Showing posts with label sans. Show all posts
Showing posts with label sans. Show all posts

Tuesday, January 03, 2006

In Defense of HD Moore

Thanks to Tom Ptacek, I learned of a truly lame SANS poll questioning cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 responsibility of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Metasploit ie_xp_pfv_metafile component. The poll results as of now show cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following:

Was cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 release of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 2nd generation WMF exploit on Dec 31st 2005 irresponsible ?

35 % =>Yes, I 'd like to see cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 authors brought to justice
21 % =>Yes, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y made cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 world a worse place
32 % =>No, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 bad guys had already equal ammunition
11 % =>No, I believe cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ends did justify cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 means
Total Answers: 1379

Regarding cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first option -- what law exists against writing Metasploit components? About cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 last -- what "ends" are in play? I would have liked to have seen cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following option:

"No, I now have a means to test cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 effectiveness of patches,
anti-virus/malware products, and ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r defensive measures."

Without a way to test cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 effectiveness of countermeasures, defenders are as much at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 mercy of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 intruders as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y are cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 software vendors who fail to provide timely patches.

I found that many of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 poll comments do not seem to reflect cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 majority of "Yes" (meaning "irresponsible") votes, and some reflect cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 sentiment of this post.

I highly recommend reading Tom's post and his link to criticism of SATAN in 1995. The history major in me speaks up once in a while to say "nothing ever changes."

Monday, January 02, 2006

The Power of Open Source

One of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 criticisms of open source software is that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re is no one to blame when a customer needs a problem solved. For example, if an open source OS or application is found to suffer a vulnerability, no one is seen to be responsible for patching it. Following this line of thinking, commercial software is considered a superior choice for consumers (whecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r corporations or individuals). When a problem happens, users can rely on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 vendor.

The recent SANS ISC post about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 WMF vulnerability has completely annihilated this argument. I have criticized SANS in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 past, but I cannot fault cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir handling of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ongoing fiasco. I've never seen anything like this plea by Tom Liston before:

Looking forward to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 week ahead, I find myself in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 very peculiar position of having to say something that I don't believe has ever been said here in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Handler's diary before: "Please, trust us."

I've written more than a few diaries, and I've often been silly or said funny things, but now, I'm being as straightforward and honest as I can possibly be: cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Microsoft WMF vulnerability is bad. It is very, very bad.

We've received many emails from people saying that no one in a corporate environment will find using an unofficial patch acceptable.

Acceptable or not, folks, you have to trust someone in this situation.

To cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 best of my knowledge, over cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 past 5 years, this rag-tag group of volunteers hasn't asked for your trust: we've earned it. Now we're going to expend some of that hard-earned trust:

This is a bad situation that will only get worse. The very best response that our collective wisdom can create is contained in this advice - unregister shimgvw.dll and use cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 unofficial patch. You need to trust us.


The unofficial patch Tom references was written by Ilfak Guilfanov and described here. What is this? It's a patch created by a non-Microsoft developer, acting more rapidly than Microsoft itself. Sure, you can argue that Microsoft is working now to develop a patch that will hopefully address deeper problems, perhaps serious problems. Nevercá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365less, SANS has reverse engineered cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 unoffical patch to ensure its validity, wrote a FAQ about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 vulnerability, and is now hosting a .msi to ease patch installation. This is unprecedented.

Where is Microsoft on this issue? They published cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir initial advisory on 28 Dec and updated it 30 Dec. Nothing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y've done has helped resolve cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 issue. Meanwhile, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Metasploit project has released a module to generate malicious WMF files. This puts exploit creation in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 hands of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 lowest common denomintaor.

F-Secure reports cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 WMF issue is truly "a feature, not a bug," due to Microsoft's design of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 WMF format. In fact, F-secure says

"'The WMF vulnerability' probably affects more computers than any ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r security vulnerability, ever."

Everyone who paid good money to Microsoft to fulfill its duty as a commercial vendor selling closed, proprietary software is still waiting for an official patch. Meanwhile, users are owned by exploit spam and targeted WMF email attacks. Remember this example cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 next time your management refuses to allow running open source software because "no one is responsible for problems."

When private third parties like SANS and Ilfak Guilfanov have to step up to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 plate to save cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 world, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 argument for exclusively running closed, proprietary software with a poor security record is weak indeed.

Note: I do not mean to unduly criticize Microsoft employees. I know several of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m who are really sharp. At cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 end of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 day, however, Microsoft as a corporation is AWOL on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 WMF issue.

Update: SANS has temporarily pulled cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir .msi. However, I just installed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 original .exe on a Windows XP SP2 system without incident. I also unregistered cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 shimgvw.dll library. Ilfak Guilfanov's patch creates this directory on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 host:

C:\Program Files\WindowsMetafileFix>dir
Volume in drive C has no label.
Volume Serial Number is 30EF-BD7B

Directory of C:\Program Files\WindowsMetafileFix>

01/02/2006 08:52 AM DIR .
01/02/2006 08:52 AM DIR ..
01/01/2006 12:38 PM 155 compile.bat
01/01/2006 03:54 PM 1,141 Readme.txt
01/02/2006 08:52 AM 3,537 unins000.dat
01/02/2006 08:52 AM 673,546 unins000.exe
01/01/2006 03:41 PM 7,022 wmfhotfix.cpp
5 File(s) 685,401 bytes
2 Dir(s) 3,207,041,024 bytes free

C:\Program Files\WindowsMetafileFix>type Readme.txt
MS WINDOWS METAFILE VULNERABILITY HOTFIX v1.3

PLEASE READ THE FOLLOWING CAREFULLY!

This is a temporary fix for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 MS Windows
Metafile file vulnerability:

http://www.hexblog.com/2005/12/wmf_vuln.html

It has been tested on Windows 2000, Windows XP,
and Windows XP Professional 64bit.
Please use it at your own risk and switch
to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 official patch from Microsoft as soon
as it is be available.

THIS FIX IS PROVIDED 'AS IS' WITHOUT WARRANTY OF
ANY KIND, EITHER EXPRESS OR IMPLIED, INCLUDING,
BUT NOT LIMITED TO, THE IMPLIED WARRANTIES OF FITNESS
FOR A PURPOSE, OR THE WARRANTY OF NON-INFRINGEMENT.

IN NO EVENT SHALL ILFAK GUILFANOV BE LIABLE TO YOU
OR ANY THIRD PARTIES FOR ANY SPECIAL, PUNITIVE,
INCIDENTAL, INDIRECT OR CONSEQUENTIAL DAMAGES
OF ANY KIND, OR ANY DAMAGES WHATSOEVER, INCLUDING,
WITHOUT LIMITATION, THOSE RESULTING FROM LOSS OF USE,
DATA OR PROFITS, WHETHER OR NOT HE HAS BEEN ADVISED
OF THE POSSIBILITY OF SUCH DAMAGES, AND ON ANY THEORY OF
LIABILITY, ARISING OUT OF OR IN CONNECTION WITH THE USE
OF THIS SOFTWARE.

Copyright 2006 by Ilfak Guilfanov, ig@hexblog.com
http://www.hexblog.com

As you can see, you can inspect cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 .cpp file and compile it yourself if you do not want to run cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 compiled wmffix_hexblog13.exe.

Tuesday, December 13, 2005

SANS.edu Open for Business

Thanks to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 latest SANS NewsBites, I learned that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 SANS (TM) Institute (popularly called "SANS") has announced cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 opening of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 SANS Technology Institute, a true .edu. SANS.edu will offer two masters of information science degrees, in (1) security management and (2) security engineering. The majority of each program involves attending SANS tracks, like SEC 504: Hacker Techniques, Exploits, and Incident Handling or MGT 524: Security Policy and Awareness.

Government Computer News and Federal Computer Weekly provide additional details.

The Knowledge for Peace motto on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 logo seems a little "crunchy" to me. Here is part of an explanation:

"Cyber violence in its multiple forms at all levels of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Internet is a major problem. One large ISP averages 1,000 DDOS attacks per day. Although arrests and prosecutions for worm writers and malicious employees who harm cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir current or former employers' IT systems have increased, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 threat level has also increased. Organized crime has been rapidly moving into phishing, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 fastest growing crime segment. The path we are on does not lead to peace or security in cyberspace.

The Latin word scientia, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 root of our word for science, means knowledge, which is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 only defense to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 growing threat. If we do not know how to harden systems, manage change, design networks and ensure that software is developed securely, we remain vulnerable to Internet predators."

I do not buy cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 concept of "cyber violence" in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 context of attacks by intruders. (Cyber violence is a term usually reserved for attacks against children facilitated by Internet access.) I also do not agree that "knowledge... is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 only defense to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 growing threat." The best defense is a strong offense. That means hunting down and prosecuting threats. No amount of defense can sufficiently protect any moderately complex enterprise against determined intruders.

Does anyone plan to pursue eicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 two SANS.edu degrees?

Monday, November 28, 2005

SANS Replaces Several Threat References in Top 20

Last week I posted comments about several misuses of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 word "threat" in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 latest SANS twenty most critical Internet security vulnerabilities. After receiving an email from Alan Paller, I returned to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 SANS site and saw many of my recommended changes were made. For example, you can now "Jump To Index of Top 20 Vulnerabilities", instead of "threats." I appreciate SANS taking my suggestions to heart.

Update: It's becoming clear where cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 confusion regarding "threat" vs "vulnerability" originates for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 SANS Top 20. One of you pointed me towards cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 article Mac OS X Under Scrutiny. See how many misuses of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 term threat you can find. Here's a freebie:

"SANS's Dhamankar stressed that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 intent was not to call cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Mac OS X operating system a threat, but to give Mac users a wake up call."

Tuesday, November 22, 2005

The Good and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Bad About cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 New SANS Top 20

Back in January I noted that SANS was not using cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 terms "threat" and "vulnerability" properly in its call for help on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "twenty most critical Internet security vulnerabilities," represented by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 logo at left.

You will remember that a threat is a party with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 capabilities and intentions to exploit a vulnerability in an asset. A vulnerability is a weakness in an asset that could lead to exploitation. An intruder (cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 threat) exploits a hole (cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 vulnerability) in Microsoft IIS to gain remote control of a Web server. In ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r words, threats exploit vulnerabilities.

Today, version 6 of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Top 20 was released. I'll start with "cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 good." I believe cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 majority of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 2005 content is much better than cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 2004 edition. The 2004 list, and previous lists, displayed 10 Windows vulnerabilities and 10 (often dubious) Unix vulnerabilities. The 2005 list, in contrast, displays cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following vulnerabilities:

Top Vulnerabilities in Windows Systems

* W1. Windows Services
* W2. Internet Explorer
* W3. Windows Libraries
* W4. Microsoft Office and Outlook Express
* W5. Windows Configuration Weaknesses

Top Vulnerabilities in Cross-Platform Applications

* C1. Backup Software
* C2. Anti-virus Software
* C3. PHP-based Applications
* C4. Database Software
* C5. File Sharing Applications
* C6. DNS Software
* C7. Media Players
* C8. Instant Messaging Applications
* C9. Mozilla and Firefox Browsers
* C10. Ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r Cross-platform Applications

Top Vulnerabilities in UNIX Systems

* U1. UNIX Configuration Weaknesses
* U2. Mac OS X

Top Vulnerabilities in Networking Products

* N1. Cisco IOS and non-IOS Products
* N2. Juniper, CheckPoint and Symantec Products
* N3. Cisco Devices Configuration Weaknesses

Bravo. I think that is a significant step towards realizing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 scope of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 problem at hand. To be fair to Microsoft, I believe cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re could have been "Unix services" and "Unix libraries" sections. I applaud cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 addition of network products and ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r applications. Content-wise, this is a great resource.

Now, "cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 bad." The top of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 page has this link: -----Jump To Index of Top 20 Threats -----. For Pete's sake, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 title of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 document is "The Twenty Most Critical Internet Security Vulnerabilities." These are not threats.

Let's see ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r terms in use:

In cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 introduction we see:

"In addition to Windows and UNIX categories, we have also included Cross-Platform Applications and Networking Products. The change reflects cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 dynamic nature of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 evolving threat landscape."

I can accept this use of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 term threat, if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 intent is to refer to parties who exploit vulnerabilities.

Next:

"We will update cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 list and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 instructions as more critical threats and more current or convenient methods of protection are identified, and we welcome your input along cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 way."

Here, threats should be "vulnerabilities".

Section C2:

"Compromising a gateway could potentially cause a much larger impact since cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 gateway is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 outer layer of protection and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 only protection for some threats in many small organizations."

This should eicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r replace "threats" with "vulnerabilities", or "for some" with "from some".

Section C5:

"The main threats arising from P2P software are:"

I think threats should be "risks" here, although cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 list is a muddle of different issues.

Later in that section:

"The number of threats using P2P, IM, IRC, and CIFS within Symantec's top 50 malicious code reports has increased by 39% over cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 previous six-month period."

Here, I can accept cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 use of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 term as long as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 intent is to describe parties abusing P2P, IM, etc.

Section C8:

"These applications provide an increasing security threat to an organization. The major threats are cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following:"

Here's a simple rule of thumb: applications can never be "threats." Again, I suggest replacing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 second "threats" here with "risks".

One final note: I am not a lone voice speaking on this subject. The Financial Times, of all people, is linked from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 SANS page with a story Hackers pose new threat to desktop software. That's cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 proper use of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 term threat, since a hacker is a "party."

Security will not be taken seriously as a "profession" until its "thought leaders" use basic terms properly.

Friday, August 19, 2005

Thoughts on SANS .edu Security Debate

The 10 August 2005 issue of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 SANS NewsBites newsletter featured this comment by John Pescatore:

"There has [sic] been a flood of universities acknowledging data compromises and .edu domains are one of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 largest sources of computers compromised with malicious software. While cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 amount of attention universities pay to security has been rising in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 past few years, it has mostly been to react to potential lawsuits do [sic] to illegal file sharing and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 like - universities need to pay way more attention to how cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir own sys admins manage cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir own servers."

I agree with John's assessment, except for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 last phrase that implies university sys admins "need to pay way more attention" to security. From my own view of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 world, a lot of university system administrators read TaoSecurity Blog, attend my classes (especially USENIX), and read my books. I believe cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 fault lies with professors and university management who generally do not care about security and are unwilling to devote cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 will and resources to properly secure .edu networks.

The 17 August 2005 newsletter features a letter to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 editor signed by eleven .edu security analysts. They take exception with Mr. Pescatore's comments. SANS is requesting comments on that letter. Here is my take on a few excerpts.

The letter states:

"Many of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se schools are complex and most security implementations typically used at a corporate or government level don't fit a university model because a broader range of network activities is permitted on university networks, in large part due to a much more limited set of policies and controls compared to government and commercial entities."

The "broader range of network activities" is part of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 problem. Most .edu networks apply very little inbound access control and hardly any outbound access control. (Sometimes that is reversed; one .edu I worked with implemented zero inbound control and single outbound control denying TFTP!)

Do .edu networks think cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 corporate world does not support a wide variety of protocols and services? I recently finished a traffic threat assessment for a client. I was surprised to see cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 number of protocols in use that I did not immediately recognize. This is no different from a .edu, except cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 .com had taken steps to restrict use of those protocols and services to defined partners. "I can't define who will access my data," a .edu might reply. If that is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 case, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 .edu has decided that anyone in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 world can access potentially sensitive data. (See cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 section below on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "tenth planet" to read consequences of that stance.) In reality, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 .edu is saying "it's too difficult" to define who should access data. That's a cop-out.

The "limited set of policies and controls" is not cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 fault of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 administrators. It is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 fault of management who refuse to reign in professors, or to force cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m to accept responsibility for operating insecure systems. If a professor is a prolific researcher, he or she is often given a "pass" to run whatever infrastructure he or she needs for research purposes. While research is obviously important, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 professors and staff should realize that lack of security jeopardizes cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir research. How would cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y feel to know that a team of competing researchers, or even corporate spies, were stealing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 next breakthrough in gene cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rapy from research systems?

We already know that so-called "tenth planet" discoverer Michael Brown was forced to rush his announcement for fear that "hackers" would reveal his work. I heard Mr. (Dr.?) Brown on NPR science Friday a few weeks ago, and he confirmed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 story. He and his colleagues preferred to give an orderly press conference to inform cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 world of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir discovery. Instead, Mr. Brown decided to rush cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 process. He feared a "hacker" would provide information on how to find cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 tenth planet to amateur astronomers, who might cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n take credit for its discovery! Security is not an inconvenience; it's a necessity.

The letter continues:

"Many times, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 tools to secure cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se environments don't exist and changing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 culture in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se heterogeneous environments to one which promotes secure computing is very difficult."

Actually, all of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 tools to secure a .edu exist. Almost all of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m exist in open source form, too. Ten years ago this might not have been cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 case, but today one can employ open source countermeasures that in some cases exceed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir commercial counterparts. The array of network-centric security capabilities offered by OpenBSD , for example, is amazing. Firewall? Pf. VPN? IPSec. Secure remote access? OpenSSH. Centralized time synchronization? OpenNTPD. I could continue at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 host level if one needed a reliable platform for hosting Web sites, handling email, etc.

The tools exist, but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 managerial will to implement cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m does not.

The letter continues:

"Our overall approach to our networking is about promoting research and information sharing and our security architecture needs to take that into account. Many schools uphold cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 concept of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 'End-to-End' nature of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 original Internet for both research and communication of ideas. These ideas on full connectivity have merit and cannot be dismissed because cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 nature of faculty research or inter-university collaboration might rely on unfettered access to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Internet. The concept of a DMZ is not feasible for many schools compared to many in government and business which cannot live without one."

Immense multi-national organizations foster information sharing and research. While cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y admittedly are not perfect, many enterprises manage to maintain better security than .edu's. The "end-to-end" Internet is a myth that to which too many people cling. That model may have worked when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Internet was a private network, but "end-to-end" today places no barriers between your system and anyone else in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 world with an IP address.

The majority of hosts are not designed, configured, or deployed in a self-defending manner. Hosts that cannot protect cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365mselves must be supported by additional security resources. Even if a system could be operated indepedently (e.g., an OpenBSD server), without any network-based access control, this is not a tenable defensive model. The .edu world needs to understand that defense-in-depth is one of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 best ways to compensate for weak host software, potential misconfiguration, and aggressive intruders.

Finally, "cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 concept of a DMZ" is not feasible for many organizations, not just .edu's. Security zones, which group hosts of similar security requirements, are now cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 best way to offer network-centric access control and monitoring.

What are your thoughts?

Monday, June 06, 2005

DIY Security with Open Source

This morning I received word of a new SANS Webcast titled What Works in Intrusion Detection Systems. The introductory paragraph for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 announcement starts with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se two sentences:

"The days of do-it-yourself security using free software have passed. There is broad understanding among CIOs and CISOs that an effective cyber security program cannot be implemented without commercial technology and services."

As you might expect I strongly disagree with this claim. I was disappointed to see cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se sentiments expressed in an announcement about IDS sponsored by Sourcefire! The introduction appears to be standard SANS boilerplate, however. You can see cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same paragraph in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 SANS What Works in Intrusion Prevention: Using Multi-Function Low-Cost Appliances and What Works in Business Transaction Integrity Monitoring announcements, among ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs.

I find it sad that SANS would advocate this anti-open source stance. I never saw SANS teach commercial products at my first SANS conference in 1999, nor at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first SANSFIRE track I attended in 2001, nor in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 intrusion detection tracks I attended in 2000 and taught in 2002 and 2003.

I believe cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re are places inside cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 enterprise where open source may not be as suited or as capable as proprietary software. Some people cannot live without Microsoft Active Directory. Mounting directories over NFS isn't quite cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same as using Microsoft's protocols. In some security applications proprietary solutions are more full-featured. CORE IMPACT comes to mind. However, I believe most small to medium, and even many large, enterprises could operate securely using open source tools.

In fact, many proprietary products exist only because cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y need to compensate for deficiencies in ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r commercial software. For example, products like anti-virus, which are a requirement on Microsoft Windows, are a band-aid on top of a broken configuration and deployment model. I see absolutely no need to run anti-virus on UNIX desktops.

Who agrees or disagrees? Who is using a majority of open source tools to secure cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir enterprise? Who absolutely couldn't live without one or more commercial applications? If you need those proprietary apps, why? Is support cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 main issue? Thank you.

Friday, May 27, 2005

Vote for Sguil at SANS ISC Poll

Thanks to Brandon Greenwood I learned that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 current SANS ISC poll asks for your favorite Snort interface. Sguil is currently running third behind BASE and ACID. Visit SANS ISC and vote for Sguil!

Tuesday, April 12, 2005

SANS Backtracking on GIAC Changes?

I just received a SANS Local Mentor Program Update, Volume 1, Issue 5, April, 2005 email. Section 2 of this message is "Furcá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r discussion on GIAC certification changes." In cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 email we read cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following:

"The local mentor program has received numerous emails and calls about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 new GIAC certification procedures which no longer require cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 writing of a practical paper...

[B]ased on your input on we have developed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 GIAC Gold Standard which will be known as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 premier benchmark in assuring that a certified individual holds cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 appropriate level of knowledge and skills necessary in key areas of information security.

GIAC Gold will distinguish itself from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 existing 'GIAC Silver' certification by requiring candidates to complete a technical paper. After completing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 exams necessary to pass cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 GIAC Silver certification, students will have cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 option to pursue cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 GIAC Gold Certification.

All GIAC certified professionals who previously completed a 'practical assignment' under cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 old GIAC regime will be transferred to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 GIAC Gold program. GIAC sent out a press release on Friday, April 8, regarding cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se changes."

I found cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 press release, New Standard for GIAC Certification and Upgrades To SANS On-Line Training (.pdf). It repeats cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same information just posted.

So, SANS has reinstated cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 requirement to complete a technical paper. Of course students will perform this assignment. Who would want to drop $3000-$4000+ and end up with a "Silver Certification?"

Monday, March 14, 2005

SANS Ends Practical Requirement for Certifications

I just learned that SANS, an organization whose conferences I attended fairly regularly five years ago, has terminated cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 practical requirement for all of its GIAC (Global Information Assurance Certification) programs.

GIAC was originally cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Global Incident Analysis Center, a Web site to disseminate information on Y2K rollover threats. From a February 2000 archive of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 site:

GIAC began December 21, 1999 as a service to support Y2K watchstanders all over cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 world, watching for cyber attacks and Y2K problems. We've come a long way since cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n, but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 orignial pages are archived here.

I was an original incident handler and had some of my work posted. I also taught cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 IDS track several times, until I decided cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir material was too out-of-date and irrelevant to IDS practitioners. I was tired of scrapping SANS material on stage (aside from some of Judy Novak's TCP/IP slides and Marty Roesch's Snort tutorial) and teaching what students really needed to know.

SANS turned cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Global Incident Analysis Center into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Global Information Assurance Certification when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y realized cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y had created a powerful GIAC brand.

The SANS announcement states cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following:

"Starting immediately, all new students will be authorized to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 exam only GIAC Certification.

The forces that drove us to this change are numerous, but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 single most important is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 need to move to more modular, adaptable, courseware and certificates and certifications to stay abreast of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 current threat. Additionally cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 marketplace has voted with its feet in favor of exam based certifications.

No practicals or drafts will be accepted after April 15th, 2005."

My take on this statement, and my conversations with SANS faculty, leads me to believe that grading practicals simply became too onerous for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 SANS staff. Their margins are higher when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y can automate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 certification process.

This next statement is disappointing:

"We will issue a new logo design for all future 'exam only' certifications so that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re will be less chance of confusion between 'exam only' and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 more prestigious, original, practical oriented certifications."

In ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r words, SANS has admitted to devaluing its certification -- cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 new 'exam only' certifications are not as 'prestigious' as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 original.

SANS has now created a market where holders of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "original" certification are more highly valued than those that follow.

SANS will also no longer be able to offer practical assignments to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 community. Although cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 original practicals will remain online, that source of knowledge will dry up. This is doubly unfortunate as SANS practicals were one of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 best aspects of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 certification from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 perspective of ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r security students.

While I believe that viable exam-only certifications exist (like cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 CCNA, CCNP, etc.), I fear SANS has removed a feature of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir certification that made it unique and valuable.

Wednesday, January 26, 2005

SANS Confuses Threats with Vulnerabilities

In late 2003 I published Dynamic Duo Discuss Digital Risk. This was my light-hearted attempt to reinforce cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 distinction between a threat and a vulnerability. Specifically, a threat is a party with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 capabilities and intentions to exploit a vulnerability in an asset. A vulnerability is a weakness in an asset that could lead to exploitation. An intruder (cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 threat) exploits a hole (cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 vulnerability) in Microsoft IIS to gain remote control of a Web server. In ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r words, threats exploit vulnerabilities.

This is a simple concept, yet it is frequently confused by security prophets like Bruce Schneier in Beyond Fear. Now SANS is making cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same mistake in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 latest Incident Handler's Diary. In a posting to announce work on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 upcoming SANS Top 20 List, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Diary calls cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 new report cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "SANS CRITICAL INTERNET THREATS 2005" and says:

"SANS Critical Internet Threats research is undertaken annually and provides cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 basis for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 SANS 'Top 20' report. The 'Top 20' report describes cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 most serious internet security threats in detail, and provides cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 steps to identify and mitigate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se threats."

So, are we going to read a ranking of identified Romanian intruders, followed by Russian organized crime, Filipino virus writers, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n Zimbabwean foreign intelligence services? Will mitigation include prosecution, incarceration, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 like? Probably not, as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 announcement continues:

"The current 'Top 20' is broken into two complimentary yet distinct sections:
- The 10 most critical vulnerabilities for Windows systems.
- The 10 most critical vulnerabilities for UNIX and Linux systems."

So now we're talking about vulnerabilities. That's what last year's "Twenty Most Critical Internet Security Vulnerabilities" addressed. The announcement concludes:

"The 2005 Top 20 will once again create cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 experts' consensus on threats - cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 result of a process that brings togecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r security experts, leaders, researchers and visionaries... In addition to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Windows and UNIX vulnerabilities, this year's research will also focus on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 10 most severe vulnerabilities in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Cisco platforms."

I sincerely hope at least one expert will clue in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 announcement-writer concerning cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 difference between a threat and a vulnerability. Words matter!

Update: While doing some research I found a 1999 report by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Navy's Center on Terrorism and Irregular Warfare called Cyberterror: Prospects and Implications. It says in footnote 11:

"Vulnerability is not synonymous with threat. A vulnerability is a weakness in a system that may be exploited. A threat requires an actor with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 motivation, resources, and intent to exploit a vulnerability."

Friday, January 21, 2005

Application Vulnerabilities Are Not New

This morning I read cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 new @RISK: The Consensus Security Alert from SANS and friends. It begins with this comment:

"Prediction: This is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 year you will see application level attacks mature and proliferate. As hackers focus more on applications, Oracle may start competing with Microsoft as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 vendor delivering software with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 most critical vulnerabilities."

I hear this focus on "applications" constantly, but this is old news. First look at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 problem by separating cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 operating system (OS) kernel from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 OS applications. If we look at vulnerabilities in this respect, "applications" have been under attack for decades. Perusing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 CERT Advisories list (transitioned to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 US-CERT's Technical Cyber Security Alerts in 2004), we see warnings about application vulnerabilities since 1988. For example, in December 1998 we have CA-1988-01: ftpd Vulnerability.

You might say that my separation of OS kernel and OS applications doesn't capture cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 spirit of SANS' "prediction." You might think that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir new warning means we should focus on applications that don't ship with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "OS." In ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r words, look at widely deployed applications that aren't bundled with an OS installation CD. Using that criteria, "application attacks" are still old news. Check out this July 2001 advisory, CA-2001-16: Oracle 8i contains buffer overflow in TNS listener. That was followed a month later by CA-2001-24: Vulnerability in OpenView and NetView and three months later by CA-2001-29: Oracle9iAS Web Cache vulnerable to buffer overflow.

Maybe my background as a history major is at work here, but I think "hackers" have been attacking applications for years.

Thursday, September 16, 2004

News SANS Practical Discusses Sguil

SANS' GIAC just published Sguil contributor Chris Reining's GCIA practical titled The State of Intrusion Detection (.pdf). This is not a follow-on to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 1999 CERT classic State of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Practice of Intrusion Detection Technologies. Racá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r, Chris describes cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 shortcomings of ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r technologies like ACID, and how to use Sguil to detect and respond to intrusions. I like seeing discussion of Sguil infiltrate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 SANS Reading Room. Incidentally -- I haven't read all of Chris' paper with a critical eye yet, so I can't vouch for his conclusions right now.

On cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 lighter side, system administrator extraordinaire Bill Bilano just announced "Severe exploit found, all UNIX are affected!" This was my favorite line:

"Northcutt better take out that section about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Mitnik attack in that terrible book he is always rehasing with only a spit-shine and fancy new cover because here comes something leaner and meaner! (I have re-bought that nut's book eight times and it is always cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same old cruft over and over but here wont be a ninth purchase, you bet your pink pajamas!) Someone needs to tell him that SANS is not cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 MANS! LOL!"

Thursday, June 24, 2004

Interesting Email from Stephen Northcutt... or not?

If you're on a SANS mailing list you might have received cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following email from "Stephen Northcutt." I haven't decided if it's true or not. I'm wondering why I would have received it, unless someone forged cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 message after acquiring a SANS email list? The alternative means Stephen Northcutt himself is making some odd claims...

"From - Thu Jun 24 22:27:26 2004
X-UIDL: 40a19c3900000b29
X-Mozilla-Status: 0001
X-Mozilla-Status2: 00000000
Return-Path:
...edited...
X-ClientAddr: 63.100.47.56
Received: from 63-100-47-56.sans.org (63-100-47-56.sans.org [63.100.47.56])
...edited...
Date: Fri, 25 Jun 2004 2:14:37 +0000
Message-Id: <2004062521561.QJA00262@stinger.sans.org>
From: Stephen Northcutt
Subject: Stephen Northcutt needs your help
Precedence: bulk
Errors-To:
Sender:
To: Richard Bejtlich (SD599258)
...edited...

Hello,

This note is intended for U.S. citizens and is a personal note from Stephen Northcutt. For cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 past few weeks CERT and SEI, DoD government funded organizations, have been purchasing google adwords so that when people search for "SANS Training" cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y see an advertisement for CERT/SEI's network manager course.

I have a couple of concerns about this. The first is trademark or brand related, when you search for SANS training, you should get SANS training. Ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r competing commercial training companies have also engaged in this behavior and when I have written cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m and asked if this how cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y want to be remembered by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 security community, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y have discontinued this practice. I wrote cert@cert.org a couple weeks ago and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y continue this practice.

My second concern is that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 government offering cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 course violates cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 spirit and letter of OMB A 76. "Two of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 key principles of Circular A-76 has always been that "in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 process of governing, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Government should not compete with its citizens" and that "a commercial activity is not a governmental function."
http://www.whitehouse.gov/omb/circulars/a076/comments/a76-289.pdf

The course:
http://www.sei.cmu.edu/products/courses/cert/infosec-net-mgrs.html

The funding:
http://www.sei.cmu.edu/about/about.html
http://www.cert.org/faq/cert_faq.html#A4

My third concern is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 amount of tax we pay as citizens. The government is in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 process of authorizing about 481 billion dollars for DoD spending. The Department of Defense clearly has too much money if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y can afford to create training that mirrors material widely available from SANS, MISTI, CSI, Intense School and ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r training organizations. I believe cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 money spent on CERT, SEI and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Office of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Under Secretary of Defense for Acquisition, Technology, and Logistics should each be reduced by at least 10% immediately.

So I am asking for your help. If you agree with me please write your congress person and eicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r use this note as a base or write your own. I would be honored if you would copy me, Stephen@sans.org. If you don't agree with me, or don't want to help me, that is fine, but before you send me a knee jerk email flame would you do three things. Look at your last paycheck stub and remind yourself how much tax you pay, second, consider cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 impact of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 U.S. deficit (http://www.brillig.com/debt_clock/ ) and finally think about how you would feel if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 government decided to compete in a disreputable manner with a course that took you months to write, SANS Security Leadership. After that, if you disagree with me, I would love to hear what you have to say. So please help me and write your congressman and tell cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m your home address, make sure cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y know you vote and you agree that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 government has no business wasting taxpayer money competing with a course Stephen Northcutt does a better job of anyway.

To find your representative:
http://www.house.gov/writerep/

To find your congressional representative, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 best link I could find is:
http://www.senate.gov/

Thank you for taking cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time to help! Needless to say, I write this note as a private citizen and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 author of SANS Security Leadership and am certain this note does not reflect cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 collective views and opinions of The SANS Institute.

Stephen Northcutt
Stephen@sans.org
(808) 823-1375"

This sounds like a hoax to me... can anyone confirm it? "...make sure cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y know you vote and you agree that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 government has no business wasting taxpayer money competing with a course Stephen Northcutt does a better job of anyway." If this is a true statement by Stephen, I'd be surprised.