Archief voor de 'Site Related' categorie

Blog herzien met bewolkte goedheid

20 mei 2011

Groetjes allemaal,

Ten eerste, ik wil mijn excuses aanbieden voor zijn donker voor zo lang. Om wel erg verhaal kort te maken was ik werk doet voor een van die grote organisaties die de advocaten kan niet slapen 's nachts als ze niet de eigenaar van elk verdomd gedachte en neuron vonk in je hoofd. Dus terwijl ik kon blijven schrijven binnen de organisatie, die openbaar gemaakt en kant bloggen problematisch. Een resolutie is altijd om de hoek, maar helaas werd het duidelijk dat het nooit ging gebeuren.

Ik ben blij om te zeggen dat probleem is opgelost. Ik ben nu bezig voor een extreem koele startup die niet proberen om de vrije uitwisseling van ideeën te onderdrukken, maar juist wordt bevorderd. Mijn god wat een gek idee, hè? : D

Met dat gezegd, de toekomst zal er een paar wijzigingen zijn:

  1. Ik ben geloof sterk dat hybride cloud op het punt staat over te nemen van de wereld, dus mijn schrijven is primair gericht op deze discipline.
  2. In plaats van na de inzendingen hier, zal ik ze te plaatsen op mijn nieuwe werkgever, CloudPassage . Klik op de "Blog" link in de rechterbovenhoek van de pagina.

Ik zie je daar,

Chris

2 reacties »

Geplaatst in Site Related , Uncategorized

Als u dit kunt lezen, heb je niet werken voor SANS - deel 2

05 augustus 2009

Dit probleem lijkt te zijn opgelost. Wel grappig eigenlijk. Ik had te maken met de Host Monster ticket systeem en het kostte 24 uur om een ​​antwoord te krijgen. Vanmorgen heb ik een post op zijn blog Matt Heaton's (CEO van Blue Host) over het probleem. Het werd opgelost binnen een paar uur en ik heb reeds ontvangen drie follow-ups van de steun.

Host Monster ondersteuning stelt dat het probleem was D-Shield stelden zich (en ik neem aan Cisco ook) op hun eigen verbod lijst. Ik sprak met Johannes bij D-Shield. Ik ken hem voor 10 jaar en hij is een echte straight shooter. Hij had geen idee wat ze het over hebben en had nog nooit gehoord van dit probleem met iemand anders. Klinkt een beetje vreemd voor mij, want als ze daadwerkelijk met behulp van D-Shield tot een verbod lijst die zij zou hebben geweten genereren zij waren de 'good guys' afgelopen donderdag, toen ik voor het eerst contact ondersteuning.

In ieder geval blijkt dat alle van de eerder genoemde blokken zijn gewist. Wie zegt dat veiligheid en dag de tijd soaps hebben niets met elkaar gemeen. ;)

2 reacties »

Geplaatst in 5-info , verwante site

Als u dit kunt lezen, heb je niet werken voor SANS

4 augustus 2009

Iedereen die is opgeleid met mij kan je vertellen ik ben echt groot op de mogelijkheid om uw eigen lezen detecteert. Hoewel we hebben genoeg van veiligheidsvoorzieningen die proberen om nauwkeurig te beschrijven wat ze denken dat ze zien op de draad, worden ze geprogrammeerd door mensen en mensen maken fouten. Probeer en automatiseren van het proces en de fouten worden verergerd. Ook Cisco heeft een back-off een beetje op hun grandioze aanspraken van wat een zelf Defending Network is eigenlijk in staat. Niets vervangt het hebben van een ervaren analist de herziening van de bevindingen.

Goede hulp is moeilijk te vinden

Natuurlijk is het sleutelwoord in die laatste opmerking is opgeleid. Ik heb behandeld met veel senior security mensen die nog nooit hebben gezien een decode van een IP-pakket, laat staan ​​kan je vertellen wat een legitieme IP-sessie eruit moet zien. Een van de problemen is wanneer we moeten trainen we meestal terecht bij de leveranciers. Leveranciers hebben de neiging zich te richten op hun mooie GUI, niet wat er gaande is achter de schermen.

In een vorig leven heb ik in handen een ISP en had een aantal zeer vermakelijke ingediend misbruik rapporten. Een van mijn persoonlijke favorieten was een admin melden dat een van mijn systemen werd 'vijandige ICMP-pakketten versturen "om een ​​van zijn systemen. Toen ik mijn logs beoordeeld, merkte ik dat een van mijn routers was in feite het verzenden van hem ICMP gastheer onbereikbaar berichten. Dit zou gebeuren elke keer als zijn gastheer onderzoek gedaan naar de RPC-poort van een IP-adres dat niet in gebruik was. Ik schreef terug en legde uit dat als zijn systeem zou gewoon stoppen met te zoeken naar niet-bestaande systemen, mijn router zou stoppen met hem te vertellen van de host is off-line.

Een andere admin (bij een vrij groot, bekend bedrijf waar ik zou kunnen toevoegen) vertelde me dat een van mijn systemen werd hem aanvallen met Code Red via e-mail. Als u het zich herinnert Code Red, het alleen IIS-webservers aangevallen via HTTP. De "aanslagen" in kwestie waren gebruikers ingeschreven op een mailinglijst. Mensen hadden het over hoe je goede inbraak handtekeningen schrijven om goed te vangen Code Red. Als dat niet ironisch genoeg, de lading van de decode stuurde hij me als bewijs legt uit dat de aanvallen alleen werden HTTP gebaseerd. Als dat twist is nog steeds niet genoeg om je grinniken, hij gaf later toe dat hij de een van de mensen ingeschreven op die lijst. : D

Hoe meer dingen veranderen hoe meer ze hetzelfde blijven

Mijn hosting provider Host Monster (een dochteronderneming van Blue Host) heeft een filter op zijn plaats het blokkeren van alle toegang tot het SANS Institute mailserver (SysAdmin, Audit, Network, Security Institute, is voorzien in computerbeveiliging opleiding), Het Internet Storm Center (dagelijks dagboek van Internet bedreigingen van de veiligheid) en DShield (een systeem voor vroegtijdige waarschuwing voor Internet bedreigingen). Ik nam contact op ondersteuning en ze bevestigd dat ze zijn deze sites te filteren. Ik was niet in staat om uit te vinden waarom dan "als gevolg van verdachte activiteiten".

Ik weet dat de mensen die de SANS en Dshield servers te onderhouden. Ze zijn hard core security mensen met een ernstige aanwijzing. Toen ik voor het eerst aangemeld bij mijn hosting provider was ik onder de indruk van het kennisniveau van hun ondersteunend personeel. De laatste tijd echter, ik heb ze gevonden te ontbreken zelfs in de basis. Terwijl ik van links naar raden naar wat er werkelijk de oorzaak van de ban, ben ik geneigd te denken dat iemand bij Host Monster (of eventueel Blue Host) zag een waarschuwing, maar niet over de vaardigheden om erachter te komen het is een false positive.

Communicatie is tweerichtingsverkeer

Blue Host claimt 1,5 miljoen gehoste websites door alle van hun aandelen. Dus ze hebben nu 1,5 miljoen klanten die niet kunnen:

  • Ontvang real-time blokkering waarschuwingen van kwaadaardige IP's
  • Ontvang evaluaties van de huidige internetbedreigingen
  • Ontvang informatie over wat er in de beveiligingsbranche

Dus tijdens een poging om zichzelf te beschermen is een goede zaak, heeft de uitvoering had een negatief effect op de veiligheid van hun klanten.

Hoe maak je een detecteren controleren

Dus laten we iets positiefs te trekken uit dit alles en identificeren van de juiste procedure voor het verifiëren van een beveiligingswaarschuwing. We hebben eerst moeten beginnen met een goede versnelling. Niet eens overwegen een inbraak sporen of te voorkomen systeem dat niet zijn:

  • De toegang tot de handtekening taal
  • Volledige decode van verdachte pakketjes

Zonder deze functies u opnamen maakt in het donker.

Stap 1: Begrijp de aanval

Bij een alarm wordt geactiveerd, zorg ervoor dat u inzicht in de aanval mechanisme. Welke poorten of diensten gaat het naartoe na? Zijn er bekende handtekeningen? Als u Google de aanval de naam gevolgd door de sleutelwoorden "valse positieve" en "spoofed", is er iets komen?

Stap 2: Begrijp uw inbraaksysteem

Geen beveiliging product is perfect. Ze hebben allemaal zwakheden of beperkingen. Heeft uw inbraak in stand te houden staat? Zo ja, is het de hele tijd of alleen een deel van de tijd? Is het correct valideren CRC velden? Hoe werkt het omgaan met gefragmenteerde verkeer? Is het bekend dat valse meldingen te genereren? Zo ja, zijn de valse positieven beperkt tot alleen bepaalde handtekeningen of protocollen, of is het de hele tijd?

Stap 3: Sanity controleer de alert

Soms false positives kan worden uitgeroeid uit de beperkte hoeveelheid informatie gepresenteerd in een waarschuwing. Zo heeft de waarschuwing aanspraak op hebben gedetecteerd dat een HTTP-aanval uit TCP/80 in plaats van naar het? Zo ja, is er een duidelijk probleem met de handtekening van het genereren van de waarschuwing.

Stap 4: Controleer de handtekening

Sommige handtekeningen zijn zeer speciaal geschreven zodat er weinig kans op een vals positief. Sommige zijn meer in het algemeen echter zo is het mogelijk om vals-positieve val hebben uit. Bekijk de handtekening die de waarschuwing gegenereerd en zich een oordeel gesprek. Heeft de handtekening te controleren 3-4 verschillende voorwaarden of tien of meer? Uiteraard is de meer parameters we controleren, hoe minder de kans dat we tot een vals positieve te krijgen.

Stap 5: Controleer de decoderen

Als u begrijpt de aanval patroon, moet u al een verwachting van wat er in de aanval decoderen. Is het pakket aan je verwachtingen? Ik heb gezien dat veel valse positieven gegenereerd door mensen die het lezen van informatie op een website beschrijven van een HTTP-based aanval. Deze zijn gemakkelijk te wijten aan de extra HTML, een goede agent en referrer velden, enz. onderscheiden Kortom, als het pakket niet overeenkomt met een bekende decode van de echte aanval, erachter te komen waarom.

Stap 6: Onderzoek van de bron

Ik neem altijd de tijd om ervoor te zorgen dat ik te begrijpen wie zit achter de bron IP-adres. Soms kan dit gaan een lange weg naar het identificeren van of ik de waarschuwing vertrouwen. Ik moet denken aan een vriend die een aantal IP-adressen zijn inbraaksysteem had geïdentificeerd als vijandig verboden. Kort daarna begon hij te merken dat delen van het internet niet meer bereikbaar. Blijkt dat iemand spoofed een reeks aanvallen van de IP-adressen van de root name servers . Had hij de tijd om te kijken op de IP-adressen eerst genomen, dat hij zeker niet zou hebben geblokkeerd zijn.

Exec Samenvatting

Het blokkeren van bekend is dat ze vijandig IP-adressen kan zeker nuttig zijn om de veiligheid, maar het moet worden uitgevoerd met de nodige voorzichtigheid. Aan de basis van elke netwerkbeveiliging moet een goed geïnformeerde security expert met gezond verstand zijn. Als dat onderdeel ontbreekt, kan de hele structuur uit elkaar valt als een kaartenhuis.

Update: Omdat het posten van dit Ik heb ontdekt dat Host Monster (Blue Host) is toegang tot een of meer het blokkeren van Cisco servers ook. Denk dat de lijst gaat verder ...

Geen reacties »

Geplaatst in 1-opkomende landen , een locatiegebonden

Tags:

Onzichtbare beveiliging insectennevel

11 juli 2009

Dacht dat het zou slechts een kwestie van tijd voordat iemand gevraagd naar de "Invisible security bug spray" commentaar aan de bovenkant van elke pagina. Had niet gedacht dat het zou minder dan een dag te nemen. ;)

Hier is de primeur. Het is een spel op een citaat van een van mijn all time favoriete ISP reacties op hen te laten weten dat een van de IP-adressen binnen hun netwerk vijandig is. Hier zijn een paar citaten uit hun reactie:

Snip # 1:
Hackers zijn als mieren, op jacht naar een weg van de picknicktafel zal je niet beschermen tegen de duizenden en duizenden in de lokale mierenhoop die nog steeds honger. Zodra je jezelf bevrijden van een, zal je nog steeds een oneindige risico voor u beschikbaar zijn om aan de slag gescand of gesondeerd opnieuw.

Snip # 2:
Het punt van de bovenstaande verklaringen zijn, zodra je had een hacker vervolgd en / of aangepakt, heb je alleen maar sloeg een mug op een warme en vochtige zomer middag. Een paar seconden tot een min later, zul je gaan voelen jeuken weer, want er is een ander bijten je.

Toegegeven er een Zen waarheid om hun commentaar (kwaadaardige IP's altijd make me jeuk), maar wat een interessante keuze van woorden. De reactie ging verder met te zeggen:

Snip # 3:
Firewall logs zoals die van jullie zal tonen vaak de papieren spoor van de ingelijste computer in plaats van de hacker zelf. De echte hacker is niet en normaal gesproken niet kan worden gedetecteerd tijdens deze omstandigheden. We kijken naar de situatie, maar we krijgen tientallen, zo niet honderden van deze een week.

Snip # 4:
Wat u moet zich richten op niet proberen om elke mug te doden, maar dragen onzichtbare bug spray, zodat dat het niet uitmaakt hoeveel van hen zijn er, ze kan dus niet vinden is er geen oorlog. Je kunt niet winnen van de oorlog, alles wat je kunt doen is blijven uit te halen. Hoe beter de firewall die u gebruikt, hoe meer kans je blijft onzichtbaar.

Onze excuses voor het ongemak, maar gewoon rekening te houden met het bredere perspectief van deze.

Dus daar heb je het, onzichtbaar security bug spray. : D

Geen reacties »

Geplaatst in 5-info , Humor , verwante site

Tags:

Nieuwe site intro

10 juli 2009

Groetjes allemaal,

Ik heb geen site voor een aantal jaren door het verlenen van toegang tot specifieke secties voor slechts een beperkt aantal mensen. Terwijl ik zal dit blijven doen voor bepaalde klanten, heb ik besloten de tijd te openen een groot deel van het aan toegang van het publiek. Ik wil ook mijn hand te proberen op de integratie van een groot deel van het advies dat ik geef via e-mail en een eigen lijsten ook hier. Figuur op die manier het grootste aantal mensen zullen kunnen profiteren.

Als je gewend bent aan die toegang hebben tot iets en je doet niet meer, verontschuldig ik op voorhand. Wees geduldig als ik probeer te integreren en alles in WordPress. Het systeem is erg cool, maar het is ook heel anders dan wat ik gebruikte in het verleden. Geef me de tijd om de curve te snijden.

Yours in bits,

Chris

Geen reacties »

Geplaatst in 5-info , verwante site