Archive for the 'Site Related' Kategorie

Blog bei bewölktem Güte überarbeitet

20. Mai 2011

Greets all,

Zunächst möchte ich für sein dunkles so lange zu entschuldigen. Um eine laaaange Geschichte kurz ich tat Arbeit für eine der großen Organisationen, die Anwälte können nachts nicht schlafen, wenn sie nicht im Besitz jedes verdammte Denken und Neuron Funken in Ihrem Kopf ist. So, während ich in der Lage zu halten schriftlich innerhalb der Organisation war, machte es öffentliche Seite Blogging problematisch. Eine Resolution wurde immer gleich um die Ecke, aber leider wurde es offensichtlich, dass es nie passieren wird.

Ich bin froh zu sagen, dass Problem behoben wurde. Ich arbeite jetzt für eine extrem coole Startup, das nicht versucht, den freien Austausch von Ideen zu ersticken, sondern fördert sie. Mein Gott, was für ein verrücktes Konzept, eh? : D

Mit dieser sagte, geht nach vorne wird es ein paar Änderungen geben:

  1. Ich bin ein starker Befürworter, dass Hybrid-Cloud bereit ist, die Welt zu übernehmen, so mein Schreiben vor allem auf diese Disziplin konzentrieren.
  2. Anstatt post Einträge hier, werde ich Entsendung sie bei meinem neuen Arbeitgeber, CloudPassage . einfach auf den "Blog"-Link oben rechts auf der Seite klicken.

Wir sehen uns dort,

Chris

2 Kommentare »

Posted in Site related , Uncategorized

Wenn Sie dies lesen können, brauchen Sie nicht für SANS Arbeit - Teil 2

5. August 2009

Dieses Problem scheint gelöst zu sein. Kind of funny tatsächlich. Ich hatte mit dem Host Monster-Ticket-System beschäftigt und es war unter 24 Stunden eine Antwort erhalten. An diesem Morgen machte ich einen Beitrag zu Matt Heaton Blog (CEO von Blue Host) über das Problem. Es war innerhalb weniger Stunden behoben und ich habe schon 3 folgen ups von Unterstützung erhalten.

Host Monster unterstützen, dass das Problem D-Shield wurde stellten sich (und ich nehme an Cisco als auch) auf ihren eigenen Bann-Liste. Ich sprach mit Johannes am D-Shield. Ich kenne ihn seit 10 Jahren bekannt und er ist ein echtes Straight Shooter. Er hatte keine Ahnung, was sie reden und sich nicht von diesem Problem mit jemand anderem gehört. Klingt ein wenig komisch für mich, denn wenn sie tatsächlich mit D-Schild auf einer Bann-Liste sie bekannt wären erzeugen sie die guten Jungs waren am vergangenen Donnerstag, als ich kontaktiert erste Unterstützung.

In jedem Fall scheint es, dass alle der zuvor genannten Blöcke gelöscht wurden. Wer sagt, dass Sicherheit und Tageszeit Seifenopern nichts gemein haben. ;)

2 Kommentare »

Posted in 5-info , -Site Related

Wenn Sie dies lesen können, brauchen Sie nicht für SANS Arbeit

4. August 2009

Jeder, der mit mir trainiert hat kann Ihnen sagen, ich bin real big auf die Möglichkeit, Ihr eigenes lesen erkennt. Während wir viele Sicherheitsvorrichtungen, die genau beschreiben, was sie denken, dass sie auf den Draht zu sehen versuchen, sie sind von Menschen programmiert und Menschen machen Fehler. Probieren und automatisieren den Prozess und die Fehler werden verschärft. Auch Cisco hat sich ein bisschen auf ihre grandiose Ansprüche, was eine gesicherte Self-Defending Network ist tatsächlich in der Lage. Nichts ersetzt, die eine qualifizierte Analysten der Überprüfung der Ergebnisse.

Gute Hilfe ist schwer zu finden

Natürlich ist das Schlüsselwort in diesem letzten Kommentar ist qualifiziert. Ich habe mit viel Senior Security Leute, die nie eine Dekodierung eines IP-Pakets haben gesehen, behandelt, geschweige denn kann Ihnen sagen, was für ein legit IP-Sitzung aussehen sollte. Eines der Probleme ist, wenn wir Training haben wir in der Regel die Anbieter wiederum müssen. Anbieter konzentrieren sich auf ihre hübschen GUI, nicht, was los ist hinter den Kulissen konzentrieren.

In einem früheren Leben, das ich im Besitz eines ISP und hatte einige sehr unterhaltsame Missbrauch vorgelegten Berichte. Einer meiner persönlichen Favoriten war ein admin berichtet, dass einer meiner Systeme war "Senden feindlichen ICMP-Pakete" zu einem seiner Systeme. Wenn ich meine logs überprüft, bemerkte ich, dass einer meiner Router in der Tat schickte ihn ICMP Host unreachable Nachrichten war. Dies würde passieren, jedes Mal, wenn sein Gastgeber sondiert den RPC-Port einer IP-Adresse, die nicht in Gebrauch war. Ich schrieb zurück und erklärte, dass, wenn sein System einfach aufhören würde Sondieren für nicht vorhandene Systeme, mein Router würde aufhören, ihm den Gastgeber ist off-line.

Ein weiterer admin (at eine ziemlich große, bekannte Unternehmen wie ich hinzufügen möchte) informierte mich, dass einer meiner Systeme griff ihn mit Code Red per E-Mail. Wenn Sie Code Red erinnern, nur angegriffen IIS Web-Server via HTTP. Die "Angriffe" in Frage Nutzern abonniert zu einer Mailing-Liste. Folks waren etwa, wie man gute Intrusion-Signaturen zu schreiben, um richtig zu fangen Code Red sprechen. Wenn das nicht ironisch genug, die Nutzlast des dekodieren schickte er mir als Beweis, erklärte, dass die Anschläge nur waren HTTP basiert. Wenn das Twist ist immer noch nicht genug zum Schmunzeln, wie er später zugab, dass er die eine der Personen abonniert, die Liste war. : D

Je mehr Dinge zu ändern, je mehr sie gleich bleiben

Mein Hosting-Provider Host Monster (eine Tochtergesellschaft von Blue Host) hat einen Filter eingerichtet blockiert alle Zugriffe auf das SANS Institute Mail-Server (SysAdmin, Audit, Network, Security Institute, bietet Computer-Sicherheit Ausbildung), The Internet Storm Center (täglich Tagebuch von Bedrohungen aus dem Internet) und DShield (ein Frühwarnsystem für Bedrohungen aus dem Internet). Ich kontaktierte unterstützen und sie bestätigten sie Filterung dieser Seiten. Ich konnte nicht herausfinden, warum darüber hinaus "wegen verdächtiger Aktivitäten".

Ich kenne die Leute, die SANS und dshield Server aufrecht zu erhalten. Sie sind harte Kern Sicherheit Leute mit einem ernsten Ahnung. Als ich das erste unterzeichnete mit meinem Hosting-Anbieter war ich mit dem Wissensstand ihrer Support-Mitarbeiter beeindruckt. In letzter Zeit jedoch habe ich festgestellt, sie selbst in die Grundlagen fehlen. Während ich links bin, was tatsächlich verursacht das Verbot schätze, ich bin geneigt zu glauben, dass jemand am Host Monster (oder möglicherweise Blau Host) sah eine Warnung, aber nicht über die Fähigkeiten, um herauszufinden, its a falsch positiv.

Kommunikation ist keine Einbahnstraße

Blau-Host Ansprüche 1,5 Millionen gehosteten Websites durch alle ihre Bestände. So haben sie jetzt 1,5 Millionen Kunden, die sich nicht:

  • Receive Echtzeit blockiert Alarme von bösartigen IP ist
  • Receive Einschätzungen zu aktuellen Bedrohungen aus dem Internet
  • Erhalten Sie Informationen über das Geschehen in der Security-Branche

So bei dem Versuch, sich selbst zu schützen, ist eine positive Sache, hat die Umsetzung negativ auf die Sicherheit ihrer Kunden hat.

Wie überprüfen Sie eine Erkennung

So lasst uns ziehen etwas Positives aus der all dies und identifizieren das richtige Verfahren für die Überprüfung eine Sicherheitswarnung. Wir müssen zunächst mit einer guten Ausrüstung zu starten. Denkt nicht daran, ein Intrusion Detection oder Prevention-System, das keine:

  • Der Zugriff auf die Unterschrift Sprache
  • Vollständige Dekodierung von Verdächtigen Pakete

Ohne diese Funktionen sind Sie in der Dunkelheit schießen.

Schritt 1: Verstehen der Angriff

Wenn ein Alarm ausgelöst wird, machen Sie sich mit dem Angriff Mechanismus. Welche Ports oder Dienstleistungen geht sie nach? Gibt es irgendwelche bekannten Signaturen? Wenn Sie Google den Angriff der Name durch die Schlüsselwörter "false positive" und "gefälscht" gefolgt, der nichts kommen?

Schritt 2: Verstehen Sie Ihre Einbruchmeldeanlage

Keine Security-Produkt ist perfekt. Sie alle haben Schwächen oder Grenzen. Gibt es in Ihrem Intrusion System aufrechtzuerhalten Staat? Wenn ja, ist es die ganze Zeit oder nur einen Teil der Zeit? Ist es richtig validieren CRC-Felder? Wie sieht es mit den Traffic umgehen? Ist es bekannt, Fehlalarme zu erzeugen? Wenn ja, sind die Fehlalarme beschränkt, nur bestimmte Signaturen oder Protokolle, oder ist es die ganze Zeit?

Schritt 3: Sanity Check die Warnung

Manchmal Fehlalarme können von der begrenzten Menge an Informationen in eine Warnmeldung präsentiert gejätet werden. Zum Beispiel ist die Warnung Anspruch auf einen HTTP-Angriff erkannt, die aus TCP/80 anstatt ihn haben? Wenn ja, gibt es ein offensichtliches Problem mit der Signatur erzeugt die Warnung.

Schritt 4: Überprüfen der Signatur

Einige Signaturen sind sehr spezifisch, so dass es kaum eine Chance, ein falsch positives geschrieben. Einige sind allgemein jedoch so seine möglichen falsch-positiven Ergebnisse fallen haben. Überprüfen Sie die Signatur, die die Warnung generiert und ein Urteil nennen. Ist die Signatur zu überprüfen, 3-4 verschiedenen Bedingungen oder zehn oder noch mehr? Offensichtlich ist der weitere Parameter überprüfen wir, desto weniger wahrscheinlich sind wir zu einem falsch positiven zu bekommen.

Schritt 5: Überprüfen Sie die Dekodierung

Wenn Sie den Angriff Muster zu verstehen, sollten Sie bereits über eine Erwartung dessen, was in den Angriff zu decodieren. Ist das Paket Ihren Erwartungen entsprechen? Ich habe viele False Positives von Menschen zu lesen Informationen über eine Website beschreibt einen HTTP-basierte Angriffe generiert gesehen. Diese sind leicht zu unterscheiden durch die zusätzliche HTML, korrekte Agent-und Referrer Felder, etc. Kurz gesagt, wenn das Paket nicht mit einem bekannten Dekodierung von den eigentlichen Angriff, herauszufinden, warum.

Schritt 6: Forschung die Quelle

Ich habe immer die Zeit nehmen, um sicherzustellen, dass ich verstehe, wer sich hinter der Quell-IP-Adresse sitzen. Manchmal kann dies ein langer Weg zur Identifizierung, ob ich die Warnung Vertrauen zu gehen. Ich bin von einem Freund, dass eine Reihe von IP-Adressen seiner Intrusion-System als feindlich identifiziert hatte verboten erinnert. Kurz nachdem er angefangen zu bemerken, dass Teile des Internet nicht mehr erreichbar waren. Stellt sich heraus, jemandem gefälschte eine Reihe von Angriffen aus dem IP-Adressen der Root-Nameserver . Hätte er die Zeit zum Nachschlagen der IP-Adressen zuerst genommen, er sicherlich hätte sie nicht blockiert sind.

Exec Zusammenfassung

Blocking bekannt feindlichen IP-Adressen werden kann sicherlich von Vorteil sein, um die Sicherheit, aber es muss mit Vorsicht erfolgen. Im Kern jedes Netzwerk-Sicherheitssystem muss eine sachkundige Sicherheitsexperten mit gesundem Menschenverstand werden. Wenn diese Komponente fehlt, kann die gesamte Struktur fällt auseinander wie ein Kartenhaus.

Update: Da dieses Posting habe ich festgestellt, dass Host Monster (Blue Host) blockiert den Zugriff auf eine oder mehrere Cisco -Server sowie. Raten Sie die Liste geht weiter ...

Keine Kommentare »

Posted in 1-Schwellen , Site-Related

Tags:

Unsichtbare Sicherheit Insektenspray

11. Juli 2009

Dachte, es wäre nur eine Frage der Zeit sein, bis jemand fragte nach dem "Invisible Sicherheit Insektenspray" Kommentar am oberen Rand jeder Seite. Wussten nicht, dass es dauern würde, weniger als einen Tag. ;)

Hier ist die Schaufel. Es ist ein Spiel auf ein Zitat aus einem meiner all time favorite ISP Reaktionen auf sie wissen lassen, dass eine der IPs in ihrem Netzwerk feindlich ist. Hier einige Zitate aus ihrer Antwort:

Snip # 1:
Hacker sind wie Ameisen, jagen man sich von dem Picknick-Tisch schützt Sie nicht aus der Tausende und Abertausende in den lokalen Ameisenhaufen, die noch hungrig sind. Sobald du dich befreien von einem, werden Sie immer noch eine unendliche Risiko zur Verfügung zu scannenden zu erhalten oder wieder sondiert.

Snip # 2:
Der Punkt des obigen Aussagen sind, sobald du hattest ein Hacker verfolgt und / oder angesprochen, Sie haben nur eine Mücke auf einem heiß und feucht Sommernachmittag swatted. Ein paar Sekunden, um eine min später, werden Sie anfangen Gefühl juckende wieder, weil es ein anderes beißt dir.

Zugegeben es gibt einige Zen Wahrheit zu ihrem Kommentar (bösartige IPs machen mich immer jucken), aber was eine interessante Wortwahl. Die Antwort ging dann zu sagen:

Snip # 3:
Firewall logs wie die Ihrige oft erscheint das paper trail der gerahmten Computer anstatt der Hacker selber. Die echten Hacker wurde und normalerweise nicht in diesen Umständen erkannt werden. Wir sind in der Situation suchen, aber wir bekommen dutzende, wenn nicht Hunderte von diesen in der Woche.

Snip # 4:
Was sollten Sie über nicht versucht, jede Mücke zu töten, sondern tragen unsichtbar Insektenspray so dass, egal wie viele es sind zu konzentrieren, können sie dich nicht finden daher gibt es keinen Krieg. Sie können den Krieg nicht gewinnen, ist alles, was Sie tun können, bleiben aus ihm heraus. Je besser die Firewall Sie verwenden, desto wahrscheinlicher werden Sie unsichtbar bleiben.

Wir entschuldigen uns für jegliche Unannehmlichkeiten entschuldigen, aber nur im Kopf tragen die breitere Perspektive auf diese.

So haben Sie es, unsichtbare Sicherheit Insektenspray. : D

Keine Kommentare »

Posted in 5-info , Humor , Site-Related

Tags:

New site intro

10. Juli 2009

Greets all,

Ich habe diese Seite für eine Reihe von Jahren laufen nun durch die Gewährung des Zugangs zu bestimmten Abschnitten nur für eine begrenzte Anzahl von Personen. Während ich weiter an diese für bestimmte Kunden zu tun, habe ich beschlossen seiner Zeit zu öffnen, ein großer Teil davon der Öffentlichkeit zugänglich. Ich möchte auch meine Hand auf die Integration viele Ratschläge gebe ich per E-Mail und private Listen auch hier versuchen. Abbildung auf diese Weise die größtmögliche Zahl von Leuten in der Lage sein zu profitieren.

Wenn Sie es gewohnt sind, Zugang zu etwas und Sie wissen nicht mehr, ich im Voraus entschuldigen. Bitte seien Sie geduldig, wie ich und versuche zu integrieren alles in WordPress. Das System ist sehr cool, aber auch ihren ganz anderes als das, was ich in der Vergangenheit mit. Bitte geben Sie mir Zeit, um die Kurve geschnitten.

Yours in Bits,

Chris

Keine Kommentare »

Posted in 5-info , -Site Related