“Inside Cyberwarfare” which I am reading slowly but steadily, proves to be a prophetic book. Chapter 10 describes a methodology similar to the one that seems to have been used in the RSA hack.

This book continues to amaze me in so many levels.

Fresh tweet from DJB: Ed25519: high-speed high-security signatures. My admiration for DJB highly surpasses my hatred for qmail.

Αναμετάδοση από το blog του Ελληνικού OWASP:

“Το OWASP Greek Chapter διοργανώνει ένα OWASP Training Day την Τετάρτη, 25 Μαΐου στο Αμφιθέατρο της Γενικής Γραμματείας Πληροφοριακών Συστημάτων, Χανδρή 1 & Θεσσαλονίκης, Μοσχάτο. Πρόκειται για μία εκπαίδευση από αυτές που σπάνια έχουμε την ευκαιρία να παρακολουθήσουμε στην Ελλάδα και ταυτόχρονα μια ευκαιρία ανταλλαγής απόψεων με μερικούς από τους κορυφαίους ειδικούς στο χώρο του Application Security παγκοσμίως.”

(read more)

Αξίζει και τον χρόνο και τον κόπο.

This is the title of the presentation that I gave yesterday at the Greek OWASP Chapter meeting which was held at the CoLab. The presentation is based on my experiences in participating in three Cyberdefense exercises and can basically be summarized by the following points:

• Cyberdefense exercises are not a competition. We do not participate to “win”. In fact if there’s any win-lose objective it is a success that we lose. From loss we can learn; a lot.
• Given that there are no actual attacks taking place during the exercises, communication is what we exercise on.
• Cyberdefense exercises are about team formation. Team formation of organizations and individuals who up to now were not particularly interested in cooperating, since besides being critical infrastructures no other common ground exists between them.
• According to Tuckman, group development has four stages: forming, storming, norming and performing.
• Due to the fact that with each exercise the number of participants increases, we iterate a lot between forming and storming.
• Parkinson’s Law emerges a lot during storming. Cyberdefense is an enormous complex beast, difficult to grasp, but there exist in it tiny bits for everyone to understand well enough to consider them most important (even from the whole picture).
• Building a web of trust among people is the key to everything. Cyberdefense exercises help in developing trust because they bring people together.
• While organizing Cyberdefense (and understanding Cyberoffense) the following model from Best and Luckenbill must be in our minds:
  

  Form of Organization	Mutual Association	Mutual Participation	Division of Labor	Extended Organization
  Loners	no	no	no	no
  Colleagues	yes	no	no	no
  Peers	yes	yes	no	no
  Mobs	yes	yes	yes	no
  Formal Organizations	yes	yes	yes	yes

Many thanks to @kpapapan for inviting me to give the talk and to the audience for bearing with my rants.

Yesterday I learned about the International Nuclear Event Scale. Given this tool nuclear accidents are characterized in a 7 degree scale as follows:

• 7 – Major Accident
• 6 – Serious Accident
• 5 – Accident with Wider Consequences
• 4 – Accident with Local Conswquences
• 3 – Serious Incident
• 2 – Incident
• 1 – Anomaly
• 0 – Deviation (No safety significance)

Uppon seeing the scale I thought that it could be useful for characterizing cyber incidents too. Yeah I know, like we do not already have enough incident taxonomies. But I like it anyway.

Ο Νόμος 3917/2011 έχει πλέον δημοσιευτεί. Υπάρχει ήδη σχολιασμός για το τι σημαίνει για τον πολίτη. Ας δούμε όμως μια μικρή λεπτομέρεια

Άρθρο 11 (Ποινικές Κυρώσεις)

1. Όποιος, κατά παράβαση των διατάξεων του παρόντος κεφαλαίου, λαμβάνει γνώση των δεδομένων που διατηρούνται από τον πάροχο διαθέσιμων στο κοινό υπηρεσιών ηλεκτρονικών επικοινωνιών ή δημόσιου δικτύου επικοινωνιών, τα συλλέγει, αποθηκεύει, αντιγράφει, αφαιρεί, μεταφέρει, αλλοιώνει, βλάπτει, καταστρέφει, μεταδίδει, ανακοινώνει ή με άλλο τρόπο τα επεξεργάζεται, τα καθιστά προσιτά σε μη δικαιούμενα πρόσωπα ή επιτρέπει στα πρόσωπα αυτά να λάβουν γνώση των εν λόγω δεδομένων ή τα εκμεταλλεύεται με οποιονδήποτε τρόπο, τιμωρείται με κάθειρξη μέχρι δέκα ετών, αν η πράξη δεν τιμωρείται βαρύτερα από άλλες διατάξεις.

2. Αν ο δράστης των πράξεων της παραγράφου 1 είναι νόμιμος εκπρόσωπος ή μέλος της διοίκησης ή υπεύθυνος ασφάλειας δεδομένων ή εργαζόμενος ή συνεργάτης του παρόχου ή τελεί τις πράξεις αυτές κατ’ επάγγελμα ή κατά συνήθεια ή απέβλεπε σε οικονομικό ή άλλο αντάλλαγμα, τιμωρείται με κάθειρξη μέχρι δέκα ετών και χρηματική ποινή από 55.000 μέχρι 200.000 ευρώ.

3. Αν από τις πράξεις των παραγράφων 1 και 2 προκλήθηκε κίνδυνος για την ελεύθερη λειτουργία του δημοκρατικού πολιτεύματος ή την εθνική ασφάλεια, επιβάλλεται κάθειρξη και χρηματική ποινή από 55.000 μέχρι 300.000 ευρώ.

4. Αν οι πράξεις των παραγράφων 1 και 2 έχουν τελεστεί από αμέλεια, επιβάλλεται φυλάκιση τουλάχιστον δύο ετών.

Όχι άλλα αντικίνητρα. Υπάρχουν ήδη αρκετά όπως υπάρχουν και ανάγκες για κόσμο.

H₀: Our systems are not hacked.

That is what management wishes to hear all the time and expects to hear it with absolute certainty.

– But …

There are no buts in such matters for management, right? Oh but there are…

	H0 True	H0 False
Reject H0	Type I error	Correct
Do not Reject H0	Correct	Type II error

In reality there is no way to know whether the systems we maintain are hacked or not. We can only know with absolute certainty that they are owned and this only when the fact is detected. To help management understand this, use a “simpler” example:

H₀: This message is not spam

Work with the not-spam example and the table above. It seems fairly straight forward that if your anti-spam measures are relaxed you receive a lot of undetected spam (Type II error) and if you tighten the controls you risk having legitimate messages characterized as spam (Type I error).

In a similar fashion you can detect that your systems are hacked and therefore you can reject H₀. You can have your Intrusion detection systems, monitoring systems, processes or other controls “cry wolf” (a Type I error) or they may stay silent while in fact infiltration has happened (a Type II error). A Type II error means that an opportunity to detect a breach was lost.

So you see management, we cannot under absolute certainty assure you that we are and will remain unbreakable till the end of time. After all, if you really think about it hard, time is on the side of the blackhats. We can only provide you with data that we are doing our best with the tools you are providing.