Showing posts with label afcert. Show all posts
Showing posts with label afcert. Show all posts

Monday, December 12, 2005

Marcus Sachs in SC Magazine

I was pleased to hear what Marcus Sachs is working on, courtesy of an interview by Illena Armstrong and Marcia Savage in this month's SC Magazine. I first met Marcus when I was an Air Force captain at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 AFCERT and he was an Army Major at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 JTF-CND.

Marcus mentioned a project that caught my attention:

"We're also building a database of large data sets collected from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 internet. The intent is to help researchers who might be working on a new security device.

Racá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r than trying to connect to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir own networks and pull live data in from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir university network, or wherever cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y are doing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 research, we want to provide cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m with real data sets that have been collected from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 internet, but properly sanitized and anonymized...

In a technical sense, this is easy. All you have to do is hook a computer up and start recording. But you end up picking up a lot of private information. We have been working on this with lawyers, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Electronic Privacy Information Center (EPIC) and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Electronic Freedom Foundation, among ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs.

This is going to be remarkable because we'll be able to create anonymous data sets that actually reflect what cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 hostile internet looks like, but that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 privacy people are OK with. Both cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 public and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 private sector will have access to this database, but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y will have to be vetted if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y want to use it. If Al Qaeda wants access, we won't grant it, but if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Atlanta Police Department wants to train some cybercops, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n that's cool.

SC: When will this be done?

Sachs: We're getting close. We could see this come online later this year or early next year. We're just working out cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 last details with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 lawyers."

This sounds very interesting, and similar to OpenPacket.org. When I finally get some time to work on OpenPacket, it should be similar to Marcus' project. However, I don't intend to limit who can download cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data. I plan to host network traffic in Libpcap format. I wonder if Marcus will offer cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same, or more (hard drive images, like our book Real Digital Forensics, maybe).

Sunday, September 04, 2005

Speaking at DoD Cybercrime in January

I learned I will be delivering two presentations at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 DoD Cybercrime 2006 Conference in Palm Harbor, FL on 11 January 2006. I will present shortened versions of my network incident response and forensics classes. Last year I spoke about network security monitoring with Sguil and ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r open source tools. In 2000 I spoke at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first DoD Cybercrime conference in Colorado, delivering cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 AFCERT mission briefing.

Friday, September 02, 2005

Request for Comments on CERT and SEI Training

I have been taking a closer look at training offered by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 CERT® Coordination Center and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Software Engineering Institute. Six years ago as an Air Force captain from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 AFCERT I enjoyed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Advanced Incident Handling for Technical Staff. Now I may have a chance to teach or develop course materials for some of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se courses. I am also considering cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 value of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365
CERT®-Certified Computer Security Incident Handler
program.

Has anyone attended any of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se courses recently? If yes, what do you think of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m? If no, why not? What alternatives have you considered or attended?

Thursday, August 25, 2005

Short History of Worms

I found Ryan Naraine's article From Melissa to Zotob to be a good summary of popular worms of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 last few years.

I remember Melissa as a real wake-up call for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 community. It hit on a Friday night, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following Saturday morning my (soon-to-be) wife and I were getting engagement photos taken. My commanding officer called during cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 photo session and said all officers were being recalled to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 AFCERT to "fight" cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 worm. That was an interesting weekend!

A comment in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 latest SANS NewsBites by editor Rohit Dhamankar on Zotob makes a good point:

"The time from vulnerability announcement to release of [cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Zotob] worm was one of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 shortest seen in recent times. Patch announced August 9th (Tuesday); exploit code posted publicly August 11th (Thursday); worm started to hit on August 13th (Saturday).

Because [cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se] worms spread over 139/tcp or 445/tcp, [cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se] ports that cannot be firewalled without breaking some functionality in Windows environment. That means that even a single infected laptop brought inside an enterprise will infect all cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r machines. Multiple intrusion prevention systems, as ubiquitous as switches, need to become as integral to networks."

In ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r words, some form of traffic inspection that filters for illegitimate traffic must be performed on every switch port to which a Windows system is connected. This is an argument for so-called "security switches." It is also an argument for hosts to be able to defend cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365mselves.

Sunday, November 28, 2004

Thoughts on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 United States Air Force Computing Plans

As a former intelligence officer and computer network defender I was asked my thoughts on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 US Air Force's new computing deal with Microsoft. In short, Microsoft will provide core server software, maintenance and upgrade support, and Dell will supply more than 525,000 Microsoft desktop Windows and Office software licenses to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Air Force.

From a business perspective, this is an important deal for Microsoft. For all of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir seeming independence, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 services tend to watch each ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r closely to see what technological advances are being considered or pursued. When cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Navy began work on its Navy Marine Corp Intranet (NMCI), Air Force leaders scrambled to "catch up" to match cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "progress" cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Navy was assumed to be making. (NMCI has since produced mixed results for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Navy and financial woes for EDS, prime NMCI contractor.)

I have first-hand knowledge of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Air Force's response to NMCI. In cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 fall of 2000, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 AFCERT sent me to Washington, DC to participate in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "redesign" of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Air Force enterprise network. Over a three week period we were expected to create plans to revamp cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 whole Air Force communications and security architecture. The new network was supposed to be running by June 2001. Obviously this did not happen, although it was cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 launch of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "One Air Force, One Network" campaign. The entire November 2000 (.pdf) issue of Intercom magazine was devoted to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 project, while shorter articles explained cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 goals in brief.

The core of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 project involved several key ideas:

- Server consolidation, particularly email
- Network access consolidation, with bases having links through cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir major commands
- An Air Force portal ("my.AF")

The Air Force is still following cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir "One Air Force, One Network" plans. You can see cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Air Force CIO's September 2004 presentation (.ppt) reiterates cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se ideas, several of which I believe are valid. For example, it may not be necessary for each of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 100+ Air Force bases and operating locations to maintain cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir own connections to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Internet. It is certainly not necessary for each base to maintain its own Web, DNS, and mail servers, as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se pieces of public infrastructure are one of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 main ways external intruders can compromise Air Force assets.

Many reactions (e.g., Slashdot.org) to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 new Microsoft/Air Force deal center on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 standardization on Windows throughout cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Air Force. Here I am disappointed. In cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 mid-1990s I used Solaris where it mattered, on servers and on intelligence projects. I remember using Windows for Workgroups 3.11 for office applications. Within cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 last five years Microsoft has replaced a lot of this infrastructure and handles core email and Web duties in many locations.

Regarding cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 implementation of a homogeneous infrastructure, I have a mixed opinion. Standardization can be a force for good when it eases system configuration, deployment, and patching. The question is, do cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 benefits of standardization outweigh cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 potential for thorough, widespread exploitation by a worm targeting standardized deployments? For years I've advocated deploying redundant architecture, running alternate operating systems, to mitigate this fate. If you want your Web site running IIS on Windows, have an Apache on UNIX backup ready.

I would have been pleased to see cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Air Force adopt a thin client strategy for its desktop users, preferably based on Solaris or even a Linux distribution. I think cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Air Force was too "corporate" to make such a radical step as to abandon its Microsoft desktop infrastructure. A TechWorld.com story noted that AF CIO "Gilligan acknowledged that in grappling with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 patch-update issue, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Air Force had considered transitioning to open-source software but determined cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 transition costs would simply be too high." Ironically, that same article mentioned this:

"The Air Force endures about one network-based attack per week that successfully exploits new vulnerabilities, Gilligan said. 'There's some disruption and loss of capability,' he pointed out, noting that Air Force bases all over cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 world support cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 operations of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 war in Afghanistan and Iraq. 'We're spending more money patching and fixing than buying software,' said Gilligan. It's not unusual for patching of vulnerabilities to take months to complete, he said."

So instead of taking a serious look at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 root cause of its patching and exploitation costs (both financial and in mission impact), cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Air Force sought a better deal from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 vendor producing flawed software. This is sad. TechWorld's Ellen Messmer wrote "The US Air Force has had enough of Microsoft's security problems. But racá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r than switch to an alternative, it has struck a deal with CEO Steve Ballmer for a specially configured version of Windows." Will Microsoft sell this "special version" elsewhere, and if so, is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Air Force cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 guinea pig paying to develop this version?

Had cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Air Force decided to break away from Microsoft, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r services would have definitely taken notice. In fact, corporate America would have taken notice. I hope vendors like Sun, IBM, and Red Hat step up cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir efforts to infiltrate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 government space and introduce more secure products where it matters.

On a related note, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Air Force continues to lead cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 information warfare domain with its Advanced Course in Engineering (ACE) Cyber Security Boot Camp.

Wednesday, August 25, 2004

Fascinating .gov and .mil Docs

Perhaps "fascinating" is too strong a word, but I've come across several intriguing government reports and documents which security professionals might find interesting. First, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 CERT/CC and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Secret Service released a joint report titled Insider Threat Study. It's based on "23 incidents carried out by 26 insiders in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 banking and finance sector between 1996 and 2002. Organizations affected by insider activity in this sector include credit unions, banks, investment firms, credit bureaus, and ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r companies whose activities fall within this sector. Of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 23 incidents, 15 involved fraud, four involved cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ft of intellectual property, and four involved sabotage to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 information system/network." One of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 incidents, mentioned in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 beginning of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 report, was cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 case prosecuted by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 DoJ on behalf of UBS.

The major findings include:

"- Most of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 incidents in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 banking and finance sector were not technically sophisticated or complex. They typically involved cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 exploitation of non-technical vulnerabilities such as business rules or organization policies (racá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r than vulnerabilities in an information system or network) by individuals who had little or no technical expertise. In 87% of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 cases cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 insiders employed simple, legitimate user commands to carry out cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 incidents, and in 78% of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 incidents, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 insiders were authorized users with active computer accounts.

- The majority of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 incidents (81%) were devised and planned in advance. Furcá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rmore, in most cases, ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs had knowledge of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 insider's intentions, plans, and/or activities. Those who knew were often directly involved in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 planning or stood to benefit from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 activity.

- Most insiders (81%) were motivated by financial gain, racá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r than a desire to harm cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 company or information system.

- Insiders in this report fit no common profile. Only 23% held a technical position, 13% had a demonstrated interest in hacking and 27% had come to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attention of a supervisor or co-worker prior to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 incident.

- Insider incidents were detected by internal, as well as external, individuals including customers.

- The impact of nearly all insider incidents in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 banking and finance sector was financial loss for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 victim organization: in 30% of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 cases cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 financial loss exceeded $500,000. Many victim organizations incurred harm to multiple aspects of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 organization.

- Most of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 incidents (83%) were executed physically from within cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 insider's organization and took place during normal business hours."

The report also cites a 2000 study titled "DoD Insider Threat Mitigation," available in .doc format. I like reading cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se sorts of studies because cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y focus on threats, not vulnerabilities. I am always pleased when I see organizations working with law enforcement to prosecute intruders. A new firewall is not going to stop future intrusions; putting criminals in jail will. Don't focus on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 vulnerability and forget about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 threat!

On cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 .mil side, I came across fairly new documents from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Air Force describing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir new network operations and security posture. It seems after four years of debate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 dust is settling around a hierarchical structure led by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Air Force Network Operations and Security Center (AFNOSC). Several Air Force Instructions (AFIs), led by AFI33-115V1 "Network Operations (NETOPS)" (3 May 04) and ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r 33 series AFIs have redefined cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 relationship between cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 AFNOSC and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Air Force network. While cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 new structure looks good, I was sad to see cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 name "AFCERT" officially be replaced by "AFNOSC Network Security Division." I understand cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 desire to give cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 AFCERT cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 authority of being AFNOSC-NSD, but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 AFCERT name has twelve years of history behind it. My friends still in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 AFCERT report cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y still use cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 old name and plan to do so.

Saturday, February 14, 2004

Amazon Glitch Reveals "A Reader From..." Identities

I'm so sad I missed this when it was active. AP and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 New York Times report that Amazon.ca accidentally replaced cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 anonymous "A Reader From" monikers with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 real names of reviewers on its Web site. For example, instead of reading a glowing five star review by "a reader from Chicago" for a book by author John Rechy, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 name "John Rechy" appeared -- showing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 author reviewing his own book!

Fake reviews at Amazon.com have been a problem for years. The hundreds of fake reviews of Hack Attacks Revealed hit home for me, especially when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 fictitious "l peterson" reviewed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 book. Publisher Wiley printed a "review" by this fake person in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 inside cover of Hack Attacks Encyclopedia, where "l peterson" said "Speaking for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Air Force Computer Emergency Response Team..." That really angered me, as I had just left cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Air Force and that unit and confirmed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re was no such person in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 AFCERT.

Saturday, October 04, 2003

CERT Publishes Report on CSIRTs

The CERT just published a new document titled "State of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Practice of Computer Security Incident Response Teams" (.pdf). This is a massive 276 page document which should help define CSIRT roles in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 security community. I seem to remember taking part in a study like this when I worked at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 AFCERT. I remember doing phone interviews with CERT and having visitors interview me and my crews.

Tuesday, September 23, 2003

Five Years Ago Today...

Five years ago today I left cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 information warfare planning directorate at Air Intelligency Agency and joined cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Air Force Computer Emergency Response Team at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n-Kelly Air Force Base in San Antonio, Texas. Back cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n we were part of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Air Force Information Warfare Center, tasked with monitoring all of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 intrusion detection systems deployed inside border routers at Air Force's installations. I was a new captain and had voluntarily attended some UNIX training after work hours while deployed to RAF Molesworth in late 1997.

Just yesterday I was asked how to get into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 computer security field. Here's how I did it. I looked at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 AFCERT's manning roster for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 network security monitoring teams and put myself on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 schedule. Wherever I saw an opening -- usually between 2 and 10 pm or 10 pm and 6 am -- I added my name. I sat next to people who seemed to understand cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 alerts cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y were analyzing and asked a lot of questions. Six months later I was in charge of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 real-time NSM team, and a year later I was in charge of all NSM operations. I wrote my first white paper in late 1999 and spoke at my first SANS conference on 25 Mar 00. Currently I'm writing Real Digital Forensics and The Tao of Network Security Monitoring, both to be published in 2004.

Wednesday, September 10, 2003

RAID Conference Concludes

Today I drove home from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 6th annual Recent Advances in Intrusion Detection (RAID) conference held at Carnegie Mellon University. The picture at left shows cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 nearby University of Pittsburgh's magnificent Cacá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365dral of Learning, which is just about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 coolest name for a building I can imagine. (It reminds me of Kwai Chang Caine's answer to a question on what he does: "I work, eat, learn.")


This was my first RAID conference, and I took several pages of notes on what IDS researchers are doing. The conference began with a presentation by Richard Clarke. Some of his more interesting points included:


  • He confirmed US DoD networks have indeed suffered worms and/or viruses on "classified networks." He also stated "one ugly fact... every network I know of has been penetrated -- recently and regularly," with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 exceptions being one or two classified government networks. However, he "[hasn't] seen cyberterrorism yet," although he has seen "nation states doing reconnaissance" against each ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r and thinks cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 recent DNS attacks may have been nation state activities. I asked him about structured threats like organized crime, and Clarke replied he's more worried about nation states performing targeted attacks.

  • He claimed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 norcá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ast blackout which seems to have started in Ohio was "remarkably similar" to tests done by DoD red teams. Ohio power workers claim cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir displays reported normal status while cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system failed. DoD red teams take similar approaches. A cybersecurity taskforce is now part of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 blackout investigation. Two days before cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 blackout, power companies (through cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 North American Electric Reliability Council (NERC) adopted new security guidelines." Ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs are issuing warnings.

  • Clarke believes if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 US Congress or EU tries to legislate security, "it won't work." Government will destroy cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Internet if it tries to take it over to protect "critical infrastructure." His reference to Terminator 3 was apt: "People need machines. People take critical infrastructure for granted until it fails. Machines fail when subjected to malicious code."

  • Answering a question on poor code, he said "why is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir software so shitty... because cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y can" [sell lousy software]. He believes big companies should band togecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r to create a software assurance standard along cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 lines of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Underwriters Laboratory. He recomends cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 creation of a "patch management center" which offers testing of new patches to prevent redundant testing on vanilla systems throughout industry. Clarke is researching security standards for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Business Roundtable and has found 27 thus far -- too many!

  • Clarke shared stories about ELIGIBLE RECEIVER, an exercise in 1997 to test information infrastructure, particularly in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Pentagon. Although cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 exercise was scheduled for a week, Clarke claimed that by Tuesday cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 National Military Command Center was compromised and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 exercise was stopped early on Wednesday. As a consequence cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n US Deputy Secretary of Defense John Hamre told every military service to deploy intrusion detection systems (IDS), which was one of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 reasons we saw a huge surge in sensor installations in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 AFCERT around that time.

  • Whereas cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 problems with IDS used to be not enough data on intrusions, now cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 mindset involves "dumping alerts into databases." In 2002 Clarke said cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Internal Revenue Service and Veteran's Administration decided to pool cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir IDS data and mine it for trends.

  • Clarke named three IDS weaknesses: (1) insiders, who according to an upcoming Secret Service survey, are causing a "vast number" of American companies to lose money; (2) virtual private networks, which allowed a vector for a "business-to-business" customer of Bank of America to infect it with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Slammer worm; and (3) wireless, where IDS coverage is lacking.

  • He's counter 127 companies which sell IDS products, with lots of venture capital still available for security. Unfortunately, CIOs think cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 IDS vs. Intrusion Prevention System (IPS) debate is "silly." Furcá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rmore, CIOs are questioning cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir security spending, saying "no matter what I do, I'm still owned." Why spend more money if nothing works? Clarke believes cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 future lies with "self-healing networks" which function regardless of compromise.



Richard Stiennon of Gartner, formerly a consultant at PriceWaterhouseCoopers, spoke as well. He was a nice enough guy but I don't think his arguments hold water, and I wasn't impressed to hear him he disabled his own laptop by installing a spyware cleaner! Here are some of his main points, eicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r printed on his slides or spoken:


  • "Gateways and firewalls are finally plugging cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 holes... we are winning cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 arms race with hackers... cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 IDS is at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 end of life." He "recommends delaying large investments in IDS and event management, piloting application defense and network IPS products, and locking down access control."

  • His vision of "defense in depth" includes: firewalls -> vulnerability assessment or management -> network intrusion prevention (separate from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 firewall) -> host intrusion prevention -> antivirus -> security management. This vision is based on conclusions gained from "talking to users," since he doesn't have a product test lab!

  • A "deep packet (or stream) inspection firewall assembles (normalizes) packets and inspects cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m for compliance with a set of rules." "Rule classes" could include "attack signature, protocol anomaly, behavior, antivirus, or custom content inspection."
  • Stiennon claimed that IDS offers "mountains of data, hours of labor, heaps of alerts, false positives [and] IR nightmares," while cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "security nirvana" of IPS will "drop protocol attacks, block known attacks, [and spend] less time tracking down what happened."

  • He named Cisco (who bought Okena), ISS, Enterasys, NFR, Symantec, Intrusion, Tripwire, Lancope, and Arbor Networks within cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 IDS market, and Tipping Point, NetScreen (via purchasing OneSecure), and Network Associates (via purchasing Intruvert and Entercept) as IPS vendors. He noted Tipping Point complained to Gartner it wasn't "getting its message out," and I found that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 company declined .pdf an award nomination in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 IDS category from Network Computing Magazine. That's staying on message!

  • Beyond IDS and IPS, Stiennon made interesting insights into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 strenghts of content switching vendors F5, Radware, Cisco, and Blue Coat, which already does content inspection. The ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r vendors only need to add more security content inspection to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir products to cause headaches for more traditional security vendors. On cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 application defense side, Stiennon mentioned Netcontinuum, Teros, Sanctum, KaVaDo, Ingrian, and Array Networks.

  • Vendors offer security event management products include GuardedNet, ArcSight, E-Security, Intellitactics, and NetForensics, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 most inaptly named security company I kn ow.

  • I asked him where cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "magic" comes from that makes modern firewalls perform cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 intrusion detection functions he says are failing. His answer was not satisfactory. Earlier he talked of Checkpoint adding INSPECT code for Snort signatures into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 firewall's kernel.



Once cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 invited guests were done, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 conference turned to papers. Some of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 researchers I met were unhappy that many of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 papers weren't "science" or "research," but "engineering" and "applied research." They preferred to see papers with little or no practical application. This was a new concept to me. Apparently cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 downturn in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 tech economy has left most commercial research labs, particularly IBM Research doing less "pure research" and more "solutions to problems."


  • One of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 most interesting talks was by Philip Chan of Florida Institute of Technology, titled "An Analysis of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 1999 DARPA/Lincoln Laboratory Evaluation Data for Network Anomaly
    Detection" (.pdf). He criticized cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 1999 DARPA Intrusion Detection Evaluation Data Set. Apparently getting access to data to run through cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir algorithms and code is a huge problem. Dr. Chan analyzed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 popular IDEVAL data to show its weaknesses and proposed some solutions.

  • Vern Paxson participating in a panel discussion on worm/virus propagation and asked "doesn't anyone read cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 literature?" In ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r words, why isn't malicious code worse? He mentioned permutation scanning, flash worms, metaserver worms, topological worms, can contagion worms as subjects for worry. He wondered if botnets were built because spammers pay for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m, and pointed to a paper to be published at Worm 2003 called "Access for Sale" by S. Schecter and M. Smith.

  • Arno Wagner of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 DDoSVaX project spoke about using NetFlow records for analyzing malicious code. (Incidentally, I finally found an open source NetFlow collector in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 FreeBSD net ports tree -- fprobe! I've tried it with EHNT (also in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 tree) and will fire up flow-tools next.)
  • The presenter of "Characterizing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Performance of Network Intrusion Detection Sensors" (.pdf), was absolutely hammered by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attendees. He was attacked for his methodology and results, particularly that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 NICs he used to test Snort performance may have been cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 real bottleneck. Since he used a TAP to collect data I asked if he combined streams. He said he ran Snort against only one output. Since most real-world deployments care about both sides of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 conversation, his choice wasn't realisitc.

  • The paper "Using Decision
    Trees to Improve Signature-based Intrusion Detection" (.ps) introduced me to Snort NG, which claims better performance than Snort 2.0 using cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Snort 1.x code as a base.

  • After cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 talks I spoke with Brian Hernacki of Symantec, who told me about ManHunt's ability to work with a switch to change cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 SPAN port it monitors. This idea of sampling traffic is a great one.


Well, that's my RAID wrap-up. I don't intend to return again, but I do plan to check cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 future programs and read cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 papers that interest me.

Update: 5th Anniversary of "FloodNet"

Five years ago today Wired reported on FloodNet. It was an attempt by a group called cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Electronic Disturbance Theater to overwhelm Web sites, among cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Pentagon. It's significant because, according to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Wired article, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Pentagon took countermeasures:

"Participants in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 FloodNet protest needed only to load cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 FloodNet Web page. The page contained a Java applet configured to request and load cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 three target Web sites every three seconds. The Electronic Disturbance Theater estimated that up to 10,000 people took part in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 demonstration, delivering 600,000 hits to each of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 three Web sites per minute.

The automated rapid-fire requests are designed to overwhelm cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 target Web sites so cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y cannot be viewed by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir intended audience, known as a 'denial of service' attack.

The Pentagon's Web-site support team apparently struck back with a Java applet of its own. That applet sensed requests from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 FloodNet servers, and loaded -- and reloaded -- an empty browser window on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attacker's desktop. The move forced cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 protesters to reboot cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir computers."

Wednesday, August 20, 2003

AFCERT Keeps cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Faith

Next week I head back to San Antonio to teach Foundstone's "Ultimate Hacking" to members of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 33rd Information Operations Squadron, which includes cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Air Force Computer Emergency Response Team (AFCERT). I served as a captain in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 AFCERT from Sep 98 through Feb 01. Thanks to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 magic of archive.org, you can see cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first job I was stuck with doing, before I learned IDS -- redesigning cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 AFCERT web page! I provided content for some of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 pages once that webmaster duty fell on ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r shoulders, but some of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 pages appear familiar...


I'm looking forward to seeing some of my old colleagues. The May 03 Spokesman online magazine profiled cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 AFCERT. My favorite quote is by one of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 best guys to ever work in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 AFCERT:


The AFCERT of today wasn’t always such a robust organization. "Many people don’t realize we started in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 early 1990s with only a handful of dedicated people who understood this business," said Tech. Sgt. Will Patrick, AFCERT superintendent.


I'd argue only a few still understand cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 business, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re's far too much work to go around! Thankfully, most of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 people who served in key roles have brought that knowledge to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 private sector. Instead of protecting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 military, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y're protecting your banks, insurance companies, utilities, and ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r pieces of critical infrastructure. Besides cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 military folks I'll visit, I'm also having dinner with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 group of analysts Bamm Visscher and I hired at Ball Aerospace & Technologies Corp. to implement cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 world's only, albeit short-lived, commercial managed network security monitoring operation. Like me, we've all moved to ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r jobs since cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 decision by BATC to yank our funding. Oddly. I left a month before funding was actually removed, since my family wanted to move from San Antonio to Washington, DC!

Friday, June 20, 2003

Transforming cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 U.S. Air Force Enterprise Network

A captain I worked with in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 AFCERT several years ago, Carl Grant, published Transforming cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 U.S. Air Force Enterprise Network in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 latest IA Newsletter. Carl talks about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 AFNOSC, which was also discussed in this testimony by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Air Force CIO John Gilligan.

Friday, May 30, 2003

Patching in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Air Force

The 28 May SANS NewsBites reported:


Air Force Service Evaluates Patches (19 May 2003)

The Air Force has established cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Enterprise Network Operations Support Cell (ENOSC), a software patch service. Patches are tested by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Air Force Computer Emergency Response Team which assesses its effectiveness and assigns it a number indicating its likelihood of interfering with ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r software. The patch along with that information is placed on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 site and administrators can decide if it's an appropriate patch for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir systems. ENOSC supports Windows 9x, NT 4.0, 2000 and XP, as well as Exchange Server and Internet Explorer. It also supports Sun Solaris and plans to add Linux and HP-UX.
http://www.gcn.com/22_11/security/22059-1.html


This sounded suspicious to me, as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 original article says:


"When a patch comes out for those OSes or applications, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Air Force Computer Emergency Response Team judges its effectiveness—that is, does it in fact fix cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 problem? A nine-member ENOSC team evaluates cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 patch’s impact on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 OS and on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 applications likely to be running under it."


One of my friends at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 AFCERT confirmed that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 AFCERT is NOT testing patches. The ENOSC performs cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 testing, while cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 AFCERT issues compliance orders. The AFCERT is not equipped to test patches, and that is not its primary mission anyway.

Wednesday, March 26, 2003

Melissa Virus Four Year Anniversary


Four years ago today cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Melissa virus caused lots of headaches and early morning calls. My cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n-fiance and I were getting photos taken when I received an "all officers" call. I spent cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 rest of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 weekend at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 AFCERT dealing with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 virus. That event prompted our unit to establish a full-time anti-virus crew.


My friend Stephen Northcutt of SANS fame reviews items for Amazon.com too. I was pleased to see he wasn't thrilled by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 second edition of Firewalls and Internet Security, eicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r.

Tuesday, March 25, 2003

Article on New AFNOSC

I just read an article describing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "new" Air Force Network Operations and Security Center (AFNOSC) at Barksdale AFB. I first heard about this concept three years ago when I was a captain in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 AFCERT. Don't let cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 SSL certificate scare you -- I don't know why cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Air Force Communications Agency feels cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 need to encrypt its Intercom newsletter!