It also includes Security Enhanced Linux (SELinux) technology, which was co- developed with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 U.S. Government's NSA. With Gnome 2.5, KDE 3.2, and OpenOffice.org 1.1, FC2 is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ideal Linux playground for technology enthusiasts and open source developers."

Soon cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 only Linux box I will have in my house is a Pentium 90 (with a non-bootable dual-speed CD-ROM) running Debian. I'll report on how I set it up in a future blog entry.

Saturday, March 13, 2004

ICSA Labs Announces Security Device Event Exchange (SDEE)

Sebastien Tricaud's post to Focus-IDS informed me of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Security Device Event Exchange (SDEE), an IDS alert format and transport protocol specification. ICSA's Intrusion Detection Systems Consortium (IDSC) devised cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 SDEE specification. The IDSC consists of Cisco, Fortinet, Infosec Technologies, ISS, SecureWorks, Sourcefire, Symantec, and Tripwire.
TruSecure, owner of ICSA Labs, published a press release which says in part:
"IDSC members Jeff Platzer and Mike Hall of Cisco Systems, Robert Graham of ISS, Marty Roesch of Sourcefire and Marcus Ranum of TruSecure Corporation co-developed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 SDEE transport protocol specification format; this team will manage future revisions to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 specification...
SDEE specifies cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 format of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 IDS alerts as well as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 protocol used to communicate events generated by security devices. SDEE is flexible and extensible so vendors can utilize product specific extensions in a way that maintains messaging compatibility. In addition, SDEE will provide corporations and security vendors better management of multiple vendor environments by having all alerts communicated in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same format. SDEE builds upon cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 XML, HTTP and SSL/TLS industry standards to facilitate adoption by vendors and users by allowing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m to use existing software that implements cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se standard interfaces."
This effort may conflict with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 IETF's Intrusion Detection Message Exchange Format. The Intrusion Detection Working Group just published a new draft of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir standard in January 2004.
More information on SDEE is available through cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se means:
Option 1: To sign up for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ICSA Labs SDEE listserv & receive cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 SDEE specification file, simply send an email to sdee-alert-request@postal.icsalabs.com with "SUBSCRIBE" in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 subject line.

Option 2: To receive cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 SDEE specification file only, simply send an email to smarkle@icsalabs.com with "FILE" in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 subject line.

Slyck is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Place to Understand Peer-to-Peer

Earlier today I reported on law enforcement's desire to wiretap all sorts of communications. While doing research I discovered an incredible resource for peer-to-peer users called Slyck.com. Slyck does an excellent job categorizing and explaining a dozen individual file sharing methods, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n offers information on programs implementing each method. This is a great resource for anyone trying to understand file sharing protocols cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y might see on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir networks.

Incredibly Misleading Article Corrected by Commenters

An OSViews.com report, Thank Apple for FreeBSD, is one of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 most inaccurate articles I've ever read. I don't recommend spending time on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 article itself, but I do believe reader's reactions to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 article are noteworthy. People often claim Apple's Mac OS X is somehow "built on" FreeBSD or is "FreeBSD underneath." Several of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 people who commented on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 OSViews story give true insight, especially this response. I find it ironic that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 OSViews tag line is "Why should seasoned journalists have all cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 fun?" Simple -- cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y tend to avoid writing ridiculous stories!

Excellent Coverage of Wiretapping Issues at News.com

News.com published an article titled FBI adds to wiretap wish list yesterday. This is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 latest of many excellent News.com articles on wiretapping issues in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 United States. News.com summarizes a a"joint petition for expedited rulemaking" (.pdf) submitted to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Federal Communications Commission by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 US Dept. of Justice, FBI, and Drug Enforcement Agency.

The Feds are asking cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 FCC to expand cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 scope of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Communications Assistance for Law Enforcement Act, or CALEA. CALEA requires telecommunications carriers to allow law enforcement "to intercept, to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 exclusion of any ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r communications, all wire and electronic communications carried by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 carrier" and "to access call-identifying information," among ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r powers.

The EPIC wiretap page features cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 text of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 law and supporting articles. The FBI maintains cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 AskCALEA site, which describes cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir interactions with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 FCC and telecommunications providers. The FBI's rendering of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 CALEA law text is easier to read than EPIC's version.

The heart of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 matter is CALEA's distinction between a "telecommunications carrier" and "information services." CALEA says:

"The term `telecommunications carrier'--

(A) means a person or entity engaged in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 transmission or switching of wire or electronic communications as a common carrier for hire; and

(B) includes--

(i) a person or entity engaged in providing commercial mobile service (as defined in section 332(d) of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Communications Act of 1934 (47 U.S.C. 332(d))); or

(ii) a person or entity engaged in providing wire or electronic communication switching or transmission service to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 extent that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Commission finds that such service is a replacement for a substantial portion of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 local telephone exchange service and that it is in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 public interest to deem such a person or entity to be a telecommunications carrier for purposes of this title; but

(C) does not include--

(i) persons or entities insofar as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y are engaged in providing information services; and
(ii) any class or category of telecommunications carriers that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Commission exempts by rule after consultation with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Attorney General."

Regarding "information services":

"The term `information services'--

(A) means cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 offering of a capability for generating, acquiring, storing, transforming, processing, retrieving, utilizing, or making available information via telecommunications; and

(B) includes--

(i) a service that permits a customer to retrieve stored information from, or file information for storage in, information storage facilities;
(ii) electronic publishing; and
(iii) electronic messaging services; but

(C) does not include any capability for a telecommunications carrier's internal management, control, or operation of its telecommunications network."

< he CALEA authors provided enough internal contradiction to confuse everyone. Law enforcement has complained that more and more criminals use "information services" to communicate, but service providers aren't designing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir networks for ready access to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se services. CALEA does not oblige service providers to provide easy access to information services; only telecommunications carriers must provide easy access.

The "Limitations" and "Encryption" sections of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 law are very interesting:

"(b) LIMITATIONS-

(1) DESIGN OF FEATURES AND SYSTEMS CONFIGURATIONS- This title does not authorize any Law Enforcement agency or officer--

(A) to require any specific design of equipment, facilities, services, features, or system configurations to be adopted by any provider of a wire or electronic communication service, any manufacturer of telecommunications equipment, or any provider of telecommunications support services; or
(B) to prohibit cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 adoption of any equipment, facility, service, or feature by any provider of a wire or electronic communication service, any manufacturer of telecommunications equipment, or any provider of telecommunications support services...

(3) ENCRYPTION- A telecommunications carrier shall not be responsible for decrypting, or ensuring cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 government's ability to decrypt, any communication encrypted by a subscriber or customer, unless cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 encryption was provided by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 carrier and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 carrier possesses cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 information necessary to decrypt cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 communication."

These sections are interesting because News.com makes this observation regarding cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Feds' petition to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 FCC:

"Legal experts said cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 85-page filing includes language that could be interpreted as forcing companies to build back doors into everything from instant messaging and voice over Internet Protocol (VoIP) programs to Microsoft's Xbox Live game service. The introduction of new services that did not support a back door for police would be outlawed, and companies would be given 15 months to make sure that existing services comply."

It seems to me that CALEA explicitly prevents law enforcement from prohibiting services, yet cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir petition seems to ask for this power. A slightly more detailed analysis is available at Steptoe.com:

"The petition seeks a formal ruling that CALEA applies both to broadband Internet access and to broadband telephony. Since CALEA requires that all carriers and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir services have built-in wiretap capability, this would mean that all Internet access and Internet telephony would have to have wiretap capability implemented at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time of deployment. It appears that any form of Internet access would be covered by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 'access' category, while any communications that are 'switched' in any fashion would be treated as telephony (Xbox Live, IM messages, etc.). All would be covered by CALEA.

The petition asks that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 FCC make an immediate ruling that applies CALEA to broadband access and broadband telephony, perhaps without even taking comments (p.22).

Second, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 petition calls for heavy regulation of any new Internet communications services. In essence, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 petition asks cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 FCC to rule that CALEA will automatically apply to any new technology that directly competes with any service that is covered by CALEA (p. 33). Anyone who introduces a new technology that competes (or might compete) with an existing technology covered by CALEA would be required to go to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 FCC to find out whecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 new technology is covered (p. 54). If cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 technology is covered by CALEA, it could not be deployed until a fully satisfactory intercept solution was incorporated into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 service (p.54). The effect would likely be that no new Internet services could be introduced without substantial regulatory proceedings and a design that meets all expected law enforcement requirements, starting with version 1.0."

One of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Steptoe's partners is Stewart Baker, former general counsel of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 National Security Agency.

If cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 FCC rules that protocols previously classified as information services are not subject to CALEA, it will be difficult if not impossible for some services to comply. Voice over IP has been cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 biggest issue for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 last few years. Last year News.com reported that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 FBI submitted a proposal for tapping VOIP to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 FCC, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n:

"...extended it to say that if broadband providers cannot isolate specific VOIP calls to and from individual users, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y must give police access to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 'full pipe' -- which, by including cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 complete simultaneous communications of hundreds or thousands of customers, could raise substantial privacy concerns.

A summary of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 meeting prepared by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 FBI said cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 FCC could 'require carriers to make cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 full pipe available and leave law enforcement to perform cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 required minimization. This approach is already used when ISPs provide non-CALEA technical assistance for lawfully ordered electronic surveillance.'"

An example of a service which presently cannot be centrally tapped is Skype, a peer-to-peer Voice over IP implementation profiled by News.com last year. According to News.com, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 FCC voted last month to investigate "whecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r Internet phone providers should rewire cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir networks to government specifications to provide police with guaranteed access for wiretaps."

Last year mobile phone providers wrestled with providing access to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir instant message protocols, according to this News.com article. Members of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Global LI Industry Forum solved cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 problem. ("LI" stands for "Legal Interception," which must be unpopular enough to replace with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "LI" in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 site's name and documentation.)