Showing posts with label impressions. Show all posts
Showing posts with label impressions. Show all posts

Friday, January 05, 2018

Spectre and Meltdown from a CNO Perspective

Longtime readers know that I have no problem with foreign countries replacing American vendors with local alternatives. For example, see Five Reasons I Want China Running Its Own Software. This is not a universal principle, but as an American I am fine with it. Putting my computer network operations (CNO) hat on, I want to share a few thoughts about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 intersection of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 anti-American vendor mindset with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 recent Spectre and Meltdown attacks.

There are probably non-Americans, who, for a variety of reasons, feel that it would be "safer" for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m to run cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir cloud computing workloads on non-American infrastructure. Perhaps cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y feel that it puts cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir data beyond cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 reach of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 American Department of Justice. (I personally feel that it's an over-reach by DoJ to try to access data beyond American borders, eg Microsoft Corp. v. United States.)

The American intelligence community and computer network operators, however, might prefer to have that data outside American borders. These agencies are still bound by American laws, but those laws generally permit exploitation overseas.

Now put this situation in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 context of Spectre and Meltdown. Begin with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attack scenario mentioned by Nicole Perlroth, where an attacker rents a few minutes of time on various cloud systems, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n leverages Spectre and/or Meltdown to try to gacá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r sensitive data from ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r virtual machines on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same physical hardware.

No lawyer or judge would allow this sort of attack scenario if it were performed in American systems. It would be very difficult, I think, to minimize data in this kind of "fishing expedition." Most of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data returned would belong to US persons and would be subject to protection. Sure, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re are conspiracy cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365orists out cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re who will never trust that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 US government follows its own laws. These people are sure that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 USG already knew about Spectre and Meltdown and ravaged every American cloud system already, after doing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "Intel Management Engine backdoors."

In reality, US law will prevent computer network operators from running cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se sorts of missions on US cloud infrastructure. Overseas, it's a different story. Non US-persons do not enjoy cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same sorts of privacy protections as US persons. Therefore, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 more "domestic" (non-American) cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 foreign target, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 better. For example, if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 IC identified a purely Russian cloud provider, it would not be difficult for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 USG to authorize a Spectre-Meltdown collection operation against that target.

I have no idea if this is happening, but this was one of my first thoughts when I first heard about this new attack vector.

Bonus: it's popular to criticize academics who research cybersecurity. They don't seem to find much that is interesting or relevant. However, academics played a big role in discovering Spectre and Meltdown. Wow!

Wednesday, July 04, 2012

Impressions: Three "Internals" Books for Security

As of last month I'm no longer reviewing technical books. However, I wanted to mention a few that I received during cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 last few months. All three have an "internals" focus with security implications, and all three are written by authors I've reviewed before.

The first is The Rootkit Arsenal: Escape and Evasion in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Dark Corners of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 System, Second Edition by Bill Blunden. I reviewed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first edition two years ago. I am not in a position to comment on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 merit of Bill's technical approach (Greg? Jamie?) but I can say cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 book.

First, it appears current, with references to developments over cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 last few years. Second, it is well-sourced, with lots of footnotes. For me, that is a sign that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 author cares about attribution and scholarship. Third, I must admit I am very happy to see several references to posts on this blog and also tools and techniques authored by Mandiant (such as Redline and Memoryze.

With respect to citing my practices and philosophy, as well as thoughts by ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs, I believe author Bill Blunden does a good job placing his technical work in a bigger overall framework. To me, this is a sign of a more advanced book, regardless of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 exact technical details.

The second book is Windows® Internals, Part 1, Sixth Edition; Covering Windows Server® 2008 R2 and Windows 7 by Mark E. Russinovich, David A. Solomon, and Alex Ionescu. I reviewed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 fifth edition last year. Like cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 rootkit book, I am not a Windows kernel developer, but I believe everyone would agree that you cannot beat cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Russinovich-Solomon-Ionescu team when it comes to how Windows works!

One of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 most intriguing aspects of this book is that it's been split into two parts. The previous edition was a hardcover with 1232 pages and a list price of $69.99. Part 1 of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 new edition is a paperback with 728 pages and a list price of $39.99. Part 2 will arrive in September, according to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 O'Reilly listing, and will feature 688 pages and a list price of $39.99.

The authors decided to split cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 book into two parts to speed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 delivery of material to readers. The new books cover Covering Windows Server® 2008 R2 and Windows 7, but Windows 8 will likely arrive this fall -- just as Part 2 hits Kindles and book stores.

Some might argue that books, even split into parts, aren't cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 right way to deliver technical material cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se days. I agree with that sentiment in some respects, but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re isn't as much support in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 traditional publishing world for supporting and delivering shorter works. I also think authors like to present unified works, not a series of chapters. Does that sound like artists wanting to release albums and not cut singles? We'll see.

The third and final book in this post is FreeBSD Device Drivers by Joseph Kong. I reviewed his book Designing BSD Rootkits in 2007 and interviewed him as well.

This book appears very heavy on readable code and light on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ory. I think this approach makes sense given cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 topic and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 expectations cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 author sets for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 reader. I am pleased to see No Starch provide a forum for books like this. They continue to produce high-quality works that read well and address subjects seldom found elsewhere.

Wednesday, March 14, 2012

Impressions: Fuzzing

Fuzzing by Michael Sutton, Adam Greene and Pedram Amini struck me as a good overview of many types of fuzzing techniques. If you read cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Amazon.com reviews, particularly cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 verdict by Chris Gates, you'll see what I mean. For my purposes, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 degree to which cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 authors covered cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 material was just right. If you're more in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 trenches with this topic, you would probably want more from a book on fuzzing.

I liked cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following aspects of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 book: integration of history, real examples, diversity of approaches, case studies, and examples. I thought cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 book was easy to read and well presented. Paired with more specific, newer books on finding vulnerabilities, I think Fuzzing is a winner.

My only real dislike involved cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 quotes by former US President George W. Bush at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 start of each chapter. I thought cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y were irrelevant and a distraction.

Tuesday, March 13, 2012

Impressions: Hunting Security Bugs

I don't hunt security bugs for a living, but I've worked on teams that do and I find cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 process important to understand. A defender should appreciate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 work that an adversary must perform in order to discover a vulnerability and weaponize an exploit. That is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 spirit with which I read Hunting Security Bugs by Tom Gallagher, Bryan Jeffries, and Lawrence Landauer. When cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 book was published in 2006 all cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 authors worked at Microsoft and Microsoft Press published cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 book. (Yes, I did wait a long time to take a look at this title...)

Despite cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 passage of time, I thought HSB stood up very well. Most of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 problems discussed in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 book and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 techniques to find cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m should still work today. The targets have changed somewhat (XP was cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 target in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 book; Windows 7 would be more helpful today -- thought not everywhere).

Again, this is an impression and not a review, so I only offer thoughts and not opinions or judgements on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 text. From what I saw, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 book appears well written with helpful diagrams and screen shots. It covers a lot of surface area and ways to exploit it.

One note for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 history buffs: cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 foreword says:

When Jesse James, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 famous outlaw of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 American West, was asked why he robbed banks, he replied, Thats where cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 money is.

I'm sure most of you think that Willie Sutton said that, not Jesse James. According to Snopes neicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m said it:

While lore would have it that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 bank robber replied "Because that's where cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 money is" to that common question, Sutton denied ever having said it. "The credit belongs to some enterprising reporter who apparently felt a need to fill out his copy," wrote Sutton in his autobiography. "I can't even remember where I first read it. It just seemed to appear one day, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n it was everywhere."

But back to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 book -- should you buy it? If your job involves finding vulnerabilities in Windows software (and this book does have more of a Windows slant), I would take a close look at it.

Monday, March 12, 2012

Impressions: The Web Application Hacker's Handbook, 2nd Ed

In late 2009 I reviewed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first edition of The Web Application Hacker's Handbook. It was my runner-up for Best Book Bejtlich Read 2009. Now authors Dafydd Stuttard and Marcus Pinto have returned with The Web Application Hacker's Handbook, 2nd Ed.

This is also an excellent book, although I did not read it thoroughly enough to warrant a review. On p xxix cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 authors note that 30% of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 book is "new or extensively revised" and 70% of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 book has "minor or no modifications." I was very impressed to see cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 authors outline changes by chapter on pages xxx-xxxii. That is not common in second editions, in my experience.

The book is very thorough and introduces technology along with attacks and defenses. Their "hack steps" sections provide a playbook for assessing Web applications. Some sections even mention logging and/or alerting -- I'd like to see more of that here and elsewhere! The book also includes end-of-chapter questions with answers posted on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 book Web site, mdsec.net/wahh.

Speaking of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Web site, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 authors also post source code, links to tools, and checklists, plus labs costing a $7/hour fee. That is a new approach I haven't seen elsewhere, but I think it's an interesting idea.

At 912 pages WAHH2E offers a ton of content written in a clear and convincing style. Great work guys. My only concern was cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir refusal to cite sources. That makes a real difference in my mind; give credit where credit is due in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 third edition.

Sunday, March 11, 2012

Impressions: Web Application Security: A Beginner's Guide

As you might remember, when I write impressions of a book it means I didn't read cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 book thoroughly enough (in my mind) to write a review. In that spirit, I read Web Application Security: A Beginner's Guide by Bryan Sullivan and Vincent Liu. I liked cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 book because cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 authors spend cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time explaining cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 technology in question. For example, I appreciated cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 discussion on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same origin policy, featuring memorable advice like "cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same origin policy can't stop you from sending a request; it can only stop you from reading cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 response" (p 175).

I had one small issue with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 book, and that involved its introduction to Microsoft's STRIDE model. I blogged about this years ago in Someone Please Explain Threats to Microsoft. The Web sec book says on p 36:

STRIDE is a threat classification system originally designed by Microsoft security engineers. STRIDE does not attempt to rank or prioritize vulnerabilities... instead, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 purpose of STRIDE is only to classify vulnerabilities according to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir potential effects. This is immensely useful information to have when threat modeling an application...

To see my critique of STRIDE, please see my linked post. Basically, STRIDE is best describe as "bad stuff," and includes a mix of attacks and vulnerabilities with no real "threats."

Nevercá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365less, if you're looking for a compact and detail-packed exploration of Web application security, take a look at Web Application Security: A Beginner's Guide.

By cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 way, I've written alot about confusing terms like "threat," "vulnerability," "risk," etc. over cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 years. One of my earliest posts provides background -- The Dynamic Duo Discuss Digital Risk if you are so inclined.

Saturday, February 04, 2012

Impressions: Network Warrior, 2nd Ed

Five years ago I reviewed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first edition of Network Warrior by Gary A. Donahue. Thank to O'Reilly I can post my "impressions" of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 second edition of this great book. Although I read almost all of it, I am unable to post anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r review because Amazon.com has my previous review attached to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 new edition.

In brief, Network Warrior, 2nd Ed is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 book to read if you are a network administrator trying to get to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 next level. All of my praise from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 previous review apply to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 new book. The book is really that good, primarily because it combines very clear explanations with healthy doses of real-world experience. Thanks to Mr Donahue for taking cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time to update his book!

Impressions: Windows Sysinternals Administrator's Reference

Mark Russinovich and Aaron Margosis have written anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r awesome addition to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Microsoft Press catalog, Windows Sysinternals Administrator's Reference. Per my policy, because I did not read cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 whole book I am only posting "impressions" here and not a full Amazon.com review.

In brief this book will tell you more about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 awesome Sysinternals tools than you might have thought possible. One topic that caught my attention was using Process Monitor to summarize network activity (p 139). This reminded me of Event Tracing for Windows and Network Tracing in Windows 7. I remain interested in this capability because it can be handy for incident responders to collect network traffic on endpoints without installing new software, relying instead on native OS capabilities.

I suggest keeping a copy of this book in your team library if you run a CIRT. Thorough knowledge of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Sysinternals tools is a great benefit to anyone trying to identify compromised Windows computers.

Impressions: The Tangled Web

Six years ago I reviewed Michal Zalewski's first book, Silence on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Wire. Michal is a security researcher who has consistently created high-quality content for a very long time, so I was pleased to receive a review copy of his newest book The Tangled Web.

I did not read cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 whole book, hence I'm posting only my "impressions" here. I recommend reading this book if you want to know a lot, and I mean a lot, about how screwed up Web browsers, protocols, and related technologies truly are. Because many points of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 book are tied to specific browser versions, I suspect its shelf life to degrade a little more rapidly than some ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r technical titles. Still, I am shocked by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 amount of research and documentation Michal performed to create The Tangled Web.

As always, Michal's content is highly readable, very detailed, and well-sourced. It's a great example for ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r technical authors. Great work Michal!

Sunday, September 25, 2011

Impressions: The Art of Software Security Testing

I'll be honest -- on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same trip on which I took The Art of Software Security Assessment, I took The Art of Software Security Testing (TAOSST) by Chris Wysopal, Lucas Nelson, Dino Dai Zovi, and Elfriede Dustin. After working with TAOSSO, I'm afraid TAOSST didn't have much of a chance.

TAOSST is a much shorter book, with more screen captures and less content. My impressions of TAOSST is that it is a good introduction to "identifying software security flaws" (as indicated by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 subtitle), but if you want to truly learn how to accomplish that task you should read TAOSSA.

Impressions: The Art of Software Security Assessment

I recently took The Art of Software Security Assessment (TAOSSA) with me on a flight across cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 US and part of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Pacific. This massive book by Mark Dowd, John McDonald, and Justin Schuh is unlike anything I've read before. If I had read cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 whole book I would have written a five star review. However, since I only read certain parts of interest to me, I'm sharing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se impressions of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 book.

One of my favorite aspects of TAOSSA is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 demonstration of software vulnerabilities by showing snippets of actual software familiar to many readers. These examples are sort of like behind-cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365-scenes looks at individual CVEs, where cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 authors show what's really happening and why it matters.

In some cases cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se examples show cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 development of code over time, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 flaws that developers introduce when trying to fix old vulnerabilities. For example, pages 250-3 show cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 progression of problems with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Antisniff tool. We read about trouble with versions 1.0, 1.1, 1.1.1, and 1.1.2, each trying to fix a bug caused by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 previous change.

Anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r amazing aspect of TAOSSA is its coverage of subtle differences between different Unix-like systems, e.g. FreeBSD, NetBSD, OpenBSD, Solaris, and Linux. I really appreciated such careful attention to detail.

Probably cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 strongest aspect of TAOSSA was cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 overall methodology, which I define as 1) show how cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 technology works; 2) show vulnerabilities in code; 3) show how to fix cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 code (usually all with real examples).

My only criticism is more philosophical, because cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 authors recycle cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 flawed Microsoft "threat modeling" paradigm. This approach results in weird sentences like "threat identification is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 process of determining an application's security exposure based on your knowledge of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system" (p 59). Fortunately cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 authors use cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 proper term "attack trees" racá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r than "threat trees," presumably because cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y recognize that Bruce Schneier was right when he promoted cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "attack tree" approach!

Overall, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 book is very well written, with great consistency despite three authors and hundreds of pages. If you can find a software developer who honestly read cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 entire TAOSSA and integrated its wisdom into his or her coding, hire that person!

Sunday, September 18, 2011

Impressions: Tiger Trap

I just finished reading Tiger Trap by David Wise. I read cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 whole book (so my "impressions" label isn't really accurate, because I use that for books I didn't fully read). I don't feel like writing an entire review but I wanted to capture a few thoughts.

First, if you know nothing about Chinese espionage against cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 United States, read Tiger Trap. I didn't think Tiger Trap was cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 easiest book to read about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 subject, but I haven't seen any ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r source cover so much history in one volume.

Second, it seems cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Chinese prefer to use human resources to steal classified information, mainly because accessing classified networks is tougher than accessing unclassified networks. Still, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re are plenty of cases where humans physically stole unclassified but sensitive information. Most of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se predate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Web however.

Third, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Chinese like to "get good people to do bad things," as I Tweeted last week (citing page 16). In ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r words, China appeals to its overseas ethnic community to steal information because China "is a poor country," and it "needs to develop." (Oddly enough I have read cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se exact words in articles by various people who brush off reports of espionage.) While some spies act out of greed or revenge or a need to feel important, it seems plenty of ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r spies think cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y are really doing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 right thing, leveling cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 playing field, or even helping both sides!

If anyone can provide cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 names of ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r resources describing Chinese espionage, I would appreciate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 comment.

Sunday, August 14, 2011

Impressions: Android Forensics

My final book in this batch is Android Forensics by Andrew Hoog. Due to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 nature of Android and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 author's experience with it, this book has a lot of great content. (In contrast, on page xiii, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 author thanks iPhone and iOS Forensics co-author Katie Strzempka "for generally taking care of that ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r book." Hmm, maybe I should have known that before trying to assess that "ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r book?")

My only real concern with this book is that it might lack cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 focus required by a normal investigator. I'm sure many investigators simply want to know where to find key data (email, Web history, etc.) and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n retrieve and analyze it in a forensically sound manner. It's cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "so what" question that hangs over many forensics books. I would have liked a case study focusing on that sort of material to show how an investigator would make sense of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data and structures unearcá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365d by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 author throughout cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 book.

Impressions: iPhone and iOS Forensics

The third forensics book in this batch is iPhone and iOS Forensics (IAIF) by Andrew Hoog and Katie Strzempka. This book is similar to iOS Forensic Analysis: for iPhone, iPad, and iPod touch by Sean Morrissey, in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 sense that neicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r book is as strong as I might have hoped. Oddly enough, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 aspects of Morrissey's book that were most compelling (like his overview of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 various i-devices and attention to each of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m) are weaker in IAIF.

I found IAIF to be a little confusing in its approach, with lack of rigor around discussing iPhone vs ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r platforms. I felt cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 authors should have eicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r focused on one platform or given all of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m equal attention. I also disliked mixing of what seemed to be jailbroken and non-jailbroken content. I prefer for forensics books to avoid using jailbreak techniques where possible, but it would have been helpful for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 authors to be very clear where and why cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y use such methods.

Chapter 4 was supposed to cover security, but it was overall very disappointing. Chapter 6 probably has cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 core data of interest to a forensic investigator, namely where to find certain types of evidence (email, Web history, etc.) and how to get it. This is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 sort of data missing from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Xbox book I just addressed.

I liked cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 material on downgrading iOS on a phone, but didn't like reading about basic Linux information in chapter 1. That should have been in an appendix.

Impressions: XBox 360 Forensics

Next is Xbox 360 Forensics (X3F) by Steven Bolt. This book offers a lot of technical detail, but it seems to read more like a coroner's report than a guide for those doing forensics on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Xbox 360 platform. The author spends a lot of time documenting his analysis of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Xbox 360, but after perusing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 book I took myself out of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 role of scientist and into that of investigator.

An investigator (such as a law enforcement person) is likely to say "that's all nice, but can I read cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 suspect's email? Can I review his Web browsing history? Can I inspect cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 content of his instant messaging? How do I do that?" These are practical questions that do not really appear in X3F. Sure, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 author tears apart cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 platform and its file system, but I don't see a way for an investigator to easily move from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 current text to answering fundamental investigation questions.

Impressions: Digital Forensics with Open Source Tools

For my fourth impressions post, I'll turn to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 digital forensics world for Digital Forensics with Open Source Tools (DFWOST) by Cory Alcá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ide and Harlan Carvey. I took a lot of notes but didn't read closely enough in my opinion to merit a full review.

I didn't like cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 way this book started. I can't tell if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 authors expect cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 reader to be familiar with open source software or not. The book needed to start in chapter 2 with something like "let's start by selecting Ubuntu for our operating system. We like it for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following reasons..." In contrast, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 reader suddenly finds himself in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "Working with Images" section trying to use losetup, mmls, doing math, etc. That's too fast! Many reading this book are going to get lost on page 23 between "sudo apt-get install libfuse-dev libexpat1-dev" and advice to use "a simple ./configure..."

Beyond cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 rough start, however, I thought cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 rest of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 book was interesting. I liked reading about a variety of tools, especially trying to accomplish cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same task on Linux and Windows. I enjoyed reading about hidden Windows Event Logs in ch 4 and about hachoir in ch 8. The book made great use of public evidence sources, like cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Digital Corpora.

Near cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 end of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 book (ch 9) I read a reference to Rob Lee's SIFT platform, so I wondered by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 book didn't use it throughout? I also would have liked to have read more about log2timeline in ch 9.

One note for a second edition: some figures in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 book feature resolutions so high that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 text is not legible given cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 size of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 screen captures.

I think you will like DFWOST, but I bet cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 second edition will be stronger.

Impressions: The Shellcoder's Handbook, 2nd Ed

The third book for which I'd like to share my impressions is The Shellcoder's Handbook, 2nd Ed (TSH2E) by Chris Ainley, John Heasman, FX, and Gerardo Richarte. I liked TSH2E, but I could tell that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 collaboration among four authors caused some issues that could have been addressed by better editing. For example, early parts of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 book use both Intel and AT&T assembly syntax, but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 reader doesn't get an explanation of eicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r until chapter 7.

For me, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 best aspect of TSH2E was cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 integration of real-world obstacles to exploiting victims. The book (although published in 2008) expertly addressed various defenses introduced in operating systems over cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 past decade. The authors usually start with simple concepts, promising to address tougher challenges later -- and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y deliver.

One item early in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 text caught my attention though. The book includes cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following code to demonstrate spawning a shell:

int main(){
char *name[2];

name[0] = "/bin/sh";
name[1] = 0x0;
execve(name[0], name, 0x0);
exit(0);
}

Then cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y show cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following:

[jack@0day local]$ gcc shell.c -o shell
[jack@0day local]$ ./shell
sh-2.05b#

This looks like a section left over from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first edition by Jack Koziol. Why does cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 prompt change to a root shell? Should it not be a user shell, since user "jack" appears to have been running with user privileges? Maybe not?

Regardless, TSH2E is a very strong book with practical lessons and examples for anyone writing offensive code.

Impressions: Reversing: Secrets of Reverse Engineering

I took a lot of notes while reading Reversing: Secrets of Reverse Engineering (RSORE) by Eldad Eilam, but I didn't read enough of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 book to qualify in my opinion to write a true review. What I did read, though, was awesome. RSORE is very well written, clear, interesting, and features high production value and quality. Although Wiley published cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 book in 2005, I believe it's as relevant now as it was six years ago. In fact, I recommend pairing it with IDA Pro, 2nd Ed for a one-two RE punch.

The introduction part provided sound foundations, great coverage of low-level concepts, a helpful overview of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Win32 environment (albeit with a 32 bit focus) and a quick tools discussion.

The applied engineering part includes hunting for undocumented (as of 2005) native Windows APIs, analyzing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file format of an encryption program, auditing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 vulnerability in idq.dll exploited by Code Red, and reversing a backdoor that communicates via IRC.

The cracking part featured solid references to legal precedents, academic papers, and books, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n discussed copy protection, DRM, and anti-piracy concepts, followed by anti-reversing measures and cracking learning-tool "crackmes."

The final part described reversing .NET and decompilation.

Overall cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 book appears very strong and I recommend it based on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 material I did read.

Impressions: The IDA Pro Book, 2nd Ed

What better way to start my new book impressions technique than The IDA Pro Book, 2nd Ed (TIDP2E) by Chris Eagle. I didn't read cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 entire book because I am not a reverse engineer, nor am I an IDA Pro user. However, I find cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 field, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 tools, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 people who do reverse engineering to be interesting.

My overall impression is that TIDP2E is an excellent book. Chris Eagle appears to have written an incredibly detailed and current text on IDA Pro. I noticed he cited material from RECon 2011, which happened earlier this year!

Besides teaching how to use IDA Pro, TIDP2E appears to teach programming and operating system concepts. The book compares various ways to disassemble code (primarily linear sweep vs recursive descent) as well as complementary tools. I like cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 regular use of footnotes and external references, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 production quality was very high.

Take a look at TIDB2E if you need a modern reference to this powerful tool suite.