Archive pour le «Site Relatif" catégorie

Blog révisé avec la bonté nuageux

20 mai 2011

Accueillir tous,

Tout d'abord, je tiens à m'excuser d'être sombre pendant si longtemps. Pour faire une histoire courte loooong je faisais de travail pour l'un de ces énormes organisations qui s'y avocats ne peuvent pas dormir la nuit si elles ne possèdent pas toutes les pensées et sacrément étincelle neurone dans votre tête. Ainsi, alors que j'étais en mesure de continuer à écrire dans l'organisation, il a fait blogging côté public problématique. Une résolution a toujours été juste autour du coin, mais hélas il est devenu évident qu'il n'allait jamais se produire.

Je suis heureux de dire que le problème a été résolu. Je travaille maintenant pour un démarrage très cool qui ne cherche pas à étouffer le libre échange des idées, mais encourage plutôt. Mon dieu qu'est un concept fou, hein? : D

Cela dit, aller de l'avant, il y aura quelques changements:

  1. Je suis un fervent partisan de ce nuage hybride est prêt à conquérir le monde, donc mon écriture sera principalement axée sur cette discipline.
  2. Plutôt que de poster ici, les entrées, je vais les poster sur mon nouvel employeur, CloudPassage . Il suffit de cliquer sur le lien "Blog" en haut à droite de la page.

Rendez-vous là-bas,

Chris

2 commentaires »

Publié dans Site connexe , Non classé

Si vous pouvez lire ceci, vous ne travaillez pas pour SANS - partie 2

5 août 2009

Cette question semble avoir été résolu. C'est amusant en fait. J'avais eu affaire avec le système de ticket d'accueil Monster et il prenait 24 heures pour obtenir une réponse. Ce matin, j'ai fait un post sur le blog de Matt Heaton (chef de la direction de l'hôte Bleu) sur le problème. Il a été résolu en quelques heures et j'ai déjà reçu 3 suites d'un soutien.

Les Etats d'accueil Monster soutien que le problème était D-Shield se mettre (et je suppose que Cisco ainsi) sur leur liste propre interdiction. J'ai parlé avec Johannes à D-Shield. Je l'ai connu pendant 10 ans et il s'agit d'un jeu de tir réel droite. Il n'avait aucune idée de ce dont ils parlent et qu'il n'avait pas entendu parler de ce problème avec quelqu'un d'autre. Ça fait un drôle de petit pour moi, parce que si elles ont été effectivement l'aide de D-Shield pour générer une liste interdiction, ils auraient su qu'ils étaient les bons, jeudi dernier, lors de ma première contacté le support.

En tout état de cause, il semble que tous les blocs mentionnés précédemment ont été effacés. Qui a dit que la sécurité et des opéras de savon par jour de temps n'ont rien en commun. ;)

2 commentaires »

Publié dans 5-Info , site Relatif

Si vous pouvez lire ceci, vous ne travaillez pas pour SANS

4 août 2009

Toute personne qui a formé avec moi pouvez-vous dire que je suis vraiment grand d'être capable de lire votre propre détecte. Alors que nous avons beaucoup de dispositifs de sécurité qui tentent de décrire avec précision ce qu'ils pensent qu'ils voient sur le fil, ils sont programmés par les humains et les humains font des erreurs. Essayez et automatiser le processus et les erreurs deviennent aggravé. Même Cisco a reculé un peu sur leurs prétentions grandioses de ce qu'est un réseau auto défense est en fait capable de faire. Rien ne remplace ayant un analyste compétent examine les résultats.

Bonne aide est difficile à trouver

Bien sûr, le mot-clé dans ce dernier commentaire est habile. J'ai traité avec beaucoup de gens de sécurité de haut niveau qui n'ont jamais vu un décodage d'un paquet IP, sans parler peux vous dire ce qu'est une session IP légitime devrait ressembler. Un des problèmes, c'est quand nous avons besoin de la formation nous avons l'habitude se tourner vers les fournisseurs. Les vendeurs ont tendance à se concentrer sur leur interface graphique jolie, pas ce qui se passe dans les coulisses.

Dans une vie antérieure, j'ai été propriétaire d'un fournisseur de services Internet et ont eu des rapports d'abus très divertissant soumis. Un de mes favoris personnels était une déclaration d'administration qui l'un de mes systèmes a été "l'envoi de paquets ICMP hostiles" à l'un de ses systèmes. Lorsque j'ai examiné mes journaux, j'ai noté que l'un de mes routeurs était en fait en lui envoyant des messages ICMP hôte inaccessible. Ce serait le cas à chaque fois que son hôte sondé le port RPC d'une adresse IP qui n'était pas en usage. Je lui ai répondu et expliqué que si son système serait tout simplement arrêter de sondage pour inexistants systèmes, mon routeur ne s'arrête pour lui dire que l'hôte est hors-ligne.

Un autre admin (à une assez grande, entreprise bien connue, je pourrais ajouter) m'a informé que l'un de mes systèmes a été l'attaquant avec Code Red par e-mail. Si vous vous souvenez Code Red, il n'a attaqué serveurs Web IIS via HTTP. Les "attaques" en question étaient des utilisateurs abonnés à une liste de diffusion. Les gens parlaient de la façon d'écrire de bonnes signatures d'intrusion pour bien attraper Code Red. Si ce n'était pas ironique assez, la charge utile du décodage, il m'a envoyé comme preuve a expliqué que les attaques ne sont que HTTP basé. Si cette torsion n'est pas encore assez pour vous faire rire, il a admis plus tard qu'il était l'un des personnes abonnées à cette liste. : D

Les choses changent plus elles restent les mêmes

My Monster hébergement hôte du fournisseur (une filiale de l'hôte Bleu) a mis un filtre en place bloquant tout accès à l' institut SANS serveur de messagerie (SysAdmin, Audit, Network, Security Institute, fournit la sécurité informatique de formation), Le Internet Storm Center (journal quotidien des menaces de sécurité Internet) et DShield (un système d'alerte précoce pour les menaces Internet). J'ai contacté le support et ils ont confirmé qu'ils sont de filtrage de ces sites. Je n'ai pas pu savoir pourquoi au-delà "en raison de toute activité suspecte".

Je sais que les gens qui maintiennent les serveurs et SANS Dshield. Ils sont durs les gens de sécurité de base avec un indice sérieux. Quand j'ai signé avec mon fournisseur d'hébergement j'ai été impressionné par le niveau de connaissances de leur personnel de soutien. Dernièrement, toutefois, j'ai trouvé à faire défaut, même dans les bases. Même si je suis laissé à deviner à ce qui a causé l'interdiction, je suis enclin à penser que quelqu'un chez Monster hôte (ou Host éventuellement Bleu) a vu une alerte, mais n'avait pas les compétences nécessaires pour comprendre son un faux positif.

La communication est une rue à double sens

Hôte Bleu prétend 1,5 millions de sites hébergés par l'ensemble de leurs avoirs. Donc, ils ont maintenant 1,5 millions de clients qui ne peuvent pas:

  • Recevez des alertes en temps réel de blocage de logiciels malveillants IP
  • Recevoir des évaluations sur les menaces Internet actuelles
  • Recevez des infos sur ce qui se passe dans le secteur de la sécurité

Donc, tout en essayant de se protéger est une chose positive, la mise en œuvre a eu un effet négatif sur la sécurité de leurs clients.

Comment vérifier une détection

Donc, nous allons tirer quelque chose de positif sur tout cela et d'identifier la bonne procédure pour vérifier une alerte de sécurité. Nous devons d'abord commencer avec un bon équipement. Ne pensez même pas un système de détection d'intrusion ou d'un système de prévention qui ne comprend pas:

  • L'accès à la langue la signature
  • Décodage complet des paquets suspects

Sans ces fonctions, vous prenez des photos dans l'obscurité.

Étape 1: Comprendre l'attaque

Lorsqu'une alerte se déclenche, assurez-vous de comprendre le mécanisme d'attaque. Quels sont les ports ou les services-t-il aller après? Y at-il signatures connues? Si vous Google le nom de l'attaque suivie par les mots clés "faux positif" et "usurpation", ne rien trouver?

Étape 2: Comprendre votre système anti-intrusion

Aucun produit de sécurité n'est parfait. Ils ont tous des faiblesses ou des limitations. Votre système anti-intrusion maintenir l'état? Si oui, est-il tout le temps ou juste une partie du temps? T-il de valider correctement les champs CRC? Comment ça faire face au trafic fragmenté? Est-il connu pour générer des faux positifs? Si c'est le cas, sont les faux positifs limités à seulement certaines signatures ou des protocoles, ou est-ce tout le temps?

Étape 3: Sanity vérifier l'alerte

Parfois, les faux positifs peuvent être éliminés de la quantité limitée d'info présenté dans une alerte. Par exemple ne la demande d'alerte d'avoir détecté une attaque HTTP venant TCP/80 au lieu d'aller à lui? Si oui, il ya un problème évident avec la signature générer l'alerte.

Étape 4: Vérifiez la signature

Certaines signatures sont écrits très précisément afin qu'il y ait peu de chances d'un faux positif. Certains sont plus générale, cependant si son possible pour des faux positifs sur l'automne. Examen de la signature qui a généré l'alerte et de faire un appel du jugement. T la signature vérifier 3-4 des conditions différentes ou dix ou plus? Évidemment, les autres paramètres, nous vérifions, moins il est probable que nous sommes pour obtenir un faux positif.

Étape 5: Vérifier le décodage

Si vous comprenez le schéma d'attaque, vous devriez déjà avoir une attente de ce qui sera dans le décodage attaque. Le paquet de correspondre à vos attentes? J'ai vu beaucoup de faux positifs générés par les gens qui lisent des infos sur un site Web décrivant une attaque basée sur HTTP. Ils sont faciles à distinguer en raison de la HTML supplémentaire, l'agent approprié et domaines référents, etc En bref, si le paquet ne correspond pas à un décodage connue de la véritable attaque, à comprendre pourquoi.

Étape 6: la recherche de la source

Je prends toujours le temps de m'assurer que je comprends qui est assis derrière l'adresse IP source. Parfois, cela peut aller un long chemin vers l'identification si je peux faire confiance à l'alerte. Je me souviens d'un ami qui interdit un certain nombre d'adresses IP de son système anti-intrusion avait identifiés comme hostiles. Peu de temps après il a commencé à remarquer que certaines parties de l'Internet ne sont plus accessibles. Il s'avère que quelqu'un usurpée une série d'attaques à partir des adresses IP des serveurs de noms racine . Avait-il pris le temps de rechercher les adresses IP d'abord, il n'aurait certainement pas pu les bloquer.

Résumé Exec

Blocage connu pour être des adresses IP hostiles peuvent certainement être bénéfique pour la sécurité, mais il doit être mis en œuvre avec prudence. Au cœur de tout système de sécurité du réseau doit être un expert en sécurité compétent avec bon sens. Si ce composant est manquant, toute la structure peut s'effondrer comme un château de cartes.

Mise à jour: Puisque l'envoi de ce que j'ai trouvé que Monster hôte (Host Bleu) bloque l'accès à un ou plusieurs Cisco serveurs ainsi. Devinez la liste continue ...

Pas de commentaires »

Publié dans 1-Emerg , site Relatif

Tags:

Invisible de pulvérisation bug de sécurité

11 juillet 2009

Pensé qu'il ne serait qu'une question de temps avant que quelqu'un a demandé au sujet de la "bogue de sécurité de pulvérisation Invisible" commentaire en haut de chaque page. Ne pense pas que cela prendrait moins d'une journée. ;)

Voici le scoop. C'est un jeu sur une citation d'un de mes toutes les réponses en temps FAI préférés pour leur faire savoir que l'une des adresses IP au sein de leur réseau est hostile. Voici quelques citations de leur réponse:

Snip # 1:
Les pirates sont comme des fourmis, se poursuivant loin de la table de pique-nique ne sera pas vous protéger contre les milliers et des milliers dans la fourmilière locales qui sont encore faim. Dès que vous vous débarrasser d'un seul, vous aurez toujours un risque infini à votre disposition pour vous balayage ou par sonde à nouveau.

Snip # 2:
Le point des déclarations ci-dessus sont, dès que vous avez eu un hacker poursuivis et / ou adressés, vous avez seulement swatted qu'un moucheron sur une après-midi d'été chaud et humide. Quelques secondes à une minute plus tard, vous commencez à ressentir des démangeaisons à nouveau parce qu'il ya une autre vous mordre.

Certes il ya du vrai zen à leur commentaire (IP malveillantes me font toujours des démangeaisons), mais ce un choix intéressant de mots. La réponse, puis a poursuivi en disant:

Snip # 3:
Pare-feu se connecte comme le vôtre montrent souvent le chemin papier de l'ordinateur encadrée plutôt que le pirate lui-même. Le vrai hacker n'a pas été et ne peut normalement pas être détectée au cours de ces circonstances. Nous nous penchons sur la situation, mais nous recevons des dizaines, voire des centaines de ces semaine, un.

Snip # 4:
Ce que vous devez mettre l'accent sur ​​ne cherche pas à tuer tous les moucheron, mais plutôt porter une bombe anti-invisible de sorte que peu importe combien d'entre eux il ya, ils ne peuvent pas vous trouver par conséquent, il n'ya pas de guerre. Vous ne pouvez pas gagner la guerre, tout ce que vous pouvez faire est de rester hors de lui. Le meilleur est le pare-feu que vous utilisez, plus il est probable que vous restera invisible.

Nous nous excusons pour tout inconvénient mais il suffit de garder à l'esprit la perspective plus large à ce sujet.

Donc là vous l'avez, par pulvérisation invisible bug de sécurité. : D

Pas de commentaires »

Publié dans 5-Info , Humour , Site Relatif

Tags:

Nouveau site d'introduction

10 juillet 2009

Accueillir tous,

J'ai couru ce site pour un certain nombre d'années maintenant par l'octroi de l'accès à des sections spécifiques pour un nombre limité de personnes. Alors je vais continuer à le faire pour certains clients, j'ai décidé de son temps à ouvrir une grande partie de celui-ci à l'accès du public. Je tiens également à tenter ma chance à intégrer la plupart des conseils que je donne par e-mail et des listes privées ici aussi. Figure de cette façon le plus grand nombre de gens seront en mesure d'en bénéficier.

Si vous avez l'habitude d'avoir accès à quelque chose et vous ne faites pas plus, je m'excuse à l'avance. S'il vous plaît être patient comme je l'ai essayer d'intégrer le tout dans WordPress. Le système est très cool, mais elle est aussi très différent de ce que j'ai été en utilisant dans le passé. S'il vous plaît me donner le temps de couper la courbe.

Bien à vous en bits,

Chris

Pas de commentaires »

Publié dans 5-Info , site Relatif