Before continuing I should mention a few items relating to my previous posts. First, I forgot to say that I enjoyed presenting my talk on Tuesday afternoon. Many attendees stayed to ask questions. I ended up leaving cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 room about 45 minutes after my briefing ended.
Second, Nitesh Dhanjani asked me to mention his O'Reilly articles on Firefox anti-phishing and launching attacks through Tor.
Third, in his talk Nitesh referenced his article Googling for Vulnerabilities, which includes a PHP script. He also reminded cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 crowd of Foundstone's SiteDigger tool.
Now, on to new material. I finished Wednesday's briefings by listening to Ira Winkler, a fellow ex-intelligence professional. I highly recommend that those of you who give me grief about "threats" and "vulnerabilities" listen to what Mr. Winkler has to say. First, he distinguishes between those who perform security functions and those who perform counter-intelligence. The two are not cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same. Security focuses on vulnerabilities, while counter-intelligence focus on threats. He said if an asset does not expose a vulnerability, no threat can damage it. If no threat exists, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n a vulnerability cannot be exploited. This sort of discussion is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 reason we need to understand cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 difference between cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se two terms, which Mr. Winkler said are often "confused." Amen.
Mr. Winkler presented cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 risk equation as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following: risk = asset value * (threat * vulnerabilities)/countermeasures. I like that since it is essentially asset value * threat * vulnerabilities, with a denominator of countermeasures. Since my version doesn't explicitly address countermeasures, I intend to add that in future references to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 risk equation.
Speaking of real threats, he gave a few examples. I believe cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y are found in his books, but I am not sure. I am repeating what he said, so I hope no one is offended by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se remarks. They simply represent some of what is happening in corporate America today. Mr. Winkler described a Chinese restaurant located across cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 street from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 research and development lab of a Fortune 5 company. That company hires many people of Chinese descent. He said that restaurant featured exceedingly good food, of better quality and cheaper price than might be found in China itself.
The restaurant is operated by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Chinese government, or associates of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Chinese government. They staff cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 restaurant with operatives who try to befriend patrons from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 R&D lab. Guess why cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 restaurant is happy to host company luncheons where cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 R&D lab discusses upcoming projects? Their meeting rooms are bugged. Mr. Winkler said this sort of corporate espionage is nothing new, and that we all need to understand that this is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 way cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 game is played. He also said he knows people who have cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 job of "drinking people under cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 table" in order to get cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m to talk about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir companies.
Mr. Winkler advised that companies conduct security awareness training that emphasizes cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se points:
- A company's information has value.
- Competitors will try to steal it.
- Employees should report anything suspicious.
- Security staff should make employees aware of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 countermeasures cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y deploy to mitigate risk.
After talking about corporate espionage, Mr. Winkler explained how he and an accomplice were hired to steal plans to nuclear reactors from an American company. He started cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 operation by visiting a nearby restaurant. He searched through a bowl of business cards left by patrons at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 front desk, and kept one from an employee of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 company he was hired to penetrate. Using that business card, he and his accomplice were able to acquire corporate badges from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 target company. They set cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365mselves up as special assistants to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 president of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 company.
They next traveled to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 facility that was responsible for designing nuclear power plants. He didn't even need his badge to enter cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 grounds, because cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 guard was waving everyone through cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 gate. Mr. Winkler asked where he could find cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 graphics and printing department. Why visit cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 engineering crew when you could get cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same diagrams from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 people who print cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m?
After spending half a day walking around asking cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 location of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 team that printed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 nuclear plant proposal, he found cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 right office. The employees let Mr. Winkler sit at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir computers, where he proceeded to acquire cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 IP address of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 server hosting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 plans. He left and passed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 information to his accomplice, who had set himself up in an empty office with intranet connectivity. After downloading cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 target plans, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 pair noticed unauthorized access to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 server from computers in India. As confirmed by this story, Mr. Winkler suspects cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 users of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Indian computers stole reactor plans and ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r sensitive data from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 target company.
I found Mr. Winkler's talk highly informative, blunt, and disturbing. It was definitely worthwhile.
2 comments:
Do you have a blog post about your definitions of threat and vulnerability?
I think I found what I was looking for:
http://taosecurity.blogspot.com/2005/05/risk-threat-and-vulnerability-101-in.html
Post a Comment