Arkisto ajaksi 'sivut' Category

Blogi tarkentuvat pilvinen hyvyys

20 toukokuu 2011

Tervehtii kaikkia,

Ensinnäkin haluan pyytää anteeksi että tumma niin kauan. Jotta loooong tarinan lyhyesti tein työtä yksi niistä valtava organisaatioihin, jotka asianajajat eivät voi nukkua öisin, jos he eivät omista jokaisen pirun ajatus ja neuron kipinä in your head. Joten kun pystyin pitämään kirjallisesti organisaation sisällä, se teki julkisen puolen bloggaaminen ongelmallista. Resoluutio oli aina aivan nurkan takana, mutta valitettavasti kävi selväksi, että se koskaan tapahdu.

Olen iloinen voidessani todeta, että ongelma on ratkaistu. Olen nyt työskennellyt erittäin viileä käynnistyksen että ei yritä tukahduttaa vapaata ajatusten, vaan pikemminkin kannustaa sitä. My god mikä hullu käsite, eh? : D

Tämän sanoi, jatkossa tulee olemaan muutamia muutoksia:

  1. Olen vahva usko, että hybridi pilvi on valmis ottamaan maailmassa, joten kirjoituksestani tulee keskittyä ensisijaisesti tässä lajissa.
  2. Sen sijaan lisätä merkintöjä täällä, otan lähettämistä niitä minun uuden työnantajan, CloudPassage . Napsauta "Blog" linkkiä sivun oikeassa yläkulmassa sivun.

Nähdään siellä,

Chris

2 kommenttia »

Posted in sivut , Uncategorized

Jos voit lukea tämän, eivät toimi SANS - osa 2

05 elokuu 2009

Tämä ongelma näyttää olleen ratkaistu. Tavallaan hauska oikeastaan. Olin ollut tekemisissä Host Monster lippujärjestelmä ja se otti 24 tuntia saada vastausta. Tänä aamuna tein postitse Matt Heaton blogi (toimitusjohtaja Blue Host) noin ongelma. Päätettiin muutamassa tunnissa ja olen jo saanut 3 Seuraa UPS tukea.

Isäntä Monster tuki mukaan ongelma oli D-Shield laittaa itsensä (ja oletan Cisco samoin) omasta Ban List. Puhuin Johannes D-Shield. Olen tuntenut hänet 10 vuotta ja hän on tosi suora ampuja. Hänellä ei ollut aavistustakaan, mitä he puhuvat, eikä hän ollut kuullut tätä ongelmaa kenenkään kanssa. Kuulostaa vähän hassu minulle, koska jos he todellisuudessa käyttävät D-Shield tuottaa Ban List he olisivat tienneet, he olivat hyviä tyyppejä viime torstaina, kun olen yhteyttä tukeen.

Joka tapauksessa näyttää siltä, ​​että kaikki edellä mainitut lohkot on tyhjennetty. Kuka sanoo, turvallisuus ja päivällä saippuaoopperoita ole mitään yhteistä. ;)

2 kommenttia »

Lähetetty 5-info , sivut

Jos voit lukea tämän, et työtä SANS

04 elokuu 2009

Jokainen, joka on kouluttanut minun kanssani voi kertoa Olen todella iso pysty lukemaan omia havaitsee. Vaikka meillä on runsaasti turvalaitteita, jotka yrittävät kuvailla tarkemmin, mitä he ajattelevat he näkevät lanka, ne ohjelmoidaan ihmisiä ja ihmiset tekevät virheitä. Kokeile ja automatisoida ja virheitä tulee yhdistyivät. Myös Cisco on perääntyivät hieman heidän suureellisia väitteitä siitä, mitä itse puolustaa verkko on todella kykenee. Mikään ei korvaa joilla ammattitaitoisen analyytikko tarkistaa tulokset.

Hyvä ohje on vaikea löytää

Tietenkin avainsanan että viime kommentti on taitava. Olen käsitellyt paljon vanhempi turvallisuus ihmiset jotka eivät ole koskaan nähneet decode on IP-paketin, saati kertoa mitä legit IP-istunnon tulisi näyttää. Yksi ongelmista on, kun me tarvitsemme koulutusta me yleensä kääntyvät myyjiä. Toimittajat taipumus keskittyä melko GUI, ei mitä tapahtuu kulissien takana.

Edellisessä elämässä olen omistama ISP ja oli erittäin viihdyttävä väärinkäytöstä kertomukset. Yksi Henkilökohtaisia ​​suosikkejani oli admin raportoinnin että eräs järjestelmien "lähettämällä vihamielinen ICMP" eräälle järjestelmiä. Kun tarkastellaan lokeissa, huomasin, että eräs reitittimet olikin lähettää hänelle ICMP isäntä tavoittamattomissa viestejä. Tämä tapahtuu joka kerta hänen isäntä probed RPC-porttiin IP-osoite ei ollut käytössä. Kirjoitin takaisin ja selitti, että jos hänen järjestelmä olisi yksinkertaisesti lopettaa luotaa joita ei ole olemassa järjestelmiä, minun reitittimen estäisi kertoen isäntä on off-line.

Toinen admin (at melko suuri, tunnettu yritys voisin lisätä) ilmoitti minulle, että eräs järjestelmien hyökkäsi häntä Code Red sähköpostitse. Jos muistat Code Red, se vain hyökkäsi IIS Web-palvelimet HTTP. "Hyökkäykset" kyseessä oli käyttäjiä tilannut listaa. Folks puhuivat miten kirjoittaa hyvä tunkeutumisen allekirjoituksia kunnolla kiinni Code Red. Jos tämä ei ollut ironista kyllä, hyötykuorma purkamaan hän lähetti minulle todisteena selitti, että hyökkäykset olivat vain HTTP perustuu. Jos tämä käänne ei vielä riitä tekemään sinulle hihittää, hän myönsi myöhemmin, että hän oli yksi niistä ihmisistä tilannut luetteloon. : D

Enemmän asiat muuttuvat enemmän ne pysyvät samoina

My hosting-palvelujen tarjoaja Isäntä Monster (tytäryhtiö Blue Host) on laittaa suodatin on käytössä estää kokonaan pääsyn SANS Institute postin palvelin (sysadmin, Audit, Network, Security Institute; tarjoaa tietoturvan koulutus), Internet Storm Center (päivittäin päiväkirja Internetin tietoturvauhkia) ja DShield (varhaisvaroitusjärjestelmä Internetin uhkia). Otin yhteyttä tuen ja he vahvistivat ne suodatus näitä sivustoja. En pystynyt selvittämään miksi yli "johtuen epäilyttävää toimintaa".

Tiedän ihmisiä, jotka ylläpitävät SANS ja Dshield palvelimia. Ne ovat kovia Core Security seudullamme kanssa vakava hajuakaan. Kun ensimmäisen kerran kirjautunut minun hosting-palvelujen tarjoaja Olin vaikuttunut tietotasoa niiden tukihenkilöitä. Viime aikoina olen kuitenkin huomannut niiden puuttuvan edes perusasiat. Vaikka olen vasemmalle arvata, mitä todella aiheutti kiellon, olen taipuvainen ajattelemaan, että joku Host Monster (tai mahdollisesti Blue Host) näki ilmoituksen, mutta ei ole taitoja selvittää sen vääriä positiivisia.

Viestintä on kaksisuuntainen katu

Blue Isäntä väittää 1500000 sivustossa läpi koko heidän omistuksensa. Joten heillä on nyt 1.500.000 asiakkaita, jotka eivät voi:

  • Vastaanottaa reaaliaikaista esto hälytykset haitallisen IP: n
  • Vastaanota arviointeja ajankohtaisista Internetin uhkia
  • Vastaanota tiedot siitä, mitä tapahtuu turva-alan

Joten taas yrittää suojella itseään on positiivinen asia, täytäntöönpano on ollut kielteinen vaikutus turvallisuuteen asiakkailleen.

Miten tarkistaa havaita

Joten vedä jotain positiivista pois kaiken tämän ja tunnistaa asianmukaista menettelyä tarkastaa turvahälytys. Ensin täytyy aloittaa hyvissä vaihteella. Älä edes harkitse tunkeutumisen havainnointi-tai estojärjestelmä, joka ei sisällä:

  • Pääsy allekirjoitus kieli
  • Full decode Epäillyn paketit

Ilman näitä ominaisuuksia kuvaat pimeässä.

Vaihe 1: Ymmärrä hyökkäys

Kun hälytys saa käynnistää, varmista, että ymmärrät hyökkäys mekanismi. Mitä portteja tai palveluja se mennä sen jälkeen? Onko tiedossa allekirjoitusta? Jos Google hyökkäys nimen jälkeen avainsanat "vääriä positiivisia" ja "huijaus", ei mitään keksiä?

Vaihe 2: Ymmärrä tunkeutumisen järjestelmään

Ei suojausta tuote on täydellinen. Niissä kaikissa on heikkouksia tai rajoituksia. Onko tunkeutumisen järjestelmä ylläpitää valtion? Jos näin on, on se koko ajan tai vain osan aikaa? Onko se oikein vahvistaa CRC kentät? Miten se käsitellä hajanainen liikennettä? Tiedetäänkö tuottaa vääriä positiivisia? Jos näin on, ovat vääriä positiivisia rajoitu vain tiettyihin allekirjoituksia tai pöytäkirjoista, vai onko se koko ajan?

Vaihe 3: Sanity Check hälytys

Joskus vääriä positiivisia voidaan karsinut pois rajallinen määrä tietoa on esitetty hälytys. Esimerkiksi ei hälytys väittävät havaita HTTP hyökkäyksen tulevan TCP/80 sijaan että menisit sitä? Jos näin on, kyseessä on ilmeinen ongelma allekirjoitus tuottaa hälytyksen.

Vaihe 4: Tarkista allekirjoitus

Jotkut allekirjoituksia on kirjoitettu hyvin nimenomaan niin, että todennäköisyys on pieni vääriä positiivisia. Jotkut ovat yleisempiä kuitenkin niin sen mahdollista saada vääriä positiivisia putoavat pois. Review allekirjoitus, joka syntyy hälytys ja tehdä arvostele. Onko allekirjoitus tarkistaa 3-4 eri olosuhteissa tai kymmenen tai enemmän? Ilmeisesti enemmän parametreja olemme tarkistaa, vähemmän todennäköisesti haluamme saada vääriä positiivisia.

Vaihe 5: Tarkista purkaa

Jos ymmärrät hyökkäys kuvion, sinun pitäisi jo olla odotuksia siitä, mitä tulee olemaan hyökkäys purkaa. Onko paketti vastannut odotuksiasi? Olen nähnyt paljon vääriä positiivisia tuottaman ihmisiä käsittelyssä info verkkosivustossa kuvataan HTTP hyökkäyksessä. Nämä on helppo erottaa, koska ylimääräistä HTML, oikea agentti ja referrer kentät jne. Lyhyesti sanottuna, jos paketti ei vastaa tunnettu purkamaan on todellinen hyökkäys, selvittää miksi.

Vaihe 6: Research lähde

Olen aina ottaa aikaa varmista Ymmärrän, joka istuu takana lähde IP osoite. Joskus tämä voi mennä pitkä matka kohti yksilöidä, voin luottaa hälytys. Olen muistutti ystävä, joka kielsi useita IP-osoitteita hänen tunkeutumisen järjestelmä oli määritellyt vihamielisiä. Pian sen jälkeen hän alkoi huomata, että Internetin osia ei enää tavoitettavissa. Osoittautuu joku huijaus sarjan hyökkäyksiä IP osoitteet juuripalvelimet . Oliko hän ottanut aikaa etsiä IP-osoitteet Aluksi hän varmasti ei olisi estänyt heitä.

Exec Yhteenveto

Esto tiedetään olevan vihamielinen IP-osoitteita voidaan varmasti hyötyä turvallisuutta, mutta se on toteutettava varoen. Ytimessä tahansa verkko turvajärjestelmä on asiantunteva turvallisuuden asiantuntija tervettä järkeä. Jos tämä osa puuttuu, koko rakenne voi hajota kuin korttitalo.

Update: Koska lähetettäessä Olen huomannut, että Isäntä Monster (Blue Host) estää pääsyn yhdelle tai useammalle Cisco palvelimia samoin. Arvaa lista jatkuu ...

Ei kommentteja »

Posted in 1-kehittyvillä , sivut

Tunnisteet:

Näkymätön turvallisuus bug spray

11 heinäkuu 2009

Tajunnut sitä olisi vain ajan kysymys ennen kuin joku kysyi "Näkymätön turvallisuus bug spray" comment yläreunassa jokaisen sivun. Ei katsonut veisi vähemmän kuin yksi päivä. ;)

Tässä on skuuppi. Sen pelata lainaus yksi minun kaikkien aikojen suosikki ISP vastaukset antamalla heidän tietää, että yksi IP niiden verkko on vihamielinen. Seuraavassa joitakin lainauksia heidän vastaus:

Snip # 1:
Hakkerit ovat kuin muurahaisia, jahtaavat yksi päähän picnic taulukko ei suojaa sinua tuhansia ja tuhansia paikallisia ant hill, jotka ovat edelleen nälkäisiä. Heti kun Irrottautukaa yksi, teillä on vielä ääretön riski käytössäsi saada skannattu tai probed uudelleen.

Snip # 2:
Pisteen edellä lausumat, heti kun olet ollut yksi hakkeri syytteeseen ja / tai käsitellään, olet vain swatted yksi gnat on kuuma ja kostea kesä iltapäivällä. Muutaman sekunnin min myöhemmin, voit alkaa tunne kutiava uudelleen, koska siellä on toinen puree sinua.

Myönnetyt on jonkin verran Zen totuuden heidän kommentaarin (ilkeä IP aina minua kutiava), mutta mitä mielenkiintoinen sanavalinta. Vastaus sitten jatkoi:

Snip # 3:
Palomuuri lokit kuten sinun tulee usein ilmi, paperi polkua kehystetty tietokoneen sijaan hakkeri itse. Todellinen hakkeri ei ole ja ei normaalisti voi havaita aikana näissä olosuhteissa. Etsimme osaksi tilannetta mutta saamme kymmeniä, ellei satoja näitä viikossa.

Snip # 4:
Mitä sinun tulisi keskittyä ei yritä tappaa jokaisen hyttysen, vaan kulumista näkymätön bug spray niin, että vaikka kuinka monta niitä on, ne eivät löydä sinua siksi ei ole sotaa. Et voi voittaa sotaa, kaikki mitä voi tehdä on pysyä irti. Paremmin palomuurin käytät, sitä varmemmin pysyy näkymättömissä.

Pahoittelemme häiriötä, mutta vain muistaa laajemmasta näkökulmasta tähän.

Siinäpä se, näkymätön turvallisuus bug spray. : D

Ei kommentteja »

Lähetetty 5-info , huumori , sivut

Tunnisteet:

Uusi sivusto intro

10 heinäkuu 2009

Tervehtii kaikkia,

Olen törmännyt tällä sivustolla usean vuoden ajan antamalla pääsyn tiettyihin kohtiin vain rajallinen määrä ihmisiä. Vaikka aion jatkaa tätä tietyille asiakkaille, olen päättänyt sen aika avata suuren osan sen julkisuutta. Haluan myös kokeilla käteni on integroida paljon neuvoja annan sähköpostitse ja yksityiset luettelot myös täällä. Kuva näin eniten ihmiset voivat hyötyä.

Jos olet tottunut pääsy jotain ja et enää, pyydän anteeksi jo etukäteen. Ole kärsivällinen kun yritän yhdistää kaiken osaksi WordPress. Järjestelmä on hyvin viileä, mutta se myös hyvin erilainen kuin mitä olin käyttäen aiemmin. Antakaa minulle aikaa leikata käyrä.

Yours bitteinä,

Chris

Ei kommentteja »

Lähetetty 5-info , sivut