<div dir="ltr"><div>imo, it's a general mentality that attackers have. I blogged about this 14 years ago and it seems still applicable today ( <a href="https://blogs.securiteam.com/index.php/archives/170">https://blogs.securiteam.com/index.php/archives/170</a> )</div><div><br></div><div>Indecision can stem from too little information or too much information. The defender *should* have the ability to influence both of those...</div><div><br></div><div>John<br></div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Fri, Jan 24, 2020 at 10:28 AM Dave Aitel <<a href="mailto:dave.aitel@gmail.com">dave.aitel@gmail.com</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div dir="ltr">So I went to S4 this week, which is a good conference here in Miami Beach, mostly about hacking/protecting utilities and other critical infrastructure components. But I had the good fortune to run into a <a href="https://www.gocomics.com/calvinandhobbes/2018/01/16" target="_blank">friend</a> I'd never met before. Anyways, they were telling me about how some Android State surveillance spyware installed at the border on everyone's phone looked for some file hashes and then sent in some data via what was essentially a public web API.<div><br></div><div>There's a lot of stuff that works like this, EDR systems, SIEMs of various types, etc. And one of the classic attack patterns is that usually these systems don't have client-certificates signing the data the client sends. So you can send fake data as a large number of real and not-real hosts. . . corrupting the database or simply filling it up and making it a lot less useful because every query takes about ten minutes, <a href="http://www.phpinternalsbook.com/php5/hashtables/hash_algorithm.html" target="_blank">especially if you know how the indexer</a> works.</div><div><br></div><div>In other words, for some reason, one malicious host is weirdly not usually a threat model that most defensive systems have considered.</div><div><br></div><div>-dave</div></div>
_______________________________________________<br>
Dailydave mailing list<br>
<a href="mailto:Dailydave@lists.immunityinc.com" target="_blank">Dailydave@lists.immunityinc.com</a><br>
<a href="https://lists.immunityinc.com/mailman/listinfo/dailydave" rel="noreferrer" target="_blank">https://lists.immunityinc.com/mailman/listinfo/dailydave</a><br>
</blockquote></div>