Archivio per il 'sito correlati' categoria

Blog rivisto con la bontà nuvoloso

20 Maggio 2011

Saluta tutti,

Innanzitutto, voglio scusarmi per essere buio per così tanto tempo. Per farla breve moooolto stavo facendo un lavoro per una di quelle grandi organizzazioni che gli avvocati non possono dormire la notte se non proprio ogni pensiero e dannato scintilla neurone nella tua testa. Così, mentre ero in grado di continuare a scrivere all'interno dell'organizzazione, ha fatto blogging lato pubblico problematico. Una risoluzione è stata sempre dietro l'angolo, ma purtroppo è diventato evidente che non sarebbe successo.

Sono felice di poter dire che il problema è stato risolto. Ora sto lavorando per un avvio estremamente fredda che non cerca di soffocare il libero scambio di idee, ma incoraggia anzi. Mio dio che un concetto folle, eh? : D

Detto questo, andando avanti ci saranno un paio di modifiche:

  1. Sono un credente forte che cloud ibrido è pronta a conquistare il mondo, quindi la mia scrittura sarà incentrata essenzialmente su questa disciplina.
  2. Piuttosto che le voci post qui, sarò li invio al mio nuovo datore di lavoro, CloudPassage . Basta cliccare sul link "blog" in alto a destra della pagina.

Ci vediamo lì,

Chris

2 commenti »

Pubblicato in sito correlate , Senza categoria

Se potete leggere questo, non lavoro per SANS - parte 2

5 Agosto 2009

Questo problema sembra essere stato risolto. Sorta di divertente in realtà. Avevo avuto a che fare con il sistema di ticket Host Monster e si stava prendendo 24 ore per ottenere una risposta. Questa mattina ho fatto un post al blog di Matt Heaton (CEO di Host Blu) sul problema. E 'stato risolto in poche ore e ho già ricevuto 3 follow-up dal sostegno.

Host afferma sostegno mostro che il problema era D-Shield si mettono (e presumo Cisco pure) nella loro lista divieto propria. Ho parlato con Johannes in D-Shield. Lo conosco da 10 anni ed è uno sparatutto vero e proprio diritto. Non aveva idea di cosa stanno parlando e non aveva sentito parlare di questo problema con nessuno. Suona un po 'strano per me, perché se fossero effettivamente utilizzando D-Shield di generare un elenco divieto avrebbero saputo che erano i buoni Giovedi scorso, quando ho contattato il supporto.

In ogni caso sembra che tutti i blocchi precedentemente menzionati sono stati cancellati. Chi dice che la sicurezza e il giorno soap tempo non hanno nulla in comune. ;)

2 commenti »

Pubblicato in 5-Info , sito correlate

Se potete leggere questo, non lavori per il SANS

4 AGOSTO 2009

Qualcuno che ha formato con me posso dirti Sono davvero grande di essere in grado di leggere il tuo rileva. Anche se abbiamo un sacco di dispositivi di sicurezza che cercano di descrivere accuratamente quello che credono di vedere sul filo, sono programmati dagli esseri umani e gli esseri umani commettono errori. Cercate di automatizzare il processo e gli errori diventano aggravato. Anche Cisco ha fatto marcia indietro un po 'sulle loro affermazioni grandiose di quello che una rete di auto difesa è realmente capace. Niente sostituisce con un analista esperto revisione dei risultati.

Buon aiuto è difficile da trovare

Naturalmente la parola chiave in questo ultimo commento è abile. Ho avuto a che fare con un sacco di gente di sicurezza anziani che non hanno mai visto una decodifica di un pacchetto IP, per non parlare posso dire che una sessione di legit IP dovrebbe essere simile. Uno dei problemi è quando abbiamo bisogno di formazione che di solito girare per i venditori. I venditori tendono a concentrarsi sulle loro GUI bella, non ciò che sta succedendo dietro le quinte.

In una vita precedente ho posseduto un ISP e aveva alcune segnalazioni di abuso molto divertente presentato. Uno dei miei preferiti è stato un amministratore di reporting che uno dei miei sistemi di era "l'invio di pacchetti ICMP ostile" a uno dei suoi sistemi. Quando ho rivisto il mio log, ho notato che uno dei miei router era infatti l'invio di messaggi ICMP irraggiungibile lui ospite. Ciò accade ogni volta suo ospite sondato la porta RPC di un indirizzo IP che non era in uso. Ho risposto e spiegato che se il suo sistema consisterebbe semplicemente termina l'esame per inesistenti i sistemi, il mio router si fermerebbe dicendogli l'host è off-line.

Un altro admin (a piuttosto grande, azienda ben nota mi permetto di aggiungere) mi ha informato che uno dei miei sistemi lo stava attaccando con Code Red via e-mail. Se vi ricordate Code Red, solo attaccato i server Web IIS via HTTP. La "attacchi" in questione erano gli utenti iscritti ad una mailing list. La gente parlava di come scrivere firme intrusione buona per catturare correttamente Code Red. Se questo non fosse abbastanza ironico, il payload del decodificare mi ha mandato come prova ha spiegato che gli attacchi erano solo HTTP based. Se questo torsione non è ancora sufficiente per farvi ridere, in seguito ammise che era quello del popolo iscritti a tale elenco. : D

Più le cose cambiano più rimangono le stesse

Il mio hosting Mostro host provider (una filiale di Host Blu) ha messo un filtro al posto bloccando tutti gli accessi al SANS Institute server di posta (SysAdmin, Audit, Network, Security Institute, offre corsi di formazione sicurezza informatica), L' Internet Storm Center (diario giornaliero delle minacce alla sicurezza Internet) e DShield (un sistema di allerta precoce per le minacce di Internet). Ho contattato il supporto e hanno confermato che stanno filtrando i siti. Non sono riuscito a scoprire perché oltre "a causa di attività sospette".

So che la gente che mantengono il SANS e server Dshield. Sono dure persone nucleo di sicurezza con un indizio grave. Quando ho firmato con il mio fornitore di hosting mi ha colpito con il livello di conoscenza della loro personale di supporto. Ultimamente però, ho trovato loro di essere carente anche nelle basi. Mentre io sto a sinistra per indovinare che cosa effettivamente causato il divieto, io sono incline a pensare che qualcuno a mostro Host (Host o forse blu) ha visto un avviso, ma non hanno le capacità per capire proprio un falso positivo.

La comunicazione è una strada a doppio senso

Host blu sostiene 1,5 milioni di siti ospitati in tutte le loro partecipazioni. Così ora hanno 1,5 milioni di clienti che non possono:

  • Ricevere avvisi in tempo reale il blocco di IP di malintenzionati
  • Ricevi le valutazioni sulle minacce attuali di Internet
  • Ricevere informazioni su cosa sta succedendo nel settore della sicurezza

Così, mentre tenta di proteggere se stessi è una cosa positiva, l'attuazione ha avuto un effetto negativo sulla sicurezza dei loro clienti.

Come verificare un rilevamento

Quindi cerchiamo di tirare fuori qualcosa di positivo di tutto questo e di individuare la procedura corretta per verificare un avviso di protezione. In primo luogo abbiamo bisogno di iniziare con una buona marcia. Non fanno così anche in considerazione un rilevamento delle intrusioni o sistema di prevenzione che non include:

  • L'accesso alla lingua firma
  • Piena di decodificare i pacchetti sospetti

Senza queste caratteristiche si sono riprese al buio.

Fase 1: Comprendere l'attacco

Quando un allarme viene attivato, assicurarsi di aver compreso il meccanismo di attacco. Quali porte o servizi va a finire dopo? Ci sono firme note? Se l'attacco il nome di Google, seguita dalle parole chiave "falso positivo" e "spoofing", fa niente venire?

Fase 2: Comprendere il vostro sistema di intrusione

Nessun prodotto di sicurezza è perfetto. Tutti hanno debolezze o limitazioni. Il vostro sistema di intrusion mantenere lo stato? Se è così, è tutto il tempo o solo qualche volta? Ha convalida correttamente i campi CRC? Come si gestire il traffico frammentato? E 'noto per generare falsi positivi? Se è così, sono i falsi positivi limitata a determinate firme o protocolli, o è tutto il tempo?

Fase 3: Sanity controllare l'avviso

A volte i falsi positivi possono essere eliminati dalla limitata quantità di informazioni presentate in un avviso. Per esempio ha la pretesa di allarme di avere rilevato un attacco HTTP provenienti da TCP/80 invece di andare ad esso? Se è così, c'è un problema evidente con la firma generando l'allarme.

Fase 4: Verificare la firma

Alcune firme sono scritte in modo molto specifico in modo che ci sono poche possibilità di un falso positivo. Alcuni sono più generale, comunque, quindi la sua possibilità di avere falsi positivi cadono fuori. Rivedere la firma che ha generato l'avviso e fare una chiamata in giudizio. La firma controllare 3-4 condizioni diverse o dieci o più? Ovviamente i parametri più stiamo verificando, la meno probabile che stiamo per avere un falso positivo.

Fase 5: Controllare la decodifica

Se si capisce il motivo dell'attacco, si dovrebbe già avere una aspettativa di quello che sarà nel decodificare attacco. Il pacchetto all'altezza delle vostre aspettative? Ho visto un sacco di falsi positivi generati da persone che leggono informazioni su un sito Web che descrive un attacco basato HTTP. Questi sono facili da distinguere a causa della ulteriore HTML, agente corretta e campi referrer, ecc In breve, se il pacchetto non corrisponde a una nota di decodificare il vero attacco, capire perché.

Fase 6: ricerca la fonte

Ho sempre prendere il tempo per essere sicuro di capire chi è seduto dietro l'indirizzo IP di origine. A volte questo può andare un lungo cammino verso l'individuazione se posso fidarmi l'avviso. Mi viene in mente un amico che ha vietato una serie di indirizzi IP suo sistema intrusione aveva identificato come ostile. Poco dopo ha iniziato a notare che alcune parti di Internet non erano più raggiungibili. Si scopre che qualcuno falsificato una serie di attacchi provenienti da indirizzi IP dei root name server . Se avesse avuto il tempo di cercare gli indirizzi IP primo, certamente non li avrebbe bloccati.

Executive Summary

Blocco note per essere gli indirizzi IP ostili può certamente essere utile alla sicurezza, ma deve essere attuato con cautela. Al centro di qualsiasi sistema di sicurezza di rete deve essere un esperto di sicurezza esperto con buon senso. Se tale componente non è presente, l'intera struttura possa crollare come un castello di carte.

Aggiornamento: Dal momento che questo distacco che ho trovato che il mostro Host (Host Blu) sta bloccando l'accesso a uno o più Cisco server pure. Indovina la lista continua ...

Nessun commento »

Pubblicato in 1-emerg , del sito correlate

Tags:

Invisibile sicurezza spray

11 lug 2009

Pensato che sarebbe solo una questione di tempo prima che qualcuno chiesto del "Invisible bug di sicurezza spray" commento in cima ad ogni pagina. Non credo ci sarebbe voluto meno di un giorno. ;)

Ecco lo scoop. Il suo un gioco di una citazione da uno dei miei preferiti tutti i tempi delle risposte ISP per far loro sapere che uno degli indirizzi IP all'interno della loro rete è ostile. Ecco alcune citazioni dalle loro risposta:

Snip # 1:
Gli hacker sono come le formiche, inseguendo uno lontano dal tavolo da picnic non vi proteggerà dalle migliaia e migliaia nel formicaio locali che sono ancora fame. Non appena vi liberarsi di uno, si avrà ancora un rischio infinito a disposizione di voi per ottenere digitalizzati o sondato nuovamente.

Snip # 2:
Il punto della dichiarazioni di cui sopra sono, non appena hai avuto un hacker perseguiti e / o trattati, hai solo uno schiaffo moscerino in un pomeriggio d'estate calda e umida. Pochi secondi per un minimo più tardi, si inizierà a sentire prurito di nuovo perché c'è un altro morso voi.

Concesso c'è qualcosa di vero Zen ai loro commento (IP maligni sempre mi fanno prurito), ma ciò un'interessante scelta di parole. La risposta poi ha continuato a dire:

Snip # 3:
Firewall log di come la vostra si mostrano spesso la traccia cartacea del computer incorniciato piuttosto che lo stesso hacker. Il vero hacker non è stata e normalmente non possono essere rilevate durante tali circostanze. Stiamo esaminando la situazione, ma si ottiene decine se non centinaia di questi una settimana.

Snip # 4:
Che cosa si dovrebbe concentrare su non è cercando di uccidere ogni moscerino, ma piuttosto portare a spruzzo invisibile bug in modo che non importa quanti di loro ci sono, non possono trovare quindi non c'è guerra. Non si può vincere la guerra, tutto quello che puoi fare è stare fuori. Il meglio del firewall in uso, più è probabile che rimarrà invisibile.

Ci scusiamo per gli eventuali disagi, ma solo tenere a mente la prospettiva più ampia a questo.

Quindi il gioco è fatto, invisibili a spruzzo bug di sicurezza. : D

Nessun commento »

Pubblicato in 5-Info , Humor , sito correlate

Tags:

Nuovo sito intro

10 luglio 2009

Saluta tutti,

Ho eseguito questo sito per un certo numero di anni da concedere l'accesso a sezioni specifiche per un numero limitato di persone. Mentre io continuerò a fare questo per alcuni clienti, ho deciso il suo tempo di aprire una gran parte di esso per l'accesso del pubblico. Voglio anche provare la mia mano ad integrare la maggior parte del consiglio che do via e-mail e le liste private anche qui. La figura in questo modo il maggior numero di persone sarà in grado di beneficio.

Se siete abituati ad avere accesso a qualcosa e non più, mi scuso in anticipo. Si prega di essere pazienti come me tentare di integrare tutto in WordPress. Il sistema è molto cool, ma è anche molto diverso da quello che usavo in passato. Si prega di darmi il tempo di tagliare la curva.

Distinti in bit,

Chris

Nessun commento »

Pubblicato in 5-Info , sito correlate