Add to collection(s) Add to saved
  1. Math

Preventing Incidents with a Hardened Web Browser

advertisement 
Interested in learning
more about security?
SANS Institute
InfoSec Reading Room
This paper is from the SANS Institute Reading Room site. Reposting is not permitted without express written permission.
Preventing Incidents with a Hardened Web Browser
There is substantial industry documentation on web browser security because the web browser is currently a
frequently used vector of attack. This paper investigates current literature discussing the threats present
in today's environment as well as weaknesses of the browser, including PKI and plugins. To help the
organization harden the browsers deployed in its environment, comparative studies of browser security ratings
are reviewed and hardening suggestions for Internet Explorer and Firefox, the most popular b...
AD
Copyright SANS Institute
Author Retains Full Rights
rig
hts
.
!"#$#%&'%()*%+',#%&-).'&/)0)/0",#%#,).#1)1"2.-#")3
ful
l
!"#$#%&'%()*%+',#%&-).'&/)0)/0",#%#,).#1)1"2.-#"
ins
3*45)635*78)329,)5#"&':'+0&'2%
rr
eta
!"#$%&'()$&*+#%,$-&()&%./-01(2&%./-*3$4356*/72%5
!89*+%&'(:#-,$-;(<6#$-=-&
tho
!22-,#-8'(>%9-5?-&(@A#$(BCCD
Au
!?+#&62#(
©
SA
NS
Ins
titu
te
20
09
,
!"#$#%&'%'()'*+,*&+-%&,.('*$/%.01(2#,*+*&0,%0,%3#)%)$03'#$%'#1($&*/%)#1+('#%*"#%3#)%)$03'#$%&'%
1($$#,*-/%+%4$#5(#,*-/%('#.%6#1*0$%04%+**+178%%!"&'%9+9#$%&,6#'*&:+*#'%1($$#,*%-&*#$+*($#%.&'1(''&,:%*"#%
Key fingerprint
*"$#+*'%9$#'#,*%&,%*0.+/;'%#,6&$0,2#,*%+'%3#--%+'%3#+7,#''#'%04%*"#%)$03'#$<%&,1-(.&,:%=>?%+,.%
= AF19 FA27 2F94 998D FDB5 DE3D F8B5 06E4 A169 4E46
9-(:&,'8%%!0%"#-9%*"#%0$:+,&@+*&0,%"+$.#,%*"#%)$03'#$'%.#9-0/#.%&,%&*'%#,6&$0,2#,*<%1029+$+*&6#%
'*(.&#'%04%)$03'#$%'#1($&*/%$+*&,:'%+$#%$#6&#3#.%+,.%"+$.#,&,:%'(::#'*&0,'%40$%?,*#$,#*%AB9-0$#$%+,.%
C&$#40B<%*"#%20'*%909(-+$%)$03'#$'<%+$#%9$06&.#.8%%D#1($&*/%A,"+,1#2#,*'%&,%?,*#$,#*%AB9-0$#$%E%+$#%
+-'0%&.#,*&4&#.8%F9*&0,'%40$%)$03'&,:%*"#%&,*#$,#*%6&+%+%)+'*&0,%"0'*%+$#%#B9-0$#.%+'%+,%+.6+,1#.%
2#*"0.%40$%#,"+,1&,:%'#1($&*/8%%G+'#.%0,%1($$#,*%-&*#$+*($#%&*%&'%'+4#%*0%'+/%,0%3#)%)$03'#$%&'%*$(-/%
'#1($#8%G/%+.+9*&,:%+,.%&29-#2#,*&,:%*"#'#%'(::#'*&0,'%20'*%0$:+,&@+*&0,'%3&--%)#%20$#%$#'&'*+,*%*0%
1029$02&'#8
4/"'-)4"2.5#67)+"2.5#'(/8(90'5:+29
© SANS Institute 2009,
As part of the Information Security Reading Room
Author retains full rights.
hts
.
!"#$#%&'%()*%+',#%&-).'&/)0)/0",#%#,).#1)1"2.-#");
rig
;<)*%&"2,=+&'2%
*%+',#%&)<0%,5'%()=2552.-)0)-'>)?/0-#)+6+5#@)!"#?0"0&'2%7)*,#%&'='+0&'2%7)42%&0'%9#%&7)
ful
l
A"0,'+0&'2%7)B#9#,'0&'2%7)C#--2%-)C#0"%#,:))D/'-),2+E9#%&)'-)='"956)("2E%,#,)'%)&/#)!"#?0"0&'2%)
?/0-#:))*&)-#&-)2E&)&2)?"#$#%&)'%+',#%&-)="29)/0??#%'%()16)+2%='(E"'%().#1)1"2.-#"-)-#+E"#56:
ins
F).#1)1"2.-#")'-)0)E1'GE'&2E-)0??5'+0&'2%)=2")+5'#%&)0++#--)&2)"#-2E"+#-:))D/#),29'%0%+#)2=)
<6?#")D#>&)H0"IE?)C0%(E0(#)J<DHCK)0-)0)9#,'E9)=2"),#5'$#"6)2=)'%&#"%#&)+2%&#%&)&2)'%,'$',E05-)'-)
eta
%#0"56)E%+/055#%(#,:))H2-&)2"(0%'L0&'2%-)?"2$',#)0).#1)1"2.-#")=2")E-#"-)&2)+2%%#+&),'"#+&56)&2)
"#-2E"+#-)2E&-',#)2=)&/#)2"(0%'L0&'2%M-)+2%&"25:))D/#).#1)1"2.-#")'-)2%#)2=)&/#)=#.)0??5'+0&'2%-)
rr
-?#+'='+0556)'%&#%,#,)=2")&/#)?E"?2-#)2=)+2%%#+&'%()&2)0"1'&"0"6)-'&#-:))D/#)AN)0%&'O&"E-&)+0-#)0(0'%-&)
tho
H'+"2-2=&)))"#(0",'%()*%&#"%#&)A>?52"#")-&0&#-7)PD/#)Q#1)'-)0),'-&"'1E&#,)-6-&#9)&/0&)-E??2"&-)0)90--'$#)
+255#+&'2%)2=),'('&05)'%=2"90&'2%)"#-2E"+#-)-&2"#,)&/"2E(/2E&)&/#)*%&#"%#&)'%),2+E9#%&-)+055#,)PQ#1)
Au
!0(#-P:))N-#"-)2=)+5'#%&)!4-)+0%)0++#--)Q#1)?0(#-)0%,),'-?506)&/#9)16)9#0%-)2=)0??5'+0&'2%-)+055#,)
PQ#1)1"2.-#"-P:P)JAN7);RRSK:))F++2",'%()&2)&/'-)+299'--'2%),#+'-'2%7)0).#1)1"2.-#")'-)"#0556)&/#)
09
,
2%56)0??5'+0&'2%)0$0'5015#)=2")E-#"-)2=)?#"-2%05)+29?E&#"-)&2)0++#--)Q#1)?0(#-:
Key fingerprint = AF19 FA27 2F94 998D FDB5 DE3D F8B5 06E4 A169 4E46
Q#1)1"2.-#"-)0"#),#-'(%#,)&2)0++#--)0"1'&"0"6)"#-2E"+#-7)./#"#0-)2&/#")0??5'+0&'2%-)+0%)0++#--)
20
*%&#"%#&)"#-2E"+#-)1E&)&/#'")?"'90"6)=E%+&'2%)'-)-29#&/'%(),'==#"#%&:)H#,'0)!506#"-)0"#),#-'(%#,)&2)
?"2+#--)52+05)0%,)%#&.2"I)-2E%,)2")$',#2)='5#-:)D/#)9#,'0)?506#")'-)-?0.%#,)16)&/#)1"2.-#")&2)/0%,5#)
te
-?#+'='+)='5#)&6?#-)0%,)'-)%2&)&/#)0??5'+0&'2%)E-#,)&2)52+0&#)0$0'5015#)"#-2E"+#-:)D/'%I)2=)+2992%)&6?#-)
Ins
titu
2=)0??5'+0&'2%-@))T=='+#)UE'&#-)0"#)92-&56)'%&#%,#,)=2")?"2+#--'%()2=)52+05)"#-2E"+#-:))V09#-)0"#)#'&/#")
52+05)2%567)2")%#&.2"I)+#%&"'+7)1E&)&/#)%#&.2"I)+#%&"'+)(09#-)&6?'+0556)+2%%#+&)&2)0)-?#+'='+)-#"$#")&2)
+22",'%0&#)+299E%'+0&'2%)092%()?0"&'+'?0%&-:))4/0&)+5'#%&-)92-&56)+2%%#+&)&2)-?#+'='+)-#"$#"-)&2)90I#)
E-#")+2%%#+&'2%-:))D/#)9#--0(#-)0"#)&6?'+0556)"2E&#,)&/"2E(/)&/#-#)-#"$#"-:))AO90'5)+5'#%&-)+2%%#+&)&2)0)
NS
-9055)%E91#")2=)-#"$#"-7)E-E0556)2%56)2%#7)0%,)&/'-)-#"$#")'-)2=&#%).'&/'%)&/#)CFW:
*&)'-)E%"#05'-&'+)&/0&)0%)2"(0%'L0&'2%).2E5,)#>?#+&)&2)/0$#)0%6)-2"&)2=)+255012"0&'$#)-#+E"'&6)
SA
0("##9#%&).'&/)055)2=)&/#).#1)-'&#-)&/0&)E-#"-)+0%)+2%&0+&7)5#0$'%()&/#)2"(0%'L0&'2%)&2)/0",#%)&/#).#1)
1"2.-#")0(0'%-&)&/#)905'+'2E-)+2%&#%&)&/0&)E-#"-).'55)#%+2E%&#":))F)"#$'#.)2=)+E""#%&)-#+E"'&6)5'&#"0&E"#)
©
&E"%-)E?)0)50"(#)%E91#")2=)0&&0+I-)-?#+'='+0556)0(0'%-&).#1)1"2.-#"-)0%,)0--2+'0&#,)=#0&E"#-)JF59#7)
;RRXK:
D/#)?"#$05#%+#)2=).#1)1"2.-#"-)9#0%-)&/0&)-#+E"'%()&/#)1"2.-#")?"#-#%&-)0)+2992%)+/055#%(#)
4/"'-)4"2.5#67)+"2.5#'(/8(90'5:+29
© SANS Institute 2009,
As part of the Information Security Reading Room
Author retains full rights.
hts
.
!"#$#%&'%()*%+',#%&-).'&/)0)/0",#%#,).#1)1"2.-#")Y
=2")-#+E"'&6)&#09-:))D/#)'%&#%&)2=)&/'-)?0?#")'-)&2)'%$#-&'(0&#)-#+E"'&6)=#0&E"#-)2=)-29#)2=)&/#)92-&)
rig
+2992%).#1)1"2.-#"-)0$0'5015#)&2,06:))D/#)?0?#")"#?"#-#%&-)0%)#==2"&)&2)?"2$',#)(#%#"05)
"#+299#%,0&'2%-)0??5'+015#)&2)055)&6?#-)2=).#1)1"2.-#"-)0-).#55)0-)(E',0%+#)=2")-?#+'='+)1"2.-#"-)
ful
l
./#"#)?2--'15#:)
D/'-)(#%#"05)(E',0%+#)9E-&)1#)0,ZE-&#,),#?#%,'%()2%)&/#)"#GE'"#9#%&-)2=)0)('$#%)#%$'"2%9#%&:)
ins
[E"&/#"7)-E??2"&'%()?25'+6),2+E9#%&-)0"#)'9?2"&0%&)&2)#,E+0&#)0%,)?"2$',#)#>?#+&0&'2%-)=2")E-#"-:))*%)
-/2"&7)"E5#-)2=)1#/0$'2")0%,)E-#")"#-?2%-'1'5'&'#-)0"#)0)+2%&"0+&)1#&.##%)&/#)2"(0%'L0&'2%)0%,)'&-)E-#"-:)
eta
D/'-),2+E9#%&)?"#-E??2-#-)&/#)#>'-&#%+#)2=)&/#-#),2+E9#%&-)'%)&/#)2"(0%'L0&'2%:))*=)&/#-#),2)%2&)#>'-&)
'%)62E")2"(0%'L0&'2%7)ZE9?)-&0"&)&/#'")+"#0&'2%)16)522I'%()0&)UFWU)!25'+6)!"2Z#+&)JUFWU7);RRXK:))[2")
rr
#>09?5#7)A9?526##)*%&#"%#&)N-#)H2%'&2"'%()0%,)['5&#"'%()!25'+6))?"2$',#-)0)-09?5#)?25'+6)./'+/)
tho
',#%&'='#-)#>?#+&0&'2%-)0%,)0==2",-)5#(05)?"2&#+&'2%)=2")&/#)+29?0%6)="29)055#(0&'2%-)2=)'9?"2?#")
92%'&2"'%()J\2%(7);RR]K:
Au
[E"&/#"7)&/'-)(E',0%+#)'-)'%&#%,#,)0-)0)52--)?"#$#%&'2%)9#0-E"#:))N5&'90&#56)&/#)-#+E"'&6)
?"0+&'&'2%#")9E-&)ZE-&'=6)&/#)#>?#%,'&E"#)2=)"#-2E"+#-)&2),#$#52?)/0",#%#,)1"2.-#"-)&2)?"#$#%&)
09
,
'%+',#%&-:))4#%L'+)"#?2"&-)&/0&)0)-'%(5#),0&0)52--)1"#0+/)+0%)+2-&)0%)2"(0%'L0&'2%)^_RR7RRR)2")92"#7)%2&)
Key fingerprint = AF19 FA27 2F94 998D FDB5 DE3D F8B5 06E4 A169 4E46
'%+5E,'%()"#?E&0&'2%),090(#:)J4#%L'+7);RRXK)))D/#)`#"'L2%);RRX)a0&0)\"#0+/)B#?2"&)',#%&'='#,).#1)
20
1"2.-'%()'%)-#$#%)J]K)2=)&/#)&/'"&6)=2E")JYSK)905.0"#)"#50&#,),0&0)1"#0+/#-)2E&)2=)%'%#&6)JXRK)&2&05),0&0)
,0&0)1"#0+/:)J\0I#"7);RRXK)
te
1"#0+/)'%+',#%&-)-&E,'#,)'%)&/#)"#?2"&:))D/#).#1)1"2.-#")'%+',#%&).0-)0)=22&/25,)&2.0",)0)50"(#")'9?0+&)
Ins
titu
T%#)-&"0&#(6)=2")#-&'90&'%()&/#)-'%(5#)52--)#>?#+&0%+6)JUCAK)2=)0)1"2.-#")+29?"29'-#)'-)&/#)
+2-&)'%)52-&)?"2,E+&'$'&6)=2")62E")2"(0%'L0&'2%)&2)/0$#)0)E-#").2"I-&0&'2%)2E&)2=)-#"$'+#)=2")2%#),067)0%,)
&/#)+2-&)2=)2%#)*D)&#+/%'+'0%)&2)-?#%,)2%#),06)"#O'90('%()0%,)"#'%-&055'%()&/0&).2"I-&0&'2%:))D/#)
+/055#%(#)2=)GE0%&'=6'%()52--)'-)&/#)-E1Z#+&)2=)9E+/),#10&#:)J\#Z&5'+/7);RRXK))<0$'%()0)"#0-2%015#)0%,)
NS
ZE-&'='#,)='(E"#)2=)&/#)+2-&)&/#)2"(0%'L0&'2%).'55)'%+E")0552.-)&/#)-#+E"'&6)?"0+&'&'2%#")&2)90I#)0%)
'%=2"9#,)"#+299#%,0&'2%)=2")2"(0%'L0&'2%)0??"2?"'0&#)+2E%&#"9#0-E"#-:
SA
F)?"#-E9?&'2%)2=)&/'-)?0?#")'-)&/0&)+#%&"05'L#,)90%0(#9#%&7)+2%-'-&#%&)+2%='(E"0&'2%7)0%,)
"#,E+'%()E-#")10-#,)-#+E"'&6),#+'-'2%-)J-E+/)0-)0552.'%()0)E-#")&2),#+',#)&2)&"E-&)+2%&#%&K)#%/0%+#-)
©
-#+E"'&6:))N-#")0.0"#%#--)'-)0%)'9?2"&0%&)+29?2%#%&)2=)+29?E&#")-#+E"'&6)J!"E'&&OH#%&5#7);RRbK:))D/#)
'9?5#9#%&0&'2%)2=)E-#")0.0"#%#--)0%,)-#+E"'&6)&"0'%'%()'-)1#62%,)&/#)-+2?#)2=)&/'-)?0?#"7)/2.#$#")
90%6)"#-2E"+#-)+0%)#0-'56)1#)=2E%,).'&/)V22(5#7)-E+/)0-)&/#)W*UD),2+E9#%&@)\E'5,'%()0%)*%=2"90&'2%)
4/"'-)4"2.5#67)+"2.5#'(/8(90'5:+29
© SANS Institute 2009,
As part of the Information Security Reading Room
Author retains full rights.
hts
.
!"#$#%&'%()*%+',#%&-).'&/)0)/0",#%#,).#1)1"2.-#")S
D#+/%252(6)U#+E"'&6)F.0"#%#--)0%,)D"0'%'%()!"2("09:))))JQ'5-2%7);RRYK
rig
;<;)*%&#%,#,)4=,'#%+#
ful
l
\0-#,)2%)&/#)0--E9?&'2%)&/0&)U#+E"'&6)-&0==).'55)1#)"#-?2%-'15#)=2")+2%='(E"0&'2%),#+'-'2%-)=2")
&/#)2"(0%'L0&'2%7)&/#)"#0,#")2=)&/'-)?0?#")'-)0--E9#,)&2)1#)0)W#&.2"I)2")U#+E"'&6)#%('%##")./2)90%0(#-)
-6-&#9-)=2")0%)#%&#"?"'-#)0%,)?"2$',#-)&/#-#)-6-&#9-)&2)E-#"-:))
ins
F%)'%,#?#%,#%&)E-#")=E%+&'2%'%()0-)0,9'%'-&"0&2")2=)/'-)2.%)-6-&#9)-/2E5,)1#)015#)&2)0,0?&)&/#)
eta
0,$'+#)?"2$',#,)/#"#'%:))F%)#>+#55#%&)"#=#"#%+#)=2")1"2.-#")-?#+'='+)+2%='(E"0&'2%)'-)&/#)NUO4ABD)
rr
1"2.-#")"#-2E"+#)J/&&?@cc...:E-O+#"&:(2$c"#0,'%(d"229c-#+E"'%(d1"2.-#"cK:
tho
><)?0'%)@#+&'2%
><;)A/"#0&)B%$'"2%C#%&
Au
C#&M-)522I)0&)&/#)&/"#0&-)&/#).#1)1"2.-#")906)#%+2E%&#":))D/#"#)0"#)-#$#"05)90Z2")+0&#(2"'#-)2=)
&/"#0&-)&2).#1)1"2.-#"-)./'+/)#>'-&)'%)&/#).'5,:))
09
,
N%0E&/2"'L#,),'-+52-E"#)2=)+2%&#%&)-&2"#,)2%)&/#)-6-&#9)"E%%'%()&/#).#1)1"2.-#")'-)0)&/"#0&)
Key fingerprint
= AF19 FA27 2F94 998D FDB5 DE3D F8B5 06E4 A169 4E46
./'+/)9E-&)1#)0,,"#--#,:))T%#)#>09?5#)'-)F??5#)U#+E"'&6)N?,0&#);RRXORR3:));RRXORR3)='>#,)0)=50.)'%)
20
U0=0"')./'+/)0552.#,)0++#--)&2)='5#-)2%)&/#)52+05)/0",),"'$#),E#)&2)#>#+E&'2%)2=)0"1'&"0"6)e0$0-+"'?&)'%)
&/#)52+05)-#+E"'&6)L2%#)JH0-&#%1"22I7);RRXK:
te
D/#)1"2.-#")'-)+0?015#)2=)"#&"'#$'%()+2%&#%&7)-2),'"#+&56),2.%520,'%()905'+'2E-)?"2("09-)'-)
Ins
titu
+5#0"56)0)&/"#0&:))*%)=0+&7)D"#%,)H'+"2);RRb)&/"#0&),0&0)'%,'+0&#-)&/0&)92"#)&/0%)/05=)2=)&/#)92-&)
+2992%)'%=#+&'2%-).#"#),E#)&2),'"#+&),2.%520,)2=)905.0"#)="29)&/#)'%&#"%#&)J4"EL7);RRbK:
U'9'50"7)1E&)92"#)?#"%'+'2E-)'-)&/#)&/"#0&)2=)0++#--'%()0)I%2.%7)5#('&'90&#)-'&#7)1E&)&2)/0$#)
+2%&#%&),#5'$#"#,)="29)0%2&/#")?0"&6)./'+/)'-)905'+'2E-:))a'"#+&)+29?"29'-#)2=)&/#)/2-&'%()-#"$#")0%,)
'%+5E-'2%)2=)905'+'2E-)+2%&#%&)'-)2%#)9#&/2,)2=)0++29?5'-/'%()&/'-:)))T")0&&0+I#"-)+0%)?2&#%&'0556)
NS
E&'5'L#)&/#).#1)-#"$#"M-)0??5'+0&'2%)=50.-)&2)'%Z#+&)"#=#"#%+#-)&2)905.0"#:)4E""#%&56)0)("#0&),#05)2=)
SA
905'+'2E-)+2%&#%&)'-),#5'$#"#,)$'0)0)%E91#")2=)$#+&2"-7)'%+5E,'%()+"2--)-'&#)-+"'?&'%()JfUUK)2")+"2--)
=2"9)-+"'?&'%()Jf[UK7)0-).#55)0-)UgC)*%Z#+&'2%:))F%6)2=)&/#-#)+2%&#%&)'%Z#+&'2%)9#&/2,-)+0%)1#)E-#,)&2)
©
,#5'$#")'[BFHA-)2")e0$0-+"'?&)?2'%&'%()&2)905'+'2E-)+2,#)JQ/'&#)<0&)U#+E"'&67);RRXK:))
F%2&/#")+50--)2=)&/"#0&-)'-),#+#'$'%()&/#)1"2.-#"M-)-#+E"'&6)9#+/0%'-9-)&2)0==2",)("#0&#")&"E-&)&2)
0)-'&#)&/0%)&/#)E-#")/0,)0E&/2"'L#,:))F)+50--'+)#>09?5#)2=)&/'-)'-)E%'+2,#),290'%)%09#-:))D/#)1"2.-#"-)
4/"'-)4"2.5#67)+"2.5#'(/8(90'5:+29
© SANS Institute 2009,
As part of the Information Security Reading Room
Author retains full rights.
hts
.
!"#$#%&'%()*%+',#%&-).'&/)0)/0",#%#,).#1)1"2.-#")_
"#%,#")0),290'%)%09#)&2)&/#)E-#")./'+/)0??#0"-)5#('&'90&#7)1E&)'-)'%)=0+&)0)905'+'2E-),E?5'+0&#:)
rig
Ja2"90%7);RR_K
['%05567)&/#)1"2.-#"-)&/#9-#5$#-)/0$#)$E5%#"01'5'&'#-:))['"#=2>)Y:_:S).0-)"#5#0-#,)&2)0,,"#--)
ful
l
9#92"6)+2""E?&'2%)'--E#-:)H2L'550)0,$'-2"6);RRXORhS)-&0&#-7)PU29#)2=)&/#-#)+"0-/#-)-/2.#,)#$',#%+#)
2=)9#92"6)+2""E?&'2%)E%,#")+#"&0'%)+'"+E9-&0%+#-)0%,).#)?"#-E9#)&/0&).'&/)#%2E(/)#==2"&)0&)5#0-&)
ins
-29#)2=)&/#-#)+2E5,)1#)#>?52'&#,)&2)"E%)0"1'&"0"6)+2,#:P))J`EI'+#$'I7);RRXK
eta
><>)!9=('%-
\"2.-#"-)2=&#%),#?#%,)2%)?5E(O'%)0??5'+0&'2%-)&2),#5'$#")0%)0,,'&'2%05)+0?01'5'&67)=2")#>09?5#)
rr
#%/0%+#,)9#,'0)=E%+&'2%-)-E+/)0-)0)$',#2:))D/#"#)#>'-&-)&/#)?2--'1'5'&6)2=)#>?52'&'%()&/#)&"0%-=#")2=),0&0)
0%,)+2%&"25)="29)&/#)1"2.-#")&2)&/#)?5E(O'%:))[2")#>09?5#7)4`AO;RR]Oh;S;).0-)&/#)"#-E5&)2=)&/#)F,21#)
tho
[50-/)?5E('%)&"E-&'%(),0&0)+2%&0'%#,)'%)#91#,,#,)e!V)='5#-7)0%,)0552+0&'%()9#92"6)10-#,)2%)&/0&)
'%=2"90&'2%:)J!2"&2%67);RR]K
Au
F).#1)1"2.-#")?5E('%)'-)0)E&'5'&6)2")?"2("09)&/0&)'-)%2&)+2%-',#"#,)?0"&)2=)&/#)2"'('%05).#1)
1"2.-#")0??5'+0&'2%7)1E&)?"2$',#-)-29#)0,,'&'2%05)=E%+&'2%05'&6)&2)&/#).#1)1"2.-#")$'0)0)-0%+&'2%#,)
09
,
0??5'+0&'2%)?"2("09)'%&#"=0+#)JF!*K)?"2$',#,)16)&/#)1"2.-#")Ji2L'257);RRS7)?:)3RhK:)))\"2.-#")
Key fingerprint = AF19 FA27 2F94 998D FDB5 DE3D F8B5 06E4 A169 4E46
?"2$',#"-)#%015#)F!*-)&2)=0+'5'&0&#)+299E%'&6),#$#52?9#%&:))F,,)2%)1"2.-#")+0?01'5'&'#-)0"#)
20
0,,'&'2%05)$#+&2"-)2=)0&&0+I)"#GE'"'%()?"2&#+&'2%:)
a#5'$#"6)2=),6%09'+7)/'(/)GE05'&6)+2%&#%&)2=&#%),#?#%,-)2%)1"2.-#")?5E('%-)0%,)/#5?#")
te
0??5'+0&'2%-7)=2")#>09?5#7)F,21#M-)[50-/)?506#":))[50-/)'-)%#0"56)E1'GE'&2E-)J&/#"#)0"#)$#"-'2%-)=2")
Ins
titu
U250"'-7)C'%E>7)TU)f7)0%,)Q'%,2.-)K)0%,)/0,)=2E")-#+E"'&6)"#50&#,)E?,0&#-)1#&.##%)e0%E0"6)0%,)
T+&21#");RRX)JF,21#7);RRXK:))D/#).#1)1"2.-#")'-)&6?'+0556)+2%='(E"#,)&2)-#095#--56)-&0"&)0??"2?"'0&#)
0??5'+0&'2%-:))[2")#>09?5#7)&/#)F,21#)1"2.-#")?5E('%)0E&290&'+0556)+2%='(E"#-)*%&#"%#&)A>?52"#")&2)
2?#%),2.%520,#,)!a[)='5#-)'%)F+"210&)"#0,#":)JF,21#7);RRbK:)))F%)0&&0+I#")E-#-)&/'-)&2)#>?52'&)0)
NS
$E5%#"01'5'&6)'%)&/#)/#5?#")0??5'+0&'2%7)F+"210&)'%)&/'-)+0-#7)16)#91#,,'%()0)905'+'2E-),2+E9#%&)'%)0)
.#1)?0(#:)))D/'-)'%+"#0-#)2=)0&&0+I)-E"=0+#)90I#-)&/#)1"2.-#"),'=='+E5&7)6#&)'9?2"&0%&)&2)?"2&#+&:))
SA
*&)'-)%2&)ZE-&)F,21#)[50-/)0%,)F+"210&:)T&/#")?2&#%&'0556)$E5%#"015#)?5E('%-)0%,)/#5?#")
0??5'+0&'2%-)'%+5E,#)2&/#")9#,'0)?506#"-@)Q'%,2.-)H#,'0)!506#"7)gE'+I&'9#7)0%,)B#05)!506#":))D/#"#)
©
0"#)05-2)50%(E0(#)?"2+#--2"-)-?#+'='+0556)'%&#%,#,)&2)?"2+#--)+2,#),#5'$#"#,)="29)0%)#>&#"%05)-#"$#")
'%+5E,'%(@)F+&'$#f7)e0$0-+"'?&7)0%,)e0$0:)JH02%#7);RRXK
['"#=2>)/0-)0)-E1-&0%&'05)0%,)0+&'$#)+299E%'&6)2=)0,,2%),#$#52?#"-:))F,,O2%-)'%)['"#=2>)
4/"'-)4"2.5#67)+"2.5#'(/8(90'5:+29
© SANS Institute 2009,
As part of the Information Security Reading Room
Author retains full rights.
hts
.
!"#$#%&'%()*%+',#%&-).'&/)0)/0",#%#,).#1)1"2.-#")h
?0"50%+#)0"#)+29?2%#%&-)&/0&)1#+29#)?0"&)2=)&/#)1"2.-#"M-)=E%+&'2%05'&6:))D/#)['"#=2>)F,,O2%)-'&#)
rig
J/&&?-@cc0,,2%-:92L'550:2"(c#%ONUc='"#=2>K)/0,)"2E(/56)#5#$#%)&/2E-0%,)J337RRRK),2.%520,-)0$0'5015#)
0&)&/#)&'9#)&/'-)?0?#").0-)."'&&#%:))D/#)H2L'550)[2E%,0&'2%)?"2$',#-)&/#)'%="0-&"E+&E"#).'&/'%)['"#=2>)
ful
l
&2)'%-&055)0%,)E?,0&#)&/#)?5E('%-7)0-).#55)0-)&/#)01'5'&6)&2)E%'$#"-0556),'-015#)0)?5E('%:))*&),2#-)%2&)
/2.#$#")&0I#)"#-?2%-'1'5'&6)=2")&/#)+2%&#%&)2")0+&'$'&6)2=)&/#)0,,2%-)&/#9-#5$#-:)PH2L'550)'-)?"2$','%()
ins
5'%I-)&2)&/#-#)0??5'+0&'2%-)0-)0)+2E"&#-67)0%,)90I#-)%2)"#?"#-#%&0&'2%-)"#(0",'%()&/#)0??5'+0&'2%-)2")0%6)
'%=2"90&'2%)"#50&#,)&/#"#)&2:)F%6)GE#-&'2%-7)+29?50'%&-)2")+50'9-)"#(0",'%()&/#)0??5'+0&'2%-)9E-&)1#)
eta
,'"#+&#,)&2)&/#)0??"2?"'0&#)-2=&.0"#)$#%,2":P)JH2L'550)[2E%,0&'2%7);RRXK
*%&#"%#&)A>?52"#")/0-)&/'-)-09#)=E%+&'2%05'&67)1E&)&/#)0,,#,)=E%+&'2%05)E%'&-)0"#)+055#,)?5E('%-:)
rr
D/'-)E%-E??2"&#,)="09#.2"I)'-)+055#,)-?'+*A)0%,)'-)0$0'5015#)=2")*A])0%,)*Ab:)P*9?2"&0%&@)U?'+#*A)'-)
tho
"#5#0-#,)'%,#?#%,#%&56)2=)*%&#"%#&)A>?52"#")0%,)"#50&#,)?"2,E+&-:)*&)'-)%2&)0%)2=='+'0556)-E??2"&#,)
?"2,E+&)16)&/#)*%&#"%#&)A>?52"#")&#09:)Q/'5#)U?'+*A)'-)0)$05E015#)&225)=2")?"2&2&6?'%()0%,)&#-&'%()
Au
*%&#"%#&)A>?52"#")#>&#%-'2%-7)'&)'-)%2&)"#+299#%,#,)=2")E-#).'&/)"#5#0-#,)-2=&.0"#:PJH'+"2-2=&7);RRXK
><D)@@E)0%,)A"=-&
09
,
D/#"#)'-)0)(52105).#1)2=)&"E-&)&/0&)'-)#-&015'-/#,)=2")&/#)1#%#='&)2=)?"2$','%()+2%=',#%&'05'&6)0%,)
Key fingerprint = AF19 FA27 2F94 998D FDB5 DE3D F8B5 06E4 A169 4E46
'%&#("'&6)2=).#1)1"2.-#")&"0=='+:))D/#"#)'-)-E1-&0%&'05)+2-&)'%$25$#,)'%)90'%&0'%'%()&/'-)&"E-&:)`#"'-'(%M-)
20
;RRX)UA4)='5'%()-'&#-)^YRRH)NUa)=2")h)92%&/-)#%,'%()eE%#);RRX)J`#"'-'(%7);RRXK:)))D/'-)&"E-&)-6-&#9)
E&'5'L#-)?E15'+)I#6)+"6?&2("0?/6)0%,),'--#9'%0&#-)+#"&'='+0&#-)&2)$2E+/)=2")&/#)',#%&'&6)2=)&/#)-#"$#")&/#)
te
.#1)1"2.-#")+2%%#+&-)&2:))!i*)+#"&'='+0&#-)+0%)05-2)$2E+/)=2")&/#)',#%&'&6)2=)&/#)E-#")2=)&/#).#1)
Ins
titu
1"2.-#")J`#"'-'(%7);RRXK:))F)+"'&'+05)+29?2%#%&)2=)&/#)&"E-&)92,#5)'-)&/0&)&/#)+#"&'='+0&#-)2=)
4#"&'='+0&'2%)FE&/2"'&'#-)0"#),'-&"'1E&#,).'&/)&/#).#1)1"2.-#":
D/#)4#"&'='+0&'2%)FE&/2"'&'#-)?06)&2)'%+5E,#)&/#'")"22&)+#"&'='+0&#-)'%)&/#).#1)1"2.-#":)
*%,'$',E05)1E-'%#--#-)?06)&/#)+#"&'='+0&'2%)0E&/2"'&'#-)=2")&/#)+#"&'='+0&#-)./'+/)$2E+/)=2")&/#)',#%&'&6)2=)
NS
&/#'")-#"$#"-:))D/#)4#"&'='+0&'2%)FE&/2"'&'#-)$#&)&/#)+#"&'='+0&#)"#GE#-&#")&2)$#"'=6)&/#)"#GE#-&#")'-)
0+&E0556)?0"&)2=)&/#)2"(0%'L0&'2%)"#?"#-#%&#,)16)&/#)?"2?2-#,)+#"&'='+0&#J<0""'-7);RR_7)?:)h_YK:
SA
D/'-)&"E-&)92,#5)'-)-E1Z#+&)&2)#>?52'&0&'2%7))=2")#>09?5#)16)-2+'05)#%('%##"'%()0%,)"0+#)
+2%,'&'2%-:))*%)2%#)/'(/)?"2='5#)'%+',#%&)0%)E%0E&/2"'L#,)("2E?)-#+E"#,).#1)-#"$#")+#"&'='+0&#-).'&/'%)
©
&/#)9'+"2-2=&:+29),290'%:))PF++2",'%()&2)H'+"2-2=&7)-29#2%#)?2-'%()0-)0)H'+"2-2=&)#9?526##)&"'+I#,)
`#"'U'(%7)./'+/)/0%,-)2E&)-2O+055#,),'('&05)-'(%0&E"#-7)'%&2)'--E'%()&/#)&.2)+#"&'='+0&#-)'%)&/#)-2=&.0"#)
('0%&M-)%09#)2%)e0%:)YR)0%,)e0%:)Y3:P)JC#92-7);RR3K
4/"'-)4"2.5#67)+"2.5#'(/8(90'5:+29
© SANS Institute 2009,
As part of the Information Security Reading Room
Author retains full rights.
hts
.
!"#$#%&'%()*%+',#%&-).'&/)0)/0",#%#,).#1)1"2.-#")]
H2"#)"#+#%&567)0&&0+I-)0(0'%-&)`#"'-'(%M-)B0?',UUC)-#"$'+#)#>?52'&#,)+255'-'2%-)'%)9,_)/0-/'%()
rig
E&'5'L#,)16)-29#)UUC)+#"&'='+0&#-:))D/#)U2&'"2$)#&)05)?"#-#%&0&'2%)HIJ%K0,'&.#$#.%L+$24(-%!0.+/M%
K$#+*&,:%+%N0:(#%KO%K#$*&4&1+*#%,#&0'5-)&/#)90%)'%)&/#)9',,5#)0&&0+I)2%)+#"&'='+0&#-)-'(%#,).'&/)Ha_)
ful
l
/0-/'%()05(2"'&/9:))[2")&/#)?"#-#%&0&'2%)&/'"&6)&/2E-0%,)JYR7RRRK)UUC).#1)-#"$#")+#"&'='+0&#-).#"#)
,2.%520,#,)="29)&/#)'%&#"%#&:))W'%#)&/2E-0%,)JX7RRRK)2=)&/#-#)+#"&-).#"#)E-'%()Ha_:))JU2&'"2$7);RRbK
ins
F)"0+#)+2%,'&'2%7)-?#+'='+0556)P&'9#)2=)+/#+I)c)&'9#)2=)E-#P)#>'-&-)./#%)"#$2+0&'2%)5'-&-)0"#)2E&)
2=),0&#:)JH*DBA7);RRXK)*=)0)+#"&'='+0&#)'-)I%2.%)&2)1#)+29?"29'-#,7)&/#)+#"&'='+0&'2%)0E&/2"'&6)
eta
?E15'-/#-)"#$2+0&'2%)2=)&/#)+#"&'='+0&#:))T=&#%)/2.#$#"7)&/#)&'9#)1#&.##%)&/#)+29?"29'-#)0%,),#5'$#"6)
2=)&/0&)'%=2"90&'2%)&2)&/#)1"2.-#")'-)-E-+#?&'15#)&2)#>?52'&:))F)?"2?2-#,)='>)=2")&/'-)?"215#97)0)-6-&#9)
rr
2=)"#05)&'9#)+#"&'='+0&#)$#"'='+0&'2%)+055#,)T%5'%#)4#"&'='+0&#)U&0&E-)!"2&2+25)JT4U!K)'-)%2&).',#56)
tho
'9?5#9#%&#,:))D/'-)'-)-'9'50")&2)aWUUA4)j)0%)0$0'5015#)-#+E"'&6)#>&#%-'2%)&2)&/#)a290'%)W09#)
U#"$'+#-)JaWUK)?"2&2+25)%2&).',#56)E&'5'L#,)1#+0E-#)&/#)E%,#"56'%()'%="0-&"E+&E"#)/0-)%2&)0+/'#$#,)
Au
.',#-?"#0,)0,2?&'2%:)JH'92-27);RRXK))\"2.-#"-).0"%)E-#"-)'=)0)+#"&'='+0&#)"#$2+0&'2%)5'-&)J4BCK)'-)%2&)
0$0'5015#:))Q/'5#)&/#-#).0"%'%(-)0"#)-E=='+'#%&)(#-&E"#-)&2)&"0%-=#")+E5?01'5'&6)&2)&/#)E-#")2=)&/#)
09
,
1"2.-#"7)E-#"-)-'9?56),'-9'--)&/#9)&2)0552.)&/#)0++#--)&/#)-'&#7)0++#?&'%()&/#)"'-I)&/0&)&/#)+#"&'='+0&#)'-)
Key fingerprint = AF19 FA27 2F94 998D FDB5 DE3D F8B5 06E4 A169 4E46
%2&)'%)=0+&)$05',:
20
A0+/).#1)1"2.-#")?"2$',#-)&/#)E-#")&/#)+0?01'5'&6)&2)+2%='(E"#)&/#)&"E-&#,)4#"&'='+0&'2%)
FE&/2"'&'#-)J4FK:))D/'-)'-)"#GE'"#,7)1E&)-E1Z#+&)&2)01E-#:))*%)0%)#%&#"?"'-#)#%$'"2%9#%&7)+/0%(#-)&2)&/#)
te
4F-)-/2E5,)1#)?"2/'1'&#,)&2)-&0%,0",)E-#"-:))*%,'$',E05)E-#"-)90%0('%()&/#'")2.%)-6-&#9-)-/2E5,)1#)
Ins
titu
+0E&'2E-)./#%)0,,'%()0,,'&'2%05)4F-:))D/#).#1)1"2.-#")0==2",-)&"E-&)&2)4F-)'%)&/#)4F)-&2"#)0-)
0E&/2"'&'#-)2%)&/#)',#%&'&6)2=)2&/#")2"(0%'L0&'2%-:))D/#)#%&#"?"'-#)-/2E5,)90%0(#)&/'-)&"E-&)("0%&'%()
?2.#")&2)?"#$#%&)="0E,7)01E-#)0%,)905'+'2E-)0+&'$'&6:)))*&)'-)0%052(2E-)&2)+/#+I'%()&/#)',#%&'='+0&'2%)2=)
0%)'%,'$',E05)1#=2"#)/'"'%()/'9:))T%56)&"0'%#,)<E90%)B#-2E"+#-)-&0==)0"#)#%&"E-&#,)16)&/#)2"(0%'L0&'2%)
NS
.'&/)&/#)0E&/2"'&6)&2)$#"'=6)',#%&'&6:))C'I#.'-#7)'%=2"9#,)*D)-&0==)%##,)&2)90%0(#)&/#)2"(0%'L0&'2%M-)4F)
"#?2-'&2"6:
SA
F%)0,,'&'2%05)+29?5'+0&'2%)2=)UUC)'-)&/0&)'&)"#%,#"-)&/#)-#+E"'&6)+0?01'5'&'#-)2=)%#&.2"I)
'%-?#+&'2%)J*aU)c)*!UK)15'%,)&2)0&&0+I-),#5'$#"#,).'&/'%)&/#)UUC)-&"#09:))*%)-29#)#%$'"2%9#%&-7)&/'-)
©
9E-&)1#)0,,"#--#,)16)&#"9'%0&'%()2E&12E%,)UUC)+2%%#+&'2%-)0&)0)?"2>6)=2")+2%&#%&)'%-?#+&'2%:))D/'-)
&6?'+0556)'%$25$#-)+2%='(E"0&'2%)2%)&/#)+5'#%&)+29?E&#")"E%%'%()&/#).#1)1"2.-#")&2)=0+'5'&0&#)
&#"9'%0&'2%)2=)&/#)UUC)+2%%#+&'2%)0&)&/#)?"2>6:))[2")#>09?5#7)&/#)\5E#420&)?"2>6)+2%='(E"0&'2%)
4/"'-)4"2.5#67)+"2.5#'(/8(90'5:+29
© SANS Institute 2009,
As part of the Information Security Reading Room
Author retains full rights.
hts
.
!"#$#%&'%()*%+',#%&-).'&/)0)/0",#%#,).#1)1"2.-#")b
"#GE'"#-)0)%#.)4#"&'='+0&'2%)FE&/2"'&6)1#)'%-&055#,)2%)&/#)+5'#%&).#1)1"2.-#"7)2")0--'(%'%()0)+#"&'='+0&#)
><F<;)
ful
l
><F)G#1)H"2.-#"-
rig
&2)&/#)?"2>6)-#"$#")-'(%#,)16)0%)05"#0,6)?"#-#%&)4F:)J\5E#+20&7);RR]K
!2I=90"'&J
ins
D/#)92-&)+2992%56)E-#,)1"2.-#").2"5,.',#)0-)2=)U#?&#91#");RRX)'-)*%&#"%#&)A>?52"#").'&/)
012E&)]Rk)2=)&/#)1"2.-#")90"I#&:))D/#)2&/#")1"2.-#"-)'%)2",#")2=)92-&)&2)5#0-&)E-#,@))['"#=2>)J012E&)
eta
;RkK7)U0=0"'7)4/"29#)0%,)T?#"0)/0$#)5#--)&/0%)_k)#0+/:)J<'&-5'%I7);RRXK:))D/#)%E91#"-)0"#)"2E(/)
#-&'90&#-7)0%,)2&/#")-'&#-)?"2$',#)2&/#")%E91#"-:))D2)=2+E-)&/'-),2+E9#%&7)*).'55)2%56)+2%-',#")&/#)&2?);)
rr
.#1)1"2.-#"-@)*%&#"%#&)A>?52"#")0%,)['"#=2>:))D/#"#)0"#)0)%E91#")2=)2&/#")?2&#%&'0556)E-#=E5)0%,)
tho
?2&#%&'0556)$E5%#"015#).#1)1"2.-#"-)0$0'5015#@)U0=0"'7)4/"29#7)T?#"07)i2%GE#"2"7)C6%>7).(#&7)
U2%(1'",:))N%=2"&E%0&#56)&/#6)0"#)2E&)2=)-+2?#)=2")&/'-)?0?#":))42%='(E"0&'2%)(E',0%+#)?"2$',#,)=2")&/#)
Au
92"#)+2992%)1"2.-#"-)-/2E5,)/#5?)(E',#)&/#)-#+E"#)+2%='(E"0&'2%)2=)&/2-#)1"2.-#"-)%2&)+2$#"#,:
D/#)?2?E50"'&6)2=)*%&#"%#&)A>?52"#")906)/0$#)%#(0&'$#)-#+E"'&6)'9?5'+0&'2%-:))F-)0&&0+I#"-)
09
,
5#$#"0(#)&/#)50.)2=)0$#"0(#-)0%,)&0"(#&)&/#)50"(#-&)?2?E50&'2%:))T%)&/#)2&/#")/0%,7)*%&#"%#&)A>?52"#"M-)
Key fingerprint = AF19 FA27 2F94 998D FDB5 DE3D F8B5 06E4 A169 4E46
90&E"'&6)0%,)H'+"2-2=&)-#+E"'&6)'%'&'0&'$#-)/0$#)#0"%#,)*%&#"%#&)A>?52"#")=#.#")-#+E"'&6)$E5%#"01'5'&'#-)
><F<>)
20
&/0%)['"#=2>:)Je2%#-7);RR]K:
G#1)H"2.-#")+2%:'(="0&'2%)"#:#"#%+#
te
D/#"#)0"#)9E5&'?5#)2%5'%#)"#=#"#%+#)?2'%&-)=2")0,$'+#)2%)-#+E"#)1"2.-#")+2%='(E"0&'2%:))D/#)
Ins
titu
?"#$'2E-56)9#%&'2%#,)NUO4ABD)'-)&/#)1#-&)2$#"$'#.).'&/)1"2.-#")-?#+'='+)-E((#-&'2%-)
J/&&?@cc...:E-O+#"&:(2$c"#0,'%(d"229c-#+E"'%(d1"2.-#"cK:))
><F<D)
*-)&/#"#)0)-0:#)H"2.-#"K
Q#)I%2.)&/#)1"2.-#"-)0"#)$E5%#"015#)&2)#>?52'&)0%,)&/0&)&/#"#)0"#)9E5&'?5#)0&&0+I)$#+&2"-)&2)(#&)
NS
&/#)1"2.-#")&2)520,)0&&0+I-)&2)?2&#%&'0556)$E5%#"015#)/#5?#"-)2")?5E('%-:))Q#)I%2.)&/#)#%$'"2%9#%&)906)
+2%&0'%)/2-&'5#)+2,#7)="29)#$#%)-E??2-#,56)&"E-&.2"&/6)-2E"+#-:))Q#)05-2)I%2.)&/0&)&/#)!i*)
SA
9#+/0%'-9)2=)&"E-&)E-#,)&/"2E(/2E&)&/#)'%&#"%#&)'-)$E5%#"015#)&2)#>?52'&0&'2%:))D/#)GE#-&'2%)"#90'%-7)
./'+/).#1)1"2.-#")'-)&/#)92-&)-#+E"#l))D/#)0%-.#")'-7)'&),#?#%,-:))D/#"#)'-)%2)1"2.-#")&/0&)'-)+5#0"56)
©
92"#)-#+E"#)&/0%)0%2&/#":))A0+/)1"2.-#")/0-)-#+E"'&6)=50.-:)))aE"'%()0)&'9#)./#%)&/#"#)'-)0%)E%?0&+/#,)
*%&#"%#&)A>?52"#")$E5%#"01'5'&6)0%,)0+&'$#)#>?52'&-)'%)&/#).'5,7)['"#=2>).2E5,)+5#0"56)1#)0)92"#)-#+E"#)
1"2.-#")2?&'2%:))[2")0%)2"(0%'L0&'2%)&/0&)?0&+/#-)="#GE#%&567)&/#)92"#)="#GE#%&)0%,)0E&290&'+)E?,0&#-)
4/"'-)4"2.5#67)+"2.5#'(/8(90'5:+29
© SANS Institute 2009,
As part of the Information Security Reading Room
Author retains full rights.
hts
.
!"#$#%&'%()*%+',#%&-).'&/)0)/0",#%#,).#1)1"2.-#")X
2=)['"#=2>)906)1#)?"#=#"015#:))[2")0%)2"(0%'L0&'2%)&/0&)E-#-)0)H'+"2-2=&)10-#,)?0&+/'%()-#"$'+#-)-E+/)0-)
><F<F)
rig
QUNU7)*%&#"%#&)A>?52"#")'-)92"#)5'I#56)&2)1#)90'%&0'%#,).'&/)&/#)92-&)E?)&2),0&#)?0&+/#-:
*%&#"%#&)BLI92"#"
ful
l
D/#)1#-&)-2E"+#)=2")*%&#"%#&)A>?52"#")])+2%='(E"0&'2%)'-)&/#)[#,#"05)a#-I&2?)42"#)42%='(E"0&'2%)
J[a44K)-?#+'='+0&'2%-:))D/#-#)-?#+'='+0&'2%-)?"2$',#)0)=E55)5'=#O+6+5#)2=)+2%='(E"0&'2%7)'%+5E,'%()
ins
-?#+'='+0&'2%-)0%,)+2%&#%&)=2")0E,'&'%()+2%=2"90%+#)&2)&/#-#)-#&&'%(-:))
D/#)NU)T=='+#)2=)H0%0(#9#%&)0%,)\E,(#&)JTH\K)"#+#%&56)+299'--'2%#,)W0&'2%05)*%-&'&E&#)2=)
eta
U&0%,0",-)0%,)D#+/%252(6)JW*UDK)&2)+"#0&#)0%,)+E"0&#)[a44:)JA$0%-7);RRbK))D/#)'%&#%&)2=)[a44))'-)&2)
.2"I).'&/)-E??5'#"-)&2)?"2,E+#)0)-&0%,0",'L#,)+2%='(E"0&'2%)=2")&/#)?E"+/0-#)2=)-2=&.0"#)"#-2E"+#-:)
rr
T%#)1#%#='&)2=)&/'-)+2%-'-&#%+6)'-)&2)"#,E+#)&/#)+2-&)2=)?E"+/0-'%()+29?E&'%()#GE'?9#%&)16)&/#)NU)
tho
[#,#"05)V2$#"%9#%&:))F%2&/#")1#%#='&)'-)&/#)"#,E+&'2%)2=)+2-&)2=)-#+E"#56)+2%='(E"'%()&/#-#)"#-2E"+#-:)
!"#$'2E-)&2)[a447)#0+/)F(#%+6)'%,#?#%,#%&56)0%056L#,7)"#$'#.#,7)0%,)?"2?2-#,)-?#+'='+).2"I-&0&'2%)
Au
+2%='(E"0&'2%-:))TH\)05-2)"#GE'"#-)&/0&)-2=&.0"#)?E"+/0-#,)16)NU)F(#%+'#-)%2&)"#GE'"#),#$'0&'2%)="29)
&/#)-&0%,0",)-#+E"#)+2%='(E"0&'2%:
09
,
D2)"#05'L#)&/'-)+2-&)"#,E+&'2%)0%,)-&0%,0",)-#+E"#)+2%='(E"0&'2%)TH\)+/0"&#"#,)W*UD)&2)
Key fingerprint = AF19 FA27 2F94 998D FDB5 DE3D F8B5 06E4 A169 4E46
,#$#52?)0)9#&/2,)2=)0E&290&#,)&#-&'%()=2")&/#)"#GE'"#,)[a44)+2%='(E"0&'2%:))D/#)U#+E"'&6)42%&#%&)
20
FE&290&'2%)!"2&2+25)JU4F!K).'55)5'I#56)1#)0)92"#)50-&'%()+2%&"'1E&'2%)&2)+29?E&#")-#+E"'&6)&/0%)&/#)
[a44)+2%&#%&:))U4F!)="09#.2"I)?"2$',#-)0)5#>'+2%)&2)#>?"#--)+2%='(E"0&'2%7)0%,)E-#)&/#)-09#)
te
+2%&#%&)&2)0E,'&)'9?5#9#%&0&'2%:)JH#557);RRXK)
Ins
titu
D/E-7)[a44)"#GE'"#-)$#%,2"-)&2)+2%=2"9)&2)0)-&0%,0",)+2%='(E"0&'2%7)0%,)?"2$#)+2%=2"90%+#)
16)-&0%,0",'L#,)0E,'&)+2%&#%&:))U4F!)05-2),#='%#-)0)$05',0&'2%)?"2("09)./'+/)#%+2E"0(#-)$#%,2"-)&2)
+29?56).'&/)U4F!)16)'%+5E,'%()&/#)"#GE'"#9#%&)'%)TH\)?"2+E"#9#%&)-?#+'='+0&'2%-:)!0"&)YX)2=)&/#)
[#,#"05)F+GE'-'&'2%)B#('-&#")J[FBK)%2.)"#0,-)P*%)0+GE'"'%()'%=2"90&'2%)&#+/%252(67)0(#%+'#-)-/055)
NS
'%+5E,#)&/#)0??"2?"'0&#)*D)-#+E"'&6)?25'+'#-)0%,)"#GE'"#9#%&-7)'%+5E,'%()E-#)2=)+2992%)-#+E"'&6)
+2%='(E"0&'2%-)0$0'5015#)="29)&/#)W*UDM-).#1-'&#)0&)/&&?@cc+/#+I5'-&-:%'-&:(2$:)F(#%+6)+2%&"0+&'%()
SA
2=='+#"-)-/2E5,)+2%-E5&).'&/)&/#)"#GE'"'%()2=='+'05)&2)#%-E"#)&/#)0??"2?"'0&#)-&0%,0",-)0"#)'%+2"?2"0&#,:P)
JA$0%-7);RRbK
©
D/#)-+2?#)2=)[a44)0%,)U4F!)0"#)+2%-&"0'%#,)16)"#-2E"+#-)0%,)?25'&'+-:))\0-#,)2%)&/#)
01E%,0%+#)2=),#-I&2?)!4-)"E%%'%()H'+"2-2=&)Q'%,2.-)2?#"0&'%()-6-&#9-)'%)NU)F(#%+'#-7)92-&)2=)&/#)
W*UD)?"2,E+#,)[a44)+2%&#%&)'-)-?#+'='+)&2)H'+"2-2=&)TU#-:))TU)-#&&'%(-)=2")-#$#"05)N%'>)$0"'0%&-)0"#)
4/"'-)4"2.5#67)+"2.5#'(/8(90'5:+29
© SANS Institute 2009,
As part of the Information Security Reading Room
Author retains full rights.
hts
.
!"#$#%&'%()*%+',#%&-).'&/)0)/0",#%#,).#1)1"2.-#")3R
05-2)0$0'5015#:))[2").#1)1"2.-#"-7)2%56)*%&#"%#&)A>?52"#")-#+E"'&6)+2%='(E"0&'2%-)0"#)?"2$',#,:)JW`a7)
rig
;RRXK
N-'%()&/#)[a44)+2%&#%&))?"2$',#-)0)%E91#")2=)1#%#='&-:))D/#)?"'90"6)1#%#='&)'-)&/#)01'5'&6)&2)
ful
l
'9?5#9#%&)0%,)0E,'&)&/#)'9?5#9#%&0&'2%)E-'%()&/#)-09#7)-&0%,0",'L#,)-?#+'='+0&'2%:
<2.)&2)E-#)&/#)[a44)+2%&#%&)=2")*%&#"%#&)A>?52"#")])$'0)V!Tl))U&0"&)16),2.%520,'%()&/#)V!T)
ins
:0,9)&#9?50&#-)="29)W*UD)J/&&?@cc%$,:%'-&:(2$c=,++c,2.%520,d=,++:+=9)K:))4/#+I)&/#)+/#+I-E9)5'-&#,)
2%)&/0&)?0(#)0(0'%-&)62E"),2.%520,)&2)0--E"#)&/#)='5#)/0-)%2&)1##%)+2""E?&#,)2")&09?#"#,).'&/)'%)&"0%-'&:)
eta
*=)62E),2%M&)05"#0,6)/0$#)0)E&'5'&6)&2)+05+E50&#)+/#+I-E9)0%,)0"#)E-'%()0).'%,2.-)-6-&#97),2.%520,)
H'+"2-2=&M-)['5#)4/#+I-E9)*%&#("'&6)`#"'='#")="29)/&&?@cc-E??2"&:9'+"2-2=&:+29cI1cbS3;XR):))D/'-)'-)0)
rr
-'9?5#)+2990%,)5'%#)E&'5'&6)./'+/)+05+E50&#-)9,_)0%,)-/03)/0-/#-)2=)='5#-:))W*UD),2#-)%2&)?"2$',#)
tho
Ha_)+/#+I-E9-)2%)'&-)-'&#)1#+0E-#)Ha_)'-)%2&)[*!U)3SRO;)+29?5'0%&:
T%+#)$#"'='#,7)E%L'?)&/#)='5#:))*&)'-)2"(0%'L#,)'%&2),'"#+&2"'#-)=2")`'-&0)0%,)f!:))U#5#+&)&/#)
Au
0??"2?"'0&#),'"#+&2"67)2")E-#)&/#)P\2&/P),'"#+&2"6:))D/#)*%&#"%#&)A>?52"#")-?#+'='+)+2%='(E"0&'2%-)0"#)
52+0&#,)'%)&/#)P'%#&"#-:0,9P)='5#-:))[2")f!7)&/#-#)='5#-)0"#@
!
09
,
[a44)$3:R)g3);RRX)B#$'-#,)V!TM-cf!cm_3S3X\b3OR\_bOSRR_OXXR\O
Key fingerprint = AF19 FA27 2F94 998D FDB5 DE3D F8B5 06E4 A169 4E46
RRa;Yh;]\S_Ynca290'%U6-$25cV!TcF,9c'%#&"#-:0,9)
!
20
[a44)$3:R)g3);RRX)B#$'-#,)V!TM-cf!cm3F4AR\RSOYXR]OSF34O\3;\O
3F3]h3A]SFa_nca290'%U6-$25cV!TcF,9c'%#&"#-:0,9)
!
te
[a44)$3:R)g3);RRX)B#$'-#,)V!TM-cf!cmhR__;[hSO[Xh;OSYXYObYX;O
Ins
titu
bb]a]XSbFXF_nca290'%U6-$25cV!TcF,9c'%#&"#-:0,9)
*&)'-)$#"6)'9?2"&0%&)&2)&#-&)&/#-#)-#&&'%(-)1#=2"#),#?526'%()&/#9)&2)0)?"2,E+&'2%)#%$'"2%9#%&)0-)
&/#6)0"#)$#"6)-&"'+&:))[2")#>09?5#7)&/#)-#&&'%(-)J)#>:)<i4NoU2=&.0"#o!25'+'#-oH'+"2-2=&o*%&#"%#&)
A>?52"#"oH0'%p[2"9UE((#-&)!0--.2",-7)<i4NoU2=&.0"#o!25'+'#-oH'+"2-2=&o*%&#"%#&)A>?52"#"o42%&"25)
NS
!0%#5p[2"9UE((#-&)!0--.2",-)K)&2),'-015#)0E&2O+29?5#&#)=2")055)E-#"%09#-)0%,)?0--.2",-)906)%2&)1#)
0++#?&015#)'%)62E")#%$'"2%9#%&:))
SA
D#-&)&/#-#)-#&&'%(-)1#=2"#),#?526'%()&/#9)&2)0)?"2,E+&'2%)#%$'"2%9#%&p))a2+E9#%&),#$'0&'2%-)
="29)&/#)-&0%,0",7)0%,)&/#)"0&'2%05#)=2")&/#),#$'0&'2%-:))F%&'+'?0&#)&/0&)=2")-29#)-#&&'%(-7)'%,'$',E05)E-#)
©
+0-#-)906)"#GE'"#)0%)#>+#?&'2%:))a2+E9#%&)&/#-#)#>+#?&'2%-:))*%)&/'-),2+E9#%&0&'2%)'%+5E,#)#>?'"0&'2%)
,0&#-7)"0&'2%05#7)0E&/2"'L#,)'%,'$',E05-7)0%,)./2)0E&/2"'L#,)&/#)#>+#?&'2%:))D/#)?"#=#"015#)=0-/'2%)=2")
/0%,5'%()#>+#?&'2%-)'-)2%)0)("0%E50")10-'-:))[2")#>09?5#7)0--E9#)62E")2"(0%'L0&'2%),'-015#-)&/#)2?&'2%)
4/"'-)4"2.5#67)+"2.5#'(/8(90'5:+29
© SANS Institute 2009,
As part of the Information Security Reading Room
Author retains full rights.
hts
.
!"#$#%&'%()*%+',#%&-).'&/)0)/0",#%#,).#1)1"2.-#")33
&2)"#9#91#")?0--.2",-:))<2.#$#"7)0%)'%,'$',E05).'&/)0),'-01'5'&6)/0-)90%0(#9#%&)0??"2$05)&2)0552.)
rig
&/#)1"2.-#")&2)"#9#91#")?0--.2",-:))A%015#)&/#)2?&'2%)&2)"#9#91#")?0--.2",-)=2")&/'-)E-#")1E&)%2&)
0%6)2=)&/#)2&/#")+2%='(E"0&'2%)-#&&'%(-:))D/'-)'-),2%#)16)90'%&0'%'%()9E5&'?5#)+2%&0'%#"-).'&/'%)&/#)
ful
l
0+&'$#),'"#+&2"6)JFaK)/'#"0"+/6).'&/)$0"6'%()V!T-:))
a#?526)0)-E1-#&)2=)&/#)-#&&'%(-)&2)0)5'9'&#,)E-#")("2E?)'%'&'0556:))D/#)',#05)?'52&)E-#")("2E?)
ins
'%+5E,#-)-2?/'-&'+0&#,7)&#+/%252(6)-0$$67)?2.#")E-#"-:))A%(0(#)0)-09?5'%()2=)'%,'$',E05-)="29)055)?0"&-)
2=)&/#)2"(0%'L0&'2%7)1#+0E-#)E-0(#)?0&&#"%-)0"#),'==#"#%&)=2"),'==#"#%&)("2E?-:))\6),#?526'%()0)-E1-#&)2=)
eta
&/#)-#&&'%(-)&/#)"22&)+0E-#)2=)?"215#9-)+0%)1#)'-250&#,)GE'+I56:))F552.)0&)5#0-&)2%#)=E55).##I)&2)#50?-#)
1#&.##%),#?5269#%&-)&2)=5E-/)2E&)?2&#%&'05)?"215#9-:))*=)?"215#9-)0"#)=2E%,7)+2%-',#")#>+5E,'%()&/#)
rr
-#&&'%(-)0-)#'&/#"),#$'0&'2%-)2")#>+#?&'2%-:))B#?#0&)&/#),#?5269#%&)2=)-E1-#&-).'&/)0)50"(#")("2E?:)
tho
a#?#%,'%()2%)&/#)-'L#)2=)62E")2"(0%'L0&'2%7)&/'-)906)&0I#)9E5&'?5#)?0--#-:))F-)&/#)'&#"0&'2%)"#+E"-7)
'%+"#0-'%()&/#)%E91#")2=)-#&&'%(-)'%)&/#)-E1-#&)0%,)&/#)%E91#")2=)E-#"-)'-)"#0-2%015#:)JH'+"2-2=&7);RRYK
Au
[a44)-#&&'%(-)/0$#)&/#)0,,#,)1#%#='&)2=)0552.'%()=2")&/#)0E,'&'%()2=)+2%&#%&:))D/#"#)0"#)
9E5&'?5#)?"2,E+&-)./'+/)0"#)U4F!)$05',0&#,)[a44)-+0%%#"-7)./'+/)9#0%-)&/#6)/0$#)PD/#)+0?01'5'&6)
09
,
&2)0E,'&)0%,)0--#--)0)&0"(#&)-6-&#9)&2),#&#"9'%#)'&-)+29?5'0%+#).'&/)&/#)[a44)"#GE'"#9#%&-:P)JW`a7)
Key fingerprint = AF19 FA27 2F94 998D FDB5 DE3D F8B5 06E4 A169 4E46
;RRXK))D/'-)0==2",-)&/#)*D),#?0"&9#%&)&/#)01'5'&6)&2)0E,'&)&/#),#?5269#%&)2=)&/#)90%,0&#,)-#&&'%(-:)
20
F=&#"),#?5269#%&7)&/'-)-/2E5,)1#),2%#)2%)0)"#(E50")10-'-7)E-E0556)'%)+2%ZE%+&'2%).'&/)&/#)?#"'2,'+)
$E5%#"01'5'&6)-+0%%'%(:))T")0)U4F!)$05',0&#,)H'-+2%='(E"0&'2%)B#9#,'0&'2%)?"2,E+&)-E+/)0-))\'(['>)
te
U#+E"'&6)42%='(E"0&'2%)0%,)`E5%#"01'5'&6)H0%0(#9#%&)UE'&#)JU4`HK7)+2E5,)+/#+I),0'56)0%,)+2""#+&)
Ins
titu
'%0??"2?"'0&#)-#&&'%(-:)JW`a7);RRXK
WUU)C01-)?#"=2"9#,)0)+29?0"'-2%)2=)&/#)1E'5&)'%)"#?E&0&'2%)-6-&#9-)2=)&/#)='$#)92-&)?2?E50")
.#1)1"2.-#"-:))D/#)+2%+#?&)2=)0)"#?E&0&'2%)-6-&#9)'-)&2)5#$#"0(#)*%&#"%#&).',#)'%&#55'(#%+#)&2)?"#$#%&)
.#1)1"2.-#"-)="29)+2%%#+&'%()&2)I%2.%)10,)-'&#-:))*=)/05=)2=)&/#)905.0"#)'-),'"#+&56),2.%520,#,)="29)
NS
-'&#-)0-)&/#)?"#$'2E-56)+'&#,)D"#%,9'+"2)-&E,6)+50'9-7)&/#%)0"9'%()&/#).#1)1"2.-#").'&/)'%&#55'(#%+#)&2)
0$2',)10,)-'&#-)'-)0)"#0-2%015#),#=#%-'$#)0+&'2%:)))F)/2%#6+5'#%&)0??"20+/).0-)&0I#%7)+2%%#+&'%()&/#)
SA
1"2.-#"-)&2)I%2.)10,)-'&#-:)))D/#)"#-E5&-).#"#)&/0&)&/#)*%&#"%#&)A>?52"#")b)B43)1"2.-#")/0,)0)
?"2&#+&'2%)"0&'%()2=)hXk)J*%&#"%#&)A>?52"#")])/0,)2%56)SkK7)0%,)['"#=2>)$Y:R])/0,)0)?"2&#+&'2%)"0&'%()
©
2=)YRk:)JWUU)C01-7);RRXK!
D/#)"#?E&0&'2%)-6-&#9)'-%M&)0)=E556)#==#+&'$#)"#-25E&'2%:))D/#)1#-&)"#?E&0&'2%)&6?#)1"2.-#")J*A)bK)
/0,)0)-E++#--)"0&#)2=)2%56)]Rk:
4/"'-)4"2.5#67)+"2.5#'(/8(90'5:+29
© SANS Institute 2009,
As part of the Information Security Reading Room
Author retains full rights.
hts
.
!"#$#%&'%()*%+',#%&-).'&/)0)/0",#%#,).#1)1"2.-#")3;
*%&#"%#&)A>?52"#")b)/0-)-29#)-#+E"'&6)#%/0%+#9#%&-)&/0&)E?,0&#)'&)=2")&/#)+E""#%&)&/"#0&)
rig
#%$'"2%9#%&:))D/#"#)'-)&/#)U90"&U+"##%)='5&#")./'+/)'-)./0&).0-)50E,#,)16)&/#)WUU)C01-)./'&#)?0?#":)
D/#"#)'-)0)+"2--)-'&#)-+"'?&'%()JfUUK)='5&#")./'+/)/#5?-)&2)?"#$#%&)'%+5E-'2%)2=)&/#)&0"(#&#,)-'&#)16)0)
ful
l
="09#:))D2)/#5?)E-#"-),'-+#"%)&/#)0+&E05)-'&#)+2%&0+&#,7)&/#),290'%)'-)?"#-#%&#,)'%)+2%&"0-&'%()&#>&)="29)
&/#)/2-&%09#)0%,)NB*)J&/#)"#-&)2=)&/#)NBCK:)JH'+"2-2=&7);RRXK
ins
D/#"#)'-)0,,'&'2%05)9#92"6)?"2&#+&'2%)+055#,)a0&0)A>#+E&'2%)!"2&#+&'2%)JaA!K:))D/'-)=E%+&'2%-)
'%)+2%ZE%+&'2%).'&/)&/#)TU:))*%)-E990"67)&/#)I#"%#5)92%'&2"-)?"2("09-)0++#--)&2)9#92"6:))*%)&/#)#$#%&)
eta
&/0&)0)%2%O#>#+E&015#)9#92"6)?0(#)'-)#>#+E&#,)16)0)?"2("097)&/#)I#"%#5)/05&-)#>#+E&'2%)2=)&/0&)
?"2("09:))D/'-)'-)("#0&7)1E&)&'9#).'55)&#55)'=)0)52&)2=)?#2?5#).'55)&E"%)&/'-)2==)2%+#)'&)'%&#"=#"#-).'&/)0)
rr
%##,#,)+0?01'5'&67)2")'%&#"=#"#-).'&/)0)5#(0+6)0??5'+0&'2%)'%)&/#)2"(0%'L0&'2%:)JH'+"2-2=&7);RRXK
tho
D/#)q*%!"'$0&#)\"2.-'%(r)=#0&E"#)#%015#-)"#,E+'%())-&2"0(#)2=)1"2.-'%()/'-&2"6)'%=2"90&'2%:)
F++2",'%()&2)H'+"2-2=&M-).#1-'&#)&/'-)'-)0)1#%#='&)=2")1"2.-'%()2%)E%&"E-&#,)2")?E15'+)+29?E&#"-:))T=)
Au
+2E"-#7)'=)&/#)#%$'"2%9#%&)'-)E%&"E-&#,)'&)'-)?"210156)1#-&)%2&)&2)E-#)&/#)+29?E&#")0%6.06:))[2")I'2-I-)
0%,)-/0"#,).2"I-?0+#-)&/'-)'-)1#&&#")&/0%)/0$'%()&2)+5#0")055)&/#)+22I'#-)0%,)1"2.-#")/'-&2"6)90%E0556:)
09
,
D/#"#)'-)05-2)0)%#.)?"'$0+6)+0?01'5'&6)+055#,)q*%!"'$0&#)['5&#"'%(:r))D/'-)0552.-)+E-&29'L0&'2%)2=)&/#)
Key fingerprint = AF19 FA27 2F94 998D FDB5 DE3D F8B5 06E4 A169 4E46
0++#--)&2),0&0)&/0&)-'&#-)E-#)&2)+2""#50&#)?#"-2%05)'%=2"90&'2%:)JH'+"2-2=&7);RRXK
20
H2"#)'%=2"90&'2%)=2")-?#+'='+)*%&#"%#&)A>?52"#")b)+2%='(E"0&'2%)'-)0$0'5015#)0&)
X+#=O=RYS313Y=+,#
te
/&&?@cc...:9'+"2-2=&:+29c,2.%520,-c,#&0'5-:0-?>l,'-?50650%(s#%t[09'56*asSSSR_]]]O_31SOSY]hO
Ins
titu
*&)'-)1#-&)&2)1#('%).2"I)&2)E?,0&#)&2)*%&#"%#&)A>?52"#")b)&2)&0I#)0,$0%&0(#)2=)&/#)%#.)?"2&#+&'2%-)
0==2",#,)16)&/'-)1"2.-#":
><F<M)
N'"#:2L
D/#);RR])<2%#6%#&)?"2Z#+&)-&E,6)Pi%2.)u2E")A%#96@)H05'+'2E-)Q#1)U#"$#"-P)-&0&#-)&/0&)
NS
&/#"#).#"#)0)/'(/#")%E91#")2=)$E5%#"01'5'&'#-)'%)['"#=2>)&/0%)'%)*%&#"%#&)A>?52"#"7)1E&)&/0&)&/#"#).#"#)
=#.#")+29?"29'-#-)0-)0)"#-E5&)2=)&/#-#)$E5%#"01'5'&'#-)./#%)1"2.-'%()I%2.%)905'+'2E-).#1-'&#-:)
SA
D/#"#).0-)%2)+2%+5E-'2%),#"'$#,)0-)&2)./6)&/'-)'-7)-'%+#)'&),#?#%,-)?0"&'0556)2%)&/#),#+'-'2%)16)&/#)
0&&0+I#")&2)&0"(#&)0)-?#+'='+)?50&=2"9:))D/#)'%=#"#%+#),"0.%)="29)&/#)/2%#6)+5'#%&),0&0)'-)$#"6)
©
'%&#"#-&'%(:))*&)'-)&/0&)0&&0+I#"-)/0$#)0)/'(/#")-E++#--)"0&#)2=)+29?"29'-#)=2")*%&#"%#&)A>?52"#")1#+0E-#)
'&-)E-#")?2?E50&'2%)&#%,-)&2)1#),#='+'#%&)'%)?0&+/#-:)JB',#%7);RR]K
D/#)e2%#-)?0?#")+'&#,)#0"5'#"7)P)\"2.-#")`E5%#"01'5'&6)F%056-'-)2=)*%&#"%#&)A>?52"#")0%,)
4/"'-)4"2.5#67)+"2.5#'(/8(90'5:+29
© SANS Institute 2009,
As part of the Information Security Reading Room
Author retains full rights.
hts
.
!"#$#%&'%()*%+',#%&-).'&/)0)/0",#%#,).#1)1"2.-#")3Y
['"#=2>P)+2""212"0&#-)&/#)<2%#6%#&)?"2Z#+&M-)-&E,6)='%,'%()&/0&)['"#=2>)/0,)92"#)6(-,#$+)&-&*&#')&/0%)
rig
*%&#"%#&)A>?52"#":))D/#)e2%#-M-)?0?#")0%,)&/#)WUU)?0?#"),',%M&)+'&#)&/#)-E++#--)"0&#)2=)905'+'2E-).#1)
-'&#-)'%)#B9-0&*+*&0,%2=)&/#)$E5%#"01'5'&'#-)?"#-#%&:)))D/#)'9?5'+0&'2%)'-)&/0&)1"2.-'%().'&/)['"#=2>)/0-)0)
ful
l
52.#")5'I#5'/22,)2=)"#-E5&'%()'%)0)+29?"29'-#)&/0%)1"2.-'%().'&/)*%&#"%#&)A>?52"#":
['"#=2>)50+I-)&/#)#%&#"?"'-#)5#$#5)0,9'%'-&"0&'2%)+0?01'5'&'#-)2=)F+&'$#)a'"#+&2"6)+2%='(E"0&'2%)
ins
2=)*%&#"%#&)A>?52"#")"#5#$0%&)"#('-&"6)-#&&'%(-:))F5-2)50+I'%()'-)&/#)-E1-&0%&'05)'%$#-&9#%&)'%)
'%="0-&"E+&E"#)16)0%)2"(0%'L0&'2%)5'I#)W*UD)&2)?"2$',#)$05',0&'2%)?"2("09-)=2")'&-)+2%='(E"0&'2%7)
eta
P4E""#%&567)NU)(2$#"%9#%&)U4F!)+2%&#%&)'-)?"'90"'56)=2+E-#,)2%)Q'%,2.-)2?#"0&'%()-6-&#9-:P)
JW`a7);RRXK))W2&#)&/0&)*%&#"%#&)A>?52"#")'-)?0"&)2=)&/#)Q'%,2.-)2?#"0&'%()-6-&#9:
rr
U27)$#%,2")0%,)+299E%'&6)-E??2"&)'-)./0&)'-)0$0'5015#)&2)0--'-&)'%)/0",#%'%()['"#=2>:)
tho
[2"&E%0&#567)&/#"#)'-)0)(22,),#05)2=)&/'-)-E??2"&)0$0'5015#:
D/#)='"-&)&/'%()&2),2)=2")['"#=2>)'%)0%)#%&#"?"'-#)-#&&'%()'-)&2)90%0(#)-?#+'='+)E-#")-#&&'%(-:)
Au
D/#"#)'-)0)9#&/2,)=2")52+I'%()-?#+'='+)E-#")?"#=#"#%+#-:))*&)'%$25$#-),#='%'%()0)-#&)2=)I#6)c)$05E#)?0'"-7)
#%+2,'%()&/#)='5#)0%,)-#&&'%()'&)'%)&/#)0??"2?"'0&#)52+0&'2%).'&/)"#-&"'+&'$#)?#"9'--'2%-)&2)?"2/'1'&)0)E-#")
09
,
="29)92,'=6'%()&/#)-#&&'%(-:))J*5'0-7);RR_K
Key fingerprint = AF19 FA27 2F94 998D FDB5 DE3D F8B5 06E4 A169 4E46
N-#)&/#)NUO4#"&:(2$)-#&&'%(-)=2")['"#=2>:))D/#-#)"#+299#%,0&'2%-).'55)1#),#='%#,)'%)0)=0-/'2%)
20
&/0&)+0%%2&)1#)+/0%(#,)16)'%,'$',E05)E-#"-:))!#")4/"'-)*5'0-M-)'%-&"E+&'2%-)&/#)='"-&)-&#?)'-)&2)+"#0&#)0)&#>&)
='5#7).#M55)+055)'&)52+I!"#=:&>&).'&/)I#6)j)$05E#)?0'"-)2=)&/#)-#&&'%(-)&2)+2%-&"0'%:
te
!!
Ins
titu
!!"#$%&'"()*+,-$./010"2"**
!!34+"56$-$"0)"437$"8)5'()384"9":;2<$-0/%)7
()*+,-$.=>#-)54$-/8)5'()38/?4$@)5'()38@&->A.3(4$BC
!!"-$D$D#$-".)-D4".&(($8"9":;2<$-0/%)7
NS
()*+,-$.=>#-)54$-/.)-D.&((/$'3#($>A".3(4$BC
!!"34+".)-"*))+&$4"9":;2<$-0/%)7
SA
()*+,-$.=>'$05)-+/*))+&$/(&.$0&D$,)(&*E>A"FBC
!!"53-'".)-"388)'"&'403(("9":;2<$-0/%)7
©
()*+,-$.=>1G&'403((/56&0$(&40/-$H?&-$8>A"0-?$BC
!!"8&43#($"I373"9":;2<$-0/%)7
()*+,-$.=>4$*?-&0E/$'3#($JI373A>".3(4$BC
4/"'-)4"2.5#67)+"2.5#'(/8(90'5:+29
© SANS Institute 2009,
As part of the Information Security Reading Room
Author retains full rights.
hts
.
!"#$#%&'%()*%+',#%&-).'&/)0)/0",#%#,).#1)1"2.-#")3S
!!"3?0)D30&*3((E"&'403(("3GG(&*30&)'"?G830$4
()*+,-$.=>3GG/?G830$/3?0)K'403((L'3#($8>A"0-?$BC
rig
!!"D3'3%$"D$8&3".&($"0EG$4
ful
l
D/#-#)-#&&'%(-).'55)1#)52+I#,7)0%,)&/#)E-#")+0%%2&)+/0%(#)&/#9:))*&)'-)#>&"#9#56)'9?2"&0%&)&2)
%2&#)&/0&)52+I'%()-#&&'%(-)'%)['"#=2>),#?#%,-)2%)-6-&#9)?#"9'--'2%-)./'+/)?"2/'1'&)&/#)E-#")="29)
ins
+/0%('%()&/#)'%-&055#,)+2%='(E"0&'2%)='5#-:)))D/#)#%,)2=)&/'-)-#+&'2%)J0=&#")&/#)W2U+"'?&)52+I#,)-#&&'%(-K)
'%+5E,#-),#&0'5-)2=)&/#-#)?#"9'--'2%-:
eta
NUO4#"&M-)-'&#)-E((#-&-)E-'%()W2U+"'?&)=2")("0%E50")-'&#.'-#)+2%='(E"0&'2%)1#+0E-#)W2U+"'?&)
rr
?"2$',#-),#=0E5&),#%6)?2-&E"#)=2")0+&'$#)+2%&#%&)'%)['"#=2>:)*&)'-)0%)#>+#55#%&)?5E('%)1E&)/0-)0%)F+/'55#-)
/##5@)&/#)#%,)E-#")'-)"#GE'"#,)&2)0E&/2"'L#)+2%&#%&:))[2")0%)#%&#"?"'-#).',#),#?5269#%&7)&/#)E-#")&"0'%'%()
tho
"#GE'"#,)&2)#==#+&'$#56),#?526)W2U+"'?&)'%)['"#=2>)+2E5,)1#)#%2E(/)&2)?"2/'1'&)0)%#.),#?5269#%&:))*=)
['"#=2>)'-)05"#0,6)0$0'5015#)'%)62E")#%$'"2%9#%&7)-#"'2E-)+2%-',#"0&'2%)-/2E5,)1#)('$#%)&2),#?526'%()
Au
W2U+"'?&)052%().'&/)'&:))\0-#,)2%)0%)#O90'5)="29)V'2"('2)H02%#7)&/#)0E&/2")0%,)90'%&0'%#")2=)
W2U+"'?&7)&/#"#).'55)5'I#56)1#)0%)#%&#"?"'-#)$#"-'2%)2=)W2U+"'?&)0$0'5015#)-29#&'9#)'%);R3R)JH02%#7)
09
,
?#"-2%05)+299E%'+0&'2%7)W2$#91#")3R7);RRXK:
Key fingerprint = AF19 FA27 2F94 998D FDB5 DE3D F8B5 06E4 A169 4E46
W2U+"'?&)152+I-)e0$0-+"'?&7)[50-/7)e0$07)0%,)2&/#")?5E('%)+2%&#%&)16),#=0E5&:))D/#)E-#")9E-&)
20
#5#+&)&2)&"E-&)0)-'&#7)2")'%)-29#)+0-#-)-?#+'='+)+2%&#%&:))[2")#>09?5#7)+5'+I'%()2%)5'%I)./'+/)2?#%-)0)!a[)
.2E5,)"#-E5&)'%)0)?0(#).'&/)0)50"(#)W2U+"'?&)152+I#,)#5#9#%&:))45'+I)&/#)#5#9#%&7)0552.)'&7)0%,)&/#)
te
1"2.-#")50E%+/#-)&/#)!a[)$'#.#")2=)&/#)-6-&#9:))*&)'-)-'9?5#7)'%&E'&'$#7)0%,)#>&"#9#56)#==#+&'$#:)
Ins
titu
W2U+"'?&)05-2)?"2$',#-)4"2--)U'&#)U+"'?&'%()?"2&#+&'2%)16)152+I'%()'%+5E-'2%)2=)+2,#)="29)0)-'&#)'%&2)0)
W2U+"'?&)&"E-&#,)-'&#:)JH02%#7);RRXK
D/#"#)0"#)0)%E91#")2=)W2U+"'?&M-)2?&'2%-)./'+/)-/2E5,)%2&)1#)+/0%(#,)16)0)"#(E50")E-#":)
PT?&'2%-)j)V#%#"05P)0%,)-#5#+&'%()PU+"'?&-)V5210556)F552.#,)J,0%(#"2E-KP)'-)0)(22,)#>09?5#:))D/#-#)
NS
-/2E5,)1#)0,,#,)&2)2E"),#$#52?'%()52+I!"#=-)='5#:)
!!"')4*-&G0"4G$*&.&*"()*+,-$.
SA
!!".-)D"600GM!!63*+38$D&1/'$0!NOOP!FN!OQ!G(?%&'24$*?-&0E2G(?%2
&'4$*?-&0E!R*)DD$'02NNOS
©
!!"E)?T8"#$00$-"*)GE"06$"4&0$"(&40".-)D"06$"
!!""">*3G3#&(&0E/G)(&*E/D3)')4*-&G0/4&0$4>
!!"""+$E"&'"06$"G-$.4/I4".&($".)?'8"&'"3"0$40"G-).&($
4/"'-)4"2.5#67)+"2.5#'(/8(90'5:+29
© SANS Institute 2009,
As part of the Information Security Reading Room
Author retains full rights.
hts
.
!"#$#%&'%()*%+',#%&-).'&/)0)/0",#%#,).#1)1"2.-#")3_
()*+,-$.=>')4*-&G0/8$.3?(0>A">&'.)-D3*0&)'/*)D"
rig
600GM!!&'.)-D3*0&)'/*)D"600G4M!!&'.)-D3*0&)'/*)D".(346%)0/'$0"600GM!!
.(346%)0/'$0"600G4M!!.(346%)0/'$0"')4*-&G0/'$0"600GM!!')4*-&G0/'$0"
ful
l
600G4M!!')4*-&G0/'$0>BC
()*+,-$.=>')4*-&G0/*01U$'?>A".3(4$BC"
!!"6&8$"4030?4K*)'
eta
()*+,-$.=>')4*-&G0/4030?4K*)'>A".3(4$BC
ins
!!"6&8$"*)'0$10"D$'?
rr
!!"6&8$"')0&.&*30&)'"#3-"
()*+,-$.=>')4*-&G0/')0&.E>A".3(4$BC"
tho
!!"8&43#($"@VU"K'4G$*0)-"3'8"L--)-"<)'4)($"
!!"""=56&*6"D3E"#$"?4$8"0)"G-)%-3DD30&*3((E"?'()*+"06$"G-$.4B
!!"8&43#($"%()#3("4*-&G04
Au
()*+,-$.=>')4*-&G0/()*+,-&7&($%$8:K>BC
09
,
()*+,-$.=>')4*-&G0/46)5W()#3(>A".3(4$BC
Key fingerprint = AF19 FA27 2F94 998D FDB5 DE3D F8B5 06E4 A169 4E46
!!"$'8"()*+,-$."NOOS2FF2OX"**
20
U##)F??#%,'>)F)=2")0%)#0-6)+2?6)c)?0-&#)+2%&#%&)2=)&/'-)='5#:))D/'-)='5#)'-)&/#%)#%+2,#,)E-'%()0)
16&#)-/'=&:))[2")&/'-)?0?#")'&).0-),2%#)E-'%()92LO16&#-/'=&:?57)1E&)+0%)1#)0++29?5'-/#,)16)0)%E91#")2=)
te
2&/#")9#&/2,-:)Ji%0==7);RR_K:))
Ins
titu
Y"/!D)Z2#E0$46&.0/G("24"2F["\"()*+,-$./010"]"D)Z&((3/*.%
D/'-)'-)%2&)0+&E0556)0)"#GE'"#9#%&7)'%)2",#")%2&)&2)E-#)&/#)#%+2,'%()-?#+'='+0&'2%)&/#-#)+/0%(#)
.2E5,)1#)"#GE'"#,)'%)&/#)055:Z-)='5#:)
!!"G-$.=>%$'$-3(/*)'.&%/)#4*?-$J73(?$>A"F[BC
NS
!!".)-"G(3&'"0$10
G-$.=>%$'$-3(/*)'.&%/)#4*?-$J73(?$>A"OBC
SA
D/#)"#-E5&'%()"2&0&#,)='5#)J2")?50'%)&#>&)$#"-'2%K)'-)+2?'#,)&2)&/#)H2L'550),'"#+&2"6)./'+/)=2")
Q'%,2.-)'-)P4@o!"2("09)['5#-o92L'550:2"(oH2L'550o,#=0E5&-o?"#=oP:)D/#)52+0&'2%)2%)C'%E>)$0"'#-7)1E&)
©
E-E0556)'-)PcE-"c5'1c='"#=2>O6#$'&0,cP:))*%)C'%E>)&/'-)='5#)'-),"2??#,)'%)&/#)&2?)2=)&/#)['"#=2>),'"#+&2"67)
%2&)'%)&/#)("#?"#=-)-E1O,'"#+&2"6:))*&)'-)'%+5E,#,)16)0,,'%()&/#)=2552.'%()5'%#)&2)&/#)055:Z-)='5#)'%)&/#)
("#?"#=-)-E1O,'"#+&2"6@
4/"'-)4"2.5#67)+"2.5#'(/8(90'5:+29
© SANS Institute 2009,
As part of the Information Security Reading Room
Author retains full rights.
hts
.
!"#$#%&'%()*%+',#%&-).'&/)0)/0",#%#,).#1)1"2.-#")3h
09
,
Au
tho
rr
eta
ins
ful
l
rig
G-$.=>%$'$-3(/*)'.&%/.&($'3D$>A">D)Z&((3/*.%>BC
20
Key fingerprint = AF19 FA27 2F94 998D FDB5 DE3D F8B5 06E4 A169 4E46
te
H0@&--+%3&*"%P+6+%-017#.%&,%+%.&'+)-#.%'*+*#
*&)'-)#>&"#9#56)'9?2"&0%&)&2)?"2/'1'&)+/0%(#-)&2)055:Z-)0%,)92L'550:+=()16)"#-&"'+&'%()."'&#)
Ins
titu
?#"9'--'2%-)&2)2%56)0,9'%'-&"0&'$#)E-#"-)0%,)("2E?-:))T%)0).'%,2.-)-6-&#97)&/'-)'-),2%#)16)-#5#+&'%()
='5#)?"2?#"&'#-7)0%,)90"I'%()&/#)='5#)"#0,)2%56:))T%)0),290'%)Z2'%#,)-6-&#97)&/#)0,9'%'-&"0&2")("2E?)
-/2E5,)1#)('$#%)."'&#)?#"9'--'2%7)0%,)#$#"62%#)("0%&#,)"#0,)2%56)?#"9'--'2%-:))T%)0)5'%E>)-6-&#97)&/#)
?#"9'--'2%)-/2E5,)1#)"22&)2.%#"-/'?7).'&/)='5#)?#"9'--'2%-)".O"OO"OO)JhSSK:
NS
D/#)&#-&'%()0%,),#?5269#%&)-+#%0"'2-)=2")['"#=2>)-/2E5,)1#)0-)#>&#%-'$#)0-)&/0&),#-+"'1#,)'%)&/#)
*%&#"%#&)A>?52"#")-#+&'2%)012$#:))F%)2"(0%'L0&'2%)0??"2$#,)-&0&#9#%&)2=)./0&)-#&&'%(-)0"#)"#GE'"#,)'-)
SA
='"-&7)-'%+#)&/#)[a44)-&0%,0",-).#"#)05"#0,6),#='%#,)&/0&)=2")*%&#"%#&)A>?52"#")1E&)%2)0E&/2"'&0&'$#)
,2+E9#%&)#>'-&-)=2")['"#=2>:))F)9#&/2,)=2")0E&/2"'L'%(7)'9?5#9#%&'%(7)0%,)&"0+I'%()#>+#?&'2%-)&2)&/#)
©
2"(0%'L0&'2%).',#)-&0%,0",-)'-)"#GE'"#,)0-).0-)&/#)+0-#)=2")*%&#"%#&)A>?52"#":))*9?5#9#%&'%()&/'-)906)
1#)?2--'15#)$'0)V!T7)1E&).2E5,)"#GE'"#)-+"'?&'%()&2)?"2,E+#)0)-E'&015#)52(2%)-+"'?&)&/0&)+2?'#-)&/#)
0??"2?"'0&#)92L'550:+=()'%&2)?50+#:
4/"'-)4"2.5#67)+"2.5#'(/8(90'5:+29
© SANS Institute 2009,
As part of the Information Security Reading Room
Author retains full rights.
hts
.
!"#$#%&'%()*%+',#%&-).'&/)0)/0",#%#,).#1)1"2.-#")3]
U2).#)/0$#)/0",#%#,)&/#)+2%='(E"0&'2%)-#&&'%(-)=2")&/#)1"2.-#":))<2.)#5-#)+0%).#)'-250&#)&/#)
rig
1"2.-#")="29)'9?0+&'%()2E")-6-&#9-l
><M<;)
ful
l
><M)H0-&'2%)H"2.-'%(
A/#)O#L&)E#$#9)'%)!"2&#+&'2%
)qD/#)0,2?&'2%)2=)&/#).#1)1"2.-#")0-)&/#)9#,'E9)&2)?"2$',#)0??5'+0&'2%)0++#--)0%,)*%&#"%#&)
ins
+299E%'+0&'2%)/0-)+29?5#&#56)?#"9#0&#,)&/#)#%&#"?"'-#)+29?E&'%()#%$'"2%9#%&:)r)J\5E#+20&7);RRXK)
eta
T=&#%)0).#1)?"2>6)?"2$',#-)0)&#+/%'+05)+2%&"25)?2'%&)./#"#)+2%&#%&)?0--'%()&/"2E(/)&/#)%#&.2"I)'-)
-E1Z#+&)&2)'%-?#+&'2%)1E&)1"2.-#"-).'&/)*%&#"%#&)0++#--)0"#)90'%&0'%#,)2%)0)"#50&'$#56)50"(#)%E91#")2=)
rr
-6-&#9-:))D/#)&6?'+05)1E-'%#--)ZE-&'='+0&'2%)=2")&/'-)+2%='(E"0&'2%)'-)&/0&)E-#"-)9E-&)+2%%#+&)&2)"#-2E"+#-)
2E&-',#)2=)&/#)2"(0%'L0&'2%)&2)0++29?5'-/)+2"#),E&'#-:))T=)+2E"-#7)?#"-2%05)?"2,E+&'$'&6)'-)05-2)0)
tho
"#GE'"#9#%&)-'%+#)0).2"I)c)5'=#)1050%+#)&#%,-)&2),#?#%,)2%)2%(2'%()0++#--)&2)*%&#"%#&)-'&#-:
D/#)GE#-&'2%)#0+/)2"(0%'L0&'2%)9E-&)+2%-',#")'-)./#&/#")#$#"6).2"I-&0&'2%)'%)&/#)2"(0%'L0&'2%)
Au
0+&E0556)%##,-)0++#--)&2)#>&#"%05)"#-2E"+#-:))*=)&/#)0+&E05)1E-'%#--)"#GE'"#9#%&)'-)0++#--)&2)+2%&#%&)
0$0'5015#)2%)&/#)*%&#"%#&7)*)?"2?2-#)&/0&)055)-6-&#9-),2)%2&)'%,'$',E0556)%##,)0++#--:))B0&/#"7)E-#"-)%##,)
09
,
0).06)&2)"#$'#.)&/#)+2%&#%&:))D/'-)'-)'%)I##?'%().'&/)&/#)+2%+#?&)2=)5#0-&)?"'$'5#(#)j)0++29?5'-/)&/#)
Key fingerprint = AF19 FA27 2F94 998D FDB5 DE3D F8B5 06E4 A169 4E46
'%&#%&7)1E&)%2&/'%()92"#:
20
D/'-)-+#%0"'2)'-)-'9'50")&2)&/#)P"#92&#)0++#--P)-'&E0&'2%)&/0&)92-&)#%$'"2%9#%&-)+E""#%&56)
-E??2"&)=2")#>&#"%05)E-#"-)0++#--'%()#%&#"?"'-#)CFW)"#-2E"+#-:))T%#)2?&'2%)&2)9'%'9'L#)#>?2-E"#)2=)
te
.2"I-&0&'2%)+29?E&#"-)'-)&2)E&'5'L#)0)"#92&#)0++#--)-+#%0"'2)=2")E-#")*%&#"%#&)0++#--:))!0"&'+E50"56)'%)
Ins
titu
#%$'"2%9#%&-)"#GE'"'%()/'(/#")-#+E"'&67)&/'-)-+#%0"'2)?"#-#%&-)0)9#&/2,)=2")#%015'%()E-#"-).'&/)0++#--)
&2)*%&#"%#&)"#-2E"+#-7)1E&)9'%'9'L'%()#>?2-E"#)2=)'%&#"%05)-6-&#9-:
T%#)?"215#9).'&/)&/'-)-+#%0"'2)'-)&/#),#5'$#"6)2=),2.%520,)+2%&#%&)&2)&/#)E-#").2"I-&0&'2%:))[2")
#>09?5#)'=)0%)'%,'$',E05).2E5,)5'I#)&2),2.%520,)0)!a[)='5#7)0)-/0"#)J2")-29#)9#&/2,)2=)0++#--K)="29)
NS
&/#)10-&'2%)/2-&).2E5,)1#)"#GE'"#,)=2")&/#)E-#")&2)0++#--)&/0&),2.%520,#,)='5#:
D/#)1#%#='&)2=)&/'-)+2%='(E"0&'2%)'-)0%)P0'")(0?P)1#&.##%)#%&#"?"'-#).2"I-&0&'2%-)0%,)&/#)
SA
*%&#"%#&:))F%)0,,'&'2%05)1#%#='&)'-)'%)0,,"#--'%()&/#)UUC)'%-?#+&'2%)'--E#:))D/#)+2%='(E"0&'2%)+"#0&#-)0)
-'%(5#)&#"9'%0&'2%)?2'%&)2=)UUC)&"0=='+:))D/'-)9#0%-)&/0&)055)2&/#")#%+"6?&#,)&"0=='+)2%)&/#).2"I-&0&'2%)
©
?2"&'2%)2=)&/#)%#&.2"I)906)1#)-E-?#+&:
><M<>)
5=""#%&)52CC#"+'09)H0-&'2%)C#&/2,-
D/#"#)0"#)9E5&'?5#)0$0'5015#)+299#"+'05)-25E&'2%-)./'+/)?"2$',#)&/'-)+0?01'5'&6:))<!7)
4/"'-)4"2.5#67)+"2.5#'(/8(90'5:+29
© SANS Institute 2009,
As part of the Information Security Reading Room
Author retains full rights.
hts
.
!"#$#%&'%()*%+',#%&-).'&/)0)/0",#%#,).#1)1"2.-#")3b
U690%&#+7)0%,)H2L'550)?"2$',#)0)PH2L'550)['"#=2>)=2")<!)`'"&E05)U25E&'2%:P))D/'-)'-)#--#%&'0556)0)
rig
+/"22&#,)['"#=2>)./'+/)"E%-).'&/'%)U2=&.0"#)`'"&E05'L0&'2%)U25E&'2%)JU`UK:))D/'-)E&'5'L#-)&/#)
'%,'$',E05).2"I-&0&'2%)0-)&/#)/2-&)"E%%'%()&/#)1"2.-#":))JU690%&#+7);RRXK
ful
l
F%2&/#")#>09?5#7)4'&"'>)F++#--)V0&#.06)J4FVK)+2E5,)1#)+2%='(E"#,)&2)?"2$',#)&/'-)&6?#)2=)
0++#--:))D/#)+E""#%&)'%&#%&)=2")4FV)'-)&2)?"2$',#)0++#--)&2)+2"?2"0&#)"#-2E"+#-)="29)2E&-',#)&/#)
ins
+2"?2"0&#)%#&.2"I:))\E&7)&/#"#)'-)%2)"#0-2%)&/0&)&/#)+2%='(E"0&'2%)2=)%#&.2"I)-?0+#-)+2E5,)%2&)1#)
'%$#"&#,)J="29)&/#)-&0%,0",)?#"-?#+&'$#)2=)4FV)'9?5#9#%&0&'2%K)&2)0552.)0++#--)&2)&/#)*%&#"%#&)="29)
eta
&/#)'%&#"%05)+2"?2"0&#)%#&.2"I:))F)=E55),#-I&2?)#%$'"2%9#%&)=2").#1)1"2.-'%()'-)?"210156)2$#"I'557)0-)'&)
.2E5,)+2%=E-#)E-#"-)012E&)./'+/),#-I&2?)&/#6)0"#)+E""#%&56)2?#"0&'%(:))\E&7)#>#+E&'2%)2=)&/#)1"2.-#")
rr
10-#,)UUC)`!W)-#--'2%)="29)&/#),#-I&2?)&2)&/#)4FV7)0%,)4FV)#>#+E&'2%)2=)&/#)1"2.-#")./'+/)
tho
0+&E0556)+2%%#+&-)2E&)0==2",-)0)+#%&"05'L#,)?50+#)=2")&/#)2"(0%'L0&'2%)&2)90%0(#)0%,)/0",#%).#1)
1"2.-#"-:))D/#)4'&"'>),#$'+#).2E5,)90?)0),"'$#)=2")#0+/)E-#")./2)+2%%#+&-)7)&/'-)'-)05-2)0)+0?01'5'&6)2=)
Au
&/#)4FV:))D/#)E-#").2"I-&0&'2%).2E5,)90?)&/0&)-09#),"'$#7)0%,)"#-2E"+#-),2.%520,#,).2E5,)1#)
"#0,'56)0$0'5015#:))*9?5#9#%&0&'2%).2E5,)'%+5E,#)='"#.055)152+I-)=2")055)2E&12E%,)<DD!)0%,)<DD!U)
09
,
J&+?)?2"&-)bR)0%,)SSY)"#-?#+&'$#56K)#>+#?&)="29)&/#)4FV:))J4'&"'>7);RRXK
Key fingerprint = AF19 FA27 2F94 998D FDB5 DE3D F8B5 06E4 A169 4E46
D/#"#)0"#)-29#)?"215#9-).'&/)&/'-:))['"-&7)'&)'-)0,0?&'%()0)&225)="29)'&-)'%'&'05)'%&#%,#,)E-#:)
20
UE"#56)4'&"'>).2E5,)-E??2"&)&/#)'9?5#9#%&0&'2%7)1E&)'&).2E5,)&0I#)+E-&29'L0&'2%)0%,),#$#52?9#%&:)
D/0&)#GE0&#-)&2)&'9#7)./'+/)#GE0&#-)&2)92%#6:))F,,'&'2%05)+2-&)'-)&/#)5'+#%-'%()&/'-)-2=&.0"#)="29)
te
4'&"'>7)0-).#55)0-)/0",.0"#)&2)"E%)'&:))A>?#%,'&E"#)ZE-&'='+0&'2%).2E5,)21$'2E-56)1#)"#GE'"#,)&2)-#55)&/#)
Ins
titu
',#0)&2),#+'-'2%)90I#"-)'%)&/#)2"(0%'L0&'2%:))
*90('%#7)'=)62E).'557)&/#)#5#$0&2")-?##+/)=2")&/'-)?"2?2-05:))qD/#)',#0)'-)&2)5'+#%-#)4FV)=2")055)
2E&12E%,)+2%%#+&'2%-:r))D/#)"#-?2%-#)9'(/&)1#7)q\E&).#),2%M&)/0$#)&2)?06)0%6&/'%()&2)+2%%#+&)&/#)
.2"I-&0&'2%-)%2.7)0%,).#)05"#0,6)2.%).#1)1"2.-#"-:r
NS
D/#)#>?#%-#)ZE-&'='+0&'2%).2E5,)#%&0'5)0)?"2?2-#,)"#,E+&'2%)'%)'%+',#%&-7)0%,)&/#)0--2+'0&#,)
"#,E+&'2%)'-)+2-&)=2")"#9#,'0&'%()&/2-#)'%+',#%&-:))D/#)+2-&-)0%,)52--)"#,E+&'2%).2E5,)1#)#%$'"2%9#%&)
SA
-?#+'='+:))C2--)#>?#+&0%+6)0%,)&/#)+2-&)2=)0),0&0)1"#0+/7)?"#$'2E-56)9#%&'2%#,)'%)&/#)'%&"2,E+&'2%7)0"#)
(22,)='(E"#-)=2"),#+','%()./0&)-#+E"'&6)9#0-E"#-)-/2E5,)1#)&0I#%:))D/#"#)906)1#)5#--)#>?#%-'$#)
©
0??"20+/#-)./'+/)0++29?5'-/)&/#)-09#)?"2&#+&'2%:
><M<D)
E2.)52-&)H0-&'2%)C#&/2,
F)52.)+2-&)$#"-'2%)2=)0)10-&'2%)1"2.-#")/2-&).2E5,)1#)0)C'%E>)-#"$#")"E%%'%()H2L'550)1"2.-#"-)
4/"'-)4"2.5#67)+"2.5#'(/8(90'5:+29
© SANS Institute 2009,
As part of the Information Security Reading Room
Author retains full rights.
hts
.
!"#$#%&'%()*%+',#%&-).'&/)0)/0",#%#,).#1)1"2.-#")3X
,'-?506#,)2%).2"I-&0&'2%-)$'0)f).'%,2.-:))D/'-)-#"$#").2E5,)05-2)"E%)0)UH\)-#"$#")J2")W[U)=2")0)
rig
N%'>).2"I-&0&'2%)#%$'"2%9#%&K)-2)&/0&)+5'#%&-)+0%)90?),"'$#-)&2)&/#),2.%520,-),'"#+&2"6:))D/#)92E%&-)
-/2E5,)1#)90??#,).'&/)%2)#>#+E&015#)?#"9'--'2%-7)0%,)4509F`)2")-'9'50")C'%E>)10-#,)0%&'O$'"E-)
ful
l
-/2E5,)1#)#9?526#,)&2)'%-?#+&)&/#)='5#-)1#'%(),#5'$#"#,:
D/'-)/0-)&/#)1#%#='&)2=)+2%+#%&"0&'%()-#+E"'&6)?25'+6)'%&2)0)-'%(5#)/2-&7)0-)'%)&/#)4FV)9#&/2,)
ins
,'-+E--#,)012$#:))A>&#%-'$#)/0",#%'%(7)90%,0&2"6)0++#--)+2%&"25)$'0)UAC'%E>)=2")#>09?5#7)+0%)1#)
><M<F)
*%,'$',=09)G2"P-&0&'2%)H0-&'2%)C#&/2,
eta
0??5'#,:)JB#,)<0&7);RRXK
F)-'9?5#).06)&2),#+"#0-#)&/#)5'I#5'/22,)2=)0)/2-&)+29?"29'-#)'-)&2)?"2$',#)0)506#")1#&.##%)&/#)
rr
/2-&)0%,)&/#)*%&#"%#&:))F%)'%#>?#%-'$#).06)&2)"#?5'+0&#)&/#)U`U)2==#"'%().2E5,)1#)&2)#-&015'-/)0)`'"&E05)
tho
\2>)$'"&E05)90+/'%#)2%)&/#)/2-&)0%,)"E%)&/#).#1)1"2.-#")'%)'&:))JUE%)H'+"2-6-&#9-7);RRXK
D/'-)'-)2%56)"#+299#%,#,)-#5#+&'$#56).'&/'%)&/#)#%&#"?"'-#)#%$'"2%9#%&7)-'%+#)'&).2E5,)1#)
Au
5012"'2E-)&2)90'%&0'%)0%,).2E5,)"#GE'"#)E-#")&"0'%'%(:))<2.#$#"7)50?&2?-)2=)/'(/)$05E#)&0"(#&-)0%,)E-#"-)
.'&/)"'-I6)1"2.-'%()1#/0$'2").2E5,)1#)(22,)+0%,',0&#-)=2")&/'-)-25E&'2%)'%)&/#)01-#%+#)2=)0)+#%&"05'L#,)
09
,
1"2.-#")?"2>6)-#"$#":))!"2$',#)0)+/#+I)?2'%&)&2)"#$#"&)&/#)$'"&E05)-6-&#9)&2)0)I%2.%)(22,)-&0&#)0=&#")
Key fingerprint = AF19 FA27 2F94 998D FDB5 DE3D F8B5 06E4 A169 4E46
#0+/).#1)1"2.-'%()-#--'2%:))*=)%#+#--0"67)?"2$',#)0),"'$#)90?)1#&.##%)&/#)$'"&E05)-6-&#9)0%,)&/#)/2-&)
20
-6-&#9:))*=)&/'-)'-),2%#7)#>#+E&015#)?"2("09-)-/2E5,)1#)?"2/'1'&#,)="29)#>#+E&'%()2%)&/#)/2-&)-6-&#9)
="29)&/#)90??#,),"'$#:
te
D"0'%)&/#)E-#")2%)/2.)&2)-&0"&)&/#)$'"&E05)-6-&#9)0%,)E&'5'L#)0)-2?/'-&'+0&#,)/2-&)10-#,)='"#.055)
Ins
titu
./'+/)?"2/'1'&-)2E&12E%,)+2%%#+&'2%-)2%)D4!)?2"&-)bR)0%,)SSY)=2")055)0??5'+0&'2%-7)#>+#?&)`'"&E05)
\2>:
D<)52%+9=-'2%-
NS
*%)+2%+5E-'2%7)&/#)&/"#0&)&2).#1)1"2.-#"-)'-)-#$#"#)+E""#%&56:)))[50.-)'%)&/#)1"2.-#"-)0%,)=50.-)
'%)1"2.-#")?5E('%-)0"#)%E9#"2E-)0%,)2=)/'(/)'9?0+&:))D/#"#)'-)#>&#%-'$#),2+E9#%&0&'2%7)(2$#"%9#%&)
SA
-E??2"&7)0%,)'%,E-&"6)E&'5'&'#-)=2")+2%='(E"'%()*%&#"%#&)A>?52"#")="29)0%)#%&#"?"'-#)?#"-?#+&'$#:))*%&#"%#&)
A>?52"#")-/2E5,)1#)&/#)92-&)-#+E"#)1"2.-#")10-#,)2%)$E5%#"01'5'&6),0&0:))<2.#$#")'&)'-)92"#)5'I#56)&2)
©
1#)-E++#--=E556)#>?52'&#,)0%,)"#-E5&)'%)-6-&#9)+29?"29'-#)&/0%)['"#=2>)0++2",'%()&2)2%#)-&E,6:)
['"#=2>)/0-)-29#)#%&#"?"'-#)5#$#5)52+IO,2.%)+0?01'5'&6)0%,)'&-)-#+E"'&6)?2-&E"#)'-)-E1-&0%&'0556)
#%/0%+#,)16)&/#)W2U+"'?&)0,,2%:))\"2.-#")$'"&E05'L0&'2%7)1#)'&),'"#+&56)2%)&/#).2"I-&0&'2%)2")$'0)0)
4/"'-)4"2.5#67)+"2.5#'(/8(90'5:+29
© SANS Institute 2009,
As part of the Information Security Reading Room
Author retains full rights.
hts
.
!"#$#%&'%()*%+',#%&-).'&/)0)/0",#%#,).#1)1"2.-#");R
rig
+#%&"05'L#,)-#"$'+#)'-)5'I#56)&2)1#)&/#)%#>&)-&#?)=2")#%&#"?"'-#)-#+E"'&6)&2)?"2&#+&)'&-)#%$'"2%9#%&:
F<)Q#:#"#%+#-
ful
l
F,21#)42"?2"0&'2%)J;RRXK:))U#+E"'&6)1E55#&'%-)0%,)0,$'-2"'#-:)B#&"'#$#,)T+&21#");h7);RRX7)="29)/&&?@cc
...:0,21#:+29c-E??2"&c-#+E"'&6cv=50-/?506#"
ins
F,21#)42"?2"0&'2%)J;RRbK:))K0,4&:($#%&,*#$,#*%#B9-0$#$%0$%OFQ%*0%.&'9-+/%=IC%4&-#':))B#&"'#$#,)
T+&21#");h7);RRX7)="29)/&&?@ccI1;:0,21#:+29c+?-cYY3cYY3R;_:/&95
eta
F59#7)4/"'-&2?/)J;RRXK:))R#)%)$03'#$'M%+,%#2#$:&,:%9-+*40$2%(,.#$%+**+17:))B#&"'#$#,)T+&21#");h7)
;RRX7)="29)/&&?@cc%#.-"229:9+0=##:+29c'90(#-c3RRYXc.?d.#1.d1"2.-#"-d.d#%:?,=
tho
rr
\0I#"7)Q0,#)<:)J;RRXK:))STTU%I+*+%)$#+1"%&,6#'*&:+*&0,'%$#90$*8%B#&"'#$#,)W2$#91#")3S7);RRX7)="29)
/&&?@cc...:$#"'L2%1E-'%#--:+29c"#-2E"+#-c-#+E"'&6c"#?2"&-c;RRXd,0&01"#0+/d"?:?,=
Au
\#&Z5'+/7)B'+/0",)J;RRXK:))L03%2(1"%*0%'9#,.%0,%.&:&*+-%'#1($&*/8%B#&"'#$#,)W2$#91#")3S7);RRX7)="29)
/&&?@cc&02-#+E"'&6:152(-?2&:+29c;RRXcRhc/2.O9E+/O&2O-?#%,O2%O,'('&05O-#+E"'&6:/&95
09
,
\5E#)420&)U6-&#9-7)*%+))J;RR]K:))D0-(*&0,%)$&#4M%+11#-#$+*&,:%DDQ%+99-&1+*&0,'%+1$0''%*"#%ROV:)
B#&"'#$#,)T+&21#");h7);RRX7)="29)/&&?@cc...:15E#+20&:+29c,2+cbRR
Key fingerprint = AF19 FA27 2F94 998D FDB5 DE3D F8B5 06E4 A169 4E46
20
\5E#)420&)U6-&#9-7)*%+)J;RR]K:)D#1($#%+,.%+11#-#$+*#%3#)%+99-&1+*&0,'%+,.%9()-&1%3#)'&'*#'M%)-(#%
10+*%DW%40$%$#6#$'#%9$0B/8%B#&"'#$#,)T+&21#");h7);RRX)="29)/&&?@cc...:15E#+20&:+29c,2+chbR
te
\2%(7)i#$'%)J;RR]K:)A29-0/##%&,*#$,#*%('#%20,&*0$&,:%+,.%4&-*#$&,:%90-&1/:)B#&"'#$#,)T+&21#");h7)
;RRX7)="29)/&&?@cc...:-0%-:#,Ec"#-2E"+#-c-&E,#%&d?"2Z#+&-c;RR]33dRRS:?,=
Ins
titu
4'&"'>7)*%+:)J;RRXK:)O11#''%:+*#3+/%+.6+,1#.%#.&*&0,%.#-&6#$'%&,,06+*&6#%+99-&1+*&0,%'#1($&*/8%
B#&"'#$#,)W2$#91#")3S7);RRX7)="29)/&&?@cc...:+'&"'>:+29cA%(5'-/c?-;c?"2,E+&-c=#0&E"#:0-?l
+2%&#%&*as;h3SY:
NS
4299'--'2%)2=)&/#)AE"2?#0%)4299E%'&'#-)J;RRSK:))KFHH?DD?FV%IAK?D?FV%04%SX8TY8STTY%$#-+*&,:%
*0%+%9$01##.&,:%(,.#$%+$*&1-#%ES%04%*"#%AK%*$#+*/%ZK+'#%KFH=[K\X[X]\]US%H&1$0'04*^:)
B#&"'#$#,)T+&21#");h7);RRX7)="29)
/&&?@cc#+:#E"2?0:#Ec+29?#&'&'2%c0%&'&"E-&c+0-#-c,#+'-'2%-cY]]X;c#%:?,=
SA
4"EL7)H0+I#6)J;RRbK:)H0'*%+)('#.%&,4#1*&0,%6#1*0$:)B#&"'#$#,)T+&21#");h7);RRX7)="29)
/&&?@cc152(:&"#%,9'+"2:+29c92-&O01E-#,O'%=#+&'2%O$#+&2"c
©
4#%L'+)J;RRXK:)%K#,@&1%3#)%+99-&1+*&0,%'#1($&*/%*$#,.'%$#90$*%'"03'%&,1$#+'#%&,%"+17#$%+**+17'%0,%3#)%
'&*#'%#B9-0&*&,:%4+(-*'%&,%909(-+$%3#)%)$03'#$'%+,.%'04*3+$#8%B#&"'#$#,)W2$#91#")3S7);RRX7)
="29)/&&?@cc...:#0"&/&'9#-:2"(c0"&'+5#-c-/2.c+#%L'+O.#1O0??5'+0&'2%O-#+E"'&6O
&"#%,-73RYSXhb:-/&95
4/"'-)4"2.5#67)+"2.5#'(/8(90'5:+29
© SANS Institute 2009,
As part of the Information Security Reading Room
Author retains full rights.
hts
.
!"#$#%&'%()*%+',#%&-).'&/)0)/0",#%#,).#1)1"2.-#");3
ful
l
rig
a2"90%7)Q'55)J;RR_K:))_(-,#$+)&-&*/%,0*#%_`aS]XSbS%2(-*&9-#%3#)%)$03'#$'%6(-,#$+)-#%*0%'9004&,:%
6&+%&,*#$,+*&0,+-&@#.%.02+&,%,+2#%'(990$*:)B#&"'#$#,)T+&21#");h7);RRX7)="29)
/&&?@cc...:I1:+#"&:2"(c$E5-c',c;]Y;h;
ins
A$0%-7)i0"#%)J;RRbK:)H\TE\SS%H#20$+,.(2%40$%*"#%1"&#4%&,40$2+*&0,%044&1#$':)B#&"'#$#,)T+&21#");h7)
;RRX7)="29)/&&?@cc...:./'&#/2E-#:(2$c291c9#92"0%,0c=6;RRbc9RbO;;:?,=
<0""'-7)U/2%)J;RR_K:)O--%&,%0,#%K?DD=%#B+2%:(&.#8%A9#"6$'55#@)H+V"0.O<'55cT-12E"%#)
eta
<'&-5'%I7)*%+)J;RRXK:))H+$7#*%'"+$#%40$%)$03'#$'<%09#$+*&,:%'/'*#2'%+,.%'#+$1"%#,:&,#':)B#&"'#$#,)
T+&21#");h7);RRX7)="29)/&&?@cc90"I#&-/0"#:/'&-5'%I:+29c"#?2"&:0-?>lG?"',sR
tho
rr
*5'0-7)4/"'-)J;RR_K:)Q017&,:%20@&--+%4&$#40B%'#**&,:':)B#&"'#$#,)T+&21#");h7);RRX7)="29)
/&&?@cc'5'0-:+0c152(c;RR_cRYc52+I'%(O92L'550O='"#=2>O-#&&'%(-c
Au
e2%#-7)e#=="#6)J;RR]K:))G$03'#$%6(-,#$+)&-&*/%+,+-/'&'%04%&,*#$,#*%#B9-0$#$%+,.%4&$#40B:)B#&"'#$#,)
T+&21#");h7);RRX7)="29)/&&?@cc':L,%#&:+29c152(-c'#O='"#=2>O$E5%O0%056-'-:?,=
09
,
i%0==7)F50'%)J;RR_K:)O(*02+*&1%20@&--+%10,4&:($+*0$:)B#&"'#$#,)T+&21#");h7);RRX7)="29)
/&&?@cc...:050'%:I%0==:5Ec/2.&2cH2L'5504E-&29'L0&'2%c52+I#,:/&95
Key fingerprint
= AF19 FA27 2F94 998D FDB5 DE3D F8B5 06E4 A169 4E46
i%0==7)F50'%)J;RR_K:))20@\)/*#'"&4*89-:)B#&"'#$#,)T+&21#");h7);RRX7)="29)
20
/&&?@cc...:050'%:I%0==:5Ec/2.&2cH2L'5504E-&29'L0&'2%c92LO16&#-/'=&:?5
te
i2L'257)a2E()J;RRSK:)!"#%'"#--10.#$;'%"+,.)007M%.&'106#$&,:%+,.%#B9-0&*&,:%'#1($&*/%"0-#':)
*%,'0%0?25'-@)Q'5#6)!E15'-/'%(7)*%+:
Ins
titu
C#92-7)B21#"&)J;RR3K:))H&1$0'04*%3+$,'%04%"&c+17#.%1#$*&4&1+*#':))B#&"'#$#,)T+&21#");h7);RRX7)="29)
/&&?@cc%#.-:+%#&:+29c;3RRO3RR3O;_S_bh:/&95t&0(s&?d?"
H0-&#%1"22I7)\"'0%)J;RRXK:)D+4+$&%NDD%6(-,#$+)&-&*/M%3"+*%3#,*%3$0,:d:)B#&"'#$#,)T+&21#");h7);RRX7)
="29)/&&?@cc1"'0%:90-&#%1"22I:%#&c,'-?506c;b
NS
H02%#7)V'2"('2)J;RRXK:)V0D1$&9*%e%c+6+'1$&9*[c+6+[4-+'"%)-017#$%40$%+%'+4#$%4&$#40B%#B9#$&#,1#f:)
B#&"'#$#,)T+&21#");h7);RRX7)="29)/&&?@cc%2-+"'?&:%#&c
SA
H#557)!#&#")J;RRXK:)D#1($&*/%10,*#,*%+(*02+*&0,%9$0*010-%ZDKO=^%6#$'&0,%g8T%6+-&.+*&0,%9$0:$+2%*#'*%
$#5(&$#2#,*'%ZINOC!^:))V0'&/#"-1E"(@)W0&'2%05)*%-&'&E&#)2=)U&0%,0",-)0%,)D#+/%252(6
©
H'+"2-2=&)42"?2"0&'2%)J;RRYK:)K$#+*&,:%+%9&-0*%9-+,8)B#&"'#$#,)W2$#91#")h7);RRX7)="29)
/&&?@cc&#+/%#&:9'+"2-2=&:+29c#%OE-c5'1"0"6c++]b3h_XJQU:3RK:0-?>
H'+"2-2=&)42"?2"0&'2%)J;RRXK:)?,*#$,#*%#B9-0$#$%EM%4#+*($#':)B#&"'#$#,)T+&21#");h7);RRX7)="29)
)/&&?@cc...:9'+"2-2=&:+29c.'%,2.-c'%&#"%#&O#>?52"#"c=#0&E"#-c-0=#":0-?>l&01s3)))
4/"'-)4"2.5#67)+"2.5#'(/8(90'5:+29
© SANS Institute 2009,
As part of the Information Security Reading Room
Author retains full rights.
hts
.
!"#$#%&'%()*%+',#%&-).'&/)0)/0",#%#,).#1)1"2.-#");;
rig
H'+"2-2=&)42"?2"0&'2%)J;RRXK:)?,*#$,#*%#B9-0$#$%E%e%.+*+%#B#1(*&0,%9$0*#1*&0,%[,B:)B#&"'#$#,)T+&21#")
;h7);RRX7)="29)/&&?@cc9-,%:9'+"2-2=&:+29c#%OE-c5'1"0"6c,,Y]3]YRJ`U:b_K:0-?>
ins
ful
l
H'92-27)H'+/0#5)J;RRXK:)>+2&,'7/%&,*#$6&#3M%IVDDAK%+..$#''#'%1$0''\0$:+,&@+*&0,+-%*$('*%+,.%
'#1($&*/:)B#&"'#$#,)T+&21#");h7);RRX7)="29)/&&?@cc-#0"+/-#+E"'&6:&#+/&0"(#&:+29c%#.-c'%&#"$'#.c
R7;bX;R;7-',3Sd(+'3YhR3SY7RR:/&95
eta
H2L'550)[2E%,0&'2%)J;RRXK:))O..\0,'%40$%4&$#40B:)B#&"'#$#,)W2$#91#")h7);RRX7)="29)
/&&?-@cc0,,2%-:92L'550:2"(c#%ONUc='"#=2>c
rr
D/#)H*DBA)42"?2"0&'2%)J;RRXK:)KRA\XbSM%N+1#%10,.&*&0,:)B#&"'#$#,)T+&21#");h7);RRX7)="29)
/&&?@cc+.#:9'&"#:2"(c,0&0c,#='%'&'2%-cYh;:/&95
tho
WUU)C01-7)*%+)J;RRXK:)R#)%)$03'#$%'#1($&*/%*#'*%\%'01&+--/%#,:&,##$#.%2+-3+$#%9$0*#1*&0,%
1029+$+*&6#%*#'*%$#'(-*':)B#&"'#$#,)T+&21#");h7);RRX7)="29)/&&?@cc%--501-:+29c&#-&O"#?2"&-cWUU
k;RC01-k;R\"2.-#"k;RU#+E"'&6k;RD#-&k;ROk;RU2+'0556k;RA%('%##"#,k;RH05.0"#:?,=
Au
W0&'2%05)`E5%#"01'5'&6)a0&010-#)J;RRXK:)K"#17-&'*%.#*+&-'%40$%CIKK%?A]%g8S:)B#&"'#$#,)T+&21#");h7)
;RRX7)="29)/&&?@cc.#1:%$,:%'-&:(2$c$'#.c%+?c"#?2-'&2"6c+/#+I5'-&a#&0'5l',s3]R
09
,
W0&'2%05)`E5%#"01'5'&6)a0&010-#)J;RRXK:)V+*&0,+-%1"#17-&'*%9$0:$+2%$#90'&*0$/:)B#&"'#$#,)W2$#91#")
Key fingerprint
= AF19 FA27 2F94 998D FDB5 DE3D F8B5 06E4 A169 4E46
h7);RRX7)="29)/&&?@cc.#1:%$,:%'-&:(2$c$'#.c%+?c"#?2-'&2"6
20
W0&'2%05)`E5%#"01'5'&6)a0&010-#)J;RRXK:)D#1($&*/%10,*#,*%+(*02+*&0,%9$0*010-%6+-&.+*#.%9$0.(1*':)
B#&"'#$#,)2%)33cRhc;RRX)="29)/&&?@cc%$,:%'-&:(2$c-+0??"2,E+&-:+=9v-+0??"2,E+&-
Ins
titu
te
!/'55'?-7)a0$',)J;RRbK:)H+-3+$#%&,%*"#%6&$*(+-%30$-.:)B#&"'#$#,)T+&21#");h7);RRX7)="29)
/&&?@cc.#19#,'0:+29?0%6:Z0:%#&c+2%&#%&c,2+E9#%&-c-/0"#,c%#&.2"I-/2?RbRSRbc?/'55'?-O
905.0"#'%&/#$'"&E05.2"5,:?,=
!2"&2%67)F0"2%)J;RR]K:)O.0)#%4-+'"%9-+/#$%P=W%9$01#''&,:%"#+9%06#$4-03%6(-,#$+)&-&*/:)B#&"'#$#,)
T+&21#");h7);RRX7)="29)/&&?@cc,$501-:&'??'%(?2'%&:+29c0,$'-2"6cD!D*OR]O;3
SA
NS
!"E'&&OH#%&5#7)a0$'%0)J;RRbK:))STTE%V+*&0,+-%1/)#$#*"&1'<%1/)#$'+4#*/<%1/)#$'#1($&*/%)+'#-&,#%'*(./:)
B#&"'#$#,)T+&21#");h7);RRX7)="29)/&&?@cc...:./'&#/2E-#:(2$c='5#-c,2+E9#%&-c+61#"cW0&'2%05
k;R461#"k;RU#+E"'&6k;RF55'0%+#k;ROk;R;RRbk;RW0&'2%05k;R461#"#&/'+-7
k;R461#"-0=#&67k;R461#"-#+E"'&6k;R\0-#5'%#k;RUE"$#6d33d3SdRbd['%05:?,=
©
B#,)<0&7)*%+)J;RRXK:)?,*$0.(1*&0,%*0%DAQ&,(B8%)B#&"'#$#,)W2$#91#")3S7);RRX7)="29)
/&&?@cc...:"#,/0&:+29c,2+-c#%ONUcB#,d<0&dA%&#"?"'-#dC'%E>c_c/&95ca#?5269#%&dVE',#c+/O
-#5'%E>:/&95
B',#%7)e09'#)J;RR]K:)>,03,%/0($%#,#2/M%2+-&1&0('%3#)%'#$6#$':))B#&"'#$#,)T+&21#");h7);RRX7)="29)
/&&?@cc...:/2%#6%#&:2"(c%2,#c3_S
4/"'-)4"2.5#67)+"2.5#'(/8(90'5:+29
© SANS Institute 2009,
As part of the Information Security Reading Room
Author retains full rights.
hts
.
!"#$#%&'%()*%+',#%&-).'&/)0)/0",#%#,).#1)1"2.-#");Y
rig
UFWU)*%-&'&E&#)J;RRXK:)DOVDM%?,40$2+*&0,%'#1($&*/%90-&1/%*#29-+*#':))B#&"'#$#,)T+&21#");h7);RRX7)
="29)/&&?@cc...:-0%-:2"(c-#+E"'&6O"#-2E"+#-c?25'+'#-c
ful
l
U2&'"2$7)F5#>0%,0")J;RRXK:))HIJ%10,'&.#$#.%"+$24(-%*0.+/M%1$#+*&,:%+%$0:(#%KO%1#$*&4&1+*#:)B#&"'#$#,)
T+&21#");h7);RRX7)="29)/&&?@cc...:.'%:&E#:%5c/0-/+50-/c"2(E#O+0c
ins
UE%)H'+"2-6-&#9-7)*%+:)J;RRXK:)F9#,%'0($1#%.#'7*09%6&$*(+-&@+*&0,8%%B#&"'#$#,)W2$#91#")3S7);RRX7)
="29)/&&?@cc...:-E%:+29c-2=&.0"#c?"2,E+&-c$'"&E0512>c
eta
U690%&#+)42"?2"0&'2%)J;RRXK:)R#-102#%*0%H0@&--+%C&$#40B%40$%L=%_&$*(+-%D0-(*&0,':)B#&"'#$#,)T+&21#")
;h7);RRX7)="29)/&&?@cc...:-690%&#+:+29c$'"&E05='"#=2>c.#5+29#:Z-?
tho
rr
`#"'-'(%7)*%+)J;RRXK:)C0$2%gT\h%40$%6#$&'&:,%&,1[KO:))B#&"'#$#,)T+&21#");h7);RRX7)="29)
/&&?@cc1'L:60/22:+29c#cRXRbRhc$"-%3ROG:/&95
Au
`#"'-'(%7)*%+)J;RRXK:)I&:&*+-%?I%+%)$&#4%06#$6&#3:)B#&"'#$#,)T+&21#");h7);RRX7)="29)
/&&?@cc...:$#"'-'(%:+29c-&0&'+cRR_Y;h:?,=
09
,
`EI'+#$'+7)`50,'9'")J;RRXK:)H0@&--+%40(,.+*&0,%'#1($&*/%+.6&'0$/%STTU\bY%Z1$#.&*%40$%#B9-0&*^:)
B#&"'#$#,)T+&21#");h7);RRX7)="29)/&&?@cc...:92L'550:2"(c-#+E"'&6c0%%2E%+#c;RRXc9=-0;RRXO
hS:/&95)
Key fingerprint = AF19 FA27 2F94 998D FDB5 DE3D F8B5 06E4 A169 4E46
20
Q#-&#"$#5&7)B21#"&)J;RRXK:)IVDDAK%.#9-0/2#,*%1"+--#,:#'%1+,%)#%06#$102#:)B#&"'#$#,)T+&21#");h7)
;RRX7)="29)
/&&?@cc-#0"+/-#+E"'&6:&#+/&0"(#&:+29c%#.-c'%&#"$'#.cR7;bX;R;7-',3Sd(+'3Yh]X3_7RR:/&95
Ins
titu
te
Q/'&#)<0&)U#+E"'&6)J;RRXK:)R"&*#L+*%3#)'&*#%'#1($&*/%'*+*&'*&1%$#90$*:)B#&"'#$#,)T+&21#");h7);RRX7)
="29)/&&?@cc...:./'&#/0&-#+:+29c/29#c0--#&-cQ!-&0&-d-?"'%(RXd]&/:?,=
Q'5-2%7)H0"I)J;RRYK:)G(&-.&,:%+,%&,40$2+*&0,%*#1",0-0:/%'#1($&*/%+3+$#,#''%+,.%*$+&,&,:%9$0:$+28%
V0'&/#"-1E"(@)W0&'2%05)*%-&'&E&#)2=)U&0%,0",-)0%,)D#+/%252(6:
4II#%,'L)4)R)92+P!"#:<&L&
NS
!!"
!!"#$%&'"()*+,-$./010"2"**"
!!34+"56$-$"0)"437$"8)5'()384"9":;2<$-0/%)7"
SA
()*+,-$.=>#-)54$-/8)5'()38/?4$@)5'()38@&->A.3(4$BC"
!!"-$D$D#$-".)-D4".&(($8"9":;2<$-0/%)7"
©
()*+,-$.=>#-)54$-/.)-D.&((/$'3#($>A".3(4$BC"
!!"34+".)-"*))+&$4"9":;2<$-0/%)7"
()*+,-$.=>'$05)-+/*))+&$/(&.$0&D$,)(&*E>A"FBC"
!!"53-'".)-"388)'"&'403(("9":;2<$-0/%)7"
4/"'-)4"2.5#67)+"2.5#'(/8(90'5:+29
© SANS Institute 2009,
As part of the Information Security Reading Room
Author retains full rights.
hts
.
!"#$#%&'%()*%+',#%&-).'&/)0)/0",#%#,).#1)1"2.-#");S
()*+,-$.=>1G&'403((/56&0$(&40/-$H?&-$8>A"0-?$BC"
rig
!!"8&43#($"I373"9":;2<$-0/%)7"
()*+,-$.=>4$*?-&0E/$'3#($JI373>A".3(4$BC"
ful
l
!!"D3'3%$"D$8&3".&($"0EG$4"
!!"3?0)D30&*3((E"&'403(("3GG(&*30&)'"?G830$4"
()*+,-$.=>3GG/?G830$/3?0)K'403((L'3#($8>A"0-?$BC"
ins
!!"')4*-&G0"4G$*&.&*"()*+,-$."
!!".-)D"600GM!!63*+38$D&1/'$0!NOOP!FN!OQ!G(?%&'24$*?-&0E2G(?%2&'4$*?-&0E!R*)DD$'02
NNOS"
eta
!!"E)?T8"#$00$-"*)GE"06$"4&0$"(&40".-)D"06$"
!!""">*3G3#&(&0E/G)(&*E/D3)')4*-&G0/4&0$4>"
rr
!!"""+$E"&'"06$"G-$.4/I4".&($".)?'8"&'"3"0$40"G-).&($"
!!"6&8$"*)'0$10"D$'?"
Au
()*+,-$.=>')4*-&G0/*01U$'?>A".3(4$BC"
tho
()*+,-$.=>')4*-&G0/8$.3?(0>A">&'.)-D3*0&)'/*)D"600GM!!&'.)-D3*0&)'/*)D"
600G4M!!&'.)-D3*0&)'/*)D".(346%)0/'$0"600GM!!.(346%)0/'$0"600G4M!!.(346%)0/'$0"
')4*-&G0/'$0"600GM!!')4*-&G0/'$0"600G4M!!')4*-&G0/'$0>BC"
!!"6&8$"4030?4K*)'"
!!"6&8$"')0&.&*30&)'"#3-"
09
,
()*+,-$.=>')4*-&G0/4030?4K*)'>A".3(4$BC"
Key fingerprint = AF19 FA27 2F94 998D FDB5 DE3D F8B5 06E4 A169 4E46
()*+,-$.=>')4*-&G0/')0&.E>A".3(4$BC"
20
!!"8&43#($"@VU"K'4G$*0)-"3'8"L--)-"<)'4)($"
!!"""=56&*6"D3E"#$"?4$8"0)"G-)%-3DD30&*3((E"?'()*+"06$"G-$.4B"
()*+,-$.=>')4*-&G0/()*+,-&7&($%$8:K>BC"
te
!!"8&43#($"%()#3("4*-&G04"
Ins
titu
()*+,-$.=>')4*-&G0/46)5W()#3(>A".3(4$BC"
!!"$'8"()*+,-$."NOOS2FF2OX"**"
NS
4II#%,'L)H)R)1J&#)-/':&#,)C2S'990<+:(
>>^>>R:_`a3RJ#bc<$_de%+%R"Rbb^>>f.cRIg_$_R%#R.f&_Rh#I3J#fh.R^4^Rij"X_$%e
`#&^J#bc<$_dRR:$#I._"
SA
$eh#I3J#fhe6._P#I3J#fhPa$RRdfJ._R/^>>R$_k_k:_$Rd#$k.RdaJJ_hR^4^Rij"X_$%e
`#&^J#bc<$_dRR:$#I"
©
._$ed#$kdaJJe_3f:J_RRRdfJ._R/^>>Rf.cRd#$Rb##ca_.R^4^Rij"X_$%e`#&^J#bc<$_dRR3_%I#$ce
b##ca_eJ"
ad_%ak_<#Jab(RRRYR/^>>RIf$3Rd#$Rfhh#3Ra3.%fJJR^4^Rij"X_$%e`#&^J#bc<$_dRR+*a3.%fJJeIga
%_Ja.%e"
$_86a$_hRRR%$6_R/^>>Rha.f:J_Rlf&fR^4^Rij"X_$%e`#&^J#bc<$_dRR._b6$a%(e
4/"'-)4"2.5#67)+"2.5#'(/8(90'5:+29
© SANS Institute 2009,
As part of the Information Security Reading Room
Author retains full rights.
hts
.
!"#$#%&'%()*%+',#%&-).'&/)0)/0",#%#,).#1)1"2.-#");_
_3f:J_mlf&fRRRdfJ._R/"
rig
f3f`_Rk_hafRdaJ_R%(*_.^>>Rf6%#kf%abfJJ(Ra3.%fJJRf**Jabf%a#3R6*hf%_.^J#bc<$_dRRf**e
6*hf%_e"
ful
l
f6%#\3.%fJJn3f:J_hRRR%$6_R/^>>R3#.b$a*%R.*_badabRJ#bc<$_d^>>Rd$#kRg%%*2>>gfbcfh_ka+e
3_%>o"
_RJa.%Rd$#kR%g_R^>>RRRRbf*f:aJa%(e*#Jab(ekf#3#.b$a*%e
.a%_.R^>>RRRc_(Ra3R%g_R*$_d.el.RdaJ_Rd#63hRa3"
ins
RRp>Yo>R=>*J6`a3"._b6$a%("*J6`"a3._b6$a%(>Rb#kk_3%"ooRA^>>R(#6^4^hR:_%%_$Rb#*(R%g_R.a
%"
eta
RfR%_.%R*$#daJ_^>>J#bc<$_dRR3#.b$a*%eh_df6J%RRRRa3d#$kfb%a#3eb#kRg%%*2>>a3d#$kfb%a#3e
b#kRg%"
%*.2>>a3d#$kfb%a#3eb#kRdJf.g`#%e3_%Rg%%*2>>dJf.g`#%e3_%Rg%%*.2>>dJf.g`#%e3_%R3#.b$a*"
rr
%e3_%Rg%%*2>>3#.b$a*%e3_%Rg%%*.2>>3#.b$a*%e
3_%RR/^>>Rgah_Rb#3%_+%Rk_36^J#bc<$_dRR3#.b$a*%"
tho
eb%+q_36RRRdfJ._R/R^>>Rgah_R.%f%6.\b#3^J#bc<$_dRR3#.b$a*%e
.%f%6.\b#3RRRdfJ._R/^>>Rgah_R3#%adabf"
%a#3R:f$R^J#bc<$_dRR3#.b$a*%e
3#%ad(RRRdfJ._R/R^>>Rha.f:J_RPrqR\3.*_b%#$Rf3hRn$$#$RX#3.#J_R^>>RRRRIga"
Au
bgRkf(R:_R6._hR%#R*$#`$fkkf%abfJJ(R63J#bcR%g_R*$_d.R^J#bc<$_dRR3#.b$a*%e
J#bc<$a&aJ_`_hi\RRRdfJ"
09
,
._R/^>>Rha.f:J_R`J#:fJR.b$a*%.^J#bc<$_dRR3#.b$a*%e
.g#IMJ#:fJRRRdfJ._R/^>>R_3hRJ#bc<$_dRoRRA"Y"
©
SA
NS
Ins
titu
te
20
Y"RBRbb"
Key fingerprint
= AF19 FA27 2F94 998D FDB5 DE3D F8B5 06E4 A169 4E46
4/"'-)4"2.5#67)+"2.5#'(/8(90'5:+29
© SANS Institute 2009,
As part of the Information Security Reading Room
Author retains full rights.
Last Updated: October 1st, 2016
Upcoming SANS Training
Click Here for a full list of all Upcoming SANS Events by Location
SANS Seattle 2016
Seattle, WAUS
Oct 03, 2016 - Oct 08, 2016
Live Event
SANS Oslo 2016
Oslo, NO
Oct 03, 2016 - Oct 08, 2016
Live Event
SANS Baltimore 2016
Baltimore, MDUS
Oct 10, 2016 - Oct 15, 2016
Live Event
SANS Tokyo Autumn 2016
Tokyo, JP
Oct 17, 2016 - Oct 29, 2016
Live Event
SANS Tysons Corner 2016
Tysons Corner, VAUS
Oct 22, 2016 - Oct 29, 2016
Live Event
SANS San Diego 2016
San Diego, CAUS
Oct 23, 2016 - Oct 28, 2016
Live Event
SOS SANS October Singapore 2016
Singapore, SG
Oct 24, 2016 - Nov 06, 2016
Live Event
SANS FOR508 Hamburg in German
Hamburg, DE
Oct 24, 2016 - Oct 29, 2016
Live Event
SANS Munich Autumn 2016
Munich, DE
Oct 24, 2016 - Oct 29, 2016
Live Event
Pen Test HackFest Summit & Training
Crystal City, VAUS
Nov 02, 2016 - Nov 09, 2016
Live Event
SANS Sydney 2016
Sydney, AU
Nov 03, 2016 - Nov 19, 2016
Live Event
SANS Gulf Region 2016
Dubai, AE
Nov 05, 2016 - Nov 17, 2016
Live Event
DEV534: Secure DevOps
Nashville, TNUS
Nov 07, 2016 - Nov 08, 2016
Live Event
SANS Miami 2016
Miami, FLUS
Nov 07, 2016 - Nov 12, 2016
Live Event
European Security Awareness Summit
London, GB
Nov 09, 2016 - Nov 11, 2016
Live Event
DEV531: Defending Mobile Apps
Nashville, TNUS
Nov 09, 2016 - Nov 10, 2016
Live Event
SANS London 2016
London, GB
Nov 12, 2016 - Nov 21, 2016
Live Event
Healthcare CyberSecurity Summit & Training
Houston, TXUS
Nov 14, 2016 - Nov 21, 2016
Live Event
SANS San Francisco 2016
San Francisco, CAUS
Nov 27, 2016 - Dec 02, 2016
Live Event
SANS Hyderabad 2016
Hyderabad, IN
Nov 28, 2016 - Dec 10, 2016
Live Event
MGT517 - Managing Security Ops
Washington, DCUS
Nov 28, 2016 - Dec 02, 2016
Live Event
ICS410@Delhi
New Delhi, IN
Dec 05, 2016 - Dec 09, 2016
Live Event
SANS Cologne
Cologne, DE
Dec 05, 2016 - Dec 10, 2016
Live Event
SEC 560@ SANS Seoul 2016
Seoul, KR
Dec 05, 2016 - Dec 10, 2016
Live Event
SANS Dublin
Dublin, IE
Dec 05, 2016 - Dec 10, 2016
Live Event
SANS Cyber Defense Initiative 2016
Washington, DCUS
Dec 10, 2016 - Dec 17, 2016
Live Event
SANS Amsterdam 2016
Amsterdam, NL
Dec 12, 2016 - Dec 17, 2016
Live Event
SANS Frankfurt 2016
Frankfurt, DE
Dec 12, 2016 - Dec 17, 2016
Live Event
SANS DFIR Prague 2016
OnlineCZ
Oct 03, 2016 - Oct 15, 2016
Live Event
SANS OnDemand
Books & MP3s OnlyUS
Anytime
Self Paced
Related documents
FINANCE COMMITTEE REPORT Thursday, January 21, 2016
FINANCE COMMITTEE REPORT Thursday, January 21, 2016
Download
advertisement