Showing posts with label apt. Show all posts
Showing posts with label apt. Show all posts

Saturday, February 09, 2019

Forcing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Adversary to Pursue Insider Theft

Jack Crook pointed me toward a story by Christopher Burgess about intellectual property cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ft by "Hongjin Tan, a 35 year old Chinese national and U.S. legal permanent resident... [who] was arrested on December 20 and charged with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ft of trade secrets. Tan is alleged to have stolen cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 trade secrets from his employer, a U.S. petroleum company," according to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 criminal complaint filed by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 US DoJ.

Tan's former employer and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 FBI allege that Tan "downloaded restricted files to a personal thumb drive." I could not tell from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 complaint if Tan downloaded cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 files at work or at home, but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 thumb drive ended up at Tan's home. His employer asked Tan to bring it to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir office, which Tan did. However, he had deleted all cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 files from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 drive. Tan's employer recovered cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 files using commercially available forensic software.

This incident, by definition, involves an "insider threat." Tan was an employee who appears to have copied information that was outside cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 scope of his work responsibilities, resigned from his employer, and was planning to return to China to work for a competitor, having delivered his former employer's intellectual property.

When I started GE-CIRT in 2008 (officially "initial operating capability" on 1 January 2009), one of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 strategies we pursued involved insider threats. I've written about insiders on this blog before but I couldn't find a description of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 strategy we implemented via GE-CIRT.

We sought to make digital intrusions more expensive than physical intrusions.

In ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r words, we wanted to make it easier for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 adversary to accomplish his mission using insiders. We wanted to make it more difficult for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 adversary to accomplish his mission using our network.

In a cynical sense, this makes security someone else's problem. Suddenly cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 physical security team is dealing with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 worst of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 worst!

This is a win for everyone, however. Consider cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 many advantages cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 physical security team has over cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 digital security team.

The physical security team can work with human resources during cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 hiring process. HR can run background checks and identify suspicious job applicants prior to granting employment and access.

Employees are far more exposed than remote intruders. Employees, even under cover, expose cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir appearance, likely residence, and personalities to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 company and its workers.

Employees can be subject to far more intensive monitoring than remote intruders. Employee endpoints can be instrumented. Employee workspaces are instrumented via access cards, cameras at entry and exit points, and ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r measures.

Employers can cooperate with law enforcement to investigate and prosecute employees. They can control and deter cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ft and ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r activities.

In brief, insider cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ft, like all "close access" activities, is incredibly risky for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 adversary. It is a win for everyone when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 adversary must resort to using insiders to accomplish cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir mission. Digital and physical security must cooperate to leverage cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se advantages, while collaborating with human resources, legal, information technology, and business lines to wring cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 maximum results from this advantage.

Monday, June 25, 2018

Bejtlich on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 APT1 Report: No Hack Back

Before reading cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 rest of this post, I suggest reading Mandiant/FireEye's statement Doing Our Part -- Without Hacking Back.

I would like to add my own color to this situation.

First, at no time when I worked for Mandiant or FireEye, or afterwards, was cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re ever a notion that we would hack into adversary systems. During my six year tenure, we were publicly and privately a "no hack back" company. I never heard anyone talk about hack back operations. No one ever intimated we had imagery of APT1 actors taken with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir own laptop cameras. No one even said that would be a good idea.

Second, I would never have testified or written, repeatedly, about our company's stance on not hacking back if I knew we secretly did ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rwise. I have quit jobs because I had fundamental disagreements with company policy or practice. I worked for Mandiant from 2011 through cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 end of 2013, when FireEye acquired Mandiant, and stayed until last year (2017). I never considered quitting Mandiant or FireEye due to a disconnect between public statements and private conduct.

Third, I was personally involved with briefings to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 press, in public and in private, concerning cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 APT1 report. I provided cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 voiceover for a 5 minute YouTube video called APT1: Exposing One of China's Cyber Espionage Units. That video was one of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 most sensitive, if not cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 most sensitive, aspects of releasing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 report. We showed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 world how we could intercept adversary communications and reconstruct it. There was internal debate about whecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r we should do that. We decided to cover cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 practice in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 report, as Christopher Glyer Tweeted:


In none of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se briefings to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 press did we show pictures or video from adversary laptops. We did show cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 video that we published to YouTube.

Fourth, I privately contacted former Mandiant personnel with whom I worked during cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 APT1 report creation and distribution. Their reaction to Mr Sanger's allegations ranged from "I've never heard of that" to "completely false." I asked former Mandiant colleagues, like myself, in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 event that current Mandiant or FireEye employees were told not to talk to outsiders about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 case.

What do I think happened here? I agree with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ory that Mr Sanger misinterpreted cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 reconstructed RDP sessions for some sort of "camera access." I have no idea about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "bros" or "leacá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r jackets" comments!

In cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 spirit of full disclosure, prior to publication, Mr Sanger tried to reach me to discuss his book via email. I was sick and told him I had to pass. Ellen Nakashima also contacted me; I believe she was doing research for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 book. She asked a few questions about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 origin of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 term APT, which I answered. I do not have cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 book so I do not know if I am cited, or if my message was included.

The bottom line is that Mandiant and FireEye did not conduct any hack back for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 APT1 report.

Update: Some of you wondered about Ellen's role. I confirmed last night that she was working on her own project.

Sunday, January 14, 2018

Remembering When APT Became Public

Last week I Tweeted cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 8th anniversary of Google's blog post about its compromise by Chinese threat actors:

This intrusion made cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 term APT mainstream. I was cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first to associate it with Aurora, in this post 

https://taosecurity.blogspot.com/2010/01/google-v-china.html

My first APT post was a careful reference in 2007, when we all feared being accused of "leaking classified" re China: 

https://taosecurity.blogspot.com/2007/10/air-force-cyberspace-report.html

I should have added cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 term "publicly" to my original Tweet. There were consultants with years of APT experience involved in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Google incident response, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y recognized cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 work of APT17 at that company and ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs. Those consultants honored cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir NDAs and have stayed quiet.

I wrote my original Tweet as a reminder that "APT" was not a popular, recognized term until cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Google announcement on 12 January 2010. In my Google v China blog post I wrote:

Welcome to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 party, Google. You can use cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 term "advanced persistent threat" (APT) if you want to give this adversary its proper name.

I also Tweeted a similar statement on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same day:

This is horrifying: http://bit.ly/7x7vVW Google admits intellectual property cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ft from China; it's called Advanced Persistent Threat, GOOG

I made cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 explicit link of China and APT because no one had done that publicly.

This slide from a 2011 briefing I did in Hawaii captures a few historical points:


The Google incident was a watershed, for reasons I blogged on 16 January 2010. I remember cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 SANS DFIR 2008 event as effectively "APTCon," but beyond Mandiant, Northrup Grumman, and NetWitness, no one was really talking publicly about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 APT until after Google.

As I noted in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 July 2009 blog post, You Down With APT? (ugh):

Aside from Northrup Grumman, Mandiant, and a few vendors (like NetWitness, one of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 full capture vendors out cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re) mentioning APT, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re's not much else available. A Google search for "advanced persistent threat" -netwitness -mandiant -Northrop yields 34 results (prior to this blog post). (emphasis added)

Today that search yields 244,000 results.

I would argue we're "past APT." APT was cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 buzzword for RSA and ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r vendor-centric events from, say, 2011-2015, with 2013 being cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 peak following Mandiant's APT1 report.

The threat hasn't disappeared, but it has changed. I wrote my Tweet to mark a milestone and to note that I played a small part in it.

All my APT posts here are reachable by this APT tag. Also see my 2010 article for Information Security Magazine titled What APT Is, and What It Isn't.

Saturday, May 23, 2015

An Irrelevant Thesis

This week The Diplomat published an article by Dr Greg Austin titled What cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 US Gets Wrong About Chinese Cyberespionage. The subtitle teases cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365sis: "Is it government policy in China to pass on commercial secrets obtained via cyberespionage to civil sector firms?" As you might expect (because it prompted me to write this post), cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 author's answer is "no."

The following contains cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 argument:

"Chinese actors may be particularly adept in certain stages of economic espionage, but it is almost certainly not Chinese government policy to allow cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 transfer of trade secrets collected by highly classified intelligence sources to its civil sector firms for non-military technologies on a wide-spread basis.

A U.S. influencing strategy toward China premised on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 claim that this is China’s policy would appear to be ill-advised based on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 evidence introduced so far by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 United States in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 public domain." (emphasis added)

I find it interesting that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 author concedes cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ft by Chinese government actors, which cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Chinese government refuses to acknowledge. However, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 author seeks to excuse this activity out of concern for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 effect it has on US-China ties.

One aspect of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 relationship between China and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 US worries cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 author most:

"There are many ways to characterize cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 negative impact on potential bilateral cooperation on cyberspace issues of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 “lawfare” being practised by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 United States to discipline China for its massive cyber intrusions into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 commercial secrets of U.S. firms. One downside is in my view more important than ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs. This is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 belief being fostered by U.S. officials among elites in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 United States and in ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r countries that China as a nation is a “cheater” country..."

Then, in a manner similar to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 way Chinese spokespeople respond to any Western accusations of wrongdoing, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 author turns cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 often-heard "Chinese espionage as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 largest transfer of wealth in history" argument against cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 US:

"In cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 absence of any Administration taxonomy of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 economic impacts of cyber espionage, alleged by some to represent cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 largest illicit transfer of wealth in human history, one way of evaluating it is to understand that for more than three decades it has been U.S. policy, like that of its principal allies, to undertake cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 largest lawful transfer of wealth in human history through trade with, investment in and technology transfer to China."

(I'm not sure I understand cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 cited benefits cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 US has accrued due to this "largest lawful transfer of wealth in human history," given cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 hollowing out of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 American manufacturing sector and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 trade imbalance with China, which totaled over $82 billion in 1Q15 alone. It's possible I am not appreciating what cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 author means though.)

Let's accept, for argument's sake, that it is not "official" Chinese government policy for its intelligence and military forces to steal commercial data from private and non-governmental Western organizations. How does accepting that proposition improve cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 situation? Would China excuse cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 US government if a "rogue" element of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 American intelligence community or military pursued a multi-decade campaign against Chinese targets?

Even if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 US government accepted this "Chinese data cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ft by rogue government actor" cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ory, it would not change cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 American position: stop this activity, by whatever means necessary. Given cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 power amassed by President Xi during his anti-corruption crackdown, I would expect he would be able to achieve at least some success in limiting his so-called "rogue actors" during cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 2+ years since Mandiant released cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 APT1 report. As Nicole Perlroth reported this month, Chinese hacking continues unabated. In fact, China has introduced new capabilities, such as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 so-called Great Cannon, used to degrade GitHub and ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs.

Similar to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 argument I made in my post What Does "Responsibility" Mean for Attribution?, "responsibility" is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 key issue. Based on my experience and research, I submit that Chinese computer network exploitation of private and non-governmental Western organizations is "state-integrated" and "state-executed." Greg Austin believes cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 activity is, at worst, "state-rogue-conducted." Stepping down one rung on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 state spectrum of responsibility ladder is far from enough to change US government policy towards China.

Note: In addition to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 article in The Diplomat, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 author wrote a longer paper titled  China’s Cyberespionage: The National Security Distinction and U.S. Diplomacy (pdf).

I also plan to read Dr Austin's new book, Cyber Policy in China, which looks great! Who knows, we might even be able to collaborate, given his work with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 War Studies department at KCL.

Saturday, March 02, 2013

Mandiant APT1 Report: 25 Best Commentaries of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Last 12 Days

Two weeks ago today our team at Mandiant was feverishly preparing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 release of our APT1 report.

In cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 twelve days that followed publication on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 evening of Monday cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 18th, I've been very pleased by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 amount of constructive commentary and related research published online.

In this post I'd like to list those contributions that I believe merit attention, in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 event you missed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first time around.

These sorts of posts are examples of what cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 security community can do to advance our collective capability to counter digital threats.

Please note I avoided mass media accounts, interviews with Mandiant team members, and most general commentary.

They are listed in no particular order.

  1. Seth Hall (Bro): Watching for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 APT1 Intelligence
  2. Jason Wood (SecureIdeas): Reading cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Mandiant APT1 Report
  3. Chris Sanders: Making cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Mandiant APT1 Report Actionable
  4. Symantec: APT1: Q&A on Attacks by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Comment Crew
  5. Tekdefense (NoVA Infosec): MASTIFF Analysis of APT1
  6. Chort Row (@chort0): Analyzing APT1 with Cuckoobox, Volatility, and Yara
  7. Ron Gula (Tenable): We have Microsoft Tuesday, so how long until we have Indicator Wednesday?
  8. OpenDNS Umbrella Labs:An intimate look at APT1, China’s Cyber-Espionage Threat
  9. Chris Lew (Mandiant): Chinese Advanced Persistent Threats: Corporate Cyber Espionage Processes and Organizations (BSidesSF, slides not online yet)
  10. Adam Segal: Hacking back, signaling, and state-society relations
  11. Snorby Labs: APT Intelligence Update
  12. Wendy Nacá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r: Exercises left to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 reader
  13. Brad Shoop (Mandiant): Mandiant’s APT1 Domain/MD5 Intel and Security Onion for Splunk
  14. Brad Shoop (Mandiant): Mandiant’s APT1 Domain/MD5 Intel and Security Onion with ELSA
  15. Kevin Wilcox: NSM With Bro-IDS Part 5: In-house Modules to Leverage Outside Threat Intelligence
  16. Cyb3rsleuth: Chinese Threat Actor Part 5
  17. David Bianco: The Pyramid of Pain
  18. Wesley McGrew: Mapping of Mandiant APT1 malware names to available samples
  19. Russ McRee: Toolsmith: Redline, APT1, and you – we’re all owned
  20. Jaime Blasco ( AlienVault Labs): Yara rules for APT1/Comment Crew malware arsenal
  21. Brandon Dixon: Mandiant APT2 Report Lure
  22. Seculert: Spear-Phishing with Mandiant APT Report
  23. PhishMe: How PhishMe addresses cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 top attack method cited in Mandiant’s APT1 report
  24. Rich Mogull (Securosis): Why China's Hacking is Different
  25. China Digital Times: Netizens Gacá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r Furcá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r Evidence of PLA Hacking

M-Unition (Mandiant) published Netizen Research Bolsters APT1 Attribution.

I'd also like to cite Verizon for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir comments and mention of IOCExtractor and Symantec for publishing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir indicators via Pastebin after I asked about it.

Thank you to those who took cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time to share what you found when analyzing related APT1 data, or when showing how to use APT1 indicators to do detection and response.


Sunday, September 23, 2012

To Be Hacked or Not To Be Hacked?

People often ask me how to tell if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y might be victims of state-serving adversaries. As I've written before, I don't advocate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 position that "everyone is hacked." How cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n can an organization make informed decisions about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir risk profile?

A unique aspect of Chinese targeted threat operations is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir tendency to telegraph cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir intentions. They frequently publish cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 industry types cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y intend to target, so it pays to read cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se announcements.

Adam Segal Tweeted a link to a Xinhua story titled China aims to become world technological power by 2049. The following excerpts caught my attention:

China aims to become a world technological power by 2049 and strives to be a leading nation in innovation and scientific development, according to a government document released on Sunday.

The document, released by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Communist Party of China Central Committee and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 State Council, or cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Cabinet, namely opinions on "deepening technological system reform and accelerating national innovation system construction," sets cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 goal for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 country to be "in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ranks of innovative nations" by 2020...

In this intro we read two key dates: 2020 for "in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ranks of innovative nations" and 2049 for a "world technological power." As we've seen during cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 last 10-12 years, one of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ways China pursues cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se goals is to steal intellectual property from target industries. What are those industries?

The development of strategic emerging industries, such as energy preservation and environmental protection, new-generation information technology, biology, advanced equipment manufacturing, new energy and material as well as green vehicles, should be accelerated, it said.

Major breakthroughs of key technologies should be materialized in sectors including electronic information, energy and environment protection, biological medicine and advanced manufacturing, it said.

Those industries have already been targeted and compromised by Chinese intruders. If you work in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se areas but aren't actively seeking to detect and respond to Chinese intruders in your enterprise, I recommend taking a closer look at who is using your network.

Later in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 document I was somewhat surprised to read cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following:

And technological innovation should be made in industries that were related to people's livelihoods, such as health, food and drug safety, and disaster relief, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 document said.

The underlined industries explain some activity I've seen recently, and it may be a warning for those of you in those sectors.

The last part of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 document I would like to mention says cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following: It called for an enhanced system to integrate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 technologies for military use and those for civilian purposes.

The document said cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 nation's technological plan would be more open to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 outside world in terms of cooperation, and international academic institutions and multinational companies would be encouraged to set up R&D centers.

None of that is new, but it shows cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Chinese commitment to applying "dual use" technologies to both sides of that equation. It also shows cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Chinese think cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y can still fool Western companies into sending engineers to China, where stealing IP is as easy as setting foot in an office building. Unfortunately plenty of Western companies appear to be falling for this ploy.

Saturday, February 04, 2012

The Toughest Question in Digital Security

The toughest question in digital security is "who cares?"

The recent Tweet by hogfly (@4n6ir) made me ponder this question. He points to an Aviation Week story by David Fulghum, Bill Sweetman, and Amy Butler titled China's Role In JSF's Spiraling Costs. It says in part:

How much of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 F-35 Joint Strike Fighter’s spiraling cost in recent years can be traced to China’s cybercá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ft of technology and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 subsequent need to reduce cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 fifth-generation aircraft’s vulnerability to detection and electronic attack?

That is a central question that budget planners are asking, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir queries appear to have validity. Moreover, senior Pentagon and industry officials say ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r classified weapon programs are suffering from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same problem. Before cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 intrusions were discovered nearly three years ago, Chinese hackers actually sat in on what were supposed to have been secure, online program-progress conferences, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 officials say.

The full extent of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 connection is still being assessed, but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re is consensus that escalating costs, reduced annual purchases and production stretch-outs are a reflection to some degree of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 need for redesign of critical equipment. Examples include specialized communications and antenna arrays for stealth aircraft, as well as significant rewriting of software to protect systems vulnerable to hacking.

It is only recently that U.S. officials have started talking openly about how data losses are driving up cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 cost of military programs and creating operational vulnerabilities, although claims of a large impact on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Lockheed Martin JSF are drawing mixed responses from senior leaders. All cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same, no one is saying cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re has been no impact.

While claiming ignorance of details about effects on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 stealth strike aircraft program, James Clapper, director of national intelligence, says that Internet technology has “led to egregious pilfering of intellectual capital and property. The F-35 was clearly a target,” he confirms.

The point of this article is to question cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 impact, in business and operational terms, of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 cyberwar China continues to prosecute against cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 West.

The toughest question in digital security is "who cares" because it is usually extremely difficult to determine cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 impact of an intrusion. Consider cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 steps required to define cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 business and operational impact of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ft of intellectual property (as one example -- cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re are many ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs).

  1. The victim must learn that an intrusion occurred.
  2. The victim must determine exactly what IP was stolen.
  3. The victim must understand cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 adversary's capability and intention to exploit cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 stolen IP.
  4. The victim must recognize when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 adversary exploits cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 stolen IP by using it in an operational context.
  5. The victim must determine what countermeasures or changes in courses of actions are possible to mitigate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 adversary's exploitation of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 stolen IP.
  6. The victim must syncá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365size most or all of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 previous points into an assessment of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 business and operational cost of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 IP cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ft.

Steps 1 and 2 are largely technical, but 3-6 are more business-focused. From what I have seen, everyone who is a victim in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ongoing cyberwar struggles to conduct "battle damage assessment" (BDA) for digital intrusions. Articles like cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 one I cited are examples showing how difficult it is to determine if anyone should care about China's exploitation of Western IP.

Tuesday, November 29, 2011

National Public Radio Talks Chinese Digital Espionage

When an organization like National Public Radio devotes an eleven minute segment to Chinese digital espionage, even cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 doubters have to realize something is happening. Rachel Martin's story China's Cyber Threat A High-Stakes Spy Game is excellent and well worth your listening (.mp3) or reading time.

Rachel interviews three sources: Ken Lieberthal of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Brookings Institution, Congressman Mike Rogers (chairman of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 House Intelligence Committee), and James Lewis from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Center for Strategic and International Studies.

If you listen to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 report you'll hear James Lewis mention "a famous letter from three Chinese scientists to Deng Xiaoping in March of 1986 that says we're falling behind cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Americans. We're never going to catch up unless we make a huge investment in science and technology."

James is referring to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 so-called 863 Program (Wikipedia). You can also read directly from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Chinese government itself here, e.g.:

In 1986, to meet cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 global challenges of new technology revolution and competition, four Chinese scientists, WANG Daheng, WANG Ganchang, YANG Jiachi, and CHEN Fangyun, jointly proposed to accelerate China’s high-tech development. With strategic vision and resolution, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 late Chinese leader Mr. DENG Xiaoping personally approved cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 National High-tech R&D Program, namely cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 863 Program.

Implemented during three successive Five-year Plans, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 program has boosted China’s overall high-tech development, R&D capacity, socio-economic development, and national security.

In April 2001, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Chinese State Council approved continued implementation of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 program in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 10th Five-year Plan. As one of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 national S&T program trilogy in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 10th Five-year Plan, 863 Program continues to play its important role.

1. Orientation and Objectives

Objectives of this program during cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 10th Five-year Plan period are to boost innovation capacity in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 high-tech sectors, particularly in strategic high-tech fields, in order to gain a foothold in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 world arena; to strive to achieve breakthroughs in key technical fields that concern cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 national economic lifeline and national security; and to achieve “leap-frog” development in key high-tech fields in which China enjoys relative advantages or should take strategic positions in order to provide high-tech support to fulfill strategic objectives in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 implementation of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 third step of our modernization process.


There's more to read, but that gives you a sense of what cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "letter" involves.

I hope this NPR story helps some of you realize that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 China threat is not "hype." Consider Dr Lieberthal in relation to Chairman Rogers and Jim Lewis. You can decide to try to refute cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir positions by saying that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Chairman has "an agenda," and Mr Lewis is essentially too distant from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 problem. I personally think Chairman Rogers is right on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 money, but I sometimes question where Mr Lewis gets his information.

Dr Lieberthal, however, is one of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 world's finest minds regarding China (Wikipedia entry), and he served in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Clinton administration. He even wrote a book on how to achieve corporate success in China (Managing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 China Challenge: How to Achieve Corporate Success in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 People's Republic). He is not a "China hawk" trying to start some kind of "war" with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Chinese, yet he takes cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 threat seriously enough to discuss cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 countermeasures he takes when visiting China ten times a year. Do those who doubt cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 China threat still believe it's all "hype"?

Friday, October 07, 2011

Interview with One of My Three Wise Men

Tony Sager from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 NSA is one of my Three Wise Men. (Dan Geer and Ross Anderson are cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r two.) Eric Parizo from SearchSecurity.com interviewed Tony this week and posted cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 video online.

Tony notes that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 escalation in threat activity during cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 last few years is real. He is in a position to know, given he has worked at NSA since cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 1970s. Tony says cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 threat activity is getting people's attention now, especially at more senior levels of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 government and industry. Now targeted organizations are thinking beyond cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 question "does this affect my company" to "does this affect my industry?"

Tony explains that a generational effect may account for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 change in awareness. More senior leaders grew up with technology, so cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y know how to think about it. There is also more public reporting on serious security incidents today.

My favorite quote was:

"If you're not a little concerned, you haven't been paying attention."

Since Tony is Mr Reasonable, I think that's a significant statement!

Eric asked Tony for his opinion on APT, and he replied that APT isn't that useful a concept for his line of work. That's possibly because his agency uses cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 original intrusion set names to manage threat intelligence, racá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r than an unclassified, "umbrella" term for discussing threat actors in private industry. Tony did explain that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "advanced" aspect for him means conducting operations in multiple "domains," e.g., escalating to physical, non-digital attacks when necessary.

Thursday, October 06, 2011

C-SPAN Posts Video of Tuesday Hearing

You can now access video of Tuesday's House Select Committee on Intelligence Hearing on Cybersecurity at C-SPAN.

Some people are already asking "what's new" about this. For me, what's new is that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 chairman of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 HPSCI is pointing his finger straight at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 threat, and letting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 world know in an open hearing that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 adversary's actions are unacceptable and will not be tolerated. This is exactly cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 sort of attention and action that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 threat deserves and I applaud cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Chairman and HPSCI for pursuing this course.

Remember that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 HPSCI is more likely to hold closed hearings than open hearings due to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 nature of its classified intelligence oversight work. By conducting an open hearing, Chairman Rogers wanted to send a clear message to victims, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 public, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 adversary.

Friday, September 16, 2011

Bejtlich Cited in Chinese Article on APT

I found it ironic to see cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 names Richard Bejtlich and MANDIANT appearing in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 article How to reduce cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 losses caused by APT attack? The reason this is funny is that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 article appears in a Chinese-language story, published by a site operating in Beijing!

You can read cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Google Translation if you can't read cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 original.

According to Tianji Media Group:

Established in January 1997, ChinaByte was cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first IT news website in China.

So, welcome to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 APT coverage!

Tuesday, September 13, 2011

Classic Chinese Defensive Propaganda

Thanks to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 sharp eye of a colleague from a mailing list, I learned of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 article Is China Really Cyberdragon? in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 English-language China Daily newspaper. The article is by Tang Lan, deputy director of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Institute of Information and Social Development Studies, China Institutes of Contemporary International Relations (a state-directed research institute). His writing displays all of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 class elements of what I call Chinese defensive propaganda, in this case specifically addressing APT intrusions.

I'll cite a few examples so you know what I mean.

Hacking poses a threat to both China and Western countries and politicizing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 problem will be detrimental to all.

The beginning of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 article introduces cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 reader to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 concept that China is just as much a victim of hacking as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 West. This is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first invocation of "cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 victim card," which is a constant aspect of Chinese self-identity and international relations.

Tang Lan cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n dismisses accusations that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Chinese hack Western organizations, naming a few companies specifically. Then we read:

This is not cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first time China has been cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 victim of such accusations. In fact, it was also accused of having instigated several previous systemic long-term intrusions, namely Operation Titan Rain, Night Dragon and Operation Aurora.

Again we see cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 victim card, using cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 actual word "victim." I think this section is counter-productive, because it reminds cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 reader that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Chinese have been publicly active against Western targets since 2003 (i.e., cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 mention of Titan Rain).

Western governments and media would have people believe that China has become a "cyberdragon", able to infiltrate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 computer systems of countries and companies seemingly at will.

It may be tough for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 author to appreciate this statement, but it's fairly true.

Besides, it is simply untrue to say that China is not a victim of cyber attacks. China was hit by nearly 493,000 cyber attacks last year, about half of which originated from foreign countries, including 14.7 percent from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 US and 8 percent from India, according to a report issued on Tuesday by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Computer Network Emergency Response Technical Team / Coordination Center of China (CNCERT/CC), cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 country's primary computer security monitoring network.

Notice cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 third use of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 victim card. More interestingly, who said "China is not a victim of cyber attacks?" Tang Lan introduces a red herring (pun intended) to divert our attention, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n uses statistics from CNCERT to show an argument (made by no one) is false.

Hacking poses a great threat to both China and Western countries and should be considered a common enemy. It is irresponsible to accuse any ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r country without ample evidence, and politicizing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 problem will only prove detrimental to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 interests of all.

As a responsible country, China has long held cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 principle of strengcá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ning supervision of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Internet, and encourages all countries to cooperate for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 common good.

We also hope ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r countries can hear China's voice, and understand China's efforts in defending cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 security of all.


In this amusing conclusion to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 article, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re are three points. First, we have a fourth invocation of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 victim card. Second, we read of "irresponsible" and "responsible" countries. The US is "irresponsible" because its private, non-state-owned security firms are pointing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 finger at China. China is "responsible" because it promotes "supervision of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Internet" (obviously via cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Great Firewall of China). Third, China is supposedly encouraging "all countries to cooperate for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 common good" and "defending cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 security of all." How is that happening, exactly?

I thought it was telling that someone in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Party decided to commission a response via an institutional speaker. The double-speak in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 article shows China craves being seen as "responsible," which gives cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 West a strategy for diplomatic pressure against APT intrusions. I also expect to see cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 victim strategy used by China as a constant justification for whatever activity cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y pursue.

On a slightly humorous note, one of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 responses to this article that I read on a mailing list asked cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following question:

Given that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Chinese PLA assaults Chinese Web sites from compromised IP addresses in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 United States (reported in Slip-Up in Chinese Military TV Show Reveals More Than Intended), what would cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 statistics look like if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y removed all cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir self-inflicted attacks?

Thursday, August 18, 2011

Expect to Hear "IDS Is Dead" (Again)

Do you remember when IDS was dead, and supposed to be replaced by "thought-leading firewalls" by 2005?

Well, that prediction died pretty quickly. However, I expect to hear it again after reading DIB cybersecurity pilot has stopped 'hundreds' of intrusions, says Lynn:

About 20 companies participate in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Defense Department's 90-day pilot for an active network defense capability for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 defense industrial base analogous to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Homeland Security Department's Einstein 3 effort, said Deputy Defense Secretary William Lynn.

During an address to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 2011 DISA Customer and Industry Forum in Baltimore, Md., Lynn said cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 sharing of malicious code signatures gacá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365red through intelligence efforts to pilot participants has already stopped "hundreds of intrusions."

Lynn also laid blame for intrusions into military and defense industrial base networks on "foreign intelligence services," stating that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y have stolen military plans, weapons system designs, source code and ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r intellectual property.

"This kind of cyber exploitation does not have cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 dramatic impact of a conventional military attack," Lynn said. "But over cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 long term, it has a deeply corrosive effect. It blunts our edge in military technology and saps our competitiveness in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 global economy."

Foreign intruders have extracted terabytes of data from defense companies, he added.


This sort of story is likely to lead to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same arguments I heard eight years ago regarding "Intrusion Detection Systems" vs "Intrusion Prevention Systems," namely:

If you can detect it, why can't you prevent it?

This is a broad topic, so racá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r than try to answer everything here and now, I'll likely work on it over cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 coming weeks in individual posts.

Wednesday, August 17, 2011

Bejtlich Leading Session at IANS

The IANS group just posted cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir fall forum announcement. It states I will be leading a session on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 APT at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir event in Boston on 20 September 2011.

Kicking off cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 morning will be Richard’s session on “Mitigating cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Advanced Persistent Threat.” IANS continually hears from our clients that APT and cyber crime is a constant, nagging concern (if not for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir own company… yet, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n because of headline news read by company executives), and it is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 CISO’s job to deal with real, perceived, and impending APT issues.

Thus, during his session Richard will provide advice and real-life use cases on what he’s seen, what’s worked, what doesn’t, and what CISOs can do to deal with APTs at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir own organizations.

Following cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 short presentation portion of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 session, CISOs will collectively discuss 1) How to keep up with industry-specific threats; 2) Tactics and techniques to detect and mitigate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 APT; and 3) The real implications of APT incidents


This should be a great event, because cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 afternoon session also features Grady Summers, my old boss from GE (who was cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 CISO cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re). Grady will:

lead CISO participants through a follow-on discussion on managing cyber security at a board level. With today's threats consistently making front-page news, even cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 most traditional boards are starting to ask about cyber security.

To be prepared for such an event, Grady will walk participants through varying scenarios on handling: 1) What works and what’s not effective with regard to board communication on information security; 2) What audit committee chairs at some of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 world's biggest companies are saying about security; and 3) Why you might not be doing your job if you're trying to "speak cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 language of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 business" to your board.


I think this will be a great event, without death by PowerPoint. Please visit cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 announcement for registration information. Thank you.

Monday, August 15, 2011

Bejtlich Keynote at Hawaiian Telcom Conference

Thanks to Hawaiian Telcom I will be speaking at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir 2011 Security Conference in Honolulu on 7 September 2011.

My topic is "Putting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 A, P, and T into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Advanced Persistent Threat:"

Advanced Persistent Threat, or APT, is a controversial term. Just what qualifies as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 APT? Who invented this term? Is it a marketing vehicle or is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re a method to its use? In this keynote, Mandiant CSO Richard Bejtlich will explain cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 history of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 APT, and what makes it Advanced, Persistent, and a Threat. He will discuss cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 concepts of "fighting through" an intrusion and "operating in a contested network," approaches to dealing with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 APT that work in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 real world.

My colleague and friend Kris Harms will also attend, presenting "Network Security FTW."

We hope to see you cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re! And no, Jeremiah Grossman, we will not be joining you to fight MMA-style. Well, maybe Harms will.

Tuesday, June 28, 2011

Why Business Methods Are as Important as IP to China

Courtesy of China Defense Blog, I just read a fascinating (if you like aircraft) report on China's capability to natively produce jet engines produced by China SignPost titled Jet Engine Development in China: Indigenous high-performance turbofans are a final step toward fully independent fighter production (pdf).

It's common to see open source reports describing how cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 APT seeks intellectual property (IP), which many people read as plans, designs, and related mechanical and scientific information. What some miss, however, is that China needs business know-how as well as technical know-how in order to achieve its economic and security goals. The report includes examples of this:

What China must achieve, however, is a methodology akin to Six Sigma or Total Quality Management (TQM) to ensure quality control and sufficient organizational honesty to ensure that actual problems are reported and that figures are not doctored.

Ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rwise, standardization and integration may be cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 one in which cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 costs of China’s ad hoc, eclectic approach to strategic technology development truly manifest cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365mselves.

The Soviet defense industrial base failed in precisely this area: talented designers and technicians presided over balkanized design bureaus and irregularly-linked production facilities; lack of standardization and quality control rendered it “less than cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 sum of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 parts.”


If cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re's anything you need to know about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Chinese government, it's that it seeks to avoid mistakes made by ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs. The Chinese government does not want to repeat cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Soviet failure, and it knows that technology isn't cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 only component when trying to build jet engines. Expect to more open and hidden actions by Chinese actors to gain cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 resources cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y need to indigenously create this core military and civilian capability.

Tuesday, April 12, 2011

APT Drives Up Bomber Cost

Bill Sweetman wrote a good article on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 new Air Force bomber program titled USAF Bomber Gets Tight Numbers. I found cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following paragraph interesting:

One factor will drive up cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 cost of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 bomber’s R&D: its status as a SAP [Special Access Program]. SAP status — whecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 program is an acknowledged SAP, as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 bomber is likely to be, or completely black — incurs large costs. All personnel have to be vetted before cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y are read into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 program. Information within cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 program is compartmentalized, reducing efficiency. SAP status has been estimated to add 20% to a program’s cost.

Security for SAP isn't cheap! Sweetman elaborates:

The most likely reason for this measure is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 sensitivity of ELO [extreme low-observable] technology, combined with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 fact that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 U.S. is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 target of what may be cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 most extensive and successful espionage program in history — China’s Advanced Persistent Threat.

How much is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 new bomber supposed to cost?

The magic numbers for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 bomber are a fleet size of 80-100 and a flyaway cost of $500 million.

So, that's $50 billion, assuming 100 aircraft at $500 million each? Let's assume that cost includes SAP fees. If SAP protection adds 20%, that means without SAP cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 cost would be roughly $42 billion.

That means, for this program alone, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 APT costs cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 US taxpayer $8 billion.

I find this sort of article really interesting because it demonstrates a real-world cost due to ongoing computer intrusions perpetrated by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 APT.

Monday, April 04, 2011

Aviation Week on China's Military Capabilities

Today Richard D. Fisher, Jr. and Bill Sweetman published an online article for Aviation Week titled Sizing Up China's Military Capabilities. Of interest to my readers might be cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following:

It is no secret that long-term U.S. Air Force and Navy planning is focused on China...

A decade ago, many U.S. analysts were unimpressed by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 People’s Liberation Army (PLA)... By 2011, such hubris has given way to palpable concern...

The elements of this capability include:

Information attack. In cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 mid-2000s, U.S. intelligence agencies identified cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Advanced Persistent Threat (APT), a pattern of cyberespionage largely traceable to China and aimed mainly at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 U.S. defense industry and armed forces...


I really like to see organizations that are not selling digital security, but who are still defense experts, discuss APT!

Some of you probably think Aviation Week is part of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "create a new bogey man" strategy as we draw down forces in Iraq. Surely APT is just "yellow peril"? Think again:

In cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Soviet era, it was commonplace for U.S. intelligence agencies to exaggerate Soviet capabilities and predict that new systems would enter service sooner and in larger numbers than actually happened. A consistent trend in analysis of China’s military capabilities is to do cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 reverse...

So how does cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 US military tend to think about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Chinese threat?

U.S. officials have tended to view this increasing A2/AD [“anti-access” or “area denial”] force through cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 prism of a potential conflict over cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 future of Taiwan or a contest for dominance in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Western Pacific.

In cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 event of a conflict, it is assumed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 PLA would launch cyberstrikes against regional U.S. and allied military facilities and U.S. political and military leadership, while directing air, naval and special forces strikes against nearby American facilities in Okinawa and Guam.

Should Washington refuse to sue for peace, and deploy forces into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ater, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 PLA would fashion joint missile, air and submarine strikes to deter or defeat naval and air forces.


I know cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 whole US military does not think solely in terms of Taiwan, but clearly cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 limited characterization of APT as "only" "espionage," and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "prism" of Taiwan show that too many people don't see cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 big picture.

On a related note, I look forward to reading this document:

China's National Defense in 2010.

Thursday, March 17, 2011

Initial Thoughts on RSA "APT" Announcement

Today RSA's Art Coviello announced cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following:

Recently, our security systems identified an extremely sophisticated cyber attack in progress being mounted against RSA...

Our investigation has led us to believe that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attack is in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 category of an Advanced Persistent Threat (APT).

Our investigation also revealed that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attack resulted in certain information being extracted from RSA's systems. Some of that information is specifically related to RSA's SecurID two-factor aucá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ntication products.

While at this time we are confident that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 information extracted does not enable a successful direct attack on any of our RSA SecurID customers, this information could potentially be used to reduce cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 effectiveness of a current two-factor aucá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ntication implementation as part of a broader attack...


This is one of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 problems with debates over terminology. If we all accepted cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 actual definition of APT as created by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Air Force in 2006, we would know what Mr Coviello is describing. Without that clarity we're left wondering if he means any threat on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 planet that he and RSA choose to describe as "APT."

Without knowing anything more than what is printed in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 RSA announcement, I can offer cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following opinion. It is not outside cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 realm of APT methodology and targeting to attack RSA in order to access internal details on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir aucá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ntication technology. We know APT actors have attacked ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r technology companies to steal cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir intellectual property, ranging from software to algorithms to private keys, all to better infiltrate ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r targets.

As I Tweeted on March 10th, it's public knowledge that validated APT actors have targeted public key infrastructure for several years. Besides PKI, enterprises of all types rely heavily on two-factor systems such as those created by RSA. Stealing technology and examining it for weaknesses, or identifying ways to exploit cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 supply chain, or ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rwise gain an advantage over RSA users are all valid APT interests.

Hopefully we will learn more about this issue as time passes.

Saturday, January 08, 2011

More on Chinese Stealth Fighter and APT

Since my 27 December post Courtesy of APT, featuring cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 new Chinese stealth fighter, Aviation Week writer Bill Sweetman wrote more about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 development of this aircraft and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 support from APT:

One question that may go unanswered for a long time concerns cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 degree to which cyberespionage has aided cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 development of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 J-20. U.S. defense industry cybersecurity experts have cited 2006—close to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 date when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 J-20 program would have started—as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 point at which cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y became aware of what was later named cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 advanced persistent threat (APT), a campaign of cyberintrusion aimed primarily at military and defense industries and characterized by sophisticated infiltration and exfiltration techniques.

Dale Meyerrose, information security vice president for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Harris Corp. and former chief information officer for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 director of national intelligence, told an Aviation Week cybersecurity conference in April 2010 that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 APT had been little discussed outside cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 classified realm, up to that point, because “cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 vast majority of APT attacks are believed to come from a single country.”

Between 2009 and early 2010, Lockheed Martin found that “six to eight companies” among its subcontractors “had been totally compromised—e-mails, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir networks, everything,” according to Chief Information Security Officer Anne Mullins.


Note cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 2006 date is consistent with my APT history article for Information Security magazine. However, before being officially named "APT" by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 US Air Force in 2006, APT was active against cleared defense contractors in 2003, and probably earlier.

Bill makes an interesting point about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 availability of photographs of this aircraft:

The way in which cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 J-20 was unveiled also reflects China’s use and control of information technology to support national interests. The test airfield is located in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 city of Chengdu and is not secure, with many public viewing points. Photography is technically forbidden, but reports suggest that patrols have been permitting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 use of cell phone cameras. From Dec. 25‑29, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se images were placed on Chinese Internet discussion boards, and after an early intervention by censors—which served to draw attention to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 activity—cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y appeared with steadily increasing quality. Substantial international attention was cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365reby achieved without any official disclosures.

In ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r words, consistent with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir information warfare doctrine, China is presenting this aircraft as a deterrent to Western, and specifically American, interference in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir region, through psychological operations.