Showing posts with label incidents. Show all posts
Showing posts with label incidents. Show all posts

Saturday, February 09, 2019

Forcing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Adversary to Pursue Insider Theft

Jack Crook pointed me toward a story by Christopher Burgess about intellectual property cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ft by "Hongjin Tan, a 35 year old Chinese national and U.S. legal permanent resident... [who] was arrested on December 20 and charged with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ft of trade secrets. Tan is alleged to have stolen cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 trade secrets from his employer, a U.S. petroleum company," according to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 criminal complaint filed by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 US DoJ.

Tan's former employer and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 FBI allege that Tan "downloaded restricted files to a personal thumb drive." I could not tell from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 complaint if Tan downloaded cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 files at work or at home, but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 thumb drive ended up at Tan's home. His employer asked Tan to bring it to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir office, which Tan did. However, he had deleted all cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 files from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 drive. Tan's employer recovered cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 files using commercially available forensic software.

This incident, by definition, involves an "insider threat." Tan was an employee who appears to have copied information that was outside cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 scope of his work responsibilities, resigned from his employer, and was planning to return to China to work for a competitor, having delivered his former employer's intellectual property.

When I started GE-CIRT in 2008 (officially "initial operating capability" on 1 January 2009), one of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 strategies we pursued involved insider threats. I've written about insiders on this blog before but I couldn't find a description of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 strategy we implemented via GE-CIRT.

We sought to make digital intrusions more expensive than physical intrusions.

In ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r words, we wanted to make it easier for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 adversary to accomplish his mission using insiders. We wanted to make it more difficult for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 adversary to accomplish his mission using our network.

In a cynical sense, this makes security someone else's problem. Suddenly cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 physical security team is dealing with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 worst of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 worst!

This is a win for everyone, however. Consider cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 many advantages cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 physical security team has over cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 digital security team.

The physical security team can work with human resources during cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 hiring process. HR can run background checks and identify suspicious job applicants prior to granting employment and access.

Employees are far more exposed than remote intruders. Employees, even under cover, expose cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir appearance, likely residence, and personalities to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 company and its workers.

Employees can be subject to far more intensive monitoring than remote intruders. Employee endpoints can be instrumented. Employee workspaces are instrumented via access cards, cameras at entry and exit points, and ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r measures.

Employers can cooperate with law enforcement to investigate and prosecute employees. They can control and deter cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ft and ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r activities.

In brief, insider cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ft, like all "close access" activities, is incredibly risky for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 adversary. It is a win for everyone when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 adversary must resort to using insiders to accomplish cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir mission. Digital and physical security must cooperate to leverage cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se advantages, while collaborating with human resources, legal, information technology, and business lines to wring cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 maximum results from this advantage.

Friday, January 23, 2015

Is an Alert Review Time of Less than Five Hours Enough?

This week, FireEye released a report titled The Numbers Game: How Many Alerts are too Many to Handle? FireEye hired IDC to survey "over 500 large enterprises in North America, Latin America, Europe, and Asia" and asked director-level and higher IT security practitioners a variety of questions about how cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y manage alerts from security tools. In my opinion, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following graphic was cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 most interesting:


As you can see in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 far right column, 75% of respondents report reviewing critical alerts in "less than 5 hours." I'm not sure if that is really "less than 6 hours," because cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 next value is "6-12 hours." In any case, is it sufficient for organizations to have this level of performance for critical alerts?

In my last large enterprise job, as director of incident response for General Electric, our CIO demanded 1 hour or less for critical alerts, from time of discovery to time of threat mitigation. This means we had to do more than review cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 alert; we had to review it and pass it to a business unit in time for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m to do something to contain cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 affected asset.

The strategy behind this requirement was one of fast detection and response to limit cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 damage posed by an intrusion. (Sound familiar?)

Also, is it sufficient to have fast response for only critical alerts? My assessment is no. Alert-centric response, which I call "matching" in The Practice of Network Security Monitoring, is only part of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 operational campaign model for a high-performing CIRT. The ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r part is hunting.

Furcá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rmore, it is dangerous to rely on accurate judgement concerning alert rating. It's possible a low or moderate level alert is more important than a critical alert. Who classified cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 alert? Who wrote it? There are a lot of questions to be answered.

I'm in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 process of doing research for my PhD in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 war studies department at King's College London. I'm not sure if my data or research will be able to answer questions like this, but I plan to investigate it.

What do you think?


Monday, January 07, 2008

Sussy McBride Shouts: I got hacked

Thanks to Sensepost for reporting this story last month. They describe an advisory published by Charles Miller and Dino Dai Zovi whereby arbitrary characters in Second Life are digitally mindjacked and robbed. By walking on "land" owned by an attacker, and having Second Life configured to automatically display video, a victim's avatar and computer can be exploited via cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 November 2007 Quicktime vulnerability. In cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 YouTube video you can see "Sussy McBride" be freeze, shout "I got hacked," and give her money to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attacker.

I am fascinated by this story because it is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 natural progression from a 2006 post Security, A Human Problem describing a Second Life denial of service attack. In that post I said:

First, it demonstrates that client-side attacks remain a human problem and less of a technical problem. Second, I expect at some point cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se virtual worlds will need security consultants, just like cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 physical world. I wonder if someone could write a countermeasure at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 individual player level for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se sorts of attacks?

I wonder if anyone in Second Life will start creating disposable bodyguard avatars to walk in front of highly-valued avatars, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365reby acting as "digital mine detectors?"

Wednesday, December 12, 2007

Incident Severity Ratings

Much of digital security focuses on pre-compromise activities. Not as much attention is paid to what happens once your defenses fail. My friend Bamm brought this problem to my attention when he discussed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 problem of rating cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 severity of an incident. He was having trouble explaining to his management cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 impact of an intrusion, so he asked if I had given any thought to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 issue.

What follows is my attempt to apply a framework to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 problem. If anyone wants to point me to existing work, please feel free. This is not an attempt to put a flag in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ground. We're trying to figure out how to talk about post-compromise activities in a world where scoring vulnerabilities receives far more attention.

This is a list of factors which influence cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 severity of an incident. It is written mainly from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 intrusion standpoint. In ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r words, an unauthorized party is somehow interacting with your asset. I have ordered cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 options under each category such that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 top items in each sub-list is considered worst, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 bottom is best. Since this is a work in progress I put question marks in many of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 sub-lists.

  1. Level of Control


    • Domain or network-wide SYSTEM/Administrator/root

    • Local SYSTEM/Administrator/root

    • Privileged user (but not SYSTEM/Administrator/root

    • User

    • None?


  2. Level of Interaction


    • Shell

    • API

    • Application commands

    • None?


  3. Nature of Contact


    • Persistent and continuous

    • On-demand

    • Re-exploitation required

    • Misconfiguration required

    • None?


  4. Reach of Victim


    • Entire enterprise

    • Specific zones

    • Local segment only

    • Host only


  5. Nature of Victim Data


    • Exceptionally grave damage if destroyed/altered/disclosed

    • Grave damage if destroyed/altered/disclosed

    • Some damage if destroyed/altered/disclosed

    • No damage if destroyed/altered/disclosed


  6. Degree of Friendly External Control of Victim


    • None; host has free Internet access inbound and outbound

    • Some external control of access

    • Comprehensive external control of access


  7. Host Vulnerability (for purposes of future re-exploitation


    • Numerous severe vulnerabilities

    • Moderate vulnerability

    • Little to no vulnerability


  8. Friendly Visibility of Victim


    • No monitoring of network traffic or host logs

    • Only network or host logging (not both)

    • Comprehensive network and host visibility


  9. Threat Assessment


    • Highly skilled and motivated, or structured threat

    • Moderately skilled and motivated, or semi-structured threat

    • Low skilled and motivated, or unstructured threat


  10. Business Impact (from continuity of operations plan)


    • High

    • Medium

    • Low


  11. Onsite Support


    • None

    • First level technical support present

    • Skilled operator onsite



Based on this framework, I would be most worried about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following -- stated very bluntly so you see all eleven categories: I worry about an incident where cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 intruder has SYSTEM control, with a shell, that is persistent, on a host that can reach cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 entire enterprise, on a host with very valuable data, with unfettered Internet access, on a host with lots of serious holes, and I can't see cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 host's logs or traffic, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 intruder is a foreign intel service, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 host is a high biz impact system, and no one is on site to help me.

What do you think?

Tuesday, November 06, 2007

More Unpredictable Intruders

Search my blog for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 term unpredictable and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 majority of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 results describe discussions of one of my three security principles, namely

Many intruders are unpredictable.

Two posts by pdp perfectly demonstrate this:

How many of you who are not security researchers even knew that data: or jar: protocols existed? (It's rhetorical, no need to answer in a comment.) Do you think your silver bullet security product knows about it? How about your users or developers?

No, this is anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r case where cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first time you learn of a feature in a product is in a description of how to attack it. This is why cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "ahead of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 threat" slogan at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 left is a pile of garbage. This is anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r example of Attacker 3.0 exploiting features devised by Developer 2.5 while Security 1.0 is still thinking about how great it is no big worms have hit since 2005. (The specific cases here are worse than Developer 2.5, since jar: and data: protocols are apparently old!)

How do I propose handling issues like this? As always, NSM is helpful. If you've been keeping track of what happens in your enterprise, you can perform some retrospective network analysis (RNA) to see if you've seen this latest attack vector. (RNA is a term which Network Instruments would like to have coined. I like it, even though cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 concept of recording traffic in this manner dates back to Todd Heberlein's original Network Security Monitor in 1988. The first mention I can quickly find is in this 1997 paper Netanalyzer: A retrospective network analysis tool.)

RNA and, from this point of enlightenment, ongoing network analysis via NSM and, ideally, ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r forms of instrumentation (logs, etc.) facilitates impact assessment. Who cares if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 sky is falling somewhere else, as reported in whatever online news story -- is your sky falling? If yes, what's cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 damage? How best can we mitigate and recover? These are cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 sorts of questions one can answer when some data is available, enabling management by fact and avoiding management by belief.

Tuesday, September 25, 2007

DHS Debacle

Thanks to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Threat Level story FBI Investigates DHS Contractor for Failing to Protect Gov't Computer I learned of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Washington Post story Contractor Blamed in DHS Data Breaches:

The FBI is investigating a major information technology firm with a $1.7 billion Department of Homeland Security contract after it allegedly failed to detect cyber break-ins traced to a Chinese-language Web site and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n tried to cover up its deficiencies, according to congressional investigators.

At cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 center of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 probe is Unisys Corp., a company that in 2002 won a $1 billion deal to build, secure and manage cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 information technology networks for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Transportation Security Administration and DHS headquarters. In 2005, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 company was awarded a $750 million follow-on contract.

On Friday, House Homeland Security Committee Chairman Bennie Thompson (D-Miss.) called on DHS Inspector General Richard Skinner to launch his own investigation.

As part of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 contract, Unisys, based in Blue Bell, Pa., was to install network-intrusion detection devices on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 unclassified computer systems for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 TSA and DHS headquarters and monitor cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 networks. But according to evidence gacá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365red by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 House Homeland Security Committee, Unisys's failure to properly install and monitor cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 devices meant that DHS was not aware for at least three months of cyber-intrusions that began in June 2006.

Through October of that year, Thompson said, 150 DHS computers -- including one in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Office of Procurement Operations, which handles contract data -- were compromised by hackers, who sent an unknown quantity of information to a Chinese-language Web site that appeared to host hacking tools.

The contractor also allegedly falsely certified that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 network had been protected to cover up its lax oversight, according to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 committee.

"For cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 hundreds of millions of dollars that have been spent on building this system within Homeland, we should demand accountability by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 contractor," Thompson said in an interview. "If, in fact, fraud can be proven, those individuals guilty of it should be prosecuted."


Wow. This is huge. I cannot remember any case like it. So what happened?

In cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 2006 attacks on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 DHS systems, hackers often took over computers late at night or early in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 morning, "exfiltrating" or copying and sending out data over hours -- in one case more than five hours, according to evidence collected by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 committee.

Five hours. That indicates one means of detecting this sort of activity: time-based analysis of session records.

In July 2006, a Unisys employee detected a possible intrusion but "downplayed it and low-level DHS security managers ignored it," cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 committee aide said.

It was not until Sept. 27, 2006, that two DHS systems managers noticed that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir machines had been accessed with a hacking tool.

Unisys information technology employees began a probe and determined that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 break-in affected more computers. They discovered that it reached back as far as June 13 that year and had continued through at least Oct. 1, eventually reaching 150 computers.

Among cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 security devices Unisys had been hired to install and monitor were seven "intrusion-detection systems," which flag suspicious or unauthorized computer network activity that may indicate a break-in. The devices were purchased in 2004, but by June 2006 only three had been installed -- and in such a way that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y could not provide real-time alerts, according to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 committee. The rest were gacá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ring dust in DHS storage closets and under desks in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir original packaging, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 aide said.
(emphasis added)

This explains a lot!

Let's finish with this thought:

A Unisys spokeswoman, Lisa Meyer... said that Unisys has provided DHS "with government-certified and accredited security programs and systems, which were in place throughout 2006 and remain so today."

Exactly. C&A has absolutely zero operational security value, as I wrote in FISMA 2006 Scores.

I commend cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Congressional committee tracking this problem and I welcome future reporting. I would love to be cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 expert witness in any trial between cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 government and Unisys, but that is outside cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 scope of my current employment!

Wednesday, September 12, 2007

Max Ray Butler in Trouble Again

In my first book I wrote cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following on p 170:

WHO WROTE PRIVMSG?

The author of Privmsg served one year in prison after pleading guilty in a U.S. District Court to a single count of computer intrusion. In May 1998 he compromised numerous government, military, and academic servers running BIND and installed back doors on those systems. He was caught thanks to skillful use of session data by analysts at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 AFCERT and by Vern Paxson from Lawrence Berkeley Labs. See http://www.lbl.gov/Science-Articles/Archive/bro-cyber.html for more information on Paxson’s use of Bro and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 “boastful and self-justifying” e-mail cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 intruder sent to Paxson. For details on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 intruder, see Wired’s account at http://www.wired.com/news/culture/0,1284,54838,00.html. Kevin Poulsen’s story at http://www.securityfocus.com/news/203 has more details.

The bottom line is it does not pay to infiltrate government machines -- especially Air Force servers or computers monitored by IDS researchers.


I didn't name Max Ray Butler (aka "Max Vision") as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 author of Privmsg, but if you followed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 stories you would have figured that out yourself.

I also didn't publicize this August 2002 post by Max to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 SecurityFocus Jobs mailing list, subject line bay area security professional, $6.75/hr... Please read below!:

Greetings security employers:

I have an unusual situation that I would like to describe to you, and in doing so I am asking that anyone who can immediately employ me in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 San Fransisco Bay Area, please read this email and consider taking advantage of my availablity and temporarily low cost.

I am...
o a seasoned professional with extensive security skills and experience
o a once convicted hacker (DOD, 1998)
o local to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 San Fransisco Bay Area, I live in Oakland
o willing to work for mimimum wage (for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 next two months)
o eager to work 60 hour weeks; I don't mind nights/weekends/holidays...

My Conviction (why I am desperate)

I am not proud of being convicted of a felony, but it is important that a potential employer know of my status. Apparently if you have FDIC insurance cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re is a clause stating that you cannot hire a convicted hacker on your projects. It is also because of my status that I am desperate for security-related or even internet-related work.

The truth is, I am living in a federal halfway house transitioning out of prison back into society. I have to find local work to meet cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir requirements, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y haven't approved any telecommute offers I have had so far. The director of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 facility told me that if I don't find a job in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 next week or so he will send me back to prison (my sentence actually ends October 12th)...

Sincerely,

Max Vision


That's one of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 saddest and most pacá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365tic posts I've ever read.

So where are we now, five years later? Check out Max Vision charged with hacking -- again:

In a five-count indictment unsealed on Tuesday, federal prosecutors allege that Butler ran a scheme to hack into computers at financial institutions and credit-card processing centers, stealing account information and selling cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data to ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs. Butler also ran cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 online carders' forum, CardersMarket, under cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 name "Iceman" and "Aphex" as a way to coordinate illegal activities and meet people with similar interests, according to an affidavit penned by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 U.S. Secret Service, which spearheaded cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 investigation...

During cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 16-month investigation, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Secret Service maintained two confidential informants, one of which was an administrator on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 CardersMarket forum. The informants gave cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 investigators an eye-opening view of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 inner workings of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 carders' world, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 affidavit stated.

Butler purportedly used at least five different handles -- including "Iceman," "Aphex," and "Digits" -- in an attempt to confuse law enforcement and keep his administrative activities on CardersMarket separate from his outright illegal activities, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 affidavit maintains...

A federal grand jury indicted Butler on charges of wire fraud and identity cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ft. If Butler is found guilty of all five charges, he could face up to 70 years in prison and a fine of $1.5 million, according to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 U.S. Attorney's Office in Pittsburgh. Butler is currently being held in San Francisco until he appears in court on Monday.


I know Mr Butler is innocent until proven guilty in US courts, but human evidence gacá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365red by informants is going to be tough to beat.

Show this post to your kids if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y think "[malicious] hacking is cool." If you think "[malicious] hacking is cool," remember Mr Butler's fate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 next time you break cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 law.

Tuesday, August 21, 2007

Marcus Ranum Highlights from USENIX Class

Because I was teaching at USENIX Security this month I didn't get to attend Marcus Ranum's tutorial They Really Are Out to Get You: How to Think About Computer Security. I did manage to read a copy of Marcus' slides.

Because he is one of my Three Wise Men of digital security, I thought I would share some of my favorite excerpts. Some of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 material paraphrases his slides to improve readability here.

  • Marcus asked how can one make decisions when likelihood of attack, attack consequences, target value, and countermeasure cost are not well understood. His answer helps explain why so many digital security people quote Sun Tzu:

    The art of war is a problem domain in which successful practitioners have to make critical decisions in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 face of similar intangibles.

    I would add that malicious adversaries are also present in war, but not present in certain ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r scenarios misapplied to security (like car analogies) where intelligent adversaries aren't present.

  • Marcus continues this thought by contrasting "The Warrior vs The Quant":

    Statistics and demographics (i.e., insurance industry analysis of automobile driver performance by group) [fails in digital security] because cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re is no enemy perturbing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 actuarial data... and "perturbing your likelihoods" is what an enemy does! It's "innovation in attack or defense. (emphasis added)

  • Marcus offers two definitions for security which I may quote in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 future:

    A system is secure when it behaves as expected; no less and certainly no more.

    A system is secure when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 amount of trust we place in it matches its trustworthiness.

  • Marcus debunks cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 de-perimeterization movement by explaining that a perimeter isn't just a security tool:

    A perimeter is a complexity management tool.

    In ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r words, a perimeter is a place where one makes a stand regarding what is and what is not allowed. I've also called that a channel reduction tool.

  • Here's an incredible insight regarding cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 many "advanced" inspection and filtering devices that are supposed to be adding "security" by "understanding" more about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 network and making blocking decisions:

    At a certain point cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 complexity [of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 firewall/filter] makes you just as likely to be insecure as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 original application.

    He says you're replacing "known bugs" (in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 app) with "unknown bugs" (in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "prevention" device).

  • I love this point:

    Insiders and counter-intelligence: What to do about insider threat?

    • Against professionals: lose

    • Against idiots: IDS (Idiot Detection System) works; detect stupidity in action


This is so true. I'd extend cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "idiot" paradigm furcá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r by adding EDS (Eee-diot Detection System). (Cue "Stimpy, you eee-diot!" if you need pronunciation help here.)
  • Finally, Marcus slams cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 idea that one can use an equation to quantify risk. He calls "Risk = Threat X Vulnerability X Asset Value" one wild guess times anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r wild guess times anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r wild guess. I agree with this but I would say cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 concept of separating out those variables helps one understand how Risk changes as one variable changes with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs held constant.

    Marcus also offers two approaches to dealing with risk:


    1. Think of all possible disasters, rank by likelihood, prepare for Top 10. (9/11 showed this doesn't work.

    2. Build nimble response teams and command/control structures for fast and effective reaction to threats as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y materialize.


  • Regarding number one, Marcus obviously thinks that is a waste of time. However, one could argue that if policymakers had paid attention to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 intelligence that was available and prepared, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 situation could have been different. That's where threat intelligence on capabilities and intentions and attack patterns can be helpful for modeling attacks.

    Regarding number two, I am so pleased to read this. It's why I'm building a CIRT at my new job. This comment also resonates with something Gadi Evron said during his talk on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "Estonia Cyberwar":

    No one is judged anymore by how cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y prevent incidents. Everyone gets hacked. Instead, organizations are judged by how cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y detect, respond, and recover.

    Thursday, August 16, 2007

    Breach Pain

    Several stories involving companies victimized by intruders came to light at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same time. It's important to remember not to blame cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 victim, like cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 fool editor at Slashdot implied by writing Contractor Folds After Causing Breaches. The company in question, Verus Inc., didn't "cause breaches" -- it suffered cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m. Some bad guy stealing data caused cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 breaches. Read Medical IT Contractor Folds After Breaches at Dark Reading for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 details.

    New details on TJX came to light this week in stories like TJ Maxx Breach Costs Soar by Factor of 10 (Company had to absorb $118M of losses in Q2 alone) and The TJX Effect. The second article says this:

    Poorly secured in-store computer kiosks are at least partly to blame for acting as gateways to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 company's IT systems, InformationWeek has learned. According to a source familiar with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 investigation who requested anonymity, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 kiosks, located in many of TJX's retail stores, let people apply for jobs electronically but also allowed direct access to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 company's network, as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y weren't protected by firewalls. "The people who started cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 breach opened up cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 back of those terminals and used USB drives to load software onto those terminals," says cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 source. In a March filing with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Securities and Exchange Commission,TJX acknowledged finding "suspicious software" on its computer systems.

    The USB drives contained a utility program that let cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 intruder or intruders take control of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se computer kiosks and turn cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m into remote terminals that connected into TJX's networks, according to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 source. The firewalls on TJX's main network weren't set to defend against malicious traffic coming from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 kiosks, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 source says. Typically, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 USB drives in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 computer kiosks are used to plug in mice or printers. The kiosks "shouldn't have been on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 corporate LAN, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 USB ports should have been disabled," cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 source says.


    You can expect me to advocate detection and rapid response, and I'm curious what this will produce: DARPA seeks innovations in network monitoring. Why isn't it "innovations in stopping attacks?" Because that doesn't work.

    Wednesday, July 18, 2007

    No Undetectable Breaches

    PaulM left an interesting comment on my post NORAD-Inspired Security Metrics:

    ...what if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 enemy has a stealth plane that we cannot detect via radar, satellite, wind-speed variance, or any ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r deployed means? And what if your intel doesn't tell us that such a vehicle exists? Then we have potentially millions of airspace breaches every year and our outcome metrics are not helping.

    I'm not disagreeing with you that outcome metrics are ideally better data than compliance metrics. However, outcome metrics are difficult to identify and collect data on, and it can be difficult to discern how accurate your metrics actually are.

    At least with compliance metrics, we can determine how good we are at doing what it is we say that we do. It has little relevance to operational security, but it's easy and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 auditors seem to like it.


    For cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 case of a single breach, or even several breaches, it may be possible for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m to happen and be completely undetectable. However, I categorically reject cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 notion that it is possible to suffer sustained, completely undetectable breaches and remain unaware of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 damage. If you are not suffering any damage due to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se breaches, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n why are you even trying to deter, detect, and respond to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first place?

    Let me put this in perspective by considering labels attached to classified information as designated by Executive Order 12356:

    (a) National security information (hereinafter "classified information") shall be classified at one of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following three levels:

    1. "Top Secret" shall be applied to information, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 unauthorized disclosure of which reasonably could be expected to cause exceptionally grave damage to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 national security.

    2. "Secret" shall be applied to information, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 unauthorized disclosure of which reasonably could be expected to cause serious damage to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 national security.

    3. "Confidential" shall be applied to information, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 unauthorized disclosure of which reasonably could be expected to cause damage to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 national security.


    We want to protect cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 confidentiality of classified information to avoid cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 losses described above. What happens if we suffered sustained breaches (cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365fts) of Top Secret data? Are we not going to detect that our national security concerns are being hammered, since we are suffering "exceptionally grave damage"?

    This is one way spies are unearcá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365d. If your missions are constantly failing because cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 enemy seems to know your plans, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n your suffering a breach you haven't detected it.

    Finally, if you are suffering breaches and your input-based metrics aren't detecting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m eicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r, what good are cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y? Talk about a real waste of money. "It's easy and auditors seem to like it?" Good grief.

    Friday, July 06, 2007

    ARP Spoofing in Real Life

    I teach various layer 2 attacks in my TCP/IP Weapons School class. Sometimes I wonder if students are thinking "That is so old! Who does that anymore?" In response I mention last year's Freenode incident where Ettercap was used in an ARP spoofing attack.

    Thanks to Robert Hensing's pointer to Neil Carpenter's post, I have anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r documented ARP spoofing attack. Here a malicious IFRAME is injected into traffic by ARP spoofing a gateway. We cover that in my Black Hat class, both of which are now officially full.

    Please remember that TCP/IP Weapons School is a traffic analysis class. I believe I cover cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 most complicated network traces presented in any similar forum. All you need to get cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 most out of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 class is a laptop running a recent version of Wireshark. The class is not about demonstrating tools or having students run tools. Ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r classes do a better job with that sort of requirement. The purpose of this class is to become a better network security analyst by deeply understanding how certain network-based attacks work. I provide all of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 information needed to replicate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attack if so desired, but that is not my goal.

    Tuesday, June 19, 2007

    More on Enterprise Data Centralization

    I'd like to respond to a few comments to my post Enterprise Data Centralization. The first paragraph includes cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following:

    However, I haven't written about a natural complement to thin client computing -- enterprise data centralization. In this world, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 thin client is merely a window to a centralized data store (sufficiently implemented according to business continuity processes and methods like redundancy, etc.).

    The bolded part is my answer to those who think my "centralization" plan means building cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Mocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r of All Storage Servers/Networks. Please. Do you think I would really advocate that? The bolded part is my shorthand for saying I do NOT mean to build cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Mocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r of All Storage Servers/Networks.

    Instead, I envision something similar to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 way Google operates. One of you used Google as an example of data decentralization. Sure, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data is decentralized at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 level of bits on media, but it's exceptionally centralized where it matters -- cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 user interface. I can access all of my Google-related content through one portal. If my data needed to be explored for ediscovery purposes, all you need is my Google login. Easy. That's cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 kind of centralization I'm talking about.

    That explanation should also calm those who think I'm building cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Mocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r of All Targets; i.e., nuke cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 primary and secondary data centers and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 whole company is dead. Again, you're thinking at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 level of bits and media. I'm thinking in terms of a single interface to all company data.

    Now you might be thinking that what I'm advocating isn't all that special. Consider this: do you have a single place to go for all of your company data? If you do, that is awesome. I doubt that it's cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 case for most of us, however. Unfortunately, we have to move in that direction if we wish to meet legal business requirements.

    Christopher Hoff used cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 term "agile" several times in his good blog post. I think "agile" is going to be thrown out cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 window when corporate management is staring at $50,000 per day fines for not being able to produce relevant documents during ediscovery. When a company loses a multi-million dollar lawsuits because cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 judge issued an adverse inference jury instruction, I guarantee data will be centralized from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n forward.

    The May 2007 ISSA Journal features a great article titled E-discovery: Implications of FRPC Changes on IT Risk Management by Bradley J. Schaufenbuel. It features this excerpt:

    Adverse inference jury instruction: If electronic evidence is not produced in a timely manner, a judge may instruct cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 jury to assume that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 missing evidence would have been adverse to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 party that failed to produce it. This will greatly diminish this party’s chances of legal success.

    Two highly visible examples include Zubulake v. UBS Warburg and Coleman v. Morgan Stanley. The defendant financial institutions in both lawsuits lost cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir cases due to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir failure to adequately produce e-mail evidence, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 resulting assumption that evidence was willfully destroyed or withheld. Laura Zubulake, a former UBS employee, was awarded $29 million in 2005 in her sexual discrimination lawsuit.

    And billionaire Ronald Perelman was awarded $1.45 billion in 2005 based on his claim that Morgan Stanley defrauded him in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 1998 sale of his company, camping goods manufacturer Coleman.


    Email provides a good example of a place to start centralizing data. Look at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 trouble cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 White House has created in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 story House Report Shows White House Officials Sent Thousands of Official Emails Using Outside Accounts.

    It's fine to be advocating Google Gears and all cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r Web 2.0 applications and systems. There's one force in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 universe that can slap all that down, and that's corporate lawyers. If you disagree, whom do you think has a greater influence on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 CEO: cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 CTO or cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 corporate lawyer? When cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 lawyer is backed by stories of lost cases, fines, and maybe jail time, what hope does a CTO with plans for "agility" have?

    Incidentally, I wouldn't be promoting centralization if I thought it was impossible. Centralization was a word in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first sentence cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 GE CTO said to me during out first meeting.

    Web-Centric Short-Term Incident Containment

    You may have read Large Scale European Web Attack from Websense and ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r news sources. One or more Italian Web hosting companies have been compromised, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 contents of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Web sites cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y host have been modified.

    Malicious IFRAMEs like cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 one below are being added to Web sites. These IFRAMEs like to malicious code hosting by a third party under cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 control of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 intruder. When an innocent Web browser visits cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 compromised Web site, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 browser is attacked by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 contents of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 IFRAME. This is not a new problem. I responded to an intrusion in 2003 that used cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same technique. It's cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 reason why I discussed having cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 capability to use an extrusion method to modify traffic as it leaves a site. This is an example of Short Term Incident Containment. This technique does not remediate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 compromised Web sites or Web servers. It does help clean malicious traffic before it reaches Web browsers. I suggest using Netsed or Snort in inline mode to replace cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malicious IFRAME with something benign. It would be helpful to have this sort of capability widely deployed as an application-level incident response tool.

    Note: I do not use Gentoo. However, Gentoo's package site nicely provides images for all cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 tools in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir repository. When one is trying to write slides and add images that have some relationship with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 material at hand, Gentoo's "package boxes" make nice additions.

    As a preventative measure on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Web client side, Greg Castle's Whitetrash would help prevent cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 third-party content being loaded into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 IFRAME.

    On a somewhat related note, I am glad to see developments like that from Palo Alto Networks, described by Dark Reading. It's a firewall that makes blocking decisions based on application recognition, not port number. Parts of this functionality are available elsewhere, but eventually all network blocking and inspection products will make decisions using cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same method.

    Friday, April 20, 2007

    Initial Thoughts on Digital Security Hearing

    Several news outlets are reporting on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 hearing I mentioned in my post When FISMA Bites. There following excerpts appear in Lawmakers decry continued vulnerability of federal computers:

    The network intrusions at State and Commerce follow years of documented failure to comply with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Federal Information Security Management Act (FISMA), which requires agencies to maintain a complete inventory of network devices and systems. Government and industry officials at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 hearing acknowledged a disconnect between FISMA's intent and effecting improved network security.

    "The current system that provides letter grades seems to have no connection to actual security," said Rep. Zoe Lofgren, D-Calif.
    (emphasis added)

    WOW -- does Zoe Lofgren read my blog?

    Some lawmakers are considering whecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Department of Homeland Security should be given primary responsibility for overseeing federal network security, but officials at DHS and elsewhere suggested that wouldn't be cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 best idea. Noting that DHS has not performed well on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 annual FISMA report card and has not implemented all of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 recommendations put forth for improved analysis and warning capabilities for attacks, Greg Wilshusen, director of information security issues at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Government Accountability Office, said it would be problematic from an organizational standpoint to put DHS in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 position of compelling ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r agencies to comply.

    I agree DHS is not in a position to defend cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 entire Federal government, but centralized network security is a good idea when skilled defenders are in short supply and high demand. It's clear that some agencies are not capable of defending cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365mselves, while ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs do a better job. Perhaps a "center of excellence" model might work, where an agency with a very good monitoring team might watch cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 entire network. Anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r agency with a very good red team might assess cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 whole network, and so on.

    Furcá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r news about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 State intrusion appears in Response to May-July 2006 Cyber Intrusion on Department of State Computer Network and State Department got mail -- and hackers.

    It's important to note that State was compromised by a zero-day, and a patch from Microsoft took eight weeks to be appear.

    The article Intruders infect 33 US government computers with Trojans talks about a compromise an cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Department of Commerce:

    [T]he cyberintrusion affecting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Commerce Department's Bureau of Industry and Security systems was first noticed last July, when a Bureau of Industry and Security deputy under secretary reported being locked out of his computer. An investigation showed that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system had been compromised and someone had installed malicious code on it that was causing it to make unauthorised attempts to access anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r computer on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 bureau's network...

    Investigations also showed that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 infected system had attempted to access two external IP address[es] after business hours when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 computer was no longer being used...

    Over cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 next 10 days or so, investigators at Bureau of Industry and Security noticed about 10 ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r computers making similar attempts to connect with suspicious IP addresses. By 18 August, 32 cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 bureau systems and one non-bureau system had tried to communicate with at least 11 suspicious IP addresses...

    To date, an analysis of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 forensic data has shown no evidence that information was actually stolen, despite cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 compromises, Jarrell said. At cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same time, it remains unclear just when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first breach occurred or for how long intruders might have had access to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Bureau’s systems.


    That's interesting. The initial incident is found through non-technical means ("Hey, my PC no workie!") but extrusion detection would have noticed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 outbound connections. If BIS had been collecting session data cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y would have known when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first attempt to access those external IPs occurred, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365reby helping to scope cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 incident.

    Tuesday, April 17, 2007

    When FISMA Bites

    After reading State Department to face hearing on '06 security breach I realized when FISMA might actually matter: combine repeated poor FISMA scores (say three F's and one D+) with publicly reported security breaches, and now Congress is investigating cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 State Department:

    In a letter sent to Secretary of State Condoleeza Rice on April 6, committee Chairman Bennie Thompson asked cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 department to provide specific information regarding how quickly department security specialists detected cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attack, whecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 department knows how long cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attackers had access to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 network and what ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r systems may have been compromised during cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attack. The three-page letter also asks cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 department to provide evidence that it completely eliminated any malicious software cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attackers may have planted, as well as documentation of all of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 communications between State and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Department of Homeland Security regarding cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 incident.

    I'm going to keep an eye on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Subcommittee on Emerging Threats, Cybersecurity, and Science and Technology to see what is published on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se matters. It's ironic that FISMA scores really have nothing to do with State's problems, and no aspect of FISMA can answer any of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 questions cited above.

    Thursday, March 29, 2007

    Remember that TJX Is a Victim

    Eight years ago this week news sources buzzed about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Melissa virus. How times change! Vulnerabilities and exposures are being monetized with astonishing efficiency cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se days. 1999 seems so quaint, doesn't it?

    With cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 release of TJX's 10-K to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 SEC all news sources are discussing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ft of over 45 million credit cards from TJX computers. I skimmed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 10-K but didn't find details on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 root cause. I hope this information is revealed in one of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 lawsuits facing TJX. Information on what happened is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 only good that can come from this disaster.

    It's important to remember that TJX is a victim, just as its customers are victims. The real bad guys here are cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 criminals who compromised TJX resources and stole sensitive information. TJX employees may be found guilty of criminal negligence, but that doesn't remove cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 fact that an unauthorized party attacked TJX and stole sensitive information. Unfortunately I believe cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 amount of effort directed at apprehending cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 offenders will be dwarfed by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 resources directed at TJX. That will leave those intruders and ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs like cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m to continue preying on ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r weak holders of valuable information.

    Update: At least US credit card holders don't have it as bad as our friends in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 UK.

    Wednesday, March 21, 2007

    When Lawsuits Attack

    I haven't said anything about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 intrusions affecting TJX until now because I haven't felt cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 need to contribute to this company's woes. Today I read TJX Faces Suit from Shareholder:

    The Arkansas Carpenters Pension Fund owns 4,500 shares of TJX stock, and TJX denied its request to access documents outlining cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 company's IT security measures and its response to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data breach.

    The shareholder filed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 lawsuit in Delaware's Court of Chancery Monday afternoon under a law permitting shareholders to sue for access to corporate documents in certain cases, The Associated Press reported. The pension fund wants cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 records to see whecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r TJX's board has been doing its job in overseeing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 company's handling of customer data, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 news agency said.


    Imagine having your security measures and incident response procedures laid bare for everyone to see. (It's possible cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re might not be anything to review!) How would your policies and procedures fare?

    The following sounds like many incidents I've investigated.

    The TJX breach was worse than first thought, TJX officials recently admitted. The company initially believed that attackers had access to its network between May 2006 and January 2007. However, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ongoing investigation has turned up evidence that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 thieves also were inside cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 network several ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r times, beginning in July 2005.

    Originally cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 company was compromised for nine months, but now cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 scope could reach almost a year prior. The question is whecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r this is evidence of compromise by anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r group or cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same group. In eicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r case cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 company's security posture looks terrible.

    The sad part about this sort of incident is that most if not all of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 preventative systems TJX might have applied are worthless for response and forensics. I'm guessing TJX is relying on host-centric forensics like analysis of MAC times of files on artifacts on victim servers to scope cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 incident. I bet TJX is paying hundreds of thousands of dollars in investigative consulting right now, beyond cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 damage to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir brand and ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r technical and financial recovery costs.

    Hopefully cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se lawsuits will shed some light on TJX's security practices so ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r companies can learn from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir mistakes. This is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 sort of incident that my future National Digital Security Board would do well to investigate and report.

    Friday, December 22, 2006

    Zone-H Explains Defacement

    Web site defacement mirror Zone-H posted a revealing report on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 recent defacement of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir own site. The intrusion resulted from a combination of human and technical failures.

    The moral of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 story is that anyone can be compromised, because cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attacker has cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 initiative. The attacker is usually more motivated and has more time, and resources than cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 defender. In a world where anyone can be compromised, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re is no excuse for not monitoring and preparing for incident response. Every digital resource is a future victim.

    The "solution" to intrusions is analog: arresting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 intruders. It is not technical.

    Monday, November 20, 2006

    Security, A Human Problem

    I don't play Second Life or any video games cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se days. If I had cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time I would play Civ IV. Neverthless, virtual worlds like SL are becoming increasingly interesting, as demonstrated by today's attack of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 killer rings (pictured at left), also known as a "grey goo" attack.

    This comment in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 accompanying Slashdot post explains that it's possible for a rogue user to exploit vulnerabilities in Second Life and introduce code that peforms a sort of denial of service attack on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 game. The attack occurs when game participants decide to interact with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 gold rings shown in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 thumbnail from this site. It's similar to human penetration testers leaving USB tokens or CD-ROMs at a physical world place of business and waiting for unsuspecting employees to see what's on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m.

    This story illustrates two points. First, it demonstrates that client-side attacks remain a human problem and less of a technical problem. Second, I expect at some point cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se virtual worlds will need security consultants, just like cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 physical world. I wonder if someone could write a countermeasure at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 individual player level for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se sorts of attacks?

    Update: Here's a YouTube video.

    Wednesday, July 19, 2006

    Israeli Incident Response Report

    Incident responders from Beyond Security published an interesting report (.pdf) explaining cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir involvement in a recent defacement of an Israeli Web site. I read cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 report but was surprised to not see any mention of shutting down access to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Web site upon discovering cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 intrusion. There was no question of compromise -- cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 image above shows what happened to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Web site. Consider cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following excerpt from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 report.

    [T]he web site in question was defaced by Team Evil and action had to be taken immediately. There was no time to perform a full forensic investigation. What cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attacked organization required was a real-time forensic analysis of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attack in order to contain damage and respond accordingly, with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following operational goals in mind:

    1. Stop cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 continuing damage being inflicted as soon as possible by kicking out cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attackers who were damaging cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 site while analysis was done.

    2. Prevent furcá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r access from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attackers.

    3. Determine what hole cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attackers used to get in, and seal it.

    While cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se goals are sequential, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y had to be done simultaneously to be successful as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attackers were at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same time performing counter-measures and attacking back.

    It was a fight between cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attackers who were already in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 incident response personnel on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ground with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 help of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 local system administrator.


    "No time" for a forensic investigation? Try shutting down cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Web server's switch port. It sounds like cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 intruders were active while cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 IR team worked:

    While examining cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 second web GUI tool we noticed that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re was currently a user trying to use cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 exploit. At this stage we no longer had a system administrator present, nor access to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attacked machine. (emphasis in original)

    Again, shut down cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 switch port. Is this cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "uptime argument?" Who needs uptime when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 public is visiting a defaced Web server?

    No wonder cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 intruders were active -- cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 defenders were visiting a potentially hostile Web site:

    We soon located cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 tool on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 web page... Looking at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir site provided anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r clue.

    If cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 victims were visiting an intruder's Web site during cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 incident response, that's an easy way to tip off cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attackers that defense is taking place.

    Finally, observe how cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 IR team finally tried to take control of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 victim:

    Left with no ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r alternative and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 organization's approval, we used cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 intruders' web GUI tool to retrieve cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 MySQL password and used it to get into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 forum database and escalate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 permission of a user under our control to an administrator status (probably like cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 intruders cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365mselves have done...).

    Use an intruder's tool to remove cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 intruder? Wow.

    IR is certainly a fluid experience, but I think some basic rules were violated during this scenario. Still, I'm very happy to see Beyond Security share its story. The report itself contains a ton of technical details and I highly recommend everyone read it. It's been a while since I've read anything like it.