“Well, we may want to look later on at taking it out more broadly.” Secretary Napolitano, who is
a lawyer and a former federal prosecutor, added that there would be legal and privacy hurdles to
having the government scanning the public Internet for cyber war attacks. Well, then, could she
employ regulatory authority to make critical infrastructure improve their own ability to defend
from cyber war attacks, and to regulate the ISPs or the electric power companies? To her credit,
Secretary Napolitano did not rule those possibilities out either, even though President Obama
himself had seemed to in his cyber security speech in May 2009. But regulation, she noted,
would come only after information sharing and voluntary measures had been shown to fail, and in
year one of the Obama Administration it was too early to make that judgment. Of course,
information sharing and voluntary measure approach had been tried for over a decade.
What was within her responsibilities was to secure the dot-gov domain, and Napolitano was
pleased to report that DHS was looking for one thousand new employees with cyber security
skills. Immediately critics wondered publicly why highly qualified cyber geeks would want to
work for Homeland when everyone from Cyber Command to Lockheed and Bank of America
was recruiting them. Napolitano said she was working to get the personnel rules changed so that
she could pay salaries competitive with the private sector, and she was looking into creating
satellite offices in California and other places away from Washington where geeks “might prefer
to live.” I thought I heard in her voice the longing for back home that many in the Washington
bureaucracy secretly harbor. As we left the Secretary’s office, the head of the U.S. Coast
Guard, Admiral Thad Allen, was waiting outside. “Glad to see you survived the interview with
Dick,” the Admiral joked. “I survived,” the Secretary replied, “but now I’m depressed about
cyber war.”
Why had Clinton, Bush, and then Obama failed to deal successfully with the problem posed
by America’s private-sector vulnerability to cyber war? People who have worked on this issue
for years all have slightly different answers, or differences in emphasis. Let’s explore six of the
reasons they most often give.
The first reason you hear is that many cyber attacks that have happened have left behind no
marks, no gaping crater like Manhattan’s Ground Zero. When private-sector firms have their
core intellectual property stolen, they usually don’t even know it happened. To understand the
problem that creates, imagine that you work in a museum with valuable objects, let’s say
sculptures and paintings. When you leave the museum at the end of the day, you turn on an alarm
system and make sure that the video recorder is running and is connected to the surveillance
cameras. In the morning, you return. The alarm has not gone off overnight, but just to be sure,
you scan through the video of the last twelve hours and satisfy yourself that no one was inside the
museum while you were gone. Finally, you check all the sculptures and paintings to be sure that
they are still there. All is well. Why ever would you then think you had a security problem?
That is essentially the situation that the Pentagon was facing in the late 1990s and continues to
face today. There may be some low-level activity of people trying to penetrate their networks,
but doesn’t the security software (firewalls, intrusion-detection systems, intrusion-prevention
systems) deal effectively with most of the threats? Why would the brass think that their intellectual
property, their crown jewels, war plans, engineering drawings, or software was now residing on
hard drives in China, Russia, or anywhere other than just on their systems?
The difference between art thieves and world-class hackers is that with the best of the cyber
thieves, you never know you were a victim. “Hell, the U.S. government does [number withheld]
penetrations of foreign networks every month,” one intelligence official told me. “We never get
caught. If we are not getting caught, what aren’t we catching when we’re guarding our own?”
How do you convince someone that they have a problem when there is no evidence you can give
them? The data isn’t missing like the Vermeer that was snatched from the Isabella Stewart
Gardner Museum in Boston in 1990. This sounds like a new problem, unique to cyberspace.
Page 61
ABC Amber ePub Converter Trial version, http://www.processtext.com/abcepub.html
And paste pdf into powerpoint - C# Create PDF from PowerPoint Library to convert pptx, ppt to PDF in C#.net, ASP.NET MVC, WinForms, WPF
Online C# Tutorial for Creating PDF from Microsoft PowerPoint Presentation
converting pdf to powerpoint online; embed pdf into powerpoint
And paste pdf into powerpoint - VB.NET Create PDF from PowerPoint Library to convert pptx, ppt to PDF in vb.net, ASP.NET MVC, WinForms, WPF
VB.NET Tutorial for Export PDF file from Microsoft Office PowerPoint
converting pdf to ppt; how to convert pdf file to powerpoint presentation
Historians of military intelligence, however, have heard this tale before.
In the Cold War the United States Navy was confident that it could defeat the Soviet naval
forces if it ever came to a shooting war, until they learned that a family of Americans had given
the Soviets a unique advantage. The Walker family, including an employee at the National
Security Agency and his son in the U.S. Navy, had supplied the Soviets with the Navy’s
top-secret codes, the cryptology that scrambled and unscrambled messages to and from our
ships. The Red Navy knew where our ships were, where they were going, what they were
ordered to do, and which major weapons and other systems onboard were not working. We
were unaware that the Soviets knew these things because, although we assumed that they were
intercepting our message traffic coming over radio frequencies, we were very confident that they
could never unscramble our code. They probably never could have, until they bought the
descrambling key from some trusted Americans.
The U.S. Navy’s smug arrogance about the security of its Cold War codes was hardly unique
in the history of code-breaking: the Japanese thought that no one could read their naval codes
during World War II, but the United States and the United Kingdom were doing just that. Some
historians believe that the U.S. Navy defeated the Imperial Japanese Navy precisely because of
code-breaking skills. Certainly the decisive U.S. victory in the Battle of Midway was due to the
advanced knowledge of Japanese plans gained from code-breaking. It is a reasonable
assumption that over several decades many nations’ codes, presumed to be unbreakable by their
users, were (or are) actually being read by others.
Even though historians and national security officials know that there are numerous precedents
for institutions thinking their communications are secure when they are not, there is still resistance
to believing that it may be happening now, and to us. American military leaders today cannot
conceive of the possibility that their Secret (SIPRNET) or Top Secret intranet (JWICS) is
compromised, but several experts I spoke to are convinced that it is. Many corporate leaders
also believe that the millions of dollars they have spent on computer security systems means they
have successfully protected their company’s secrets. After all, if anybody had gotten inside their
secret files, the intrusion detection system software would have sounded an alarm. Right?
No, not necessarily. And even if the alarm did go off, in many cases that would not have
caused anyone to do anything very quickly in response. There are ways of penetrating networks
and assuming the role of the network administrator or other authorized user without ever doing
anything that would cause an alarm. Moreover, if an alarm does go off, it is often such a routine
occurrence on a large network that nothing will happen in response. Perhaps the next day
someone will check the logs and notice that a couple of terabytes of information were
downloaded and transmitted outside of the network to some compromised server, the first stop
on a multistage trip intended to obscure the final destination. Or, perhaps, no one will notice that
anything ever happened. The priceless art is still on the museum walls. And if that is the case, why
should the government or the bottom-line-conscious executive do anything?
I mentioned in chapter 2 the 2003 phenomenon code-named Titan Rain. Alan Paller, a friend
who runs the SANS Institute, a cyber security education and advocacy group, described what
happened on one afternoon in that case, November 1, 2003.
At 10:23 p.m. the Titan Rain hackers exploited vulnerabilities at the U.S. Army Information
Systems Engineering Command at Fort Huachuca, Arizona.
At 1:19 a.m. they exploited the same hole in computers at the Defense Information Systems
Agency in Arlington, Virginia.
At 3:25 a.m. they hit the Naval Ocean Systems Center, a Defense Department installation in
San Diego, California.
At 4:46 a.m. they struck the U.S. Army Space and Strategic Defense installation in Huntsville,
There were lots of days like that. Not only were Defense facilities hit, but terabytes of sensitive
information left NASA labs, as well as the computers of corporations such as Lockheed Martin
Page 62
ABC Amber ePub Converter Trial version, http://www.processtext.com/abcepub.html
C# PDF Page Extract Library: copy, paste, cut PDF pages in C#.net
Ability to copy selected PDF pages and paste into another PDF file. Copy three pages from test1.pdf and paste into test2.pdf.
how to change pdf file to powerpoint; convert pdf document to powerpoint
VB.NET PDF Page Extract Library: copy, paste, cut PDF pages in vb.
Ability to copy PDF pages and paste into another PDF file. Support ' Copy three pages from test1.pdf and paste into test2.pdf. Dim
convert pdf to powerpoint slide; drag and drop pdf into powerpoint
and Northrop Grumman, which have been given contracts worth billions of dollars to manage
security for DoD networks. Cyber security staffs tried to figure out the techniques being used to
penetrate the networks. And their blocking efforts seemed to work. One participant in these
defensive efforts told us that “Everyone was all self-congratulatory.” He shook his head, pulled a
grimace, and added softly, “…till they realized that the attacker had just gone all stealthy, but was
probably still stealing us blind. We just couldn’t see it anymore.” The case names Moonlight
Maze and Titan Rain are now best thought of as fleeting glimpses of a much broader campaign,
most of which went unseen. It may seem somewhat incredible that terabytes of information can
be removed from a company’s network without that company being able to stop it all from going
out the door. In the major cases we know about, the companies or federal organizations usually
did not even detect that an exfiltration of data had occurred until well after it had taken place. All
of these victims had intrusion-detection systems that are supposed to alarm when an unauthorized
intruder attempts to get on a network. Some sites even had the more advanced intrusion-
prevention systems, which not only alarm but also automatically take steps to block an intruder.
The alarms remained silent. If you have a mental image of every interesting lab, company, and
research facility in the U.S. being systematically vacuum cleaned by some foreign entity, you’ve
got it right. That is what has been going on. Much of our intellectual property as a nation has been
copied and sent overseas. Our best hope is that whoever is doing this does not have enough
analysts to go through it all and find the gems, but that is a faint hope, particularly if the country
behind the hacks has, say, a billion people in it.
One bright spot in this overall picture of data going out the door unhindered is what happened
at Johns Hopkins University’s Advanced Physics Laboratory (APL), outside Baltimore. APL
does hundreds of millions of dollars of research every year for the U.S. government, from
outer-space technology to biomedicine to secret “national security” projects. APL did discover in
2009 that it had huge amounts of data being secretly exfiltrated off its network and they stopped
it. What is very telling is the way in which they stopped it. APL is one of the places that is really
expert in cyber security and has contracts with the National Security Agency. So one might think
that they were able to get their intrusion systems to block the data theft. No. The only way in
which these cyber experts were able to prevent their network from being pillaged was to
disconnect the organization from the Internet. APL pulled the plug and isolated its entire network,
making it an island in cyberspace. For weeks, APL’s experts went throughout the network,
machine by machine, attempting to discover trapdoors and other malware. So the state of the art
in really insuring that your data does not get copied right off your network appears to be to make
sure that you are in no way connected to anybody. Even that turns out to be harder than it may
seem. In large organizations, people innocently make connections to their home computers, to
laptops with wi-fi connections, to devices like photocopiers that have their own connectivity
through the Internet. If you are connected to the Internet in any way, it seems, your data is
already gone.
The really good cyber hackers, including the best government teams from countries such as the
U.S. and Russia, are seldom stumped when trying to penetrate a network, even if its operators
think the network is not connected in any way to the public Internet. Furthermore, the varsity
teams do something that causes network defenders to sound like paranoids. They never leave
any marks that they were there, except when they want you to know. Think of Kevin Spacey’s
character’s line in the movie The Usual Suspects: “The greatest trick the devil ever pulled was
convincing the world he didn’t exist.”
Another reason given for why there has not been a groundswell sufficient to address America’s
vulnerability to cyber war is that the “thought leadership” group in the field can’t agree on what to
do. To test that hypothesis, I went in search of the “thought leaders” in what you might think was
one of the more unlikely places to find them, Caesars Palace, in Las Vegas, in the 104-degree
Page 63
ABC Amber ePub Converter Trial version, http://www.processtext.com/abcepub.html
C# PDF insert text Library: insert text into PDF content in C#.net
Parameters: Name, Description, Valid Value. value, The char wil be added into PDF page, 0
convert pdf into ppt; convert pdf to powerpoint online no email
VB.NET PDF insert image library: insert images into PDF in vb.net
project. Import graphic picture, digital photo, signature and logo into PDF document. Add file. Insert images into PDF form field in VB.NET. An
convert pdf to editable ppt online; and paste pdf into powerpoint
heat of August 2009.
Caesars is an incongruous site on any day, filled as it is with statues and symbols of an empire
that fell over fifteen centuries ago scattered among blinking slot machines and blackjack tables.
At Caesars, conference rooms with names like the Colosseum and the Palatine are not crumbling
ruins, but are state-of-the-art meeting facilities, with white boards, flat screens, and flashing
control consoles. Every summer for the past dozen years, when the more mainstream
conventions wrap up the Vegas conference season and the room prices drop, a slightly different
kind of crowd descends on the Strip. They are mainly men, usually in shorts and T-shirts, often
with backpacks, BlackBerrys, and Mac laptops. Few of them drop into the fashion-forward
Hugo Boss, Zegna, or Hermès shops in Caesars Forum, but they have almost all been to the 
Star Trek show over at the Hilton. The crowd are hackers, and in 2009 over four thousand of
them showed up for the Black Hat conference, enough information technology skill in one place
to wage cyber war on a massive scale.
Despite the name, Black Hat is actually now a gathering of “white hat,” or “ethical,” hackers,
people who are or work for chief information officers (CIOs) or chief information security
officers (CISOs) at banks, pharmaceutical firms, universities, government agencies, almost every
imaginable kind of large (and many medium-sized) company. The name Black Hat derives from
the fact that the highlights of the show every year are announcements by hackers that they’ve
figured out new ways to make popular software applications do things they were not designed to
do. The software companies used to think of the conference as a meeting of bad guys. Usually
the demonstrations show that software’s writers were not sufficiently security conscious, with the
result that there is a way to penetrate a computer network without authorization, maybe even gain
control of a network.
Microsoft was the butt of the conference’s hacking for years, and the executives in Redmond
looked forward annually to Black Hat the way most of us anticipate a tax audit. In 2009 the
attention turned to Apple, because of the increasing popularity of its products. The
most-discussed demonstration concerned how to hack an iPhone with a simple SMS text
message. As much as Bill Gates, or now maybe even Steve Jobs, might like it to be illegal for
people to find and publicize the flaws in their products, it is not a crime to do so. A crime occurs
only when a hacker uses the method he’s developed (the “exploit”) to utilize the flaw he’s
discovered in the software (the “vulnerability”) to get him into a corporate or government
network (“the target”) where he is not authorized to be. Of course, once a vulnerability is
publicized at Black Hat, or, worse yet, once an exploit is disseminated, anyone can attack any
network running the flawed software.
I got into a little bit of trouble in 2002 for suggesting in my Black Hat keynote address that it
was a good thing that hackers were discovering flaws in software. I was Special Advisor for
Cyber Security to President Bush at the time. Someone, presumably in Redmond, thought it
wrong for a nice conservative Republican White House to be encouraging illegal acts. Of course,
what I actually said was that when the ethical hackers discovered flaws they should first tell the
software maker, and then, if they got no response, call the government. Only if the software
maker refused to fix the problem, I said, should the hackers go public. My logic was that if the
hackers at Black Hat could discover the software flaws, China, Russia, and others probably
could, too. Since those engaged in espionage and crime would find out anyway, it was better if
everyone else knew. Public knowledge of a “bug” in software would probably mean two things:
(1) most sensitive networks would stop using the software until it got fixed, and (2) the software
manufacturer would be shamed into fixing it, or pressured to do so by its paying customers, such
as banks and the Pentagon.
Comments like that did not endear me to certain corporate interests. They also didn’t like it
when, again in 2002, I was the keynote speaker at the annual RSA conference. The RSA
conference is a gathering of about 12,000 cyber security practitioners. It is an occasion for many
late-night parties. My keynote was early in the morning. I was standing backstage, thinking about
Page 64
ABC Amber ePub Converter Trial version, http://www.processtext.com/abcepub.html
VB.NET PDF File Split Library: Split, seperate PDF into multiple
Split PDF file into two or multiple files in ASP.NET webpage online. Support to break a large PDF file into smaller files in .NET WinForms.
convert pdf to powerpoint; convert pdf to powerpoint with
VB.NET PDF Page Insert Library: insert pages into PDF file in vb.
DLLs for Adding Page into PDF Document in VB.NET Class. Add necessary references: RasterEdge.Imaging.Basic.dll. RasterEdge.Imaging.Basic.Codec.dll.
how to add pdf to powerpoint presentation; convert pdf to powerpoint online for
how I needed more coffee. The band Kansas had been brought in and was playing loudly in the
big hall. When they were done, I was supposed to walk out onstage through a cloud of theatrical
smoke. You get the picture. Thinking of my caffeine needs, I noted shortly after starting the
speech that a recent survey had shown that many large companies spent more money on free
coffee for their employees and guests than they did on cyber security. To which I added, “If you’
re a big company and spend more on coffee than on cyber security, you will be hacked.” Pause.
Then go for it. “What’s more, if those are your priorities, you deserve to be hacked.” Dozens of
irate telephone calls from corporate officials followed.
RSA is very corporate. Black hat is a lot more fun. The thrill at Black Hat is going into a dimly
lit ballroom and seeing someone unaccustomed to public speaking projecting lines of code on a
presentation screen. Hotel staff servicing the conference always look quizzical when a meeting
room erupts in laughter or applause, which they do a lot, because to the average person nothing
is being said that is obviously humorous, praiseworthy, or for that matter even understandable.
Perhaps the only thing that most Americans would generally follow if they wandered off course
into Black Hat while looking for the roulette tables is the conference’s Hacker Court, mock trials
with judges who seek to establish what sort of hacking should really be considered unethical.
Apparently hacking the hackers is not in that category. Most conferencegoers just accept that
they should have their wi-fi applications turned off on their laptops. Signs throughout the vast
conference area note that the wi-fi network should be considered “a hostile environment.” The
warning is about as necessary as a placard at an aquarium noting that there is no lifeguard on duty
in the shark tank.
In 2009, conference organizer Jeff Moss broke with tradition by scheduling one meeting at
Black Hat Vegas that was not open to all attendees. Indeed, Moss, who dressed only in black
during the conference, limited the attendance at that meeting to thirty people, instead of the usual
500 to 800 who crowd each of the six simultaneous sessions that take place five or more times a
day during the conference. The invitation-only session was populated by a group of “old hands,”
people who knew where the virtual bodies were buried in cyberspace: former government
officials, current bureaucrats, chief security officers in major corporations, academics, and senior
IT company officials. Moss’s question to them: What do we want the new Obama
Administration to do to secure cyberspace? In a somewhat unorthodox move, the Obama
Administration had placed Moss on the Homeland Security Advisory Board, so there was some
chance that his reporting of the group’s consensus views would be heard, assuming the group
could strike a consensus.
To their surprise, the group reached general accord on a few things, as well as polarized
disagreement on others. Where the consensus emerged was around five points. First, the group
was all in favor of returning to the days when the federal government spent a lot on cyber security
research and development. The agency that had done so, and which had also funded the creation
of the Internet, DARPA (the Defense Advanced Research Projects Agency), had essentially
abandoned the Internet security field during the Bush (43) Administration and instead focused
attention on “netcentric warfare,” apparently oblivious that such combat depended upon
cyberspace being secure.
Second, there was a slight majority in favor of “smart regulation” of some aspects of cyber
security, like maybe federal guidelines for the Internet backbone carriers. The smart part was the
idea of government regulators specifying goals, rather than micromanaging by dictating means.
Most thought, however, that the well-entrenched interest groups in Washington would
successfully lobby Congress to block any regulation in this area. Third, the group thought
worrying about who did cyber attacks, the so-called attribution problem, was fruitless and that
people should instead focus on “resilience.” Resilience is the concept that accepts that a
disruptive or even destructive attack will occur and advocates planning in advance for how to
recover from such devastation.
The fourth consensus observation was that there really should be no connectivity between
Page 65
ABC Amber ePub Converter Trial version, http://www.processtext.com/abcepub.html
C# PDF insert image Library: insert images into PDF in C#.net, ASP
Import graphic picture, digital photo, signature and logo into PDF document. Merge several images into PDF. Insert images into PDF form field.
pdf to ppt converter online for large; convert pdf slides to powerpoint
C# PDF File Split Library: Split, seperate PDF into multiple files
Divide PDF File into Two Using C#. This is an C# example of splitting a PDF to two new PDF files. Split PDF Document into Multiple PDF Files in C#.
how to convert pdf into powerpoint slides; export pdf to powerpoint
utility networks and the Internet. The idea of separating “critical infrastructure” from the
open-to-anyone Internet seemed pretty obvious to the seasoned group of information security
specialists. In a ballroom down the hall, however, the Obama Administration’s ideas about a
Smart Electric Grid were being flayed by several hundred other security specialists, precisely
because the plans would make the electric power grid, that sine qua non for all the other
infrastructure, even more vulnerable to unauthorized penetration and disruption from the
anonymous creatures who prowl the Internet.
The final point on which the “wise men” (including three women) were able to generally agree
was that nothing would happen to solve the woes of cyberspace security until someone showed
what is so lacking now: leadership. This observation apparently did not seem ironic to the group,
who, arguably, were the leaders of the elite information technology security specialists in the
country. Yet they looked to the Obama Administration for leadership in the area. At that point
the Obama White House had already called over thirty people to see if they were interested in
being the administration’s leader on cyberspace security. The search went on in Washington, as
did the demonstrations down the hall of how to hack systems. As the “thought leaders”
wandered out of the Pompeii Room somewhat dejected, hoping for leadership, they could hear
erupting, probably from the Vesuvius Room, the sound of hundreds wailing as a hacker virtually
sliced apart another iPhone. We did not rush over to see what application had been hacked.
Instead, we went off to the blackjack tables, where the odds of our losing seemed less than those
for American companies and government agencies hoping to stay safe in cyberspace.
When both the left and the right disagree with your solution to a problem, you know two things:
(1) you are probably on the correct path, and (2) you stand almost no chance of getting your
solution adopted. Many of the things that have to be done to reduce America’s vulnerability to
cyber war are anathema to one or the other end of the political spectrum. That is why they have
not been embraced thus far.
I will discuss the details of what might be done in the next chapter, but I can tell you now that
some of the ideas will require regulation and some will have the potential, if abused, to violate
privacy. In Washington, one might as well advocate random forced abortions as suggest new
regulation or create any greater privacy risks.
My position on regulation is that it is neither good nor bad inherently; it depends upon what the
regulation says. Complex, 1960s-style federal regulations generally serve only the Washington
law firms where they are written, and where policies to avoid them are devised at $1,000 an
hour. “Smart regulation,” as discussed at Black Hat, articulates an end state and allows the
regulated to figure out how best to get to it. Regulation that puts a U.S. company at an economic
disadvantage to a foreign competitor is usually unwise, but a regulatory even playing field that
passes on minimal costs to users does not seem to me to be one of the works of Satan.
Regulations where compliance is not audited or enforced are worthless, almost as troubling as
regulations requiring the hovering presence of federal officials. Third-party audits and remote
compliance verification generally seem like sensible approaches. Refusal to regulate, or audit, or
enforce, often results in things like the 2008 market crash and recession, or lead paint in children’
s toys. Overregulation sometimes creates artificially high consumer prices and requirements that
do little or nothing to solve the original problem, and suppresses creativity and innovation.
On privacy rights, and civil liberties in general, I am far more categorical. We need to be
vigilant, lest government erode our rights. This is not an unjustified fear. Well-meaning provisions
of the Patriot Act were abused in recent years. Other restrictions on government action, including
those in the Bill of Rights and in the Foreign Intelligence Surveillance Act, were simply ignored. If
what we need to do to defend ourselves from cyber war opens the possibility of further
government abuse, we will need to do more than simply pass laws making such government
action illegal. That has not stopped some in the past. (Cheney, I’m thinking of you here.) We will
Page 66
ABC Amber ePub Converter Trial version, http://www.processtext.com/abcepub.html
also have to create empowered, independent organizations to investigate whether abuses are
occurring and to bring legal action against those who are violating privacy laws and civil liberties.
The safest way to deal with the threat of further abuse is, of course, not to create new programs
that government officials could misuse to violate our rights. There may be times, however, as in
the case of cyber war, when we should examine whether effective safeguards can be put in place
so that we can start new programs that entail some risk.
Part of the reason that we are so unprepared today is the “boy who cried wolf too soon”
phenomenon. Sometimes the boy who cries wolf can see the wolf coming from a lot farther away
than everyone else. The Joint Security Commission of 1994, the Marsh Commission of 1997, the
Center for Strategic and International Studies (CSIS) commission of 2008, the National
Academy of Science commission of 2009, and many more in between have all spoken of a
major cyber security or cyber war risk. They have been criticized by many as Cassandras, the
type of people who are always predicting disaster. The earth will be hit by a giant meteor. A shift
in magnetic north from one pole to another will cause solar wind that will destroy the atmosphere.
Well, almost all real experts in the relevant fields of science believe the meteor and pole-shifting
scenarios will happen. They just do not know when, and therefore we probably should not get
too excited. The various commissions and groups warning about cyber war have not really been
wrong about the timing; they were warning us when we had sufficient time to do something in
advance of a disaster. It is worth remembering that, despite the bad rap she gets, Cassandra was
not wrong about her predictions; she was simply cursed by Apollo never to be believed.
Unfortunately, one thing that is too often believed is that there is a threat from “cyber
terrorism.” Cyber terrorism is largely a red herring and, in general, the two words “cyber” and
“terrorism” should not be used in conjunction because they conjure up images of bin Laden
waging cyber war from his cave. He probably can’t, at least not yet. (Moreover, he’s probably
not in a cave, more likely a cushy villa.) Indeed, we do not have any good evidence that terrorists
have ever staged cyber war attacks on infrastructure.
To date, terrorists haven’t so much attacked the Internet or used the Internet to attack
physical systems as they have used it to plan and coordinate attacks on embassies, railroads, and
hotels. They have also used the Internet to raise funds, recruit, and train. After al Qaeda lost their
training grounds in Afghanistan following 9/11, much of what went on there shifted to the web.
Training videos on how to build improvised explosive devices or how to stage beheadings were
just as effective delivered over a remote learning system as they were at a remote training camp.
The web kept terrorists from having to travel for training, which used to be a very good
opportunity for international law enforcement to catch a would-be terrorist. Remote training also
kept a bunch of terrorists from congregating in one place long enough for a cruise missile strike.
While Internet training has been a huge danger, spawning “lone wolf” attacks by terrorists who
never had any connection to al Qaeda central, what al Qaeda and other groups really excel at is
using the Internet for propaganda. Producing videos of beheadings and spreading radical
interpretations of the Koran across the Internet has allowed terrorist groups to reach a wide
audience and to do so with relative anonymity.
While al Qaeda has thus far not been capable of staging a cyber attack, that could very well
change. As with any developing technology, the cost and other barriers to entry are going down
each year. Staging a devastating cyber attack would not require a major industrial effort like
building a nuclear bomb. Understanding the control software for an electric grid, however, is not
a widely available skill. It is one thing to find a way to hack into a network, and quite another to
know what to do once you’re inside. A well-funded terrorist group might find a highly skilled
hacker club that would do a cyber attack in return for a lot of money, but that has not happened
to date. One of the reasons for that may simply be that most hackers think that al Qaeda
members are crazy, dangerous, and un-trustworthy. When criminal hacker groups think of others
Page 67
ABC Amber ePub Converter Trial version, http://www.processtext.com/abcepub.html
that way, you know the real terrorists are pretty far out there.
Another reason for inertia is that some people like things the way they are. Some of those people
have bought themselves access. I mentioned earlier that George W. Bush’s first reaction when
told of a possible cyber security crisis was to ask what a certain computer industry CEO who
was one of his biggest campaign donors thought about it. You had probably already guessed that
the Bush Administration was not interested in playing hardball with the private sector. The first 
Homeland Security Strategy of the United States, put out in 2003, reads like a conservative
economic textbook on the power of the free market. You may be surprised, however, at how
Democratic administrations have also been captured by these arguments. You might think that the
new Democratic administration would be in favor of finally solving the market failure on cyber
security by introducing some new regulation, but you would be wrong. To understand why, let’s
go to a party.
It was a lavish affair. All the big names in Washington were there. Over 250 guests joined to
celebrate the marriage of Melody Barnes to Marland Buckner. Barnes, President Obama’s
domestic policy advisor, had known her husband-to-be for years before they started dating; their
acquaintance goes back to her time on Capitol Hill, working for Ted Kennedy, and to his as
Chief of Staff to Harold Ford, Jr., of Tennessee. After a short ceremony at the People’s
Congregational United Church of Christ, the newlyweds and their guests retired to Washington’s
Mellon Auditorium, which had been converted into a “South Beach–style” lounge, with hints of
silver and a floral theme for each table that was heavy on orchids. The locally sourced,
carbon-neutral menu featured short ribs, sea bass, and a selection of spring vegetables elegantly
arranged in bento boxes, followed by sliders and fries to keep the guests’ energy up until they
were released at some point after midnight.
What the New York Times Weddings and Celebrations reporter described as “a bevy of
Obama Administration officials” in attendance included White House Chief of Staff Rahm
Emanuel and Valerie Jarrett, a White House senior advisor and Assistant to the President for
Intergovernmental Relations. My friend Mona Sutphen, Deputy Chief of Staff, danced the night
away, as did former Clinton Chief of Staff John Podesta. Also in attendance, but not noted by
the Times, were a bevy of Microsoft executives. Buckner, a former director of government
affairs at the world’s largest software company and now an independent registered lobbyist, had
also invited some friends. Since going out on his own in 2008, Buckner took in lobbying fees,
more than a third of which were from Microsoft. It is too bad Mother Jones doesn’t do
weddings. Their reporter might have noted that on that night, the Obama Administration was,
quite literally, in bed with Microsoft.
Microsoft makes OpenSecret.org’s top 30 list of “Heavy Hitters,” donating to political causes.
While most of the organizations on that list are trade associations, Microsoft is one of only seven
companies that make the cut. Of course, Microsoft was making up for lost time. Before the
company’s battle with the Justice Department over antitrust issues in the late 1990s, the West
Coast–based company wanted nothing more than to be left alone and stayed out of politics.
Before 1998, Microsoft and its employees were little inclined to spend their stock options
supporting East Coast politicians. That all changed when Clinton Administration lawyers argued
that the marketing of Windows was intended to create a monopoly. Donations started pouring in
from newly established political action committees and Microsoft employees alike. And in the
years 1998 through 2002, the majority of that money went to Republicans. Then, in 2004,
maybe disgusted by the war or maybe misunderestimating the Bush campaign, Microsoft began
donating to Democrats at almost twice the rate than to Republicans. In 2008, Microsoft beat
those numbers, giving $2.3 million to Democrats and only $900,000 to Republicans.
Maybe Microsoft’s PACs and employees have good intentions, like so many Americans who
donated money and time to the Obama campaign who wanted nothing more than to see Obama
Page 68
ABC Amber ePub Converter Trial version, http://www.processtext.com/abcepub.html
in office. Marland Buckner told a reporter for Media General News Service that he would
“follow White House rules ‘to the letter’ to avoid any conflict of interest due to Barnes’s new
job, and promised not to use his relationship with his spouse to attract clients. But Microsoft the
corporation has an agenda that is very clear: don’t regulate security in the software industry, don’
t let the Pentagon stop using our software no matter how many security flaws it has, and don’t
say anything about software production overseas or deals with China.
Microsoft has vast resources, literally billions of dollars in cash, or liquid asset reserves.
Microsoft is an incredibly successful empire built on the premise of market dominance with
low-quality goods. For years, Microsoft’s operating system and applications, like its ubiquitous
Internet browser, have been prepackaged on the computers we buy. Getting an alternative was a
time-consuming and problematic task, until Apple began to open stores and advertise in the last
To be fair, Microsoft did not originally intend its software to be running critical systems.
Therefore, its goal was to get the product out the door fast and at a low cost of production. It did
not originally see any point to investing in the kind of rigorous quality assurance and quality
control processes that NASA insisted on for the software used in human space-flight systems.
The problem is that people did start using Microsoft products in critical systems, from military
weapons platforms to core banking and finance networks. They were, after all, much cheaper
than custom-built applications.
Every once in a while there is a wave of government efficiency improvements that brings
federal government agencies up to date with the cost-saving approaches being used in industry.
One of them was called the COTS campaign. The idea was to use commercial off-the-shelf
(COTS) software to replace specialized software that in the past the government would have
ordered up. Throughout the Cold War, the Pentagon had led much of this country’s technological
innovation. I remember being told that there were cameras without film that had been developed
for the government. (I could not quite understand how that would work—until I bought one at
Best Buy a decade later.) Only after military applications were developed did the technology
eventually leak out for commercial use.
COTS stood that process on its head. Before the 1990s, most of the Pentagon’s software
applications were purpose-built in-house or by a small number of trusted defense contractors.
No two systems were alike, which was how the defense contractors wanted it. The systems they
built were extremely expensive. They also made it very difficult for defense systems to work
interoperably. The COTS movement reduced the costs and allowed the Pentagon to create
interoperable systems because they all used the same computer languages and the same
operating systems. More and more applications were developed. Sensor grids were netted
together. The 5.5-million-computer Global Information Grid, or GIG, was created. Netcentric
warfare provided a huge advantage for the U.S. military, but it also introduced a huge
COTS brought to the Pentagon all the same bugs and vulnerabilities that exist on your own
computer. In 1997, the U.S. Navy found out just how dangerous it could be to rely on these
systems for combat operations. The USS Yorktown, a Ticonderoga-class cruiser, was retrofitted
as the test bed for the Navy’s “smart ship” program. The Yorktown had been outfitted with a
network of twenty-seven Pentium-powered workstations all running Windows NT, all tied to a
Windows server. The system controlled every aspect of ship operations, from bridge operations
to fire control to engine speed. When the Windows system crashed, as Windows often does, the
cruiser became a floating i-brick, dead in the water.
In response to the Yorktown incident and a legion of other failures of Windows-based
systems, the Pentagon began to look at Unix and the related Linux systems for critical operations.
Linux is an open-source system. What that means is that the computer code for the operating
system can be viewed and edited by the user. With Windows (and most other commercial
software), the source code is considered to be proprietary and is heavily guarded. Open source
Page 69
ABC Amber ePub Converter Trial version, http://www.processtext.com/abcepub.html
had a number of advantages for the Pentagon. First, Pentagon programmers and defense
contractors could customize the software to make it operate the way they wanted. They could
slice and dice the code to eliminate parts of the operating system that they did not need and that
could introduce bugs into the system. Second, after reducing the size of the operating system,
they could then run what the software industry refers to as “tools” on the remaining lines of code
to try and identify bugs, malicious code, and other vulnerabilities.
Microsoft went on the warpath against Linux to slow the adoption of it by government
agencies, complete with appearances before congressional committees, including by Bill Gates.
Nonetheless, because there were government agencies using Linux, I asked NSA to do an
assessment of it. In a move that startled the open-source community, NSA joined that community
by publicly offering fixes to the Linux operating system that would improve its security. Microsoft
gave me the very clear impression that if the U.S. government promoted Linux, Microsoft would
stop cooperating with the U.S. government. While that did not faze me, it may have had an effect
on others. Microsoft’s software is still being bought by most federal agencies, even though Linux
is free.
The banking and finance industry also started to look at open-source alternatives after the
repeated failure of Microsoft systems had cost the finance industry hundreds of millions a year. In
2004, a banking industry group, the Financial Services Roundtable, sent a delegation of
computer security specialists from the banks to Redmond, Washington, to confront Microsoft.
They demanded access to the secret Microsoft code. They were denied. They demanded to see
the quality-assurance standards Microsoft used so that they could compare them with other
software companies. They were denied. Microsoft’s position with the U.S. banks is in contrast to
the program the company had announced in 2003 whereby, pursuant to agreement, Microsoft
provide participating national and international bodies access to its Windows source code, a
move designed to address concerns about the security of its operating system. Russia, China,
NATO, and the United Kingdom were early participants.
The banks threatened to start using Linux. Microsoft told them the conversion to Linux would
be very expensive for them. Moreover, the next version of Windows was being developed under
the code name Longhorn. Longhorn would be much better. Longhorn became Vista. Vista went
to market later than expected, delayed by flaws discovered in Microsoft’s expanded tests
program. When Vista was sold, many corporate users experienced problems. Word spread and
many companies decided not to buy the new system. Microsoft suggested that it would stop
providing support for some of its older systems, forcing customers to upgrade.
Microsoft insiders have admitted to me that the company really did not take security seriously,
even when they were being embarrassed by frequent highly publicized hacks. Why should they?
There was no real alternative to its software, and they were swimming in money from their
profits. When Linux appeared, and later when Apple started to compete directly, Microsoft did
take steps to improve its quality. What they did first, however, was to employ a lot of spokesmen
to go to conferences, to customers, and to government agencies lobbying against moves to force
improvements in security. Microsoft can buy a lot of spokesmen and lobbyists for a fraction of
the cost of creating more secure systems. They are one of several dominant companies in the
cyber industry for whom life is good right now and change may be bad.
Change, however, is coming. Like the United States, more and more nations are establishing
offensive cyber war organizations. U.S. Cyber Command also has a defensive mission, to defend
the Department of Defense. Who defends the rest?
As it stands now, the Department of Homeland Security defends the non-DoD part of the
federal government. The rest of us are on our own. There is no federal agency that has the
mission to defend the banking system, the transportation networks, or the power grid from cyber
attack. Cyber Command and DHS think that by defending their government customers they may
Page 70
ABC Amber ePub Converter Trial version, http://www.processtext.com/abcepub.html
Documents you may be interested
Documents you may be interested