Vietnam, he held his fire, lest the incident escalate into a second U.S. war in Asia.
Seven months later, a U.S. Navy submarine was allegedly operating inside the territorial waters of the
Soviet Union when the ship collided underwater with a Red Navy submarine. Six years later Seymour
Hersh reported, “The American submarine, the USS Gato, was on a highly classified reconnaissance
mission as part of what the Navy called the Holystone program when she and the Soviet submarine
collided fifteen to twenty-five miles off the entrance to the White Sea.” According to Peter Sasgen’s
excellent Stalking the Bear, “Operation Holystone was a series of missions carried out during the Cold
War [that] encompassed everything from recording the acoustic signatures of individual Soviet
submarines to collecting electronic communications to videotaping weapon tests.” Both these incidents of
spying gone wrong could have brought us into very real and dangerous conflict.
In early 1992, I was an Assistant Secretary of State, and my boss, Secretary of State James A. Baker
III, was engaged in delicate negotiations with Russia about arms control and the end of the Cold War.
Baker believed he was succeeding in overcoming the feelings of defeat and paranoia in the leadership
circles and the military elites in Moscow. He sought to assuage fears that we would take advantage of the
collapse of the Soviet Union. Then, on February 11, the USS Baton Rouge, a nuclear submarine,
collided not far off the coast from Severomorsk with the Red Banner Fleet’s Kostroma, a Sierra-class
submarine. The Russians, outraged, charged that the U.S. submarine had been collecting intelligence
inside the legal limit of their territory.
I recall how furious Baker was as he demanded to know who in the State Department had approved
the Baton Rouge’s mission and what possible value it could have compared to the damage that could be
done by its discovery. Baker urgently embarked on a diplomatic repair mission, promising his
embarrassed counterpart, Eduard Shevardnadze, that any future such U.S. operations would be
canceled. The USS Baton Rouge, badly damaged, made it back to port, where it was, shortly after,
struck from the fleet and decommissioned. Those in Moscow who had been preaching that America was
hoodwinking them had their proof. The distrust Baker sought to end only grew instead.
As we think of cyber espionage, we should not just think of it as a new intercept method. Cyber
espionage is in many ways easier, cheaper, more successful, and has fewer consequences than traditional
espionage. That may mean that more countries will spy on each other, and do more of it than they
otherwise would.
Prior to cyber espionage, there were physical limits to how much information a spy could steal and,
thus, in some areas there were partial constraints on the extent of the damage he could do. The case of
the F-35 fighter (mentioned briefly above, in chapter 5) demonstrates how when the quantitative aspect
of espionage changes so much with the introduction of the cyber dimension, it does not just add a new
technique. Rather, the speed, volume, and global reach of cyber activities make cyber espionage
fundamentally and qualitatively different from what has gone before. Let’s look at the F-35 incident again
to see why.
The F-35 is a fifth-generation fighter plane being developed by Lockheed Martin. The F-35 is meant
to meet the needs of the Navy, Air Force, and Marines in the twenty-first century for an air-to-ground
striker, replacing the aging fleet of F-16s and F-18s. The F-35’s biggest advancement over the
fourth-generation aircraft will be in its electronic warfare and smart weapons capabilities. With a smaller
payload than its predecessors, the F-35 was designed around a “one shot, one kill” mode of warfare that
depends on advanced targeting systems. Between the Air Force, Navy, and Marines, the U.S. military
has ordered nearly 2,500 of these planes, at a cost of over $300 billion. NATO nations have also
ordered the aircraft. The F-35 would provide dominance over any potential adversary for the next three
decades. That dominance could be challenged if our enemies could find a way to hack it.
In April 2009, someone broke into data storage systems and downloaded terabytes’ worth of
information related to the development of the F-35. The information they stole was related to the design
of the aircraft and to its electronics systems, although what exactly was stolen may never be known
because the hackers covered their tracks by encrypting the stolen information before exporting it.
According to Pentagon officials, the most sensitive information on the program could not have been
accessed because it was allegedly air-gapped from the network. With a high degree of certainty, these
Page 111
ABC Amber ePub Converter Trial version, http://www.processtext.com/abcepub.html
Convert pdf file to powerpoint - C# Create PDF from PowerPoint Library to convert pptx, ppt to PDF in C#.net, ASP.NET MVC, WinForms, WPF
Online C# Tutorial for Creating PDF from Microsoft PowerPoint Presentation
change pdf to powerpoint online; pdf to ppt converter online for large
Convert pdf file to powerpoint - VB.NET Create PDF from PowerPoint Library to convert pptx, ppt to PDF in vb.net, ASP.NET MVC, WinForms, WPF
VB.NET Tutorial for Export PDF file from Microsoft Office PowerPoint
adding pdf to powerpoint slide; convert pdf to powerpoint online
officials believe that the intrusion can be traced back to an IP address in China and that the signature of
the attack implicates Chinese government involvement. This was not the first time the F-35 program had
been successfully hacked. The theft of the F-35 data started in 2007 and continued through 2009. The
reported theft was “several” terabytes of information. For simplicity’s sake, let’s assume it was just one
terabyte. So, how much did they steal? The equivalent of ten copies of the Encyclopaedia Britannica,
all 32 volumes and 44 million words, ten times over.
If a Cold War spy wanted to move that much information out of a secret, classified facility, he would
have needed a small moving van and a forklift. He also would have risked getting caught or killed. Robert
Hanssen, the FBI employee who spied for the Soviets, and then the Russians, starting in the 1980s, never
revealed anywhere near that much material in over two decades. He secreted documents out of FBI
headquarters, wrapped them in plastic bags, and left them in dead drops in parks near his home in
Virginia. In all, Hanssen’s betrayal amounted to no more than a few hundred pages of documents.
Hanssen now spends twenty-three hours a day in solitary confinement in his cell at the supermax
prison in Colorado Springs. He is allowed no letters, no visitors, no phone calls, and when addressed by
prison guards, is referred to only as “the prisoner” in the third person (“the prisoner will exit his cell”). At
least Hanssen escaped with his life. The spies he betrayed were not so lucky. At least three Russians in
the employ of the American intelligence community were betrayed by Hanssen and killed by the
Russians. A fourth was sent to prison. Spying used to be a dangerous business for the spies. Today it is
done remotely.
The spies who stole the information on the F-35 didn’t need to wait for a recruit to be promoted to
gain access, they didn’t have to find someone motivated to betray his country, and no one had to risk
getting caught and going to a supermax, or worse. Yet with the information stolen, they may be able to
find a weakness in the design or in the systems of the F-35. Perhaps they will be able to see a
vulnerability to a new kind of cyber weapon they will use in a future war to eliminate our dominance in the
air by dominating cyberspace. That may not even be the worst-case scenario. What if, while the hackers
were in our systems, exfiltrating information, they also uploaded a software package? Maybe it was
designed to provide a trapdoor for access to the network later, once their original way in was patched.
Maybe it was a logic bomb set to take down the Pentagon’s network in a future crisis. Moving from
espionage to sabotage is just a few clicks of the mouse. Whoever “they” are, they may be in our systems
now just to collect information, but that access could allow them to damage or destroy our networks. So,
knowing that nations have been in our systems “just to spy” may give the Pentagon and the President a
moment of pause in the next crisis.
Banning cyber espionage effectively would present huge challenges. Detecting whether a nation is
engaging in cyber espionage may be close to impossible. The ways in which the U.S. and Russia now
engage in cyber espionage are usually undetectable. Even if we had means of noticing the most
sophisticated forms of network penetration, it could be exceedingly difficult to prove who was on the
keyboard at the other end of the fiber, or for whom he was working. If we agreed to a treaty that
stopped cyber espionage, U.S. agencies would presumably cease such activity, but it is extremely
doubtful that some other nations would.
The ways in which we collect information, including by cyber espionage, may offend some people’s
sensibilities and may sometimes violate international or national laws, but, with some notable exceptions,
U.S. espionage activities are generally necessary and beneficial to U.S. interests. Moreover, the
perception that espionage is vital is widespread among U.S. national security experts and legislators. One
question I always asked my teams when I was engaged in arms control was, “When it comes time to
testify in favor of the ratification of this agreement, how will you explain to the U.S. Senate how you came
to agree to this provision, or, since it will likely be me testifying, how the hell do I explain why we agreed
to this?” With an agreement to limit espionage, I would not even know where to begin. And so, when
looking at a Russian proposal to ban cyber espionage, one is left wondering why they proposed it and
what it says about the overall intent and purpose of their advocacy of a cyber war treaty. The Russian
proposal to ban cyber espionage comes from a country with a high degree of skill in such activity, a
nation that has regularly orchestrated cyber warfare against other states, has one of the worst records
Page 112
ABC Amber ePub Converter Trial version, http://www.processtext.com/abcepub.html
Online Convert PowerPoint to PDF file. Best free online export
Convert a PPTX/PPT File to PDF. Just upload your file by clicking on the blue button or drag-and-drop your pptx or ppt file into the drop area.
how to convert pdf to powerpoint; adding pdf to powerpoint
VB.NET PDF File Compress Library: Compress reduce PDF size in vb.
Convert smooth lines to curves. Detect and merge image fragments. Flatten visible layers. VB.NET Demo Code to Optimize An Exist PDF File in Visual C#.NET Project
how to convert pdf into powerpoint; how to convert pdf into powerpoint slides
when it comes to international cooperation against cyber crime, and has not signed the one serious
international agreement on disruptive cyber activity (the Council of Europe Cyber Crime Convention).
In rejecting the Russian proposal for an international agreement prohibiting cyber espionage, I
recognize that cyber espionage does have the potential to be damaging to diplomacy, to be provocative,
and possibly even destabilizing. As former NSA Director Ken Minihan said to me, “We are conducting
warfare activities without thinking that it is war.” That is dangerous, but there may be other ways to
address those concerns. Over the course of the Cold War, the CIA and its Soviet counterpart, the KGB,
met secretly and developed tacit rules of the road. Neither side went around assassinating the other’s
agents. Certain things were generally out of bounds. There may be a parallel in cyber espionage. What I
recommend is consideration of quiet understandings. Countries need to recognize that cyber espionage
can easily be mistaken for preparation of the battlefield and that such actions may be seen to be
provocative. Nations should not do things in cyberspace that they would not do in the real world. If you
would not put a group of agents in somewhere to extract the information you are hoping to steal on the
Net, you probably should not take it electronically. Because there is so little difference between
extraction and sabotage, countries should be careful about where they prowl and what they take in
cyberspace.
While espionage targeting government systems may have gotten out of hand, America’s real crown
jewels are not our government secrets, but our intellectual property. U.S. stockholders and taxpayers
spend billions of dollars funding research. China steals the results for pennies on the billions and then
takes the results to market. The only real economic edge that the U.S. enjoyed, our technological
research prowess, is disappearing as a result of cyber espionage. Calling it “industrial espionage” doesn’t
alter the fact that it is crime. By hacking commercial organizations around the world to steal non-defense
data to increase China’s profits, the government in Beijing has become a cleptocracy on a global scale.
Even if a major cyber war involving the U.S. never happens, Chinese cyber espionage and intellectual
property war may swing the balance of power in the world away from America. We need to make
protecting this information a much higher priority, and we need to confront China about its activities.
If consequences can be created for certain kinds of destabilizing cyber espionage, countries may more
tightly control who does it, why it is done, and where it is done. Most bureaucrats want to avoid scenes
in which they have to explain to an outraged Secretary of State, or similar senior official, how the
intelligence value of an exposed covert operation was supposed to outweigh the damage done by its
discovery. Thus, while I recognize that some cyber espionage may have the potential to be less valuable
than the corresponding amount of damage it may cause, I think that risk is best handled by discussions
among intelligence organizations and governments bilaterally, privately. An arms control agreement
limiting cyber espionage is not clearly in our interest, might be violated regularly by other nations, and
would pose significant compliance-enforcement problems.
BANNING CYBER WAR?
Would it be a good idea, then, to agree to an outright ban on cyber war as defined here (that is,
excluding cyber espionage)? An outright ban could, theoretically, prohibit the development or possession
of cyber war weapons, but there would be no way to enforce or verify such a ban. A ban could also be
articulated as a prohibition on the use of cyber weapons against certain targets or on their deployment
prior to the outbreak of hostilities, rather than their mere possession or their use in espionage. To judge
whether a ban on conducting cyber war would be in our interest, assuming it could be verified, let’s look
at some hypothetical cases.
Imagine a scenario similar to the Israeli raid on the Syrian nuclear facility with which this book began.
Change the scenario slightly so that it is the United States that wants to prevent some rogue state from
developing a nuclear weapon and it is the United States that decides it has to bomb the covert site where
the nuclear weapon is going to be made. The U.S. might well have the same kind of capability to turn off
an adversary’s air defense system by employing a cyber weapon. If we had agreed to a ban on the use of
cyber weapons, we would face a choice between, on the one hand, violating the agreement, and, on the
other hand, sending in U.S. pilots without having done all that we could in advance to protect them. Few
Page 113
ABC Amber ePub Converter Trial version, http://www.processtext.com/abcepub.html
VB.NET PDF File Merge Library: Merge, append PDF files in vb.net
Microsoft Office Word, Excel and PowerPoint data to PDF form. Merge PDF with byte array, fields. Merge PDF without size limitation. Append one PDF file to the end
pdf to powerpoint converter; convert pdf slides to powerpoint
C# PDF File Split Library: Split, seperate PDF into multiple files
Application. Best and professional adobe PDF file splitting SDK for Visual Studio .NET. outputOps); Divide PDF File into Two Using C#.
how to change pdf file to powerpoint; export pdf into powerpoint
civilian or military leaders in this country would want to have to explain that U.S. aircraft were shot down,
U.S. pilots taken prisoner or killed, because even though we could have shut off the adversary’s air
defense system we did not because of an international agreement.
Or imagine a scenario in which the U.S. was already in a limited shooting war with some nation, as we
have been in recent history with such nations as Serbia, Iraq, Panama, Haiti, Somalia, and Libya. The
U.S. forces might be in a situation where they could substitute a cyber weapon for conventional
explosive, kinetic weapons. The cyber weapon might result in lower lethality and do less physical
damage, have less long-lasting effects. An outright ban on the use of cyber weapons would force the
U.S. to choose, once again, between violating the agreement and doing some unnecessary damage to the
adversary.
A simpler scenario would not involve a shooting war or a U.S. preemptive attack, but rather
something as routine as a U.S. ship sailing peacefully in international waters. In this scenario, a U.S.
destroyer sailing parallel to the North Korean coast would be attacked by a North Korean patrol boat,
which fires missiles at the destroyer. The U.S. ship might have a cyber weapon that could be beamed into
the guidance system of the incoming missiles, causing them to veer away. If there were an outright ban on
the use of cyber weapons, the U.S. might even be prohibited from using them to defend its forces from
an unprovoked attack.
The most difficult scenario in which to show restraint would be if cyber weapons were already being
used against us. If an adversary tried to shut down a U.S. military network or weapon system by using
cyber techiques, it would be tempting to ignore the international agreement and respond in kind.
The two sides of the case for and against a complete ban on the use of cyber war weapons are clear.
If we really believe that a ban on cyber weapons is in the U.S. interest, we should be willing to pay some
price to maintain the international standard of not using such weapons. We have been in situations in the
past where we might have enjoyed some immediate military advantage by using a nuclear weapon or a
chemical or biological weapon, but we have always decided that the larger U.S. interest is in maintaining
a global consensus against employing such weapons. Nonetheless, because cyber weapons can be less
lethal, banning their use in conjunction with kinetic combat may be hard to justify. If shots are already
being fired, using cyber weapons might not be destabilizing or escalatory if (and this is a very big if) their
use did not expand the scope of the war. The U.S. military will make the case (strongly) that cyber war
weapons are a U.S. advantage and that we have to use our technological advantage to compensate for
how thinly our forces are spread around the world and how sophisticated the conventional weapons have
become that are in the hands of possible opponents.
Balancing our desire for military flexibility with the need to address the fact that cyber war could
damage the U.S. significantly, it may be possible to craft international constraints short of a complete ban.
An international agreement that banned, under any circumstances, the use of cyber weapons is the most
extreme form of a ban. In the previous chapter, we looked briefly at the proposal of a no-first-use
agreement, which is a lesser option. A no-first-use agreement could simply be a series of mutual
declarations, or it could be a detailed international agreement. The focus could be on keeping cyber
attacks from starting wars, not on limiting their use once a conflict has started. We could apply the pledge
to all nations, or only to those nations that made a similar declaration or signed an agreement.
Saying we won’t be the first ones to use cyber weapons may in fact have more than just diplomatic
appeal in the international arena. The existence of the pledge might make it less likely that another nation
would initiate cyber weapons use because to do so would violate an international norm that employing
cyber weapons crosses a line, is escalatory, and potentially destabilizing. The nation that goes first and
violates an agreement has added a degree of international opprobrium to its actions and created in the
global community a presumption of misconduct. International support for that nation’s underlying position
in the conflict might thus be undermined and the potential for international sanctions increased.
A no-first-use declaration could result in reduced flexibility in many of the kinds of cyber scenarios I
discussed above. Waiting to respond in kind once we detected that the cyber weapons had been used in
a conflict, or used specifically against us, may also create a disadvantage in the cyber war phase of a
conflict.
Page 114
ABC Amber ePub Converter Trial version, http://www.processtext.com/abcepub.html
C# PDF Convert to Jpeg SDK: Convert PDF to JPEG images in C#.net
PDFPage page = (PDFPage)doc.GetPage(0); // Convert the first PDF page to a JPEG file. page.ConvertToImage(ImageType.JPEG, Program.RootPath + "\\Output.jpg");
converting pdf to powerpoint slides; how to change pdf to powerpoint
VB.NET PDF Convert to Jpeg SDK: Convert PDF to JPEG images in vb.
PDF from PowerPoint; C#: Create PDF from Tiff; C#: Convert PDF to Word; C#: Convert PDF to Tiff; C#: Convert PDF to HTML; C#: Convert PDF to Jpeg; C# File: Compress
convert pdf to powerpoint presentation; how to change pdf to powerpoint on
BANNING ATTACKS ON CIVILIANS?
There are less restrictive approaches than banning the use of cyber weapons, or even forswearing first
use. One possibility would be to issue a unilateral declaration or to agree to an international protocol
placing civilian targets off limits to nation-states’ use of cyber weapons. There is ample precedent in the
international laws of war for a limited ban on certain weapons or activities, as well as to treaties that call
for the protection of civilians caught up in wars.
In World War I, aircraft were used in combat for the first time. They were mainly employed for
reconnaissance, machine-gun strafing of troops, and attacking each other in the air, but some aircraft
were used to drop explosives on the enemy. This first, small use of aerial bombing opened the possibility
of creating larger aircraft in the future to carry more, and bigger, bombs. Within a decade bomber aircraft
were being manufactured. One of the earliest science fiction authors, H. G. Wells, vividly portrayed what
such bombing aircraft could do to a city in his 1933 novel The Shape of Things to Come. By 1936 he
and the filmmaker Alexander Korda had adapted the book into a movie, Things to Come, which
horrified audiences. In 1938 in Amsterdam, an international conference agreed to limits on “New Engines
of War.” That agreement led, later that year, to a “Convention for the Protection of Civilian Populations
against Bombing from the Air.”
Unfortunately for Amsterdam, and most major cities in Europe and Asia, that agreement did not stop
Germany, Japan, the United States, the United Kingdom, or the Soviet Union from aerial carpet bombing
of cities in the war that started one year later. After World War II, nations tried again and wrote several
agreements limiting how future wars should be conducted. These treaties, negotiated in Switzerland,
became known as the Geneva Conventions. Convention Four covers the “Protection of Civilian Persons
in Time of War.” Thirty years later the United Nations sponsored another series of conventions that
protected not only civilians, but also military personnel against certain kinds of weapons that were thought
to be destabilizing or heinous. The conventions were given the cumbersome title “Prohibitions or
Restrictions on the Use of Certain Conventional Weapons…Excessively Injurious or Hav[ing]
Indiscriminate Effects.” Five specific protocols were agreed on, banning or limiting the use of established
weapons such as land mines and incendiaries, as well as the new application of commercial laser
technology to weaponry.
More recently the International Criminal Court agreement, which entered into force in 2002, banned
intentionally targeting civilians. The United States has withdrawn from the Court treaty and has gained
agreement from many nations that they would not support the prosecution of U.S. military personnel by
the Court.
Either the Geneva convention on “Protection of Civilians” in war or the UN convention on weapons
with “Indiscriminate Effects” could be expanded to deal with this new kind of warfare. Cyber weapons
used against a nation’s infrastructure would inevitably result in attacking civilian systems. Nothing could
be more indiscriminate that attacking such things as a nation’s power grid or transportation system. While
such broad-based attacks would diminish a nation’s military capacity, some military capabilities will suffer
less than similar civilian infrastructure. The military are more likely to have backup power systems,
stockpiled food, and emergency field hospitals. A broad-based cyber attack on a nation’s infrastructure
could keep the power grid off-line for weeks, pipelines unable to move oil and gas, trains sidelined,
airlines grounded, banks unable to dispense cash, distribution systems crippled, and hospitals working at
severely limited capacity. Civilian populations could well be left in cold, darkened dwellings with little
access to food, money, medical care, or news about what was happening. Looting and a crime wave
could follow. The number of fatalities would depend upon the duration and geographic scope of the
outages. While such casualties would, however, be far fewer than those resulting from an aerial bombing
campaign against cities, a sophisticated national cyber attack would definitely affect civilians, and might
even be designed to do so.
Extending existing international agreements to protect civilians against cyber attacks has advantages for
the United States. It allows the U.S. to continue to do what it is good at, cyber war against military
targets, including going first. Sophisticated cyber weapons may allow the U.S. to continue to have
Page 115
ABC Amber ePub Converter Trial version, http://www.processtext.com/abcepub.html
VB.NET PDF Convert to HTML SDK: Convert PDF to html files in vb.
using RasterEdge.XDoc.PDF; This professional .NET solution that is designed to convert PDF file to HTML web page using VB.NET code efficiently.
how to convert pdf to ppt for; convert pdf to powerpoint
C# PDF File Merge Library: Merge, append PDF files in C#.net, ASP.
Merge Microsoft Office Word, Excel and PowerPoint data to PDF form. Append one PDF file to the end of another and save to a single PDF file.
how to change pdf to powerpoint slides; how to add pdf to powerpoint presentation
technological superiority in potential military conflicts, even as other nations deploy modern conventional
weapons with capabilities that approach or equal those of American forces. Cyber weapons may also
allow the U.S. to compensate in local or regional situations where the American forces are outnumbered.
Limiting U.S. cyber attacks to military targets would mean that we could not disrupt another nation’s
military as a side effect of a general attack on a civilian power grid or railroad system. It is likely,
however, that U.S. cyber warriors have the capability to narrowly attack military targets such as
command and control grids, air defense networks, and specific weapons systems. Thus, by respecting a
ban on attacking civilian targets, the U.S. may not lose much or any capability needed that they need to
dominate an adversary.
The U.S. is not very good at cyber defense, nor is anybody else; but the U.S. civilian infrastructure is
more vulnerable, and thus the U.S. stands to suffer more from a broad national cyber attack than would
most other nations. Because the U.S. military relies on the civilian infrastructure, a ban on cyber attacks
on civilian targets would protect the U.S. military, as well as what it would do to avoid inflicting harm on
people in general and on the economy.
If the U.S. thought such a limited ban on cyber weapons was in its interest and either proposed it or
agreed to it, there are two immediate follow on questions. First, how do you propose to verify it? Let’s
get to that in a moment. Second, what does it mean with regard to “preparation of the battlefield”? Do
we define an attack as including the penetration of a network, or the emplacement of a logic bomb, or is
it just the use of a logic bomb or other weapon? Specifically, what is it that we would be willing to agree
to stop doing?
Earlier, we came to the conclusion that a formal international agreement banning cyber espionage was
probably not a good idea for the United States. So, we would not ban the penetration of networks to
collect intelligence, and there is probably intelligence information that one could glean from hacking into a
railroad’s control system. But what real intelligence value would there be to hacking into an electric grid’s
controls? Hacking into an electric grid’s controls and leaving a trapdoor to facilitate easy return can have
only one purpose: preparation for an attack. Leaving behind a logic bomb is even more obviously an act
of cyber war.
Theoretically, you could write a ban on cyber war attacks on civilian infrastructure that would not
explicitly prohibit placing trapdoors or logic bombs, but would rather just ban any act that actually causes
a disruption. This narrow ban would allow the U.S. to be in position to retaliate quickly against another
country’s civilian infrastructure if it attacked ours. Without preplacement of cyber weapons, it might be
difficult and time-consuming to attack networks. But by allowing countries to go around lacing one
another’s networks with logic bombs, we would be missing the chief value of a ban on cyber attacks on
civilian infrastructure.
The main reason for a ban on cyber war against civilian infrastructures is to defuse the current (silent
but dangerous) situation in which nations are but a few keystrokes away from launching crippling attacks
that could quickly escalate into a large-scale cyber war, or even a shooting war. The logic bombs in our
electric grid, placed there in all likelihood by the Chinese military, and similar weapons the U.S. may have
or may be about to place in other nations’ networks, are as destabilizing as if secret agents had strapped
explosives to transmission towers, transformers, and generators. The cyber weapons are harder to
detect; and, with a few quick keystrokes from the other side of the globe, one disgruntled or rogue cyber
warrior might be able to let slip the dogs of war with escalating results, the limits of which we cannot
know.
Although we can imagine situations in which the U.S. might wish it had already put logic bombs in
some nation’s civilian networks, the risks of allowing nations to continue this practice would seem to far
outweigh the value of preserving for ourselves that one option to attack. Thus, as part of a ban on
attacking civilian infrastructure with cyber weapons, we should probably agree that the prohibition include
the penetration of civilian infrastructure networks for the purpose of placing logic bombs, and even the
emplacement of trapdoors on networks that control systems such as electric power grids.
BEGINNING WITH THE BANKS?
Page 116
ABC Amber ePub Converter Trial version, http://www.processtext.com/abcepub.html
Even an agreement limited to protecting civilian infrastructure may pose problems. Some nations, like
Russia, might contend that a U.S. willingness to accept such an agreement confirms their point that cyber
weapons are dangerous. They could hold out for a complete ban. Negotiating a verification arrangement
for even a civilian-protection protocol could, as we will discuss shortly, open a Pandora’s box of
complications. Therefore, the U.S. may want to consider an even more limited scope for an initial
international agreement on cyber weapons. One option might be an accord designed to preclude cyber
attacks on the international financial system. Every major nation has a stake in the reliability of the data
that underpin international bank clearinghouses, their major member banks, and the major stock and
commodity trading exchanges. With few exceptions, such as the impoverished rogue state of North
Korea, to launch an attack on an element of the international financial system would likely be
self-defeating. The damage to the system could directly hurt the attacker, and certainly the financial
retaliation that would result from the identification of an attacking nation could cripple a nation’s
economy.
Because of the interlocking nature of major global financial institutions, including individual banks, even
a cyber attack on one nation’s financial infrastructure could have a fast-moving ripple effect, undermining
confidence globally. And, as one Wall Street CEO told me, “It is confidence in the data, not the gold
bullion in the basement of the New York Fed, that makes the world financial markets work.”
The belief that cyber attacks on banks could unravel the entire global financial system has prevented
successive U.S. administrations from approving proposals to hack into banks and steal funds from
terrorists and dictators, including Saddam Hussein. As Admiral McConnell has noted, “What happens if
someone who is not deterred attacks a large bank in New York and contaminates or destroys the data?
Suddenly there is a level of uncertainty and loss of confidence. Without confidence that transactions are
safe and will reconcile, financial transactions will stop.” Thus, since we seem to have a self-imposed ban
anyway, it would probably be in the interest of the United States to propose or participate in an
international agreement to forswear cyber attacks targeted on financial institutions. (Such an agreement
need not prohibit cyber espionage. There might be intelligence value from observing financial transactions
in banks, such as identifying the money of terrorists. The U.S. may already be doing just that. It
apparently came as a shock to European financial institutions in 2006 that the U.S., seeking to track
terrorist funds, may have been covertly monitoring the international financial transactions of the SWIFT
bank-clearing system.)
INSPECTORS IN CYBERSPACE
The value of international agreements to ban certain kinds of cyber warfare activities, or pledges not to
engage in such attacks first, may depend in part upon whether violations can be detected and whether
blame can be assigned. Traditional arms control verification is very different from anything that would
work in cyberspace. To verify compliance with numerical limits on submarines or missile silos, nations
had only to fly their space-based surveillance platforms overhead and take photographs. It’s hard to hide
a submarine-building shipyard or a missile base. For smaller objects, such as armored combat vehicles,
inspection teams were permitted into military bases to conduct inventories. To ensure no improper
activity at nuclear reactors, the International Atomic Energy Agency’s inspectors install surveillance
cameras and place seals and identification tags on nuclear material. International teams sample chemicals
at corporations’ chemical plants, looking for signs of covert chemical weapons production. To monitor
for nuclear weapons tests, an international network of seismic sensors has been netted together, with
nations sharing the data they detect.
Only that seismic network, and perhaps the IAEA teams, offers any useful precedent for cyber arms
control verification. You cannot detect or count cyber weapons from space, or even by driving around an
army base. No nation is likely to agree to having international teams of inspectors plowing through what
programs are on computer networks designed to protect classified information. Even if in some parallel
universe, nations did permit such intrusive inspection of their military or intelligence computer networks, a
nation could hide its cyber weapons on thumb drives or CDs anywhere in the country. A ban on
development, possession, or testing of cyber weapons on a closed network (such as the National Cyber
Page 117
ABC Amber ePub Converter Trial version, http://www.processtext.com/abcepub.html
Range being developed by Johns Hopkins University and Lockheed Martin) is not something that could
be verified.
The actual use of cyber weapons, however, may be more clear-cut. The effects of an attack can often
be easily discerned. Computer forensic teams can generally determine what attack techniques were used,
even if they may not be able to determine how the penetration into the network occurred. The attribution
problem would persist, however, even in the case of an attack that has already taken place. Trace-back
techniques and ISP records may indicate that a particular nation is involved, but they would not usually
be able to prove a government’s guilt with high confidence. A nation, perhaps the U.S., could easily be
framed. Cyber attacks against Georgia, probably orchestrated by Russia, came from a botnet control
computer in Brooklyn.
Even if a nation admitted that an attack came from computers on its territory, the government could
claim the attacks were from anonymous citizens. This is precisely the claim that the Russian government
did make in the case of the cyber attacks on Estonia and Georgia. It is exactly what the Chinese
government claimed when U.S. networks were hit from China in 2001, following the alleged penetration
of Chinese airspace by a U.S. electronic spy plane. It may even be true that the hackers would turn out
to be people without government jobs or offices, although they may have been encouraged and enabled
by their governments.
One way to address the attribution problem is to shift the burden from the investigator and accuser to
the nation in which the attack software was launched. This same burden shifting has been used in dealing
with international crime and with terrorism. In December 1999, Michael Sheehan, then the U.S.
ambassador for counterterrorism, had the job of delivering a simple message to the Taliban. Sheehan was
instructed to make it clear to the Taliban that they would be held responsible for any attack perpetrated
by al Qaeda against the United States or its allies. Late at night, Sheehan delivered the message through
an interpreter by telephone to a representative of the Taliban leader Mullah Omar. To drive home the
point, Sheehan used a simple analogy: “If you have an arsonist in your basement; and every night he goes
out and burns down a neighbor’s house, and you know this is going on, then you can’t claim you aren’t
responsible.” Mullah Omar did not evict the arsonist in his basement, indeed he continued to harbor bin
Laden and his al Qaeda followers even after 9/11. Now it is Mullah Omar who is huddling in a basement
somewhere, hunted by NATO, U.S., and Afghan armies.
The notion contained in the “arsonist principle” is one that can be applied to cyber war. While we talk
about cyberspace as an abstract fifth dimension, it is made up of physical components. These physical
components, from the high-speed fiber-optic trunks, to every router, server, and “telecom hotel,” are all
in sovereign nations, except perhaps for the undersea cables and the space-based relays. Even they are
owned by countries or companies that have real-world physical addresses. Some people like to contend
that there is a “sovereignty problem” on the Internet, that because no one owns cyberspace in its entirety,
no one has any responsiblility for its integrity or security. The arsonist principle, articulated in an
international agreement as National Cyberspace Accountability, would make each person, company,
ISP, and country responsible for the security of their piece of cyberspace.
At a minimum, countries like Russia could no longer claim that they have no control over so-called
patriotic hacktivists. An international agreement could hold host governments responsible either for
stopping these hackers from participating in illegal international activities, or at least requiring nations to
make their best effort to do so. In addition to their own police activities, a nation that is party to an
international agreement might have an obligation to assist. Such an obligation could require them to
respond quickly to inquiries in international investigations, seize and preserve server or router records,
host and facilitate international investigators, produce their citizens for questioning, and prosecute citizens
for specified crimes.
The existing 2001 Council of Europe Convention on Cyber Crime already incorporates many of these
obligations to assist. The United States is a party to the convention. Our sovereignty is not being infringed
upon by some supranational Olde Europa bureaucracy. Rather, by signing the convention, the U.S. is
promising to pass any new legislation necessary to provide the U.S. government with the authority to do
the things necessary to meet the obligations in the agreement.
Page 118
ABC Amber ePub Converter Trial version, http://www.processtext.com/abcepub.html
Going beyond the current cyber crime convention, however, a cyber war convention could make
nations responsible for ensuring that their ISPs deny service to individuals and devices participating in
attacks and report them to authorities. Such a provision would mean that ISPs would have to be able to
detect and “black-hole” major worms, botnets, DDOS attacks, and other obvious malicious activity.
(Some of this process of identifying malware is something far less difficult than deep-packet inspection
and can be done largely by something called “flow analysis,” which really means nothing more than
watching how much traffic is moving on the network and looking for unusual spikes or patterns.) If a
nation did not successfully compel an ISP into compliance, the international agreement could establish a
procedure that transferred responsibility to other nations. An ISP could be internationally black-listed. All
participating nations would then be required to refuse traffic going to or from that ISP until it complied
and stopped the botnets or other obvious malware.
Such an international agreement would deal with a portion of the attribution problem, by shifting
responsibility. Even if the attacker could not be identified, at least there would be someone who could be
held responsible for stopping the attack and investigating who the attacker was. Such an obligation would
not require most nations to add new cyber forensics units. Nations like China and Russia have the ability
now to identify and move quickly against hackers. As Jim Lewis of the Center for Strategic and
International Studies has said, “If a hacker in St. Petersburg tried to break into the Kremlin system, that
hacker could count the remaining hours of his life on one hand.” You can be sure that the same is true for
anyone in China trying to hack the People’s Liberation Army network. If China and Russia signed a
cyber war agreement with obligations like the ones suggested here, those governments could no longer
blame their citizens for DDOS attacks on other nations and then stand back and do nothing. Failure to
act promptly against citizen hackers would result in the nation itself being held in violation of the
agreement and, more important, in other nations disconnecting all traffic from the offending ISPs. Nations
could black-hole such rogue traffic from other countries now, but in the absence of a legal framework,
they are reluctant to do so. An agreement would not only permit nations from blocking such traffic, it
would require them to do so.
A National Cyberspace Accountability provision and its corollary Obligation to Assist would not
completely solve the attribution problem. The Russian botnet attack could still come from Brooklyn. The
Taiwanese hacker sitting in the San Francisco cyber café could still attack a Chinese government
website. But under such an agreement the U.S. would have to stop the botnet and actively investigate the
hacker. In the case of a hypothetical Taiwanese agent hacking into Chinese networks in violation of an
international agreement, the U.S. government, when notified by China of such activity, would have to task
the FBI or Secret Service to help the Chinese police track down the culprit in San Francisco. If he was
found, he could be tried in a U.S. court for violation of U.S. law.
Of course, nations may say that they are looking for hackers and not be. They may try culprits and find
them not guilty. When notified of a botnet originating on an ISP in their country, nations may take their
sweet time doing something about it. To judge whether a nation is actively complying or is just being
passive-aggressive, it may be useful if a cyber war agreement created an “International Cyber Forensics
and Compliance Staff.” The staff of experts could make reports to member states on whether or not a
nation is acting in the spirit of the agreement. There could be international inspection teams, similar to
those under the nuclear nonproliferation agreement, the chemical weapons ban, and the European
security and cooperation agreement. Such teams could be invited in by signatory nations to assist in
verifying that a cyber war attack had occurred in violation of the agreement. They could help determine
what nation had actually launched the attack. The international staff might also, with the voluntary
cooperation of member states, place traffic-flow monitoring equipment at key nodes leading into a nation’
s networks to help detect and identify the origin of attacks.
The international staff might also run a center that nations could contact whenever they believed they
were coming under a cyber war attack. Imagine that an Israeli network is hit with a botnet DDOS attack
from an ISP in Alexandria, Egypt, at three in the morning, Tel Aviv time. Israel, like all signatory countries
in our hypothetical agreement, would have a national cyber security liaison office constantly staffed. The
Israeli center would call the international center, say, in Tallinn, and report that a cyber attack was
Page 119
ABC Amber ePub Converter Trial version, http://www.processtext.com/abcepub.html
originating from a certain ISP in Egypt. The international center would then call the Egyptian national
center in Cairo and request that they immediately investigate whether there is a botnet operating on that
ISP in Alexandria. The international staff would time how long it took Egypt to comply and shut down the
attack. Perhaps the international staff would be able to look at traffic-flow monitors on gateways coming
out of Egypt and see the botnet spike. Egypt would be required to respond with a report on its
investigation of the attack. If the incident warranted it, the international staff might ask to send a team of
investigators to assist or observe the Egyptian authorities. The international staff could file a report, with
conclusions and recommendations, to member states on the incident.
Nations that were found to be scofflaws could be subject to a range of sanctions. In addition to having
traffic to and from offending ISPs denied by ISPs in other member states, the offending nation could have
its hands slapped by the international organization. For more drastic action, nations could deny visas to
officials from the offending nation, limit exports of new IT equipment to the nation, limit the overall
amount of cyber traffic to and from the nation, or disconnect the nation altogether from international
cyber space for a period of time.
These verification and compliance provisions in a cyber war agreement would not totally solve the
attribution problem. They would not prevent a nation from spoofing the source of an attack or framing
another state. They would, however, make it more difficult for some kinds of cyber war attacks, while
establishing norms of international behavior, providing international legal cover for nations to assist, and
creating an international community of cooperating experts in fighting cyber war. It is also important to
remember that the capability to conduct attacks that amount to cyber war currently requires a state-level
effort, and only a handful of states have advanced capabilities. The list of potential attackers is small.
Attribution is a major problem for cyber crime, but for warfare, technical forensics and real-world
intelligence can narrow down the list of suspects fairly quickly.
What emerges from this discussion of cyber arms control are five broad conclusions. First, unlike other
forms of arms control that destroy weapons, cyber arms control cannot eliminate capability. It can only
prohibit acts. Thus, a nation could move from a state of compliance to a gross violation in seconds and
without warning.
Second, broad definitions of cyber warfare, such as those that include espionage, are not verifiable
and are not in our interest as a nation. Nonetheless, national intelligence services and national
governments should initiate channels for discussions so that intelligence activities do not get out of hand,
or become misconstrued as showing hostile intentions.
Third, international agreements that prohibit certain acts, such as cyber attacks on civilian
infrastructure, are in our interest. Because such attacks could still take place, such agreements would not
in any way diminish the need to take defensive steps to protect that infrastructure.
Fourth, high-confidence verification of compliance with a cyber war limitation agreement will not be
possible. We may be able to verify a violation, but attribution of the attack will be difficult and could be
subject to intentionally misleading activity. Nonetheless, there are measures that can contribute to an
international norm against cyber attacks on civilians, namely, an expert international staff, national
governmental responsibility for the prevention of violations originating within a nation’s borders, and an
obligation to assist in stopping and investigating attacks.
Finally, limits on cyber war attacks against civilian infrastructure would probably mean that we and
other states would have to cease any activity in which we may be engaged with logic bombs, and
perhaps trapdoors, in other nations’ civilian infrastructure networks. Lacing infrastructure with trapdoors
and logic bombs, although little noticed or discussed by the media and the general population, is
dangerously provocative. They are alluring because they offer some of the results of war, but without
soldiers or death. But they also signal hostile intent far more than any weapon that stays in a nation’s
inventory. They could be utilized easily and quickly, without proper authorization, or without a full
appreciation for what kind of spiral of escalation they might cause. Although a war might start in
cyberspace and be conducted without soldiers or bloodshed, it would be highly unlikely to stay that way
for long. By lacing on another’s infrastructure networks with cyber weapons, nations have made starting
a war far too easy.
Page 120
ABC Amber ePub Converter Trial version, http://www.processtext.com/abcepub.html
Documents you may be interested
Documents you may be interested