Industries Automation Corporation and the Deposit Trust in New York are reported to be
seriously damaged and corrupted. Data has also been badly scrambled at CSX, Union Pacific,
and the Burlington Northern Santa Fe railroads, as well as at United, Delta, and American
Airlines. As a result, the New York Stock Exchange has closed, freight trains have stopped, and
aircraft are sitting at gates across the country. The Defense Information Systems Agency, which
runs DoD’s internal networks, declares an emergency because both the secret-level SIPRNET
and the top-secret JWICS networks have been disrupted by fast-spreading worms that are
crashing hard drives. None of these attacks originated overseas, and therefore U.S. intelligence
and Cyber Command did not see them coming and could not stop them before they got to the
U.S. The attacks appear to have used new, not previously employed techniques, and thus Cyber
Command was unable to block them by scanning for the signatures of past attacks.
With attacks on Chinese air defense, banking, national military command and control, and air
traffic control ruled out by higher authorities, the team playing U.S. Cyber Command has fewer
options than it thought it would. Moreover, because U.S. Cyber Command has a defensive role
in protecting DoD networks, some of the team members are removed to deal with the worms
working their destructive path through the Defense Department. In light of the significant
escalation that the Chinese team utilized in its first move, the U.S. team opts to launch a
nationwide power blackout in China, including targeted attacks to damage several large
generators. At the same time, they will try to cause a maximum number of freight-train
derailments and jumble the database of the rail system. To replace the military targets that have
been ruled out by their superiors, the U.S. team decides to attack the communications satellite
used by the Chinese navy and the navy’s logistics network.
The Control Team’s report on the effects of the second round of U.S. attacks is not good
news. China had disconnected its networks from the global Internet, thus limiting the impact of
the U.S. attack. Moreover, when the U.S. first attacked the power grid, Beijing had ordered all
remaining sectors of the electric grid to go to a defensive posture that disconnected Internet links
and broke up regional grids into “islands” to prevent cascading blackouts. Only a few of the
generators targeted by the U.S. can be hit and their destruction will cause only isolated outages.
At the same time that defenses were raised elsewhere, the rail system shifted to a manual,
radio-based control system. Therefore the attempted second attack on the freight-rail system by
the U.S. did not work.
The U.S. hacked the Chinese communications satellite, causing its station-keeping thrusters to
fire until all fuel was spent and sending it in the direction of Jupiter. Within an hour, however, the
Chinese navy has activated a backup, encrypted radio Teletype system. But the U.S. attack on
the Chinese navy logistics computer network is successful and, together with the regional power
blackout, has slowed the boarding of Chinese troops onto ships. The Control Team also reports
that a Chinese submarine has surfaced between the two U.S. aircraft carriers. It had penetrated
the defensive perimeter, similar to an incident that actually happened in 2009 when a Song-class
submarine appeared next to the carrier USS Kitty Hawk. By surfacing, the sub has given away
its location, but it has also sent a message to the U.S. that the location of the carriers is known
with precision, making it possible for China to flood the area with air- and ground-launched
cruise missiles if shooting starts.
At this point, the U.S. Cyber Command team is informed that the White House has ordered
the two U.S. carrier battle groups to proceed toward Australia. The State Department will be
sending a high-level team to Beijing to discuss its territorial claims. Cyber Command has been
ordered to cease offensive action.
The game is over.
After every tabletop exercise in the government, there is a gathering of controllers and players
called “the hot wash.” It is a time to write down lessons learned and to make note of areas for
further study. So what did we learn from Exercise South China Sea? What issues did it highlight?
Ten important cyber war issues emerged from the players’ conduct of the simulation: the use of
Page 91
ABC Amber ePub Converter Trial version, http://www.processtext.com/abcepub.html
How to convert pdf into powerpoint - C# Create PDF from PowerPoint Library to convert pptx, ppt to PDF in C#.net, ASP.NET MVC, WinForms, WPF
Online C# Tutorial for Creating PDF from Microsoft PowerPoint Presentation
image from pdf to ppt; convert pdf to powerpoint using
How to convert pdf into powerpoint - VB.NET Create PDF from PowerPoint Library to convert pptx, ppt to PDF in vb.net, ASP.NET MVC, WinForms, WPF
VB.NET Tutorial for Export PDF file from Microsoft Office PowerPoint
how to change pdf file to powerpoint; convert pdf to editable powerpoint online
deterrence; the concept of going first; the prewar preparation of the battlefield; the global spread
of a regional conflict; collateral damage; escalatory control; accidental war; attribution; crisis
instability; and defensive asymmetry. Let’s look at each in turn.
1. DETERRENCE
Obviously, in this case deterrence failed. In our hypothetical scenario, the Cyber Command team
was not deterred by considerations of what China might do to the U.S. In the real world, the
U.S. probably should be deterred from initiating large-scale cyber warfare for fear of the
asymmetrical effects that retaliation could have on American networks. Yet, deterrence is an
undeveloped theoretical space in cyber war today. Deterrence theory was the underpinning of
U.S., Soviet, and NATO nuclear strategy during the Cold War. The horror that could be caused
by nuclear weapons (and the fear that any use would lead to extensive use) deterred
nuclear-weapons nations from using their ultimate weapons against each other. It also deterred
nations, both nuclear-armed and not, from doing anything that might provoke a nuclear response.
Strategists developed complex theories about nuclear deterrence. Herman Kahn developed a
typology with three distinct classes of nuclear deterrence in his works in the 1960s. His theories
and analyses were widely studied by civilian and military leaders in both the United States and the
Soviet Union. His clear, matter-of-fact writing about the likely scope of destruction in books like 
On Thermonuclear War (1960) and Thinking About the Unthinkable (1962) undoubtedly
helped to deter nuclear war.
Of all the nuclear-strategy concepts, however, deterrence theory is probably the least
transferable to cyber war. Indeed, deterrence in cyberspace is likely to have a very different
meaning than it did in the works of Kahn and the 1960s strategists. Nuclear deterrence was
based on the credible effects created by nuclear weapons. The world had seen what two nuclear
weapons had done to Hiroshima and Nagasaki in 1945. Much larger nuclear weapons had then
been detonated aboveground by the United States and the Soviet Union in the 1940s and 1950s,
followed by the United Kingdom in 1952, France in 1960, and China in 1968. All told, the initial
five nuclear-weapons states detonated over 2,300 weapons above and below the surface.
No one knew exactly what would happen if either the United States or the Soviet Union tried
to launch several hundred nuclear-armed ballistic missiles more or less simultaneously, but
internally the American military thought that over 90 percent of its missiles would launch, make it
to their targets, and detonate their weapons. They had similarly high expectations that they knew
what the effects of their weapons would be on the targets. To insure a major attack would work,
if attempted, the U.S. military planned on hitting important targets with nuclear warheads from
three different delivery mechanisms (bombs from aircraft, warheads from ground-based missiles,
and warheads from submarine-launched missiles). Both superpowers deployed their forces in
such a way that they would have many surviving nuclear weapons even after suffering a large,
surprise attack. Retaliation was assured. Thus, there was near certainty that by one side’s using
nuclear weapons, it was inviting some degree of its own nuclear destruction. What would happen
after a massive exchange of nuclear weapons was subject to debate, but few doubted that the
two nuclear combatants would have inflicted on each other a level of damage unparalleled in
human history. Many believed a large-scale exchange would trigger a “nuclear winter” that could
cause the end of all human life. Almost all experts believed that a large-scale exchange by the two
superpowers would cause what were termed “prompt deaths” in the scores of millions. (Kahn
dryly noted, “No one wants to be the first to kill a hundred million people.”) Any use of nuclear
weapons, it was feared, could escalate unpredictably into large-scale use. That fear has deterred
the United States and the Soviet Union from using their nuclear weapons for over six decades to
date.
The nuclear tests had created what was called a “demonstration effect.” Some theorists also
suggested that in a major crisis, such as a conventional war in Europe, the United States might
detonate a nuclear weapon at sea as another demonstration effect, thus signaling that unless the
Page 92
ABC Amber ePub Converter Trial version, http://www.processtext.com/abcepub.html
Online Convert PowerPoint to PDF file. Best free online export
Convert a PPTX/PPT File to PDF. Just upload your file by clicking on the blue button or drag-and-drop your pptx or ppt file into the drop area.
pdf to ppt converter online for large; converting pdf to powerpoint slides
C# PDF insert text Library: insert text into PDF content in C#.net
Parameters: Name, Description, Valid Value. value, The char wil be added into PDF page, 0
change pdf to ppt; pdf page to powerpoint
fighting stopped, the NATO Alliance was prepared to escalate to nuclear-weapons use. NATO
planned that during a conventional war it could “signal NATO’s intent” by such a warning shot.
Despite the instances of cyber war to date, the demonstration effect has not been compelling. As
discussed earlier, most of the cyber incidents thus far have been either unsophisticated attacks
such as a DDOS or covert penetrations of networks to steal information or implant trapdoors
and logic bombs. The limited effects of the DDOS attacks were not widely noticed by those
outside of the countries victimized. And in the case of most of the covert attacks, even the victims
may not have noticed.
So what confidence do cyber warriors have that their weapons will work, and what
expectation do they have about the effects that would be caused by the weapons? What they
undoubtedly know is that they have already used many of their attack techniques to successfully
penetrate other nations’ networks. They have probably done everything short of a few
keystrokes of what they would do in real cyber war. On simulations of enemy networks, they
have probably engaged in destructive operations. The Aurora test on the generator in Idaho was
one such test. It left the experimenters confident that they could have caused the physical
destruction of a large electric generator with a cyber weapon.
What cyber warriors cannot know, however, is whether the nation they are targeting will
surprise them with a significantly improved array of defenses in a crisis. What would be the effect
if China disconnected its networks from international cyberspace? Would the U.S. plans for
dealing with that contingency work? Assuming Russia has placed trapdoors and logic bombs in
U.S. networks, how do they know whether the Americans have identified them and have planned
their elimination in a period of heightened tension? When a cyber warrior goes to use the
penetration technique he has planned on to get back into a target, that route of access may be
blocked and an unexpected and effective intrusion-prevention system may suddenly have
appeared. Unlike a national antimissile system, an intrusion-prevention for key networks could
easily be kept secret until activated. If the cyber warrior’s job is to shut down an enemy’s air
defense system slightly in advance of his nation’s air force doing a bombing mission, the bombers
may be in for a rude awakening. The radar installations and missiles that were supposed to have
been shut down may suddenly come alive and destroy the attacking aircraft.
With a nuclear detonation, one could be fairly certain about what would happen to the target.
If the target was a military base, it would become unusable for years, if not forever. On my first
day of graduate school at MIT in the 1970s, I was given a circular slide rule, which was a
nuclear-effect calculator. Spin one circle and you picked the nuclear yield, say 200 kilotons. Spin
another circle and you could choose an airburst or a groundburst. Throw in how far away from
the target you might be in a worst case and your handy little spinning device told you how many
pounds of explosive pressure per square inch would be created and how many would be needed
to collapse a hardened underground missile silo in on itself, before becoming little radioactive
pieces of dust thrown way up in the atmosphere. A cyber warrior may possibly have similar
certainty that were he to hit some system with a sophisticated cyber weapon, that system, say a
modern freight railroad, would likely stop cold. What he may not know is whether the railroad
has a reliable resiliency plan, a backup command-and-control network that he does not know
about because the enemy is keeping it secret and not using it until it’s needed. Just as a secret
intrusion-prevention system might surprise us when it’s suddenly turned on in a crisis, a secret
continuity-of-operations system that could quickly get the target back up and running is also a
form of defense against cyber attack.
The potential surprise capability of an opponent’s defense makes deterrence in cyber war
theory fundamentally different from deterrence theory in nuclear strategy. It was abundantly clear
in nuclear strategy that there was an overwhelming case of what was called “offensive
preference,” that is to say, any defense deployed or even devised could easily be overwhelmed
by a well-timed surprise attack. It costs far less to modify one’s missile offense to deal with
defensive measures than the huge costs necessary to achieve even minimally effective missile
Page 93
ABC Amber ePub Converter Trial version, http://www.processtext.com/abcepub.html
C# PDF Convert to Tiff SDK: Convert PDF to tiff images in C#.net
with specified zoom value and save it into stream The magnification of the original PDF page size Description: Convert to DOCX/TIFF with specified resolution and
how to convert pdf to powerpoint; how to change pdf to ppt on
RasterEdge XDoc.PowerPoint for .NET - SDK for PowerPoint Document
Convert. Convert PowerPoint to PDF. Convert PowerPoint to ODP/ ODP to PowerPoint. Document & Page Process. PowerPoint Page Edit. Insert Pages into PowerPoint File
add pdf to powerpoint presentation; changing pdf to powerpoint
protection. Whatever the defense did, the offense won with little additional effort. In addition, no
one thought for a moment that the Soviet Union or the United States could secretly develop and
deploy an effective missile-defense system. Ronald Reagan hoped that by spending billions of
dollars on research, the U.S. could change the equation and make strategic nuclear missile
defense possible. Decades later it has not worked, and today the U.S. hopes, at best, to be able
to stop a small missile attack launched by accident or a minor power’s attack with primitive
missiles. Even that remains doubtful.
In strategic nuclear war theory, the destructive power of the offense was well known, no
defense could do much to stop it, the offense was feared, and nations were thereby deterred
from using their own nuclear weapons or taking other provocative steps that might trigger a
nuclear response. Deterrence derived from sufficient certainty. In the case of cyber war, the
power of the offense is largely secret; defenses of some efficacy could possibly be created and
might even appear suddenly in a crisis, but it is unlikely any nation is effectively deterred today
from using its own cyber weapons in a crisis; and the potential of retaliation with cyber weapons
probably does not yet deter any nation from pursuing whatever policy it has in mind.
Assume for the sake of discussion that the United States (or some other nation) had such
powerful offensive cyber weapons that it could overcome any defense and inflict significant
disruption and damage on some nation’s military and economy. If the U.S. simply announced that
it had that capability, but disclosed no details, many opponents would think that we were bluffing.
Without details, without ever having seen U.S. cyber weapons in action, few would so fear what
we could do as to be deterred from anything.
The U.S. could theoretically look for an opportunity to punish some bad actor nation with a
cyber attack just to create a demonstration effect. (The U.S. used the F-117 Stealth
fighter-bomber in the 1989 invasion of Panama not because it feared Panamanian air defenses,
but because the Pentagon wanted to show off its new weapon to deter others. The invasion was
code-named Operation Just Cause, and many in the Pentagon quipped that the F-117 was sent
in “just cause we could.”) The problem with the idea of using cyber weapons in the next crisis
that comes up is that many sophisticated cyber attack techniques may be similar to the
cryptologist’s “onetime pad” in that they are designed for use only once. When the cyber attack
weapons are used, potential opponents are likely to detect them and apply all of their research
capability in coming up with a defense.
If the U.S. cannot deter others with its secret cyber weapons, is it possible that the U.S. itself
may be deterred by the threat from other nations’ cyber warriors? In other words, are we today
self-deterred from conventional military operations because of our cyber war vulnerabilities? If a
crisis developed in the South China Sea, as in the exercise described above, I doubt that today
anyone around the table in the Situation Room would say to the President, “You better not send
those aircraft carriers to get China to back down in that oil dispute. If you do that, Mr. President,
Beijing could launch a cyber attack to crash our stock market, ground our airlines, halt our trains,
and plunge our cities into a sustained blackout. There is nothing we have today that could stop
them, sir.”
Somebody should say that, because, of course, it’s true. But would they? Very unlikely. The
most senior American military officer just learned less than two years ago that his operational
network could probably be taken down by a cyber attack. The Obama White House did not get
around for a year to appointing a “cyber czar.” America’s warriors think of technology as the ace
up their sleeves, something that lets their aircraft and ships and tanks operate better than any in
the world. It comes hard to most of the U.S. military to think of technology as something that
another nation could use effectively against us, especially when that technology is some geek’s
computer code and not a stealthy fighter-bomber.
So, we cannot deter other nations with our cyber weapons. In fact, other nations are so
undeterred that they are regularly hacking into our networks. Nor are we likely to be deterred
from doing things that might provoke others into making a major cyber attack. Deterrence is only
Page 94
ABC Amber ePub Converter Trial version, http://www.processtext.com/abcepub.html
C# PDF Convert to Word SDK: Convert PDF to Word library in C#.net
with specified zoom value and save it into stream The magnification of the original PDF page size Description: Convert to DOCX/TIFF with specified resolution and
convert pdf file to ppt online; convert pdf to powerpoint slides
C# PDF insert image Library: insert images into PDF in C#.net, ASP
Import graphic picture, digital photo, signature and logo into PDF document. Merge several images into PDF. Insert images into PDF form field.
convert pdf to powerpoint online for; how to convert pdf to ppt using
a potential, something that we might create in the mind of possible cyber attackers if (and it is a
huge if) we got serious about deploying effective defenses for some key networks. Since we have
not even started to do that, deterrence theory, the sine qua non of strategic nuclear war
prevention, plays no significant role in stopping cyber war today.
2. NO FIRST USE?
One of the first things you should have noticed about the scenario in our hypothetical exercise
was the idea of going first. In the absence of any strategy to the contrary, the U.S. side in the
hypothetical exercise took the first move in cyberspace by sending out an insulting e-mail on what
China thought was its internal military e-mail system and then by initiating what the U.S. team
hoped would be a limited power blackout. The strategic goal was to signal both the seriousness
with which the U.S. viewed the crisis and the fact that the U.S. had some potent capabilities.
Cyber Command’s immediate tactical objective was to slow down the loading of the Chinese
amphibious assault force, to buy time for U.S. diplomats to talk China out of its planned
operation.
In nuclear war strategy, the Soviet Union proposed that we and they agree that neither side
would be the first to use nuclear weapons in a conflict. The U.S. government never agreed to the
No First Use Declaration, preserving for itself the option to use nuclear weapons to offset the
superior conventional forces of the Soviet Union. (My onetime State Department colleague Jerry
Kahan once asked a Soviet counterpart why they kept suggesting we ban orange juice. When
the Russian denied making such a proposal, Jerry retorted, “But you’re always running around
saying ‘no first juice.’”) Should we incorporate a No First Use approach in our cyber war
strategy?
There is no conventional military force in the world superior to that of the U.S., assuming that
the U.S. military is not blinded or disconnected by a cyber attack. Therefore, we do not need to
hold open the prospect of going first in cyberspace to compensate for some other deficiency, as
we did in nuclear strategy. Going first in cyber war also makes it more politically acceptable in
the eyes of the world for the victim of the cyber attack to retaliate in kind, and then some. Given
our greater vulnerability to cyber attack, the U.S. may not want to provoke a cyber phase to a
war.
However, forswearing the use of cyber weapons until they have been used on us could mean
that if a conventional war broke out, we would not defend our forces by such things as cyber
attacks on our opponent’s antiaircraft missile systems. The initial use of cyber war in the South
China Sea scenario was a psychological operation on China’s internal military network, sending a
harassing e-mail with a picture of a sinking Chinese ship. Should that be considered a first use of
cyber war?
Moreover, the scenario presented a problem that if you do not go first in cyberspace, your
ability to conduct cyber attack may be reduced by the other side stepping up both its defensive
measures (for example, China cutting off its cyberspace from the rest of the world) and its
offensive measures (including attacks that disrupted U.S. networks that may be necessary for
some of the U.S. attacks to be launched). Whether we say it publicly or maintain it as an internal
component of our strategy, if we were to accept the concept of No First Use in cyber war we
would require a clear understanding of what constitutes “use.” Is penetration of a network a
cyber war act? When the network penetration goes beyond just collecting information, does the
act then move from intelligence operations to cyber war? Any ban on “first use” would probably
only apply prior to kinetic shooting. Once a war goes kinetic, most bets are off.
3. PREPARATION OF THE BATTLEFIELD
Another thing that you should have caught is that it appears that both sides had hacked into each
other’s systems well before the exercise began. In the real world, they probably have actually
done just that. How much of this is done and who approves it is an issue to be reviewed when
creating a strategy.
Page 95
ABC Amber ePub Converter Trial version, http://www.processtext.com/abcepub.html
C# PDF File Split Library: Split, seperate PDF into multiple files
Divide PDF File into Two Using C#. This is an C# example of splitting a PDF to two new PDF files. Split PDF Document into Multiple PDF Files in C#.
image from pdf to powerpoint; images from pdf to powerpoint
C# PDF Page Insert Library: insert pages into PDF file in C#.net
from the ability to inserting a new PDF page into existing PDF or pages from various file formats, such as PDF, Tiff, Word, Excel, PowerPoint, Bmp, Jpeg
convert pdf to powerpoint; convert pdf file to powerpoint
If CIA sends agents into a country to conduct a survey for possible future sabotage and they
leave behind a cache of weapons and explosives, under U.S. law such activity is considered
covert action and requires a Presidential finding and a formal notification of the two congressional
intelligence committees. In recent years, the Pentagon has taken the view that if it conducts some
kind of covert action, well, that’s just preparation of the battlefield and no one needs to know.
The phrase “preparation of the battlefield” has become somewhat elastic. The battle does not
need to be imminent, and almost anyplace can be a battlefield someday.
This elasticity has also been applied to cyber war capability, and apparently not just by the
United States. In the hypothetical exercise, both the U.S. and China opened previously installed
trapdoors in the other country’s networks and then set off logic bombs that had been implanted
earlier in, among other places, the electric power grids. Beyond the exercise, there is good
reason to believe that someone actually has already implanted logic bombs in the U.S. power
grid control networks. Several people who should know implied or confirmed that the U.S. has
also already engaged in the same kind of preparation of the battlefield.
Imagine if the FBI announced that it had arrested dozens of Chinese government agents
running around the country strapping C4 explosive charges to those big, ugly high-tension
transmission line towers and to some of those unmanned step-down electric substation
transformers that dot the landscape. The nation would be in an outrage. Certain Congressmen
would demand that we declare war, or at least slap punitive tariffs on Chinese imports.
Somebody would insist that we start calling Chinese food “liberty snacks.” Yet when the Wall
Street Journal announced in a headline in April 2009 that China had planted logic bombs in the
U.S. grid, there was little reaction. The difference in response is indicative mainly of the
Congress, the media, and the public’s inexperience with cyber war. It is not reflective of any real
distinction between the effects those logic bombs could have on the power grid, compared to
what little parcels of C4 explosives might do.
The implanting of logic bombs on networks such as the U.S. power grid cannot be justified as
an intelligence-collection operation. A nation might collect intelligence on our weapon systems by
hacking into Raytheon’s or Boeing’s network, but there is no informational value in being inside
Florida Power and Light’s control system. Even if there were valuable data on that network,
logic bombs do not collect information, they destroy it. The only reason to hack into a power grid
’s controls, install a trapdoor so you can get back in quickly later on, and leave behind computer
code that would, when activated, cause damage to the software (and even the hardware) of the
network, is if you are planning a cyber war. It does not mean that you have already decided to
conduct that war, but it certainly means that you want to be ready to do so.
Throughout much of the Cold War and even afterward there were urban legends about Soviet
agents sneaking into the U.S. with small nuclear weapons, so-called suitcase bombs, that could
wipe out U.S. cities even if Russian bombers and missiles were destroyed in some U.S. surprise
attack. While both the Soviets and the U.S. did have small weapons (we actually had a few
hundred called the Medium Atomic Demolition Munitions, or MADM, and another bunch called
the Small Atomic Demolition Munitions, or SADM, which were designed to be carried in a
backpack), there is no evidence that either side actually deployed them behind the other’s lines.
Even at the height of the Cold War, decision makers thought that actually sending the MADMs
out onto the streets would be too destabilizing.
How is it, then, that Chinese, and presumably U.S., decision makers have authorized placing
logic bombs on the territory of the other? It is at least possible that high-level officials in one or
both countries never approved the deployments and do not know about them. The cyber
weapons might have been implanted on the authority of military commanders acting under their
authority to engage in preparation of the battlefield. There is a risk that senior policy makers will
be told in a crisis that the other side has planted logic bombs in preparation for war and will view
that as a new and threatening development, causing the senior policy makers to ratchet up their
response in the crisis. Leaders may be told that since it is obvious the other side intends to crash
Page 96
ABC Amber ePub Converter Trial version, http://www.processtext.com/abcepub.html
our power grid, we should go first while we still can. Another risk is that the weapon may actually
be used without senior-level approval, either by a rogue commander or by some hacker or
disgruntled employee who discovers the weapon.
Cyber warriors justify the steps they have taken in preparation of the battlefield as necessary
measures to provide national decision makers with options in a future crisis. “Would you want the
President to have fewer courses of action to choose from in some crisis?” they would say. “If you
want him to have the choice of a nonkinetic response in the future, you have to let us get into their
networks now. Just because a network is vulnerable to unauthorized penetration now does not
mean it will be so years from now when we may want to get in.”
Networks are constantly being modified. An electric power transmission company might one
day buy an effective intrusion-prevention system (IPS) that would detect and block the
techniques we use to penetrate into the network. But if we can get into the network now, we can
leave behind a trapdoor that would appear to any future security system as an authorized entry.
Getting onto the network in the future is not enough, however; we want to be able to run code
that makes the system do what we want, to malfunction. That future IPS might block the
downloading of executable code, even by an authorized user, without some higher level of
approval. Thus, if we can get into the system now, we should leave behind the instruction code to
override surge protection or cause the generators to spin out of synchronization, or whatever
method we have to disrupt or destroy the network or the hardware it runs.
That sounds persuasive at one level, but are there places where we do not want our cyber
warriors preparing the battlefield?
4. GLOBAL WAR
In our hypothetical exercise, the Chinese response aimed at four U.S. navy facilities but spilled
over into several major cities in four countries. (The North American Interconnects link electric
power systems in the U.S., Canada, and parts of Mexico.)
To hide its tracks, the U.S., in this scenario, attacked the Chinese power grid from a computer
in Estonia. To get to China from Estonia, the U.S. attack packets would have had to traverse
several countries, including Russia. To discover the source of the attacks on them, the Chinese
would probably have hacked into the Russian routers from which the last packets came. In
response, China hit back at Estonia to make the point that nations that allow cyber attacks to
originate from their networks may end up getting punished even though they had not intentionally
originated the attack.
Even in an age of intercontinental missiles and aircraft, cyber war moves faster and crosses
borders more easily than any form of hostilities in history. Once a nation-state has initiated cyber
war, there is a high potential that other nations will be drawn in, as the attackers try to hide both
their identities and the routes taken by their attacks. Launching an attack from Estonian sites
would be like the U.S. landing attack aircraft in Mongolia without asking for permission, and
then, having refueled, taking off and bombing China. Because some attack tools, such as worms,
once launched into cyberspace can spread globally in minutes, there is the possibility of collateral
damage as these malicious programs jump international boundaries and affect unintended targets.
But what about collateral damage in the country that is being targeted?
5. COLLATERAL DAMAGE AND THE WITHHOLD DOCTRINE
Trying to strike at navy bases, the two cyber combatants hit the power plants providing the bases
electricity. In so doing, they left large regions and scores of millions of people in the dark because
electric power grids are extremely vulnerable to cascading failures that move in seconds. In such
a scenario there would probably be dozens of hospitals whose backup generators failed to start.
The international laws of war prohibit targeting hospitals and civilian targets in general, but it is
impossible to target a power grid without hitting civilian facilities. In the last U.S.-Iraq War, the
U.S. campaign of “Shock and Awe” employed precision-guided munitions that wiped out
targeted buildings and left structures across the street still standing. While being careful with
Page 97
ABC Amber ePub Converter Trial version, http://www.processtext.com/abcepub.html
bombs, the U.S. and other nations have developed cyber war weapons that have the potential to
be indiscriminate in their attacks.
In the cyber war game scenario, U.S. Cyber Command was denied permission to attack the
banking sector. In the real world, my own attempts to have NSA hack into banks to find and
steal al Qaeda’s funds were repeatedly blocked by the leadership of the U.S. Treasury
Department in the Clinton Administration. Even in the Bush Administration, Treasury was able to
block a proposed hacking attack on Saddam Hussein’s banks at the very time that the
administration was preparing an invasion and occupation in which over 100,000 Iraqis were
killed. Bankers have successfully argued that their international finance and trading system
depends upon a certain level of trust.
The U.S. decision to withhold attacks narrowly targeted on the financial sector also reflects an
understanding that the United States might be the biggest loser in a cyber war aimed at banks.
Even though the financial services sector is probably the most secure of all of the major industry
verticals in the U.S., it is still vulnerable. “We’ve tested the security at more than a dozen top
U.S. financial institutions, as hired consultants, and we’ve been able to hack in every time,” one
private-sector security consultant told me. “And every time, we could have changed numbers
around and moved money, but we didn’t.”
The existing U.S. policy does not prohibit hacking into foreign banks to collect intelligence, but
it does create a very high hurdle for altering data. Both the Secretary of the Treasury and the
Secretary of State have to personally authorize such an action. As far as I was able to determine
from my sources, that approval has never been granted. We have, in effect, what in nuclear war
strategy we called a “withhold target set,” things that we have targeted but do not intend to hit.
That policy assumes, or hopes, that opponents will also play by those unarticulated rules. In
Exercise South China Sea, the PLA team did not. In its last move it hit the databases of the stock
market and the major bank clearing house. That was a dramatic and, we hope, unrealistic
escalation. Today China’s economy is so tightly connected to America’s that they, too, might
have a withhold doctrine affecting the financial sector. Under foreseeable circumstances, it is
maybe an acceptable risk to assume that nations will all withhold data-altering attacks on the
financial sector, though some U.S. analysts would dispute that about China.
Because a sophisticated nonstate actor might not be so polite, it would be important for the
U.S. financial sector to have an advance understanding with the federal regulators about what
they would do if there were a major hack that altered data. Certain European and Japanese
institutions should probably also be discreetly consulted about the policies they would use to
reconstruct who owns what after a major data-altering breach. The Federal Reserve Bank and
the Securities Industry Automation Corporation, among other financial database operators, have
extensive off-site backup systems. Key to their being prepared to fix a data-altering breach is the
idea that there is data with a recent picture of “who owns what” that is unlikely to be altered by a
cyber attack. With the agreement of the federal regulators, banks and stock markets could revert
to a prior date to recover from a data-altering breach. Some people would be hurt and others
enriched by such a decision and it would be the subject of litigation forever, but at least the
financial system could continue to operate.
China’s air traffic control (ATC) system was also placed on a withhold list in the exercise. As
the U.S. modernizes its ATC, making it more network dependent, the system is likely to become
only more vulnerable to cyber attack. Already with the older system, the U.S. has experienced
instances where individual airport towers and even specific regional centers have been blacked
out for hours because of computer or communications connectivity failures. As far as we know,
none of these major outages was caused by hacking. (There is one case of an arrest for hacking
into the FAA system, but the effects of the attack were minor.)
Nonetheless, the potential for someone altering data and causing aircraft to collide in midair
has to be considered. The U.S. is a party to the Montreal Convention, which makes an
intentional attack on a civilian airliner a violation of international law. Of course, almost all hacking
Page 98
ABC Amber ePub Converter Trial version, http://www.processtext.com/abcepub.html
is a violation of some national and/or international law, but the Montreal Convention is an
articulation of the general global sentiment that certain kinds of actions are beyond the pale of
acceptable conduct.
Hacking into the flight controls of an aircraft in flight is probably also becoming more feasible.
The Federal Aviation Agency raised concerns with Boeing that plans for the new 787 Dreamliner
called for the flight control system and the elaborate interactive passenger-entertainment system
to use the same computer network. The FAA was concerned that a passenger could hack into
the flight control system from his seat, or that live Internet connectivity for passengers could mean
that someone on the ground could hack into the system. The airlines’ own systems already create
a data connection from the ground to some aircraft’s computer networks. The computer
networks on a large passenger aircraft are extensive and play a significant role in keeping the
aircraft in the air.
In modern “fly-by-wire” aircraft, it is the flight control system that sends a computer signal to a
flap, aileron, or rudder. The Air France crash over the South Atlantic in 2009, mentioned earlier,
revealed to a wider audience what pilots have known for years: in modern fly-by-wire aircraft,
onboard computers decide what signals to send to the control surfaces. Under certain
circumstances, the software can even override the decision of a pilot to prevent the manual
controls from making the aircraft do something that would cause it to stall or go out of control.
As that recent Air France crash also demonstrated, the aircraft’s computers were firing off
messages back to the Air France headquarters’ computers without the pilot being involved. As
with the ATC system, the computer networks of commercial passenger aircraft should probably
also be off limits. Military aircraft are, however, likely to be considered fair game.
Had the Cyber Command team asked the Controllers for permission to attack the reservations
and operations network of Chinese airlines, they may have gotten a different answer. In the real
world, computer crashes at U.S. and Canadian airlines have kept hundreds of aircraft grounded
for hours at a time. The aircraft worked and there were crews available, but without the
reservations database and the operational network up and running, the airlines did not know what
crew, passengers, cargo, or fuel load should go on what planes. The airlines, like so many other
huge business systems, no longer have manual backup systems that are sufficient to create even
minimal operations.
There may be other withholds, in addition to banking and commercial aircraft. In the exercise,
two of the networks that Cyber Command was told not to strike were China’s military command
and control network and their air defense system. Since those are purely military targets, why
were they spared?
6. ESCALATORY CONTROL
During the Cold War, I often participated in exercises in which teams of national security officials
were secretly hustled out of Washington on short notice to obscure, covert locations. Once at
our destinations, the teams did exactly what the War Games movie computer suggested. We
played thermonuclear war. These were massively depressing experiences, since the “game
reality” we had to accept was that millions of people had already died in a nuclear exchange. Our
job was almost always to finish the war and begin the recovery.
The most difficult part of finishing the war usually turned out to be finding who was still alive
and in control of the military on the other side. What survivor was in command of Soviet forces,
and how do we talk to him without either of us revealing our hidden locations? Part of the
problem that the game controllers deviously planned for us sometimes was that the guy with
whom we were negotiating war termination did not actually have control over some element of
the surviving Soviet force, for instance, their nuclear missile submarines. What we learned from
these unpleasant experiences was that if we eliminate the opponent’s command and control
system, then he has no way to tell his forces to stop fighting. Isolated local commanders, cut off
from communications with higher echelons, or not recognizing the authority of the surviving
Page 99
ABC Amber ePub Converter Trial version, http://www.processtext.com/abcepub.html
successor, made their own decisions, and often it was to keep fighting. It was the nuclear war
equivalent of those lone Japanese fighters who kept turning up on remote Pacific isles in the
1950s, unaware that the Emperor had years before ordered them to surrender.
There may be a parallel in cyber war. If a cyber attack eliminates a military command and
control system, it could be difficult to prevent or terminate a kinetic war. In most militaries
authority devolves to the local commander if he cannot get in touch with his superiors. Even if the
command system is still operating, if the local commander believes that the system has been taken
over by an opponent who is now issuing false instructions, command probably devolves to the
local general until he can ascertain that he is in reliable communications with a valid superior. This
is the situation so vividly portrayed in the movie Crimson Tide, where the U.S. nuclear
submarine commander received and authenticated an order to launch nuclear missiles and then
received an order to stop. Unable to authenticate the order to stop the attack, and fearing that it
was a bogus order somehow sent by the Russians, the captain believes that procedures require
him to launch.
The conclusion that we came to repeatedly in the nuclear war games was that it was probably
an error to engage in a “decapitating strike,” one that made it impossible for the leadership to
communicate with us or with their own forces. In cyber war, it may be desirable to cut off certain
units from higher command, or to deny an opposing force access to intelligence about what is
going on. But in choosing what units to cut off, one needs to keep in mind that severing the
command link to a unit runs the risk that it will launch an attack on its own. Thus, cyber attacks
should probably be carefully constructed so that there is still a surviving communications channel
for negotiations and a way in which the leadership can authoritatively order its forces to stop
fighting.
The exercise’s Control Team also denied Cyber Command the authority to strike at air
defense networks. The rationale for that kind of withhold at that point in hostilities is “escalatory
control.” In his 1965 masterpiece of military strategy, On Escalation, Kahn argued that if your
goal is war termination short of the total destruction or forced surrender of the opponent, you can
signal that by what you strike and what you withhold. You may want to signal that you have
limited intentions so that the other side does not assume otherwise and proceed as if it has
nothing to lose.
There are cyber war corollaries to escalation control. A cyber attack on a nation’s air defense
system would lead that country’s leadership to the logical conclusion that air attacks were about
to happen. In Exercise South China Sea, there were U.S. aircraft carriers nearby. If the Chinese
military thought that those carriers were getting ready for air strikes on China, they would be right
to take preemptive steps to sink the carriers. So, a cyber attack on the air defense network could
have caused the beginning of a kinetic war that we were seeking to avoid. Even an attempted
penetration of that network to lay in trapdoors and logic bombs might have been detected and
interpreted as a prelude to imminent bombing. So just getting into position to launch a cyber
attack would have sent the wrong message in a crisis, unless those steps had been taken well in
advance.
Herman Kahn, Thomas Schelling, William Kaufmann, and the other “Wizards of
Armageddon” spent a lot of time thinking about how to control nuclear escalation, from the
tensions leading up to a crisis, to signaling, to initial use, to war termination. Initially the nuclear
strategists saw war moving slowly up the escalatory ladder, with diplomatic attempts being made
at every rung to stop the conflict right there. They also discussed what I referred to earlier,
“escalation dominance.” In that strategy, one side says, basically, “We don’t want to play around
with low-grade fighting that will gradually get bigger. If you want to fight me, it’s going to be a
big, damaging fight.” It’s the warfare equivalent of going all-in on a hand in poker and hoping
your opponent will give up rather than risk all of his chips. Except that there is one big difference:
in escalation dominance you are actually jumping several rungs up the ladder and inflicting serious
damage on the other side. You accompany that move with the threat that you can and will do
Page 100
ABC Amber ePub Converter Trial version, http://www.processtext.com/abcepub.html
Documents you may be interested
Documents you may be interested