Showing posts with label snort. Show all posts
Showing posts with label snort. Show all posts

Tuesday, September 13, 2005

Vulnerability in Snort 2.4.0 and Older

I read this news about a vulnerability in Snort 2.4.0 and older versions. You're affected if you process a malicious packet while in verbose mode. This means running Snort using cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 -v switch. Typically this is only used to visually inspect traffic and not for intrusion detection purposes.

Through cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 FrSIRT advisory I learned about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 discovery of this vulnerability by A. Alejandro Hernández Hernández. An exploit is available to crash Snort. Interrupting program flow to control cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system is not indicated at this time. The researcher used Fuzzball2 to send weird packets with Selective ACKnowledgement (SACK) options through Snort and find cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 exploit condition.

I am impressed by Sourcefire's response to this issue, as shown by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 disclosure timeline:

  • Flaw Discovered: 20/08/2005.

  • Vendor Notification: 22/08/2005.

  • Vendor Response: 23/08/2005.

  • Date Published: 11/09/2005.


Sourcefire should have credited cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 researcher in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir vulnerability announcement, however.

You can eicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r upgrade via CVS, wait for Snort 2.4.1, or not run Snort in verbose mode.

Wednesday, August 10, 2005

Bleeding Snort Hosts bait-and-switch Snort Enhancement

The Bleeding Snort project announced a new Snort preprocessor called bait-and-switch. It's currently available as a patch to Snort 2.4.0. Snort must be running in inline mode, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 current implementation is Linux-specific as it uses SNAT and DNAT features of IPTables.

bait-and-switch lets inline Snort users create rules that redirect traffic when bait-and-switch rules are triggered. The idea is to send suspicious source IPs to anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r host (perhaps a honeypot) when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir actions trigger specially designed rules. I think this is a novel idea but I do not see it being used in most production networks. Will Metcalf says his implementation is a rewrite of an idea by Jack Whitsitt (aka jofny) of Violating.us. I expect to see resources like this used in honeynets, research locations, and tightly-controlled, high-value networks where policies are defined well enough to justify triggering redirection.

Update: Here's cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 original Sourceforge site.

Thursday, July 28, 2005

Snort 2.4 Released

Snort 2.4.0 has been released. Here are cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 release notes. The obvious change in this release is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 removal of all rules from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 snort-2.4.0.tar.gz tarball. The rules are available separately. Marty assures me that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 rule download page will have rules available for non-subscriber and non-registered Snort users by close of business today.

Update: All rules are available -- even those for unregistered users. Nice work Sourcefire.

Wednesday, July 27, 2005

Snort "Not Eliligible" for Zero Day Initiative

I recently wrote about TippingPoint's Zero Day Initiative (ZDI), a pay-for-vulnerabilities program. Thank you to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 poster (whom I will keep anonymous) for notifying me of this article Vendors Compete for Hacker Zero Days by Kevin Murphy. It features this quote:

"[C]ompetitors will have to sign agreements to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 effect that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y will not irresponsibly disclose cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 information, and that any data cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y provide to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir own customers cannot be easily reverse engineered into an attack, he [3Com’s David Endler] said.

"'Some technology based on Snort would not be eligible because Snort by its nature is open,' Endler said, referring to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 open-source IDS software. 'But cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re are products based on Snort that are closed. We’ll have to take it on a case-by-case basis.'"

This means Sourcefire will never be able to learn of ZDI vulnerabilities. Any registered Snort user can download Sourcefire VRT rules and see everything except rules younger than five days old. VRT subscribers have access to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 latest rules immediately.

It sounds to me like cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 only "technology based on Snort" that would be "eligible" would be sensors provided by a managed security services provider, or sensors sold without access to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 console and rule sets. Such vendors could add ZDI-inspired rules but never let users see cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m.

I never thought for a minute TippingPoint would do anything to help Sourcefire, as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y are two major competitors in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 (misnamed) IPS market.

Monday, July 25, 2005

Sourcefire Certified Snort Integrator Program

Did you see Sourcefire's press release on its Certified Snort Integrator Program? If you're not in this program, and you use Snort to provide services or products to third parties, you can't deploy or sell sensors with Sourcefire VRT rule sets. The only exception involves major release versions of Snort, e.g., 2.3.0 or 2.4.0, each of which are packaged with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 latest rules at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 day of release.

The press release says "charter members of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 program include: Astaro, BRConnection, Catbird Networks, Counterpane Internet Security, e-Cop, Netreo, NTT DATA CORPORATION (Japan), ProtectPoint, SecurePipe, StillSecure, VarioSecure Networks, VeriSign, Voyant Strategies and WatchGuard."

If you own a Snort-based appliance or contract with a third party to provide Snort-based services, is your vendor on this list? If not, ask your vendor why not, and how cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y intend to keep cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir rules up-to-date. If you run Snort on your own to protect your own enterprise, this new program does not affect you. You can still register to become a VRT rules user for free and get cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 latest rules five days after cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y are provided to VRT subscribers.

Wednesday, July 13, 2005

How to Misuse an Intrusion Detection System

I was dismayed to see cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following thread in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 bleeding-sigs mailing list recently. Essentially someone suggested using PCRE to look for this content on Web pages and email:

(jihad |al Qaida|allah|destroy|kill americans|death|attack|infidels)

(washington|london|new york)

Here is part of my reply to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Bleeding-Sigs thread.

These rules are completely inappropriate.

First, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re is no digital security aspect of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se rules, so cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "provider exception" of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 wiretap act is likely nullified. Without obtaining consent from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 end users (and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365reby protection under cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "consent exception"), that means cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 IDS is conducting a wiretap. The administrator could go to jail, or at least expose himself and his organization to a lawsuit from an intercepted party.

Second, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 manner in which most people deploy Snort would not yield much insight regarding why cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se rules triggered. At best a normal Snort user would get a packet containing content that caused Snort to alert. That might be enough to determine no real "terrorism" is involved, but it might also be enough to begin an "investigation" that stands on dubious grounds due to my first point.

Third, does anyone think real terrorists use any of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 words listed in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 rules? If anyone does, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y have no experience with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 counter-terrorism world.

An IDS should be used to provide indicators of security incidents. Ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rwise, it becomes difficult to justify its operation, legally and ethically.

Unfortunately, I saw both rules (at least commented out) in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 latest bleeding ruleset.

What do you think?

Thursday, June 30, 2005

Bleeding Snort Spyware Listening Post Initial Results

I mentioned a few new projects at Bleeding Snort two weeks ago. Some initial results of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Spyware Listening Post are posted. Check it out -- it's about one page of information.

Sunday, June 26, 2005

Trying Snort VRT Rules and Oinkmaster

Last week I finally registered with Snort.org to gain access to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 rules created by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Sourcefire VRT. The process was really simple, especially now that security/oinkmaster is in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 FreeBSD ports tree. I describe cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 experience from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 perspective of running Sguil, but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 general concepts apply to anyone using Snort.

After registering with Snort.org, logging in, and clicking cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "Get Code" button at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 bottom of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 User Preferences page, I added cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 code to my oinkmaster.conf file.

url = http://www.snort.org/pub-bin/oinkmaster.cgi/codegoeshere/
snortrules-snapshot-2.3.tar.gz

Then I ran Oinkmaster in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 /nsm/rules/testing directory on my Sguild server.

allison:/root# oinkmaster -v -o /nsm/rules/testing
Loading /usr/local/etc/oinkmaster.conf
Adding file to ignore list: local.rules.
Adding file to ignore list: deleted.rules.
Adding file to ignore list: snort.conf.
Found gzip binary in /usr/bin
Found tar binary in /usr/bin
Downloading file from http://www.snort.org/pub-bin/oinkmaster.cgi/codegoeshere/
snortrules-snapshot-2.3.tar.gz...
--18:45:57-- http://www.snort.org/pub-bin/oinkmaster.cgi/codegoeshere/
snortrules-snapshot-2.3.tar.gz
=> `/tmp/oinkmaster.5846XLP3r9/url.s8OALJAggP/snortrules.tar.gz'
Resolving www.snort.org... done.
Connecting to www.snort.org[199.107.65.177]:80... connected.
HTTP request sent, awaiting response... 200 OK
...edited...
18:46:00 (500.29 KB/s) - `/tmp/oinkmaster.5846XLP3r9/url.s8OALJAggP/
snortrules.tar.gz' saved [766903]

Archive successfully downloaded, unpacking... done.
Setting up rules structures... done.
Processing downloaded rules...
disabled 0, enabled 0, modified 0, total=3166
Setting up rules structures... done.
Comparing new files to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 old ones... done.
Updating rules... done.

[***] Results from Oinkmaster started 20050626 18:46:25 [***]
...truncated...

I noticed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following added to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 rules files, like x11.rules.

-> Added to x11.rules (17):
# Copyright 2001-2005 Sourcefire, Inc. All Rights Reserved
#
# This file may contain proprietary rules that were created, tested and
# certified by Sourcefire, Inc. (cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "VRT Certified Rules") as well as
# rules that were created by Sourcefire and ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r third parties and
# distributed under cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 GNU General Public License (cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "GPL Rules"). The
# VRT Certified Rules contained in this file are cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 property of
# Sourcefire, Inc. Copyright 2005 Sourcefire, Inc. All Rights Reserved.
# The GPL Rules created by Sourcefire, Inc. are cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 property of
# Sourcefire, Inc. Copyright 2002-2005 Sourcefire, Inc. All Rights
# Reserved. All ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r GPL Rules are owned and copyrighted by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir
# respective owners (please see www.snort.org/contributors for a list of
# owners and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir respective copyrights). In order to determine what
# rules are VRT Certified Rules or GPL Rules, please refer to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 VRT
# Certified Rules License Agreement.

The old copyrights are gone.

-> Removed from x11.rules (2):
# (C) Copyright 2001-2004, Martin Roesch, Brian Caswell, et al.
# All rights reserved.

Now that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 rules in /nsm/rules/testing are updated, I perform a quick sanity check to see if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y work with my snort.conf and version of Snort.

snort -T -c /usr/local/etc/snort.conf
Running in IDS mode

Initializing Network Interface xl0

--== Initializing Snort ==--
Initializing Output Plugins!
Decoding Ecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rnet on interface xl0
Initializing Preprocessors!
Initializing Plug-ins!
Parsing Rules file /usr/local/etc/snort.conf

+++++++++++++++++++++++++++++++++++++++++++++++++++
Initializing rule chains...
...edited...
2699 Snort rules read...
2699 Option Chains linked into 193 Chain Headers
0 Dynamic rules
+++++++++++++++++++++++++++++++++++++++++++++++++++
...edited...
--== Initialization Complete ==--

,,_ -*> Snort! <*-
o" )~ Version 2.3.3 (Build 14)
'''' By Martin Roesch & The Snort Team: http://www.snort.org/team.html
(C) Copyright 1998-2004 Sourcefire Inc., et al.


Snort sucessfully loaded all rules and checked all rule chains!
...edited...
Snort exiting

Now that I know Snort will run with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 new rules, I copy cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 directories on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Sguil server corresponding to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 rules used on a sensor. I also copy cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 sensor itself after creating an archive of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 new rules.

Once I unpack cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 new rules on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 sensor, I try running 'snort -T' again to double-check cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 validity of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 rules. If cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 rules pass (and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y should, being a copy of what I just validated), I shut down cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 old Snort process and start a new one.

Thursday, June 23, 2005

Bleeding Snort Starts snort.conf Collection

I read an announcement yesterday that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Bleeding Snort project has started recommending snort.conf files. I posted cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following comment at Bleeding Snort:


Hello,

I think this sample snort.conf project is a great idea.

One concern I have is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 general reliance on output_database to insert Snort alerts into databases. output log_unified and output alert_unified have been available for around four years, but many snort.conf files and configuration guides still insist on using output database.

For example, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 snort.conf addition that I recommend in my Sguil installation guide uses

output log_unified: filename snort.log, limit 128

Not using Barnyard can be a real performance killer. If cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Snort process and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 database are on separate systems, especially across Internet space, Snort will definitely drop packets as it tries to insert alerts.

Thank you,

Richard


I do not understand why people insist on deploying Snort without Barnyard, FLoP, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 recently resurrected Mudpit, or anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r output spool reader. When Snort processes a packet, and needs to insert an alert into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 database, Snort blocks while processing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 insert. Snort is not multi-threaded. If your database inserts are slower than cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ability of Snort to keep up with packet processing, you will drop packets. If your Snort process and DB are different boxes, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 link goes down, Snort will have major problems.

Barnyard and ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r spool readers make a huge difference. Snort writes its output to disk. Barnyard reads cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 output and takes care of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 inserts to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 DB.

Decoupling that process allows Snort to run as fast as possible, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system becomes more tolerant of delays or breaks in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 line between cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 sensor and DB.

Only in late 2004 did cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 SHADOW Snort distribution make Barnyard cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 default output processing system. This guide still avoids Barnyard. I won't name any ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r installation guides that rely on output_database, but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re are plenty ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs out cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re.

Wednesday, June 15, 2005

Bleeding Snort Innovations

Several interesting projects are taking shape at Bleeding Snort, described as "cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 aggregation point for Snort signatures and research." The spyware Blackhole DNS project collects domain names identified with spyware and provides a hosts file pointing to localhost for each. Matt Jonkman now wants to extend cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 idea to create cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Spyware Listening Post.

Racá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r than have a domain like 1000funnyvideos.com point to localhost (127.0.0.1), cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Spyware Listening Post proposes resolving cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 host to an IP address operated by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 SLP project. The SLP will measure cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 requests to gacá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r intelligence on spyware. This is an interesting idea and I look forward to seeing how it develops.

Bleeding Snort also houses cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Snort Test Suite. Nothing appears to have been released, but it would be cool to see cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m coordinate with Turbo Snort Rules.

Finally, I found a funny thread in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 bleeding-sigs mailing list. Essentially a commercial vendor complained about a change in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Bleeding Snort rule set:

"These new SSH signatures brought down all of our customer's Snort installations because that SSH_PORTS variable is not in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 default snort.conf file."

Why did that happen?

"The AWCC [cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 vendor's product] now downloads signatures from bleeding-edge automatically, I'm sure cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re are ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r tools that do cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same."

Good grief -- what a poor design decision. A commercial vendor retrieves and runs rules on a customer-deployed system "automatically?" How difficult is it to perform even a basic test of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 rules to ensure cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y don't break something, before deploying on production boxes? That's embarrassing. Consider this minor breakage a lesson in good engineering, as Mike Poor confirms.

Tuesday, June 07, 2005

Testing New Rules with TurboSnortRules.org

On Sunday I wrote about TurboSnortRules.org. Today I saw a post to snort-users asking if anyone had rules to detect W32.Mytob.DL@mm. One response recommended checking Bleeding Snort new rules. Looking cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re I found WORM_Mytob rules in a Web-browsable CVS format. Very nice.

I read cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first rule and decided to see what TurboSnortRules.org had to say. I submitted cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first rule after removing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 classtype field, as TSR doesn't support it. Here was cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 response after a few minutes of waiting.



This looks like a good rule from a speed perspective; it is slightly faster than cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 average RME for most of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 stock Snort rule sets.

VigilantMinds Customer Security Systems Manager Brian Dinello sent an email in response to my first story on TSR. As I learn what I can share about upcoming project developments, I will post word here.

Sunday, June 05, 2005

Test Your Snort Rules at TurboSnortRules.org

I missed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 announcement in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Bleeding Snort forums last month of TurboSnortRules.org, a project supported by security vendor VigilantMinds. The idea is to submit a custom rule to see how it stacks up against ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r Snort rules in terms of "Relative Measure of Efficiency". Looking at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 chart below, you see various RMEs for different Snort rule sets.

The important port is to notice how a rule like this BACKDOOR WinCrash 1.0 Server Active is considered "very slow" (probably due to PCRE matches), with a RME over 4 on Snort 2.2.0, compared to something like (IPS) ::MS-SQL Worm propagation attempt, with a RME around 1.4 on Snort 2.2.0. There's also a performance Wiki with speed tips.

I think sites like this are a great idea and I thank VigilantMinds for helping Snort users understand cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 speed effects of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 rules cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y write. I don't really care how accurate it is at this point -- it's great just to know that a rule you write is much slower or much faster than an verage rule for a particular Snort rule set.

Friday, May 27, 2005

Snort Inline?

Is anyone successfully running an inline deployment of Snort on FreeBSD? If so, please email me: richard at taosecurity dot com. This guide makes it look easy, but I've tried multiple variations (bridging, routing, etc.) with Snort 2.3.3 on FreeBSD 5.4 REL and nothing works completely. Thank you.

Update: I got it working. snort-2.3.3.tar.gz doesn't work; snort_inline-2.3.0-RC1.tar.gz does. Who knew.

Tuesday, April 26, 2005

Snort Developments

I have a few news items from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Snort world. First, Snort 2.3.3 was released. This should not have any news rules, as it's not Snort 2.4.0 or Snort 3.0.0. Snort 2.3.3 does feature a so-called "mini-preprocessor" to watch for attacks exploiting Vulnerability in Exchange Server Allows Remote Code Execution (MS05-021). Code to allegedly test for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 vulnerability is here, so you might want to try testing Snort 2.3.3 with it.

Second, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Open Source Snort Rules Consortium ossrc-intro mailing list is operational. Currently cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 lead thread is asking for comments on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 latest OSSRC Charter, dated 22 March 2005. This is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same document I previously examined.

Friday, April 08, 2005

Using Snort's -k Option

I was looking for traffic to test Snort today. I found cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Honeynet Challenge Scan of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Month 27 to have just what I was looking for -- traffic caused by PsExec.

When I tried analyzing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 traffic with Snort, I did not get a single alert:

drury:/usr/local/src/snort-2.3.2$ snort
-c etc/snort.conf -r /tmp/sotm27 -b -l /tmp/snort
Running in IDS mode
TCPDUMP file reading mode.
Reading network traffic from "/tmp/sotm27" file.
snaplen = 1514

--== Initializing Snort ==--
Initializing Output Plugins!
Initializing Preprocessors!
Initializing Plug-ins!
Parsing Rules file etc/snort.conf

+++++++++++++++++++++++++++++++++++++++++++++++++++
Initializing rule chains...
...edited...
Rule application order: ->activation->dynamic->alert->pass->log
Log directory = /tmp/snort

--== Initialization Complete ==--

,,_ -*> Snort! <*-
o" )~ Version 2.3.2 (Build 12)
'''' By Martin Roesch & The Snort Team: http://www.snort.org/team.html
(C) Copyright 1998-2004 Sourcefire Inc., et al.

Run time for packet processing was 0.89519 seconds


===============================================================================

Snort processed 54536 packets.
===============================================================================
Breakdown by protocol:
TCP: 54350 (99.659%)
UDP: 186 (0.341%)
ICMP: 0 (0.000%)
ARP: 0 (0.000%)
EAPOL: 0 (0.000%)
IPv6: 0 (0.000%)
IPX: 0 (0.000%)
OTHER: 0 (0.000%)
DISCARD: 0 (0.000%)
===============================================================================
Action Stats:
ALERTS: 0
LOGGED: 0
PASSED: 0
===============================================================================
...edited...
Snort exiting

When I looked at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 alert file, it was empty:

drury:/usr/local/src/snort-2.3.2$ ls -al /tmp/snort
total 12
drwxr-xr-x 2 analyst wheel 512 Apr 8 15:49 .
drwxrwxrwt 22 root wheel 9216 Apr 8 15:49 ..
-rw------- 1 analyst wheel 0 Apr 8 15:49 alert

I couldn't figure out what was going on, but I should have looked closer at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se packets with Tcpdump's -v option:

05:08:09.525204 219.118.31.42.1025 > 172.16.134.191.137:
[bad udp cksum 5af6!] NBT UDP PACKET(137): QUERY; REQUEST;
BROADCAST (ttl 111, id 1798, len 78, bad cksum 20ce!)

05:08:09.525205 172.16.134.191.137 > 219.118.31.42.1025:
[bad udp cksum ba13!] NBT UDP PACKET(137): QUERY; POSITIVE;
RESPONSE; UNICAST (ttl 127, id 33508, len 329,
bad cksum 93f4!)

05:08:09.817956 219.118.31.42.2388 > 172.16.134.191.139:
S [bad tcp cksum 5af6!] 1943715630:1943715630(0) win 16384
(DF) (ttl 111, id 1811, len 48,
bad cksum e0e9!)

Do you see all of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 bad checksum errors? I jumped into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 #snort-gui IRC channel and talked cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 problem over with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 crew cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re. Thankfully, qru (aka Bamm Visscher) recommended using Snort's -k option:

-k checksum-mode
Tune cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 internal checksum verification functionality with
alert-mode. Valid checksum modes include all, noip, notcp,
noudp, noicmp, and none. All activates checksum verification
for all supported protocols. Noip turns off IP checksum verifi-
cation, which is handy if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 gateway router is already dropping
packets that fail cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir IP checksum checks. Notcp turns off TCP
checksum verification, all ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r checksum modes are on. noudp
turns off UDP checksum verification. Noicmp turns off ICMP
checksum verification. None turns off cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 entire checksum veri-
fication subsystem.

That did cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 trick! Here was cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 result:

drury:/usr/local/src/snort-2.3.2$ snort
-c etc/snort.conf -r /tmp/sotm27 -b -l /tmp/snort -k none
Running in IDS mode
TCPDUMP file reading mode.
Reading network traffic from "/tmp/sotm27" file.
snaplen = 1514

--== Initializing Snort ==--
Initializing Output Plugins!
Initializing Preprocessors!
Initializing Plug-ins!
Parsing Rules file etc/snort.conf

+++++++++++++++++++++++++++++++++++++++++++++++++++
Initializing rule chains...
...edited...
Rule application order: ->activation->dynamic->alert->pass->log
Log directory = /tmp/snort

--== Initialization Complete ==--

,,_ -*> Snort! <*-
o" )~ Version 2.3.2 (Build 12)
'''' By Martin Roesch & The Snort Team: http://www.snort.org/team.html
(C) Copyright 1998-2004 Sourcefire Inc., et al.

Run time for packet processing was 0.759793 seconds


===============================================================================

Snort processed 54536 packets.
===============================================================================
Breakdown by protocol:
TCP: 54350 (99.659%)
UDP: 186 (0.341%)
ICMP: 0 (0.000%)
ARP: 0 (0.000%)
EAPOL: 0 (0.000%)
IPv6: 0 (0.000%)
IPX: 0 (0.000%)
OTHER: 0 (0.000%)
DISCARD: 0 (0.000%)
===============================================================================
Action Stats:
ALERTS: 2052
LOGGED: 2122
PASSED: 0
===============================================================================
...edited...
Snort exiting

And cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re were alerts now:

drury:/usr/local/src/snort-2.3.2$ ls -al /tmp/snort
total 1164
drwxr-xr-x 2 analyst wheel 512 Apr 8 15:49 .
drwxrwxrwt 22 root wheel 9216 Apr 8 15:49 ..
-rw------- 1 analyst wheel 744877 Apr 8 15:49 alert
-rw------- 1 analyst wheel 387900 Apr 8 15:49 snort.log.1112989772

Apparently all of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 checksums were messed up when obscuring cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 victim IP addresses. The sotm27 trace uses a 172.16.0.0/16 victim IP range. These are not cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 true victim IP addresses. Whoever changed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 destination IPs did not bocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r to fix cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 packet checksums. Snort by default did not process any packet with a bad checksum, so I didn't get any alerts until I changed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 default processing mode. Thanks qru!

Sunday, March 27, 2005

Latest Snort and IDS News

Last week saw several developments involving Snort. First, Sourcefire published cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Open Source Snort Rules Consortium (OSSRC) charter (.pdf). The document states:

"The stated goals of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 OSSRC are to:

- Establish metrics and standards for Open Source Snort rule development and documentation.
- Provide a forum for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 sharing of research and information for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 development of effective Snort Rules.
- Ensure continuous support for a Snort Ruleset licensed under cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 GPL."

Sourcefire and Bleeding Snort will hold most of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 power in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 new group:

"One representative from each of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 founding member organizations, Sourcefire and Bleeding Snort, will serve in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 role of co-chair of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 OSSRC. Co-chairs will serve as managers of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 OSSRC, working as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y deem necessary to uphold cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 mission of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 OSSRC. They will hold veto power over any vote of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 membership, though any such veto may be overturned by a vote of three-quarters (_) of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 membership."

I'm not sure why I see "(_)" several times in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 document, but I reproduced it above.

To get involved, become a general member:

"The primary role of general members will be to share research information, rule development, testing facilities, etc with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 consortium. In addition, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y will be provided cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 opportunity to discuss and vote upon proposals introduced or sponsored by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 officers. Proposals may be passed by a simple majority of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 voting members of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 OSSRC."

I plan to join cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 OSSRC. If you'd like to as well, email jennifer dot steffens at sourcefire.com or matt at infotex dot com.

The second piece of Snort news is a Bleeding Snort announcement: Demarc is now sponsoring cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Bleeding Snort project. According to news on Demarc's Community Portal:

"Demarc is pleased to announce our official sponsorship of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Bleeding Snort Project. Bleeding Snort has long proven itself as an authority in cutting edge snort rules. Demarc is proud to add cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 support of our Threat Research Team behind this project and we're excited to be able to help Matt and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 rest of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Bleeding Snort team continue cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir excellent work in creating and bringing togecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 most up to date Snort-based rules for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 entire security community."

I guess it took three weeks for Demarc to realize cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y weren't getting any traction with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir initiative to maintain a separate Snort rule base. Their so-called "Demarc Certified Open Signatures" are still posted without appropriate copyright notices, as far as I can tell.

The last bit of Snort news comes in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 form of a new Gigabit IDS Group Test from The NSS Group. You would think that at least six year's worth of commercial Web presence would merit a more modern Web page and less underlining of all text! In any case, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir new report is interesting as only products from Sourcefire and ISS are mentioned. Why? The report states:

"For this significant group test we invited all cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 major vendors in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Network IDS market place (if anyone reading this is a vendor who was not invited, please do let us know). Five agreed to take part and be tested using our latest methodology, including:

Internet Security Systems, Inc.

Sourcefire, Inc.

Three of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 five devices submitted for testing failed one or more of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 tests and were not awarded NSS Approved. They do not appear in this report, leaving cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 two listed above, both of which achieved NSS Approved status. Ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs were not able to submit products in time for this round of testing, and will thus be included in Edition 4."

I would like to know which three failed, although I guess NSS is letting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m save face by remaining anonymous. I intend to take a close look at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 NSS testing methodology when I have more time.

Friday, March 18, 2005

SearchSecurity.com on Snort Rules

I just noticed that SearchSecurity.com published an article titled Snort (rules) for sale. I was quoted after cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 article's author, Shawna McAlearney, read coverage on this blog. I thought Shawna's article was "fair and balanced."

Saturday, March 12, 2005

More Snort News

I have several developments to report from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Snort front. First, Jeremy Hewlett announced Thursday cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 release of Snort 2.3.2. This version is a quick response to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 problem parsing Bleeding Snort rules reported shortly after Snort 2.3.1 arrived. I think this release was quickly pushed out cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 door to demonstrate that Sourcefire was not trying to lock out Bleeding Snort users. This is smart; cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re's no need to repeat a Microsoft-style "DOS isn't done until Lotus won't run" situation with Snort!

Speaking of Bleeding Snort, Matt Jonkman announced Friday work on a new "Open Source Snort Rules Consortium." He says:

"The OSSRC will be a group that any company or organization will be welcome to join. The members will share research on new threats and rules to handle those threats, with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 goal of creating a unified community-based ruleset. Each member may post cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se rules wherever cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y choose, distribute cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir clients or customers, or use cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir own subscription services according to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 provisions in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 GPL. The goals of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 group are still forming, but initially will be to:

1. Maintain a fast moving and GPL-licensed Snort ruleset
2. Avoid rule duplication amongst community rulesets, both in terms of content and SIDs
3. Improve and enforce quality standards for rules (documentation, etc.)
4. Possibly move to a Stable and Unstable rule 'vetting' process"

It will be interesting to see how this rule set progresses. If you visit cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Snort rules download page you'll see three sets of rules:

- Sourcefire VRT Certified Rules - The Official Snort Ruleset (subscription release)

- Sourcefire VRT Certified Rules - The Official Snort Ruleset

- Community Rules

The first are cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 latest and greatest, available to subscribers. The second are cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 five-day-delay version of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first set, available to registered users. The third are new, and include:

- community-exploit.rules
- community-ftp.rules
- community-game.rules
- community-inappropriate.rules
- community-mail-client.rules
- community-sql-injection.rules
- community-virus.rules
- community-web-cgi.rules
- community-web-client.rules
- community-web-dos.rules
- community-web-misc.rules

A look at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 sid-msg.map summarizes cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 rules included in this first community rule set. Observe that some of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 files (community-web-dos.rules, for example) are empty:

# Copyright 2005 Sourcefire, Inc. All Rights Reserved.
# This file is licensed under cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 GNU General Public License.
# Please see cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file LICENSE in this directory for more details.
# Id SID -> MSG map

100000100 || COMMUNITY EXPLOIT Windows Acrobat Reader Activex Overflow Flowbit || cve,2004-0629 || bugtraq,10947
100000101 || COMMUNITY EXPLOIT Windows Acrobat Reader Activex Overflow Exploit || cve,2004-0629 || bugtraq,10947
100000102 || COMMUNITY GAME Halocon Denial of Service Empty UDP Packet || bugtraq,12281
100000103 || COMMUNITY GAME Breed Game Server Denial of Service Empty UDP Packet || bugtraq,12262
100000104 || COMMUNITY GAME Amp II 3D Game Server Denial of Service Empty UDP Packet || bugtraq,12192
100000105 || INAPPROPRIATE lolita sex
100000106 || COMMUNITY SQL-INJECTION Microsoft BizTalk Server 2002 rawdocdata.asp || bugtraq,7470 || cve,2003-0118 || url,www.microsoft.com/technet/security/bulletin/MS03-016.mspx
100000107 || COMMUNITY SQL-INJECTION Microsoft BizTalk Server 2002 RawCustomSearchField.asp || bugtraq,7470 || cve,2003-0118 || url,www.microsoft.com/technet/security/bulletin/MS03-016.mspx
100000108 || COMMUNITY SQL-INJECTION OpenBB board.php || bugtraq,7404
100000109 || COMMUNITY SQL-INJECTION OpenBB member.php || bugtraq,7404
100000110 || COMMUNITY VIRUS Dabber PORT overflow attempt port 5554 || MCAFEE,125300
100000111 || COMMUNITY VIRUS Dabber PORT overflow attempt port 1023 || MCAFEE,125300
100000112 || WEB-CGI Readfile.tcl Access || bugtraq,7426
100000113 || COMMUNITY WEB-CGI HappyMall Command Execution member_html.cgi || bugtraq,7530 || cve,2003-0243
100000114 || COMMUNITY WEB-CGI HappyMall Command Execution normal_html.cgi || bugtraq,7530 || cve,2003-0243
100000115 || COMMUNITY WEB-CGI PHP-Nuke Web_Links Path Disclosure Null CID || bugtraq,7589
100000116 || COMMUNITY WEB-CGI PHP-Nuke Web_Links Path Disclosure Non-Numeric CID || bugtraq,7589
100000117 || COMMUNITY WEB-CGI VBulliten Remote Command Execution Attempt || bugtraq,12542
100000118 || WEB-CLIENT Internet Explorer URLMON.DLL Content-Type Overflow Attempt || bugtraq,7419 || cve,2003-0113 || url,www.microsoft.com/technet/security/bulletin/MS03-015.mspx
100000119 || WEB-CLIENT Internet Explorer URLMON.DLL Content-Encoding Overflow Attempt || bugtraq,7419 || cve,2003-0113 || url,www.microsoft.com/technet/security/bulletin/MS03-015.mspx
100000121 || COMMUNITY WEB-MISC Test Script Access
100000122 || COMMUNITY WEB-MISC mod_jrun overflow attempt || bugtraq,11245 || cve,2004-0646
100000123 || INAPPROPRIATE preteen sex
100000124 || INAPPROPRIATE girls gone wild

That's only 24 rules at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 moment. Let's look at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first two:

alert tcp $HOME_NET any -> $EXTERNAL_NET $HTTP_PORTS
(msg:"COMMUNITY EXPLOIT Windows Acrobat Reader Activex Overflow Flowbit";
flow:to_server,established; pcre:"/.{1050,}/U"; flowbits:set,uri.size.1050;
flowbits:noalert; reference:cve,2004-0629; reference: bugtraq,10947;
classtype:attempted-user; sid: 100000100; rev:1;)

alert tcp $EXTERNAL_NET $HTTP_PORTS -> $HOME_NET any
(msg:"COMMUNITY EXPLOIT Windows Acrobat Reader Activex Overflow Exploit";
flow:to_client,established; content:"Content-Type|3A|"; nocase;
pcre:"/^Content-Type\x3a\s*application\x2f(pdf|vnd\x2efdf|
vnd\x2eadobe\x2exfdf|vnd\x2eadobe\x2exdp+xml|vnd\x2e\ adobe\x2exfd+xml)/smi";
flowbits:isset,uri.size.1050; reference:cve,2004-0629; reference:bugtraq,10947;
classtype:attempted-user; sid:100000101; rev:1;)


When I met with Marty on Thursday, he said that rules like cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first one that invoke PCRE but do not use a content match really slow down cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 detection engine. The second rule also uses (complicated) PCRE, but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re is a content match.

Given cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 limited number of rules in this community set, I can see why a company like StillSecure decided to sponsor Bleeding Snort. StillSecure's IDS is built on Snort, so cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y have an incentive to sponsor signature research.

Thursday, March 10, 2005

Visiting Sourcefire

Today I visited cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Columbia, MD headquarters of Sourcefire with DC Snort Users Group founder Keith McCammon, pictured with me at left. We drove up from our Falls Church, VA office to meet with Sourcefire founder and Snort creator Marty Roesch. Sourcefire is housed in an Ikea-type building constructed to house optical networking start-ups during cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 dot-com craze. In addition to Sourcefire, Optical Capital Group Ventures and anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r company called Debt Shield share cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 space.

We started our conversation with Marty by discussing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 new VRT Certified Rules License Agreement. Marty said that Sourcefire isn't a "nameless, faceless company. Real people work here." He demonstrated Sourcefire's commitment to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 security community by mentioning cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 change to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Audit clause, previously reported here. Marty reported that many companies, several of which he was previously unaware, have reported interest in Snort Integrator licenses. As of this afternoon almost 2,000 people had already registered for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 new rules system. The revenue collected from those who choose to subscribe and those who purchase Integrator Licenses will be reinvested in rule development. Sourcefire employees seven people on its Vulnerability Research Team to create and test rules. They include Judy Novak, who I had not seen for several years.

Besides helping to pay rule developer salaries, revenue from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 new rules system will also help pay for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 equipment Sourcefire uses to develop and test Snort. At right is a picture of one of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 racks of networking and testing infrastructure Sourcefire owns. The racks holds $500,000 worth of Spirent Avalanche and Spirent SmartBits network traffic and load generation gear. When Sourcefire develops a new rule, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y don't just run Tcpreplay to pass traffic and test Snort's ability to trigger an alert. (I'm not faulting Tcpreplay -- it's a great tool and I use it often. In fact, Aaron just announced cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 release of Tcpreplay 3.0beta1, with many new capabilities.)

Sourcefire tests that Snort is able to trigger an alert while watching a loaded network. I would like to see someone replicate this setup in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir basement! In ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r words, it's not going to happen at anywhere near cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same level of quality assurance. This is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 problem I have with ventures like those of Demarc and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 mysterious Mr. Alternative Ruleset. Users should always be able to create cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir own rules, as that is one of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 strengths of an open system like Snort. However, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y must be exceedingly careful not to cripple cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir IDS by writing poor rules.

At left is a picture of some of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 racks containing servers Sourcefire uses to develop Snort and associated components. Marty said cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 company has over 26 racks with more than 300 servers. They maintain gear for every version of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir appliance cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y've shipped. They also have target ranges and plenty of development systems. When Sourcefire develops a new rule, for example, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y perform 6.8 million regression tests to ensure cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 new rule does not adversely affect cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 rest of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 rule base. Sometimes cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se tests take up to four hours per change, even with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 load distributed across multiple servers. Sourcefire takes great care to ensure that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir rules will not cause Snort to waste excessive time processing packets. Marty told how a rule developed by an external Snort user once made such poor use of PCRE that it took Snort 3 seconds to process each packet!

After looking at Sourcefire's server room, we toured cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 workspace. Marty employees over 60 people in his Columbia, MD location at over 100 worldwide. In addition to meeting with Judy Novak, who works on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 VRT, we also spoke with Snort rule uber-creator Brian Caswell. I mentioned that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Snort 2.3.1 ruleset had new rules not in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 2.3.0 distribution. bmc told me that 2.3.1 packaged all of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 new rules up to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 date of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 new licensing structure, which was 7 March. We discussed having a future DC Snort Users Group meeting closer to Columbia, MD to accommodate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 schedules of Marty and Brian. I was surprised to see so many people working on Snort -- you can see in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 picture cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 row upon row of cubicles. There were two engineering meetings happening when I took cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 photo, so many desks are empty.

After touring cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 floor we spoke to Marty about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 future of Sourcefire. He is excited about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 new IS5800 appliance. "This will take cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 performance issue off cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 table, and leave detection technology as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 key metric," Marty said. Previously companies like Sourcefire were criticized for not being able to keep up with offerings by Tipping Point. Marty reminded us that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ability to process packets per second was more important than a device's "Gigabit" rating. I saw cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 IS5800 myself, so it is not just marketing hype. I think it will be an amazing piece of gear for those who want to run Snort at speeds over 1 Gigabit.

Near cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 end of our visit Marty made some interesting points about market pressure on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 security scene. He said Sourcefire felt cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 heat from Gartner's declaration that IDS is dead. (Incidentally, I reported in 2003 that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Meta Group countered Gartner's worldview by saying "network and host intrusion detection systems (IDS) [are] high on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 shopping list" of big businesses. Unfortunately, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir point of view died when Gartner acquired Meta for $162 million in December 2004.) The integration of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Snort-inline code gives stock Snort cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 capability to do IPS, which is currently cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "hot topic" for security purchasers. Apparently security commentators and reporters want nothing to do with intrusion detection; it's all about IPS now. Unfortunately, we all know that prevention eventually fails.

Keith and I thanked Marty for spending nearly two hours with us. We drove down cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 street and met Tenable Security founder and CTO Ron Gula for lunch. Ron made some good comments concerning cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 state of security certifications when he heard I passed my CCNA exam. He said that no one can agree on how to approach cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 security problem. He divided cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 world into people that "do" firewalls, IDS, vulnerability scanning, code audits, and a few ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r categories. Each buys cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 product and/or service that fits cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir world view. No one can agree on a standardized methodology to secure a network. Some people think cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 CISSP meets this need, but anyone who has taken cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 test knows cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 CISSP fails miserably in this respect. I posted in 2003 some thoughts on good certification features, and I wrote in The Tao that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 best aspect of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 CISSP is its code of ethics.

At some point in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 future I would like to spend some time at Tenable to get a better look at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir operations as well. Thanks to both Marty and Ron for spending some time with us today!

Snort 2.3.1 Released, Audit Clause Modified

Jeremy Hewlett announced that Snort 2.3.1 is now available. According to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 announcement, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re are only supposed to be new rules in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 major releases (e.g., 2.4.0, 3.0.0 -- not 2.3.1). However, a cursory inspection of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 new rules in 2.3.1 revealed some additions. For example:

drury:/usr/local/src$ diff snort-2.3.0/rules/backdoor.rules
snort-2.3.1/rules/backdoor.rules
3c3
< # $Id: backdoor.rules,v 1.44.2.4 2005/01/17 23:52:48 bmc Exp $
---
> # $Id: backdoor.rules,v 1.44.2.5 2005/03/01 18:57:08 bmc Exp $
102a103,104
> alert tcp $EXTERNAL_NET any -> $HOME_NET 31337
(msg:"BACKDOOR BackOrifice 2000 Inbound Traffic";
flow:to_server,established; content:"|31 6a d0 d9|";
classtype:trojan-activity; sid:3155; rev:1;)

> alert tcp $EXTERNAL_NET any -> $HOME_NET 3127:3198
(msg:"BACKDOOR mydoom.a backdoor upload/execute attempt";
flow:to_server,established; content:"|85 13 3c 9e a2|";
depth:5; classtype:trojan-activity; sid:3272; rev:1;)

Here's an example of a rule upgrade:

drury:/usr/local/src$ diff snort-2.3.0/rules/exploit.rules
snort-2.3.1/rules/exploit.rules
3c3
< # $Id: exploit.rules,v 1.63.2.3 2005/01/17 23:52:48 bmc Exp $
---
> # $Id: exploit.rules,v 1.63.2.5 2005/03/01 18:57:08 bmc Exp $
59c59
< alert udp any 4000 -> any any (msg:"EXPLOIT ICQ
SRV_MULTI/SRV_META_USER email overflow attempt";
content:"|05 00|"; depth:2; byte_jump:2,0,relative,little;
byte_test:2,>,128,0,relative,little; content:"|12 02|";
within:2; distance:5; byte_test:1,>,1,12,relative;
content:"|05 00|"; distance:0; content:"n|00|"; within:2;
distance:5; content:"|05 00|"; content:"|DE 03|"; within:2;
distance:5; byte_jump:2,18,relative,little;
byte_jump:2,0,relative,little;
reference:url,www.eeye.com/html/Research/Advisories/AD20040318.html;
classtype:misc-attack; sid:2446; rev:4;)
---
> alert udp any 4000 -> any any (msg:"EXPLOIT ICQ
SRV_MULTI/SRV_META_USER overflow attempt"; content:"|05 00|";
depth:2; content:"|12 02|"; distance:5; within:2;
byte_test:1,>,1,12,relative; content:"|05 00|"; content:"|6E 00|";
distance:5; within:2; content:"|05 00|"; content:"|DE 03|";
distance:5; within:2; byte_test:2,>,512,-11,relative,little;
reference:cve,2004-0362;
reference:url,www.eeye.com/html/Research/Advisories/AD20040318.html;
classtype:misc-attack; sid:2446; rev:5;)
84c84

Sourcefire has also responded to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 complaints of its users by modifying cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 VRT Certified Rules License. The Audit clause has been replaced by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following:

"11. License Compliance.

You may be requested by Sourcefire to provide a certificate, signed by your authorized representative, that you are using cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 VRT Certified Rules consistent with a Permitted Use. In cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 event your use of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 VRT Certified Rules is not in compliance with a Permitted Use, or if you ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rwise violate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 terms of this Agreement, Sourcefire may, since remedies at law may be inadequate, in addition to its ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r remedies:

(a) demand return of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 VRT Certified Rules;

(b) forbid and enjoin your furcá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r use of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 VRT Certified Rules;

(c) assess you a use fee appropriate to your actual use of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 VRT Certified Rules."

I think this is much more reasonable. You may want to still run it by your corporate counsel before agreeing, if you want to use Snort in your environment as a registered user.