anywhere, they had at least two opportunities. First, as noted earlier, they could have attacked that
Internet 411, the Domain Name System, and sent me to the wrong page, perhaps to a phony look-alike
webpage, where I would enter my account number and password. Rather than hacking the Domain
Name System to hijack a webpage request, however, cyber warriors could attack the system itself. This
is just what happened in February 2007, when six of the thirteen top-level worldwide domain servers
were targeted in a DDOS attack. Similar to the botnets that hit Estonia and Georgia, the attack flooded
the domain name servers with thousands of requests per second. Two of the servers targeted were taken
down, including one that handles traffic for the Department of Defense. The other four were able to
manage the attack by shifting requests to other servers not targeted in the attack. The attack was traced
back to the Pacific region and lasted only eight hours. The attackers stopped it either because they were
afraid continuing it would allow investigators to trace it back to them or, more likely, because they were
just testing to see if they could do it.
In 2008, the hacker Dan Kaminsky showed how a sophisticated adversary could hack the system.
Kaminsky released a software tool that could quietly access the Domain Name System computers and
corrupt the database of name addresses and their related numbered addresses. The system would then
literally give you a wrong number. Just misdirecting traffic could cause havoc with the Internet. One cyber
security company found twenty-five different ways it could hack the Domain Name System to cause
disruption or data theft.
The second vulnerability of the Internet is routing among ISPs, a system known as the Border
Gateway Protocol. Another opportunity for a cyber warrior in the one-second, 2,000-mile trip of
packets from my home came when they jumped onto the AT&T network. AT&T runs the most secure
and reliable Internet service in the world, but it is as vulnerable as anyone else to the way the Internet
works. When the packets got on the backbone, they found that AT&T does not connect directly to my
company. So who does? The packets checked a database that all of the major ISPs contribute to. There
they found a posting from Level 3 that said, in effect, “If you want to connect to mycompany.com, come
to us.” This routing system regulates traffic at the points where the ISPs come together, where one starts
and the other stops, at their borders.
BGP is the main system used to route packets across the Internet. The packets have labels with a “to”
and “from” address, and BGP is the postal worker that decides what sorting station the packet goes to
next. BGP also does the job of establishing “peer” relationships between two routers on two different
networks. To go from AT&T to Level 3 requires that an AT&T router and a Level 3 router have a BGP
connection. To quote from a report from Internet Society, a nonprofit organization dedicated to
developing Internet-related standards and policies, “There are no mechanisms internal to BGP that
protect against attacks that modify, delete, forge, or replay data, any of which has the potential to disrupt
overall network routing behavior.” What that means is that when Level 3 said, “If you want to get to
mycompany.com, come to me,” nobody checked to see if that was an authentic message. The BGP
system works on trust, not, to borrow Ronald Reagan’s favorite phrase, on “trust but verify.” If a rogue
insider working for one of the big ISPs wanted to cause the Internet to seize up, he could do it by
hacking into the BGP tables. Or someone could hack in from outside. If you spoof enough BGP
instructions, Internet traffic will get lost and not reach its destination.
Everyone involved in network management for the big ISPs knows about the vulnerabilities of the
Domain Name System and the BGP. People like Steve Kent of BBN Labs in Cambridge,
Massachusetts, have even developed ways of eliminating those vulnerabilities, but the Federal
Communications Commission has not required the ISPs to do so. Parts of the U.S. government are
deploying a secure Domain Name System, but the practice is almost nonexistent in the commercial
infrastructure. Decisions on the Domain Name System are made by a nongovernmental international
organization called ICANN (pronounced “eye-can”), which is unable (“eye-cannot”) to get agreement
on a secure system. The result is that the Internet itself could easily be a target for cyber warriors, but
most cyber security experts think that unlikely because the Internet is so useful for attacking other things.
ICANN demonstrates the second vulnerability of the Internet, which is governance, or lack thereof.
No one is really in charge. In the early days of the Internet, ARPA (DoD’s Advanced Research Project
Page 41
ABC Amber ePub Converter Trial version, http://www.processtext.com/abcepub.html
Convert pdf to powerpoint with - C# Create PDF from PowerPoint Library to convert pptx, ppt to PDF in C#.net, ASP.NET MVC, WinForms, WPF
Online C# Tutorial for Creating PDF from Microsoft PowerPoint Presentation
image from pdf to powerpoint; convert pdf pages into powerpoint slides
Convert pdf to powerpoint with - VB.NET Create PDF from PowerPoint Library to convert pptx, ppt to PDF in vb.net, ASP.NET MVC, WinForms, WPF
VB.NET Tutorial for Export PDF file from Microsoft Office PowerPoint
convert pdf to powerpoint using; pdf to powerpoint
Agency) filled the function of network administrator, but nobody does now. There are technical bodies,
but few authorities. ICANN, the Internet Corporation for Assigned Names and Numbers, is the closest
that any organization has come to being responsible for the management of even one part of the Internet
system. ICANN ensures that web addresses are unique. Computers are logical devices, and they don’t
deal well with ambiguity. If there were two different computers on the Internet each with the same
address, routers would not know what to do. ICANN solves that problem by working internationally to
assign addresses. ICANN solves one of the problems of Internet governance, but not a host of other
issues. More than a dozen intergovernmental and nongovernmental organizations play some role in
Internet governance, but no authority provides overall administrative guidance or control.
The third vulnerability of the Internet is the fact that almost everything that makes it work is open,
unencrypted. When you are crawling around the web, most of the information is sent “in the clear,”
meaning that it is unencrypted. It’s like your local FM classic rock station broadcasting Pink Floyd and
Def Leppard “in the clear” so that anyone tuned to that channel can receive the signal and rock along
rolling down the highway. A radio scanner purchased at Radio Shack can listen in on the two-way
communications between truckers, and in most cities, between police personnel. In some cities, however,
the police will “scramble” the signal so that criminal gangs cannot monitor police comms. Only someone
with a radio that can unencrypt the traffic can hear what is being said. To everyone else, it just sounds
like static.
The Internet generally works the same way. Most communication is openly broadcast, and only a
fraction of the traffic is encrypted. The only difference is that it is a little more difficult to tune in to
someone else’s Internet traffic. ISPs have access (and can give it to the government), and mail-service
providers like Google’s Gmail have access (even if they say they don’t). In both those cases, by using
their services you are more or less agreeing that they may be able to see your web traffic or e-mails. For
a third party to get access, they need to do what security folks call “snoop” and use a “packet sniffer” to
pick up the traffic. A packet sniffer is basically a wiretap device for Internet traffic and can be installed on
any operating system and used to steal other people’s traffic on a local area network. When plugged into
a local or an Ethernet network, any user on the system can use a sniffer to pull in all the other traffic. The
standard Ethernet protocol tells your computer to ignore everything that is not addressed to it, but that
doesn’t mean it has to. An advanced packet sniffer on an Ethernet network can look at all the traffic.
Your neighbors could sniff everything on the Internet on your street. More advanced sniffers can trick the
network in what is known as a “man-in-the-middle” attack. The sniffer appears to the router as the user’s
computer. All information is sent to the sniffer, which then copies the information before passing it on to
the real addressee.
Many (but not most) websites now use a secure, encrypted connection when you log on so that your
password is not sent in the clear for anyone sniffing around to pick up. Due to cost and speed, most then
drop the connection back into an unsecure mode after the password transmission is made. When sniffing
the transmission isn’t possible, or when the data being sent is unreadable, that doesn’t mean you are safe.
A keystroke logger, a small hidden piece of malicious code installed surreptitiously on your computer,
can capture everything you type and then transmit it secretly. Of course, this type of keystroke logger
does require you to do something stupid in order for it to be installed on your computer, such as visiting a
website that has been infected or downloading a file from an e-mail that is not really from someone you
trust. In October 2008 the BBC reported that “computer scientists at the Security and Cryptography
Laboratory at the Swiss Ecole Polytechnique Fédérale de Lausanne have demonstrated that criminals
could use a radio antenna to ‘fully or partially recover keystrokes’ by spotting the electromagnetic
radiation emitted when keys were pressed.”
A fourth vulnerability of the Internet is its ability to propagate intentionally malicious traffic designed to
attack computers, malware. Viruses, worms, and phishing scams are collectively known as “malware.”
They take advantage of both flaws in software and user errors like going to infected websites or opening
attachments. Viruses are programs passed from user to user (over the Internet or via a portable format
like a flash drive) that carry some form of payload to either disrupt a computer’s normal operation,
provide a hidden access point to the system, or copy and steal private information. Worms do not
Page 42
ABC Amber ePub Converter Trial version, http://www.processtext.com/abcepub.html
Online Convert PowerPoint to PDF file. Best free online export
Download Free Trial. Convert a PPTX/PPT File to PDF. Then just wait until the conversion from Powerpoint to PDF is complete and download the file.
convert pdf file to ppt online; conversion of pdf to ppt online
C# PDF Convert to Jpeg SDK: Convert PDF to JPEG images in C#.net
C# PDF - Convert PDF to JPEG in C#.NET. C#.NET PDF to JPEG Converting & Conversion Control. Convert PDF to JPEG Using C#.NET. Add necessary references:
pdf into powerpoint; add pdf to powerpoint slide
require a user to pass the program on to another user; they can copy themselves by taking advantage of
known vulnerabilities and “worm” their way across the Internet. Phishing scams try to trick an Internet
user into providing information such as bank account numbers and access codes by creating e-mail
messages and phony websites that pretend to be related to legitimate businesses, such as your bank.
All this traffic is allowed to flow across the Internet with few, if any, checks on it. For the most part,
you as an Internet user are responsible for providing your own protection. Most ISPs do not take even
the most basic steps to keep bad traffic from getting to your computer, in part because it is expensive and
can slow down the traffic, and also because of privacy concerns.
The fifth Internet vulnerability is the fact that it is one big network with a decentralized design. The
designers of the Internet did not want it to be controlled by governments, either singly or collectively, and
so they designed a system that placed a higher priority on decentralization than on security. The basic
idea of the Internet began to form in the early 1960s, and the Internet as we know it today is deeply
imbued with the sensibilities and campus politics of that era. While many regard the Internet as an
invention of the military, it is really the product of now aging hippies on the campuses of MIT, Stanford,
and Berkeley. They had funding through DARPA, the Defense Department’s Advanced Research
Project Agency, but the ARPANET, the Advanced Research Project Agency’s Network, was not
created just for the Defense Department to communicate. It initially connected four computers: at UCLA,
Stanford, UC Santa Barbara, and, oddly, the University of Utah.
After building the ARPANET, the Internet’s pioneers quickly moved on to figuring out how to connect
the ARPANET to other networks under development. In order to do that, they developed the basic
transmission protocol still used today. Robert Kahn, one of the ten or so people generally regarded as
having created the Internet, laid out four principles for how these exchanges would take place. They are
worth noting here now:
Each distinct network should have to stand on its own, and no internal changes
should be required to any such network to connect it to the Internet.
Communications should be on a best-effort basis. If a packet didn’t make it to
the final destination, it should be retransmitted shortly from the source.
Black boxes would be used to connect the networks; these would later be
called gateways and routers. There should be no information retained by the
gateways about the individual packets passing through them, thereby keeping
them simple and avoiding complicated adaptation and recovery from various
failure modes.
There should be no global control at the operations level.
While the protocols that were developed based on these rules allowed for the massive growth
in networking and the creation of the Internet as we know it today, they also sowed the seeds for
the security problems. The writers of these ground rules did not imagine that anyone other than
well-meaning academics and government scientists would use the Internet. It was for research
purposes, for the exchange of ideas, not for commerce, where money would change hands, or
for the purposes of controlling critical systems. Thus, it could be one network of networks, rather
than separate networks for government, financial activity, etc. It was designed for thousands of
researchers, not billions of users who did not know and trust each other.
Up to and through the 1990s, the Internet was almost universally seen as a force for good.
Few of the Internet’s boosters were willing to admit that the Internet was a neutral medium. It
could easily be used to facilitate the free flow of communication between scientists and the
creation of legitimate e-commerce, but could also allow terrorists to provide training tips to new
recruits and to transmit the latest beheading out of Anbar Province on a web video. The Internet,
much like the tribal areas of Pakistan or the tri-border region in South America, is not under the
control of anyone and is therefore a place to which the lawless will gravitate.
Larry Roberts, who wrote the code for the first versions of the transmission protocol, realized
that the protocols created an unsecure system, but he did not want to slow down the
development of the new network and take the time to fix the software before deploying it. He
Page 43
ABC Amber ePub Converter Trial version, http://www.processtext.com/abcepub.html
VB.NET PDF Convert to Jpeg SDK: Convert PDF to JPEG images in vb.
Convert PDF to Image; Convert Word to PDF; Convert Excel to PDF; Convert PowerPoint to PDF; Convert Image to PDF; Convert Jpeg to PDF;
how to convert pdf to powerpoint; convert pdf to powerpoint online
VB.NET PDF Convert to HTML SDK: Convert PDF to html files in vb.
Convert PDF to HTML. |. Home ›› XDoc.PDF ›› VB.NET PDF: PDF to HTML. Convert PDF to HTML in VB.NET Demo Code. Add necessary references:
adding pdf to powerpoint slide; conversion of pdf into ppt
had a simple answer for the concern. It was a small network. Rather than trying to write secure
software to control the dissemination of information on the network, Roberts concluded that it
would be far easier to secure the transmission lines by encrypting the links between each
computer on the network. After all, the early routers were all in secure locations in government
agencies and academic laboratories. If the information was secure as it traveled between two
points on the network, that was all that really mattered. The problem was that the solution did not
envision the expansion of the technology beyond the handful of sixty-odd computers that then
made up the network. Trusted people ran all those sixty computers. A precondition for joining
the network was that you were a known entity committed to promoting scientific advancement.
And with so few people, if anything bad got on the network, it would not be hard to get it off and
to identify who had put it there.
Then Vint Cerf left ARPA and joined MCI. Vint is a friend, a friend with whom I
fundamentally disagree about how the Internet should be secured. But Vint is one of those
handful of people who can legitimately be called “a father of the Internet,” so what he thinks on
Internet issues usually counts for a lot more than what I say. Besides, Vint, who always wears a
bow tie, is a charming guy, and he now works for Google, which urges us all not to be evil.
MCI (now part of AT&T) was the first major telecommunications company to lay down a
piece of the Internet backbone and to take the technology out of the small network of
government scientists and academics, offering it to corporations and even, through ISPs, to home
users. Vint took the transmission protocol with him, introducing the security problem to a far
larger audience and to a network that could not be secured through encrypting the links. No one
really knew who was connecting to the MCI network.
There are bound to be vulnerabilities in anything so large. Today, it has grown so extensive
that the Internet is running out of addresses. When the Internet was cobbled together, the
inventors came up with a numbering system to identify every device that would connect to the
network. They decided that all addresses had to be a 32-bit number, a number so large that it
would allow for 4.29 billion addresses. Never did they imagine that we would need more than
that.
As of last count, there are nearly 6.8 billion people living on the planet. On the current
standard, that’s more than one address for every two people. And today, that is not enough. As
the West grows more dependent on the Internet, and as the Second and Third worlds expand
their use, 4.29 billion addresses cannot possibly satisfy all the possible people and devices that
will want to connect to the web. That the Internet is running out of addresses on its own may be a
manageable problem. If we move quickly to converting to the IPv6 address standard, by the time
we run out of IPv4 addresses, in about two years, most devices should be able to operate on the
new standard. But step back for a moment and a cause for concern begins to emerge.
The Pentagon envisions a near-future scenario in which every soldier on the battlefield will be a
hub in a network, and as many as a dozen devices carried by that soldier will be plugged into the
network and require their own addresses. If you stroll through the appliance aisle at a high-end
home-goods store, you will notice that many of the washing machines, dryers, dishwashers,
stoves, and refrigerators are advertising that they can be controlled through the Internet. If you
are at work and want the oven to be preheated to 425 degrees when you arrive home, you could
log onto a webpage, access your oven, and set it to the right temperature from your desktop.
What all this means is that as we move beyond 4.29 billion internal web addresses, the degree
to which our society will be dependent on the Internet, for everything from controlling our
thermostats to defending our nation, is set to explode, and with it the security problem is only
going to get worse. What this could mean in a real-world conflict is something that until recently
most policy makers in the Pentagon were loath to think about. It means that if you can hack into
things on the Internet, you might not just be able to steal money. You might be able to cause
some real damage, including damage to our military. So exactly how is it that you can hack into
things, and why is that possible?
Page 44
ABC Amber ePub Converter Trial version, http://www.processtext.com/abcepub.html
C# powerpoint - Convert PowerPoint to PDF in C#.NET
C# PowerPoint - Convert PowerPoint to PDF in C#.NET. C# Demo: Convert PowerPoint to PDF Document. Add references: RasterEdge.Imaging.Basic.dll.
online pdf converter to powerpoint; convert pdf file to powerpoint
C# PDF Convert to HTML SDK: Convert PDF to html files in C#.net
Convert PDF to HTML. |. C#.NET PDF SDK - Convert PDF to HTML in C#.NET. How to Use C# .NET XDoc.PDF SDK to Convert PDF to HTML Webpage in C# .NET Program.
add pdf to powerpoint; how to change pdf to ppt on
SOFTWARE AND HARDWARE
Of the three things about cyberspace that make cyber war possible, the most important may be
the flaws in the software and hardware. All of those devices on the Internet we just discussed
(the computer terminals and laptops, the routers and switches, the e-mail and webpage servers,
the data files) are made by a large number of companies. Often, separate companies make the
software that run devices. In the U.S. market, most laptops are made by Dell, HP, and Apple.
(A Chinese company, Lenovo, is making a dent after having bought IBM’s laptop computer
unit.) Most big routers are made by Cisco and Juniper, and now the Chinese company Huawei.
Servers are made by HP, Dell, IBM, and a large number of others, depending upon their
purpose. The software they run is written mainly by Microsoft, Oracle, IBM, and Apple, but also
by many other companies. Although these are all U.S. corporations, the machines (and
sometimes the code that runs on them) come from many places.
In The World Is Flat, Thomas Friedman traces the production of his Dell Inspiron 600m
notebook from the phone order he places with a customer-service representative in India to its
delivery at his front door in suburban Maryland. His computer was assembled at a factory in
Penang, Malaysia. It was “co-designed” by a team of Dell engineers in Austin and notebook
designers in Taiwan. Most of the hard work, the design of the motherboard, was done by the
Taiwanese team. For the rest of the thirty key components, Dell used a string of different
suppliers. Its Intel processor might have been made in the Philippines, Costa Rica, Malaysia, or
China. Its memory might have been made in Korea by Samsung, or by lesser-known companies
in Germany or Japan. Its graphic card came from one of two factories in China. The
motherboard, while designed in Taiwan, could have been made at a factory there, but probably
came from one of two plants in Mainland China. The keyboard came from one of three factories
in China, two of them owned by Taiwanese companies. The wireless card was made either by an
American-owned company in China or by a Chinese-owned company in Malaysia or in Taiwan.
The hard drive was probably made by the American company Seagate at a factory in Singapore,
or by Hitachi or Fujitsu in Thailand, or by Toshiba in the Philippines.
After all these parts were assembled at the factory in Malaysia, a digital image of the Windows
XP operating system (and probably Windows Office) was burned onto the hard drive. The code
for that software, amounting to more than 40 million lines for XP alone, was written at a dozen or
more locations worldwide. After the system was imprinted with the software, the computer was
packaged up, placed on a pallet with 150 similar computers, and flown on a 747 to Nashville.
From there, the laptop was picked up by UPS and shipped to Friedman. All told, Friedman
proudly reports that “the total supply chain for my computer, including suppliers of suppliers,
involved about four hundred companies in North America, Europe, and primarily Asia.”
Why does Friedman spend six pages in a book about geopolitics documenting the supply
chain for the computer he wrote the book on? Because he believes that the supply chain that built
his computer knits together the countries that were part of that process in a way that makes
interstate conflicts of the sort we saw in the twentieth century less likely. Friedman admits this is
an update of his “Golden Arches Theory of Conflict Prevention” from his previous book, which
argued that two states that both had a McDonald’s would not go to war with each other. This
time, Friedman’s tongue-in-cheek argument has a little more meat to it than the hamburger
theory. The supply chain is a microeconomic example of the trade that many theorists of
international relations believe is so beneficial to the countries involved that even threatening war
would not be worth the potential economic loss. Friedman looks at the averted crisis in 2004,
when Taiwanese politicians running on a pro-independence platform were voted out of office. In
his cute bumper-sticker-slogan way, Friedman observed that “Motherboards won over
motherland,” concluding that the status quo economic relationship was more valuable than
independence to the Taiwanese voters.
Or maybe the Taiwanese voters just didn’t want to end up dead after China invaded, which is
Page 45
ABC Amber ePub Converter Trial version, http://www.processtext.com/abcepub.html
VB.NET PDF Convert to Word SDK: Convert PDF to Word library in vb.
VB.NET PDF - Convert PDF to MS Office Word in VB.NET. VB.NET Tutorial for How to Convert PDF to Word (.docx) Document in VB.NET. Best
convert pdf to ppt; converting pdf to powerpoint slides
VB.NET PDF Convert to Tiff SDK: Convert PDF to tiff images in vb.
VB.NET PDF - Convert PDF to TIFF Using VB in VB.NET. Free VB.NET Guide to Render and Convert PDF Document to TIFF in Visual Basic Class.
how to convert pdf into powerpoint; convert pdf slides to powerpoint online
what China more or less said it would do if Taiwan declared its independence. What Friedman
sees as a force that makes conflict less likely, the supply chain for producing computers, may in
fact make cyber warfare more likely, or at least make it more likely that the Chinese would win in
any conflict. At any point in the supply chain that put together Friedman’s computer (or your
computer, or the Apple MacBook Pro that I am writing this book on), vulnerabilities were
introduced, most accidentally, but probably some intentionally, that can make it both a target and
a weapon in a cyber war.
Software is used as an intermediary between human and machine, to translate the human
intention to find movie times online or read a blog, into something that a machine can understand.
Computers really are just evolved electronic calculators. Early computer scientists realized that
timed electrical pulses could be used to represent 1’s and that the absence of a pulse could be
used to represent 0’s, like long and short bursts in Morse code. The base-10 numbers that
humans use, because we have ten fingers, could be translated into this binary code that a machine
could understand so that when, for instance, the 5 key on an early electronic calculator was
depressed, it would close circuits that would send a pulse followed by a pause followed by
another pulse in quick succession to represent the 1, 0, and 1 that make up the number 5 in a
binary logic system.
All computers today are just evolutions of that same basic process. A simple e-mail message is
converted into electric pulses that can be carried over copper wires and fiber-optic cables and
then retranslated into a message readable to a human eye. To make that happen someone
needed to provide instructions that a computer could understand. Those instructions are written
in programming languages as computer code, and most people who write code make mistakes.
The obvious ones get fixed, or else the computer program does not function as intended; but the
less-obvious ones are often left in the code and can be exploited later to gain access. As
computer systems have gotten faster, computer programs have grown more complex to take
advantage of all the new speed and power. Windows 95 had less than 10 million lines of code.
Windows XP, 40 million. Windows Vista, more than 50 million. In a little over a decade, the
number of lines of code has grown by a factor of five, and with it the number of coding errors.
Many of those coding errors allow hackers to make the software do something it was not
supposed to, like let them in.
In order to manipulate popular software to do the wrong thing, like let you assume system
administrator status, hackers design small applications, “applets,” that are focused on specific
software design or system configuration weaknesses and mistakes. Because computer crime is a
big business, and getting ready to conduct cyber war is even well-funded, criminal hackers and
cyber warriors are constantly generating new ways to trick systems. These hacker applications
are called malware. On average in 2009, a new type or variant of malware was entering
cyberspace every 2.2 seconds. Do the math. The three or four big antivirus software companies
have sophisticated networks to look for the new malware, but they find and issue a “fix” for
about one in every ten pieces of malware. The fix is a piece of software designed to block the
malware. By the time the fix gets to the antivirus company’s customers, often days, and
sometimes weeks, have gone by. During that time, companies, government departments, and
home users are entirely vulnerable to the new malware. They won’t even know if they have been
hit by it.
Frequently the malware is sitting on innocent websites, waiting for you. Let’s say you surf to
the website of a Washington think tank to read their latest analysis of some important public
policy issue. Think tanks are notorious for not having enough money and not giving enough
attention to creating secure and safe websites. So, as you are reading about the latest
machinations over health care or human rights in China, a little piece of malware is downloading
itself onto your computer. You have no way of knowing, but now your new friend in Belarus is
logging your every keystroke. What happens when you log into your bank account or to the
Virtual Private Network of your employer, the Really Big Defense Company? You can probably
Page 46
ABC Amber ePub Converter Trial version, http://www.processtext.com/abcepub.html
guess.
The most common software error for years, and one of the easiest to explain, is something
called “buffer overflow.” Code for a webpage is supposed to be written in such a way that when
a user comes to that webpage, the user can only enter a certain amount of data, like a user name
and password. It’s supposed to be like Twitter, a program where you can enter, say, no more
than 140 characters. But if the code writer forgets to put in the symbols that limit the number of
characters, then a user can put in more. Instead of just putting in a user name or password, you
could enter entire lines of instruction code. Maybe you enter instructions to allow you to add an
account. Think about those instructions overflowing the limited area where a public user is
supposed to be able to add information and then those instructions falling into the application.
The instruction code reads as if a systems administrator had entered it and—ping!—you are
inside.
Software errors are not easily discovered. Even experts cannot usually visually identify coding
errors or intentional vulnerabilities in a few lines of code, let alone in millions. There is now
software that checks software, but it is far from able to catch all the glitches in millions of lines.
Each line of that code had to be written by a computer programmer, and each additional line of
code increased the number of bugs introduced into the software. In some cases, programmers
actually put those bugs in intentionally. The most famous case, and one that illustrates a larger
phenomenon, occurred when somebody at Microsoft dumped an entire airplane-simulation
program inside the Excel 97 database software. Microsoft only discovered it when people
started thanking the company for it. Programmers may do it for fun, for profit, or in the service of
a competing company or foreign intelligence service; but whatever their motive, it is a nearly
impossible task to ensure that a few lines of code allowing for unauthorized access through a
“trapdoor” are kept out of such massive programs. The original Trojan Horse had hidden
commandos; today we have hidden commands of malicious code. In the case of the Excel
spreadsheet, you began by opening a new blank document, pressing F5, and when a reference
box opened, you typed in “X97:L97” and pressed enter, then pressed tab. This took you to cell
M97 on the spreadsheet. Then if you clicked on the chart wizard button while holding down the 
control and shift keys—ping!—you activated a flight-simulator program, which popped right up.
Sometimes developers of code leave behind secret trapdoors so they can get back into the
code easily later on to update it. Sometimes, unknown to their company, they do it for less
reputable reasons. And sometimes other people, like hackers and cyber warriors, do it so they
can get into parts of a network where they are not authorized. Thus, when someone hacks into a
software product under development (or later), they may not just be stealing a copy, they may be
adding to it. Intentional trapdoors, as well as others that occur because of mistakes in code
writing, sometimes allow a hacker to gain what is called “root.” Hackers trade or sell each other
“root kits.” If you have “root access” to a software program or a network, you have all the
permissions and authorities of the software’s creator or the network’s administrator. You can
add software. You can add user accounts. You can do anything. And, importantly, you can erase
any evidence that you were ever there. Think of that as a burglar who wipes away his fingerprints
and then drags a broom behind him to the door, erasing his footprints.
Code developers may go one step further than just leaving an access point and insert a “logic
bomb.” The term encompasses a spectrum of software applications, but the idea is simple. In
addition to leaving behind a trapdoor in a network so you can get back in easily, without setting
off alarms and without needing an account, cyber warriors often leave behind a logic bomb so
they don’t have to take the time to upload it later on when they need to use it. A logic bomb in its
most basic form is simply an eraser, it erases all the software on a computer, leaving it a useless
hunk of metal. More advanced logic bombs could first order hardware to do something to
damage itself, like ordering an electric grid to produce a surge that fries circuits in transformers,
or causing an aircraft’s control surfaces to go into the dive position. Then it erases everything,
including itself.
Page 47
ABC Amber ePub Converter Trial version, http://www.processtext.com/abcepub.html
America’s national security agencies are now getting worried about logic bombs, since they
seem to have found them all over our electric grid. There is a certain irony here, in that the U.S.
military invented this form of warfare. One of the first logic bombs, and possibly the first
incidence of cyber war, occurred before there even really was much of an Internet. In the early
1980s, the Soviet leadership gave their intelligence agency, the KGB, a shopping list of Western
technologies they wanted their spies to steal for them. A KGB agent who had access to the list
decided he would rather spend the rest of his days sipping wine in a Paris café than freezing in
Stalingrad, so he turned the list over to the French intelligence service in exchange for a new life
in France. France, which was part of the Western alliance, gave it to the U.S. Unaware that
Western intelligence had the list, the KGB kept working its way down, stealing technologies from
a host of foreign companies. Once the French gave the list to the CIA, President Reagan gave it
the okay to help the Soviets with their technology needs, with a catch. The CIA started a massive
program to ensure that the Soviets were able to steal the technologies they needed, but the CIA
introduced a series of minor errors into the designs for things like stealth fighters and space
weapons.
Weapons designs, however, were not at the top of the KGB’s wish list. What Russia really
needed was commercial and industrial technology, particularly for its oil and gas industry. In
order to get the product from the massive reserves in Siberia to Russian and Western consumers,
oil and gas had to be piped over thousands of miles. Russia lacked the technology for the
automated pump and valve controls crucial to managing a pipeline thousands of miles long. They
tried to buy it from U.S. companies, were refused, and so set their sights on stealing it from a
Canadian firm. With the complicity of our northern neighbors, the CIA inserted malicious code
into the software of the Canadian firm. When the Russians stole the code and used it to operate
their pipeline, it worked just fine, at least initially. After a while, the new control software started
to malfunction. In one segment of the pipeline, the software caused the pump on one end to
pump at its maximum rate and the valve at the other end to close. The pressure buildup resulted
in the most massive non-nuclear explosion ever recorded, over three kilotons.
If the Cold War with Russia heats up again, or if we were to go to war with China, this time it
might be our adversaries who have the upper hand in cyber war. The United States’
sophisticated arsenal of space-age weapons could be turned against us to devastating effect. Our
air, land, and sea forces rely on networked technologies that are vulnerable to cyber weapons
that China and other near peer adversaries have developed with the intention of eliminating our
conventional superiority. The U.S. military is no more capable of operating without the Internet
than Amazon.com would be. Logistics, command and control, fleet positioning, everything down
to targeting, all rely on software and other Internet-related technologies. And all of it is just as
insecure as your home computer, because it is all based on the same flawed underlying
technologies and uses the same insecure software and hardware.
With the growth of outsourcing to countries like India and China that Friedman got so excited
about, the likelihood that our peer competitors have been able to penetrate major software and
hardware companies and insert such code into the software we rely on has only increased. In the
world of computer science and networking, experts long thought that the two most ubiquitous
operating-system codes (software that tells hardware what to do) were also the most badly
written, or “buggy,” computer code. They were Microsoft’s Windows operating system for
desktop and laptop computers, and Cisco’s for large Internet routers. Both systems were
proprietary, meaning not publicly available. You could buy the software as a finished product, but
you could not get the underlying code. There were, however, several known instances in which
Microsoft’s security was compromised and the code stolen, giving the recipient the opportunity
to identify the software errors and ways to exploit them.
I mentioned above (in chapter 2) that China had essentially blackmailed Microsoft into
cooperating with it. China had announced that it would develop its own system based on Linux,
called Red Flag, and said it would require that it be used instead of Microsoft. Soon Microsoft
Page 48
ABC Amber ePub Converter Trial version, http://www.processtext.com/abcepub.html
was bargaining with the Chinese government at the highest level, helped along by its consultant,
Henry Kissinger. Microsoft dropped its price, gave the Chinese its secret code, and established a
software research lab in Beijing (the lab is directly wired into Microsoft’s U.S. headquarters). A
deal was struck. It must have been a good deal: the President of China then visited Bill Gates at
his home near Seattle. The Chinese government now uses Microsoft, but it is that special
variation with a Chinese government encryption module. One former U.S. intelligence officer told
us, “This may mean that no one can hack Windows easily to spy on China. It certainly does not
mean that China is less able to hack Windows to spy on others.”
What can be done to millions of lines of code can also be done with millions of circuits
imprinted on computer chips inside computers, routers, and servers. Chips are the guts of a
computer, like software in silicon. They can be customized, just like software. Most experts
cannot look at a complicated computer chip and determine whether there is an extra piece here
or there, a physical trapdoor. Computer chips were originally made in the U.S., although now
they are mostly manufactured in Asia. The U.S. government once had its own chip factory, called
a “fab” (short for “fabrication facility”); however, the facility has not kept pace with technology
and cannot manufacture the chips required for modern systems. Recently the world’s
second-largest chip manufacturer, AMD, announced its intentions to build the most advanced fab
in the world in upstate New York. It will be partially government funded, but not by the U.S.
government: AMD got a big investment from the United Arab Emirates.
It is not that the U.S. government is unaware of the problem of software and hardware being
made globally. In fact, in his last year in office, President George W. Bush signed PDD-54, a
secret document that outlines steps to be taken to defend the government better from cyber war.
One of those programs is reported to be a “Supply Chain Security” initiative, but it will be
difficult for the U.S. government to purchase only software and hardware made in the U.S. under
secure conditions. Currently, it would be difficult to find any.
MACHINES CONTROLLED FROM CYBERSPACE
Neither the vulnerabilities of Internet design nor the flaws in software and hardware quite explain
how cyber warriors could make computers attack. How is it that some destructive hand can
reach out from cyberspace into the real world and cause serious damage?
The answer stems from the rapid adoption of the Internet and cyberspace by industries in the
U.S. in the 1990s. During that decade evangelical information-technology companies showed
other corporations how they could save vast amounts of money by taking advantage of computer
systems that could do things deep into their operations. Far beyond e-mail or word processing,
these business practices involved automated controls, inventory monitoring, just-in-time delivery,
database analytics, and limited applications of artificial-intelligence programs. One Silicon Valley
CEO told me enthusiastically in the late 1990s how he had applied these techniques to his own
firm. “Somebody wants to buy something, they go online to our site. They customize the product
they want and hit 
BUY
. Our system notifies the parts makers, plans to ship the parts to the
assembly plant, and schedules assembly and delivery. At the assembly plant, robotic devices put
the product together and put it in a box with a delivery label on it. We don’t own the computer
server that took the order, the parts plants, the assembly plant, or the delivery aircraft and trucks.
It’s all outsourced and it’s all just-in-time delivery.” What he owned was the research
department, the design team, and some corporate overhead. At companies like his, and in the
U.S. economy in general, profitability soared.
What made all of that possible was the deep penetration in the 1990s of
information-technology systems into companies, into every department. In many industries,
controls that were once manually activated were converted to digital processors. Picture the
factory or plant of the twentieth century where some guy in a hard hat got a call from his
supervisor telling him to go over and crank some round valve or change some setting. I can see it
vividly, my father worked in a place like that. Today, in almost every industry, fewer people are
Page 49
ABC Amber ePub Converter Trial version, http://www.processtext.com/abcepub.html
required. Digital control systems monitor activity and send commands to engines, valves,
switches, robotic arms, lights, cameras, doors, elevators, trains, and aircraft. Intelligent inventory
systems monitor sales in real time and send out the orders to make and ship replacements, often
without a human in the loop.
The conversion to digital control systems and computer-managed operations was quick and
thorough. By the turn of the century, most of the old systems were retired, even from the role of
“backup.” Like Cortés burning his ships after arriving in the New World, U.S. companies and
government agencies built a new world in which there were only computer-based systems. When
the computers fail, employees stand around doing nothing or go home. Try to find a typewriter
and you will get the picture of this new reality.
Just as the Internet, and cyberspace in general, is replete with software and hardware
problems and configuration shortcomings, so are the computer networks that run major
corporations, from utilities to transportation to manufacturing. Computer networks are essential
for companies or government agencies to operate. “Essential” is a word chosen with care,
because it conveys the fact that we are dependent upon computer systems. Without them,
nothing works. If they get erroneous data, systems may work, but they will do the wrong things.
Despite all the money spent on computer security systems, it is still very possible to insert
erroneous data into networks. It can mean that systems shut down, or damage themselves, or
damage something else, or send things or people to the wrong places. At 3:28 p.m. on June 11,
1999, a pipeline burst in Bellingham, Washington. Gasoline began spilling out into the creek
below. The gas quickly extended well over a mile along the creek. Then it caught fire. Two
ten-year-old boys playing along the stream were killed, as was an eighteen-year-old farther up
the creek. The nearby municipal water-treatment plant was severely damaged by the fire. When
the U.S. National Transportation Safety Board examined why the pipeline burst, it focused on
“the performance and security of the supervisory control and data acquisition (SCADA) system.”
In other words, the software failed. The report does not conclude that in this case the explosion
was intentionally caused by a hacker, but it is obvious from the analysis that pipelines like the one
in Bellingham can be manipulated destructively from cyberspace.
The clearest example of the dependency and the vulnerability brought on by computer controls
also happens to be the one system that everything else depends upon: the electric power grid.
As a result of deregulation in the 1990s, electric power companies were divided up into
generating firms and transmission companies. They were also allowed to buy and sell power to
each other anywhere within one of the three big power grids in North America. At the same time,
they were, like every other company, inserting computer controls deep into their operations.
Computer controls were also installed to manage the buying and selling, generation, and
transmission. A SCADA system was already running each electric company’s substations,
transformers, and generators. That Supervisory Control and Data Acquisition system got and
sent signals out to all of the thousands of devices on the company’s grid. SCADAs are software
programs, and most electric companies use one of a half dozen commercially available products.
These control programs send signals to devices to regulate the electric load in various
locations. The signals are most often sent via internal computer network and sometimes by radio.
Unfortunately, many of the devices also have other connections, multiple connections. One
survey found that a fifth of the devices on the electric grid had wireless or radio access, 40
percent had connections to the company’s internal computer network, and almost half had direct
connections to the Internet. Many of the Internet connections were put in place to permit their
manufacturers to do remote diagnostics.
Another survey found that at one very large electric company, 80 percent of the devices were
connected to the corporate intranet, and there were, of course, connections from the intranet out
to the public Internet. What that means is that if you can hack from the Internet to the intranet,
you can give orders to devices on the electric grid, perhaps from some nice cyber café on the
other side of the planet. Numerous audits of electric power companies by well-respected cyber
Page 50
ABC Amber ePub Converter Trial version, http://www.processtext.com/abcepub.html
Documents you may be interested
Documents you may be interested