Friday, August 14, 2015

Top Ten Books Policymakers Should Read on Cyber Security

I've been meeting with policymakers of all ages and levels of responsibility during cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 last few months. Frequently cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y ask "what can I read to better understand cyber security?" I decided to answer cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m collectively in this quick blog post.

By posting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se, I am not endorsing everything cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y say (with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 exception of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 last book). On balance, however, I think cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y provide a great introduction to current topics in digital security.

  1. Cybersecurity and Cyberwar: What Everyone Needs to Know by Peter W. Singer and Allan Friedman
  2. Countdown to Zero Day: Stuxnet and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Launch of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 World's First Digital Weapon by Kim Zetter
  3. @War: The Rise of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Military-Internet Complex by Shane Harris
  4. China and Cybersecurity: Espionage, Strategy, and Politics in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Digital Domain by  Jon R. Lindsay, Tai Ming Cheung, and Derek S. Reveron
  5. Data and Goliath: The Hidden Battles to Collect Your Data and Control Your World by Bruce Schneier
  6. Spam Nation: The Inside Story of Organized Cybercrime-from Global Epidemic to Your Front Door by Brian Krebs
  7. Future Crimes: Everything Is Connected, Everyone Is Vulnerable and What We Can Do About It by Marc Goodman
  8. Chinese Industrial Espionage: Technology Acquisition and Military Modernisation by William C. Hannas, James Mulvenon, and Anna B. Puglisi 
  9. Cyber War Will Not Take Place by Thomas Rid
  10. The Practice of Network Security Monitoring: Understanding Incident Detection and Response by Richard Bejtlich (use code NSM101 to save 30%; I prefer cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 print copy!)

Enjoy!

Friday, August 07, 2015

Effect of Hacking on Stock Price, Or Not?

I read Brian Krebs story Tech Firm Ubiquiti Suffers $46M Cyberheist just now. He writes:

Ubiquiti, a San Jose based maker of networking technology for service providers and enterprises, disclosed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attack in a quarterly financial report filed this week [6 August; RMB] with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 U.S. Securities and Exchange Commission (SEC). The company said it discovered cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 fraud on June 5, 2015, and that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 incident involved employee impersonation and fraudulent requests from an outside entity targeting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 company’s finance department.

“This fraud resulted in transfers of funds aggregating $46.7 million held by a Company subsidiary incorporated in Hong Kong to ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r overseas accounts held by third parties,” Ubiquiti wrote. “As soon as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Company became aware of this fraudulent activity it initiated contact with its Hong Kong subsidiary’s bank and promptly initiated legal proceedings in various foreign jurisdictions. As a result of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se efforts, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Company has recovered $8.1 million of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 amounts transferred.”

Brian credits Brian Honan at CSO Online, with noticing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 disclosure yesterday.

This is a terrible crime that I would not wish upon anyone. My interest in this issue has nothing to do with Ubiquiti as a company, nor is it intended as a criticism of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 company. The ultimate fault lies with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 criminals who perpetrated this fraud. The purpose of this post is to capture some details for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 benefit of analysis, history, and discussion.

The first question I had was: did this event have an effect on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Ubiquiti stock price? The FY fourth quarter results were released at 4:05 pm ET on Thursday 6 August 2015, after cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 market closed.

The "Fourth Quarter Financial Summary: listed this as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 last bullet:

"GAAP net income and diluted EPS include a $39.1 million business e-mail compromise ("BEC") fraud loss as disclosed in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Form 8-K filed on August 6, 2015"

I assume cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Form 8-K was published simultaneously, with earnings.

Next I found cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following in this five day stock chart.


5 day UBNT Chart (3-7 August 2015)

You can see cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 gap down from Thursday's closing price, on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 right side of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 chart. Was that caused by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 fraud charge?

I looked to see what cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 financial press had to say. I found this Motley Fool article titled Why Ubiquiti Networks, Inc. Briefly Fell 11% on Friday, posted at 12:39 PM (presumably ET). However, this article had nothing to say about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 fraud.

Doing a little more digging, I saw Seeking Alpha caught cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 fraud immediately, posting Ubiquiti discloses $39.1M fraud loss; shares -2.9% post-earnings at 4:24 PM (presumably ET).  They noted that "accounting chief Rohit Chakravarthy has resigned." I learned that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 company was already lacking a chief financial officer, so Mr. Chakravarthy was filling cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 role temporarily. Perhaps that contributed to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 company falling victim to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ruse. Could Ubiquiti have been targeted for that reason?

I did some more digging, but it looks like cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 popular press didn't catch cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 issue until Brian Honan and Brian Krebs brought attention to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 fraud angle of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 earnings release, early today.

Next I listened to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 archive of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 earnings call. The call was a question-and-answer session, racá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r than a statement by management followed by Q and A. I listened to analysts ask about head count, South American sales, trademark names, shipping new products, and voice and video. Not until cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 17 1/2 minute mark did an analyst ask about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 fraud.

CEO Robert J. Pera said he was surprised no one had asked until that point in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 call. He said he was embarrassed by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 incident and it reflected "incredibly poor judgement and incompetence" by a few people in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 accounting department.

Finally, returning to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 stock chart, you see a gap down, but recovery later in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 session. The market seems to view this fraud as a one-time event that will not seriously affect future performance. That is my interpretation, anyway. I wish Ubiquiti well, and I hope ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs can learn from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir misfortune.

Update: I forgot to add this before hitting "post":

Ubiquiti had FY fourth quarter revenues of $145.3 million. The fraud is a serious portion of that number. If Ubiquiti had earned ten times that in revenue, or more, would cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 fraud have required disclosure?

The disclosure noted:

"As a result of this investigation, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Company, its Audit Committee and advisors have concluded that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Company’s internal control over financial reporting is ineffective due to one or more material weaknesses."

That sounds like code for a Sarbanes-Oxley issue, so I believe cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y would have reported anyway, regardless of revenue-to-fraud proportions.

Tuesday, July 21, 2015

Going Too Far to Prove a Point

I just read Hackers Remotely Kill a Jeep on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Highway - With Me in It by Andy Greenberg. It includes cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following:

"I was driving 70 mph on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 edge of downtown St. Louis when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 exploit began to take hold...

To better simulate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 experience of driving a vehicle while it’s being hijacked by an invisible, virtual force, Miller and Valasek refused to tell me ahead of time what kinds of attacks cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y planned to launch from Miller’s laptop in his house 10 miles west. Instead, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y merely assured me that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y wouldn’t do anything life-threatening. Then cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y told me to drive cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Jeep onto cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 highway. “Remember, Andy,” Miller had said through my iPhone’s speaker just before I pulled onto cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 I-40 on-ramp, “no matter what happens, don’t panic.”

As cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 two hackers remotely toyed with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 air-conditioning, radio, and windshield wipers, I mentally congratulated myself on my courage under pressure. That’s when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y cut cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 transmission.

Immediately my accelerator stopped working. As I frantically pressed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 pedal and watched cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 RPMs climb, the Jeep lost half its speed, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n slowed to a crawl. This occurred just as I reached a long overpass, with no shoulder to offer an escape. The experiment had ceased to be fun.

At that point, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 interstate began to slope upward, so cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Jeep lost more momentum and barely crept forward. Cars lined up behind my bumper before passing me, honking. I could see an 18-wheeler approaching in my rearview mirror. I hoped its driver saw me, too, and could tell I was paralyzed on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 highway.


“You’re doomed!” Valasek shouted, but I couldn’t make out his heckling over cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 blast of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 radio, now pumping Kanye West. The semi loomed in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 mirror, bearing down on my immobilized Jeep.

I followed Miller’s advice: I didn’t panic. I did, however, drop any semblance of bravery, grab my iPhone with a clammy fist, and beg cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 hackers to make it stop...

After narrowly averting death by semi-trailer, I managed to roll cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 lame Jeep down an exit ramp, re-engaged cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 transmission by turning cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ignition off and on, and found an empty lot where I could safely continue cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 experiment." (emphasis added)

I had two reactions to this article:

1. It is horrifying that hackers can remotely take control of a vehicle. The auto industry has a lot of work to do. It's unfortunate that it takes private research and media attention to force a patch (which has now been published.) Hopefully a combination of Congressional attention, product safety laws, and customer pressure will improve cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 security of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 auto industry before lives and property are affected.

2. It is also horrifying to conduct a hacking "experiment" on I-40, with vehicles driving at 60 or more MPH, carrying passengers. It's not funny to put lives at risk, whecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y are volunteers like cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 driver/author or ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r people on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 highway.

Believing it is ok reflects cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same juvenile thinking that motivated anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r "researcher," Chris Roberts, to apparently "experiment" with live airplanes, as reported by Wired and ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r news outlets.

Hackers are not entitled to jeopardize cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 lives of innocent people in order to make a point. They can prove cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir discoveries without putting ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs, who have not consented to be guinea pigs, at risk.

It would be a tragedy if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first death by physical-digital convergence occurs because a "security researcher" is "experimenting" in order to demonstrate a proof of concept.

Tuesday, June 30, 2015

My Security Strategy: The "Third Way"

Over cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 last two weeks I listened to and watched all of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 hearings related to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 OPM breach. During cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 exchanges between cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 witnesses and legislators, I noticed several cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365mes. One presented cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 situation facing OPM (and ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r Federal agencies) as confronting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following choice:

You can eicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r 1) "secure your network," which is very difficult and going to "take years," due to "years of insufficient investment," or 2) suffer intrusions and breaches, which is what happened to OPM.

This struck me as an odd dichotomy. The reasoning appeared to be that because OPM did not make "sufficient investment" in security, a breach was cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 result.

In ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r words, if OPM had "sufficiently invested" in security, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y would not have suffered a breach.

I do not see cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 situation in this way, for two main reasons.

First, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re is a difference between an "intrusion" and a "breach." An intrusion is unauthorized access to a computing resource. A breach is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ft, alteration, or destruction of that computing resource, following an intrusion.

It cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365refore follows that one can suffer an intrusion, but not suffer a breach.

One can avoid a breach following an intrusion if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 security team can stop cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 adversary before he accomplishes his mission.

Second, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re is no point at which any network is "secure," i.e., intrusion-proof. It is more likely one could operate a breach-proof network, but that is not completely attainable, eicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r.

Still, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 most effective strategy is a combination of preventing as many intrusions as possible, complemented by an aggressive detection and response operation that improves cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 chances of avoiding a breach, or at least minimizes cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 impact of a breach.

This is why I call "detection and response" cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "third way" strategy. The first way, "secure your network" by making it "intrusion-proof," is not possible. The second way, suffer intrusions and breaches, is not acceptable. Therefore, organizations should implement a third way strategy that stops as many intrusions as possible, but detects and responds to those intrusions that do occur, prior to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir progression to breach status.

My Prediction for Top Gun 2 Plot

We've known for about a year that Tom Cruise is returning to his iconic "Maverick" role from Top Gun, and that drone warfare would be involved. A few days ago we heard a few more details in this Collider story:

[Producer David Ellison]: There is an amazing role for Maverick in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 movie and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re is no Top Gun without Maverick, and it is going to be Maverick playing Maverick. It is I don’t think what people are going to expect, and we are very, very hopeful that we get to make cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 movie very soon. But like all things, it all comes down to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 script, and Justin is writing as we speak.

[Interviewer]; You’re gonna do what a lot of sequels have been doing now which is incorporate real use of time from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first one to now.

ELLISON and DANA GOLDBERG: Absolutely...

ELLISON:  As everyone knows with Tom, he is 100% going to want to be in those airplanes shooting it practically. When you look at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 world of dogfighting, what’s interesting about it is that it’s not a world that exists to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same degree when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 original movie came out. This world has not been explored. It is very much a world we live in today where it’s drone technology and fifth generation fighters are really what cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 United States Navy is calling cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 last man-made fighter that we’re actually going to produce so it’s really exploring cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 end of an era of dogfighting and fighter pilots and what that culture is today are all fun things that we’re gonna get to dive into in this movie.

What could cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 plot involve?

First, who is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 adversary? You can't have dogfighting without a foe. Consider cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 leading candidates:

  • Russia: Maybe. Nobody is fond of what President Putin is doing in Ukraine.
  • Iran: Possible, but Hollywood types are close to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Democrats, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y will not likely want to upset Iran if Secretary Kerry secures a nuclear deal.
  • China: No way. Studios want to release movies in China, and despite cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 possibility of aerial conflict in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 East or South China Seas, no studio is going to make China cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 bad guy. In fact, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 studio will want to promote China as a good guy to please that audience.
  • North Korea: No way. Prior to "The Interview," this was a possibility. Not anymore!
My money is on an Islamic terrorist group, eicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r unnamed, or possibly Islamic State. They don't have an air force, you say? This is where cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 drone angle comes into play.

Here is my prediction for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Top Gun 2 plot.

Oil tankers are trying to pass through cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Gulf of Aden, or maybe cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Strait of Hormuz, carrying cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir precious cargo. Suddenly a swarm of small, yet armed, drones attack and destroy cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 convoy, setting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 oil ablaze in a commercial and environmental disaster. The stock market suffers a huge drop and gas prices skyrocket.

The US Fifth Fleet, and its Chinese counterpart, performing counter-piracy duties nearby, rush to rescue cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 survivors. They set up joint patrols to guard ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r commercial sea traffic. Later cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Islamic group sends anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r swarm of drones to attack cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 American and Chinese ships. This time cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 enemy includes some sort of electronic warfare-capable drones that jam US and Chinese GPS, communications, and computer equipment. (I'm seeing a modern "Battlestar Galactica" cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365me here.) American and Chinese pilots die, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir ships are heavily damaged. (By cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 way, this is Hollywood, not real life.)

The US Navy realizes that its "net-centric," "technologically superior" force can't compete with this new era of warfare. Cue cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 similarities with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 pre-Fighter Weapons School, early Vietnam situation described in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first scenes at Miramar in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 original movie. (Remember, a 12-1 kill ratio in Korea, 3-1 in early Vietnam due to reliance on missiles and atrophied dogfighting skills, back to 12-1 in Vietnam after Top Gun training?)


The US Navy decides it needs to bring back someone who thinks unconventionally in order to counter cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 drone threat and resume commercial traffic in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Gulf. They find Maverick, barely hanging on to a job teaching at a civilian flight school. His personal life is a mess, and he was kicked out of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Navy during cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first Gulf War in 1991 for breaking too many rules. Now cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Navy wants him to teach a new generation of pilots how to fight once cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir "net-centric crutches" disappear.

You know what happens next. Maverick returns to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Navy as a contractor. Top Gun is now cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Naval Strike and Air Warfare Center (NSAWC) at NAS Fallon, Nevada. The Navy retired his beloved F-14 in 2006, so cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re is a choice to be made about what aircraft awaits him in Nevada. I see three possibilities:

1) The Navy resurrects cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 F-14 because it's "not vulnerable" to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 drone electronic warfare. This would be cool, but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y aren't going to be able to fly American F-14s due to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir retirement. CGI maybe?

2) The Navy flies cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 new F-35, because it's new and cool. However, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Navy will probably not have any to fly. CGI again?

3) The Navy flies cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 F-18. This is most likely, because producers could film live operations as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y did in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 1980s.

Beyond cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 aircraft issues, I expect cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365mes involving relevance as one ages, re-integration with military culture, and possibly friction between members of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 joint US-China task force created to counter cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Islamic threat.

In cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 end, thanks to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ingenuity of Maverick's teaching and tactics, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Americans and Chinese prevail over cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Islamic forces. It might require Maverick to make cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ultimate sacrifice, showing he's learned that warfare is a team sport, and that he really misses Goose. The Chinese name cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir next aircraft carrier cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "Pete Mitchell" in honor of Maverick's sacrifice. (Forget calling it cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "Maverick" -- too much rebellion for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 CCP.)

I'm looking forward to this movie.

Saturday, June 27, 2015

Hearing Witness Doesn't Understand CDM

This post is a follow up to this post on CDM. Since that post I have been watching hearings on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 OPM breach.

On Wednesday 24 June a Subcommittee of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 House Committee on Homeland Security held a hearing titled DHS’ Efforts to Secure .Gov.

A second panel (starts in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Webcast around 2 hours 20 minutes) featured Dr. Daniel M. Gerstein, a former DHS official now with RAND, as its sole witness.

During his opening statement, and in his written testimony, he made cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following comments:

"The two foundational programs of DHS’s cybersecurity program are EINSTEIN (also called EINSTEIN 3A) and CDM. These two systems are designed to work in tandem, with EINSTEIN focusing on keeping threats out of federal networks and CDM identifying cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y are inside government networks.

EINSTEIN provides a perimeter around federal (or .gov) users, as well as select users in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 .com space that have responsibility for critical infrastructure. EINSTEIN functions by installing sensors at Web access points and employs signatures to identify cyberattacks.

CDM, on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r hand, is designed to provide an embedded system of sensors on internal government networks. These sensors provide real-time capacity to sense anomalous behavior and provide reports to administrators through a scalable dashboard. It is composed of commercial-off-cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365-shelf equipment coupled with a customized dashboard that can be scaled for administrators at each level." (emphasis added)

All of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 text in bold is false. CDM is not "identifying [threats] when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y are in inside government networks." CDM is not "an embedded system of sensors on internal government networks" looking for threat actors.

Why does Dr. Gerstein so misunderstand cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 CDM program? The answer is found in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 next section of his testimony, reproduced below.

"CDM operates by providing

          federal departments and agencies with capabilities and tools that identify
          cybersecurity risks on an ongoing basis, prioritize cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se risks based upon
          potential impacts, and enable cybersecurity personnel to mitigate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365
          most significant problems first. Congress established cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 CDM program
          to provide adequate, risk-based, and cost-effective cybersecurity and
          more efficiently allocate cybersecurity resources." (emphasis added)

The indented section is reproduced from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 DHS CDM Website, as footnoted in Dr. Gerstein's statement.

The answer to my question of misunderstanding involves two levels of confusion.

The first level of confusion is a result of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 CDM description, which confuses risks with vulnerabilities. Basically, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 CDM description should say vulnerabilities instead of risks. CDM, now known as Continuous Diagnostics and Mitigation, is a "find and fix flaws (i.e., vulnerabilities) faster" program.

In ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r words, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 CDM description should say:

"CDM gives federal departments and agencies with capabilities and tools that identify cybersecurity vulnerabilities on an ongoing basis, prioritize cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se vulnerabilities based upon potential impacts, and enable cybersecurity personnel to mitigate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 most significant problems first."

The second level of confusion is a result of Dr. Gerstein confusing risks with threats. It is clear that when Dr. Gerstein reads cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 CDM description and its mention of "risks," he thinks CDM is looking for threat actors. CDM does not look for threat actors; CDM looks for vulnerabilities. Vulnerabilities are flaws in software or configuration that make it possible for intruders to gain unauthorized access.

As I wrote in my CDM post, we absolutely need cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 capability to find and fix flaws faster. We need CDM. However, do not confuse CDM with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 operational capability to detect and remove threat actors. CDM could be deployed across cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 entire Federal government, but it would be an accident if a security analyst noticed an intruder using a CDM tool.

Essentially, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 government needs to implement My Federal Government Security Crash Program to detect and remove threat actors.

It is critical that staffers, lawmakers, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 public understand what is happening, and not be lulled into a false sense of security due to misunderstanding cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se concepts.

Saturday, June 20, 2015

The Tragedy of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Bloomberg Code Issue

Last week I Tweeted about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Bloomberg "code" issue. I said I didn't know how to think about it. The issue is a 28,000+ word document, enough to qualify as a book, that's been covered by news outlets like cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Huffington Post.

I approached cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 document with an open mind. When I opened my mail box last week, I didn't expect to get a 112 page magazine devoted to explaining cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 importance of software to non-technical people. It was a welcome surprise.

This morning I decided to try to read some of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 issue. (It's been a busy week.) I opened cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 table of contents, shown at left. It took me a moment, but I realized none of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 article titles mentioned security.

Next I visited cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 online edition, which contains cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 entire print version and adds additional content. I searched cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 text for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 word "security." These are cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 results:

Security research specialists love to party.

I have been asked if I was physical security (despite security wearing very distinctive uniforms),” wrote Erica Joy Baker on Medium.com who has worked, among ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r places, at Google.

Can we not rathole on Mailinator before we talk overall security?

We didn’t talk about password length, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 number of letters and symbols necessary for passwords to be secure, or whecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r our password strategy on this site will fit in with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 overall security profile of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 company, which is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 responsibility of a different division. 

Ditto many of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 security concerns that arise when building websites, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 typical abuses people perpetrate.

“First, I needed to pass everything through cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 security team, which was five months of review,” TMitTB says, “and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n it took me weeks to get a working development environment, so I had my developers sneaking out to Starbucks to check in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir code. …”

In Fortran, and I ask to see your security clearance.

If you're counting, that's eight instances of "security" in seven sentences. There's no mention of "software security." There's a small discussion about "e-mail validation," but it's printed to show how broken software development meetings can be.

Searching for "hack" yields two references to "Hacker News" and this sentence talking about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 perils of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 PHP programming language:

Everything was always broken, and people were always hacking into my sites.

There is one result for "breach," but it has nothing to do with security incidents. The only time cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 word "incident" appears is in a sentence talking about programming conference attendees behaving badly.

In brief, a 112 page magazine devoted to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 importance of software has absolutely nothing useful to say about software security. Arguably, it says absolutely nothing on software security.

When someone communicates, what he or she doesn't say can be as important as what he or she does say.

In cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 case of this magazine, it's clear that software security is not on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 minds of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 professional programmer who wrote cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 issue. It's also not a concern of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 editor or any of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 team that contributed to it.

From what I have seen, that neglect is not unique to Bloomberg.

That is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 tragedy of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Bloomberg code issue, and it remains a contributing factor to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 decades of breaches we have been suffering.