Sunday, November 09, 2008

2nd Issue of BSD Magazine

I recently received a copy of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 2nd issue of BSD Magazine. This edition has a heavy OpenBSD focus, which is nice considering OpenBSD 4.4 was released last week. I have it on good authority that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 next issue of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 magazine will focus on NetBSD and be available in December. When I can say more I will post details on my blog.

Friday, November 07, 2008

Fast Money's Transparency and Digital Security

This evening I was very happy to attend a live taping of CNBC's Fast Money program in Washington, DC. Several years ago my wife and I saw a live taping of CNN's old Crossfire program, but this event took place in a huge hall with over 2,000 audience members.

Before cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 broadcast Fast Money host Dylan Ratigan addressed us and shared his thoughts on current economic conditions. He said that a lack of transparency was a fundamental problem on Wall Street and in Washington, DC. He stated he is on a crusade to obtain from those in power cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 information investors and citizens need to make sound decisions.

This point resonated with me. Looking at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 financial wreckage around us, I remembered my post Bankers: Welcome to Our World. I wondered if I might have to write a post where bankers tell digital security people "welcome to our world." In ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r words, what bubbles of false security have we encouraged thanks to low security spending, lack of management interest, and lack of visibility? (The financial equivalents might be low interest rates, poor oversight, and off-balance-sheet activities.)

In my post General Chilton on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Cyber Fight I used this language:

Imagine that you defer that cost by not detecting and responding to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 intrusion. Perhaps cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 intruder is stealthy. Perhaps you detect cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attack but cannot respond for a variety of reasons. The longer cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 intrusion remains active, I would argue, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 more debt one builds.

For my keynote at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 2008 SANS Forensics and IR Summit I coined cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 term intrusion debt to describe cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 costs I outlined in my Chilton post. (Slides from my SANS talk are here. [.pdf])

When does that intrusion debt become too great? How many CEOs/CIOs/CTOs/CISOs/CSOs will look at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 digital wreckage of an incident and wonder "why didn't we see this happening?"

Current and Future White House v China

To continue my "v China" series of blog posts, I note cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following:

Chinese hack into White House network:

Chinese hackers have penetrated cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 White House computer network on multiple occasions, and obtained e-mails between government officials, a senior US official told cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Financial Times.

On each occasion, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 cyber attackers accessed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 White House computer system for brief periods, allowing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m enough time to steal information before US computer experts patched cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system.

US government cyber intelligence experts suspect cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attacks were sponsored by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Chinese government because of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir targeted nature. But cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y concede that it is extremely difficult to trace cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 exact source of an attack beyond a server in a particular country.

”We are getting very targeted Chinese attacks so it stretches credulity that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se are not directed by government-related organisations,” said cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 official.

The official said cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Chinese cyber attacks had cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 hallmarks of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 “grain of sands” approach taken by Chinese intelligence, which involves obtaining and pouring through lots of - often low-level - information to find a few nuggets.

Some US defence companies have privately warned about attacks on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir systems, which cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y believe are attempts to learn about future weapons systems.

The National Cyber Investigative Joint Task Force [apparently an FBI-led group], a new unit established in 2007 to tackle cyber security, detected cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attacks on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 White House. But cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 official stressed that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 hackers had only accessed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 unclassified computer network, not cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 more secure classified network.


So that's cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 current administration. On to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 next:

Obama, McCain campaigns' computers hacked for policy data:

Computers at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 headquarters of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Barack Obama and John McCain campaigns were hacked during cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 campaign by a foreign entity looking for future policy information, a source with knowledge of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 incidents confirms to CNN.

Sources say McCain campaign computers were hacked around cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same time as those of Obama's campaign.

Workers at Barack Obama's headquarters first thought cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re was a computer virus.

The source said cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 computers were hacked mid-summer by eicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r a foreign government or organization.

Anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r source, a law enforcement official familiar with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 investigation, says federal investigators approached both campaigns with information cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 U.S. government had about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 hacking, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 campaigns cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n hired private companies to mitigate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 problem.

U.S. authorities, according to one of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 sources, believe cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y know who cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 foreign entity responsible for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 hacking is, but refused to identify it in any way, including what country.

The source, confirming cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attacks that were first reported by Newsweek, said cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 sophisticated intrusions appeared aimed at gaining information about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 evolution of policy positions in order to gain leverage in future dealings with whomever was elected.

The FBI is investigating, one of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 sources confirmed to CNN.


This is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Golden Age for incident detection and response. Where are all cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 prevention advocates? How about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 inside threat fans? Sorry, it's all about detecting and responding to external threats.

Thursday, November 06, 2008

Defining Security Event Correlation

This my final post discussing security event correlation (SEC) for now. (When I say SAC I do not mean cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Simple Event Correlator [SEC] tool.)

Previously I looked at some history regarding SEC, showing that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ways people thought about SEC really lacked rigor. Before describing my definition of SEC, I'd like to state what I think SEC is not. So, in my opinion -- you may disagree -- SEC is not:

  1. Collection (of data sources): Simply putting all of your log sources in a central location is not correlation.

  2. Normalization (of data sources): Converting your log sources into a common format, while perhaps necessary for correlation (according to some), is not correlation.

  3. Prioritization (of events): Deciding what events you most care about is not correlation.

  4. Suppression (via thresholding): Deciding not to see certain events is not correlation.

  5. Accumulation (via simple incrementing counters: Some people consider a report that one has 100 messages of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same type to be correlation. If that is really correlation I think your standards are too low. Counting is not correlation.

  6. Centralization (of policies): Applying a single policy to multiple messages, while useful, is not correlation itself.

  7. Summarization (via reports): Generating a report -- again helpful -- by itself is not correlation. It's counting and sorting.

  8. Administration (of software): Configuring systems is definitely not correlation.

  9. Delegation (of tasks): Telling someone to take action based on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 above data is not correlation.


So what is correlation? In my last post I cited Greg Shipley, who said if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 engine sees A and also sees B or C, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n it will go do X. That seems closer to what I consider security event correlation. SEC has a content component (what happened) and a temporal component (when did it happen). Using those two elements you can accomplish what Greg says.

I'd like to offer cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following definition, while being open to ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r ideas:

Security event correlation is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 process of applying criteria to data inputs, generally of a conditional ("if-cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n") nature, in order to generate actionable data outputs.

So what about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 nine elements are listed? They all seem important. Sure, but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y are not correlation. They are functions of a Security Information and Event Management (SIEM) program, with correlation as one component. So, add correlation as item 10, and I think those 10 elements encompass SIEM well. This point is crucial:

SIEM is an operation, not a tool.

You can buy a SIEM tool but you can't buy a SIEM operation. You have to build a SIEM operation, and you may (or may not) use a SIEM to assist you.

Wait, didn't Raffy say SIM is dead? I'll try to respond to that soon. For now let me say that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 guiding principle for my own operation is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following:

Not just more data; cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 right data -- fast, flexible, and functional.

Tuesday, November 04, 2008

Response to Marcus Ranum HITB Cyberwar Talk

Many readers have been asking me to comment on Marcus Ranum's keynote titled Cyberwar is Bullshit at Hack In The Box Security Conference 2008 - Malaysia. (What a great conference; I think we are seeing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Asia-Pacific area really grow its digital security community. You can access cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 conference materials here. I'd like to point out my friend CS Lee spoke about NSM at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 event.)

The article Don’t waste funds preparing for cyberwars summarized Marcus' talk as follows:

The billions of dollars spent on researching cyberwarfare can be put to better use because cyberwar is never going to be as effective as conventional war, said an IT ­security expert.

Marcus Ranum, chief security officer of Tenable Network Security said cyberattacks aren’t a good force multiplier in an actual war.

Many people, he said, talk about cyberspace as if it can be a new form of battlefield but this is not possible because you can’t occupy and hold cyberspace as you would a piece of enemy territory.

Ranum was speaking at HiTBSecConf 2008 here this week.

He said trying to overcome anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r country via cyberspace is impossible unless you also have a huge army that can defeat its forces in conventional warfare.

A small country, even with an army of hackers on its side, is never going to be able to defeat a big country with an extensive land, air and sea military force by attacking through cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Internet.


If you search my blog for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 term cyberwar you'll find plenty of posts, but let me try to summarize my thoughts.

In September 2007 I wrote China Cyberwar, or Not?:

DoD Joint Publication 3-13, Information Operations, differentiates between two sorts of offensive information operations.

  1. Computer Network Exploitation. Enabling operations and intelligence collection capabilities conducted through cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 use of computer networks to gacá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r data from target or adversary automated information systems or networks. Also called CNE.

  2. Computer Network Attack. Actions taken through cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 use of computer networks to disrupt, deny, degrade, or destroy information resident in computers and computer networks, or cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 computers and networks cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365mselves. Also called CNA.


You can think of CNE as spycraft, and CNA as warfare. In cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 physical world, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 former is always occurring; cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 latter is hopefully much rarer. I would place all of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 publicly reported activity from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 last few months in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 CNE category.


I'd like to add a third category not mentioned in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 information operations doctrine: cybercrime. In Marcus' talk, he separates adversary action into cybercrime, cyberterror, cyberespionage, and cyberwar. I don't explicitly break out terrorism because I consider it a criminal issue, and not a military issue.

Marcus's cyberespionage and cyberwar categories relate to my points about Computer Network Exploitation and Computer Network Attack, respectively.

Marcus' slides say "packets don't hold ground." The question is whecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r that matters. Aircraft don't hold ground eicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r. However, no army wants to operate without air supremacy or at least air superiority overhead. (Ask cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Georgians if you doubt this.) Would you racá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r be able to conduct CNE, or not? If yes, why?

Combatant commanders approach cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 problem this way. If you're Stormin' Norman Schwarzkopf in 1991, and you want to remove cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Iraqi army from Kuwait, you'll want to blind cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Iraqi radar grid. If you can do so electronically instead of risking cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 life of a pilot or running down your missile stocks, would you want to? Most commanders I knew wanted to be 100% sure that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir decision would work. Not all warfare is about holding ground.

I think cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 major problem with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 cyberwar discussion is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 idea that a real conflict could be a purely cyber conflict. This is wrong. I don't think cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 early air pioneers expected cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir role to involve purely aerial warfare. Each method of combat has been integrated into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 overall ugly fabric of war. So, I don't think "cyberwar is bullshit," but I'm guessing neicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r does Marcus if you discuss it in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 proper context.

Monday, November 03, 2008

Response to "Air Force Aims to 'Rewrite Laws of Cyberspace'"

Given my recent posts like Whicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r Air Force Cyber? I felt cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 need to comment on Noah Shachtman's story Air Force Aims to 'Rewrite Laws of Cyberspace':

The Air Force is fed up with a seemingly endless barrage of attacks on its computer networks from stealthy adversaries whose motives and even locations are unclear. So now cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 service is looking to restore its advantage on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 virtual battlefield by doing nothing less than cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 rewriting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "laws of cyberspace."

Four years ago I wrote Thoughts on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 United States Air Force Computing Plans:

I was asked my thoughts on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 US Air Force's new computing deal with Microsoft. In short, Microsoft will provide core server software, maintenance and upgrade support, and Dell will supply more than 525,000 Microsoft desktop Windows and Office software licenses to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Air Force...

So instead of taking a serious look at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 root cause of its patching and exploitation costs (both financial and in mission impact), cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Air Force sought a better deal from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 vendor producing flawed software. This is sad. TechWorld's Ellen Messmer wrote "The US Air Force has had enough of Microsoft's security problems. But racá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r than switch to an alternative, it has struck a deal with CEO Steve Ballmer for a specially configured version of Windows..."

Had cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Air Force decided to break away from Microsoft, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r services would have definitely taken notice. In fact, corporate America would have taken notice.


I followed a few months later with As Always, .gov and .mil Fight cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Last War:

The US Office of Management and Budget's Karen Evans reportedly likes cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 US Air Force's plans to "deliver standardized and securely configured Microsoft software throughout cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 service..."

This approach is fighting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 last war, since it relies on running hundreds of thousands of personal computers with general purpose operating systems. All of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se systems will still need applications installed, and those apps and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 OS will have to be patched, updated, etc.


Here we are staring at 2009 and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Air Force is still being 0wned. So much for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 bold Microsoft strategy! Apparently cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Air Force has taken a note from my blog post Change cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Plane by seeking to "rewrite laws of cyberspace."

Unfortunately, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Air Force and anyone else who seeks a vulnerability-centric security program needs to realize that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 only way to win purely by playing defense is to be different. Being different means you force cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 adversary to expend time and resources on attacking you. Right now it's cheap for an adversary to develop a single Word 0-day and sell it to someone attacking .mil, or .edu, or .com, or anyone else running Office. However, if you really want to attack cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Air Force, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y use AFOffice on AFOS (maybe on AF CPU), you have to develop new ways to steal cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir data. That's probably not cheap.

Unfortunately for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Air Force and ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs adopting a defense-by-diversity strategy, being different costs money. The whole reason cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 defense and intel communities adopted COTS (Commercial Off The Shelf) platforms was to save money. The Air Force and anyone else who pursues a vulnerability-centric security posture should weigh cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 total costs of COTS vs GOTS (Government Off The Shelf). I bet when you factor in security costs, COTS doesn't look so attractive anymore.

The Best Cyber-Defense...

I've previously posted Taking cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Fight to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Enemy and Taking cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Fight to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Enemy, Revisited. I agreed with sentiments like cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following, quoted in my posts:

The best defense against cyberattacks on U.S. military, civil and commercial networks is to go on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 offensive, said Marine Gen. James Cartwright, commander of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Strategic Command (Stratcom), said March 21 in testimony to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 House Armed Services Committee.

“History teaches us that a purely defensive posture poses significant risks,” Cartwright told cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 committee. He added that if “we apply cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 principle of warfare to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 cyberdomain, as we do to sea, air and land, we realize cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 defense of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 nation is better served by capabilities enabling us to take cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 fight to our adversaries, when necessary, to deter actions detrimental to our interests...”


I found this idea echoed in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 book Enemies: How America's Foes Steal Our Vital Secrets--and How We Let It Happen by Bill Gertz which I mentioned in Counterintelligence: Worse Than Security?. The author argues that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 best way to protect a nation's intelligence from enemies is to attack cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 adversary's intelligence services. In ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r words, conduct aggressive counterintelligence to find out what cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 enemy knows about you. When you know what cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 enemy knows about you, you fight a more informed battle. You may even be able to alter his perception of you, and avoid a fight altogecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r.

I think Joe Stewart's latest post, Tracking Gimmiv, illustrates this point very well. Joe isn't a .mil or .gov operative, so he can't bomb anyone or put cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m in jail. He can conduct research operations, however, to learn cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 truth about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 enemy's capabilities. Joe writes:

On October 23, 2008, Microsoft released an out-of-cycle emergency patch for a flaw in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Windows RPC code. The reason for this unusual occurance was cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 discovery of a “zero-day” exploit being used in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 wild by a worm (or trojan, depending on how you look at it). The announcement of a new remote exploit for unpatched Windows systems always raises tension levels among network administrators. The fact that this one was already being used by a worm evoked flashbacks of Blaster and Sasser and ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r previous threats that severely impacted cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 networked world.

But, unlike cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se past worms, Gimmiv turned out to have infected scarcely any networks at all...

Because of some mistakes made by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 author(s) of Gimmiv, third parties were able to download cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 logfiles of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Gimmiv control server. Although most of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 logs is AES-encrypted, we were able to find cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 key hardcoded in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Gimmiv binary and decrypt cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data.

Although it has been reported that Gimmiv is a credential-stealing trojan, this functionality is actually not used - cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 gacá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365red data is never sent. What is sent is simply basic system information, such as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Windows version, IP and MAC address, Windows install date/time and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 default system locale. Using this data we were able to track exactly how many computers had been infected prior to October 23rd (after this time infection counts are somewhat skewed due to malware researchers all over cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 world investigating Gimmiv). As it turns out, only around 200 computers were infected since cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time Gimmiv was actively deployed on September 29, 2008...

Additionally, a zip file left behind on one of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 control servers contained Korean characters in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 compressed folder name. For cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se two reasons, we believe Gimmiv’s author is probably from South Korea.
(emphasis added)


Joe took cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 fight to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 enemy. This is what most malware researchers do; cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y infiltrate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 adversary's systems to figure out what is happening. This isn't a task for novices, but it does yield excellent results.

Joe's work isn't strictly counterintelligence, since he is probably not opposing a foreign intelligence service. Speaking of counterintelligence, I noticed this August article New Unit of DIA Will Take cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Offensive On Counterintelligence about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Defense Counterintelligence and Human Intelligence Center:

The Defense Intelligence Agency's newly created Defense Counterintelligence and Human Intelligence Center is going to have an office authorized for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first time to carry out "strategic offensive counterintelligence operations," according to Mike Pick, who will direct cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 program...

In strategic offensive counterintelligence operations, a foreign intelligence officer is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 target, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 main goals most often are "to gacá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r information, to make something happen . . . to thwart what cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 opposition is trying to do to us and to learn more about what cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y're trying to get from us," [Toby] Sullivan [director of counterintelligence for James R. Clapper Jr., cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Undersecretary of Defense for Intelligence] said.
(emphasis added)

I found cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 transcript of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 news conference contained this section mentioning cyber:

Q: Could you talk about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 threats that you guys are sort of arrayed against? I’m thinking China has got to be high on your list. They seem to be in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 news a lot for particularly defense technology, espionage. And I’m wondering where you fit into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 whole cyber initiative that seems to be – so could you just talk about those and ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r things that you’re particularly focused on?

MR. SULLIVAN: The cyber initiative – cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re are ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r parts of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 department that are responsible for protecting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 IT systems of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 department. The counterintelligence role in that – and we do have a role – is to provide some analysis and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n, quite frankly, from an offensive capability, it provides us anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r venue to perhaps engage cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 enemy. But we don’t have a role in protecting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 systems, if you will. There are ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r folks in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 department that do that. As far as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 threats, we had cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Cold War threats and we have cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 today threats. There hadn’t been a whole lot of change over cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 last 20 or 30 years.


It will be interesting to (not) see how this new organization develops.