Showing posts sorted by relevance for query renesys. Sort by date Show all posts
Showing posts sorted by relevance for query renesys. Sort by date Show all posts

Monday, February 02, 2015

A Word of Caution on Fraudulent Routing

If you've read TaoSecurity Blog for a while, you remember me being a fan of companies like Renesys (now part of Dyn Research) and BGPmon. These organizations monitor Internet-wide routing by scrutinizing BGP announcements, plus ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r techniques. (I first posted on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 topic almost 12 years ago.)

I am well aware that an organization, from its own Internet viewpoint, cannot be absolutely sure that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r end of a conversation truly represents cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 IP address that it seems to be. The counterparty may be suffering a BPG hijack.

An attacker may have temporarily positioned itself in BGP routing tables such that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 legitimate IP address owner is not cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 preferred route. There have been many examples of this, and on Thursday Dyn Research posted a great new blog titled The Vast World of Fraudulent Routing that describes six recent examples.

A Tweet by Space Rogue about Dyn's post caught my attention. He said:

You really want to tell me that an IP Address is enough for attribution?

Then he linked to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Dyn blog post.

There are several problems with this statement.

First, no one in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir right mind says "an IP address is enough for attribution." If you want to comfort yourself by standing up a straw man that's easy to knock down, have fun with that.

I fear Tweets like this are swipes against cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Update on Sony Investigation FBI statement, which includes this section:

The FBI also observed significant overlap between cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 infrastructure used in this attack and ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r malicious cyber activity cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 U.S. government has previously linked directly to North Korea. For example, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 FBI discovered that several Internet protocol (IP) addresses associated with known North Korean infrastructure communicated with IP addresses that were hardcoded into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data deletion malware used in this attack.

The straw-man-building critics neglect cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 qualifier that precedes this statement:

While cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 need to protect sensitive sources and methods precludes us from sharing all of this information, our conclusion is based, in part, on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following...

For those who can't decode this statement, or aren't familiar with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 phrasing, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 text means:

"We have ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r information that isn't worth disclosing in order to convince critics. Our ability to detect and respond to future attacks, thanks to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 sources and methods we preserve by keeping cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m our of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 spotlight, is more important than publicizing sensitive intelligence."

Furcá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rmore, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 FBI statement includes ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r reasons for attribution, which you can read in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 original document.

Second, and most importantly, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Dyn post demonstrates that it is possible, and routine, to identify when IP addresses are being hijacked.

Let me say that again. Once you step outside your organization's view of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Internet, by using a service like Dyn/Renesys, you can tell when IP addresses are being abused by BGP hijackers.

Services such as Dyn/Renesys and BGPmon provide alerts when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y detect hijacking of an organization's IP address space. I know commercial customers who pay attention to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se notifications, as well as ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r sources, to identify when odd activity is happening on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Internet.

Third, and finally, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re is a difference between seeing an IP address in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 logs of a victim organization, and having direct observation of intruder infrastructure. You can read cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 excellent New York Times piece N.S.A. Breached North Korean Networks Before Sony Attack for details on that angle.

Some critics, at least those with history in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 field, should know better. It would be more productive to talk about serious issues, racá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r than straw men and incomplete arguments.

Update: I amended cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 post to make it clear that law enforcement is not a customer of Dyn/Renesys.

Friday, August 21, 2009

Renesys Blog on Routing Vulnerabilities

I've been writing about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 routing infrastructure monitoring company Renesys for several years. James Cowie's post Staring Into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Gorge contains some real gems:

Here We Go Again.

Imagine an innocent BGP message, sent from a random small network service provider's border router somewhere in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 world. It contains a payload that is unusual, but strictly speaking, conformant to protocol. Most of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 routers in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 world, when faced with such a message, pass it along. But a few have a bug that makes cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m drop sessions abruptly and reopen cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m, flooding cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir neighbors with full-table session resets every time cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y hear cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 offending message. The miracle of global BGP ensures that every vulnerable router on earth gets a peek at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 offending message in under 30 seconds. The global routing infrastructure rings like a bell, as BGP update rates spike by orders of magnitude in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 blink of an eye. Links congest. Small routing hardware falls over and dies. It takes hours for things to return to normal...

At 17:07:26 UTC on Monday, CNCI (AS9354), a small network service provider in Nagoya, Japan, advertised a handful of BGP updates containing an empty AS4PATH attribute...

This one seems to have bitten Cisco's IOS XR, a relatively newborn "from scratch" rewrite of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 venerable IOS, destined to run on big iron, like cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 CSR-1 or cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 12000 series...

The global mesh of BGP-speaking routers that we call cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Internet has inherent vulnerabilities that stem from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 software quality and policy weaknesses of its weakest participants, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 amplification potential of its best-connected participants. Running sloppy software at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 edge of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 routing mesh (in enterprises, say) is unlikely to give anyone cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ability to propagate large amounts of instability or partition cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Internet. But closer to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 core, I think we have a serious problem to contemplate.

Remember, if you can get just one provider to listen to you, and not filter your announcements, you can get your message into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ear of just about every BGP-speaking router on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 planet within about thirty seconds. And if some subpopulation of those routers can be reset, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y act as amplifiers for your instability. Power law outage-size distributions are not a myth — cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y are a logical consequence of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 structure of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Internet, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 importance of a few key participants in carrying global traffic, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir reliance for interconnection on technologies that are clearly still in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 shaking-out-cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365-obvious-bugs mode.


So that is really cool. I liked cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following too:

I was at USENIX last week, and sat in on a great workshop on security metrics, where Sandy Clark gave a somewhat controversial presentation on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 interaction between software quality and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 timing of exploit appearances...

[O]ne of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 strongest predictors of a significantly large time to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 emergence of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first zero-day exploit for a new version of software is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 degree to which cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 release represents a substantial rewrite of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 code. Doing a rewrite seems to start a "honeymoon period," during which time cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system in question is safer from exploitation than it has been in a long time. In fact, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 magnitude of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 protective effect is so significant, that you might ask yourself whecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r a dollar spent in pursuit of higher quality code is actually better spent rewriting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 code periodically, to whatever quality standard you can achieve.


That sounds like an argument for diversity to me. Writing new software introduces diversity, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attackers have to decide if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y want to spend resources to understand cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 new target sufficiently to exploit it.

Sunday, February 22, 2009

Black Hat DC 2009 Wrap-Up, Day 2

This is a follow-up to Black Hat DC 2009 Wrap-Up, Day 1.

  • I started day two with Dan Kaminsky. I really enjoyed his talk. I am not sure how much of it was presented last year, since I missed his presentation in Las Vegas. However, I found his comparison of DNS vs SSL infrastructures illuminating. The root name servers are stable, dependable, centrally coordinated, and guaranteed to be around in ten years. We know what root name servers to trust, and we can add new hosts to our domains without requesting permission from a central authority. Contrast that with certificate authorities. They have problems, cannot all be trusted, and come and go as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir owning companies change. We do not always know what CAs to trust, but we must continuously consult cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m whenever we change infrastructure.

    Dan asked "are we blaming business people when really our engineering is poor?" I thought that was a really interesting question. Imagine that instead of being a security engineer, you're a housing engineer. Which of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following display poor engineering?



    It should be clear that you can't answer that question just by looking at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 product of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 engineering process. You have to consider a variety of constraints, external factors, and so on. The fact that so much of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Internet is broken says nothing about engineering, because engineering is seldom done for engineering's sake: engineering always servers anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r master, often a business mission.

  • After Dan I saw Prajakta Jagdale explain problems with applications code in Flash. I should not have been surprised to see Flash .swf files containing hardcoded usernames and passwords. Didn't we talk about this 10 years ago for generic Web pages? Show me any new feature-rich programming environment and you can probably find cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same generic design and implementation flaws of a decade ago.

  • I watched some of Paul Wouters' talk on defending DNS, but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 poor guy was really sick and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 talk was boring. I had to leave early for a work call anyway.

  • Earl Zmijewski from Renesys gave one of my two favorite talks of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 conference. He explains how to detect BGP Man-in-cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365-Middle attacks, described in this Renesys blog post. Earl's investigative method was impressive, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 majority of his talk involved describing how he developed a methodology to identify potential BGP MITM attacks. One clue appears in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 diagram below, where it is unusual for a low-level player like Pilosoft to appear to be carrying traffic between two bigger players.



    Earl emphasized that routing is based on trust. There is really no way to validate that routes received via BGP are legitimate. (Note: With 270,000 routes in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 global BGP tables, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re are 45,000 updates per minute on a slow day. On Monday when AS 47868 decided to torpedo cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Internet, updates arrived at 4 million per minute.) Individual BGP-speaking routers don't really need to know entire paths to route; paths are really used to drop routes via loop detection. (Path lengths are used to select routes, however.)

    The key to identifying BGP MITM is to realize that although cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 vast majority of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Internet will be fooled by an artificial route during a BGP MITM attack, a legitimate path must be maintained in order for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attacker to get intercepted traffic to its ultimate intended destinaton. By comparing routes seen across cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Internet for a victim AS with routes seen by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 legitimate path, one can identify BGP MITM attacks. You can look for ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r hints, like violations of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 valley property shown below.



    I recommend reading cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 blog post and linked slides for more information.

  • David Litchfield's talk on Oracle forensics was interesting. Oracle is like a file system unto itself, so you can bring cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same mindset to analyzing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 variety of files Oracle uses during operation. This evidence is present by default.

  • I concluded cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Briefings with Peter Silberman from Mandiant. His blog post describes his talk, which involved converting Snort signatures into strings for searching memory on victim systems. This technique can be used to discover remnants of attacks in system memory, or evidence of malware still resident in memory. His implementation relies on XPath if one wishes to write new signatures, and I am not familiar with that system now.


Overall I found cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 talks very informative and balanced across a variety of issues, from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 CPU level all cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 way up to BGP.

Looking ahead, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Black Hat Europe 2009 speakers list looks much different, and I hope to be able to see at least some of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 talks after I teach cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re.


Richard Bejtlich is teaching new classes in Europe in 2009. Register by 1 Mar for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 best rates.

Sunday, August 17, 2008

Renesys on Threats to Internet Routing and Global Connectivity

When I attended cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 FIRST 2008 conference in Vancouver, BC in June, one of my favorite talks was Threats to Internet Routing and Global Connectivity by Earl Zmijewski from Renesys. I've always liked learning about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Big Internet, where 250,000+ routes are exchanged over BGP and 45,000 updates per minute is considered a "quiet" load! I was This was cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first time I heard of Pretty Good BGP, summarized by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 subtitle of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 linked .pdf paper: Improving BGP by Cautiously Adopting Routes.

Monday, December 12, 2005

Bejtlich in Renesys Article

I was quoted in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Manchester Union Leader regarding Renesys, a company that monitors global routing tables. I heard of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m a few years ago and posted research cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y did on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 norcá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ast blackout of 2003.

Monday, July 01, 2019

Reference: TaoSecurity Press

I started appearing in media reports in 2000. I used to provide this information on my Web site, but since I don't keep that page up-to-date anymore, I decided to publish it here.