security experts have found that this is all very doable. What sort of things might you do with
controls to the grid?
In 2003, the so-called Slammer worm (big, successful computer malware attacks get their
own names) got into and slowed controls on the power grid. A software glitch in a widely used
SCADA system also contributed to the slowed controls. So when a falling tree created a surge in
a line in Ohio, the devices that should have stopped a cascading effect did not do so until the
blackout got to somewhere in southern New Jersey. The result was that eight states, two
Canadian provinces, and 50 million people were without electricity, and without everything that
needs electricity (such as the water system in Cleveland). The tree was the initiator, but the same
effects could have been achieved by a command given over the control system by a hacker. In
fact, in 2007 CIA expert Tom Donahue was authorized to tell a public audience of experts that
the Agency was aware of instances when hackers had done exactly that. Although Tom didn’t
say where hackers had caused a blackout as part of a criminal scheme, it was later revealed that
the incident took place in Brazil.
The 2003 blackout lasted a few long hours for most people, but even without anyone trying to
prolong the effect it lasted four days in some places. In Auckland, New Zealand, in 1998 the
damage from overloading power lines triggered a blackout and kept the city in the dark for five
weeks. If a control system sends too much power down a high-tension line, the line itself can be
destroyed and initiate a fire. In the process, however, the surge of power can overwhelm home
and office surge protectors and fry electronic devices, computers to televisions to refrigerators,
as happened recently in my rural county during a lightning storm.
The best example, however, of how computer commands can cause things to destroy
themselves may be electric generators. Generators make electricity by spinning, and the number
of times they spin per minute creates power in units expressed in a measurement called Hertz. In
the United States and Canada, the generators on most subgrids spin at 60 Megahertz. When a
generator is started, it is kept off the grid until it gets up to 60 MHz. If it is connected to the grid
at another speed, or if its speed changes very much while on the grid, the power from all of the
other generators on the grid spinning at 60 MHz will flow into the slower generator, possibly
ripping off its turbine blades.
To test whether a cyber warrior could destroy a generator, a federal government lab in Idaho
set up a standard control network and hooked it up to a generator. In the experiment,
code-named Aurora, the test’s hackers made it into the control network from the Internet and
found the program that sends rotation speeds to the generator. Another keystroke and the
generator could have severely damaged itself. Like so much else, the enormous generators that
power the United States are manufactured when they are ordered, on the just-in-time delivery
principle. They are not sitting around, waiting to be sold. If a big generator is badly damaged or
destroyed, it is unlikely to be replaced for months.
Fortunately, the Federal Electric Regulatory Agency in 2008 finally required electric
companies to adopt some specific cyber security measures and warned that it would fine
companies for noncompliance up to one million dollars a day. No one has been fined yet. The
companies have until sometime in 2010 to comply. Then the commission promises it will begin to
inspect some facilities to determine if they are compliant. Unfortunately, President Obama’s
“Smart Grid” initiative will cause the electric grid to become even more wired, even more
dependent upon computer network technology.
The same way that a hand can reach out from cyberspace and destroy an electric transmission
line or generator, computer commands can derail a train or send freight cars to the wrong place,
or cause a gas pipeline to burst. Computer commands to a weapon system may cause it to
malfunction or shut off. What a cyber warrior can do, then, is to reach out from cyberspace,
causing things to shut down or blow up, things like the power grid, or a thousand other critical
systems, things like an opponent’s weapons.
The design of the Internet, flaws in software and hardware, and allowing critical machines to
Page 51
ABC Amber ePub Converter Trial version, http://www.processtext.com/abcepub.html
Convert pdf into powerpoint - C# Create PDF from PowerPoint Library to convert pptx, ppt to PDF in C#.net, ASP.NET MVC, WinForms, WPF
Online C# Tutorial for Creating PDF from Microsoft PowerPoint Presentation
how to add pdf to powerpoint slide; how to convert pdf to powerpoint slides
Convert pdf into powerpoint - VB.NET Create PDF from PowerPoint Library to convert pptx, ppt to PDF in vb.net, ASP.NET MVC, WinForms, WPF
VB.NET Tutorial for Export PDF file from Microsoft Office PowerPoint
picture from pdf to powerpoint; image from pdf to ppt
be controlled from cyberspace, together, these three things make cyber war possible. But why
haven’t we fixed these problems by now?
Page 52
ABC Amber ePub Converter Trial version, http://www.processtext.com/abcepub.html
Online Convert PowerPoint to PDF file. Best free online export
Convert a PPTX/PPT File to PDF. Just upload your file by clicking on the blue button or drag-and-drop your pptx or ppt file into the drop area.
convert pdf pages to powerpoint slides; change pdf to ppt
C# PDF insert text Library: insert text into PDF content in C#.net
Parameters: Name, Description, Valid Value. value, The char wil be added into PDF page, 0
changing pdf to powerpoint file; convert pdf back to powerpoint
C
HAPTER
F
OUR
THE DEFENSE FAILS
T
hus far we have seen evidence that there have been “trial runs” at cyber war, mostly using primitive
denial of service attacks. We have seen how the United States, China, Russia, and others are investing
heavily in cyber war units. We have imagined what the first few minutes of a devastating, full-scale cyber
attack on the U.S. would look like. And we have walked through what it is about cyber technology and
its uses that makes such a devastating attack possible.
Why hasn’t anybody done anything to fix these vulnerabilities? Why are we placing such emphasis on
our ability to attack others, rather than giving priority to defending ourselves against such an attack?
People have tried to create a cyber war defense for the U.S. Obviously they have not succeeded. In this
chapter we’ll review what efforts have been made to defend against cyber war (and cyber crime, and
cyber espionage) and see why they have been such an unmitigated failure. Strap yourself in, we are first
going to move quickly through twenty years of efforts in the U.S. to do something about cyber security.
Then we will talk about why it hasn’t worked.
INITIAL THOUGHTS AT THE PENTAGON
In the early 1990s the Pentagon began to worry about the vulnerability created by reliance on new
information systems to conduct warfare. In 1994, something called the “Joint Security Commission” that
was set up by DoD and the intelligence community focused on the new problem introduced by the
spread of networked technology. The commission’s final report got three important concepts right:
“Information systems technology…is evolving at a faster rate than information
systems security technology.”
“The security of information systems and networks [is] the major security
challenge of this decade and possibly the next century and…there is insufficient
awareness of the grave risks we face in this arena.”
The report also noted that the increased dependence in the private sector on
information systems made the nation as a whole, not just the Pentagon, more
vulnerable.
These three points are all true and even more relevant today. A prescient Time magazine
article from 1995 demonstrates the point that cyber war and domestic vulnerabilities were
subjects to which Washington was alerted fifteen years ago. We keep rediscovering this wheel.
In the 1995 story, Colonel Mike Tanksley waxed poetic about how in a future conflict with a
lesser power the United States would force our enemy to submit without our ever having fired a
shot. Using hacker techniques that were then only possible in the movies, Colonel Tanksley
described how America’s cyber warriors would take down the enemy’s phone system, destroy
the routing system for the country’s rail line, issue phony commands to the opposing military, and
take over television and radio broadcasts to flood them with propaganda. In the fantasy scenario
that Tanksley describes, the effect of using these tactics would end the conflict before it even
starts. Time magazine reported that a logic bomb “would remain dormant in an enemy system
until a predetermined time, when it would come to life and begin eating data. Such bombs could
attack, for example, computers that run a nation’s air defense system or central bank.” The
article told readers that the CIA had a “clandestine program that would insert booby-trapped
computer chips into weapons systems that a foreign arms manufacturer might ship to a potentially
hostile country—a technique called ‘chipping.’” A CIA source told the reporters how it was
done, explaining, “You get into the arms manufacturer’s supply network, take the stuff off-line
briefly, insert the bug, then let it go to the country…. When the weapons system goes into a
hostile situation, everything about it seems to work, but the warhead doesn’t explode.”
The Time article was a remarkable piece of journalism that captured both complicated
technical issues and the resulting policy problems long before most people in government
understood anything about them. On the cover it asked: “The U.S. rushes to turn computers into
Page 53
ABC Amber ePub Converter Trial version, http://www.processtext.com/abcepub.html
C# PDF Convert to Tiff SDK: Convert PDF to tiff images in C#.net
with specified zoom value and save it into stream The magnification of the original PDF page size Description: Convert to DOCX/TIFF with specified resolution and
convert pdf to powerpoint presentation; convert pdf to powerpoint slides
RasterEdge XDoc.PowerPoint for .NET - SDK for PowerPoint Document
Convert. Convert PowerPoint to PDF. Convert PowerPoint to ODP/ ODP to PowerPoint. Document & Page Process. PowerPoint Page Edit. Insert Pages into PowerPoint File
convert pdf to editable powerpoint online; how to convert pdf to powerpoint in
tomorrow’s weapons of destruction. But how vulnerable is the homefront?” That question is as
pertinent today as it was then, and, remarkably, the situation has changed very little. “An infowar
arms race could be one the US would lose because it is already so vulnerable to such attacks,”
the writers conclude. “Indeed,” they continue, “the cyber enhancements that the military is
banking on for its conventional forces may be chinks in America’s armor.” So by the mid-1990s
journalists were seeing that the Pentagon and the intelligence agencies were excited about the
possibility of creating cyber war capabilities, but doing so would create a double-edged sword,
one that could be used against us.
MARCHING INTO THE MARSH
Timothy McVeigh and Terry Nichols woke a lot of people up in 1995. Their inhumane attack in
Oklahoma City, killing children at a day care center and civil servants at their desks, really got to
Bill Clinton. He delivered an especially moving eulogy near the site of the attack. When he came
back to the White House, I met with him, along with other White House staff. He was thinking
conceptually, as he often does. Society was changing. A few people could have significant
destructive power. People were blowing things up in the U.S., not just in the Middle East. What
if the truck bomb had been aimed at the stock market, or the Capitol, or some building whose
importance we didn’t even recognize? We were becoming a more technological nation, but in
some ways that also was making us a more fragile nation. At the urging of Attorney General Janet
Reno, Clinton appointed a commission to look at our vulnerability as a nation to attacks on
important facilities.
Important facilities got translated into bureaucratese as “critical infrastructure,” a phrase that
continues, and continues to confuse, today. The new panel got the moniker Presidential
Commission on Critical Infrastructure Protection (PCCIP). Not surprisingly, then, most people
referred to it using the name of its Chairman, retired Air Force General Robert Marsh. The
Marsh Commission was a full-time endeavor for a large panel and a professional staff. They held
meetings throughout the country and talked to experts in numerous industries, universities, and
government agencies. What they came back with in 1997 was not what we expected. Rather
than focusing on right-wingers like McVeigh and Nichols or al Qaeda terrorists like those who
had attacked the World Trade Center in 1993, Marsh sounded a loud alarm about the Internet.
Noting what was then a recent trend, the Marsh Commission said that important functions from
rail to banking, from electricity to manufacturing were all being connected to the Internet and yet
that network of networks was completely insecure. By hacking from the Internet, an attacker
could shut down or damage “critical infrastructure.”
Raising the prospect of nation-states creating “information war” attack units, Marsh called for
a massive effort to protect the U.S. He identified the chief challenge as being the role of the
private sector, which owned most of what counted as “critical infrastructure.” Industries were
wary of the government regulating them to promote cyber security. Instead of doing that, Marsh
called for a “public-private partnership,” heightened awareness, sharing of information, and
research into more secure designs.
I was disappointed, although in time I came to understand that General Marsh was right. As
the senior White House official in charge of security and counterterrorism issues, I had hoped for
a report that would have helped me get the funding and structure I needed to deal with al Qaeda
and others. Instead, Marsh was talking about computers, which was not my job. My close friend
Randy Beers, then Special Assistant to the President for Intelligence and the man who had been
shepherding the Marsh Commission for the White House, walked next door to my office (with its
twenty-foot-high ceiling and great view of the National Mall), plunked himself down in a chair,
and announced, “You have to take over critical infrastructure. I can’t do it because of the Clipper
chip.”
The Clipper chip had been a plan, developed in 1993 by NSA, in which the government
would require anyone in the U.S. using encryption to install a chip that would let NSA listen in,
Page 54
ABC Amber ePub Converter Trial version, http://www.processtext.com/abcepub.html
C# PDF Convert to Word SDK: Convert PDF to Word library in C#.net
with specified zoom value and save it into stream The magnification of the original PDF page size Description: Convert to DOCX/TIFF with specified resolution and
how to convert pdf into powerpoint on; pdf to ppt converter online
C# PDF insert image Library: insert images into PDF in C#.net, ASP
Import graphic picture, digital photo, signature and logo into PDF document. Merge several images into PDF. Insert images into PDF form field.
how to change pdf to powerpoint slides; create powerpoint from pdf
with a court order. Privacy, civil liberties, and technology interest groups united in vehement
opposition. For some reason, they did not trust that NSA would only listen in when they had a
warrant (which, under George W. Bush, later proved to be true). The Clipper chip got killed by
1996, but it had left a lot of distrust between the growing information technology (IT) industry
and the U.S. intelligence community. Beers, being an intelligence guy, felt he could not gain the
trust of the IT industry. So he dumped it in my lap. Moreover, he had already wired that decision
with the National Security Advisor, Sandy Berger, who asked me to write a Presidential
Decision Document stating our policy on the issue, and putting me in charge of it.
The result was a clear statement of the problem and our goal, but within a structure with
limitations that prevented us from achieving it. The problem was that “because of our military
strength, future enemies…may seek to harm us…with non-traditional attacks on our
infrastructure and information systems…capable of significantly harming both our military power
and our economy.” So far so good. The goal was that “any interruptions or manipulations of
critical functions must be brief, infrequent, manageable, geographically isolated, and minimally
detrimental.” Pretty good stuff.
But how to do it? By the time every agency in government had watered the decision down, it
read: “The incentives that the market provides are the first choice for addressing the problem of
critical infrastructure protection…. [We will consider] regulation only in the event of a material
failure of the market…[and even then] agencies will identify alternatives to direct regulation.” I
got a new title in the Decision Document, but it would not fit on a business card: “National
Coordinator for Security, Infrastructure Protection, and Counter-terrorism.” Little wonder the
media used the term “czar” no one could remember the real title. The Decision Document made
clear, however, that the czar could not direct anyone to do anything. The Cabinet members had
been adamant about that. No regulation and no decision-making authority meant little potential
for results.
Nonetheless, we set off to work with the private sector and with government agencies. The
more I worked on the issue, the more concerned I became. Marsh had not really been alarmist, I
came to appreciate; he and his commission had actually understated the problem. Our work on
the Y2K computer glitch (the fact that most software could not roll over from 1999 to 2000 and
might, therefore simply freeze up) greatly added to my understanding of just how much everything
was rapidly becoming dependent upon computer-controlled systems and networks connected in
some way to the Internet. In the 2000 federal budget, I was able to add $2 billion for improved
cyber security efforts, but it was a fraction of what was needed.
By 2000, we had developed a National Plan for Information Systems Protection, but there
was still no willingness in the government to attempt to regulate the industries that ran the
vulnerable critical infrastructure. To highlight the ideological correctness of the decision to avoid
regulation, I used the phrase “eschew regulation” in the decision document, mimicking Maoist
rhetoric. (Mao had directed, “dig tunnels deeper, bury food everywhere, eschew hegemonism.”)
No one saw the irony. Nor would the Cabinet departments even do enough to protect their own
networks, as called for in the Presidential Directive. Thus, the plan was toothless. It did,
however, make clear to industry and to the public what the stakes were. Bill Clinton’s cover
letter left no doubt that the IT revolution had changed how the economy and national defense
were done. From turning on the lights, to calling 911, to boarding an aircraft, we now relied upon
computer-driven systems. A “concerted attack” on the computers of an important economic
sector would “have catastrophic results.” This was not a theoretical potential; rather, “we know
the threat is real.” Opponents that had relied on “bombs and bullets” could now use “a
laptop…[as] a weapon capable of…enormous damage.”
I added in a cover letter of my own that “More than any other nation, America is dependent
upon cyberspace.” Cyber attacks could “crash electric grids…transportation systems…financial
institutions. We know other governments are developing that capability.” So were we, but I didn’
t say that.
Page 55
ABC Amber ePub Converter Trial version, http://www.processtext.com/abcepub.html
C# PDF File Split Library: Split, seperate PDF into multiple files
Divide PDF File into Two Using C#. This is an C# example of splitting a PDF to two new PDF files. Split PDF Document into Multiple PDF Files in C#.
pdf to powerpoint conversion; add pdf to powerpoint presentation
C# PDF Page Insert Library: insert pages into PDF file in C#.net
from the ability to inserting a new PDF page into existing PDF or pages from various file formats, such as PDF, Tiff, Word, Excel, PowerPoint, Bmp, Jpeg
convert pdf into powerpoint online; convert pdf to ppt online
SIX FUNNY NAMES
During those initial years of my focusing on cyber security there were six major incidents that
convinced me that this was a serious problem. First, in 1997, I worked with NSA on a test of the
Pentagon’s cyber security in an exercise the military called “Eligible Receiver.” Within two days,
our attack team had penetrated the classified command network and was in position to issue
bogus orders. I stopped the exercise early. The Deputy Defense Secretary was shocked at the
Pentagon’s vulnerability and ordered all components to buy and install intrusion detection
systems. They quickly discovered that there were thousands of attempts a day to hack into DoD
networks. And those were the ones they knew about.
In 1998, during a crisis with Iraq, someone hacked into the unclassified DoD computers that
were needed to manage the U.S. military buildup. The FBI gave the attack the appropriate name
“Solar Sunrise” (it was a wake-up call for many). After a few days of panic, the attackers were
discovered to be not Iraqi but Israeli. Specifically, a teenager in Israel and two more in California
had proved how poorly secured our military logistics network was.
In 1999, an Air Force base noticed something odd about its computer network. The Air
Force called the FBI, which called NSA. What emerged was that huge amounts of data were
being exfiltrated from the research files at the airbase. Indeed, gigantic amounts of data were
being shipped out from a lot of computers in the Defense network and from many data systems in
the national nuclear laboratories of the Energy Department. The FBI case file for this one was
called “Moonlight Maze,” which also turned out to be apt because no one could throw much light
on what was happening other than to say the data was being sent through a long series of stops in
many countries before ending up somewhere. The two deeply disturbing aspects of this were that
the computer security specialists could not stop the data from being stolen, even when they knew
about the problem, and no one was really sure where it all was going (although some people later
publicly attributed the attack to Russians). Every time new defenses were put in place, the
attacker beat them. Then, one day, the attacks stopped. Or, more likely, they started attacking in
a way we could not see.
Early in 2000, when we were still glowing from our success in avoiding a Y2K problem, a
number of the new Internet commerce sites (AOL, Yahoo, Amazon, E-Trade) crashed from
what I was told was a DDOS, a term new to most people in 2000. This was the first “big one,”
hitting numerous companies simultaneously and knocking them down. The motive was hard to
discern. There were no monetary demands, nor was there a real political message. Somebody
seemed to be trying out the concept of covertly taking over lots of people’s computers and
secretly using them to attack. (That somebody later turned out to be a busboy from Montreal.) I
saw the DDOS as an opportunity to have the government remind the private sector that they
needed to take cyber attacks seriously.
President Clinton agreed to host the leaders of the companies that had been attacked as well
as other CEOs from important infrastructures and from the IT industry. It was the first
presidential White House meeting with private-sector leadership concerning a cyber attack. It
was also the last, thus far. Although it was a remarkably detailed and frank meeting, eye-opening
for many, it essentially resulted in everyone agreeing to work harder on the problem.
In 2001, the new Bush Administration got a taste of the problem when the Code Red worm
infected over 300,000 computers in a few hours and then turned them all into zombies
programmed to launch a DDOS attack on the White House webpage. I was able to distribute
the White House website onto 20,000 servers using a company called Akamai and thereby
avoided the effects of the attack (we also persuaded some of the major ISPs to divert the attack
traffic). Cleaning up the infected computers turned out to be a harder job. Many companies and
individuals could not be bothered to remove the worm software, despite its repeated disruptive
effects on the Internet. Nor did we have any ability to deny those machines access to the
Internet, even though they were pumping out malware on a regular basis. In the days after the
Page 56
ABC Amber ePub Converter Trial version, http://www.processtext.com/abcepub.html
9/11 terrorist attack, another, more serious worm spread quickly. The NIMDA (Admin spelled
backward) worm was targeted at computers running in the most well secured private-sector
industry vertical, the financial industry. Despite their sophisticated security, many banks and Wall
Street firms were knocked offline.
CYBER SECURITY GETS BUSHED
The Bush Administration took some convincing that cyber security was an important problem,
but agreed by the summer of 2001 to set up a separate office in the White House to handle its
coordination (Executive Order 13231). I ran that office as Special Advisor to the President for
Cybersecurity from the autumn of 2001 to early 2003. Most of the rest of the Bush White House
(the Science Advisor, the Economic Advisor, the Budget Director) sought to limit the authority of
the new cyber security position.
Unfazed by that, my team took the Clinton National Plan and modified it based on input from
twelve industry teams we established and from citizen input at ten town halls held around the
country. (The kind of crowd that shows up for a cyber security town hall is, thankfully, more
civilized than the nut jobs who showed up in 2009 at health-care town halls.) The result was the
National Strategy to Secure Cyberspace, which Bush signed in February 2003. Substantively,
there was little difference between the Clinton and Bush approaches, except that the Republican
administration not only continued to eschew regulation, they downright hated the idea of the
federal government issuing any new regulations on anything at all. Bush left jobs vacant for long
periods at several regulatory commissions and then appointed commissioners who did not
enforce the regulations that did exist.
Bush’s personal understanding and interest in cyber security early in his administration were
best summed up by a question he asked me in 2002. I had gone to him in the Oval Office with
news of a discovery of a pervasive flaw in software, a flaw that would allow hackers to run amok
unless we could quietly persuade most major networks and corporations to fix the flaw. Bush’s
only reaction was: “What does John think?” John was the CEO of a large information-technology
company and a major donor to the Bush election committee.
With the creation of the Department of Homeland Security, I had thought there would be an
opportunity to take many of the scattered entities working on cyber security and merge them into
one center of excellence. As a result, some cyber security offices from the Commerce
Department, FBI, and DoD were brought together in Homeland. The sum turned out to be much
less than the parts, as many of the best people in the merged offices took the opportunity to leave
government. When I also took my exit from the Bush Administration shortly before it began the
disastrous Iraq War, the White House chose not to replace me as Special Advisor. The most
senior official in government charged with coordinating cyber security was then in an office buried
several layers down in what was turning into the most dysfunctional department in government,
DHS. Several very good people tried to make that job work, but each one quit in frustration.
The media began talking about the “cyber czar of the week.” The high-level private-sector focus
on the issue we had achieved faded.
Four years later, Bush made a decision much more quickly than his staff had assumed he
would. There was a covert action that the President had to approve personally. The President’s
scheduler had booked an hour for the decision briefing. It took five minutes. Bush never saw a
covert-action proposal he didn’t like. Now, with fifty-five minutes left in the meeting, the Director
of National Intelligence, Mike McConnell, saw an opening. All the right people were in the room,
senior national security cabinet members. McConnell asked if he could discuss a threat to the
financial industry and the U.S. economy. Given the floor, he talked about cyber war and how
vulnerable we were to it. Particularly vulnerable was the financial sector, which would not know
how to recover from a data-shredding attack, an attack that could do unimaginable damage to
the economy. Stunned, Bush turned to Treasury Secretary Hank Paulson, who agreed with the
assessment.
Page 57
ABC Amber ePub Converter Trial version, http://www.processtext.com/abcepub.html
At this point, Bush, who had been sitting behind the large desk in the Oval Office, almost
jumped in the air. He moved quickly to the front of the desk and began gesturing for emphasis as
he spoke. “Information technology is supposed to be our advantage, not our weakness. I want
this fixed. I want a plan, soon, real soon.” The result was the Comprehensive National
Cybersecurity Initiative (CNCI) and National Security Presidential Decision 54. Neither has ever
become public. Both documents call, appropriately enough, for a twelve-step plan. They focus,
however, on securing the government’s networks. Oddly, the plan did not address the problem
that had started the discussion in the Oval Office, the vulnerability of the financial sector to cyber
war.
Nonetheless, Bush requested $50 billion over five years for the Comprehensive National
Cybersecurity Initiative, which is neither comprehensive nor national. The initiative is an effort to,
in the words of one knowledgeable insider, “stop the bleeding” out of DoD and
intelligence-community systems, with a secondary focus on the rest of the government. Also
described as a multibillion-dollar “patch and pray program,” the initiative does not address
vulnerabilities in the private sector, including in our critical infrastructures. That tougher problem
was left to the next administration.
The initiative was also supposed to develop an “information warfare deterrence strategy and
declaratory doctrine.” That part has almost totally been put on hold. In May 2008, the Senate
Armed Services Committee criticized the initiative’s secrecy in a public report, with the comment
that “it is difficult to conceive how the United States could promulgate a meaningful deterrence
doctrine if every aspect of our capabilities and operational concepts is classified.” Reading that, I
could not help but think of Dr. Strangelove when, in the movie of the same name, he berates the
Soviet Ambassador for Moscow’s keeping the existence of its nuclear-deterrent Doomsday
Machine a secret: “Of course, the whole point of a Doomsday Machine is lost if you keep it a
secret! Why didn’t you tell the world?” The reason we are keeping our cyber deterrence
strategy secret is probably that we do not have a good one.
OBAMA’S OVERFLOWING PLATE
It was another vulnerability of the financial sector, brought on as a result of industry successfully
lobbying against government regulation, that Barack Obama was forced to focus on when he
became President in 2009. The subprime-mortgage meltdown and the complex dealings in the
derivatives markets had created the worst financial crisis since 1929. With that, in addition to the
war in Iraq, the war in Afghanistan, threatening flu pandemics, health-care reform, and global
warming all requiring his attention, Obama did not focus on cyber security. He had, however,
addressed the issue during the 2008 campaign. Although I had signed on to the campaign as a
terrorism advisor, I used that access to pester the candidate and his advisors about cyber war. It
was not surprising to me that Obama “got” the issue, since he was running the most
technologically advanced, cyber-dependent presidential campaign in history.
Thus, as part of the campaign’s effort to stake out some ground on national security issues,
then-Senator Obama gave a speech and met with national experts on technology and emerging
threats at Purdue University in the summer of 2008. In the speech, he took the bold step of
declaring U.S. cyber infrastructure “a strategic asset,” an important phrase in government-speak
that means it is something worth defending. He also pledged to appoint a senior White House
advisor who would report directly to him and gave a general commitment to make cyber security
“a top federal priority.” In the accompanying fact sheet, which my coauthor Rob Knake drafted
along with two MIT computer scientists, John Mallery and Roger Hurwitz, he went a step
further, criticizing the Bush Administration for moving too slowly in the face of the risks
associated with cyberspace, and pledging to initiate a “Safe Computing R&D effort” to “develop
next-generation secure computers and networking for national security applications,” to invest
more in science and math education, and to create plans to address private-sector vulnerabilities,
identity theft, and corporate espionage.
Page 58
ABC Amber ePub Converter Trial version, http://www.processtext.com/abcepub.html
A few weeks later, the cyber threat was hammered home to Obama in a very serious way.
The FBI quietly informed the campaign that it had reason to believe Chinese hackers had
infiltrated the campaign’s computer systems. I asked one of my business partners, Paul Kurtz
(who had worked on cyber security on both the Clinton and Bush White House staffs), to take a
team of cyber security experts out to the Chicago headquarters to assess the extent of the
damage and see what could be done to secure the systems. The Chinese hackers had focused on
draft policy documents. They had used some sophisticated techniques, hidden beneath more
obvious activity.
When the campaign quietly put together an unofficial transition team weeks before election
day, I asked everyone working on national security planning to stop using their home computers
for that purpose. Even though what they were writing was unclassified, it was of interest to China
and others (including, presumably, John McCain, not that his campaign had shown much
understanding of cyber technology). With the campaign’s blessing, we distributed “clean” Apple
laptops and locked them down so they could only connect to one thing, a virtual private network
we created using a server with a completely innocuous name. I knew we were going to be in
trouble when I started getting calls complaining about the security features. “Dick, I’m at a
Starbucks and this damn machine won’t let me connect to the wi-fi.” “Dick, I want to pull some
files off of my Gmail account, but I can’t access the Internet.” I tried to point out that if you are a
senior member of the informal national security transition team, you probably should not be
planning the takeover of the White House from a Starbucks, but not everyone seemed to care.
Shortly before the inauguration, Paul Kurtz and I provided the new White House team with a
draft decision document to formalize the proposals Obama had advocated in the Purdue speech.
We argued that if Obama waited, people would come out of the woodwork to try to stop it.
Although the most senior White House staff understood that problem and wanted a quick
decision, it was, understandably, not a high priority for them. Instead, the new Obama White
House announced a Sixty Day Review and asked one of the drafters of Bush’s CNCI to run it.
This was despite the fact that Jim Lewis and the Commission on Cyber Security for the
forty-fourth Presidency had already spent over a year working to achieve a consensus view on
what the next President needed to do, releasing their report on December 8, 2008. When, 110
days later, the President announced the results, guess what? It was CNCI redux. It also had a
military Cyber Command, but not a cyber war strategy, not a major policy or program to defend
the private sector, nothing to initiate international dialogue on cyber war. And, déjà vu all over
again, the new Democratic President went out of his way to take regulation off the table: “So let
me be very clear: my administration will not dictate security standards for private companies.”
What Obama did not announce in his public remarks after the Sixty Day Review was who
would be the new White House cyber security czar. Few qualified people wanted the job, largely
because it had no apparent authority and had been altered to report directly to both the
Economic Advisor and the National Security Advisor. The Economic Advisor was the ousted
former Harvard president Larry Summers, who had made it clear that he thought the private
sector and market forces would do enough to deal with the cyber war threat without any
additional government regulation or role in their affairs. Months went by during which the best
efforts of the White House personnel office failed to convince candidate after candidate that this
was a job worth taking.
Thus, for the first year of his administration, Obama had no one in the White House trying to
orchestrate a government-wide, integrated cyber security or cyber war program. Departments
and agencies did their own thing, or did nothing. The two lead agencies in defending America
from cyber war were U.S. Cyber Command (to defend the military) and the Department of
Homeland Security (to defend, well, something else). The head of U.S. Cyber Command kept a
low profile for most of 2009 because the Senate had not yet agreed to give him his fourth star.
To get the promotion from three stars, General Keith Alexander would have to answer questions
before a Senate committee, and that committee wasn’t too sure it understood what U.S. Cyber
Page 59
ABC Amber ePub Converter Trial version, http://www.processtext.com/abcepub.html
Command was actually supposed to do. Senator Carl Levin of Michigan asked the Pentagon to
send over an explanation of the command’s mission and strategy before he would agree to
schedule a confirmation hearing.
While Senator Levin was trying to figure out what Cyber Command was supposed to be
protecting and General Alexander was “in the quiet period” before his hearing, I wasn’t too clear
on what Homeland Security was supposed to protect. Therefore I went to the source and asked
Secretary Janet Napolitano. She graciously agreed to meet with me at her department’s
headquarters. Unlike other cabinet departments, which tend to be headquartered in monumental
edifices or modern office blocks near the National Mall, the newest department is run from a
barbed-wire-enclosed encampment in northwest Washington, D.C. Behind the wire are a series
of low-rise redbrick buildings that, seen from the street, appear like a Nazi army kaserne. It is
little wonder that when civil servants were forced to move in they gave the place the nickname
Stalag 13, after the fictional German prison camp in the long-running television comedy show 
Hogan’s Heroes.
In fact, the facility had been the headquarters of the U.S. Navy’s cryptographical service, the
predecessor of the new 10th Fleet. Like U.S. Navy bases everywhere, this one came with a little
white church and cute little street signs. One street is named “Intelligence Way.” To get to the
Secretary’s office, we walked through a seemingly endless sea of gray Dilbert cubicles.
Napolitano’s personal office was only slightly better. For the former Governor of Arizona, the
dismal ten-by-twelve-foot office was a distinct comedown. Nonetheless, she had managed to
cram a bronco-busting saddle into one corner. But the place had a temporary feel to it, six years
after the department had been created. “We’re moving to a big new headquarters,” the Secretary
explained, trying to emphasize the positive. The new headquarters, on the grounds of St.
Elizabeth’s, Washington, D.C.’s shuttered insane asylum, would be ready in year ten of the
department’s existence, maybe.
“Even though the government was closed for a holiday yesterday, I spent it meeting with
executives form the financial sector, talking to them about cyber security,” Napolitano began. It
was Cyber Security Awareness Month at the department and she had scheduled a number of
events. I asked her what the greatest cyber security threat was. “The highly skilled lone hacker,
cyber criminal cartels…” she replied. Well, what if there were a cyber war, I asked. “The
Pentagon would have the lead in a war, but we would do consequence management of any
damage in the U.S.” What about preventing the damage so that there would be fewer
consequences to manage? “We are growing the capability so that we might be able to protect the
dot-gov domain.
Well, if U.S. Cyber Command is protecting dot-mil and you will one day protect dot-gov,
who is protecting everything else, like the critical infrastructure, which is in the private sector?
“We work with the private sector groups, the Information Sharing and Analysis Centers in the
eighteen critical industries, to share information with them.” That is not the same thing as the U.S.
government protecting the critical infrastructure from cyber war attacks, is it? No, the Secretary
admitted, it wasn’t. Doing that, she suggested, was not Homeland Security’s job.
Homeland Security is developing a system to scan cyber traffic going to and from federal
departments, looking for malware (viruses, worms, etc.). The immodestly named “Einstein”
system had grown from mere traffic flow monitoring (Einstein 1) to intrusion and malware
detection (Einstein 2) and will soon attempt to block Internet packets that appear to be malware
(Einstein 3). As part of the effort to defend the government sites, Homeland and the General
Services Administration are attempting to reduce the number of portals from the Internet to the
dot-gov domain. Then Homeland will place Einstein 3 on each of those portals into dot-gov to
scan for malware. The Einstein network will be run by Homeland’s newly consolidated cyber
security division, the National Cybersecurity and Communications Integration Center in Ballston,
Virginia.
If DHS can get this to work, I asked, why just limit it to protecting the federal government?
Page 60
ABC Amber ePub Converter Trial version, http://www.processtext.com/abcepub.html
Documents you may be interested
Documents you may be interested