Tuesday, September 21, 2010

Thoughts on "Cyber Weapons"

With all cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 activity concerning Stuxnet, I've been thinking about "cyber weapons." You might recognize cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 image at left as coming from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 venerable rootkit.com site operated by Greg Hoglund since 1999 (for real -- check out archive.org!) When Greg started that site I remember a lot of people complaining about cyber weapons and putting offensive tools in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 wrong hands. Now with tools like Metasploit and Ronin, people are bound to worry about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same issues. It would be terrible to see valuable tools get painted with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same "ban cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 guns" prescriptions I expect to hear when Stuxnet becomes more popular in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 media.

So, in this post I'd like to share a few thoughts on differentiating security tools from cyber weapons (CWs). These are just my thoughts so I'd be interested in feedback. Some of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m may be controversial and I could probably argue cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 opposite case for some of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 items.

  • Operators develop CWs privately. I don't think a tool you can download from a public Web site qualifies as a true CW. Yes, you can use tools like Metasploit offensively, but a good deal of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 value of a real CW comes from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "whoa" factor. (See cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 next point.) You can't preserve cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "whoa" factor after publishing code on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Web.

  • CWs tend to be innovative. Innovation means incorporating 0-day attacks (researched by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 developers), new command-and-control methods, or ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r measures. Real CWs take victims by surprise, especially if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y target multiple aspects of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 kill chain.

  • CWs tend to have specific effects. Think of Stuxnet and it's programming to alter specific values in PLCs. These are actions designed to damage a target, not provide generic remote control access so intruders can open someone's CD player.

  • CW value degrades quickly. I believe a real CW is much less valuable after being used, often due to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 points listed earlier. It's easier to disable a radar cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first time than it is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 second or third times. As soon as an aggressor uses a CW on a victim, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 victim will try to be better prepared for later attacks and may be able to recognize or even thwart cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m entirely. Contrast that with a tool designed to help validate defenses or conduct audits.

  • Intent matters. The intent behind a CW is to enable cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 agenda of a nation state or ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r high-end structured threat, not simply to demonstrate a new technique, or be cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 best penetration tool, or compromise cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 most victims, or help administrators validate defensive measures. I don't think HD Moore (who wrote a great pitch on cyber weaponry) intends for Metasploit to be used by governments to harm each ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r or cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir citizens. Ask someone who develops real CWs for a living why cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y wrote CW X and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y will likely say "because I was under contract to deliver X by date Y for customer Z."


I hope we can be clever enough to separate real CWs like Stuxnet from tools that serve a useful security function like Metasploit, because actions to try to outlaw all offensive tools would be devastating for defenders everywhere.

3 comments:

TOOTALL said...

Richard,
I think you have made a really great argument for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 need to differentiate between security tools and actual cyber weaponry.
I recently jumped ship on my career as a web/graphic designer so I could pursue my aspirations of working in info sec. I am a student at DeVry University and in one of my classes we recently had a debate over cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 public availability of tools and frameworks such as Metasploit.

In addition I just recently landed my first position in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 IT workforce as a help-desk associate and trainer for a law firm here in Austin, TX. While much of my day is not in any way focused on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 security side of our business, my manager recognizes my passion for developing myself in this arena and has had me following cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 recent Adobe 0-Day and Stuxnet worms.

I read this morning on Bruce Schneier's blog that Stuxnet is thought to "be cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 work of state-backed professionals" and it's my opinion that as more of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se attacks come into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 public's eye, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 greater cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 responsibility cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re is to educate people on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 difference between security tools and cyber weapons.

Many people seem to be under cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 impression that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 threat lay with mis-intentioned "hackers" disturbing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 peace for educational, mischievous, criminal motives, yet I think that people need to realize that as more and more of our information and infrastrucure becomes digital, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 true threat is from governments.

I'm worried too that as Stuxnet and ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r similar threats become popular in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 media that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "ban cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 guns" thought process will run rampant and it will become more difficult, especially for beginners such as myself, to educate ourselves and learn how to be successful information security professionals.

It's impossible to learn how to drive a car only by reading cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 manual.

Anonymous said...

I agree with Richard that people must differentiate between tools and cyber weapons. However, my real concern is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 sophistication with which cybercriminals can act and destroy an important installation of a nation state. Moreover, in case cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attacks are state sponsored, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ramifications can be catastrophic as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 affected country is likely to retaliate. Governments and organizations need to be alert and strengcá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir defenses against cyber-attacks. We need more cyber warriors such as those trained in certifications such as ceh to deal with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 challenges of cybercrime and cyber war.

Chr1s said...

The problem here is that you can't always draw pretty lines around ideas that are borrowed from ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r things.

The people on Spanair flight 5022 might have called simple malware a deliberate attack intended on killing people, because it certainly was part of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 problem. It didn't have to be a 0-day or developed by a leet hacker to any degree to kill people.

I think you should stick to “tool.” A classic example of a weapon can carry out very devastating things all by itself, requiring no medium, except for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 person using it. In cyberspace, you need tools to support ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r tools, where cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Internet medium or a physical, digital medium is required.

If you HAVE to use cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ideology of a weapon in cyberspace, limit it to software that directly inflicts physical damage. I hate it when people take concepts like “war” and “weapons” and apply cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m to cyber-something. Why do you need to use “cyber weapon” in any context that “offensive cyber tool” wouldn’t be good enough (while being more specific)?

As soon as you begin to accept ideas like “cyber war” you will cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n accept ideas like “cyber weapons” because guns are used in warfare. It’s a slippery slope issue. The notion of a projectile breaking human flesh has no carry over to cyberspace. Seeing a handgun on a presentation about software is disgusting and offensive if not plain delusional. It is not cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same.

Additionally, I do not agree with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 notion that a “cyber weapon” degrades quickly. Take, for instance, class 2 information warfare-- if a company wanted to modify or inject seemingly genuine information to control specific decision making processes in a rival company, it follows suit with your ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r points. And cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 fact that it could go undetected for such a long time makes it a non-diminishing—possibly even value-improving—offensive cyber tool.