Sunday, May 13, 2007

Second of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Three Wise Men

I just blogged about a new podcast by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first of my Three Wise Men, namely Marcus Ranum. My second of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Three Wise Men for today is Dan Geer. I just noticed his testimony to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Subcommittee on Emerging Threats, Cybersecurity, and Science and Technology last month has been published. This is anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r must-heed collection of smart ideas. Brian Krebs summarized cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 hearing in his story Nation's Cyber Plan Outdated, Lawmakers Told. Dr. Geer's testimony included this gem:

I urge cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Congress to put explaining cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 past, particularly for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 purpose of assigning blame, behind itself. Demanding report cards, legislating under cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 influence of adrenaline, imagining that cybersecurity is an end racá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r than merely a means — all cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se and more inevitably prolong a world in which we are procedurally correct but factually stupid.

Amen. Also:

Information security is perhaps cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 hardest technical field on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 planet. Nothing is stable, surprise is constant, and all defenders work at a permanent, structural disadvantage compared to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attackers. Because cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 demands for expertise so outstrip cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 supply, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 fraction of all practitioners who are charlatans is rising. Because cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 demands of expertise are so difficult, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 training deficit is critical. We do not have cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time to create, as if from scratch, all cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 skills required. We must steal
cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m from ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r fields where parallel challenges exist.


I wonder if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 fraction of all practitioners with CISSP certifications is rising too?

The opposition is professional. It is no longer joyriders or braggarts. Because of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 sheer complexity of modern, distributed, interdigitated, networked computer systems, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 number of hiding places for unwanted software and unwanted visitors is very large.

The complexity, for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 most part, comes from competitive pressure to add feature-richness to products; cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re is no market-leading product where one or a small group of people knows it in its entirety, and components from any pervasive system tend to be used and re-used in ways that even cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir designers did not anticipate.

Were cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re no attackers, this would be a miracle of efficiency and goodness. But unlike any ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r industrial product, information systems are at risk not from accident, not from cosmic radiation, and not from clumsy operation but from sentient opponents. The risk is not, as some would blicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ly say, “evolving” if by evolving cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 speaker means to invoke cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 course of Nature. The risk is due to intelligent design, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re is nothing random about it.


This is why one cannot legislate "security" for computers as one could try to legislate "safety" for automobiles. If people were crushing cars with boulders off bridges, shooting out car windows with AK-47s, or running over cars with tanks, no one would be blaming car manufacturers. They would (rightly!) be blaming cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 threats, as we should be doing with software and digital intruders.

I could easily cite cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 entire published testimony. Please read it.

3 comments:

Anonymous said...

What do you mean with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 CISSP comment interjection? Do I detect a cheap shot?

Richard Bejtlich said...

My history of thought on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 CISSP.

Anonymous said...

I know your thoughts on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 matter but I still think it was a cheap shot.