Showing posts with label law. Show all posts
Showing posts with label law. Show all posts

Thursday, August 09, 2012

DOJ National Security Division Pursuing Cyber Espionage

I just read Justice Department trains prosecutors to combat cyber espionage by Sari Horowitz, writing for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Washington Post. The article makes several interesting points:

Confronting a growing threat to national security, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Justice Department has begun training hundreds of prosecutors to combat and prosecute cyber espionage and related crimes, according to senior department officials.

The new training is part of a major overhaul following an internal review that pinpointed gaps in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 department’s ability to identify and respond to potential terrorist attacks over cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Internet and to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 rapidly growing crime of cyber espionage, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 officials said, describing it for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first time.

In recent weeks, Justice has begun training more than 300 lawyers in Washington and nearly 100 more across cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 county in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 legal and technical skills needed to confront cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 increase in cyber threats to national security...

Under cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 reorganization, teams of specialized lawyers within NSD in Washington will work with ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r agencies, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 military and companies facing cyber intrusions. They will develop protocols for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 intelligence community and federal agents in how to deal with private companies that are victims of cyber attacks. The issues revolve around how to build possible prosecutions within guidelines covering information sharing, privacy and civil liberties.

At least one prosecutor in each of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 94 U.S. attorney’s offices around cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 country has been designated and will be trained to gacá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r evidence and prosecute cyber espionage and similar Internet-related cases.

This is very interesting if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 focus is truly on cyber espionage cases. DOJ persecutes physical espionage cases routinely (albeit with difficulty due to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 nature of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 laws). Cyber espionage cases are almost never pursued. Working with private companies will be key to this problem, and that aspect is mentioned specifically in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 article.

Let's see what happens!

Wednesday, November 25, 2009

Tort Law on Negligence

If any lawyers want to contribute to this, please do. In my post Shodan: Anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r Step Towards Intrusion as a Service, some comments claim "negligence" as a reason why intruders aren't really to blame. I thought I would share this case from Tort Law, page 63:

In Stansbie v Troman [1948] 2 All ER 48 cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 claimant, a householder, employed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 defendant, a painter. The claimant had to be absent from his house for a while and he left cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 defendant working cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re alone. Later, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 defendant went out for two hours leaving cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 front door unlocked. He had been warned by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 claimant to lock cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 door whenever he left cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 house.

While cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 house was empty someone entered it by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 unlocked front door and stole some of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 claimant's posessions. The defendant was held liable for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 claimant's loss for, although cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 criminal action of a third party was involved, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 possibility of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ft from an unlocked house was one which should have occurred to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 defendant.


So, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 painter was liable. However, that doesn't let cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 thief off cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 hook. If cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 police find cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 thief, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y will still arrest, prosecute, and incarcerate him. The painter won't serve part of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 thief's jail time, even though cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 painter was held liable in this case. So, even in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 best case scenario for those claiming "negligence" for vulnerable systems, it doesn't diminish cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 intruder's role in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 crime.

Wednesday, October 10, 2007

Be cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Caveman Lawyer

A few weeks ago I recommended security people to at least Be cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Caveman and perform basic adversary simulation / red teaming. Now I read Australia's top enterprises hit by laymen hackers in less than 24 hours:

A penetration test of 200 of Australia's largest enterprises has found severe network security flaws in 79 percent of those surveyed.

The tests, undertaken by University of Technology Sydney (UTS), saw 25 non-IT students breach security infrastructure and gain root or administration level access within cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 networks of Australia's largest companies, using hacking tools freely available on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Internet.

The students - predominately law practitioners - were given 24 hours to breach security infrastructure on each site and were able to access customer financial details, including confidential insurance information, on multiple occasions.

High-level business executives from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 companies surveyed, racá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r than IT staff, were informed of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 tests so cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "day-to-day network security" of businesses could be tested.
(emphasis added)

Again, my advice is simple, but now it is modified. Be cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Caveman Lawyer.

One ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r point from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 article:

Most of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 21 percent of companies who passed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 penetration tests owed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir success to freeware Intrusion Detection Systems (IDSs), according to Ghosh.

Snort was mentioned earlier in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 article. That means you can be a Cheap Caveman Lawyer and prepare for common threats.

Tuesday, June 19, 2007

More on Enterprise Data Centralization

I'd like to respond to a few comments to my post Enterprise Data Centralization. The first paragraph includes cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following:

However, I haven't written about a natural complement to thin client computing -- enterprise data centralization. In this world, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 thin client is merely a window to a centralized data store (sufficiently implemented according to business continuity processes and methods like redundancy, etc.).

The bolded part is my answer to those who think my "centralization" plan means building cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Mocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r of All Storage Servers/Networks. Please. Do you think I would really advocate that? The bolded part is my shorthand for saying I do NOT mean to build cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Mocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r of All Storage Servers/Networks.

Instead, I envision something similar to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 way Google operates. One of you used Google as an example of data decentralization. Sure, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data is decentralized at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 level of bits on media, but it's exceptionally centralized where it matters -- cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 user interface. I can access all of my Google-related content through one portal. If my data needed to be explored for ediscovery purposes, all you need is my Google login. Easy. That's cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 kind of centralization I'm talking about.

That explanation should also calm those who think I'm building cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Mocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r of All Targets; i.e., nuke cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 primary and secondary data centers and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 whole company is dead. Again, you're thinking at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 level of bits and media. I'm thinking in terms of a single interface to all company data.

Now you might be thinking that what I'm advocating isn't all that special. Consider this: do you have a single place to go for all of your company data? If you do, that is awesome. I doubt that it's cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 case for most of us, however. Unfortunately, we have to move in that direction if we wish to meet legal business requirements.

Christopher Hoff used cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 term "agile" several times in his good blog post. I think "agile" is going to be thrown out cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 window when corporate management is staring at $50,000 per day fines for not being able to produce relevant documents during ediscovery. When a company loses a multi-million dollar lawsuits because cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 judge issued an adverse inference jury instruction, I guarantee data will be centralized from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n forward.

The May 2007 ISSA Journal features a great article titled E-discovery: Implications of FRPC Changes on IT Risk Management by Bradley J. Schaufenbuel. It features this excerpt:

Adverse inference jury instruction: If electronic evidence is not produced in a timely manner, a judge may instruct cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 jury to assume that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 missing evidence would have been adverse to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 party that failed to produce it. This will greatly diminish this party’s chances of legal success.

Two highly visible examples include Zubulake v. UBS Warburg and Coleman v. Morgan Stanley. The defendant financial institutions in both lawsuits lost cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir cases due to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir failure to adequately produce e-mail evidence, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 resulting assumption that evidence was willfully destroyed or withheld. Laura Zubulake, a former UBS employee, was awarded $29 million in 2005 in her sexual discrimination lawsuit.

And billionaire Ronald Perelman was awarded $1.45 billion in 2005 based on his claim that Morgan Stanley defrauded him in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 1998 sale of his company, camping goods manufacturer Coleman.


Email provides a good example of a place to start centralizing data. Look at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 trouble cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 White House has created in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 story House Report Shows White House Officials Sent Thousands of Official Emails Using Outside Accounts.

It's fine to be advocating Google Gears and all cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r Web 2.0 applications and systems. There's one force in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 universe that can slap all that down, and that's corporate lawyers. If you disagree, whom do you think has a greater influence on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 CEO: cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 CTO or cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 corporate lawyer? When cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 lawyer is backed by stories of lost cases, fines, and maybe jail time, what hope does a CTO with plans for "agility" have?

Incidentally, I wouldn't be promoting centralization if I thought it was impossible. Centralization was a word in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first sentence cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 GE CTO said to me during out first meeting.

Thursday, April 19, 2007

CALEA Mania

CALEA is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Communications Assistance for Law Enforcement Act. I wrote about CALEA three years ago in Excellent Coverage of Wiretapping:

CALEA requires telecommunications carriers to allow law enforcement "to intercept, to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 exclusion of any ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r communications, all wire and electronic communications carried by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 carrier" and "to access call-identifying information," among ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r powers.

A lot has happened since cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n. Basically, all facilities-based broadband access providers and interconnected VoIP service providers must be CALEA-compliant by 14 May 2007. This means a lot of companies, of all sizes, are scrambling to deploy processes and tools to collect information in accordance with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 law, as well as filing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 right reports with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 FCC.

If you're affected by CALEA I don't think you'll learn much from this post. However, those who do not work for ISPs might like to know a little bit about what is happening. (Note: I am not personally affected, so this post is based on some research I did this morning.) This post CALEA Mediation provides a lot of details and links, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Wikipedia entry is good (as long as no one makes crazy changes). WISPA's mailing lists have carried several extended threads on CALEA compliance for wireless ISPs. The definitive blog on CALEA appears to be Demystifying Lawful Intercept and CALEA, by Scott Coleman, Director of Marketing for Lawful Intercept at SS8 Networks.

What started me looking at CALEA again was cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 story Solera Networks' CALEA Compliance Device, which talked about this Solera Networks appliance. The article mentioned OpenCALEA, which was new to me.

I checked out OpenCALEA via SVN from its OpenCALEA Google code site. Jesse Norell was helpful in #calea on irc.freenode.net. I installed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 code on two FreeBSD 6.x boxes, cel433 (cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "sensor") and poweredge (cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 box a Fed might use to collect data).

First I started a collector on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "Fed" box.
poweredge:/usr/local/opencalea_rev38/bin# ./lea_collector -t /tmp/cmii.txt
 -u richard -f /tmp/cmc.pcap

Next I started a "tap" on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 sensor to watch port 6667 traffic.
cel433:/usr/local/opencalea_rev38/bin# ./tap -x x -y y -z z -f "port 6667"
 -i dc0 -d 10.1.13.2 -c

As I typed traffic in an IRC channel on a connection watched by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 tap...
13:25 < user> This is anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r CALEA test

...cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 tap sent traffic to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Fed box.
13:26:28.795644 IP cel433.taosecurity.com.62576 >
 poweredge.taosecurity.com.6666: UDP, length 265
        0x0000:  4500 0125 80ca 0000 4011 cdf8 0a01 0a02  E..%....@.......
        0x0010:  0a01 0d02 f470 1a0a 0111 44ce 7800 0000  .....p....D.x...
        0x0020:  0000 0000 0000 0000 0000 0000 0000 0000  ................
        0x0030:  0000 0000 0000 0000 0000 0000 0000 0000  ................
        0x0040:  0000 0000 0000 0000 0000 0000 0000 0000  ................
        0x0050:  0000 0000 0000 0000 0000 0000 0000 0000  ................
        0x0060:  0000 0000 0000 0000 0000 0000 0000 0000  ................
        0x0070:  0000 0000 0000 0000 0000 0000 0000 0000  ................
        0x0080:  0000 0000 0000 0000 0000 0000 0000 0000  ................
        0x0090:  0000 0000 0000 0000 0000 0000 3230 3037  ............2007
        0x00a0:  2d30 342d 3139 5431 373a 3236 3a32 382e  -04-19T17:26:28.
        0x00b0:  3430 3600 015c 22aa c200 02b3 0acd 5e08  406..\".......^.
        0x00c0:  0045 0000 64c3 8f40 003f 0635 8245 8fca  .E..d..@.?.5.E..
        0x00d0:  1c8c d3a6 0380 331a 0b4f bb43 bfc4 6a95  ......3..O.C..j.
        0x00e0:  e080 187f ffe4 cc00 0001 0108 0a52 0b91  .............R..
        0x00f0:  ad05 c1a5 e150 5249 564d 5347 2023 736e  .....PRIVMSG.#sn
        0x0100:  6f72 742d 6775 6920 3a54 6869 7320 6973  ort-gui.:This.is
        0x0110:  2061 6e6f 7468 6572 2043 414c 4541 2074  .anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r.CALEA.t
        0x0120:  6573 740d 0a                             est..
13:26:28.795810 IP cel433.taosecurity.com.54296 >
 poweredge.taosecurity.com.6667: UDP, length 423
        0x0000:  4500 01c3 80cb 0000 4011 cd59 0a01 0a02  E.......@..Y....
        0x0010:  0a01 0d02 d418 1a0b 01af 3d00 7900 0000  ..........=.y...
        0x0020:  0000 0000 0000 0000 0000 0000 0000 0000  ................
        0x0030:  0000 0000 0000 0000 0000 0000 0000 0000  ................
        0x0040:  0000 0000 0000 0000 0000 0000 0000 0000  ................
        0x0050:  0000 0000 0000 0000 0000 0000 0000 0000  ................
        0x0060:  0000 0000 0000 0000 0000 0000 0000 0000  ................
        0x0070:  0000 0000 0000 0000 0000 0000 0000 0000  ................
        0x0080:  0000 0000 0000 0000 0000 0000 0000 0000  ................
        0x0090:  0000 0000 0000 0000 0000 0000 7a00 0000  ............z...
        0x00a0:  0000 0000 0000 0000 0000 0000 0000 0000  ................
        0x00b0:  0000 0000 0000 0000 0000 0000 0000 0000  ................
        0x00c0:  0000 0000 0000 0000 0000 0000 0000 0000  ................
        0x00d0:  0000 0000 0000 0000 0000 0000 0000 0000  ................
        0x00e0:  0000 0000 0000 0000 0000 0000 0000 0000  ................
        0x00f0:  0000 0000 0000 0000 0000 0000 0000 0000  ................
        0x0100:  0000 0000 0000 0000 0000 0000 0000 0000  ................
        0x0110:  0000 0000 0000 0000 0000 0000 3230 3037  ............2007
        0x0120:  2d30 342d 3139 5431 373a 3236 3a32 382e  -04-19T17:26:28.
        0x0130:  3430 3678 0000 0000 0000 0000 0000 0000  406x............
        0x0140:  0000 0000 0000 0000 0000 0000 0000 0000  ................
        0x0150:  0000 0000 0000 0000 0000 0000 0000 0000  ................
        0x0160:  0000 0000 0000 0000 0000 0000 0000 0000  ................
        0x0170:  0000 0000 0000 0000 0000 0000 0000 0000  ................
        0x0180:  0000 0000 0000 0000 0000 0000 0000 0000  ................
        0x0190:  0000 0000 0000 0000 0000 0000 0000 0000  ................
        0x01a0:  0000 0000 0000 0000 0000 0000 0000 0000  ................
        0x01b0:  0000 00bf 0080 0508 1cca 8f45 03a6 d38c  ...........E....
        0x01c0:  8033 1a                                  .3.

The traffic on port 6666 UDP is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 content and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 traffic on port 6667 UDP is a connection record of some kind.

After shutting down cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 tap and collector, I checked cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 files cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 collector created.
poweredge:/usr/local/opencalea_rev38/bin# cat /tmp/cmii.txt 
x, y, z, 2007-04-19T17:26:28.406, 69.143.202.28, 69.143.202.28, 32819, 6656
x, y, z, 2007-04-19T17:26:28.514, 140.211.166.3, 140.211.166.3, 6667, 32768
x, y, z, 2007-04-19T17:26:34.195, 140.211.166.3, 140.211.166.3, 6667, 32768
x, y, z, 2007-04-19T17:26:34.196, 69.143.202.28, 69.143.202.28, 32819, 6656

CMII is Communications Identifying Information. Here's cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 content, which is saved in Libpcap form.
poweredge:/usr/local/opencalea_rev38/bin# tcpdump -n -r /tmp/cmc.pcap -X
reading from file /tmp/cmc.pcap, link-type EN10MB (Ecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rnet)
13:26:28.406000 IP 69.143.202.28.32819 > 140.211.166.3.6667:
 P 1337672639:1337672687(48) ack 3295319520 win 32767
 
        0x0000:  4500 0064 c38f 4000 3f06 3582 458f ca1c  E..d..@.?.5.E...
        0x0010:  8cd3 a603 8033 1a0b 4fbb 43bf c46a 95e0  .....3..O.C..j..
        0x0020:  8018 7fff e4cc 0000 0101 080a 520b 91ad  ............R...
        0x0030:  05c1 a5e1 5052 4956 4d53 4720 2373 6e6f  ....PRIVMSG.#sno
        0x0040:  7274 2d67 7569 203a 5468 6973 2069 7320  rt-gui.:This.is.
        0x0050:  616e 6f74 6865 7220 4341 4c45 4120 7465  anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r.CALEA.te
        0x0060:  7374 0d0a                                st..

Jesse told me cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re's a lot of work to be done with this open source suite. The idea is to give businesses that can't afford a commercial CALEA solution cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 option of open source.

I plan to keep an eye on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 OpenCALEA mailing list and try new versions as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y are released.

Thursday, April 05, 2007

Monitoring and Investigation Lessons

Thanks to 27B Stroke 6 I learned that cybercriminal Jerome Heckenkamp (sorry Kevin, he's no "superhacker") will stay a criminal. The U.S. 9th Circuit Court of Appeals refused to overturn Heckenkamp's conviction. According to this DoJ announcement:

Mr. Heckenkamp's sentence results from his guilty pleas in January 2004 to two counts of gaining unauthorized access into a computer and recklessly causing damage, in violation of 18 U.S.C. §§ 1030(a)(5)(B). In pleading guilty, Mr. Heckenkamp admitted that he gained unauthorized access to eBay computers during February and March 1999. Using this unauthorized access, Mr. Heckenkamp admitted that he defaced an eBay Web page using cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 name "MagicFX," and that he installed "trojan" computer programs - or programs containing malicious code masked inside apparently harmless programs - on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 eBay computers that secretly captured usernames and passwords that Mr. Heckenkamp later used to gain unauthorized access into ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r eBay computers.

Mr. Heckenkamp also admitted that he gained unauthorized access to Qualcomm computers in San Diego in late 1999 using a computer from his dorm room at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 University of Wisconsin-Madison. Once he gained this unauthorized access, Mr. Heckenkamp admitted that he installed multiple "trojans" programs which captured usernames and passwords he later used to gain unauthorized access into more Qualcomm computers.


The new court decision involves cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Qualcomm intrusion. The source of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 intrusion was traced to UWM, where network investigator Jeffrey Savoy discovered that Heckenkamp's machine was attacking Qualcomm. Essentially, Savoy logged into Heckenkamp's machine to validate that it was cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 machine in question, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n contacted cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 authorities to physically visit Heckenkamp's dorm room.

I found cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se excerpts from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ruling (.pdf) to be noteworthy:

The government does not dispute that Heckenkamp had a subjective expectation of privacy in his computer and his dormitory room, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re is no doubt that Heckenkamp’s subjective expectation as to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 latter was legitimate and objectively reasonable...

We hold that he also had a legitimate, objectively reasonable expectation of privacy in his personal computer...

The salient question is whecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 defendant’s objectively reasonable expectation of privacy in his computer was eliminated when he attached it to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 university network. We conclude under cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 facts of this case that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 act of attaching his computer to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 network did not extinguish his legitimate, objectively reasonable privacy expectations...

However, privacy expectations may be reduced if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 user is advised that information transmitted through cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 network is not confidential and that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 systems administrators may monitor communications transmitted by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 user...

In cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 instant case, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re was no announced monitoring policy on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 network. To cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 contrary, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 university’s computer policy itself provides that “[i]n general, all computer and electronic files should be free from access by any but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 authorized users of those files. Exceptions to this basic principle shall be kept to a minimum and made only where essential to . . . protect cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 integrity of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 University and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 rights and property of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 state.”

When examined in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir entirety, university policies do not eliminate Heckenkamp’s expectation of privacy in his computer. Racá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y establish limited instances in which university administrators may access his computer in order to protect cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 university’s systems. Therefore, we must reject cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 government’s contention that Heckenkamp had no objectively reasonable expectation of privacy in his personal computer, which was protected by a screensaver password, located in his dormitory room, and subject to no policy allowing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 university actively to monitor or audit his computer usage.
(emphasis added)

Wow, so far it's looking good for Jerome. So what happened?

Although we conclude that Heckenkamp had a reasonable expectation of privacy in his personal computer, we conclude that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 search of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 computer was justified under cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 “special needs” exception to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 warrant requirement. Under cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 special needs exception, a warrant is not required when “ ‘special needs, beyond cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 normal need for law enforcement, make cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 warrant and probable-cause requirement impracticable.’ ”

If a court determines that such conditions exist, it will “assess cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 constitutionality of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 search by balancing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 need to search against cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 intrusiveness of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 search..."

Here, Savoy provided extensive testimony that he was acting to secure cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Mail2 server, and that his actions were not motivated by a need to collect evidence for law enforcement purposes or at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 request of law enforcement agents. This undisputed evidence supports Judge Jones’s conclusion that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 special needs exception applied.

The integrity and security of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 campus e-mail system was in jeopardy... Under cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se circumstances, a search warrant was not necessary because Savoy was acting purely within cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 scope of his role as a system administrator. Under cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 university’s policies, to which Heckenkamp assented when he connected his computer to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 university’s network, Savoy was authorized to “rectif[y] emergency situations that threaten cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 integrity of campus computer or communication systems[,] provided that use of accessed files is limited solely to maintaining or safeguarding cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system.”

Savoy discovered through his examination of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 network logs, in which Heckenkamp had no reasonable expectation of privacy, that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 computer that he had earlier blocked from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 network was now operating from a different IP address, which itself was a violation of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 university’s network policies.

This discovery, togecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r with Savoy’s earlier discovery that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 computer had gained root access to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 university’s Mail2 server, created a situation in which Savoy needed to act immediately to protect cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system.


That is fascinating. Because administrator Savoy sought to protect university resources when he logged into Heckenkamp's computer, Savoy's search was justified. Also, Heckenkamp had no expectation of privacy over network logs, which also traced Heckenkamp's computer to Qualcomm.

This may be one small step towards taking cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 fight to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 enemy, but please be aware of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 extremely limited nature of this event. I recommend reading cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 whole ruling (it's only 13 pages) for details.

Update: In Jennifer Granick's story she notes that Savoy logged into Heckenkamp's computer as user temp password temp, based on credentials found in a file on his mail server.

Friday, March 30, 2007

Full Content Monitoring as a Wiretap

I received cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following question today:

When installing Sguil, what legal battles have you fought/won about full packet capture and its vulnerability to open records requests from outside parties? I am getting concerns, from various management, regarding cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 legal ramifications of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 installation of a system similar to Sguil in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 state government arena. Do you have any advice for easing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir worries? I know how important full data capture is to investigating incidents, and I consider it of paramount importance to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 security of our state that we do so. Are cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re any legal precedents that can be cited?

Before I say anything else it is important to realize I am not a lawyer, I don't play one on YouTube, and I recommend you consult your lawyer racá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r than listen to anything I might say.

With that out of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 way, I have written about wiretaps a few times before. Let me get cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se generic wiretapping issues out of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 way before addressing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 question specifically.

The pertinent Federal law is 18 U.S.C. §2511.

A great place to look for commentary and precedents on digital security issues is Orin Kerr's Computer Crime Case Updates. This search for wiretap may or may not be helpful.

Finally, for recent commentary by a lawyer (but not your lawyer), I recommend Sysadmins, Network Managers, and Wiretap Law (.pdf slides) by Alex Muentz. These notes from his LISA 2006 talk are helpful too.

I think cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 key element of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 question originally posed was full packet capture and its vulnerability to open records requests from outside parties. It sounds like cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 question asker is worried about discoverability of full content data. I touched on this briefly in The Revolution Will Be Monitored.

My answer to this problem is what I would consider both practical and technically limiting: do not store more full content data than you need. For any modern production network, capturing and storing days or weeks of full content traffic can be an expensive proposition. For example, in one client location I have about 200 GB of space available for full content storage. That space allows me to save a little more than 10 days of full content, even with fairly draconian BPFs limiting what is stored. If for some reason I needed to produce that data to management or attorneys, I could only provide cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 last 10 days of information. If cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 event in question occured prior to that period, I just don't have it.

I do know of some locations that operate massive storage area networks to save TBs of full content. I do not advocate that for anyone but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 most specialized of clients. I do recommend collecting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 amount of full content (if possible, legally and technically) that works for your investigative window. For example, if you have a requirement to review your alert and session data such that you are never more than 5 days past an event of interest, you might want to save 7 days of full content. From an investigation point of view, more is always better. From a practical point of view, it might be too costly.

Remember that any network data collection should be considered a wiretap. Full content is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 form of network data that most resembles a wiretap.

With respect to session data, I recommend saving as much of that as possible. In practical terms it comes down to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 amount of space you're willing to devote to database files. At cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same client I am collecting as many sessions as I can, without filters. 30 days of such session data is producing about 20 GB of uncompressed MySQL table files. As you can see I can store many more days of session data as compared to full content data. That means much more session data is discoverable. I might choose to limit storage of that session data to meet whatever guidance corporate legal counsel might provide.

Session data is like pen register/trap and trace data, because it does reveal content. I still treat it like a wiretap but it probably does not meet cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same standards.

Event data, i.e. IDS alerts, take so little space as to not require any real storage consideration (compared to full content and session data). Therefore, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 primary limiting factor is legal and policy, not technical.

I think anyone who really wants a better answer would do well to check our Prof Kerr's list, and potentially ask him. Alex Muentz would be anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r good resource.

Wednesday, March 21, 2007

When Lawsuits Attack

I haven't said anything about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 intrusions affecting TJX until now because I haven't felt cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 need to contribute to this company's woes. Today I read TJX Faces Suit from Shareholder:

The Arkansas Carpenters Pension Fund owns 4,500 shares of TJX stock, and TJX denied its request to access documents outlining cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 company's IT security measures and its response to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data breach.

The shareholder filed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 lawsuit in Delaware's Court of Chancery Monday afternoon under a law permitting shareholders to sue for access to corporate documents in certain cases, The Associated Press reported. The pension fund wants cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 records to see whecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r TJX's board has been doing its job in overseeing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 company's handling of customer data, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 news agency said.


Imagine having your security measures and incident response procedures laid bare for everyone to see. (It's possible cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re might not be anything to review!) How would your policies and procedures fare?

The following sounds like many incidents I've investigated.

The TJX breach was worse than first thought, TJX officials recently admitted. The company initially believed that attackers had access to its network between May 2006 and January 2007. However, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ongoing investigation has turned up evidence that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 thieves also were inside cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 network several ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r times, beginning in July 2005.

Originally cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 company was compromised for nine months, but now cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 scope could reach almost a year prior. The question is whecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r this is evidence of compromise by anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r group or cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same group. In eicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r case cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 company's security posture looks terrible.

The sad part about this sort of incident is that most if not all of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 preventative systems TJX might have applied are worthless for response and forensics. I'm guessing TJX is relying on host-centric forensics like analysis of MAC times of files on artifacts on victim servers to scope cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 incident. I bet TJX is paying hundreds of thousands of dollars in investigative consulting right now, beyond cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 damage to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir brand and ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r technical and financial recovery costs.

Hopefully cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se lawsuits will shed some light on TJX's security practices so ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r companies can learn from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir mistakes. This is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 sort of incident that my future National Digital Security Board would do well to investigate and report.

Tuesday, November 07, 2006

When Laws Aren't Enough

CIO Magazine published The Global State of Information Security 2006. The story contained what I consider to be some fairly disappointing results.

Complacency, it seems, abounds. A large proportion of security execs admitted cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y're not in compliance with regulations that specifically dictate security measures cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir organization must undertake or risk stiff sanctions, up to and including prison time for executives. Some of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se regulations—such as California's security breach law, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Health Insurance Portability and Accountability Act (HIPAA), and non-U.S. laws such as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 European Union Data Privacy Directive—have been around for years. ..

The information security discipline still suffers from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 fundamental problem of making a business value case for security. Security is still viewed and calculated as a cost, not as something that could add strategic value and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365refore translate into revenue or even savings.
(emphasis added)

No one spends money on insurance because it "adds strategic value." At best security spending can produce "savings," i.e. avoid losses.

Perhaps cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 problem is ignorant management?

From 2003 to 2005, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 percentage of survey respondents saying cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y had fewer than 10 negative information security incidents in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 past year remained steady. But this year, we included cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 option to answer that you do not know how many negative security incidents occurred. This year, nearly one-third of respondents admitted that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y do not know how many breaches or unauthorized access events occurred within cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir organizations.

To a certain extent, that's understandable. Attacks can be hard to identify, and networks can be extensive. What's less comprehensible is that a significant portion of respondents said cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y have not installed some of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 most rudimentary network safeguards. Only one-third of respondents have put in place patch management tools or monitor user activity. Less than half use intrusion detection software or monitor log files (cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 two best methods organizations can employ to detect breaches) and even fewer use intrusion prevention tools. Surprisingly, more than 20 percent of respondents don't even have a network firewall.


Let's assume cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se managers are not being brutally honest, i.e., cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y are not recognizing that it can be impossible to know of every incident. Instead, I assume cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y are admitting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y just don't have cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 tools and tactices to measure incidents. That's disappointing.

There is some hope in certain industries.

Companies in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 financial services sector—banks, insurance companies, investment firms—are more likely to employ a CSO than ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r industries. Security budgets in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 financial sector are typically a bigger slice of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 IT budget as a whole and increase at a faster rate than in ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r sectors. That may be because financial services companies are more likely to link security policies and spending to business processes. These companies are proactive, instituting formal information security processes such as log file monitoring and periodic penetration tests. More of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir employees follow company security policies. Not surprising, financial services companies also have deployed more information security technology gadgets, such as intrusion detection and encryption tools, and identity management solutions.

It's obvious, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365refore, that financial services organizations are far more likely—almost twice as likely, in fact—to have an overall strategic security plan in place. Consequently, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y reported fewer financial losses, less network downtime and fewer incidents of stolen private information than any ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r vertical.

The reason for all this is also obvious. The product in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 financial services industry is money, and money is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 prime target of cybercriminals, including organized crime, insiders and even terrorists. Protecting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 money is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 industry's most critical concern. The past few years have seen a sharp increase in cybercrime (phishing, identity cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ft, extortion and spyware, to name a few). Anytime a security executive can demonstrate to top executives that investing in security can protect and increase shareholder value, he will be more likely to convince cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 boardroom to make that investment and make security a strategic part of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 organization.

Financial services companies are more likely than enterprises in ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r industries to use ROI to measure cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 effectiveness of security investments (29 percent versus an average of 25 percent), and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y also are more likely to use potential impact on revenue to justify investments (36 percent versus an average of 27 percent). These arguments work. More financial services companies saw a double-digit increase in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir 2006 security budgets than those in any ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r sector.

Regulation plays a part too. The financial industry must adhere to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 most stringent information security laws, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365refore it leads ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r industries in following proven, strategic information security practices.


I'd like to provide a slightly different interpretation. Financial services companies are used to dealing with threats as well as protecting assets. Everyone has assets to protect, but not until recently has everyone been within cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 reach of threats. Your risk is zero if you face no threats, no matter how vulnerable you are or how important your assets.

Friday, June 30, 2006

Signs of Desperation from Duronio Defense Team

It sounds to me like cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Duronio defense team has nothing left in its tank, so it's attacking Keith Jones directly. The latest reporting, UBS Trial: Defense Suggests Witness Altered Evidence, shows how ridiculous cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 defense team sounds:

"So when you talked about putting pieces of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 puzzle togecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r, you were missing three-quarters of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 pieces for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 [central file server] alone?"" [defense attorney] Adams asked.

"The puzzle pieces I had to put togecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r formed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 picture I needed," Jones replied. "If cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 puzzle was of a boat, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n I had enough pieces to form cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 picture of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 boat."

Adams countered, "But you might not see all cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r boats around it."

Jones replied, "But cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 second boat won't get rid of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first boat. It's simple macá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365matics that when you add data, you don't subtract data. There was nothing in that data set that could remove cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data I already had."


It sounds like Keith has more testifying in store for next week. Stay tuned.

Monday, June 26, 2006

Cluelessness at Harvard Law Review

Articles like Immunizing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Internet, or: How I Learned To Stop Worrying and Love cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Worm (.pdf) in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 June 2006 (link will work shortly) Harvard Law Review make me embarrassed to be a Harvard graduate. This is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 central argument:

[C]omputer networks, particularly cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Internet, can be thought of as having immune systems that are strengcá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ned by certain attacks. Exploitation of security holes prompts users and vendors to close those holes, vendors to emphasize security in system development, and users to adopt improved security practices. This constant strengcá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ning of security reduces cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 likelihood of a catastrophic attack -- one that would threaten national or even global security. In essence, certain cybercrime can create more benefits than costs, and cybercrime policy should take this concept into account.

Apparently Harvard lawyers do not take economics classes. If cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y did (or paid attention) cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y would know of Frédéric Bastiat's parable of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 broken window. The story demonstrates that crime, warfare, and ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r destructure behavior does not benefit society, since it shifts resources from productive behavior towards repair, recovery, and ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r defensive activities.

The HLR article continues:

Cybercrime is also different from ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r crime because it is amenable to innovative law enforcement approaches that exploit its unique underlying psychology. The objective of a bank robbery is to obtain money. Terrorists usually wish to maximize damage. Cybercrime, however, often provides no financial gain; many cyberattacks seem to originate from a desire for fame and attention or fun and challenge. Hackers often cause little to no permanent damage to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 systems cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y successfully penetrate. This is true even of many high-profile cyber-attacks, in which damage initially appears to be widespread.

Wow, was this article published in 1996 or 2006? "No financial gain?" "Little to no permanent damage?" Welcome to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 modern world, HLR. What would you consider permanent damage -- loss of life? Everything else can be repaired, even blasts by 2,000 pound bombs. Money spent on incident response and recovery, future lost revenue from decreased customer trust, insurance payments, spending on infrastructure -- all of this could be avoided in a world without "beneficial cybercrime."

Am I being too harsh? I don't think so. This is Harvard we're talking about, not Bunker Hill Community College.

Update: HLR should read Meet cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Hackers.

Friday, June 23, 2006

A Real Logic Bomb

Logic bomb is a term often used in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 media, despite cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 fact that almost all reporters (cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re are notable exceptions) have no clue what it means. Well, now we can look at a real one, thanks to forensics work by Keith Jones. He found a real logic bomb while doing forensics on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 United States v. Duronio case. I worked cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 very beginning of this case while Keith and I were both at Foundstone. My small part involved trying to figure out how to restore images of AIX machines from tape. I even bought an AIX box on eBay for experimentation.

You can read about Keith's testimony in this Information Week article. This is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "logic bomb" Keith recovered:



One of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 neat aspects of this case is its age: over four years. The media and elsewhere are abuzz with stories of "insider threats," but this has been a problem for a very long time. Congratulations to Keith for testifying on such an important case. If cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 jury has a clue, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 defendant doesn't have a chance.

Update: This story specifically examines cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 code in question.

Monday, February 20, 2006

Monitoring cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Wrong Places

I am obviously a proponent of network security monitoring, but I am also a strong believer in privacy. The sort of attitude demonstrated in this article disturbs me greatly:

Houston's police chief on Wednesday proposed placing surveillance cameras in apartment complexes, downtown streets, shopping malls and even private homes to fight crime during a shortage of police officers.

"I know a lot of people are concerned about Big Brocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r, but my response to that is, if you are not doing anything wrong, why should you worry about it?" Chief Harold Hurtt told reporters Wednesday at a regular briefing.


Sure Chief, why don't you lead by example and install cameras in your home. You're not doing anything wrong, are you?

Building permits should require malls and large apartment complexes to install surveillance cameras, Hurtt said. And if a homeowner requires repeated police response, it is reasonable to require camera surveillance of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 property, he said...

So, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 power of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 state should be used to meet cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 police's wishes?

Andy Teas with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Houston Apartment Association said that although some would consider cameras an invasion of privacy, "I think a lot of people would appreciate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 thought of extra eyes looking out for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m."

What planet are cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se people from?

If you don't want your network traffic inspected, you can encrypt it. Unfortunately, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re is no encryption in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 analog world.

Wednesday, December 21, 2005

Two Great Wiretapping Articles

Given cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 recent coverage of wiretapping in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 mainstream media, I thought I would point out two excellent articles in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 latest issue of IEEE Security & Privacy Magazine. Thankfully, both are available online:

Both concentrate on technical issues of wiretapping. The first concentrates on how to tap a physical line or switch, and ways to defeat those taps. The second describes why incorporating wiretap features into VoIP is a bad idea. Each article discusses relevant laws.

Tuesday, November 08, 2005

Congratulations to Feds

I'd like to congratulate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 United States Attorney's Office, Central District of California for indicting a bot net controller. According to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 press release and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 indictment (.pdf), up to 400,000 victims were compromised. You can track cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 progress of this case through cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Post Indictment Arraignment Calendar.

This is exactly cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 sort of work that needs to be done. Security professionals cannot win against intruders if only cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "vulnerability" variable of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 risk equation is addressed. We need law enforcement to reduce cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "threat" variable as well. The suspect in this case is a 20-year-old living in California. This is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 sort of perpetrator who can be deterred, unlike a foreign intelligence agent or member of organized crime. The more bot net operators who are put in jail, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 fewer lower-end threats we will need to stop.

Thursday, February 10, 2005

Mark Rasch on Cabellas Case

Last month I wrote on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Caballes drug case. On Tuesday cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 former head of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 US DoJ's computer crimes squad wrote Of Dog Sniffs and Packet Sniffs. In his article Mark Rasch says:


"[T]he search by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 dog into, effectively, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 entire contents of a closed container inside a locked trunk, without probable cause, was 'reasonable' even though cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 driver and society would consider cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 closed container 'private' because cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 search only revealed criminal conduct.

The same reasoning could easily apply to an expanded use of packet sniffers for law enforcement."

Since Rasch is a Senior Vice President and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Chief Security Counsel (i.e., a lawyer) at Solutionary Inc., he may be on to something. The comments on Mark's article by those not trained as lawyers are in some cases amusing. He responds to several of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m.

Tuesday, January 25, 2005

US Supreme Court Rules on Real False Positives

Last year when US Senator Ted Kennedy was detained for being on a no-fly list, I discussed his plight in relation to intrusion detection system "false positives." If an IDS is operating correctly, every alert it sees is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 result of an action it was programmed to take. In ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r words, when a functioning IDS sees "cmd.exe", it reports seeing "cmd.exe".

It doesn't matter if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 appearance of "cmd.exe" on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 wire is not part of an actual intrusion; a rule to alert on "cmd.exe" does not cause "false positives" if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 IDS reports seeing "cmd.exe". A real false positive involves cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 IDS reporting "cmd.exe" when no such content passed on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 wire. Therefore, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re are no such things as false positives. Blame cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 signature writer or IDS developer, not cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 IDS.

Let's move from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 realm of IDS false positives to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 land of canine false positives. Yesterday cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 US Supreme Court issued its opinion in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 case of ILLINOIS, PETITIONER v. ROY I. CABALLES. This is a case where false positives involve a dog's ability to sniff for illegal drugs. Justice Ginsberg's dissenting opinion summarizes cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 facts of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 case:

"Illinois State Police Trooper Daniel Gillette stopped Roy Caballes for driving 71 miles per hour in a zone with a posted speed limit of 65 miles per hour. Trooper Craig Graham of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Drug Interdiction Team heard on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 radio that Trooper Gillette was making a traffic stop. Although Gillette requested no aid, Graham decided to come to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 scene to conduct a dog sniff.

Gillette informed Caballes that he was speeding and asked for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 usual documents–driver’s license, car registration, and proof of insurance. Caballes promptly provided cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 requested documents but refused to consent to a search of his vehicle. After calling his dispatcher to check on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 validity of Caballes’ license and for outstanding warrants, Gillette returned to his vehicle to write Caballes a warning ticket. Interrupted by a radio call on an unrelated matter, Gillette was still writing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ticket when Trooper Graham arrived with his drug-detection dog.

Graham walked cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 dog around cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 car, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 dog alerted at Caballes’ trunk, and, after opening cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 trunk, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 troopers found marijuana."

Justice Stevens' majority opinion held that "cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 dog sniff was performed on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 exterior of respondent's car while he was lawfully seized for a traffic violation. Any intrusion on respondent's privacy expectations does not rise to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 level of a constitutionally cognizable infringement... A dog sniff conducted during a concededly lawful traffic stop that reveals no information ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r than cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 location of a substance that no individual has any right to possess does not violate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Fourth Amendment." In ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r words, it's ok for police to use dogs to inspect cars for drugs during traffic violation stops (or at ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r times), even if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re is no suspicion of drugs involved.

I do not agree with this opinion, for several reasons. The first reason involves false positives, and was correctly diagnosed in Justice David Souter's dissenting opinion:

"I would hold that using cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 dog for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 purposes of determining cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 presence of marijuana in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 car’s trunk was a search unauthorized as an incident of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 speeding stop and unjustified on any ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r ground...

The infallible dog, however, is a creature of legal fiction... [T]heir supposed infallibility is belied by judicial opinions describing well-trained animals sniffing and alerting with less than perfect accuracy, whecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r owing to errors by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir handlers, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 limitations of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 dogs cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365mselves, or even cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 pervasive contamination of currency by cocaine...

In practical terms, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 evidence is clear that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 dog that alerts hundreds of times will be wrong dozens of times.

Once cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 dog’s fallibility is recognized, however... cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 sniff alert does not necessarily signal hidden contraband, and opening cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 container or enclosed space whose emanations cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 dog has sensed will not necessarily reveal contraband or any ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r evidence of crime."

Justice Ginsberg expresses cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 second reason for my disagreement. Returning to her dissent, we see that beyond a Fourth Amendment violation, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re are ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r problems with allowing canine searches prone to false positives:

"A drug-detection dog is an intimidating animal... Injecting such an animal into a routine traffic stop changes cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 character of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 encounter between cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 police and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 motorist. The stop becomes broader, more adversarial, and (in at least some cases) longer. Caballes –- who, as far as Troopers Gillette and Graham knew, was guilty solely of driving six miles per hour over cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 speed limit -– was exposed to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 embarrassment and intimidation of being investigated, on a public thoroughfare, for drugs...

Under today’s decision, every traffic stop could become an occasion to call in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 dogs, to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 distress and embarrassment of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 law-abiding population...

Today’s decision... clears cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 way for suspicionless, dog-accompanied drug sweeps of parked cars along sidewalks and in parking lots... Nor would motorists have constitutional grounds for complaint should police with dogs, stationed at long traffic lights, circle cars waiting for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 red signal to turn green."

My third and final reason for disagreeing with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Court's opinion is based on Justice Stevens' majority opinion. He writes for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Court:

"We have held that any interest in possessing contraband cannot be deemed 'legitimate,' and thus, governmental conduct that only reveals cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 possession of contraband 'compromises no legitimate privacy interest.'"

Now, what if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 definition of contraband is extended beyond illegal drugs? How about music or movies in digital form, or pirated software? Is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Court opening cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 door to knock down privacy rights, since means to discover contraband do not infringe Fourth Amendment rights? The Court continues:

"The legitimate expectation that information about perfectly lawful activity will remain private is categorically distinguishable from respondent’s hopes or expectations concerning cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 nondetection of contraband in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 trunk of his car."

The Court also brushes aside cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 false positive concerns:

"Although respondent argues that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 error rates, particularly cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 existence of false positives, call into question cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 premise that drug-detection dogs alert only to contraband, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 record contains no evidence or findings that support his argument."

I find this ruling very disturbing. I expect to see canine units used in increasing numbers in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 coming months, where false positives will continue to plague innocent people. For example, yesterday National Public Radio reported that a man carrying cash to close on his house purchase was arrested when a dog alerted to supposed traces of illegal drugs on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 money. Apparently traces of drugs on US currency is not an urban legend!

Tuesday, November 23, 2004

Prof Kerr on KeyKatcher Case

I always enjoy reading Professor Orin Kerr's Computer Crime Case Updates. This week he comments on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 dismissed wiretapping case mentioned by SecurityFocus.com and Slashdot. Although some commentary from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 likes of Slashdot is helpful, I prefer reading cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 opinions of a Harvard Law graduate and former Supreme Court clerk.

The case is simple: does use of a keystroke logger constitute a wiretap? The judge in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 case said no. I agree with Prof Kerr's assessment that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 opinion is wrong. If someone listens in on a phone between cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 handset and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 base unit, it's still a wiretap. It's no different if someone collects keystrokes using a device between a keyboard and CPU.

However, I disagree with Prof Kerr's reasoning concerning interstate commerce. Plenty of judges disagree with me, but I don't think connecting to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Internet makes a system automatically engaged in "interstate commerce." I think cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 use of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 so-called Interstate Commerce Clause allows Congress to pass laws that far exceed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir true Constitutional mandate.

If you've never read Prof Kerr's opinions, I recommend you browse his mailing list archives. They're incredibly enlightening.

Monday, April 14, 2003

Holding Owners of Compromised Computers Responsible

I've heard several people refer to legal activity in Texas, where victims of intrusions were being sued when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 original victim's systems attacked third parties. This happened in 2001, when systems at Exodus were allegedly compromised and used to attack Web-hosting company C.I. Host. Marc Zwillinger mentioned this is this webcast, saying cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 suit was moved to Federal court and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n settled out of court. His slides included this scan of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 indictment. From this article:


JUST BEFORE 8 A.M. ON FEB. 1, 2001, C.I. Host, a Web-hosting company with 90,000 customers, was hit with a crippling denial-of-service attack. By cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 end of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 day, after outage complaints from what CEO Christopher Faulkner described as "countless" customers, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Fort Worth, Texas-based company got its lawyers involved. . . In an injunction filed in a Texas district court and later moved to a U.S. district court, C.I. Host alleged that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 defendants committed or allowed a third party to commit a denial-of-service attack on C.I. Host's systems. The defendants insisted that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y were victims of a hacker cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365mselves, not cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 perpetrators of a crime. The case never made it to trial, but C.I. Host's lawyers did convince a Texas judge to issue a temporary restraining order shutting down three of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Web servers involved in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attack until cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 companies could prove cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 vulnerabilities had been fixed.


The ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r popular case is well-documented in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 2001 CSI/FBI Study:


The U.S. Navy's Criminal Investigative Service (NCIS) is in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 throes of an investigation into how and why an as yet unidentified hacker stole cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 source code to OS/Comet from a computer at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 U.S. Navy's naval research lab in Washington, D.C. in an attack conducted on Christmas Eve, 2000. OS/Comet was developed by Exigent International (Melbourne,FL), a U.S. government contractor. The software has been deployed by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 U.S. Air Force on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 NAVSTAR Global Positioning System (GPS) from its Colorado Springs Monitor Station, which is part of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 U.S. Space Command. A copy of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 OS/Comet source code was found during a police swoop in Sweden on a computer company whose identity has not been revealed. The intrusion appears to have emanated from a computer at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 University of Kaiserslauten in Germany, which was used to download cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 software's source code via cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Web and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 service provider Freebox.com, which is owned by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Swedish firm Carbonide. The hacker known only as "Leeif" was able to hide his or her true identity by breaking into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 account of a legitimate Freebox.com user and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n using that person's account to distribute cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 source code to ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs. Exigent has filed suit against both Carbonide and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 University of Kaiserlautern in Germany. The NCIS's inquiry is being headedby cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 NCIS headquarters for European affairs in Naples and by its London bureau, which deals specifically with Scandinavia.