Thursday, February 19, 2015

Boards Not Briefed on Strategy?

I'd like to make a quick note on strategy, after reading After high-profile hacks, many companies still nonchalant about cybersecurity in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Christian Science Monitor today. The article says:

In a survey commissioned by defense contractor Raycá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365on of 1,006 chief information officers, chief information security officers, and ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r technology executives, 78 percent said cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir boards had not been briefed even once on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir organization’s cybersecurity strategy over cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 past 12 months...

The findings are similar to those reported by PricewaterhouseCoopers in its Global State of Information Security Survey last year in which fewer that 42 percent of respondents said cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir board actively participates in overall security strategy.

Does this worry you? Do you want to introduce strategic thinking into your board discussion? If cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 answer is yes, consider cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se resources.

1. Check out my earlier blog posts on strategy, especially cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first two articles.

2. Watch cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 keynote I delivered at ArchC0n last year. My section starts around 8:30.

3. For those who want to apply strategic thought to network security monitoring, I addressed that in a Webcast for O'Reilly last year.

At cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 end of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 day, we need to be talking in strategic terms with business leaders, not technical terms. They are not having cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 conversations cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y need, and too few of us know how to speak a language that aligns with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir interests and goals.

We need to convince boards and CxOs that we are understand cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir goals, and that security teams are implementing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 correct strategy and running cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 right campaigns to achieve business objectives. We should not be talking to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 tactics and tools to support cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 strategy and campaigns. Sell executives on your strategy, not your technical knowledge.

Elevating cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Discussion on Security Incidents

I am not a fan of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 way many media sources cite "statistics" on digital security incidents. I've noted before that any "statistic" using cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 terms "millions" or "billions" to describe "attacks" is probably worthless.

This week, two articles on security incidents caught my attention. First, I'd like to discuss cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 story at left, published 17 February in The Japan Times, titled Cyberattacks detected in Japan doubled to 25.7 billion in 2014. It included cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following:

The number of computer attacks on government and ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r organizations detected in Japan doubled in 2014 from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 previous year to a record 25.66 billion, a government agency said Tuesday.

The National Institute of Information and Communications Technology used around 240,000 sensors to detect cyberattacks...

Among countries to which perpetrators’ Internet Protocol addresses were traced, China accounted for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 largest share at 40 percent, while South Korea, Russia and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 United States also ranked high.

NICT launched a survey on cyberattacks in Japan in 2005, when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 number of such incidents stood at around 310 million. The number rose to about 5.65 billion in 2010 and to 7.79 billion in 2012.

25.66 billion "computer attacks"? That seems ridiculous at first glance. Based on observations from "around 240,000 sensors," that's over 100,000 "attacks" per sensor per year, or nearly 300 per sensor per day. That still seems excessive, although getting closer to an order of magnitude that might make sense.

You might find cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 trend line more interesting, i.e., 310 million to 5.65 billion to 7.79 billion to 25.66 billion. However, it is important to adjust for increased visibility at each point. I doubt that 240,000 sensors were operating prior to 2014.

(On a secondary note, I'm not thrilled by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 section saying that Chinese IP addresses accounted for 40% of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "attacks." While that may be a "fact," it doesn't say anything by itself that helps with attribution.)

Nevercá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365less, talking about individual "attacks," especially when counting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m discretely, is outmoded thinking, in my opinion. "Attacks" could include anything from transmitting a TCP segment to a specific port, to attempting SQL injection on a Web site, to sending a phishing email.

If properly defined, "attacks" become somewhat interesting, but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir value as indicators should extend beyond being simple atomic events.

I was much more encouraged by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 second article, at right, published 18 February by Reuters, titled Lockheed sees double-digit growth in cyber business. It included cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following:

[Chief Executive Officer Marillyn] Hewson told cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 company's annual media day that Lockheed had faced 50 "coordinated, sophisticated campaign" attacks by hackers in 2014 alone, and she expected those threats to continue growing.

The use of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 term "campaign" is significant here. Campaign aligns with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 operational level of war, between Tactics and Strategy. (Tactics are employed as actions at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 individual battle or skirmish level, while Strategy describes matching ways and means to achieve specific ends. See my posts on strategy for more.)

Campaigns are sets of activities pursued over days, weeks, months, and even years to accomplish strategic and policy goals. The term campaign indicates purpose, applied over an extended period of time. When cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 LM CEO speaks in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se terms, she shows that her security team is thinking at an advanced level, likely aligning campaigns with specific threat actors and motives.

When a CEO talks about 50 campaigns, she can have a more meaningful discussion with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 executives and board. She can talk about threat actors behind cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 campaigns, what happened during each campaign, and how cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 team detected and responded to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m. The term Campaign also matches well with business operations; think of "marketing campaigns," "sales campaigns," etc.

I would very much like to see security teams, officials, and ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs think and talk about campaigns in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 future, and place statistics on "attacks" in proper context. Note that some threat researchers talk about campaigns when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y write reports on adversary activity, so that is a good sign already.

Saturday, February 14, 2015

Five Reasons Digital Security Is Like American Football

Butler's Interception (left) Made Brady's Touchdowns (right) Count
In Kara Swisher's interview on cyber security with President Obama, he makes cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following comment:

"As I mentioned in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 CEO roundtable, a comment that was made by one of my national security team — this is more like basketball than football in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 sense that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re’s no clear line between offense and defense. Things are going back and forth all cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time,” he said.

I understand why someone on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 President's national security team would use a basketball analogy; we all know cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 President is a big hoops fan. In this post I will take exception with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 President's view, although I am glad he is involved in this topic.

The following are five reasons why digital security is like American football, not basketball.

1. Different groups of athletes play offense, defense, and special teams in football. It is rare to see a single player appear on more than one squad. (It does happen, though. Julian Edelman is a punt returner and wide receiver. JJ Watt has caught touchdowns a few times. And so on...) In basketball, five players are on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 court, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y play both offense and defense. In digital security, it is exceptionally rare to find professionals who routinely work offensive and defensive operations. I recommend that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y do, but daily life is generally not a mix of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se disciplines. Digital security pros are more like American football players due to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se groupings of expertise.

2. Digital security is highly specialized. There are simply too many areas of expertise to expect any single person to master more than one aspect. This is true within American football. It is rare for a player to routinely fill multiple positions, whecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 offense or defense. A few athletes come to mind, like Kordell Stewart, but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y are exceptions. Basketball has positions and specialties as well, but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y are not as distinct as football.

3. Lines and direction of activity in digital security are more like American football than basketball. It is rare for defenders to "score points," compared to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 points scored by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 offense. This is true for digital security and American football. Basketball, like ice hockey, is much more fluid, with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 flow of play going back and forth. Now, some players in basketball and hockey are more offensive-minded than defensive minded, and vice-versa, but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 idea of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "defense" scoring points against cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "offense" doesn't really make sense in those sports.

Sources: Business Insider, Arizona Cardinals
4. Digital security is really complicated. Similarly, American football is extremely complicated compared to basketball. There are 22 players on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 field compared to 10, for starters. I found examples of real NFL plays from an old copy of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Arizona Cardinals playbook. It reminds me of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 gyrations an intruder might have execute in order to accomplish his mission. Obviously basketball has plays, but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y are not as intricate as those in football.

5. Digital security involves progression across territory, in a manner more like football than basketball. Most of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 action in a basketball game occurs in eicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r team's half-court. In football, teams spend time across most of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 field. This reminds me more of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 progression of actions that must take place for an intruder to accomplish his mission.

Now, those of you with long memories of this blog may remember my 2006 post Digital Security Lessons from Ice Hockey. In that story I emphasized cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 benefits of "being well-rounded..." having "knowledge and capability in offense and defense." I still advocate that position, but I recognize that it is really tough to achieve it.

Those with slightly longer memories may remember my 2005 post Soccer-Goal Security, showing a player kicking cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ball into a goal, while cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 goalie looks elsewhere. The point of that post was to focus one's defense on actual attacks, not cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365oretical concerns.

Bejtlich's Mandiant Helmet
My hope with this post is to offer a counter-example to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 views of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 President and some of his staff. As with all analogies, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y are open to interpretation, and some fail more quickly and spectacularly than ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs. Please try not to get too twisted out of shape or take offense. It's only a game, and this is only a blog post.

Given that we used to get football helmets at Mandiant, you might have predicted this post...


Learning cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Tufte Way to Present Information

Source: The Economist, 31 Jan 2015

TaoSecurity Blog readers know I am a fan of Edward Tufte. When I see a diagram that I believe captures cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 tenets of his philosophy of presenting information, I try to share it with readers.

Two weeks ago in its 31 January 2015 edition, The Economist newspaper published Saudi Arabia: Keeping It in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Family. The article discussed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ascension of King Salman to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Saudi crown. The author emphasized cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 advanced age of Saudi kings since cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 founding of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 monarchy in 1932.

To make cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 point graphically, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 article included cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 graphic at left. It captured cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 start and end of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 reigns of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 monarchs, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir ages at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 beginning and end of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir reigns, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 median age of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 population.

Readers are able to quickly compare cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 duration of each monarch's reign, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 monarch's ages, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 trend toward older monarchs. Readers can see cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 traditional widening gap in ages of rulers compared to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 population, as well as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 recent closing of that gap as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 population becomes slightly older.

I would have preferred to have seen King Abdel Aziz, founder of Saudi Arabia, included beyond cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 abbreviated line and asterisk. Perhaps cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 sources for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 image didn't include median population age prior to 1950?

Nevercá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365less, this is an excellent example of a Tufte-esque graphic, in my opinion.

I strongly recommend attending Tufte's one-day class, which will occur in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 DC area at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 end of March.

Thursday, February 12, 2015

Focus on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Threat: Bank Heists

Thief Retrieves Cash, from Bloomberg Businessweek
The February 2nd issue of Bloomberg Businessweek featured a story titled Boom: Inside a British Bank-Bombing Spree. The article describes how "five men, dressed all in black" used "crowbars, power tools, coils of flexible tubing, and two large tanks of explosive gas" to blow apart ATMs in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 UK, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n retrieve cash inside.

The story opens by describing a raid that netted "almost £250,000, or about $375,000" and

was cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 group’s biggest score in a single night yet. Their MO, using cheap, common, and legal gas, was nearly impossible to trace, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y left precious little forensic evidence for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 police. To stop cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 rampage, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re was little Britain’s banks could do.

What is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 history of this sort of attack? The article states:

Bank security experts think cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first ATM gas attack may have been in Italy in 2001. Early statistics are shaky, but by 2005 cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re were almost 200 across cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 continent, according to EAST, or cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 European ATM Security Team. (Their figures include physical explosives, but gas dominates.) In 2013 cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re was a 31 percent increase from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 year before, to 696 attacks in eight countries. Gas bomb gangs have struck in Australia (2008), Brazil (2010), and Chile (2014), but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y’re primarily a European phenomenon. 

Now, I know how many of my readers think. They jump immediately to consider technical approaches for countering this attack pattern. Indeed, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Bloomberg article includes cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following:

The rise in gas attacks has created a market opportunity for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 companies that construct ATM components. Several manufacturers now make various anti-gas-attack modules: Some absorb shock waves, some detect gas and render it harmless, and some emit sound, fog, or dye to discourage thieves in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 act.

This is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 standard reaction from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 tech community: treat every problem as an engineering challenge, preferably to be solved by a start-up!

Thinking in terms of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 risk equation (R = V x T x A), cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 engineers want to reduce cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Vulnerability, or V, and consequently reduce Risk, or R.

(It might also be possible to reduce A, or Asset value, by having less money in ATMs. As we move to a cash-deficient society, that's possible. However, it doesn't address cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 immediate problem -- dozens of crime scenes, with more expected.)

Suspects and Convicts: Bloomberg Businessweek
However, despite cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 friendly engineer's desire to refactor cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 environment, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 article spends only cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 three sentences cited earlier on technical solutions. Instead, and appropriately here, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 article explains how law enforcement worked on identifying and arresting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 threat actors (T), eliminating cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 risk equation.

Now, it's entirely possible that ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r threat actors could take on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ATM-exploding mantle, replacing those who have been arrested. However, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 police have demonstrated that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y have cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 capability to perform threat attribution and containment. We will have to see if this sort of crime continues in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 UK, or if it shifts elsewhere.

Incidentally, it may have been cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 introduction of better digital security that resulted in a rise of physical crime. The article says:

It’s a low-tech, low-investment, more immediate alternative to modern thievery involving card skimmers, PIN–capturing cameras, and malware. ATM fraud is declining steeply in Europe, EAST says, down 42 percent in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first half of 2014 compared with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same period in 2013, while physical attacks—explosions, plus crowbar jobs, “ram raids,” etc.—are up 3 percent.

What does this mean for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 US?

As far as anyone knows, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re has never been a gas attack on an American ATM. The leading cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ory points to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 country’s primitive ATM cards. Along with Mongolia, Papua New Guinea, and not many ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r countries, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 U.S. doesn’t require its plastic to contain an encryption chip, so stealing cards remains an effective, nonviolent way to get at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 cash in an ATM. 

Encryption chip requirements are coming to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 U.S. later this year, though. And given cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 gas raid’s many advantages, it may be only a matter of time until cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 back of an American ATM comes rocketing off.

The bottom line for me is this: it's entirely appropriate for engineers to develop more secure products to reduce vulnerabilities. However, it's also entirely appropriate for law enforcement to identify, arrest, and prosecute threat actors. That requires attribution and forensics. In ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r words, identifying cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 threat is a necessary and critical aspect of security, as it has been in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 physical world and is finally being recognized as such in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 digital world.

And for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 record, I still like engineers and start-ups, including engineers who work at start-ups.

Sunday, February 08, 2015

Where Russia and North Korea Meet

Last week cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Christian Science Monitor published a story titled How North Korea built up a cadre of code warriors prepared for cyberwar. It contained cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following section:

North Korea is faced with tremendous limitations. All of its Internet connections go through servers in China, for example. But it soon may find ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r ways to connect to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 outside world. North Korean leader Kim Jong-Un is expected to meet with Russian President Vladimir Putin later this year in a bid to, among ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r things, begin running networks through Russia, too.

This caught my attention. Years ago I bought a giant map of Asia for my office at Mandiant. I was fascinated by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 small part of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 world where Russia and North Korea share a border, shown below.


If you zoom into that area, you see cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following.


China, Russia, and North Korea share a common border near cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Russian town of Khasan. From that location, Russia and North Korea share a border dividing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Tumen River, approximately 19 km soucá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ast to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Sea of Japan.

There is a bridge across cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Tumen River near Khasan, shown in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 next image.


The blog "English Russia" published a December 2014 post titled This Is Where Russia Borders with China and North Korea. It features some amazing aerial photography of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 area. The blog notes cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 bridge over cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Tumen river is called "The Railway Bridge of Friendship."



Returning to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 origin for this post, namely North Korea "running networks through Russia," it's possible this is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 place where it could happen. What sort of connectivity is nearby?

A search for information on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 geography of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Russian Internet noted a "Transit Europe – Asia" line with connectivity to places like Stockholm and Frankfurt, from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Russia city of Khabarovsk. The city of Khabarovsk is also mentioned for a "Khabarovsk – Nakhodka – Tokyo" line. Where are Khabarovsk and Nakhodka? The next image shows cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 answer.


As you can see, Nakhodka (B) is about 100 miles norcá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ast of Khasan (A). Khabarovsk (C), cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 terminus for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 major lines to Europe mentioned earlier, is several hundred miles to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 norcá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ast, along cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 border with China.

Given cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 investment in connectivity to Nakhodka, I suggest that, if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Russians are serious about providing physical Internet connectivity to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 North Koreas, we should see activity between Nakhodka and Khasan. I am not sure if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Russians would want to lay cable along cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 A188/A189 highway between cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 two cities, or if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y would install a submerged cable. Given that Vladivostok, home of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Russian Pacific Fleet, lies between cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 two cities, I don't think cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Russians would want to deploy an undersea cable cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re. It might be a risky location for such a high-traffic waterway.

If anyone has satellite or stealthy drone to spare, you may want to watch for cable installation along cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 A188/A189 highways between Nakhodka and Khasan, and along cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "The Railway Bridge of Friendship" to North Korea.

Thank you to Google Maps and English Russia blog for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se images.

Monday, February 02, 2015

A Word of Caution on Fraudulent Routing

If you've read TaoSecurity Blog for a while, you remember me being a fan of companies like Renesys (now part of Dyn Research) and BGPmon. These organizations monitor Internet-wide routing by scrutinizing BGP announcements, plus ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r techniques. (I first posted on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 topic almost 12 years ago.)

I am well aware that an organization, from its own Internet viewpoint, cannot be absolutely sure that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r end of a conversation truly represents cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 IP address that it seems to be. The counterparty may be suffering a BPG hijack.

An attacker may have temporarily positioned itself in BGP routing tables such that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 legitimate IP address owner is not cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 preferred route. There have been many examples of this, and on Thursday Dyn Research posted a great new blog titled The Vast World of Fraudulent Routing that describes six recent examples.

A Tweet by Space Rogue about Dyn's post caught my attention. He said:

You really want to tell me that an IP Address is enough for attribution?

Then he linked to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Dyn blog post.

There are several problems with this statement.

First, no one in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir right mind says "an IP address is enough for attribution." If you want to comfort yourself by standing up a straw man that's easy to knock down, have fun with that.

I fear Tweets like this are swipes against cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Update on Sony Investigation FBI statement, which includes this section:

The FBI also observed significant overlap between cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 infrastructure used in this attack and ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r malicious cyber activity cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 U.S. government has previously linked directly to North Korea. For example, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 FBI discovered that several Internet protocol (IP) addresses associated with known North Korean infrastructure communicated with IP addresses that were hardcoded into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data deletion malware used in this attack.

The straw-man-building critics neglect cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 qualifier that precedes this statement:

While cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 need to protect sensitive sources and methods precludes us from sharing all of this information, our conclusion is based, in part, on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following...

For those who can't decode this statement, or aren't familiar with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 phrasing, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 text means:

"We have ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r information that isn't worth disclosing in order to convince critics. Our ability to detect and respond to future attacks, thanks to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 sources and methods we preserve by keeping cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m our of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 spotlight, is more important than publicizing sensitive intelligence."

Furcá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rmore, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 FBI statement includes ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r reasons for attribution, which you can read in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 original document.

Second, and most importantly, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Dyn post demonstrates that it is possible, and routine, to identify when IP addresses are being hijacked.

Let me say that again. Once you step outside your organization's view of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Internet, by using a service like Dyn/Renesys, you can tell when IP addresses are being abused by BGP hijackers.

Services such as Dyn/Renesys and BGPmon provide alerts when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y detect hijacking of an organization's IP address space. I know commercial customers who pay attention to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se notifications, as well as ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r sources, to identify when odd activity is happening on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Internet.

Third, and finally, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re is a difference between seeing an IP address in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 logs of a victim organization, and having direct observation of intruder infrastructure. You can read cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 excellent New York Times piece N.S.A. Breached North Korean Networks Before Sony Attack for details on that angle.

Some critics, at least those with history in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 field, should know better. It would be more productive to talk about serious issues, racá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r than straw men and incomplete arguments.

Update: I amended cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 post to make it clear that law enforcement is not a customer of Dyn/Renesys.