Arkiv för 'sida relaterade' kategorin

Blogg revideras grumlig godhet

20 maj 2011

Hälsar alla,

Först vill jag be om ursäkt för att mörka så länge. För att göra en loooong historia kort jag gjorde arbetet för en av dessa stora organisationer som advokater inte kan sova på natten om de inte äger alla jävla tankar och neuron gnista i ditt huvud. Så medan jag kunde fortsätta skriva inom organisationen, gjorde det offentliga sidan blogga problematisk. En resolution var alltid runt hörnet, men tyvärr det blev uppenbart att det aldrig skulle hända.

Jag är glad att säga att problemet har lösts. Jag arbetar nu för en extremt cool start som inte försöker kväva det fria utbytet av idéer, utan snarare uppmuntrar det. Min gud vad en galen koncept, va? : D

Med det sagt, framöver kommer det att finnas ett par förändringar:

  1. Jag tror verkligen att hybrid moln är redo att ta över världen, så mitt skrivande i första hand kommer att fokusera på denna disciplin.
  2. Hellre än att posta inlägg här, jag kommer att publicera dem på min nya arbetsgivare, CloudPassage . Klicka bara på "Blogg" längst upp till höger på sidan.

Vi ses där,

Chris

2 kommentarer »

Postat i sida relaterade , Okategoriserade

Om du kan läsa här, jobbar du inte för SANS - del 2

5 augusti, 2009

Denna fråga verkar ha lösts. Lite roligt faktiskt. Jag hade att göra med Host Monster biljettsystem och det tog 24 timmar att få ett svar. I morse gjorde jag ett inlägg till Matt Heaton blogg (vd för Blue Host) om problemet. Det beslutades inom några timmar och jag har redan fått 3 uppföljningar från stöd.

Host Monster stödja stater att problemet var D-Shield sätta sig (och jag antar Cisco också) på sina egna förbud lista. Jag talade med Johannes på D-Shield. Jag har känt honom i 10 år och han är en riktig rak shooter. Han hade ingen aning om vad de talar om och hade inte hört talas om detta problem med någon annan. Låter lite konstigt för mig, för om de faktiskt använder D-Shield för att skapa ett förbud lista de skulle ha känt att de var de goda i torsdags när jag först kontaktade stöd.

Under alla omständigheter verkar det som alla de tidigare nämnda blocken har rensats. Vem säger att säkerhet och dagtid såpoperor har ingenting gemensamt. ;)

2 kommentarer »

Posted in 5-info , närstående område

Om du kan läsa här, jobbar du inte för SAN

Augusti 4, 2009

Någon som har tränat med mig kan berätta jag är riktigt stora på att kunna läsa dina egna upptäcker. Även om vi har gott om säkerhetsanordningar som försöker att exakt beskriva vad de tror att de ser på tråden, de är programmerade av människor och människor gör misstag. Försök att automatisera processen och misstag blir förvärras. Även Cisco har backade lite på deras grandiosa påståenden om vad en själv Defending Network är faktiskt klarar av. Ingenting ersätter ha en skicklig analytiker granskar resultaten.

God hjälp är svårt att hitta

Naturligtvis nyckelordet i den sista kommentaren är skicklig. Jag har behandlat med mycket högre säkerhet folk som aldrig har sett en avkoda av ett IP-paket, än mindre kan berätta vad en legit IP-session ska se ut. Ett av problemen är när vi behöver utbildning vi brukar vända sig till leverantörer. Leverantörer tenderar att fokusera på sina vackra GUI, inte vad som händer bakom kulisserna.

I ett tidigare liv jag ägde en ISP och hade några mycket underhållande missbruk inlämnade rapporter. En av mina personliga favoriter var en admin rapporterar att en av mina system var "skicka fientliga ICMP-paket" till en av hans system. När jag granskade mina loggar, noterade jag att en av mina routrar i själva verket skicka honom ICMP-meddelanden värd onåbar. Detta skulle hända varje gång hans värd sonderade RPC-porten på en IP-adress som inte används. Jag skrev tillbaka och förklarade att om hans system skulle helt enkelt sluta sondera för icke-existerande system, skulle min router stoppa träffande honom värden är off-line.

En annan admin (på ett ganska stort, välkänt företag kan jag tillägga) informerade mig om att en av mina system var attackera honom med Code Red via e-post. Om du kommer ihåg Code Red, angrep det bara IIS-webbservrar via HTTP. Den "attacker" i fråga var användarna prenumererar på en e-postlista. Folk pratade om hur man skriver bra intrång underskrifter för att korrekt fånga Code Red. Om det inte var ironiskt nog, den nyttolast avkoda han sände mig som bevis förklarade att attackerna var bara HTTP-baserad. Om det twist är fortfarande inte tillräckligt för att få dig att skratta, erkände han senare att han var en av de personer prenumererar på den listan. : D

Ju mer saker förändras desto mer förblir de desamma

Min webbhotellet Host Monster (ett dotterbolag till blå Host) har lagt ett filter på plats blockera all tillgång till SANS Institute postservern (sysadmin, revision, nätverk, säkerhet institutet, ger datasäkerhet utbildning), The Internet Storm Center (dagligen dagbok av Internet säkerhetshot) och DShield (ett system för tidig varning för hot på Internet). Jag kontaktade support och de bekräftade att de är filtrering av dessa platser. Jag kunde inte ta reda på varför bortom "på grund av misstänkt aktivitet".

Jag känner folk som upprätthåller SANS och servrar Dshield. De är hård kärna säkerheten människor med en allvarlig ledtråd. När jag först registrerade dig med min webbhotellet jag var imponerad av kunskapsnivå deras supportpersonal. På senare tid dock, jag hittade dem saknas i ens grunderna. Medan jag är kvar att gissa om vad som faktiskt orsakade förbudet, jag är benägen att tro att någon på Host Monster (eller möjligen Blue Host) såg en varning men inte har kompetens att räkna ut sin ett falskt positivt.

Kommunikation är en ömsesidig process

Blå Host anspråk 1.500.000 värd webbplatser igenom alla sina innehav. Så de har nu 1.5 miljoner kunder som inte kan:

  • Ta emot realtid blockering varnar för skadliga IP: s
  • Ta emot bedömningar om aktuella hot på Internet
  • Ta emot info om vad som händer i säkerhetsbranschen

Så samtidigt som man försöker skydda sig är något positivt, har genomförandet haft en negativ inverkan på säkerheten för sina kunder.

Så för att verifiera en detektera

Så låt oss dra något positivt ur allt detta och identifiera korrekt förfarande för kontroll av en säkerhetsvarning. Vi måste först börja med bra redskap. Inte ens överväga en detektering av intrång eller förebyggande system som inte innehåller:

  • Tillgång till signaturen språk
  • Fullständig avkodning av misstänkta paket

Utan dessa funktioner du fotograferar i mörker.

Steg 1: Förstå attack

När ett larm blir utlöst, se till att du förstår attacken mekanism. Vilka portar eller tjänster går det efter? Finns det några kända signaturer? Om du Google attacken namn följt av nyckelorden "falska positiva" och "falska", gör något kommer upp?

Steg 2: Förstå dina intrång systemet

Ingen säkerhet produkt är perfekt. De har alla svagheter eller begränsningar. Har din intrång systemet upprätthåller staten? Om så, är det hela tiden eller bara en del av tiden? Är det korrekt validera CRC fält? Hur det behandlar inte fragmenterad trafik? Är det känt att generera falsklarm? Om så är fallet, är de falska positiva begränsat till endast vissa signaturer eller protokoll, eller är det hela tiden?

Steg 3: Sanity kontrollera larm

Ibland falska positiva kan rensas bort från det begränsad mängd information som presenteras i en varning. Till exempel går larmet anspråk på att ha upptäckt en HTTP-angrepp som kommer från TCP/80 istället för att gå till det? Om så är fallet finns det ett uppenbart problem med undertecknandet generera registreringen.

Steg 4: Kontrollera signatur

Några signaturer är skrivna mycket specifikt, så att det är liten chans att ett falskt positivt. Vissa är mer generella dock så det är möjligt att ha falskt positiva faller ut. Granska signatur som genererade varningen och göra en bedömning. Har signaturen kolla 3-4 olika villkor eller tio eller fler? Uppenbarligen fler parametrar vi kontrollerar, desto mindre sannolikt vi ska få ett falskt positivt.

Steg 5: Kontrollera avkoda

Om du förstår attacken mönster, bör du redan har en förväntan på vad som kommer att vara i attacken avkoda. Har paketet matchen dina förväntningar? Jag har sett massor av falska positiva som genereras av människor som läser information på en webbplats som beskriver en HTTP-baserad attack. Dessa är lätt att skilja på grund av den extra HTML, riktig agent och fält referrer, etc. Kort sagt, om paketet inte matchar en känd avkoda den verkliga attacken, räkna ut varför.

Steg 6: Forskning källan

Jag tar alltid tid att se till att jag förstår vem som sitter bakom källan IP-adress. Ibland kan detta räcka långt mot att utröna om jag kan lita på registreringen. Jag påminns om en vän som förbjöd ett antal IP-adresser sitt intrång systemet hade identifierats som fientligt. Kort efter började han lägga märke till att delar av Internet inte längre nås. Det visade sig att någon förfalskat en serie attacker från IP-adresser rotnamnsservrar . Hade han tagit sig tid att slå upp IP-adresserna först, han säkerligen inte skulle ha blockerat dem.

Exec Sammanfattning

Blockering kända för att vara fientligt inställd IP-adresser kan säkert vara till nytta för säkerheten, men det måste genomföras med försiktighet. Kärnan i något nätverk säkerhetssystem måste vara en kunnig säkerhet expert med sunt förnuft. Om denna komponent saknas, kan hela strukturen falla ihop som ett korthus.

Uppdatering: Eftersom att publicera den här jag har upptäckt att Host Monster (Blue Host) blockerar åtkomsten till en eller flera Cisco -servrar också. Gissa listan fortsätter ...

Inga kommentarer »

Postat i 1-tillväxtmarkna , sida relaterade

Taggar:

Osynliga säkerhet insektsspray

11 juli 2009

Tänkte att det bara skulle vara en tidsfråga innan någon frågade om den "osynliga säkerhets bug spray" kommentar längst upp på varje sida. Trodde inte det skulle ta mindre än en dag. ;)

Här är scoop. Det är en lek på ett citat från en av mina all time favorit ISP svar på att låta dem veta att en av de IP-adresser inom nätverket är fientlig. Här är några citat från deras svar:

Klipp # 1:
Hackare är som myror, jaga en bort från picknickbord inte kommer att skydda dig från de tusentals i den lokala myrstack som fortfarande är hungrig. Så fort du göra dig av med en, har du fortfarande en oändlig risk tillgängliga för dig att få skannade eller sökt igen.

Klipp # 2:
Poängen med ovanstående påståenden är, så fort du har haft en hackare åtalas och / eller åtgärdas, har du bara swatted en gnat på en varm och fuktig sommar eftermiddag. Ett par sekunder till en minut senare, kommer du börjar känna kliande igen eftersom det finns en annan biter dig.

Beviljade det finns någon Zen sanning i deras kommentarer (skadliga IPs alltid göra mig kliande), men vad ett intressant val av ord. Svaret fortsatte sedan med att säga:

Klipp # 3:
Firewall loggar som er kommer ofta visa papper spår av inramade datorn snarare än hackare själv. Den verkliga hacker har inte varit och normalt inte kan upptäckas under dessa omständigheter. Vi tittar in i situationen, men vi får tiotals, om inte hundratals av dessa i veckan.

Snip # 4:
Vad du bör fokusera på är inte att försöka döda varje gnat, utan slitage osynligt insektsspray så att oavsett hur många de är, de kan inte hitta dig därför finns det inget krig. Du kan inte vinna kriget, allt du kan göra hålla sig borta från det. Ju bättre brandvägg du använder, desto mer troligt att du kommer att förbli osynlig.

Vi ber om ursäkt för eventuella besvär utan bara tänka på bredare perspektiv till detta.

Så där har ni det, osynlig dimma säkerhet bugg. : D

Inga kommentarer »

Posted in 5-info , Humor , närstående område

Taggar:

Ny webbplats intro

10 juli 2009

Hälsar alla,

Jag har kört denna webbplats för ett antal år nu genom att bevilja tillgång till specifika sektioner för endast ett begränsat antal personer. Även om jag kommer att fortsätta att göra detta för vissa kunder, har jag bestämt det är dags att öppna upp en stor del av den till allmänheten. Jag vill också prova min hand på att integrera mycket av de råd jag ger via e-post och privata listor här. Bild på det sättet flest folk kommer att kunna dra nytta.

Om du är van att ha tillgång till något och du inte längre, ber jag om ursäkt i förväg. Ha tålamod när jag försöker integrera allt i WordPress. Systemet är väldigt cool, men också mycket annorlunda än vad jag var med i det förflutna. Snälla ge mig tid att skära kurvan.

Yours i bitar,

Chris

Inga kommentarer »

Posted in 5-info , närstående område