Saturday, April 21, 2012

Clowns Base Key Financial Rate on Feelings, Not Data

If you've been reading this blog for a while, you know I don't think very highly of macá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365matical valuations of "risk." I think even less highly of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 clowns in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 financial sector who call security professionals "stupid" because we can't match cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir "five digit accuracy" for risk valuation. We all know how well those "five digit" models worked out. (And as you see from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 last link, I was calling cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir bluff in 2007 before cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 markets imploded.)

Catching up on last week's Economist this morning I found anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r example of financial buffoonery that boggles cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 mind. The article is online: Inter-bank interest rates; Cleaning up LIBOR -- A benchmark which matters to everyone needs fixing:

It is among cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 most important prices in finance. So allegations that LIBOR (cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 London inter-bank offered rate) has been manipulated are a serious worry.

LIBOR is meant to be a measure of banks’ own borrowing costs, and is used as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 foundation for a host of ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r interest rates. Everyone is affected by LIBOR: it influences cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 payments made on mortgages and personal loans, and those received on investments and pensions.

Given its importance, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 way LIBOR is calculated is astonishingly flimsy. LIBOR rates are needed, every day, for 15 different borrowing maturities in ten different currencies. But hard data on banks’ borrowing costs are not available every day, and this is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 root of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 LIBOR problem.

The British Bankers’ Association (BBA), responsible for LIBOR, gets around it by asking banks, each day, what cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y feel cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y should pay to borrow.

So LIBOR rates—and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 returns on $360 trillion of financial contracts related to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m, five times global GDP—are based on best guesses racá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r than hard data.

Let that sink in and forget about what you learned in business school or economics classes. LIBOR isn't based on actual rates; it's based on feelings!

The next part of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 article talks about suspicions that banks manipulate this broken process to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 advantage of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 financial sector.

The remainder offers recommendations for improvement:

[T]he BBA should revamp LIBOR to ensure it is simple, transparent and accountable. These principles suggest LIBOR should be based on actual inter-bank lending, with any gaps filled in with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 help of statistical techniques. Banks’ own guesses should be used as a last resort, not cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first.

And regulators should collect data that could help spot LIBOR cheats: banks should be required to submit information on ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r banks’ borrowing costs, as well as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir own. Regulators could cross-check submissions against hard data on banking-sector risk, and publicly report LIBOR abusers.

Keep this system in mind cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 next time a so-called "master of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 universe" offers a lecture on measuring risk in digital security.

Wednesday, April 04, 2012

Salvaging Poorly Worded Statistics

Today I joined a panel held at FOSE chaired by Mischel Kwon and featuring Amit Yoran. One of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attendees asked cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following:

At anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r session I heard that "80% of all breaches are preventable." What do you think about that?

My brief answer explained why that statement isn't very useful. In this post I'll explain why.

The first problem is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "80%." 80% of what? What is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 sample set? Are cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 victims in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 retail and hospitality sectors or cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 telecommunications and aerospace industries? Speaking in general terms, different sorts of organizations are at different levels of maturity, capability, and resourcefulness when it comes to digital security.

In cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 spirit of salvaging this poorly worded statistic, let's assume (rightly or wrongly) that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 sample set involves cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 retail and hospitality sectors.

The second problem is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 term "breach." What is a breach? Is it cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 compromise of a single computer? (What's compromise? Does it mean executing malicious code, or login via stolen credentials, or...?) What is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 duration of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 incident? There are dozens of questions that could be asked here.

To salvage this part, let's assume "breach" means "an incident involving execution of unauthorized code by an unauthorized intruder" on a single computer.

The third problem is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 word "preventable." "Prevention" as a concept is becoming less useful by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 second. Think about how an intruder might try to execute malicious code against a victim. Imagine a fully automated attack that happens when a victim visits a malicious Web site. An exploit kit could throw a dozen or more exploits against a browser and applications until one works. Are cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y all non-zero day, or are some zero day? Again, many questions beckon.

To salvage cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 end of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 original statement, let's translate "preventable" into "exploitation of a vulnerability for which a patch had been publicly available for at least seven days."

Our new statement now reads something like "In cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 retail and hospitality sectors, 80% of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 incidents where an unauthorized intruder successfully executed unauthorized code on a single computer exploited a vulnerability for which a patch had been publicly available for at least seven days."

Isn't that catchy! That's why we heard shortcuts like cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 original statement, which are basically worthless. Unfortunately, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y end up driving listeners into poor conceptual and operational models.

The wordy but accurate statement says nothing about preventability, which is key. The reason is that a determined adversary, when confronted by a fully patched target, may decide to escalate to using a zero-day or ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r technique for which patches are irrelevant.