Showing posts with label vulnerabilities. Show all posts
Showing posts with label vulnerabilities. Show all posts

Friday, January 05, 2018

Spectre and Meltdown from a CNO Perspective

Longtime readers know that I have no problem with foreign countries replacing American vendors with local alternatives. For example, see Five Reasons I Want China Running Its Own Software. This is not a universal principle, but as an American I am fine with it. Putting my computer network operations (CNO) hat on, I want to share a few thoughts about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 intersection of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 anti-American vendor mindset with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 recent Spectre and Meltdown attacks.

There are probably non-Americans, who, for a variety of reasons, feel that it would be "safer" for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m to run cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir cloud computing workloads on non-American infrastructure. Perhaps cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y feel that it puts cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir data beyond cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 reach of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 American Department of Justice. (I personally feel that it's an over-reach by DoJ to try to access data beyond American borders, eg Microsoft Corp. v. United States.)

The American intelligence community and computer network operators, however, might prefer to have that data outside American borders. These agencies are still bound by American laws, but those laws generally permit exploitation overseas.

Now put this situation in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 context of Spectre and Meltdown. Begin with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attack scenario mentioned by Nicole Perlroth, where an attacker rents a few minutes of time on various cloud systems, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n leverages Spectre and/or Meltdown to try to gacá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r sensitive data from ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r virtual machines on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same physical hardware.

No lawyer or judge would allow this sort of attack scenario if it were performed in American systems. It would be very difficult, I think, to minimize data in this kind of "fishing expedition." Most of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data returned would belong to US persons and would be subject to protection. Sure, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re are conspiracy cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365orists out cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re who will never trust that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 US government follows its own laws. These people are sure that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 USG already knew about Spectre and Meltdown and ravaged every American cloud system already, after doing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "Intel Management Engine backdoors."

In reality, US law will prevent computer network operators from running cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se sorts of missions on US cloud infrastructure. Overseas, it's a different story. Non US-persons do not enjoy cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same sorts of privacy protections as US persons. Therefore, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 more "domestic" (non-American) cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 foreign target, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 better. For example, if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 IC identified a purely Russian cloud provider, it would not be difficult for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 USG to authorize a Spectre-Meltdown collection operation against that target.

I have no idea if this is happening, but this was one of my first thoughts when I first heard about this new attack vector.

Bonus: it's popular to criticize academics who research cybersecurity. They don't seem to find much that is interesting or relevant. However, academics played a big role in discovering Spectre and Meltdown. Wow!

Thursday, February 12, 2015

Focus on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Threat: Bank Heists

Thief Retrieves Cash, from Bloomberg Businessweek
The February 2nd issue of Bloomberg Businessweek featured a story titled Boom: Inside a British Bank-Bombing Spree. The article describes how "five men, dressed all in black" used "crowbars, power tools, coils of flexible tubing, and two large tanks of explosive gas" to blow apart ATMs in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 UK, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n retrieve cash inside.

The story opens by describing a raid that netted "almost £250,000, or about $375,000" and

was cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 group’s biggest score in a single night yet. Their MO, using cheap, common, and legal gas, was nearly impossible to trace, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y left precious little forensic evidence for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 police. To stop cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 rampage, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re was little Britain’s banks could do.

What is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 history of this sort of attack? The article states:

Bank security experts think cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first ATM gas attack may have been in Italy in 2001. Early statistics are shaky, but by 2005 cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re were almost 200 across cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 continent, according to EAST, or cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 European ATM Security Team. (Their figures include physical explosives, but gas dominates.) In 2013 cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re was a 31 percent increase from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 year before, to 696 attacks in eight countries. Gas bomb gangs have struck in Australia (2008), Brazil (2010), and Chile (2014), but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y’re primarily a European phenomenon. 

Now, I know how many of my readers think. They jump immediately to consider technical approaches for countering this attack pattern. Indeed, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Bloomberg article includes cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following:

The rise in gas attacks has created a market opportunity for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 companies that construct ATM components. Several manufacturers now make various anti-gas-attack modules: Some absorb shock waves, some detect gas and render it harmless, and some emit sound, fog, or dye to discourage thieves in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 act.

This is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 standard reaction from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 tech community: treat every problem as an engineering challenge, preferably to be solved by a start-up!

Thinking in terms of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 risk equation (R = V x T x A), cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 engineers want to reduce cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Vulnerability, or V, and consequently reduce Risk, or R.

(It might also be possible to reduce A, or Asset value, by having less money in ATMs. As we move to a cash-deficient society, that's possible. However, it doesn't address cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 immediate problem -- dozens of crime scenes, with more expected.)

Suspects and Convicts: Bloomberg Businessweek
However, despite cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 friendly engineer's desire to refactor cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 environment, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 article spends only cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 three sentences cited earlier on technical solutions. Instead, and appropriately here, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 article explains how law enforcement worked on identifying and arresting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 threat actors (T), eliminating cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 risk equation.

Now, it's entirely possible that ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r threat actors could take on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ATM-exploding mantle, replacing those who have been arrested. However, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 police have demonstrated that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y have cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 capability to perform threat attribution and containment. We will have to see if this sort of crime continues in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 UK, or if it shifts elsewhere.

Incidentally, it may have been cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 introduction of better digital security that resulted in a rise of physical crime. The article says:

It’s a low-tech, low-investment, more immediate alternative to modern thievery involving card skimmers, PIN–capturing cameras, and malware. ATM fraud is declining steeply in Europe, EAST says, down 42 percent in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first half of 2014 compared with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same period in 2013, while physical attacks—explosions, plus crowbar jobs, “ram raids,” etc.—are up 3 percent.

What does this mean for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 US?

As far as anyone knows, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re has never been a gas attack on an American ATM. The leading cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ory points to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 country’s primitive ATM cards. Along with Mongolia, Papua New Guinea, and not many ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r countries, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 U.S. doesn’t require its plastic to contain an encryption chip, so stealing cards remains an effective, nonviolent way to get at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 cash in an ATM. 

Encryption chip requirements are coming to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 U.S. later this year, though. And given cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 gas raid’s many advantages, it may be only a matter of time until cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 back of an American ATM comes rocketing off.

The bottom line for me is this: it's entirely appropriate for engineers to develop more secure products to reduce vulnerabilities. However, it's also entirely appropriate for law enforcement to identify, arrest, and prosecute threat actors. That requires attribution and forensics. In ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r words, identifying cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 threat is a necessary and critical aspect of security, as it has been in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 physical world and is finally being recognized as such in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 digital world.

And for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 record, I still like engineers and start-ups, including engineers who work at start-ups.

Tuesday, September 25, 2012

Unrealistic "Security Advice"

I just read a blog post (no need to direct traffic cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re with a link) that included cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following content:

This week, I had cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 opportunity to interview cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 hacking teams that used zero-day vulnerabilities and clever exploitation techniques to compromise fully patched iPhone 4S and Android 4.0.4 (Samsung S3) and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 big message from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se hackers was simple: Do not use your mobile device for *anything* of value, especially for work e-mail or cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 transfer of sensitive business documents.

For many, this is not practical advice. After all, your mobile device is seen as an extension of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 computer and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re is a legitimate need to access work e-mail on iPhone/iPad, Android and BlackBerry smart phones. However, whecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r you are a businessman, a celebrity or cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 average consumer, it's important to start wrapping your mind around cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 idea of separating work from play on mobile devices.

This author is well-meaning, but he completely misses cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 bigger picture.

Against a sufficiently motivated and equipped adversary, no device is impenetrable.

Mobile devices are simply cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 latest platform to be vulnerable. There is no reason to think your corporate laptop is going to survive any better than your iPhone.

Now, I believe that non-mobile devices enjoy some protections that make cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m more defensible compared to mobile devices. Servers and workstations are generally "wrapped" with multiple defensive layers. Laptops benefit from those layers when connected to a corporate network, but may lose cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m when mobile. Still, even with those layers, intruders routinely penetrate networks and accomplish cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir missions.

One might also argue that mobile devices are more likely to be lost or stolen. I agree with that. However, full device encryption and passcodes can mitigate those risks. That's not cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same as "zero-day vulnerabilities and clever exploitation techniques" however.

Despite cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se limitations, we still conduct work on computing devices. If we didn't, what would be cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 point?

We would be much better served if we accepted that prevention eventually fails, so we need detection, response, and containment for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 incidents that will occur.

Software developers and security engineers should of course continue to devise better protection and resistance mechanisms, but we must remember we face an intelligent adversary who will figure out how to defeat those countermeasures.

Saturday, July 03, 2010

Lessons from NETOPS vs CND

Volume 13 Issue 2 of IATAC's IA Newsletter features an article titled Apples and Oranges: Operating and Defending cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Global Information Grid by Dr Robert F Mills, Maj Michael Birdwell, and Maj Kevin Beeker. The article nicely argues for refocusing DoD's "NETOPS" and "CND" missions, where cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 former is defined currently as

activities conducted to operate and defend cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Global Information Grid

and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 latter is defined currently as

actions taken to protect, monitor, analyze, detect, and respond to unauthorized activity within DoD information systems and computer networks.

After spending years to "converge" cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 two missions, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 authors argue DoD needs to separate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m (as I understand cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Air Force has done, bringing back cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 AFCERT for example).

I'd like to present selected excerpts with my own emphasis.

Cyberspace is a contested, warfighting domain, but we’re not really treating it as such, partly because our language and doctrine have not matured to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 point that allows us to do so.

One reflection of our immature language is our inability to clearly differentiate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 concepts of network operations (NETOPS) and computer network defense (CND). This creates confusion about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 roles and responsibilities for provisioning, sustaining, and defending cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 network — much less actually using it.

Only by separating cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se activities can we more effectively organize, train, and equip people to perform those tasks...

Effective CND uses a defense-in-depth strategy and employs intelligence, counterintelligence, law enforcement, and ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r military capabilities as required. However, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 CND culture is largely one of information assurance (e.g., confidentiality, integrity, and availability), system interoperability, and operations and maintenance (O&M).

Many of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 things that we routinely call ‘cyberspace defense’ in cyberspace are really just O&M activities — such as setting firewall rules, patching servers and workstations, monitoring audit logs, and troubleshooting circuit problems...

[W]e do not treat cyberspace operations like those conducted in ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r domains... [T]housands of systems administrators routinely count and scan computers to ensure that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir software and operating system patches are current. The objective is 100% compliance, but even if we could achieve that, this is a maintenance activity.

(Indeed, do we even really know how many computers we have, let alone how many are compliant?)

This is no more a defensive activity than counting all cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 rifles in an infantry company and inspecting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m to ensure that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y are properly cleaned and in working order.

Our current NETOPS/CND mindset is intentionally focused inward... Contrast this with a traditional warfighting mentality in which we study an adversary’s potential courses of action, develop and refine operational plans to meet national and military objectives, parry thrusts, and launch counter attacks.

While we do worry about internal issues such as security, force protection, logistics, and sustainment, our focus remains outward on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 adversary.


Does that sound familiar? An "outward focus on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 adversary" reminds me of my concept of threat-centric security instead of "inward" or vulnerability-centric security.

Our intent is not to diminish cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 importance of NETOPS activities... But cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y are not defensive activities — at least not in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 classical understanding of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 concept. Turning to Carl von Clausewitz, we see a much different concept of defense than is currently applied to cyberspace:

"Pure defense, however, would be completely contrary to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 idea of war, since it would mean that only one side was waging it....

But if we are really waging war, we must return cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 enemy’s blows; and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se offensive acts in a defensive war come under cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 heading of ‘defense’ – in ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r words, our offensive takes place within our own positions or cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ater of operations.

Thus, a defensive campaign can be fought with offensive battles, and in a defensive battle, we can employ our divisions offensively... So cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 defensive form of war is not a simple shield, but a shield made up of well-directed blows."


I find it interesting to see cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se authors cite Clauswitz. Anyone notice attrition.org blast Sun Tzu but speak better of Clauswitz recently?

These definitions of defense do not sound like our current approach to NETOPS and CND. Clausewitz might say we have a shield mentality about cyber defense...

An active defense — one that employs limited offensive action and counterattacks to deny cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 adversary — will be required to have a genuinely defensive capability in cyberspace.

Our recommendations to remedy this situation are as follows:

  1. Redefine NETOPS as “actions taken to provision and maintain cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 cyberspace domain.” This would capture cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 current concepts of operations and maintenance while removing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ambiguity caused by including defense within cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 NETOPS construct.

  2. Leverage concepts such as ‘mission assurance’ and ‘force protection’ to help change cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 culture and engage all personnel — users, maintainers, and cyber operators. Everyone has a role in security and force protection, but we are not all cyber defenders. Force protection and mission assurance are focused inward on our mission.

  3. Redefine our CND construct to be more consistent with our approach to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 concept of ‘defense’ in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r domains of warfare, to include cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 concept of active defense. This would shift cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 concept from maintenance to operations, from inward to outward (to our adversaries). CND is about delivering warfighting effects (e.g., denying, degrading, disrupting, and destroying cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 cyber capabilities of our adversaries).



I like cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se three recommendations from a corporate point of view:

  1. IT provides "NETOPS".

  2. User and management training and awareness are "force protection" activities.

  3. CIRTs with Red capabilities, authorized to perform "active defense" against adversaries, perform "CND."


What do you think?

Wednesday, November 25, 2009

Shodan: Anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r Step Towards Intrusion as a Service

If you haven't seen Shodan yet, you're probably not using Twitter as a means to stay current on security issues. Shoot, I don't even follow anyone and I heard about it.

Basically a programmer named John Macá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rly scanned a huge swath of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Internet for certain TCP ports (80, 21, 23 at least) and published cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 results in a database with a nice Web front-end. This means you can put your mind in Google hacking mode, find vulnerable platforms, maybe add in some default passwords (or not), and take over someone's system. We're several steps along cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Intrusion as a Service (IaaS) path already!

Incidentally, this idea is not new. I know at least one company that sold a service like this in 2004. The difference is that Shodan is free and open to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 public.

Shodan is a dream for those wanting to spend Thanksgiving looking for vulnerable boxes, and a nightmare for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir owners. I would not be surprised if shodan.surtri.com disappears in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 next few days after receiving a call or two from TLAs or LEAs or .mil's. I predict a mad scramble by intruders during cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 next 24-48 hours as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y use Shodan to locate, own, and secure boxes before ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs do.

Matt Franz asked good questions about this site in his post Where's cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Controversy about Shodan? Personally I think Shodan will disappear. Many will argue that publishing information about systems is not a problem. We hear similar arguments from people defending sites that publish torrents. Personally I don't have a problem with Shodan or torrent sites. From a personal responsibility issue it would have been nice to delay notification of Shodan until after Thanksgiving.

Monday, October 01, 2007

Someone Please Explain Threats to Microsoft

It's 2007 and some people still do not know cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 difference between a threat and a vulnerability. I know cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se are just cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 sorts of posts that make me all sorts of new friends, but nothing I say will change cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir minds anyway. To wit, Threat Modeling Again, Threat Modeling Rules of Thumb:

As you go about filling in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 threat model threat list, it’s important to consider cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 consequences of entering threats and mitigations. While it can be easy to find threats, it is important to realize that all threats have real-world consequences for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 development team.

At cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 end of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 day, this process is about ensuring that our customer’s machines aren’t compromised. When we’re deciding which threats need mitigation, we concentrate our efforts on those where cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attacker can cause real damage.

When we’re threat modeling, we should ensure that we’ve identified as many of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 potential threats as possible (even if you think cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y’re trivial). At a minimum, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 threats we list that we chose to ignore will remain in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 document to provide guidance for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 future.


Replace every single instance of "threat" in that section with "vulnerability" and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 wording will make sense.

Not using cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 term "threat" properly is a hallmark of Microsoft publications, as mentioned in Preview: The Security Development Lifecycle. I said this in my review of Writing Secure Code, 2nd Ed:

The major problem with WSC2E, often shared by Microsoft titles, is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 misuse of terms like "threat" and "risk." Unfortunately, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 implied meanings of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se terms varies depending on Microsoft's context, which is evidence cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 authors are using cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 words improperly. It also makes it difficult for me to provide simple substitution rules. Sometimes Microsoft uses "threat" when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y really mean "vulnerability." For example, p 94 says "I always assume that a threat will be taken advantage of." Attackers don't take advantage of threats; cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y ARE threats. Attackers take advantage of vulnerabilities.

Sometimes Microsoft uses terms properly, like cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 discussion of denial of service as an "attack" in ch 17. Unfortunately, Microsoft's mislabeled STRIDE model supposedly outlines "threats" like "Denial of service." Argh -- STRIDE is just an inverted CIA AAA model, where STRIDE elements are attacks, not "threats." Microsoft also sometimes says "threat" when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y mean "risk." The two are not synonyms. Consider this from p 87: "cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 only viable software solution is to reduce cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 overall threat probability or risk to an acceptable level, and that is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ultimate goal of 'threat analysis.'" Here we see confusing threat and risk, and calling what is really risk analysis a "threat analysis." Finally, whenever you read "threat trees," think "attack trees" -- and remember Bruce Schneier worked hard on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se but is apparently ignored by Microsoft.


These sentiments reappeared in my review of Security Development Lifecycle: Microsoft continues its pattern of misusing terms like "threat" that started with "Threat Modeling" and WSC2E. SDL demonstrates some movement on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 part of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 book's authors towards more acceptable usage, however. Material previously discussed in a "Threat Modeling" chapter in WSC2E now appears in a chapter called "Risk Analysis" (ch 9) -- but within cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 chapter, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 terms are mostly still corrupted. Many times Microsoft misuses cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 term risk too. For example, p 94 says "The Security Risk Assessment is used to determine cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system's level of vulnerability to attack." If you're making that decision, it's a vulnerability assessment; when you incorporate threat and asset value calculations with vulnerabilities, that's true risk assessment.

The authors try to deflect what I expect was criticism of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir term misuse in previous books. On p 102 cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y say "The meaning of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 word threat is much debated. In this book, a threat is defined as an attacker's objective." The problem with this definition is that it exposes cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 problems with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir terminology. The authors make me cringe when I read phrases like "threats to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system ranked by risk" (p 103) or "spoofing threats risk ranking." On p 104, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y are really talking about vulnerabilities when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y write "All threats are uncovered through cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 analysis process." The one time cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y do use threat properly, it shows cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir definition is nonsensical: "consider cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 insider-threat scenario -- should your product protect against attackers who work for your company?" If you recognize that a threat is a party with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 capabilities and intentions to exploit a vulnerability in an asset, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n Microsoft is describing insiders appropriately -- but not as "an attacker's objective."

Don't get me wrong -- cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re's a lot to like about SDL. I gave cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 book four stars, and I think it would be good to read it. I fear, though, that this is anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r book distributed to Microsoft developers and managers riddled with sometimes confusing or outright wrong ways to think about security. This produces lasting problems that degrade cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 community's ability to discuss and solve software security problems.


No one is going to take us seriously until we use cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 right terms. Argh.

Thursday, May 31, 2007

MRAPs Lose to Arms Race

Three weeks ago I wrote about Vulnerability-Centric Security regarding cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Mine Resistant Ambush Protected (MRAP) vehicle, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 US Army's replacement for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Hummvee pictured at left. I consider cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 MRAP an example of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 failures of vulnerability-centric security. This morning USA Today's story MRAPs can't stop newest weapon validates my thoughts:

New military vehicles that are supposed to better protect troops from roadside explosions in Iraq aren't strong enough to withstand cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 latest type of bombs used by insurgents, according to Pentagon documents and military officials.

As a result, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 vehicles need more armor added to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m, according to a January Marine Corps document provided to USA TODAY...

"Ricocheting hull fragments, equipment debris and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 penetrating slugs cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365mselves shred vulnerable vehicle occupants who are in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir path," said cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 document...

EFPs are explosives capped by a metal disk. The blast turns cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 disk into a high-speed slug that can penetrate armor.


Even with additional armor, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 augmented MRAPs will still be vulnerable. This is because attackers possess advantages that defenses cannot overcome. In April I wrote Threat Advantages, which describes cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 strengths I see digital threats offering.

At least John Pike understands this problem.

It's doubtful new armor can stop all EFPs, said John Pike, director of Globalsecurity, a Washington-based defense think tank.

"Short of victory, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y're going to continue to figure out ways to kill Americans," Pike said of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 insurgents. "In any war, it is measure and countermeasure."


Investor's Business Daily agrees:

[W]e know cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 insurgency won't be put down with such defensive technologies. Better armor won't kill jihadists and suicide bombers. Better intelligence and better offensive tactics will.

In cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 digital realm, offense means actions to deter, investigate, apprehend, prosecute, and incarcerate threats. Sitting behind higher, deeper walls is not cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 answer. Neicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r is trusting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 victim (cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 hardware, OS, application, or data) to defend itself.

Thursday, May 10, 2007

Vulnerability-Centric Security

The vehicle pictured at left is a Mine Resistant Ambush Protected vehicle, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 US Army's replacement for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Hummvee. I read about this vehicle in Army Times. That article said:

At a meeting to be held this week, according to a Pentagon source who spoke on condition of anonymity, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Army’s leadership is expected to request $9 billion for 9,000 MRAPs to be fielded through fiscal year 2008, with anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r 8,700 for fiscal 2009.

That's $1 million per vehicle.

I have a sinking feeling that although cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 new vehicle is "Mine Resistant," cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "Ambush Protected" part will be tested by unpredictable, creative adversaries.

What does this teach us about digital security?

Frequently I hear people refer to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "if cars were like Windows" analogy. Let's take a look at cars and PCs, given cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 MRAP is really just a fancy car.

  1. A car that doesn't start may be like a PC that doesn't boot. It could be cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 fault of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 manufacturer or cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 owner, depending on maintenance, etc. If it's cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 manufacturer's fault, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y could be held responsible for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 problem.

  2. A car that behaves erratically or in an unsafe manner while being driven may be like a PC that behaves erratically or crashes. It could be cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 fault of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 manufacturer or cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 owner, depending on maintenance, etc. If it's cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 manufacturer's fault, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y could be held responsible for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 problem.

  3. A car that gets hit by a boulder dropped from a bridge may be like a PC that is attacked by an exploit. This is not cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 fault of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 driver or PC operator -- it's cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 fault of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 threat dropping cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 boulder and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 intruder launching cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 exploit. (Even if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 PC is not patched, it's not cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 victim's "fault." If you can't accept that, consider cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 PC fully patched and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 vulnerability a zero-day.)


In cases 1 and 2, we could hold eicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 owner or cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 manufacturer responsible for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 problem, depending on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 circumstances. In case 3, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 threat is responsible.

Unfortunately, few owners are in a position to do anything about threats. If we take a vulnerability-centric approach, we end up driving vehicles like cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 MRAP and building layers of security around PCs (anti-virus, network firewalls, etc.) In both cases cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 mitigation is costly and ultimately ineffective, because cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 threat remains free to devise new and ingenious ways to inflict his will against cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 target.

Thinking we can build "invulnerable" vehicles like cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 MRAP is like Bruce Schneier thinking we can build invulnerable software. Sure, you can make more attack-resistant vehicles and software, but for what cost? Ultimately cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 threat must be directly addressed. No one thinks cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 way to peace in Iraq is by giving every Iraqi a bunker in which to live and a MRAP to drive. Why do people think we can do that with software?

Wednesday, January 24, 2007

Monitor Your Routers

Today I read this new Cisco advisory containing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se words:

Cisco routers and switches running Cisco IOS® or Cisco IOS XR software may be vulnerable to a remotely exploitable crafted IP option Denial of Service (DoS) attack. Exploitation of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 vulnerability may potentially allow for arbitrary code execution. The vulnerability may be exploited after processing an Internet Control Message Protocol (ICMP) packet, Protocol Independent Multicast version 2 (PIMv2) packet, Pragmatic General Multicast (PGM) packet, or URL Rendezvous Directory (URD) packet containing a specific crafted IP option in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 packet's IP header...

A crafted packet addressed directly to a vulnerable device running Cisco IOS software may result in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 device reloading or may allow execution of arbitrary code.


This is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 sort of "magic packet" that's an attacker's silver bullet. Send an ICMP echo with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 right IP option to a router interface and whammo -- you could 0wn cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 router. Who would notice? Most people consider cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir border router an appliance that connects to an ISP, and only begin watching traffic behind cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 router. I've been worried about this scenario since I posted Ecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rnet to your ISP in 2005 and read Hacking Exposed: Cisco Networks in 2006.

A router, like a printer, is just a computer in a different box. We should design architectures such that all nodes within our control can be independently and passively observed by a trusted platform. We should not rely on a potential target to reliably report its security status without some form of external validation, such as traffic collected and analyzed by network security monitoring processes. This Cisco advisory reminds me of a case I encountered at Foundstone. Shortly after joining cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 company in early 2002 cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Apache chunked encoding vulnerability became known in certain circles. As cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 new forensics guy on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 incident response team, I was asked how I could tell if Foundstone's Apache Web server was hacked. I replied that I would first check session data collected by a trusted sensor looking for unusual patterns to and from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Web server, as far back as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data and my time would allow.

Foundstone, being an assessment company, didn't share my opinions on NSM. No such data was available, so cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 host integrity assessment descended into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 untrustworthy and often fruitless attempt to find artifacts of compromise on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Web server itself. Of course cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Web server could not be taken down for forensic imaging, so we performed a live response and looked for anything unusual.

This case was one of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 easier ones in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 sense that all that was at stake was a single server. We didn't have a farm of Web servers, any of which could have been hacked.

Whenever I am trying to scope an incident I always turn to network data first and host data second. The network data helps decide which hosts merit additional individual scrutiny at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 host-centric level. It makes no sense and is not time-efficient to deeply or even quickly analyze a decent-sized group of potential victims.

Because most security shops do not bocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r to collect NSM data, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir first response activities usually involve a system administrator perusing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 victim file system, manually checking potentially altered or erased logs on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 target, and inspecting potentially obfuscated processes in memory controlled by a root kit. While I believe it can be important to collect live response data and even image and inspect a hard drive, I never start an incident response with those activities.

Remember: network first. I don't care if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 intruder uses an encrypted channel. As long as he has utilized cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 network in a mildly suspicious manner, I will have some validation that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system is not behaving as expected. This presumes system owners know what is normal, preferably by comparing a history of network data against more recent, potentially suspect, activity.


Copyright 2007 Richard Bejtlich

Tuesday, January 16, 2007

Intel Premier IT Security Graphic

The image at left is from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first issue of an Intel marketing magazine called Premier IT. I like it because it shows many of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 terms I try to describe in this blog, in relationship to each ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r. In English, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 graphic says something like cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following:

Threats exploit vulnerabilities, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365reby exposing assets to a loss of confidentiality/integrity/availability, causing business impact.

I disagree that business impact is mitigated by controls. I think those terms were connected to make a pretty cyclical diagram. I would also say that controls mitigate attacks (exploits) by threats, not cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 threats cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365mselves. Imprisonment mitigates threats.

The next diagram shows Intel emphasizes Policy at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 base, followed by Training and Education, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n Technology and Testing, and finally Monitoring and Enforcement. I think cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Training and Education piece is marginally effective at best, at least for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 general user population. It's tough enough for security pros to keep up with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 latest attacks. It's impossible for general users. The school of hard knocks (i.e., experience) is doing a better job teaching cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 general user population not to trust anything online. I like cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 recommendation for Continuous monitoring for attacks and policy violations.

The last diagram positions most of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 components of digital security within context. It includes Governance and Personnel, Physical Security, Network Security, Platform Security, Application Security, Storage Security, and File and Data Security. I like this image because it makes me question what aspects of this environment I understand and can personally implement.

Monday, January 08, 2007

Many Intruders Remain Unpredictable

The second of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 three security principles listed in my first book is:

Many intruders are unpredictable.

I think cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 new Adobe Acrobat Reader vulnerability demonstrates this perfectly. (I'm not calling Stefano Di Paola an intruder; anyone who uses his technique maliciously is an intruder, though.)

Who would have thought to abuse a .pdf viewer in such a manner? Read more about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 problem here.

This event reminds me of soccer goal security.

Thursday, January 04, 2007

Brian Krebs on Internet Explorer Vulnerability Window

Brian Krebs posted an excellent article titled Internet Explorer Unsafe for 284 Days in 2006. Brian writes:

For all its touted security improvements, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 release of Microsoft's new Internet Explorer 7 browser in November came too late in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 year to improve cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 lot of IE users, who make up roughly 80 percent of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 world's online community. For a total 284 days in 2006 (or more than nine months out of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 year), exploit code for known, unpatched critical flaws in pre-IE7 versions of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 browser was publicly available on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Internet. (emphasis added)

How did cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 competition fare?

In contrast, Internet Explorer's closest competitor in terms of market share -- Mozilla's Firefox browser -- experienced a single period lasting just nine days last year in which exploit code for a serious security hole was posted online before Mozilla shipped a patch to remedy cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 problem. (emphasis added)

This is exactly cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 sort of security metric I like to see. There are plenty of ways one could criticize cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se results, perhaps by asking about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 underground group in Bulgaria sitting on 92 Mozilla 0-days? (just kidding) In cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 real world cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se are cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 sorts of numbers that best approximate our understanding of digital vulnerability. In terms of threat, Brian writes:

Likewise, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re were at least 98 days last year in which no software fixes from Microsoft were available to fix IE flaws that criminals were actively using to steal personal and financial data from users.

I don't know how he measures cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "98 days," but that gives you an idea of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 degree to which cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se IE vulnerabilities were being exploited and risk moved from a probability to a certainty.

Don't just measure how many of your systems are patched. Measure how long cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y were vulnerable. Being patched does not mean being invulnerable, when vulnerabilities exist for which no patch is available.

Once you make cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se measurements, act on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m. Consider alternatives. Complain to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 vendor. Exercise cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 purse strings. Don't continue to be abused.

Friday, May 26, 2006

The Worst of All Possible Worlds

Sometimes I read configuration guides that advise installing anti-virus products on servers. Since I don't run Windows servers in production environments, I can usually ignore such advice. The proponents of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "anti-virus everywhere" mindset think that adding anti-virus is, at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 very least, a "defense-in-depth" measure. This was debated last year, actually.

A lesson I learned from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 excellent book Protect Your Windows Network is that "defense-in-depth" is not a cost-free justification for security measures. Every configuration and installation aspect of a system provides benefits as well as costs. Something implemented for "defense-in-depth" (whecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r truly believed to be helpful, or ignorantly applied) may turn out to harm a system.

Thanks to Harlan Carvey, I learned of anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r example of a defense-in-depth technique damaging security. This is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 worst of all possible worlds -- adding a security measure that results in massive vulnerability. This upcoming eEye advisory warns:

A remotely exploitable vulnerability exists within cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Symantec Antivirus program. This flaw does not require any end user interaction for exploitation and can compromise affected systems, allowing for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 execution of malicious code with SYSTEM level access.

So you add anti-virus to a server, and BANG. 0wn3d.

Harlan focused on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following quote in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 email he sent me:

"People shouldn't panic," [eEye's] Maiffret said. "There shouldn't be any exploits until a patch is produced."

This is a reference to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 fact that once a patch is released, white, gray, and black hat security researchers race to analyze it to identify cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 vulnerable code fixed by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 patch. Harlan wonders (accurately) if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 underground (or ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs) already know about this vulnerability, and whecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y are already exploiting it.

Keep this case in mind if you believe that "adding security" is a cost-free endeavor.

Thursday, April 27, 2006

Thoughts on Patching

As I continue through my list of security notes, I thought I would share a few ideas here. I recorded cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se while seeing Ron Gula discuss vulnerability management at RMISC.

Many people recommend automated patching, at least for desktops. In cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 enterprise, some people believe patches should be tested prior to rollout. This sounds like automated patching must be disabled. I'm wondering if anyoen has implemented delayed automated patching. In ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r words, automatic updates are enabled, but with a two or three day delay.

Those two or three days give cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 enterprise security group time to test cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 patch. If everything is ok, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y let cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 automated patch proceed. If cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 patch breaks something critical, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y instruct cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 desktops to not install cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 patch until furcá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r orders. I think this approach strikes a good balance since I would prefer to have automated patch installation be cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 default tactic, not manual installation.

Determining which systems are vulnerable results in imagining a continuum of assessment tactics.

  • At cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 most unobtrusive level we have a "paper review" of an inventory of systems and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir reported patch levels.

  • Next comes passive assessment of traffic to and from clients and servers.

  • Traditional vulnerability scanning, without logging in to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 target, is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 next least obtrusive way to assess hosts.

  • Logging in to a host with credentials is anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r option.

  • Installing an agent on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 host is a medium-impact approach.

  • Exploiting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 host is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 final way to definitively see if a host is vulnerable.


On a related note, Ron mentioned that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 costs of demonstrating compliance far exceed those of maintaining compliance. This is sad. Ron also noted he believes auditors should work for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 CFO and not cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 CIO. I agree.

Wednesday, January 18, 2006

Real Wireless Vulnerability

At ShmooCon one talk discussed a somewhat obvious and not that exciting (to me) feature of Windows wireless networking. I don't consider automatic network connectivity to be a vulnerability, only a bad design choice. However, this morning I read this advisory on a real wireless vulnerability in FreeBSD's (and possible ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r BSD's) wireless code. From cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 advisory:

II. Problem Description

An integer overflow in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 handling of corrupt IEEE 802.11 beacon or
probe response frames when scanning for existing wireless networks can
result in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 frame overflowing a buffer.

III. Impact

An attacker able broadcast a carefully crafted beacon or probe response
frame may be able to execute arbitrary code within cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 context of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365
FreeBSD kernel on any system scanning for wireless networks.

That's cool. Insert wireless NIC, be 0wn3d. I'm glad I heard about this prior to Black Hat Federal next week.

Tuesday, January 03, 2006

In Defense of HD Moore

Thanks to Tom Ptacek, I learned of a truly lame SANS poll questioning cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 responsibility of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Metasploit ie_xp_pfv_metafile component. The poll results as of now show cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following:

Was cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 release of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 2nd generation WMF exploit on Dec 31st 2005 irresponsible ?

35 % =>Yes, I 'd like to see cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 authors brought to justice
21 % =>Yes, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y made cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 world a worse place
32 % =>No, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 bad guys had already equal ammunition
11 % =>No, I believe cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ends did justify cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 means
Total Answers: 1379

Regarding cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first option -- what law exists against writing Metasploit components? About cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 last -- what "ends" are in play? I would have liked to have seen cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following option:

"No, I now have a means to test cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 effectiveness of patches,
anti-virus/malware products, and ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r defensive measures."

Without a way to test cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 effectiveness of countermeasures, defenders are as much at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 mercy of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 intruders as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y are cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 software vendors who fail to provide timely patches.

I found that many of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 poll comments do not seem to reflect cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 majority of "Yes" (meaning "irresponsible") votes, and some reflect cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 sentiment of this post.

I highly recommend reading Tom's post and his link to criticism of SATAN in 1995. The history major in me speaks up once in a while to say "nothing ever changes."

Microsoft Says Wait One More Week

I just received notice of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 updated Microsoft Security Advisory on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 WMF fiasco. It states:

Microsoft has completed development of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 security update for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 vulnerability. The security update is now being localized and tested to ensure quality and application compatibility. Microsoft’s goal is to release cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 update on Tuesday, January 10, 2006, as part of its monthly release of security bulletins. This release is predicated on successful completion of quality testing...

What’s Microsoft’s response to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 availability of third party patches for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 WMF vulnerability?

Microsoft recommends that customers download and deploy cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 security update for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 WMF vulnerability that we are targeting for release on January 10, 2006.

As a general rule, it is a best practice to utilize security updates for software vulnerabilities from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 original vendor of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 software. With Microsoft software, Microsoft carefully reviews and tests security updates to ensure that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y are of high quality and have been evaluated thoroughly for application compatibility. In addition, Microsoft’s security updates are offered in 23 languages for all affected versions of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 software simultaneously.

Microsoft cannot provide similar assurance for independent third party security updates.


In ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r words, get 0wn3d, stay 0wn3d.

I'm going to keep my eye on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Kaspersky Lab Analyst Diary for news on any ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r WMF worms.

Monday, January 02, 2006

The Power of Open Source

One of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 criticisms of open source software is that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re is no one to blame when a customer needs a problem solved. For example, if an open source OS or application is found to suffer a vulnerability, no one is seen to be responsible for patching it. Following this line of thinking, commercial software is considered a superior choice for consumers (whecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r corporations or individuals). When a problem happens, users can rely on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 vendor.

The recent SANS ISC post about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 WMF vulnerability has completely annihilated this argument. I have criticized SANS in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 past, but I cannot fault cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir handling of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ongoing fiasco. I've never seen anything like this plea by Tom Liston before:

Looking forward to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 week ahead, I find myself in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 very peculiar position of having to say something that I don't believe has ever been said here in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Handler's diary before: "Please, trust us."

I've written more than a few diaries, and I've often been silly or said funny things, but now, I'm being as straightforward and honest as I can possibly be: cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Microsoft WMF vulnerability is bad. It is very, very bad.

We've received many emails from people saying that no one in a corporate environment will find using an unofficial patch acceptable.

Acceptable or not, folks, you have to trust someone in this situation.

To cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 best of my knowledge, over cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 past 5 years, this rag-tag group of volunteers hasn't asked for your trust: we've earned it. Now we're going to expend some of that hard-earned trust:

This is a bad situation that will only get worse. The very best response that our collective wisdom can create is contained in this advice - unregister shimgvw.dll and use cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 unofficial patch. You need to trust us.


The unofficial patch Tom references was written by Ilfak Guilfanov and described here. What is this? It's a patch created by a non-Microsoft developer, acting more rapidly than Microsoft itself. Sure, you can argue that Microsoft is working now to develop a patch that will hopefully address deeper problems, perhaps serious problems. Nevercá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365less, SANS has reverse engineered cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 unoffical patch to ensure its validity, wrote a FAQ about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 vulnerability, and is now hosting a .msi to ease patch installation. This is unprecedented.

Where is Microsoft on this issue? They published cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir initial advisory on 28 Dec and updated it 30 Dec. Nothing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y've done has helped resolve cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 issue. Meanwhile, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Metasploit project has released a module to generate malicious WMF files. This puts exploit creation in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 hands of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 lowest common denomintaor.

F-Secure reports cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 WMF issue is truly "a feature, not a bug," due to Microsoft's design of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 WMF format. In fact, F-secure says

"'The WMF vulnerability' probably affects more computers than any ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r security vulnerability, ever."

Everyone who paid good money to Microsoft to fulfill its duty as a commercial vendor selling closed, proprietary software is still waiting for an official patch. Meanwhile, users are owned by exploit spam and targeted WMF email attacks. Remember this example cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 next time your management refuses to allow running open source software because "no one is responsible for problems."

When private third parties like SANS and Ilfak Guilfanov have to step up to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 plate to save cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 world, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 argument for exclusively running closed, proprietary software with a poor security record is weak indeed.

Note: I do not mean to unduly criticize Microsoft employees. I know several of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m who are really sharp. At cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 end of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 day, however, Microsoft as a corporation is AWOL on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 WMF issue.

Update: SANS has temporarily pulled cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir .msi. However, I just installed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 original .exe on a Windows XP SP2 system without incident. I also unregistered cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 shimgvw.dll library. Ilfak Guilfanov's patch creates this directory on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 host:

C:\Program Files\WindowsMetafileFix>dir
Volume in drive C has no label.
Volume Serial Number is 30EF-BD7B

Directory of C:\Program Files\WindowsMetafileFix>

01/02/2006 08:52 AM DIR .
01/02/2006 08:52 AM DIR ..
01/01/2006 12:38 PM 155 compile.bat
01/01/2006 03:54 PM 1,141 Readme.txt
01/02/2006 08:52 AM 3,537 unins000.dat
01/02/2006 08:52 AM 673,546 unins000.exe
01/01/2006 03:41 PM 7,022 wmfhotfix.cpp
5 File(s) 685,401 bytes
2 Dir(s) 3,207,041,024 bytes free

C:\Program Files\WindowsMetafileFix>type Readme.txt
MS WINDOWS METAFILE VULNERABILITY HOTFIX v1.3

PLEASE READ THE FOLLOWING CAREFULLY!

This is a temporary fix for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 MS Windows
Metafile file vulnerability:

http://www.hexblog.com/2005/12/wmf_vuln.html

It has been tested on Windows 2000, Windows XP,
and Windows XP Professional 64bit.
Please use it at your own risk and switch
to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 official patch from Microsoft as soon
as it is be available.

THIS FIX IS PROVIDED 'AS IS' WITHOUT WARRANTY OF
ANY KIND, EITHER EXPRESS OR IMPLIED, INCLUDING,
BUT NOT LIMITED TO, THE IMPLIED WARRANTIES OF FITNESS
FOR A PURPOSE, OR THE WARRANTY OF NON-INFRINGEMENT.

IN NO EVENT SHALL ILFAK GUILFANOV BE LIABLE TO YOU
OR ANY THIRD PARTIES FOR ANY SPECIAL, PUNITIVE,
INCIDENTAL, INDIRECT OR CONSEQUENTIAL DAMAGES
OF ANY KIND, OR ANY DAMAGES WHATSOEVER, INCLUDING,
WITHOUT LIMITATION, THOSE RESULTING FROM LOSS OF USE,
DATA OR PROFITS, WHETHER OR NOT HE HAS BEEN ADVISED
OF THE POSSIBILITY OF SUCH DAMAGES, AND ON ANY THEORY OF
LIABILITY, ARISING OUT OF OR IN CONNECTION WITH THE USE
OF THIS SOFTWARE.

Copyright 2006 by Ilfak Guilfanov, ig@hexblog.com
http://www.hexblog.com

As you can see, you can inspect cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 .cpp file and compile it yourself if you do not want to run cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 compiled wmffix_hexblog13.exe.

Thursday, December 22, 2005

Remote Heap Overflow in VMware Products

Thanks to a heads-up from "yomama" in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 #snort channel, I learned of this advisory from Tim Shelton:

"A vulnerability was identified in VMware Workstation (And ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs) vmnat.exe, which could be exploited by remote attackers to execute arbitrary commands.

This vulnerability allows cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 escape from a VMware Virtual Machine into userland space and compromising cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 host.

'Vmnat' is unable to process specially crafted 'EPRT' and 'PORT' FTP Requests."

This implies that someone who connects to a FTP server using traffic that is processed by vmnat.exe can exploit vmnat.exe.

As a VMware Workstation user, I am glad to see cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y have published a new version to address cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 vulnerability.

Monday, December 19, 2005

Defense Seldom Wins Wars

In preparation for my career as an Air Force intelligence officer, I studied history at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 US Air Force Academy. Since cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n I have enjoyed lectures produced by The Teaching Company, like Famous Romans. One of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 lessons I have taken from this course is that defense seldom (if ever) wins wars. I was reminded of this lesson when I read Tom Ptacek's post " The Only Defense Is A Good Defense."

Tom is replying to my post where I said cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following:

"I also do not agree [with SANS.edu] that 'knowledge... is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 only defense to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 growing threat.' The best defense is a strong offense. That means hunting down and prosecuting threats. No amount of defense can sufficient protect any moderately complex enterprise against determined intruders."

Tom disagrees and says that "Firewalls", "IT and Network Security teams", and "Vulnerability Research" have "done cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 most to improve security over cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 last 5 years." If we consider cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 risk equation to be something like "Risk = Threat X Vulnerability X Asset value", we must realize that Tom's points all address cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 vulnerability side of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 equation. Applying countermeasures to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 vulnerability aspect of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 risk equation leaves cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 threat component untouched.

When cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attacker is allowed freedom of maneuver, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 defender will lose. The side with initiative has cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 superior position, unless cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 defenses are so unsurmountable that attack is more costly than defense. Let's return to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Famous Romans lecture for a moment. Prior to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 rule of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 emperor Hadrian, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Roman Empire had pursued an expansionist foreign policy. Rome had lost many battles to its neighbors, but those neighbors essentially remained on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 defensive. They feared Rome would invade, conquer, and eliminate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m (at worse).

When Hadrian became emperor in 117 AD, he changed Rome's foreign policy. He decided to consolidate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 empire's borders. His most famous action was cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 building of Hadrian's Wall, separating England from Scotland. The wall was cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ultimate statement of defense, as is sought to keep barbarians separated from Roman cities like London.

In some respects, this ultimate defensive maneuver was a success; London flourished. However, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 building of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 wall signalled weakness to Rome's enemies. Instead of being seen as a statement of strength, barbarians interpreted as a sign cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Romans would not seek to conquer cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m. Rome looked weak, not strong. Within a century Rome would come under increasing barbarian attack, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 remaining shell of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 western "empire" was formally overthrown in 476 AD.

Now, you might say that defense can prove superior to offense. You might cite trench warfare of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 late 19th century, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 horror of World War I. In those cases, it is true that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 weapons possessed by each side were so horribly destructive that attacks were fruitless and bloody endeavors. However, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 arrival of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 tank and over a million US troops changed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 equation. Offensive action eventually won WWI for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 allies.

A particularly clever historian might say cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Cold War was won by defense. Some argue cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 US out-spent, or had cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 capability to out-spend, Soviet Russia. That is true. Anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r factor was President Reagan's plan to build cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Strategic Defense Initiative (SDI, or "Star Wars.) SDI changed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 security situation for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Soviets. The security paradigm of "mutually assured destruction" held that seeking to wipe out cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 enemy was a worthless action. Once cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 enemy detected missile launches, he could reply with his own volley. Both sets of missiles would wipe out each side's weapons, leaving neicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r with an advantage to leverage in a post-exchange world.

SDI altered this nuclear attack outcome. With SDI deployed, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 US could potentially preserve some of its weapons for a second round of attacks. This second round gave cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 US superiority over its Soviet opponent. Suddenly a nuclear war became "winnable," as insane as that sounds. In this case, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n, defense was important, but only to preserve cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 weapons of offense.

In cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 final analysis, what makes you feel safer -- a lack of criminals on your street, or iron bars on your windows?