Showing posts with label offense. Show all posts
Showing posts with label offense. Show all posts

Friday, January 05, 2018

Spectre and Meltdown from a CNO Perspective

Longtime readers know that I have no problem with foreign countries replacing American vendors with local alternatives. For example, see Five Reasons I Want China Running Its Own Software. This is not a universal principle, but as an American I am fine with it. Putting my computer network operations (CNO) hat on, I want to share a few thoughts about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 intersection of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 anti-American vendor mindset with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 recent Spectre and Meltdown attacks.

There are probably non-Americans, who, for a variety of reasons, feel that it would be "safer" for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m to run cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir cloud computing workloads on non-American infrastructure. Perhaps cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y feel that it puts cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir data beyond cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 reach of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 American Department of Justice. (I personally feel that it's an over-reach by DoJ to try to access data beyond American borders, eg Microsoft Corp. v. United States.)

The American intelligence community and computer network operators, however, might prefer to have that data outside American borders. These agencies are still bound by American laws, but those laws generally permit exploitation overseas.

Now put this situation in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 context of Spectre and Meltdown. Begin with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attack scenario mentioned by Nicole Perlroth, where an attacker rents a few minutes of time on various cloud systems, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n leverages Spectre and/or Meltdown to try to gacá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r sensitive data from ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r virtual machines on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same physical hardware.

No lawyer or judge would allow this sort of attack scenario if it were performed in American systems. It would be very difficult, I think, to minimize data in this kind of "fishing expedition." Most of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data returned would belong to US persons and would be subject to protection. Sure, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re are conspiracy cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365orists out cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re who will never trust that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 US government follows its own laws. These people are sure that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 USG already knew about Spectre and Meltdown and ravaged every American cloud system already, after doing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "Intel Management Engine backdoors."

In reality, US law will prevent computer network operators from running cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se sorts of missions on US cloud infrastructure. Overseas, it's a different story. Non US-persons do not enjoy cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same sorts of privacy protections as US persons. Therefore, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 more "domestic" (non-American) cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 foreign target, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 better. For example, if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 IC identified a purely Russian cloud provider, it would not be difficult for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 USG to authorize a Spectre-Meltdown collection operation against that target.

I have no idea if this is happening, but this was one of my first thoughts when I first heard about this new attack vector.

Bonus: it's popular to criticize academics who research cybersecurity. They don't seem to find much that is interesting or relevant. However, academics played a big role in discovering Spectre and Meltdown. Wow!

Sunday, December 28, 2014

Don't Envy cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Offense

Thanks to Leigh Honeywell I noticed a series of Tweets by Microsoft's John Lambert. Aside from affirming cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 importance of security team members over tools, I didn't have a strong reaction to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 list -- until I read Tweets nine and ten. Nine said cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following:


9. If you shame attack research, you misjudge its contribution. Offense and defense aren't peers. Defense is offense's child.

I don't have anything to say about "shame," but I strongly disagree with "Offense and defense aren't peers" and "Defense is offense's child." I've blogged about offense over cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 years, but my 2009 post Offense and Defense Inform Each Ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r is particularly relevant. John's statements are a condescending form of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 phrase "offense informing defense." They're also a sign of "offense envy."

John's last Tweet said cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following:



10. Biggest problem with network defense is that defenders think in lists. Attackers think in graphs. As long as this is true, attackers win

This Tweet definitely exhibits offense envy. It plays to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 incorrect, yet too-common idea, that defenders are helpless drones, while cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 offense runs circles around cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m thanks to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir advanced thinking.

The reality is that plenty of defenders practice advanced thinking, while even nation-state level attackers work through checklists.

At cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 high end of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 offense spectrum, many of us have seen evidence of attackers running playbooks. When cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir checklist ends, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 game may be up, or cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y may be able to ask cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir supervisor or mentor for assistance.

On cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r end of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 spectrum, you can enjoy watching videos of lower-skilled intruders fumble around in Kippo honeypots. I started showing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se videos during breaks in my classes.

I believe several factors produce offense envy.

  1. First, many of those who envy cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 offense have not had contact with advanced defenders. If you've never seen advanced defenders at work, and have only seen mediocre or nonexistent defense, you're likely to mythologize cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 powers of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 offense.
  2. Second, many offense envy sufferers do not appreciate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 restrictions placed on defenders, which result in advantages for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 offense. I wrote about several of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se in 2007 in Threat Advantages -- namely initiative, flexibility, and asymmetry of interest and knowledge. (Please read cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 original post if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 last two prompt you to think I have offense envy!)
  3. Third, many of those who glorify offense hold false assumptions about how cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 black hats operate. This often manifests in platitudes like "cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 bad guys share -- why don't cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 good guys?" The reality is that good guys share a lot, and while some bad guys "share," cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y more often steal, back-stab, and inform on each ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r.


It's time for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 offensive community to pay attention to people like Tony Sager, who ran cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Vulnerability Analysis and Operations (VAO) team at NSA. Initially Tony managed independent blue and red teams. The red team always penetrated cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 target, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n dumped a report and walked away.

Tony changed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 dynamic by telling cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 red team that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir mission wasn't only to break into a victim's network. He brought cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 red and blue teams togecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r under one manager (Tony). He worked with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 red team to make cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m part of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 defensive solution, not just a way to demonstrate that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 offense can always compromise a target.

Network defenders have cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 toughest job in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 technology world, and increasingly cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 business and societal worlds. We shouldn't glorify cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir opponents.

Note: Thanks to Chris Palmer for his Tweet -- "He [Lambert] reads like a defender with black hat drama envy. Kind of sad." -- which partially inspired this post.

Tuesday, June 26, 2012

More Disclosure of Vulnerabilities in Attacker Tools

Two years ago I wrote Full Disclosure for Attacker Tools, where I wrote in part:

The idea of finding vulnerabilities in tools used by attackers is not new. It's part of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 larger question of aggressive network self defense that I first discussed here in 2005 when reviewing a book of that title. (The topic stretches back to 2002 and before, before this blog was born.) If you follow my blog's offense label you'll see ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r posts, such as More Aggressive Network Self Defense that links to an article describing Joel Eriksson's vulnerability research into Bifrost and ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r remote access trojans.

What's a little more interesting now is seeing Laurent Oudot releasing 13 security advisories for attacker tools. Laurent writes:

For example, we gave (some of) our 0days against known tools like Sniper Backdoor, Eleonore Exploit Pack, Liberty Exploit Pack, Lucky Exploit Pack, Neon Exploit Pack, Yes Exploit Pack...

In cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 post I addressed some of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 issues involved, but a recent development involving cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 popular Poison Ivy (PI) remote administration tool (RAT) brought cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 debate back to life.

Today I became aware of Gal Badishi's Monday post Own And You Shall Be Owned. In cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 post he writes:

We will now present a fully working exploit for all Windows platforms (i.e., bypassing DEP and ASLR), allowing a computer infected by Poison Ivy (or any computer, for that matter) to assume control of PI’s C&C server...

In light of this analysis, a Metasploit module without encryption is being prepared.

"C&C server" means "Command and Control server," or cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system operated by an intruder to control cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 multitude of victim systems on which he installed PI.

On cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 surface it may seem cool that "good guys" can now attack "bad guy" infrastructure thanks to this research. However, I think it's important to weigh cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 pros and cons of this disclosure of vulnerabilities in attacker tools.

Reasons One Should Disclose Vulnerabilities in Attacker Tools

  1. Intruders already know about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 vulnerabilities anyway.
  2. Good guys already know about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 vulnerabilities anyway.
  3. Publicizing, and especially weaponizing (via Metasploit), this vulnerability gives good guys a way to strike back at bad guy infrastructure.
  4. "Information wants to be free." Trying to protect cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 info from disclosure is a losing game.
  5. If good guys didn't know about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 vulnerabilities, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y now can put cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m to work attacking intruder infrastructure for "active defense" and "research" purposes.
  6. There's no place to disclosure vulnerabilities in attacker tools "responsibly" anyway.
Reasons One Should Not Disclose Vulnerabilities in Attacker Tools
  1. Not all intruders know about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 vulnerabilities, or perhaps none do.
  2. By publicizing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 vulnerabilities, it tips cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 intruders to defend cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir infrastructure by patching.
  3. Good guys who previously had access to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 infrastructure lose access once cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 intruders upgrade cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir vulnerable software.
  4. A researcher just saved intruders time and resources by providing free software security and quality assurance services.
  5. Information doesn't have to leak. Many organizations keep secrets, even without cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 infrastructure of classified systems.
  6. There are several private, vetted mailing lists that do a reasonably good job keeping information confidential, while providing benefit to defenders.
I tend to think it's a bad idea to publicize vulnerabilities in intruder tools for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 reasons I listed, but I see cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r side as well. My biggest concern is that researchers don't weigh cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se issues, or given cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m enough thought, prior to publishing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir findings. What do you think?

Wednesday, July 27, 2011

SQL Injection Challenge and Time-Based Security

Thanks to this Tweet by @ryancbarnett, I learned of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 lessons learned of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Level II component of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ModSecurity SQL Injection Challenge.

As stated on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 challenge site, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 goal is "To successful execute SQLi against cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 scanning vendor demo websites and to try and evade cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 OWASP ModSecurity CRS." The contestants need to identify a SQL injection vector within one of four demo websites, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n enumerate certain information from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 target.

As also stated on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 challenge page, "Winners of this level will be anyone who is able to enumerate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data listed above for each demo app without triggering an Inbound ModSecurity Alert. If ModSecurity sees any inbound attacks or outbound application defects/info leakages, it will prepend a warning banner to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 top of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 page."

This is interesting, but what caught my attention is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time-based security metrics describing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 results of Level II of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 challenge. I'll reproduce cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 relevant section here:

Hacking Resistance (Time-to-Hack)

Many people wrongly assume that installing a Web Application Firewall will make cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir sites "Hack Proof." Sadly, this is not reality. The real goal of using a web application firewall should be to gain visibility and to make your web applications more difficult to hack meaning that it should take attackers significantly more time to hack a vulnerable web site with a WAF in front in blocking mode vs. if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 WAF was not present at all.

The idea is to substantially increase cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "Time-to-Hack" metric associated with compromising a site in order allow for operational security to identify cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 threat and take appropriate actions...

With this in mind, we analyzed how long it took for each Level II winner to develop a working evasion for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 CRS v2.2.0. We are basing this off of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 correlated IP address in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 logs that was tied to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 final evasion payloads submitted to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ModSecurity team. We also saw that many Level II winners actually tested cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir payloads using cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 CRS Demo page so we had to correlate test payloads cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re as well.

Avg. # of Requests to find an evasion: 433
Avg. Duration (Time to find an evasion): 72 hrs
Shortest # of Requests to find an evasion: 118
Shortest Duration (Time to find an evasion): 10 hrs

This data shows that having active monitoring and response capabilities of ongoing web attacks is paramount as it may only a matter of hours before a determined attacker finds a way through your defenses.

I [Ed: Ryan, not Richard] realize that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re are a multitude of variables and conditions involved where people can say that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se numbers are off (eicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r too high or too low) depending on your defenses and attacker skill level. Keep in mind that this metric was obtained from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ModSecurity WAF using mainly a negative security model ruleset. The point of presenting this data, however, is to have some form of metric available for active web application monitoring and defense discussions related to exploitation timelines.


What a great use of empirical data to make a point about security! Like Ryan says, you can argue about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 rating of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 intruder (does 10 hours really reflect a skilled intruder?) or cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 defenses (is ModSecurity really sufficient?). I'd answer that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y those aspects of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 challenge are sound enough to use as benchmarks for a certain portion of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 threat community and state-of-cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365-practice for defenses.

Ten hours, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n, represents cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 window of time between when an intruder would first start trying to compromise cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Web app, and when he succeeded. That means cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 IR team has no more than 10 hours to detect cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 activity and take action to close cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 window of vulnerability. That's a tall order, but we have a metric now based on more than hand-waving that we can use to start a discussion of capabilities.

On a related note, this is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 sort of activity that a red team could undertake to simulate threat action and identify IR team effectiveness.

Sunday, June 20, 2010

Full Disclosure for Attacker Tools

The idea of finding vulnerabilities in tools used by attackers is not new. It's part of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 larger question of aggressive network self defense that I first discussed here in 2005 when reviewing a book of that title. (The topic stretches back to 2002 and before, before this blog was born.) If you follow my blog's offense label you'll see ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r posts, such as More Aggressive Network Self Defense that links to an article describing Joel Eriksson's vulnerability research into Bifrost and ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r remote access trojans.

What's a little more interesting now is seeing Laurent Oudot releasing 13 security advisories for attacker tools. Laurent writes:

For example, we gave (some of) our 0days against known tools like Sniper Backdoor, Eleonore Exploit Pack, Liberty Exploit Pack, Lucky Exploit Pack, Neon Exploit Pack, Yes Exploit Pack...

If you're not familiar with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se sorts of tools, see an example described by Brian Krebs at A Peek Inside cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ‘Eleonore’ Browser Exploit Kit.

Why release cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se advisories?

It's time to have strike-back capabilities for real, and to have alternative and innovative solutions against those security issues.

I agree with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 concept, but not necessarily with releasing "advisories" for attacker tools. Laurent claims cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se are "0days". This would imply cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 developers of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se attacker tools did not know about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 vulnerabilities. By publishing advisories, attackers now know to fix cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m. Assuming "customers" heed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 advisories and update cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir software, this process has now denied security researchers and ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs who conduct counter-intruder operations access to attacker sites. This is tactically counterproductive from a white hat point of view.

On cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r hand, developers of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se attacker tools might already know about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 vulnerabilities, and might have already patched cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m. In this case, publishing advisories is more about creating some publicity for Laurent's new company and for his talk last week. (Did anyone see it?)

I like cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 idea of taking cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 fight to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 enemy. Security researchers are already penetrating attacker systems to infiltrate botnet command and control servers and do ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r counter-intruder operations. These activities increase cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 black hat cost to conduct intrusions, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 more resources cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attackers have to divert to defending cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir own infrastructure, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 fewer resources cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y can direct at compromising victims.

However, disclosing details of vulnerabilities in attacker tools is likely to not work in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 white hat's favor. White hats are bound by restrictions like laws and rules that black hats routinely break. Announcement of a vulnerability in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Eleonore exploit kit is not going to unleash a wave of activity against black hats like announcement of a vulnerability in Internet Explorer. It's likely that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 few researchers and ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs wearing white hats will not learn much from a public announcement due to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir independent research, while mass-targeting attackers (who historically are not great developers cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365mselves) will disproportionately benefit from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 disclosure.

What do you think? Should white hat researchers publish security advisories for black hat tools?

Sunday, June 21, 2009

Offense and Defense Inform Each Ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r

If you've listened to anyone talking about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Top 20 list called cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Consensus Audit Guidelines recently, you've probably heard cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 phrase "offense informing defense." In ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r words, talk to your Red Team / penetration testers to learn how cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y can compromise your enterprise in order to better defend yourself from real adversaries.

I think this is a great idea, but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re isn't anything revolutionary about it. It's really just one step above cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 previous pervasive mindset for digital security, namely identifying vulnerabilities. In fact, this neatly maps into my Digital Situational Awareness ranking. However, if you spend most of your time writing policy and legal documents, and not really having to deal with intrusions, this idea probably looks like a bolt of lightning!

And speaking of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Consensus Audit Guidelines: hey CAG! It's cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 year 2000 and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 SANS Top 20 List wants to talk to you!

The SANS/FBI Top Twenty list is valuable because cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 majority of successful attacks on computer systems via cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Internet can be traced to exploitation of security flaws on this list...

In cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 past, system administrators reported that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y had not corrected many of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se flaws because cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y simply did not know which vulnerabilities were most dangerous, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y were too busy to correct cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m all...

The Top Twenty list is designed to help alleviate that problem by combining cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 knowledge of dozens of leading security experts from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 most security-conscious federal agencies, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 leading security software vendors and consulting firms, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 top university-based security programs, and CERT/CC and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 SANS Institute.


Expect at some point to hear Beltway Bandits talking about how we need to move beyond talking to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Red Team and how we need to see who is actively exploiting us. Guess what -- that's where cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 detection and response team lives. Perhaps at some point cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se "thought leaders" will figure out cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 best way to defend cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 enterprise is through counterintelligence operations, like cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 police use against organized crime?

For now, I wanted to depict that while it is indeed important for offense to inform defense, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 opposite is just as critical. After all, how is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Red Team supposed to simulate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 adversary if it doesn't know how cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 adversary operates? A good Red Team can exploit a target using methods known to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Red Team. A great Red Team can exploit a target using methods known to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 adversary. Therefore, I created an image describing how offense and defense inform each ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r. This assumes a sufficiently mature, resourced, and capable set of security teams.



This post may sound sarcastic but I'm not really bitter about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 situation. If we keep making progress like this, in 3-5 years cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 mindset of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 information security community will have evolved to where it needed to be ten years ago. I'll keep my eye on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Beltway Bandits to let you know how things proceed.


Richard Bejtlich is teaching new classes in Las Vegas in 2009. Regular Las Vegas registration ends 1 July.

Monday, June 08, 2009

Counterintelligence Options for Digital Security

As a follow-up to my post Digital Situational Awareness Methods, I wanted to expand on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 idea of conducting counterintelligence operations, strictly within cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 digital security realm. I focus almost exclusively on counter-criminal operations, as opposed to actions against nation-states or individuals.

Those of you who provide security intelligence services (SIS), or subscribe to those services, may recognize some or all of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se. By SIS I am not talking about vulnerability notices repackaged from ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r sources.

Note that some of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se approaches can really only be accomplished by law enforcement, or by collaboration with law enforcement. Even taking a step into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 underground can be considered suspicious. Therefore, I warn blog readers to not try implementing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se approaches unless you are an experienced professional with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 proper associations. The idea behind this post is to explain what could be done to determine what one sort of adversary (primarily cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 criminal underground) knows about your organization. It obviously could be extended elsewhere but that is not cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 focus of this post.

  1. See who is selling or offering to sell your information or access to your information. This approach is similar to identifying places where credit cards or personally identifiable information are sold. Stepping into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 underground and seeing where your company is mentioned is one way to estimate how prevalent your data might be outside your control. This is a passive approach.

  2. Solicit cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 underground for your organization's data or for access to your organization. By taking this step you ask if anyone would be able to provide stolen data or access to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 organization. This is a dangerous step because it may motivate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 underground to go looking for data. On cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r hand, if your data is freely available you're simply unearthing it. This is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 active approaches.

  3. Penetrate adversary infrastructure. By this step I mean gaining entry or control of command-and-control channels or ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r mechanisms cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 adversary uses to exploit victim organizations. Security intelligence services do this all cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time, but gaining access to a server owned by anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r organization is fairly aggressive.

  4. Infiltrate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 adversary group. An underground organization usually functions as a team. It might be possible to infiltrate that group to learn what it knows about your organization. Acting with law enforcement would be cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 only real way to more or less "safely" accomplish this task.

  5. Pose as an individual underground member. In this capacity, ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r criminals with access to your organization's data might come to you. This is exceptionally dangerous too and would only be done in collaboration with law enforcement.


None of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se steps are new; you can review success stories posted by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 FBI and ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r organizations to know cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y work. However, I post cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m here to reinforce that asset-centric mindset and not just cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 vulnerability-centric mindset in digital security.


Richard Bejtlich is teaching new classes in Las Vegas in 2009. Regular Las Vegas registration ends 1 July.

Thursday, May 07, 2009

Thoughts on Cyber Command

I've been blogging about various cyber command proposals for a few years, but right now cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re is some real movement at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 combatant command level. Ellen Nakashima's article Cyber-Command May Help Protect Civilian Networks offers cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 latest details.

The Pentagon is considering whecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r to create a new cyber-command that would oversee government efforts to protect cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 military's computer networks and would also assist in protecting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 civilian government networks, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 head of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 National Security Agency said yesterday [Tuesday].

The new command would be headquartered at Fort Meade, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 NSA's director, Lt. Gen. Keith B. Alexander, told cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 House Armed Services terrorism subcommittee.

Alexander, who is a front-runner to assume control of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 command if it is created, said its focus would be to better protect cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 U.S. military's computers by marrying cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 offensive and defensive capabilities of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 military and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 NSA.

Through cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 command, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 NSA would also provide technical support to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Department of Homeland Security, which is in charge of protecting civilian networks and helps safeguard cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 energy grid and ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r critical infrastructure from cyber-attack, Alexander said.

He stressed that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 NSA does not want to run or operate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 civilian networks, but help Homeland Security improve its efforts...

As proposed by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Pentagon, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 command would fall under cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 U.S. Strategic Command, which is tasked with defending against attacks on vital interests.


The highlighted sections reinforce number 2 of my Predictions for 2008 made in December 2007. A few months prior I argued that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 US Needs Cyber NORAD.

The written testimonies are posted on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 U.S. House of Representatives, House Armed Services Committee Web site.

The new Cyber Command will most likely be a subordinate unified command under US Strategic Command.

I'd like to briefly respond to Robert Graham's post Why Cyber Commands Fail. He says in part:

What cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 military wants is a hacker squad that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y can give a specific objective, and have cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 hackers carry out that objective within a specific timeframe. For example, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y might tell hackers to take out Iran's radar at midnight so that fighter jets can enter cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir airspace a few minutes later to bomb cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir nuclear plants. That's not going to work.

What you could do is tell hackers to go after Iran and do whatever cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y can to disrupt cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir nuclear developments. One hacker might find a way to shut down safety controls and cause a nuclear meltdown, anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r might jam cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 centrifuges, anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r might change cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 firmware on measuring equipment to incorrect measure cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 concentration of U238.

Or, you could give cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 hackers six months to infiltrate Iran's computers, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n come back with a list of options. Maybe disabling cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 radar system will be one of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m, maybe not. But that's not cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 sort of thing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 military is tasked to do - that's more an intelligence operation cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 CIA would be doing..

China and Russia understand this. They don't directly employ hackers or tell cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 hackers to accomplish certain goals. They let cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 hackers have free range to do whatever cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y want. If cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 hackers come across something interesting, such as plans for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Joint Strike Fighter, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 government buys it, but no government official ever told cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 hackers specifically to steal those plans...

So how can cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 United States get in on this sort of asymmetric warfare action?

The first thing is that you have to stoke some sort of nationalism in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 way that Russia and China do. I'm not sure this is in our character (especially under cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 current president), however, so we'd probably have to find some alternative. Instead of pro-USA nationalism we could instead focus on human rights activism. The government could spend a lot of time talking to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 press about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 sorts of human rights abuses that go on in Russia and China. Get our own USA hackers thinking about human rights as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir own causus belli.

The second thing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y need to do is create a climate where our own hackers can operate. I would gladly hack into Iranian computers, but I'm not sure how this fits into US law...

This would be similar to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "letters of mark and reprisal" used by governments during cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 1700s. In those days, national navies were too small to patrol cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 entire ocean. Therefore, governments licensed privateers to prey upon a hostile nation's shipping. The privateers kept half cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 booty, and gave cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r half to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir respective government. This is essentially what China and Russia have done.

A third thing our military would need to do is train our hackers in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 target language. Foreign hackers usually learn English, but American hackers rarely learn foreign languages, especially Russian, Chinese, or Farsi (Iranian). If we want to encourage our hackers to go after those countries in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same way cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y come after us, we need to encourage cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m to learn those languages...

The fourth thing our military would need to do is fix cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir horrid purchasing processes...

Note that I think cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 individuals who run our military are very, very smart. I've met several generals and colonels who understand this. The problem is that while individuals are smart, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 organization is dumb as a rock. The organization crushes precisely cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 sort of creative thinking need to have a successful "cyber" offensive capability.


Robert has a lot of good ideas here. In Air Force Cyber Panel I talked about a clash of models between cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 United States and places like China. On cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 one hand we have a military-industrial complex supported by a vast contracting force vs a country with a true "people's army," containing uniformed military, semi-military, and pure civilians who work with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs to achieve broadly common goals.

I don't think we will ever see any official support for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 privateer concept. China doesn't even recognize cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir own people's involvement in hacking, since cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y frequently repeat cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 line that "China doesn't support hacking."

The major benefit I see from a Cyber Command is providing a career path and organizational support for military personnel. Until that exists many people who would want to be in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 military doing cyber operations will reach a point where leaving cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir service is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir best option.


Richard Bejtlich is teaching new classes in Las Vegas in 2009. Regular Las Vegas registration ends 1 July.

Saturday, December 13, 2008

Indian Navy Demonstrates that Offense Stops Pirates

Clearly cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Indian Navy doesn't understand vulnerability-centric security. If cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y did, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y wouldn't have captured 23 pirates "who tried to take over a merchant vessel in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Gulf of Aden, between cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Horn of Africa and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Arabian Peninsula." They also wouldn't have "exchanged fire with a pirate "mocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r vessel" off cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 hijacking-plagued Horn of Africa, leaving cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ship ablaze." Someone needs to teach cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se Indian sailors that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 best way to stop pirates is to "build security in" when merchants construct ships!

I guess cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Indians read my Offense Kills Pirates post. Maybe cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y decided to Take cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Fight to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Enemy. Whatever cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 reason, good for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m. Instead of commercial shippers being cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 only party suffering higher costs in this piracy environment (due to losses, higher insurance, increased salaries, etc.), now it's more expensive for pirates too.

Yo ho ho, pirates. We're coming for you soon. When will we take cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same attitude to cyber pirates?*

*Note: I don't mean those cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 RIAA/MPAA calls "pirates."


Richard Bejtlich is teaching new classes in DC and Europe in 2009. Register by 1 Jan and 1 Feb, respectively, for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 best rates.

Monday, November 03, 2008

The Best Cyber-Defense...

I've previously posted Taking cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Fight to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Enemy and Taking cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Fight to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Enemy, Revisited. I agreed with sentiments like cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following, quoted in my posts:

The best defense against cyberattacks on U.S. military, civil and commercial networks is to go on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 offensive, said Marine Gen. James Cartwright, commander of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Strategic Command (Stratcom), said March 21 in testimony to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 House Armed Services Committee.

“History teaches us that a purely defensive posture poses significant risks,” Cartwright told cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 committee. He added that if “we apply cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 principle of warfare to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 cyberdomain, as we do to sea, air and land, we realize cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 defense of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 nation is better served by capabilities enabling us to take cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 fight to our adversaries, when necessary, to deter actions detrimental to our interests...”


I found this idea echoed in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 book Enemies: How America's Foes Steal Our Vital Secrets--and How We Let It Happen by Bill Gertz which I mentioned in Counterintelligence: Worse Than Security?. The author argues that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 best way to protect a nation's intelligence from enemies is to attack cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 adversary's intelligence services. In ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r words, conduct aggressive counterintelligence to find out what cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 enemy knows about you. When you know what cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 enemy knows about you, you fight a more informed battle. You may even be able to alter his perception of you, and avoid a fight altogecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r.

I think Joe Stewart's latest post, Tracking Gimmiv, illustrates this point very well. Joe isn't a .mil or .gov operative, so he can't bomb anyone or put cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m in jail. He can conduct research operations, however, to learn cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 truth about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 enemy's capabilities. Joe writes:

On October 23, 2008, Microsoft released an out-of-cycle emergency patch for a flaw in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Windows RPC code. The reason for this unusual occurance was cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 discovery of a “zero-day” exploit being used in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 wild by a worm (or trojan, depending on how you look at it). The announcement of a new remote exploit for unpatched Windows systems always raises tension levels among network administrators. The fact that this one was already being used by a worm evoked flashbacks of Blaster and Sasser and ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r previous threats that severely impacted cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 networked world.

But, unlike cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se past worms, Gimmiv turned out to have infected scarcely any networks at all...

Because of some mistakes made by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 author(s) of Gimmiv, third parties were able to download cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 logfiles of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Gimmiv control server. Although most of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 logs is AES-encrypted, we were able to find cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 key hardcoded in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Gimmiv binary and decrypt cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data.

Although it has been reported that Gimmiv is a credential-stealing trojan, this functionality is actually not used - cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 gacá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365red data is never sent. What is sent is simply basic system information, such as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Windows version, IP and MAC address, Windows install date/time and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 default system locale. Using this data we were able to track exactly how many computers had been infected prior to October 23rd (after this time infection counts are somewhat skewed due to malware researchers all over cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 world investigating Gimmiv). As it turns out, only around 200 computers were infected since cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time Gimmiv was actively deployed on September 29, 2008...

Additionally, a zip file left behind on one of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 control servers contained Korean characters in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 compressed folder name. For cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se two reasons, we believe Gimmiv’s author is probably from South Korea.
(emphasis added)


Joe took cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 fight to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 enemy. This is what most malware researchers do; cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y infiltrate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 adversary's systems to figure out what is happening. This isn't a task for novices, but it does yield excellent results.

Joe's work isn't strictly counterintelligence, since he is probably not opposing a foreign intelligence service. Speaking of counterintelligence, I noticed this August article New Unit of DIA Will Take cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Offensive On Counterintelligence about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Defense Counterintelligence and Human Intelligence Center:

The Defense Intelligence Agency's newly created Defense Counterintelligence and Human Intelligence Center is going to have an office authorized for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first time to carry out "strategic offensive counterintelligence operations," according to Mike Pick, who will direct cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 program...

In strategic offensive counterintelligence operations, a foreign intelligence officer is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 target, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 main goals most often are "to gacá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r information, to make something happen . . . to thwart what cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 opposition is trying to do to us and to learn more about what cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y're trying to get from us," [Toby] Sullivan [director of counterintelligence for James R. Clapper Jr., cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Undersecretary of Defense for Intelligence] said.
(emphasis added)

I found cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 transcript of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 news conference contained this section mentioning cyber:

Q: Could you talk about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 threats that you guys are sort of arrayed against? I’m thinking China has got to be high on your list. They seem to be in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 news a lot for particularly defense technology, espionage. And I’m wondering where you fit into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 whole cyber initiative that seems to be – so could you just talk about those and ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r things that you’re particularly focused on?

MR. SULLIVAN: The cyber initiative – cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re are ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r parts of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 department that are responsible for protecting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 IT systems of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 department. The counterintelligence role in that – and we do have a role – is to provide some analysis and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n, quite frankly, from an offensive capability, it provides us anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r venue to perhaps engage cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 enemy. But we don’t have a role in protecting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 systems, if you will. There are ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r folks in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 department that do that. As far as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 threats, we had cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Cold War threats and we have cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 today threats. There hadn’t been a whole lot of change over cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 last 20 or 30 years.


It will be interesting to (not) see how this new organization develops.

Friday, May 16, 2008

Offense Kills Pirates

I just finished watching a great program on my favorite channel (The History Channel) called True Caribbean Pirates. It traces cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 story of piracy in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Caribbean from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 16th through cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 early 18th centuries. I was mostly interested in learning how cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 great powers of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 day dealt with this problem, since I blogged about modern Pirates in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Malacca Strait and 18th and 19th century pirates off cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Barbary Coast.

If many modern information security practitioners had been tasked with protecting commerce in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 face of piracy, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y would probably have bought ever more elaborate but largely ineffective defensive measures.

Instead, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 royal navies of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 area decided to hunt down pirates and hang cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m. Sure, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 pirates continued cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir raids for a long time, but eventually cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 main players (England, France, Spain, Holland) stopped warring amongst cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365mselves and directed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir offensives against cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 pirates.

We're not going to see any fundamental changes in information security until those we elect to protect our rights rise to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 task and go on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 offensive. Private companies (especially modern ones) aren't in a position to "strike back" against threats -- that's cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 role for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 police and militaries of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 world. It's time to kill some pirates, not leave "critical infrastructure protection" to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "private sector."

For related thoughts please see last year's post Taking cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Fight to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Enemy Revisited.

Friday, April 11, 2008

More Aggressive Network Self-Defense

Some of you might remember this book from my 2005 review. I thought of it after reading Security Guru Gives Hackers a Taste of Their Own Medicine. From cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 article:

Malicious hackers beware: Computer security expert Joel Eriksson might already own your box.

Eriksson, a researcher at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Swedish security firm Bitsec, uses reverse-engineering tools to find remotely exploitable security holes in hacking software. In particular, he targets cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 client-side applications intruders use to control Trojan horses from afar, finding vulnerabilities that would let him upload his own rogue software to intruders' machines.

He demoed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 technique publicly for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first time at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 RSA conference Friday.


You might remember a similar story from Def Con 2005:

New research released at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 DefCon conference suggests that not only is it important to apply patches to fix security flaws in commonly used computer software, but that patch installation is important for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 very tools hackers and security professionals frequently use to break into (or test cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 security of) computer networks.

According to new findings by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 venerable hacker ninjas known as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Shmoo Group, some of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 most popular tools used by hackers and security professionals to infiltrate and test cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 security of targeted networks contain serious flaws that defenders could use to turn cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 tables on hackers.


Three years ago in my post about ANSD I wrote:

I disagree with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 strike-back idea, as I believe it steps over cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 line into vigilante justices.

I'm less sure about that now. In cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 three years that have passed, security has gotten worse, government ability to deter and/or defeat intruders has not improved, and intruders have become more sophisticated. If we continue to sit on our hands waiting for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 cavalry to arrive, it will be too late. (It already is too late for most companies anyway; cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y're owned.)

Disruption of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 command-and-control mechanisms used to control compromised hosts is not something I recommend for everyone, but it would certainly push some attackers off-balance. They would suddenly start to incur some of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same costs that defenders spend on trying to develop more secure software. I think it's time for some of us to consider cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se offensive techniques.

Incidentally, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ActiveResponse.org site I mentioned in 2005 appears to be collecting links to papers and studies on active response.

Sunday, October 21, 2007

Counterintelligence and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Cyber Threat

Friday I attended an open symposium hosted by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Office of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 National Counterintelligence Executive (ONCIX). It was titled Counterintelligence and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Cyber Threat and featured speakers and panels from government, law enforcement, industry, legal, and academic organizations. I attended as a representative of my company because our CSO, Frank Taylor, participated in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 industry panel.

If you're not familiar with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 term counterintelligence, let me reproduce a section from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 OCNIX Web site:

Counterintelligence is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 business of identifying and dealing with foreign intelligence threats to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 United States. Its core concern is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 intelligence services of foreign states and similar organizations of non-state actors, such as transnational terrorist groups. Counterintelligence has both a defensive mission — protecting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 nation's secrets and assets against foreign intelligence penetration — and an offensive mission — finding out what foreign intelligence organizations are planning to better defeat cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir aims.

I also recommend reading cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 National Counterintelligence Strategy of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 United States, 2007 (.pdf) which states:

Our adversaries -- foreign intelligence services, terrorists, foreign criminal enterprises and cyber intruders -- use overt, covert, and clandestine activities to exploit and undermine US national security interests. Counterintelligence is one of several instruments of national power that can thwart such activities, but its effectiveness depends in many respects on coordination with ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r elements of government and with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 private sector.

During cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Cold War, our nation's adversaries gained access to vital secrets of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 most closely guarded institutions of our national security establishment and penetrated virtually all organizations of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 US intelligence and defense communities. The resulting losses produced grave damage to our national security in terms of secrets compromised, intelligence sources degraded, and loves lost, and would have been catastrophic had we been at war.
(emphasis added)

Minor note 1: if we were not at war during cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "Cold War," cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n why is it called a "War"? I believe cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 people who died fighting would call it a war.

Minor note 2: foreign intelligence services, terrorists, and foreign criminal enterprises are all specific parties. "Cyber intruders" are more often one of those previous parties. Those who perform digital attacks but do not fall into one of those three categories are usually script kiddies or recreational hackers, and should not be explicitly mentioned as counterintelligence targets. My guess is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 report considers cyber-instantiated threats to be serious enough to somehow mention explicitly, but not enough intellectual rigor was applied to this sentence (like cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Cold War section).

Major note: does cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 section about penetrating virtually all organizations of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 US intelligence and defense communities surprise you? When I attended Air Force intelligence school in 1996-1997, one of our first instructors said:

"Most, if not all of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 classified material you will see in your career has already been compromised. However, we have to act as if it's not."

I remembered thinking "What?!?" With hindsight, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 more I hear about spies found inside government agencies, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 more I understand that statement.

I found cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 symposium fascinating, so I'd like to share a few thoughts. Dr. Joel Brenner, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 National Counterintelligence Executive, provided plenty of noteworthy comments. He said that counterintelligence is not security.

  • A security person sees a hole in a fence and wants to patch it.

  • A CI person sees a hole in a fence and wants to understand who created it, how it is being abused, and if it can be turned into an asset to use against cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 adversary.


Dr. Brenner said about 140 foreign intelligence surveillance organizations currently target cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 United States. Three strategic issues are at play:

  1. Threats to sovereign (US) networks, especially in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 cyber domain. Dr. Brenner said There is growing acceptance that we face a cyber counterintelligence problem, not a security problem. I agree with this, and will have more to say about it in a future blog entry. He stressed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 alteration attack (racá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r than cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 disclosure or destrucion attacks) as being cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 major problem facing US networks.

  2. Acquisition risk, i.e., supply chain risks. Dr. Brenner said we need technically literate lawyers and policymakers to address cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se risks.

  3. Collaboration, or cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 lack cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365reof. Dr. Brenner notes that out current "cooperation model" is a function of our "classification model," resulting in an antiquated system that serves no one well.


One of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 most interesting comments was this:

Industry talks risk management but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y really do risk acceptance, not risk mitigation.

How true that is!

Chris Inglis, Deputy Director of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 NSA and a fellow USAFA grad, used a term I liked with regard to fighting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 cyber adversary. He said we need to outmaneuver cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 adversary, not solve security problems. I love this because it implies "security" can't be "solved," and it provides a reason to review maneuver warfare as a way to counter cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 adversary.

John McClurg, Vice President for security at Honeywell, described his "validated data" approach to obtaining business buy-in for security initiatives. He collects data to support a security program and presents it to managers as a means to justify his work. This sounds a lot like showing evidence that a business unit is owned or about to be owned. I like this idea and my work with NSM would help provide such data.

Scott O’Neal, Chief Computer Intrusion Section, Cyber Division, FBI, said The adversary is clearly ahead of security. This is a fact we have to accept. This echoes statements I made earlier this year and at ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r times. The FBI addresses intrusions through three points of view: CT (counterterrorism), CI (counterintelligence) and criminal.

I'll have more to say on this subject in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 months ahead.

Wednesday, April 18, 2007

Threat Advantages

My post Fight to Your Strengths listed some of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 advantages a prepared enterprise might possess when facing an intruder. I thought it helpful to list a few advantages I see for intruders.

  • Initiative: By virtue of being on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 offensive, intruders have cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 initiative. Unless threats are being apprehended, prosecuted, and incarcerated, intruders are free to pick cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 victim, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time and nature of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attack, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 means of command and control (if desired), and many ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r variables. Defenders can limit cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 enemy's freedom of maneuver, but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 intruder retains cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 initiative.

  • Flexibility: Intruders have extreme flexibility. Especially on targets where stealth is not a big deal, intruders can experiment with a variety of exploitation and control tools and tactics. Defenders, on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r hand, have to take special care when applying patches, performing memory- or host-based forensics, and ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r administrative duties. Defenders have to conform to organizational policies and user demands. Intruders (to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 degree cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y don't want to be noticed) are much freer.

  • Asymmetry of Interest: This may be controversial, but in my experience intruders are much more interested in gaining and retaining control (or accomplishing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir mission, whatever it is) than defenders may be in stopping cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attack. A dedicated attacker can inflict damage, withdraw for two weeks while defenders scramble to assess and repair, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n return when "incident fatigue" has degraded cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 incident response team and system administrators. Defenders usually have a lot on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir plate besides incident handling, whereas intruders can be obsessively focused on attacking and controlling a target.

  • Asymmetry of Knowledge: This may also be controversial, but skilled intruders (not script kiddies) may know more about target software and applications than some of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 developers who write cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m, never mind cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 administrators who deploy cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m. This is especially true of incident handlers, who are supposed to be "experts in everything," but are lucky to at least be "conversant" in victimized applications and systems. Often cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first time security staff learn of a new service is when that service is compromised.


Notice cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se last two intruder strengths come from having cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 flexibility to decide what to attack. This is particularly true of targets of opportunity. When an incident involves a specific target, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 playing field may be more level. The intruder has to exploit whatever is available, not that in which he or she may have specialized experience.

Again, comments with ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r ideas are appreciated.

Update: From Hackers get free reign to develop techniques says Microsoft security chief:

"Part of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 picture is bleak. In cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 online world, cyber criminals can do cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir research for as long as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y want in absolute security and secrecy cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y're done cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y can take cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir exploit, find a way to automate it and post it on a Web site where thousands or millions of ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r criminals can download it," said Scott Charney, vice president of Trustworthy Computing at Microsoft, in Redmond, Wash...

Charney, speaking at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Aucá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ntication and Online Trust Alliance Summit, said that technology and procedures for defeating online attacks and finding hackers has advanced by leaps and bounds since his days at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Department of Justice in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 1990s. But, he added that in some respects cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 fight against online criminals is not a fair one. The attackers have all cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 world, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 cooperation of ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r hackers and a virtually limitless number of potential targets. Law enforcement agents, meanwhile, are governed by strict guidelines and in many cases are hampered by a lack of available data once a crime has been committed.

Anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r challenge for security specialists and law enforcement is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 patchwork of state and federal laws in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 United States, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 lack of any cybercrime laws in a number of foreign countries. Given cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 global nature of cybercrime and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 fact that hackers often attack systems in a number of different countries at once, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se hurdles can often stop promising investigations before cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y really get started.

Fight to Your Strengths

Recently I mentioned cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 History Channel show Dogfights. One episode described air combat between fast, well-turning, lightly-armored-and-gunned Japanese Zeroes and slower, poor-turning, heavily-armored-and-gunned American F6F Hellcats. The Marine Top Gun instructor/commentator noted cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 only way cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Hellcat could beat cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Zero was to fight to its strengths and not fight cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 sort of battle cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Zero would prefer. Often this meant head-to-head confrontations where cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Hellcat's superior armor and guns would outlast and pummel cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Zero.

When I studied American Kenpo in San Antonio, TX, my instructor Curtis Abernathy expressed similar sentiments. He said "Make cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 opponent fight your fight. Don't try to out-punch a boxer. Don't try to out-kick a kicker. Don't try to wrestle a grappler." And so on.

I thought about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se concepts today waiting in anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r airport. I wondered what sorts of strengths network defenders might have, and if we could try forcing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 adversary into fighting our fight and not cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365irs.

Here are some preliminary thoughts on strengths network defenders might have, and how cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y can work against intruders.

  • Knowledge of assets: An intruder pursuing a targeted, server-side attack will often try to locate a poorly-configured asset. The act of conducting reconnaissance to locate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se assets results in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 opponent fighting your fight -- if you and/or your defensive systems possess situational awareness. It is not normal for remote hosts to sweep address space for active hosts or individual hosts for listening services. Defenders who manually or automatically take defensive actions when observing such actions can implement blocks that will at least frustrate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 observed source IP.

  • Knowledge of normal behavior: An intruder who compromises an asset will try to maintain control of that asset. This may take cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 form of an outbound IRC-based command-and-control channel, an inbound or outbound encrypted channel, or many ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r variations. To cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 extend that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 intruder does not use a C&C channel that looks like normal behavior for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 victim, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 intruder is fighting your fight. Whenever you constrain network traffic by blocking, application-aware proxying, and throttling, you force cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 intruder into using lanes of control that you should architect for maximum policy enforcement and visibility.

  • Diversity: Targets running Windows systems or PHP-enabled Web applications are much more likely to be compromised and manipulated by intruders. Attack tools and exploits for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se platforms are plentiful and well-understood by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 enemy. If you present a different look to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 intruder, you are making him fight your fight. An intruder who discovers a target running an unknown application on an unfamiliar OS is, at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 very least, going to spend some time researching and probing that target for vulnerabilities. If you possess situational awareness, diversity buys time for defensive actions.

  • Situational awareness: A well-instrumented network will possess greater knowledge of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 battlespace than an intruder. A network architected and operated with visibility in mind provides greater information on activity than one without access to network traffic. Unless cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 intruder implements his own measures to expand his visibility (compromising a switch to enable a SPAN port, controlling a router, etc.), cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 defender will know more about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 scope of an attack than cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 intruder. Of course, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 intruder will have absolute knowledge of his activities because he is executing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m, possibly via an encrypted channel.


These are some initial ideas recorded in an airport. I may augment cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m as time permits.

Notice that if you don't know your assets or normal behavior, if you run cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same vanilla systems as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 rest of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 world, and you don't pay attention to network activity, you have zero strengths in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 fight beyond (hopefully) properly configured assets. We all have those, right?

At cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 risk of involving myself in a silly debate, I'd like to briefly mention how cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se factors affect cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 decision to run OpenSSH on a nonstandard port. Apparently several people with a lot of free time have been vigorously arguing that "security through obscurity" is bad in all its forms, period. I don't think any rational security professional would argue that relying only upon security through obscurity is a sound security policy. However, integrating security through obscurity with ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r measures can help force an intruder to fight your fight. Here's an example.

I'm sure you've seen many brute force login attacks against OpenSSH services over cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 past year or two years. I finally decided I'd seen enough of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se on my systems, so I moved sshd to nonstandard ports. Is that security through obscurity? Probably. Have I seen any more brute force attacks against sshd since changing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 port? Nope. As far as I'm concerned, a defensive maneuver that took literally 5 seconds per server has been well worth it. My logs are not filling with records of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se attacks. I can concentrate on ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r issues.

Now, what happens if someone really takes an interest in one or more of my servers? In order to find sshd, he needs to port scan all 65535 TCP ports. That activity is going to make him fight my fight, because scanning is way outside cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 normal profile for activity involving my servers. Will he eventually find sshd? Yes, unless my systems automatically detect cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 scan and block it. Are cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re ways to make cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 intruder's ability to connect to sshd even more difficult? Sure -- take a look at Mike Rash's Single Packet Authorization implementations. The bottom line is that a defensive action which cost me virtually nothing has increased cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 amount of work cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 intruder must perform to attack sshd.

If I knew my action to change sshd's port could be discovered by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 intruder with minimal effort (perhaps cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y have visibility of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 change via illicit monitoring) cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n obscurity has been lost and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 change is not worthwhile.

As a final thought, it's paramount to consider cost when making security decisions. If altering cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 sshd port had required buying new software licenses, hardware, personnel training, etc., it would not have been worth cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 effort.

I would be interested in hearing your thoughts on ways to get cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 intruder to fight your fight. These are all strictly defensive measures, since offense is usually beyond cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 rules for most of us.

Thursday, April 05, 2007

Taking cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Fight to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Enemy Revisited

I just read Bruce Schneier's essay Security Matters: Vigilantism Is a Poor Response to Cyber Attack. He's commenting on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 news I discussed in Taking cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Fight to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Enemy:

As reported in Federal Computer Week, Cartwright said: "History teaches us that a purely defensive posture poses significant risks," and that if "we apply cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 principle of warfare to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 cyberdomain, as we do to sea, air and land, we realize cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 defense of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 nation is better served by capabilities enabling us to take cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 fight to our adversaries, when necessary, to deter actions detrimental to our interests..."

Of course, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 general is correct. But his reasoning illustrates perfectly why peacetime and wartime are different, and why generals don't make good police chiefs.

A cyber-security policy that condones both active deterrence and retaliation -- without any judicial determination of wrongdoing -- is attractive, but it's wrongheaded, not least because it ignores cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 line between war, where those involved are permitted to determine when counterattack is required, and crime, where only impartial third parties (judges and juries) can impose punishment.

In warfare, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 notion of counterattack is extremely powerful. Going after cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 enemy -- its positions, its supply lines, its factories, its infrastructure -- is an age-old military tactic. But in peacetime, we call it revenge, and consider it dangerous. Anyone accused of a crime deserves a fair trial. The accused has cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 right to defend himself, to face his accuser, to an attorney, and to be presumed innocent until proven guilty...

I'm glad General Cartwright thinks about offensive cyberwar; it's how generals are supposed to think. I even agree with Richard Clarke's threat of military-style reaction in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 event of a cyber-attack by a foreign country or a terrorist organization. But short of an act of war, we're far safer with a legal system that respects our rights.
(emphasis added)

I think Bruce is wrong on two counts. The first requires you to decide if you think cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 United States is currently engaged in "cyberwar." I think we are close enough to cyberwar to authorize deterrence and offensive activities. The FCW article Bruce cites also said cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following:

The Stratcom commander told cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 committee that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 United States is under widespread, daily attacks in cyberspace. He added that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 country lacks dominance in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 cyberdomain and that it could become “increasingly vulnerable if we do not fundamentally change how we view this battle space.” (emphasis added)

The term I highlighted is important and it may not be significant to those without .mil experience. Dominance of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 battlespace is a tenet of American warfare. It's cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 reason we are very good at obliterating enemies (and probably less good at rebuilding cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m). (Note: please spare me any political responses here. I am not trying to make a political statement. I am speaking based on wearing a uniform for 11 years and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 doctrine and training associated with that experience.)

For example, various states of control describe how cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Air Force views warfare in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 aerospace domain:

  • Air parity: control of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 skies only above friendly troop positions

  • Air superiority: control whereby friendly forces can act without prohibitive interference by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 opposing force

  • Air supremacy: a degree of air superiority wherein cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 opposing air force is incapable of effective interference


Based solely on open source threat reports (open source meaning in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 press and unclassified, not OSI licensed!), cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Air Force (and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 entire .mil/.gov) doesn't even have "air parity." This means we are losing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 battle in a domain that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Air Force, military, and national security apparatus considers crucial. The Air Force and DoD are acting because we do not even have control of our own "airspace." I'm looking forward to seeing what cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Air Force Cyberspace Command does later this year when activated.

The second reason Bruce is wrong involves his excessively pacifist attitude. He says "going after cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 enemy... in peacetime [is] revenge." This is not true. Police forces routinely run sting operations, raid suspected crystal meth labs, and take plenty of ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r offensive activities to remove threats before cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y continue to perpetrate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir crimes. Police also patrol cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 streets, projecting force and control and deterring crimes.

While I agree that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 military is not a police force, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 military is currently cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 only force with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ability to take cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 fight to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 enemy. Police forces are barely able to address a limited number of defensive investigations. They have zero capability to run anything ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r than "to catch a predator"-type sting operations.

The bottom line is we losing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 battle in cyberspace and something has to change. We cannot code, block, or patch our way out of this situation.

Friday, March 23, 2007

Taking cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Fight to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Enemy

ShmooCon started today. ShmooCon leader Bruce Potter finished his opening remarks by challenging cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 audience to find anyone outside of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 security community who cares about security. I decided to take his idea seriously and I thought about it on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Metro ride home.

It occurred to me that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 digital security community fixates on vulnerabilities because that is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 only aspect of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Risk Equation we can influence. Lines of business control assets, so we can't decrease risk by making assets less valuable. (That doesn't even make sense.) We do not have cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 power or authority to remove threats, so we can't decrease risk by lowering cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attacks against our assets. (Threat mitigation is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 domain of law enforcement and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 military.) We can only address vulnerabilities, but unless we develop cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 asset ourselves we're stuck with whatever security cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 vendor provided.

I would like to hear if anyone can imagine anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r realm of human endeavor where cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 asset owner or agent is forced to defend his own interests, without help from law enforcement or cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 military. The example can be historical, fictional, or contemporary. I'm reminded of Wells Fargo stagecoaches being robbed as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y crossed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 West, forcing WF to hire private guards with guns to defend company assets in transit. As a fictional example, Sherlock Holmes didn't work for Scotland Yard; victims hired cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Great Detective to solve crimes that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 authorities were too slow or unwilling to handle.

As I've said many times before, we are wasting a lot of time and money trying to "secure" systems when we should be removing threats. I thought of this again last night while watching Chris Hansen work with law enforcement to take more child predators off cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 streets. Imagine if I didn't have law enforcement deterring and jailing criminals like that. I'd have to wrap my kids in some sort of personal tank when I send cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m to school, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y'd still probably end up in harm's way. That's cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 situation we face on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Internet. There's no amount of bars over windows, high fences, or ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r defenses that will stop determined intruders. Removing or deterring cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 intruders is history's lesson.

This FCW article has cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 right idea:

The best defense against cyberattacks on U.S. military, civil and commercial networks is to go on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 offensive, said Marine Gen. James Cartwright, commander of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Strategic Command (Stratcom), said March 21 in testimony to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 House Armed Services Committee.

“History teaches us that a purely defensive posture poses significant risks,” Cartwright told cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 committee. He added that if “we apply cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 principle of warfare to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 cyberdomain, as we do to sea, air and land, we realize cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 defense of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 nation is better served by capabilities enabling us to take cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 fight to our adversaries, when necessary, to deter actions detrimental to our interests...”

The Stratcom commander told cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 committee that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 United States is under widespread, daily attacks in cyberspace. He added that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 country lacks dominance in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 cyberdomain and that it could become “increasingly vulnerable if we do not fundamentally change how we view this battle space.”


Put me in, coach. I'm ready to play, today.

Thursday, April 27, 2006

Analog Security is Threat-Centric

If you were to pass cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 dark alley in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 image at left, I doubt you would want to enter it. You could imagine all sorts of nasty encounters that might deprive you of property, limb, or life. Yet, few people can imagine cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 sorts of danger cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y encounter when using a public PC terminal, or connecting to a wireless access point, or visiting a malicious Web site with a vulnerable browser.

This is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 problem with envisaging risk that I discussed earlier this week. Furcá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rmore, security in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 analog world is much threat-centric. If I'm walking near or in a dark alley, and I see a shady character, I sense risk. I don't walk down cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 street checking myself for vulnerabilities, ignoring cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 threats watching me. ("Exposed neck? Could get hurt cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re. Bare hands? Might get burnt by acid." Etc...)

It seems like cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 digital security model is like an unarmed combatant in a war zone. Survivability is determined solely by vulnerability exposure, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attractiveness of one's assets to a threat, and any countermeasures that might disrupt threats.

In cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 analog world, one can employ a variety of tactics to improve survivability. Avoiding risky areas is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 easiest, but let's assume one has to enter dangerous locations. A potential victim could arm himself, eicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r using a weapon or martial arts. He could travel in groups, hire a bodyguard, or enlist cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 police's aid.

The term "hack-back" crops up in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 digital scenario. This is really not a useful approach, because hacking cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system attacking you does absolutely nothing to address cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 real threat -- cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 criminal at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 keyboard.

In cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 analog world, consider cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 consequences for "hacking back." If you shoot an assailant, you'll have to explain yourself to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 police or potentially a court of law. You probably can't shoot someone for simply being on your property, but you can if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y threaten or try to harm you.

On a related note, we need some means to estimate threat level in a systematic, repeatable manner. When I say "threat" I mean threat, not vulnerability. Something like a system of distributed honeypots with distinct configurations might be helpful. Time-to-exploit for a given patch set might be tracked. I know cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Honeynet Project periodically issues reports on how long it takes to 0wn a box, but it might be neat to see this in a regular, formal manner.

Monday, December 19, 2005

Defense Seldom Wins Wars

In preparation for my career as an Air Force intelligence officer, I studied history at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 US Air Force Academy. Since cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n I have enjoyed lectures produced by The Teaching Company, like Famous Romans. One of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 lessons I have taken from this course is that defense seldom (if ever) wins wars. I was reminded of this lesson when I read Tom Ptacek's post " The Only Defense Is A Good Defense."

Tom is replying to my post where I said cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following:

"I also do not agree [with SANS.edu] that 'knowledge... is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 only defense to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 growing threat.' The best defense is a strong offense. That means hunting down and prosecuting threats. No amount of defense can sufficient protect any moderately complex enterprise against determined intruders."

Tom disagrees and says that "Firewalls", "IT and Network Security teams", and "Vulnerability Research" have "done cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 most to improve security over cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 last 5 years." If we consider cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 risk equation to be something like "Risk = Threat X Vulnerability X Asset value", we must realize that Tom's points all address cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 vulnerability side of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 equation. Applying countermeasures to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 vulnerability aspect of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 risk equation leaves cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 threat component untouched.

When cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attacker is allowed freedom of maneuver, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 defender will lose. The side with initiative has cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 superior position, unless cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 defenses are so unsurmountable that attack is more costly than defense. Let's return to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Famous Romans lecture for a moment. Prior to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 rule of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 emperor Hadrian, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Roman Empire had pursued an expansionist foreign policy. Rome had lost many battles to its neighbors, but those neighbors essentially remained on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 defensive. They feared Rome would invade, conquer, and eliminate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m (at worse).

When Hadrian became emperor in 117 AD, he changed Rome's foreign policy. He decided to consolidate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 empire's borders. His most famous action was cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 building of Hadrian's Wall, separating England from Scotland. The wall was cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ultimate statement of defense, as is sought to keep barbarians separated from Roman cities like London.

In some respects, this ultimate defensive maneuver was a success; London flourished. However, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 building of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 wall signalled weakness to Rome's enemies. Instead of being seen as a statement of strength, barbarians interpreted as a sign cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Romans would not seek to conquer cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m. Rome looked weak, not strong. Within a century Rome would come under increasing barbarian attack, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 remaining shell of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 western "empire" was formally overthrown in 476 AD.

Now, you might say that defense can prove superior to offense. You might cite trench warfare of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 late 19th century, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 horror of World War I. In those cases, it is true that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 weapons possessed by each side were so horribly destructive that attacks were fruitless and bloody endeavors. However, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 arrival of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 tank and over a million US troops changed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 equation. Offensive action eventually won WWI for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 allies.

A particularly clever historian might say cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Cold War was won by defense. Some argue cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 US out-spent, or had cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 capability to out-spend, Soviet Russia. That is true. Anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r factor was President Reagan's plan to build cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Strategic Defense Initiative (SDI, or "Star Wars.) SDI changed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 security situation for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Soviets. The security paradigm of "mutually assured destruction" held that seeking to wipe out cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 enemy was a worthless action. Once cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 enemy detected missile launches, he could reply with his own volley. Both sets of missiles would wipe out each side's weapons, leaving neicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r with an advantage to leverage in a post-exchange world.

SDI altered this nuclear attack outcome. With SDI deployed, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 US could potentially preserve some of its weapons for a second round of attacks. This second round gave cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 US superiority over its Soviet opponent. Suddenly a nuclear war became "winnable," as insane as that sounds. In this case, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n, defense was important, but only to preserve cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 weapons of offense.

In cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 final analysis, what makes you feel safer -- a lack of criminals on your street, or iron bars on your windows?

Tuesday, December 13, 2005

SANS.edu Open for Business

Thanks to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 latest SANS NewsBites, I learned that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 SANS (TM) Institute (popularly called "SANS") has announced cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 opening of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 SANS Technology Institute, a true .edu. SANS.edu will offer two masters of information science degrees, in (1) security management and (2) security engineering. The majority of each program involves attending SANS tracks, like SEC 504: Hacker Techniques, Exploits, and Incident Handling or MGT 524: Security Policy and Awareness.

Government Computer News and Federal Computer Weekly provide additional details.

The Knowledge for Peace motto on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 logo seems a little "crunchy" to me. Here is part of an explanation:

"Cyber violence in its multiple forms at all levels of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Internet is a major problem. One large ISP averages 1,000 DDOS attacks per day. Although arrests and prosecutions for worm writers and malicious employees who harm cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir current or former employers' IT systems have increased, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 threat level has also increased. Organized crime has been rapidly moving into phishing, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 fastest growing crime segment. The path we are on does not lead to peace or security in cyberspace.

The Latin word scientia, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 root of our word for science, means knowledge, which is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 only defense to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 growing threat. If we do not know how to harden systems, manage change, design networks and ensure that software is developed securely, we remain vulnerable to Internet predators."

I do not buy cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 concept of "cyber violence" in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 context of attacks by intruders. (Cyber violence is a term usually reserved for attacks against children facilitated by Internet access.) I also do not agree that "knowledge... is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 only defense to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 growing threat." The best defense is a strong offense. That means hunting down and prosecuting threats. No amount of defense can sufficiently protect any moderately complex enterprise against determined intruders.

Does anyone plan to pursue eicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 two SANS.edu degrees?