Monday, November 03, 2008

The Best Cyber-Defense...

I've previously posted Taking cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Fight to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Enemy and Taking cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Fight to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Enemy, Revisited. I agreed with sentiments like cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following, quoted in my posts:

The best defense against cyberattacks on U.S. military, civil and commercial networks is to go on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 offensive, said Marine Gen. James Cartwright, commander of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Strategic Command (Stratcom), said March 21 in testimony to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 House Armed Services Committee.

“History teaches us that a purely defensive posture poses significant risks,” Cartwright told cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 committee. He added that if “we apply cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 principle of warfare to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 cyberdomain, as we do to sea, air and land, we realize cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 defense of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 nation is better served by capabilities enabling us to take cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 fight to our adversaries, when necessary, to deter actions detrimental to our interests...”


I found this idea echoed in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 book Enemies: How America's Foes Steal Our Vital Secrets--and How We Let It Happen by Bill Gertz which I mentioned in Counterintelligence: Worse Than Security?. The author argues that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 best way to protect a nation's intelligence from enemies is to attack cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 adversary's intelligence services. In ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r words, conduct aggressive counterintelligence to find out what cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 enemy knows about you. When you know what cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 enemy knows about you, you fight a more informed battle. You may even be able to alter his perception of you, and avoid a fight altogecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r.

I think Joe Stewart's latest post, Tracking Gimmiv, illustrates this point very well. Joe isn't a .mil or .gov operative, so he can't bomb anyone or put cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m in jail. He can conduct research operations, however, to learn cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 truth about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 enemy's capabilities. Joe writes:

On October 23, 2008, Microsoft released an out-of-cycle emergency patch for a flaw in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Windows RPC code. The reason for this unusual occurance was cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 discovery of a “zero-day” exploit being used in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 wild by a worm (or trojan, depending on how you look at it). The announcement of a new remote exploit for unpatched Windows systems always raises tension levels among network administrators. The fact that this one was already being used by a worm evoked flashbacks of Blaster and Sasser and ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r previous threats that severely impacted cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 networked world.

But, unlike cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se past worms, Gimmiv turned out to have infected scarcely any networks at all...

Because of some mistakes made by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 author(s) of Gimmiv, third parties were able to download cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 logfiles of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Gimmiv control server. Although most of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 logs is AES-encrypted, we were able to find cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 key hardcoded in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Gimmiv binary and decrypt cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data.

Although it has been reported that Gimmiv is a credential-stealing trojan, this functionality is actually not used - cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 gacá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365red data is never sent. What is sent is simply basic system information, such as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Windows version, IP and MAC address, Windows install date/time and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 default system locale. Using this data we were able to track exactly how many computers had been infected prior to October 23rd (after this time infection counts are somewhat skewed due to malware researchers all over cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 world investigating Gimmiv). As it turns out, only around 200 computers were infected since cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time Gimmiv was actively deployed on September 29, 2008...

Additionally, a zip file left behind on one of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 control servers contained Korean characters in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 compressed folder name. For cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se two reasons, we believe Gimmiv’s author is probably from South Korea.
(emphasis added)


Joe took cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 fight to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 enemy. This is what most malware researchers do; cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y infiltrate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 adversary's systems to figure out what is happening. This isn't a task for novices, but it does yield excellent results.

Joe's work isn't strictly counterintelligence, since he is probably not opposing a foreign intelligence service. Speaking of counterintelligence, I noticed this August article New Unit of DIA Will Take cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Offensive On Counterintelligence about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Defense Counterintelligence and Human Intelligence Center:

The Defense Intelligence Agency's newly created Defense Counterintelligence and Human Intelligence Center is going to have an office authorized for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first time to carry out "strategic offensive counterintelligence operations," according to Mike Pick, who will direct cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 program...

In strategic offensive counterintelligence operations, a foreign intelligence officer is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 target, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 main goals most often are "to gacá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r information, to make something happen . . . to thwart what cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 opposition is trying to do to us and to learn more about what cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y're trying to get from us," [Toby] Sullivan [director of counterintelligence for James R. Clapper Jr., cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Undersecretary of Defense for Intelligence] said.
(emphasis added)

I found cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 transcript of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 news conference contained this section mentioning cyber:

Q: Could you talk about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 threats that you guys are sort of arrayed against? I’m thinking China has got to be high on your list. They seem to be in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 news a lot for particularly defense technology, espionage. And I’m wondering where you fit into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 whole cyber initiative that seems to be – so could you just talk about those and ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r things that you’re particularly focused on?

MR. SULLIVAN: The cyber initiative – cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re are ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r parts of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 department that are responsible for protecting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 IT systems of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 department. The counterintelligence role in that – and we do have a role – is to provide some analysis and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n, quite frankly, from an offensive capability, it provides us anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r venue to perhaps engage cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 enemy. But we don’t have a role in protecting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 systems, if you will. There are ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r folks in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 department that do that. As far as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 threats, we had cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Cold War threats and we have cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 today threats. There hadn’t been a whole lot of change over cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 last 20 or 30 years.


It will be interesting to (not) see how this new organization develops.

2 comments:

apolicastro said...

This is just what is needed in light of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 looming cyber threats that are no longer limited to hackers breaking into databases. Based on my years of research into hacker activities, I have written a book where a well-funded group of hackers take control of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 US power grid and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 cell phone network and hold cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 US hostage. My book, Dark End of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Spectrum, is based on real events. Take a look at http://stores.lulu.com/aspnovelist
I'm offering it as free download during November.

Anonymous said...

I recently spoke at length with someone who heads up a team at a private company that does cointel. It was a very interesting conversation. This is not something to be entered into lightly. There are legal and personal safety issues. Members of this organization's team go to great lengths to conceal cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir real life identities due to threats of violence.