Tuesday, August 07, 2007

Kung Fu Wisdom on Threats

Given cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 seriousness of my last post, I though some words of wisdom from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 great Kwai Chang Caine would improve everyone's mood. Consider a scene from Kung Fu.

Caine is talking to an Amish man who says "When someone hits me with a stick, I have three choices: I can hit him back, I can let him hit me again, or I can run away.” Caine replies with a fourth option: "You can take cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 stick away from him."

The unspoken element of Caine's reply is that you can peacefully disarm an opponent, which may require Shaolin-like skill. Most people do not have such skills and are stuck with one of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 three previous options.

None of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se work approaches for digital security.

  1. If you hit cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 intruder back, unless he's incapacitated he remains ready for anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r attack. If you do knock out one of his drones, he activiates number two of ten thousand.

  2. If you let him attack again, you lose a second time. The threat is also free to hit again.

  3. If you run away by disconnecting from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 network, you lose all cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 network's benefits.

  4. Taking away cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 stick (perhaps by criminalizing "hacker tools") only punishes law-abiding citizens. If you do peacefully shut down a drone, again he activates number two of ten thousand.


The answer to this problem is you apprehend cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 criminal for assault, prosecute, and incarcerate. "Rehabilitation" is nice, but at least for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 duration of his prison time he can't hurt those outside prison. You may enjoy a deterrence effect, although this is debatable. Regardless, this is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 only way to deal with a threat once it has obtained evil capabilities and intentions. (You can argue for shaping cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 threat's life such that those evil capabilities and intentions are not reached, but that's an issue for social scientists.)

It's all about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 risk equation: Risk = Asset value * Vulnerability * Cost

  • No one is deploying worthless assets.

  • 30+ years of trying to develop resources that are vulnerability-free has failed.

  • Only cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 threat component has a chance to be reduced, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365reby reducing overall risk (assuming it outpaces cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 asset and vulnerability categories, which is problematic still).

11 comments:

Anonymous said...

What about not allowing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 stick to hurt you? IPS, Firewalls, network setup, selinux, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 list can go on for miles can negate any damage done or at least severely limit it.

Something akin to wearing armour in your metaphor.

Richard Bejtlich said...

Anonymous,

Ah, nice idea. I think cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attacker's response would be to find a bigger stick.

Anonymous said...

Richard,

I really have enjoyed your past few posts. A couple of things have come to mind:

A better risk model would help you straighten out your thoughts and identify opportunities to increase defense. risk != value * vulnerability * cost. Racá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r, risk = probable frequency of loss events & probable magnitude of loss.

That said, loss events happen (frequency = 1) when we have a threat event (contact & action by a threat agent) and are vulnerable to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 threat (cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 strength of our controls <= cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 strength of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attackers skills & resources).

If we cannot significantly increase cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 strength of our controls beyond cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 capability of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 threat agent, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n we can only hope to reduce cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 contact and action by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 threat. Reducing contact involves many concepts, including obscurity. We may not have that luxury. Reducing action of a threat agent involves reducing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir perceived level of effort, risk to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m (probability and impact of getting caught), and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 perceived value of successful action.

Anyhow, great stuff,cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 last few articles, and I hope cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 new job is treating you well.

Anonymous said...

Richard,

Your answer is similar to a beefed up version of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 fourth option.

By jailing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 bad guy, you are taking away cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 stick from him (no access to his tools/vectors/etc.) and potentially any bigger stick he might try to hit you with.

But jail doesn't prevent everything. How about he "transfers" cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 stick to someone else, outside of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 jail? Too remote a risk to consider?

So one might want to develop stick-resistance and stick-avoidance techniques as well as apprehend cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 criminal. And since security cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ater is now considered a viable option, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 victim may try to carry something and/or put on an attitude that might fool potential stick-carriers seeking harm.

Anonymous said...

Hi Richard,

How about holding software vendors partially responsible? Dealing with threats is basically out of range unless you're a government or intelligence agency. The next best thing would be to hold software vendors responsible for poorly written apps. From one of your previous entries, you mentioned PlugBoy from Black Hat. Clearly cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 vendor should be held responsible. It's not impossible to write secure code (or at least very good code). Just look at qmail or even IIS 6. It can be done. If software vendors had to pay per vulnerability found in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir products and how widely used cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir products are, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y'd take security a lot more seriously. However, since vendors can basically get away with what cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y want, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y'll do whatever it takes to be cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first to ship, even if it means selling products that are bug-ridden. Just my $0.02 worth.

jbmoore said...

Richard,

A variation of taking away his stick peacefully is egress filtering and filtering in general. Most worms propagate via tftp. Windows doesn't need tftp installed by default since cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 OEMs image cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 hard drives directly I'm guessing. ISP's could filter outbound traffic and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 tftp traffic internally. They do this anyway to limit BitTorrent and ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r high bandwidth traffic, but worm or botnet traffic doesn't affect cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m directly, so cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re's no incentive to protect cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir clients or ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r ISPs. Until you catch cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 guy, he's still wielding cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 stick and doing damage. The solutions are cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re, but companies are lazy and some governments are profiting from this crime as havens and Western governments are more worried about terrorism.

Anonymous said...

"30+ years of trying to develop resources that are vulnerability-free has failed."

I disagree. You actually think companies try and develop vulnerability-free software? Now I know you are smarter cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n that! They don't do it because cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y don't have to. There is no disadvantage to not and plenty of advantages to get cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 software out cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re.

The answer is exactly what Bruce Schneier has been stating for ages. Make cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 software companies legally and financially responsible for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir software. That will do it. As soon as you make cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m responsible, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n it will force it. Every company I've consulted for, reacts when money / legal issues are against cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m.

-mike

Anonymous said...

Richard writes:
>It's all about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 risk equation:
> Risk = Asset value * Vulnerability * Cost

Hmmmm... Let's see: Asset value is really an unknown. We can make guesses about it but it's a range between "we underestimated" and "whoops! we completely forgot to factor in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 value of Joe's Patent that he was working on that wound up being blown by his blog posting." And Vulnerability - hmmm... well, that's totally an unknown. We can make guesses, of course. And Cost? How do we compute that? What we paid or what it's worth? In ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r words, mostly a guess.

So what our risk equation looks like is:
Risk = A wild-ass guess X a number we picked out of our butts X an extrapolation

I am digging this new science of Risk Management!!! It sounds like nothing but Bullsh*t with rounding errors


mjr./Marcus Ranum

Richard Bejtlich said...

Hi Marcus,

I agree with you. I don't advocate assigning numbers to any of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 factors (although for demonstration purposes I did do that in my first book -- won't happen again!) However, I like cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 concept of breaking out risk into asset, threat, and vulnerability components, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n determining whecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r risk increases or decreases if you hold two variables constant and change cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 third.

Anonymous said...

I absolutely agree that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 incarceration of criminals is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 only way to lessen cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 sheer volume of criminal attacks on our networks. For a recent news story about how good old detective work, not any fancy technical techniques, caught a ring of credit card thieves see this blog post by F-Secure: http://www.f-secure.com/weblog/archives/archive-082007.html#00001247

Sandra Kay Miller said...

I have plenty of Amish neighbors who wouldn't think twice about beating cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 living daylights out of anyone who hit cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m with a stick. Stereotypes are just as deceptive, regardless of who you are pigeon-holing.