Thursday, May 07, 2009

Thoughts on Cyber Command

I've been blogging about various cyber command proposals for a few years, but right now cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re is some real movement at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 combatant command level. Ellen Nakashima's article Cyber-Command May Help Protect Civilian Networks offers cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 latest details.

The Pentagon is considering whecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r to create a new cyber-command that would oversee government efforts to protect cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 military's computer networks and would also assist in protecting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 civilian government networks, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 head of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 National Security Agency said yesterday [Tuesday].

The new command would be headquartered at Fort Meade, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 NSA's director, Lt. Gen. Keith B. Alexander, told cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 House Armed Services terrorism subcommittee.

Alexander, who is a front-runner to assume control of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 command if it is created, said its focus would be to better protect cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 U.S. military's computers by marrying cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 offensive and defensive capabilities of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 military and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 NSA.

Through cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 command, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 NSA would also provide technical support to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Department of Homeland Security, which is in charge of protecting civilian networks and helps safeguard cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 energy grid and ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r critical infrastructure from cyber-attack, Alexander said.

He stressed that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 NSA does not want to run or operate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 civilian networks, but help Homeland Security improve its efforts...

As proposed by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Pentagon, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 command would fall under cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 U.S. Strategic Command, which is tasked with defending against attacks on vital interests.


The highlighted sections reinforce number 2 of my Predictions for 2008 made in December 2007. A few months prior I argued that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 US Needs Cyber NORAD.

The written testimonies are posted on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 U.S. House of Representatives, House Armed Services Committee Web site.

The new Cyber Command will most likely be a subordinate unified command under US Strategic Command.

I'd like to briefly respond to Robert Graham's post Why Cyber Commands Fail. He says in part:

What cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 military wants is a hacker squad that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y can give a specific objective, and have cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 hackers carry out that objective within a specific timeframe. For example, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y might tell hackers to take out Iran's radar at midnight so that fighter jets can enter cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir airspace a few minutes later to bomb cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir nuclear plants. That's not going to work.

What you could do is tell hackers to go after Iran and do whatever cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y can to disrupt cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir nuclear developments. One hacker might find a way to shut down safety controls and cause a nuclear meltdown, anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r might jam cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 centrifuges, anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r might change cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 firmware on measuring equipment to incorrect measure cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 concentration of U238.

Or, you could give cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 hackers six months to infiltrate Iran's computers, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n come back with a list of options. Maybe disabling cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 radar system will be one of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m, maybe not. But that's not cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 sort of thing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 military is tasked to do - that's more an intelligence operation cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 CIA would be doing..

China and Russia understand this. They don't directly employ hackers or tell cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 hackers to accomplish certain goals. They let cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 hackers have free range to do whatever cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y want. If cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 hackers come across something interesting, such as plans for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Joint Strike Fighter, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 government buys it, but no government official ever told cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 hackers specifically to steal those plans...

So how can cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 United States get in on this sort of asymmetric warfare action?

The first thing is that you have to stoke some sort of nationalism in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 way that Russia and China do. I'm not sure this is in our character (especially under cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 current president), however, so we'd probably have to find some alternative. Instead of pro-USA nationalism we could instead focus on human rights activism. The government could spend a lot of time talking to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 press about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 sorts of human rights abuses that go on in Russia and China. Get our own USA hackers thinking about human rights as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir own causus belli.

The second thing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y need to do is create a climate where our own hackers can operate. I would gladly hack into Iranian computers, but I'm not sure how this fits into US law...

This would be similar to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "letters of mark and reprisal" used by governments during cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 1700s. In those days, national navies were too small to patrol cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 entire ocean. Therefore, governments licensed privateers to prey upon a hostile nation's shipping. The privateers kept half cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 booty, and gave cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r half to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir respective government. This is essentially what China and Russia have done.

A third thing our military would need to do is train our hackers in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 target language. Foreign hackers usually learn English, but American hackers rarely learn foreign languages, especially Russian, Chinese, or Farsi (Iranian). If we want to encourage our hackers to go after those countries in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same way cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y come after us, we need to encourage cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m to learn those languages...

The fourth thing our military would need to do is fix cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir horrid purchasing processes...

Note that I think cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 individuals who run our military are very, very smart. I've met several generals and colonels who understand this. The problem is that while individuals are smart, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 organization is dumb as a rock. The organization crushes precisely cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 sort of creative thinking need to have a successful "cyber" offensive capability.


Robert has a lot of good ideas here. In Air Force Cyber Panel I talked about a clash of models between cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 United States and places like China. On cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 one hand we have a military-industrial complex supported by a vast contracting force vs a country with a true "people's army," containing uniformed military, semi-military, and pure civilians who work with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs to achieve broadly common goals.

I don't think we will ever see any official support for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 privateer concept. China doesn't even recognize cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir own people's involvement in hacking, since cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y frequently repeat cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 line that "China doesn't support hacking."

The major benefit I see from a Cyber Command is providing a career path and organizational support for military personnel. Until that exists many people who would want to be in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 military doing cyber operations will reach a point where leaving cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir service is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir best option.


Richard Bejtlich is teaching new classes in Las Vegas in 2009. Regular Las Vegas registration ends 1 July.

1 comment:

Hidden Muscle BJJ said...

Man, I have been waiting for someone to point this stuff out.

The two CRITICAL points:

1. "They let cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 hackers have free range to do whatever cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y want."

Vulnerabilities are, by nature, random. The more skilled cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attacker, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 more random "luck" cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y have. But still ultimately random. You can't set objectives in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same way, it's like a flea market.

2. "The first thing is that you have to stoke some sort of nationalism in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 way that Russia and China do."

Exactly cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 problem. Hackers in Russia are nationalist, in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 U.S. cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y tend to be eicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r leftist or anarchist. This is a really serious issue for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 future of American intelligence. As security becomes more popular in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 US I forsee a rise in nationalist involvement, but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 best way to accelerate that is to tacitly consent. But how do you do that, ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r than through some high profile acquittal of an American accused of attacking assets within a country with hostile network presence? 21st century foreign relations are too sensitive to publish a new version of mark and reprisal.

Maybe cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 best way would be to invert cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 consent and publish a list of "networks of consequence" to which current computer crime statutes will be applied (.mil, .gov, most allied .com, .uk, etc.) And in so doing, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 implication is that those networks which are left off cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 list are of no issue, just as stealing something off cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 shelves at a store carries consequence, whereas picking something out of a trash can does not.

"We're not telling people to attack your networks...we're just not going to waste our time, effort, and money doing your job for you."