Archive for the 'nettstedet Related "kategori

Blogg revidert med skyet godhet

20 mai 2011

Hilser alle,

Først vil jeg be om unnskyldning for å bli mørkt så lenge. Å gjøre en laaange historie kort jeg gjorde arbeid for en av de store organisasjonene som advokater kan ikke sove om natten hvis de ikke eier hver jævla tanke og nevroner gnist i hodet ditt. Så mens jeg var i stand til å holde skriftlig innen organisasjonen, gjorde det offentlig side blogging problematisk. En resolusjon ble alltid like rundt hjørnet, men akk det ble klart at det aldri skulle skje.

Jeg er glad for å si at problemet er løst. Jeg jobber nå for en ekstremt kul oppstart som prøver ikke å kvele den frie utveksling av ideer, men heller oppfordrer den. Min gud hva en gal konsept, eh? : D

Med det sagt, fremover vil det være et par endringer:

  1. Jeg er en sterk tro på at hybrid sky er klar til å ta over verden, så min skriving vil være primært fokusert på denne disiplinen.
  2. Snarere enn å legge til oppføringer her, vil jeg være å publisere dem på min nye arbeidsgiver, CloudPassage . Bare klikk på "Blogg" øverst til høyre på siden.

Se deg der,

Chris

2 kommentarer »

Posted in nettstedet Related , Uncategorized

Hvis du kan lese dette, trenger du ikke jobbe for SANS - del 2

5 august 2009

Dette problemet synes å ha vært løst. Kind of morsomme faktisk. Jeg hadde vært arbeider med Host Monster billett system, og det tok 24 timer å få et svar. Denne morgenen jeg laget et innlegg til Matt Heaton sin blogg (CEO of Blue Host) om problemet. Det ble løst i løpet av timer og jeg har allerede fått tre oppfølging fra støtte.

Host Monster støtte sier at problemet var D-Shield sette seg selv (og jeg antar Cisco i tillegg) på sin egen ban liste. Jeg snakket med Johannes på D-Shield. Jeg har kjent ham i 10 år og han er en reell rett skytespill. Han hadde ingen anelse hva de snakker om, og hadde ikke hørt om dette problemet med noen andre. Høres litt morsomt for meg, fordi hvis de faktisk bruker D-Shield for å generere et forbud liste ville de ha visst at de var snille sist torsdag da jeg først kontaktet support.

I alle fall virker det som alle de tidligere nevnte blokkene har blitt ryddet. Hvem sier at sikkerhet og dagtid såpeoperaer har ingenting til felles. ;)

2 kommentarer »

Posted in 5-info , nettsted Related

Hvis du kan lese dette, trenger du ikke jobbe for SANS

4 august 2009

Alle som har trent med meg kan fortelle deg er jeg virkelig stor på å kunne lese din egen oppdager. Selv om vi har nok av sikkerhet enheter som forsøker å nøyaktig beskrive hva de tror de ser på wire, de er programmert av mennesker og mennesker gjør feil. Prøv og automatisere prosessen og feilene blir forsterket. Selv Cisco har støttet seg litt på deres grandiose påstander om hva en selv forsvare nettverk faktisk er i stand til. Ingenting erstatter å ha en dyktig analytiker gjennomgang av funnene.

God hjelp er vanskelig å finne

Selvfølgelig søkeordet i den siste kommentaren er dyktig. Jeg har behandlet mange senior sikkerhet folk som aldri har sett en dekode av en IP-pakke, la alene kan fortelle deg hva en legit IP sesjon bør se ut. Et av problemene er når vi trenger treningen vi vanligvis slår til forhandlerne. Leverandører har en tendens til å fokusere på sine vakre GUI, ikke hva som skjer bak kulissene.

I et tidligere liv eide jeg en ISP og hadde noen veldig underholdende misbruk rapporter framlagt. En av mine personlige favoritter var en admin rapporterer at en av mine systemer var "sende fiendtlig ICMP pakker" til en av sine systemer. Da jeg anmeldt loggene mine, bemerket jeg at en av mine rutere var faktisk sende ham ICMP host unreachable meldinger. Dette vil skje hver gang hans vert analysert RPC-porten på en IP-adresse som ikke var i bruk. Jeg skrev tilbake og forklarte at hvis hans system ville bare stoppe undersøkelser for ikke-eksisterende systemer, ville min router stoppe fortelle ham verten er off-line.

En annen admin (at en ganske stor, kjent selskap jeg kan legge til) informerte meg om at en av mine systemer var å angripe ham med Code Red via e-post. Hvis du husker Code Red, det eneste angrepet IIS Web servere via HTTP. Den "angrep" i spørsmålet var brukerne abonnerer på en adresseliste. Folk snakket om hvordan du skriver gode inntrenging underskrifter til riktig fange Code Red. Hvis det ikke var ironisk nok, nyttelast på decode han sendte meg som bevis forklarte at angrepene var bare HTTP basert. Hvis det twist er likevel ikke nok til å gjøre deg latter, han senere innrømmet at han var en av dem abonnerer på den listen. : D

Jo mer ting endrer jo mer de holder samme

Min hosting leverandør Host Monster (et datterselskap av Blue Host) har lagt et filter på plass blokkere all tilgang til SANS Institute postserveren (administratorvennlige, Audit, Network, Security Institute, gir datasikkerhet trening), The Internet Storm Center (daglig dagbok av Internett sikkerhetstrusler) og DShield (et tidlig varslingssystem for trusler fra Internett). Jeg kontaktet support og de bekreftet at de filtrerer disse områdene. Jeg klarte ikke å finne ut hvorfor utover "på grunn av mistenkelig aktivitet".

Jeg kjenner folk som opprettholder SANS og Dshield servere. De er harde kjernen sikkerhet folk med en alvorlig anelse. Når jeg først registrert med min hosting leverandør Jeg ble imponert over kunnskapsnivået om deres støtte personell. I det siste derimot, har jeg funnet dem å være mangler selv det grunnleggende. Mens jeg igjen å gjette på hva som egentlig forårsaket forbudet, er jeg tilbøyelig til å tro at noen på Host Monster (eller muligens blå Host) så en advarsel, men ikke har kompetanse til å regne ut sin en falsk positiv.

Kommunikasjon er en toveis gate

Blå Host hevder 1.500.000 vert nettsteder gjennom alle sine beholdninger. Så de har nå 1.5 millioner klienter som ikke kan:

  • Motta real time blokkering varsler ondsinnet IP-adresser
  • Motta vurderingene på dagens Internett-trusler
  • Motta informasjon om hva som skjer i sikkerhetsbransjen

Så mens du forsøker å beskytte seg er en positiv ting, har implementeringen hatt en negativ effekt på sikkerheten til sine klienter.

Hvordan verifisere en oppdage

Så la oss trekke noe positivt ut av alt dette og identifisere riktig prosedyre for å verifisere en sikkerhetsadvarsel. Vi må først starte med godt utstyr. Ikke engang vurdere en intrusion detection eller forebygging system som ikke inkluderer:

  • Tilgang til signaturen språk
  • Full dekode av mistenkelige pakker

Uten disse funksjonene er du fotograferer i mørket.

Trinn 1: Forstå angrepet

Når et varsel blir utløst, sørg for at du forstår angrepet mekanismen. Hvilke porter eller tjenester går det etter? Er det noen kjente signaturer? Hvis du Google angrepet navn etterfulgt av stikkordene "falske positive" og "falske", gjør noe kommer opp?

Trinn 2: Forstå din inntrenging system

Ingen sikkerhet produktet er perfekt. De har alle svakheter og begrensninger. Har din inntrenging system opprettholde staten? I så fall er det hele tiden eller bare noen av tiden? Betyr det riktig validere CRC felt? Hvordan håndtere den med fragmenterte trafikk? Er det kjent for å generere falske positiver? Hvis ja, er falske positiver begrenset til bare enkelte signaturer eller protokoller, eller er det hele tiden?

Trinn 3: Sanity sjekke varselet

Noen ganger falske positiver kan lukes ut fra den begrensede mengden av informasjon som presenteres i et varsel. For eksempel gjør varselet hevder å ha oppdaget en HTTP-angrep som kommer fra TCP/80 stedet for å gå til det? Hvis ja, det er en åpenbar problem med signaturen generere varselet.

Trinn 4: Sjekk signatur

Noen signaturer er skrevet veldig spesielt slik at det er liten sjanse for en falsk positiv. Noen er mer generelle imidlertid så det er mulig å få falske positive faller ut. Gjennomgå signatur som genererte vakt og gjør en vurderingssak. Har signaturen sjekker 3-4 forskjellige tilstander eller ti eller mer? Tydeligvis flere parametere vi sjekker, jo mindre sannsynlig at vi skal få en falsk positiv.

Steg 5: Sjekk decode

Hvis du forstår angrepet mønsteret, bør du allerede har en forventning om hva som vil være i angrepet dekode. Har pakken matche dine forventninger? Jeg har sett nok av falske positiver generert av folk leser informasjon på et nettsted som beskriver en HTTP-basert angrep. Disse er lett å skille på grunn av den ekstra HTML, riktig agent og referrer felt, etc. Kort sagt, hvis pakken ikke samsvarer en kjent dekode av den virkelige angrepet, finne ut hvorfor.

Trinn 6: Forskning kilden

Jeg tar alltid tid til å sørge for at jeg forstå hvem sitter bak kildens IP-adresse. Noen ganger kan dette gå en lang vei mot å identifisere om jeg kan stole varselet. Jeg minnes en venn som forbød en rekke IP-adresser hans inntrenging systemet hadde identifisert som fiendtlig. Kort tid etter at han begynte å legge merke til at deler av Internett ikke lenger var tilgjengelig. Slår ut noen forfalskede en rekke angrep fra IP-adressene til roten navnet servere . Hadde han tatt seg tid til å slå opp IP adressene først, han absolutt ikke ville ha blokkert dem.

Exec Summary

Blokkering kjent for å være fiendtlige IP-adresser kan sikkert være gunstig for sikkerhet, men det må iverksettes med forsiktighet. I kjernen av noe nettverk sikkerhetssystem må være en kunnskapsrik sikkerhetsekspert med sunn fornuft. Hvis denne komponenten mangler, kan hele strukturen falle sammen som et korthus.

Oppdatering: Siden poste dette har jeg funnet ut at Host Monster (Blue Host) blokkerer tilgang til én eller flere Cisco servere også. Gjett listen fortsetter ...

Ingen kommentarer »

Posted in 1-emerg , område Related

Tags:

Usynlig sikkerhet bug spray

11 juli 2009

Skjønte det ville bare være et tidsspørsmål før noen spurte om "Invisible sikkerhet bug spray" kommentar på toppen av hver side. Trodde ikke det ville ta mindre enn en dag. ;)

Her er scoop. Det er en spiller på et sitat fra en av mine all time favoritt ISP svar å la dem vite at et av IP i nettverket deres er fiendtlig. Her er noen sitater fra responsen deres:

Klipp # 1:
Hackere er som maur, jager en bort fra piknikbord vil ikke beskytte deg mot tusenvis i den lokale maurtua som fortsatt er sulten. Så snart du kvitte deg med én, vil du fortsatt ha en uendelig risiko tilgjengelig for deg å få skannet eller probed igjen.

Klipp # 2:
Poenget med utsagnene ovenfor er, så snart du har hatt en hacker tiltalt og / eller adressert, du har bare swatted en myggen på en varm og fuktig sommer ettermiddag. Et par sekunder til et minutt senere, vil du begynne å føle kløende igjen fordi det er en annen biting deg.

Riktignok er det noen Zen sannheten til kommentarene sine (ondsinnet IP alltid gjøre meg kløende), men hva et interessant valg av ord. Responsen så gikk på å si:

Klipp # 3:
Brannmurlogger slike som deg vil ofte vise papiret sporet av innrammede datamaskin i stedet for hacker selv. Den virkelige hacker har ikke vært og normalt ikke kan oppdages under slike omstendigheter. Vi ser inn i situasjonen, men vi får dusinvis, om ikke hundrevis av disse en uke.

Klipp # 4:
Hva du bør fokusere på er ikke prøver å drepe alle myggen, men heller bruke usynlig bug spray slik at uansett hvor mange av dem er det, kan de ikke finne deg derfor det er ingen krig. Du kan ikke vinne krigen, er alt du kan gjøre opphold ut av det. Jo bedre brannmur du bruker, jo mer sannsynlig at du vil forbli usynlig.

Vi beklager eventuelle ulemper, men bare husk de bredere perspektiv på dette.

Så der har du det, usynlige sikkerhet bug spray. : D

Ingen kommentarer »

Posted in 5-info , Humor , nettstedet Related

Tags:

Nytt nettsted intro

10 juli 2009

Hilser alle,

Jeg har kjørt dette området i flere år nå ved å gi tilgang til bestemte deler kun for et begrenset antall mennesker. Mens jeg vil fortsette å gjøre dette for enkelte kunder, har jeg bestemt det tid for å åpne opp en stor del av det å offentlig tilgang. Jeg ønsker også å prøve meg i hånden på å integrere mye av rådene jeg gir via e-post og private lister her også. Figur at måten flest folk vil være i stand til å nytte.

Hvis du er vant til å ha tilgang til noe og du ikke lenger, beklager jeg på forhånd. Vær tålmodig som jeg prøver og integrere alt til WordPress. Systemet er veldig kul, men også svært annerledes enn hva jeg var med i fortiden. Vennligst gi meg tid til å skjære kurven.

Yours i biter,

Chris

Ingen kommentarer »

Posted in 5-info , nettsted Related