Thursday, August 16, 2007

Breach Pain

Several stories involving companies victimized by intruders came to light at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same time. It's important to remember not to blame cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 victim, like cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 fool editor at Slashdot implied by writing Contractor Folds After Causing Breaches. The company in question, Verus Inc., didn't "cause breaches" -- it suffered cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m. Some bad guy stealing data caused cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 breaches. Read Medical IT Contractor Folds After Breaches at Dark Reading for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 details.

New details on TJX came to light this week in stories like TJ Maxx Breach Costs Soar by Factor of 10 (Company had to absorb $118M of losses in Q2 alone) and The TJX Effect. The second article says this:

Poorly secured in-store computer kiosks are at least partly to blame for acting as gateways to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 company's IT systems, InformationWeek has learned. According to a source familiar with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 investigation who requested anonymity, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 kiosks, located in many of TJX's retail stores, let people apply for jobs electronically but also allowed direct access to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 company's network, as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y weren't protected by firewalls. "The people who started cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 breach opened up cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 back of those terminals and used USB drives to load software onto those terminals," says cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 source. In a March filing with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Securities and Exchange Commission,TJX acknowledged finding "suspicious software" on its computer systems.

The USB drives contained a utility program that let cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 intruder or intruders take control of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se computer kiosks and turn cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m into remote terminals that connected into TJX's networks, according to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 source. The firewalls on TJX's main network weren't set to defend against malicious traffic coming from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 kiosks, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 source says. Typically, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 USB drives in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 computer kiosks are used to plug in mice or printers. The kiosks "shouldn't have been on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 corporate LAN, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 USB ports should have been disabled," cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 source says.


You can expect me to advocate detection and rapid response, and I'm curious what this will produce: DARPA seeks innovations in network monitoring. Why isn't it "innovations in stopping attacks?" Because that doesn't work.

7 comments:

H. Carvey said...

You can expect me to advocate detection and rapid response...

Sure, without a doubt. However, many of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 organizations that contact third party incident responders are simply unprepared to do eicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r. Detection comes from some outside source, and any "response" that takes place ends up destroying valuable data (ie, evidence).

B.K. DeLong said...

You say:

The company in question, Verus Inc., didn't "cause breaches" -- it suffered cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m. Some bad guy stealing data caused cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 breaches.

I think it would be one thing had cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 thief done some fairly fancy footwork to break into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Verus network. However, according to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 article, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y "forgot" to turn a firewall back on.

Sure cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 analogy could be made of a door being left unlocked but I'm quite sure cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 companies that trusted Verus to manage cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir information services also had some sort of reasonable expectation that security was in place. Forgetting to turn a firewall back on? Pretty big faux pas.

John Ward said...

Sounds like design flaws. Kiosks connected to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 corporate network should be treated as outward facing web servers, since cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y are publicly accessible. Saying Kiosks whose sole purpose it to accept employment applications shouldn't send that data to HR pretty much defeats cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 purpose of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 kiosks to begin with. More or less a few design flaws come to light... why run full operating systems for a kiosk with that functionality when a Thin Client would be just as effective. Running a full OS such as Windows or Linux with a full blown USB Stack that includes unrestricted access to USB Mass Storage devices is just asking for trouble. Hell, even off cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 shelf products like Device Lock can be configured to prevent access to devices on a role basis. Of course, this is all said in hindsight, and we all know cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 old saying about hindsight. While I agree that monitoring would have definitly minimized loss, this was a serious oversight on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 part of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 designers.

Anonymous said...

IIRC, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y set aside 118M for losses. That doesn't mean cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 $ have actually been (or will ever be) spent.

All cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se numbers, BTW, are after taxes. In pre-tax terms, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y are much larger.

Unknown said...

Remember:

Strictly speaking it wasn't TJX's data that was stolen. It was cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir customer's.

They were just keeping it and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y were negligent in doing so.

Its not nice to attack a victim but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n again, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 shop is not going to suffer because of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 breach. Their customers are. And since cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 world is watching what happens to TJX cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y must be made to help those whose data cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y lost so it doesn't happen again. (Wishful thinking, I know. But at least cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re must be incentives for large companies to protect data which which cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y have been entrusted.)

Anonymous said...

As technology improves, so will mechanisms by which hackers are able to compromise sensitive data.

There is no way to completely prevent cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se incidences and so regardless of what new strategies are implemented, data breaches will continue to create tremendous costs for organizations who host sensitive information on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir database.

It seems cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re needs to be a greater effort by organizations to implement more efficient response systems that allow cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 consumer to become aware of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 incident sooner than later. This would at least limit those liabilities and aid in consumer retention.

Anonymous said...

As long as security remains in a reactive stance and does nothing to correct cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 inherent design flaws of systems, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 industry had better hope that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y can detect attacks quickly enough to prevent disaster.

Since detection is getting harder and harder, (according cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 DARPA piece), cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 case for deny-by default environments inside cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 network grows stronger.